已有诸多法律法规涉及个人信息保护，

是否还需要专门立法?

仍需专门立法：

《个人信息保护法》专家建议稿起草人、中国人民大学法学院教授张新宝：随着社会信息化进程的深入，个人信息成为整个网络空间中最为重要的数据类型，不仅关涉到公民的私权利保护，也关系到公私领域对于个人信息的利用，如何妥当地安排个人信息保护与利用的利益衡量，会影响到我国信息化的进程和一系列产业发展。而随着网络安全成为国家安全态势下，个人信息保护问题还与公共安全、国家安全存在着强烈关联。因此，个人信息保护问题是信息社会发展中所要应对的基础性问题，是互联网领域立法中的共性问题。   

各行各业在应对“互联网+"形势时分别单独立法，要么出现政出多门，要么出现重复性立法，这也是我国目前个人信息保护立法虽多，但立法的重难点问题推进却成效甚微的原因所在。面对个人信息保护这一共性问题，单独的行业监管难以实现相应的顶层设计，比如个人信息保护的领导与监管体制、政府等公共机构的个人信息收集与利用规则等，都难以实现突破。立足于这样的基本认识和判断，在个人信息保护问题上，仍然需要统一立法实现顶层设计。

全国人大宪法和法律委员会委员、中国社会科学院法学研究所研究员孙宪忠：现有法律法规在保护个人信息方面已经发挥了很大作用，但它们基本都是末端治理的制裁性规范，而非源头治理的引导性规范。《网络安全法》对网络上信息的收集和保管制定了比较多的管理性内容，但是从个人信息保护的角度看，该法的适用范围是有限的。它的立法目的是网络安全，而不全是个人信息保护。  

针对个人信息保护的法律还有《刑法》，但是它仅仅规定了信息犯罪与惩罚的规则（这是立法职责划分的必要）。该法律修正案生效已经多年，在打击信息犯罪方面确实发挥了极大作用，但这种犯罪仍然没有得到有效的遏制。这一点非常清楚地说明了信息保护立法必须转变观念。

北京师范大学法学院教授、亚太网络法律研究中心主任刘德良：立法首先要搞清楚背后的理论问题，如果贸然为立法而立法，会严重脱离实际。对于一般的个人信息而言，收集和公开本身并不会造成损害。造成损害的往往是后续的滥用行为，但现在的立法忽视了对滥用行为的有效规制。比如，在涉及到诸如垃圾信息、骚扰电话、身份假冒和滥用等最为突出的个人信息或数据滥用问题上，我国严重缺乏有效的法律规范。

正是由于这种立法缺失，导致人们将个人信息或数据的滥用问题，归咎于所谓的个人信息泄露甚至个人信息公开，并把解决问题的希望寄托在确保个人信息的安全上。立法应对滥行为进行有效规制，而不是不加区分地对所有个人信息或数据要求“保密”和收集上的“合规”，不切实际地要求安全。

会规范数字经济发展：

《个人信息保护法》专家建议稿起草人、中国人民大学法学院教授张新宝：信息产业的诸多问题不是一个法律能完全解决的。个人信息法规定的肯定只是基础性原则，不可能面面俱到。但有了原则，至少很多事情不会走偏。如果最开始没有这样的基础性原则，政府可能会管得太严，束缚产业的发展，也可能管得太宽松，使得企业为所欲为。

中国信息安全研究院副院长左晓栋：这里可以打个比方，任何汽车都有油门和刹车，我们买汽车是为了开车，刹车却是为了减速，然而不会有人说一辆汽车只要油门就够了。没有规范的互联网发展与失控的汽车没有两样。对互联网企业进行规范的目的，是为了使其更好发展，无论是在国内还是国外，规范管理与加快发展都不构成矛盾。靠非法收集和买卖个人信息变现，这样的企业其负面意义大于正面价值。如果将来有些企业会受到影响，那么这些企业本身的发展路径就是有问题的。

北京大学法学院教授张平：在过分侧重人格化的欧洲保护模式以及强调个人信息商业化利用的美国模式之间，我国在立法取向上应当综合借鉴。《网络安全法》中的个人信息保护条款应该是相关法律里面最全面和具体的，今后个人信息保护将更多适用这部法律。但是《网络安全法》启动立法的时候，还没有把迅速发展的大数据和人工智能纳入考虑范围。所以，《网络安全法》也存在细化空间，应当配合当前的新技术和商业模式的发展，及时进行下位法的解释。其中一些条款需要做细化的、有可操作性的司法解释、操作指南、技术标准，否则企业会很茫然。

北京师范大学法学院教授、亚太网络法律研究中心主任刘德良：我国现在的主流观点和已有的法律规章，借鉴了欧盟的模式，但混同了个人数据和个人信息。欧盟立法讲个人数据，把个人数据等同于个人隐私，强调保密和安全，强调个人对数据的控制。但个人信息和个人数据需要区分。个人信息强调的是直接识别性，个人数据不一定能够直接或单独识别出特定自然人。  

欧盟强调数据控制的模式在我国不仅难以实施，还会阻碍大数据产业和人工智能的发展。控制信息的成本和信息传播的成本是呈反比的，在网络时代，信息传播的成本非常低，几乎可忽略不计，反过来，控制的成本几乎无穷大，技术上难以实现。大数据的发展离不开与个人有关的数据，如果以此为背景，在立法上讲求个人对数据的控制，大数据和人工智能将无法发展。

支持立法认为的难点

全国人大宪法和法律委员会委员、中国社会科学院法学研究所研究员孙宪忠：建立《个人信息保护法》的基本出发点，一是从源头保护做起，从信息获得的源头建立制度，二是采取综合手段保护，以行政法规则、民法规则和刑法规则相结合的综合治理的方式来建立信息保护制度。当然，在立法中，我们应该准确地定义什么是个人信息，不要把个人隐私纳入进来，以避免立法走入歧途。个人信息保护立法的核心环节，是法律许可机构或者个人获得他人信息之后，涉及信息占有者和信息主之间的权利和义务问题。这个问题是立法的核心环节，涉及的法律问题需要借助于各个法律学科共同的力量来攻关解决。无论如何我们认为，信息获得者对这些信息仅仅只有占有的权利，并没有所有权。我们不同意信息占有者将这些信息当作自己的财产的观点。

《个人信息保护法》专家建议稿起草人、中国人民大学法学院教授张新宝：个人信息保护法的立法，还有一些难点问题。比如，个人信息的领导监管体制问题。我们之前的专家建议稿规定了以网信办为主、各行业监管为辅的统筹协调机制，但从历次研讨会的情况来看，大家对这种监管机制的落地情况存在疑虑。     

我国目前的个人信息保护监管方面，既有金融、保险、医疗等行业监管也有去年网安法确立的“三驾马车"的监管体制。如何实现网信办的统筹监管和各产业主管的职权分配和协调配合，是一个有待实践考察的问题。但从个人信息保护问题的全局性、基础性地位来看，统筹监管之下的协作监管十分必要。

再比如，政府现在是最大的个人信息处理者，专家建议稿也将政府纳入规范，但是政府和信息业者的个人信息处理，有相同之处也有不同的例外，这就需要考虑如何在立法技术上妥当编排二者的规范。专家建议稿目前区分信息业者、国家机关分别专章规定，但在二者的一般规定部分，条文重复现象比较明显。反过来，如果将一般规定部分单独作为一章共同规定，又使得二者的各自部分不完整，这是我们后续需要继续完善的问题。

北大法学院教授张平：制订一部专门法律需要考虑很多方面的问题，比如立法宗旨、保护对象、保护主体、权利内容与限制、责任形式等，对个人信息保护还需要考虑跨境数据传输和域外数据管辖及效力问题等。《个人信息保护法》首先需确定保护个人信息是以人格利益为主还是以财产利益为主，是以公法手段规制为主还是以私法手段为主。对此学术界上存在一些争议。   

此外，个人信息保护法的保护对象究竟是个人信息、隐私还是数据？姓名、电话号码和身份证号是个人隐私，而浏览记录、购物倾向、行为轨迹、消费记录等，这些数据是否为个人信息吗？随着大数据产业快速发展以及政府推动下的数据交易，现有个人信息保护原则都处在争议之中。

北京师范大学法学院教授、亚太网络法律研究中心主任刘德良：用户对能够直接识别出其个人的个人信息的商业价盾享有财产权。商家对不能直接识别出特定自然人的所谓个人数据的商业价值享有财产权，其收集、加工、流动无需针得用户同意。同时立法应防止对个人信息（数据）的滥用。