自2009年刑法修正案七将非法出售个人信息的行为纳入规制以来，中国已在建立个人信息保护法制体系的道路上探索了近十年，形成了“刑法在先，民法在后”的特色。下一步该怎么走？如何让法律亮出牙齿，保护大众信息免于泄露，而不是倚重于泄露后的刑事打击？在7月12日上午举办的2018中国互联网大会个人信息保护论坛上，来自中国政法大学、清华大学、吉林大学、北京师范大学、中国人民大学法学院的教授对此进行了探讨。

“照理是先出台基础法，再出台秩序法、行政法，最后才是刑法。” 北京师范大学法学院院长卢建平坦言，刑法就像法律体系中的一颗“老虎牙”，刑法先行并不符合立法常规。之所以形成这种局面，是因为国内侵犯、滥用个人信息的社会问题日趋严重，刑法“不得不出手”，先划定一条红线。

刑法有助于打击犯罪，但近年来法学界也在探讨“刑先民后”存在的问题，比如刑法“排挤”了其他法律手段，消费者受到侵害后难以得到实质性赔偿，不利于形成良好的治理体系，等等。

卢建平说，刑法先行有弊有利，其积极意义在于可以倒逼个人信息保护法律出台。刑法修正案七规定非法出售公民个人信息的处三年以下有期徒刑，2016年发生的徐玉玉案让人们意识到，轻的刑罚好像挠痒痒，制裁力度不够。随着形势的发展变化，各界对个人信息保护的认识会越来越清晰，相关规则也会越来越完善。“可以说牙齿先长，其他部位后长，不同部门的法律相互促进。”他说。

如今，全国人大《关于加强网络信息保护的决定》、消费者权益保护法、网络安全法、民法总则等诸多法律法规中，都有了关于个人信息保护的条款。然而，新的难题随之出现，法律条款过于分散、缺乏统一操作标准的问题，在学界讨论中被屡屡提及。

“比如什么是个人信息？网络安全法的规定是能识别自然人个人身份的信息，两高司法解释的规定是能识别特定自然人身份或者反映特定自然人活动的信息。身份信息和活动信息，二者的概念有很大的差异。”卢建平认为，不同法律之间的冲突，需要由统一的个人信息保护法协调。

他同时指出，民法总则第一百一十条明确了任何组织和个人不得非法收集、使用、加工、传输个人信息。现有的“刑先民后”法制体系，重点规制了个人信息的非法买卖，在其他方面非常欠缺。“收集、使用、加工、传输这些行为样态，可以说针对的是公权力机关和互联网企业。如果不规制这些行为，对公众的个人信息保护就形同虚设。”卢建平说。

进行个人信息保护专门立法，首先要明确一系列的概念和权利关系。学界对此尚未达成共识。“我们知道必须要保护，问题是怎么保护？保护的目标是什么？怎样进行权利安排？其中的问题太复杂了。”中国政法大学副校长时建中说。

吉林大学法学院院长蔡立东认为，首先要厘清个人信息在法律中的性质，立法过程中需要注意区分个人隐私、个人信息和非个人信息，平衡个人信息的保护与数字经济的发展。

北京航空航天大学法学院院长龙卫球直言，个人信息是数据的一部分，狭义的个人信息保护立法可以设立底线，广义的数据立法还要考虑数据主体以外其他相关方的权利，如作为数据经营者的企业。他建议，对于用户，应在个人信息的层面，同时配置人格权益和财产权益；对于数据经营者，基于数据经营和利益驱动的机制需求，应分别配置数据经营权和数据资产权。

谈到个人信息保护法制现状的改善，蔡立东说，在个人信息受侵害案例中，侵权主体往往以公权力机关和大型企业为主，受害人的数量比较多，受到的损害难以恢复，这些特点导致个人诉讼的效率不高，将来可考虑发挥公益诉讼的作用。此外，在公权执法方面，参考欧盟等地的经验，设立专门的数据保护机构，加大执法力度，以有效制约公权力机构。在企业方面，促进企业加强内部治理，通过设立信息保护官等做法，把组织的责任转化为个人的责任，使得法律法规中的责任追究能真正落到实处，形成有牙齿的个人信息保护法律体系。