互聯網技術和應用的迅猛發展，極大地擴展了個人信息和數據的利用規模，與此同時，越來越多的用戶信息泄露、非法買賣個人信息事件，推動個人信息保護成為全社會普遍關注的焦點問題。我國高度重視并不斷加快個人信息保護相關立法和司法工作，并取得了階段性的成果。而未來我國個人信息保護立法應該何去何從，仍是需要各方思考的重要問題。

刑事追責不是長久之計

目前，我國沒有制定專門的個人信息保護法。2012年全國人大常委會通過《關于加強網絡信息保護的決定》，確立了個人信息保護的若干原則；2013年修訂《消費者權益保護法》，對消費者個人信息保護做了相關規定；2016年全國人大常委會通過《網絡安全法》，將保護個人信息安全作為其重點內容。

近年來，隨著非法買賣、竊取公民個人信息行為愈演愈烈，我國加速推進個人信息保護刑事立法。2009年、2015年先后通過刑法修正案七和修正案九，專門增加了出售或非法提供、竊取或者非法獲取公民個人信息的犯罪及刑罰。2017年5月，最高人民法院、最高人民檢察院發布《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（法釋〔2017〕10號，以下簡稱《司法解釋》），對刑事司法實踐中定罪量刑所涉及的若干熱點問題作出了明確回應。《司法解釋》的發布引起了各方的廣泛關注，也從側面反映出當前我國個人信息保護的一個特點，即刑事打擊和刑事追責非常活躍。據統計，自2009年刑法修正案七增加侵犯個人信息罪到2016年12月，全國法院共審結出售、非法提供公民個人信息、非法獲取公民個人信息刑事案件1433起，生效判決人數2112人。特別是2015年11月刑法修正案九生效以來，我國侵犯公民個人信息犯罪案件量顯著增長，僅一年間審結464件，生效判決人數697人。 刑事追責已經成為我國當前個人信息保護領域應用最廣泛的法律手段。

然而需要注意的是，刑事打擊和刑事追責雖然在應對個人信息犯罪活動方面取得了一定的成效，但長期來看，這并非個人信息保護的長久之計，甚至可以說偏離了個人信息保護的主要路徑。如前所述，個人信息保護的目的是對個人權利的保護，歸根結底是對人的保護，避免個人信息遭受到不法侵害，因此更加注重的是對個人信息收集和處理環節的控制。而刑事罪責是一種事后打擊手段，雖然可以通過對違法犯罪行為的懲戒產生威懾作用，但在推動個人權益保護方面的效果和意義并不十分明顯。反觀國際社會，不少國家的普遍做法是在制定個人信息保護法律規則的基礎上，成立專門的個人信息保護機構，通過行政監管、民事救濟等途徑強化對個人信息的保護。

盡快制定個人信息保護法

《網絡安全法》被認為是我國個人信息保護立法活動的重大突破，其第四章總結了我國個人信息保護立法經驗，針對實踐中存在的突出問題，將近年來一些成熟的做法作為制度確定下來。但《網絡安全法》的出臺并不是我國個人信息保護立法的終點，而是一個新的起點。雖然《網絡安全法》確立了個人信息保護的基本框架，但是仍然有許多具體制度需要進一步細化和明確；同時，關于管理體制等重大問題也沒有得到解決。而2017年6月1日正式生效實施的《司法解釋》也只是對刑法第二百五十三條的相關規定進行了解釋，明確了辦理刑事案件的定罪量刑熱點問題，不能被稱為個人信息保護的“里程碑”。從遠期來看，制定專門統一的個人信息保護法是我國未來發展的必然選擇。

從國際社會來看，制定個人信息保護法，符合個人信息保護立法的國際發展趨勢。自1973年瑞典頒布第一部個人數據保護法以來，全球范圍內掀起了個人信息保護立法的浪潮。美國于1974年制定了《隱私法》，規定了公共領域的個人信息保護規則；歐盟1995年通過了《關于個人數據處理保護與自由流動指令》，各成員國隨即將其轉化為國內立法。進入21世紀以來，全球個人信息保護立法持續升溫，韓國、日本、新加坡等國先后制定了專門的個人信息保護法，確立了個人信息收集、使用以及跨境傳輸的基本規則。截至2016年12月，全球已有超過110個國家和地區制定了專門的個人信息保護法，這一數字還在不斷增長。

從國內來看，制定統一的個人信息保護法，是我國個人信息保護和社會經濟法發展的現實需求。首先，此舉能夠回應社會各界呼聲。近年來不斷發生的個人信息泄露事件引發高度關注，制定一部統一的個人信息保護法成為社會各界的一致呼聲。其次，有利于從國家層面明確重大問題和基本制度。通過制定統一的個人信息保護法，明確公民個人對其信息享有的基本權利，企業收集和使用個人信息的基本規范，并對數據跨境流動規則等基本問題作出回應。最后，促進我國互聯網產業做大做強。制定個人信息保護法不僅是保護公民個人權利的需要，更是提高信息資源利用率、保證本國信息自由流動、促進信息化發展、參與全球化競爭的戰略需要。我國互聯網產業發展已初具規模，開始具備參與全球競爭的實力基礎。互聯網產業的持續健康發展，需要國家明確的個人信息保護政策作為行為指引，并為其開拓海外市場提供良好的信譽保證。

合理選擇符合國情的立法模式

目前，全球個人信息保護立法呈現出兩種最有影響力的模式，即歐盟模式和美國模式。歐盟模式的特點是將個人數據作為公民的一項基本人權加以保護，在立法上主張統一和嚴格立法，強化政府部門對于個人數據保護的監管權力。從1995年的《個人數據保護指令》到2016年通過的《數據保護通用條例》都體現了嚴保護、嚴監管的思路。美國模式的特點是將個人信息保護建立在隱私權的基礎上，采用分散立法加行業自律的方式，通過對公民隱私的保護，實現隱私保護與產業發展、政府監管與公民表達自由等“矛盾”之間的平衡。

美國和歐盟采取不同的個人信息保護模式，除了各自立法理念和傳統不同之外，產業發展也是重要的考量因素。在全球市值排在前10位的互聯網企業中，美國占據7席；在全球排名前20位的互聯網企業中，美國有11家，歐盟國家則沒有一家互聯網企業進入前30名。整體來看，歐盟互聯網市場基本被谷歌、微軟、Facebook以及蘋果等美國企業所壟斷，自身產業發展非常弱勢。因此，很多觀點認為，歐盟制定嚴格的個人數據保護立法目的之一，就是為了約束和打壓國外互聯網企業。而美國作為互聯網發展的大國，推行相對寬松的隱私保護政策，更有利于降低企業的合規成本和風險負擔，并且有利于本國企業向海外擴張。

當前，我國互聯網產業蓬勃發展，個人信息保護問題也比較突出。從立法模式來看，建議立足我國具體國情和法律傳統，合理吸收歐盟模式和美國模式的立法經驗，綜合考慮。在立法形式方面，建議借鑒歐盟模式，制定統一的個人信息保護專門立法。在具體的立法原則和內容方面，可以借鑒美國模式，充分考慮產業發展需求。