备受期待的个人信息保护法迎来进展。10月12日，全国人大常委会法工委发言人臧铁伟在记者会上介绍，十三届全国人大常委会第二十二次会议将于10月13日-17日在北京举行。个人信息保护法草案将提请本次会议审议。

信息化时代，个人信息保护已成为广大人民群众最关心、最直接、最现实的利益问题之一。在民法典对个人信息保护确立了全方位保护规则后，个人信息保护法有望进一步明确信息处理规则，提供更全面的保障。

北京商报记者采访多名专家了解到，如何界定侵犯公民个人信息、如何平衡个人信息保护与对公民个人信息过度解读之间的关系、违反个人信息保护的责任认定及处罚将会是法案值得期待的三大焦点。

2018年起研究起草

“随着信息化与经济社会持续深入融合，个人信息的收集、使用更为广泛。虽然近年来我国个人信息保护力度不断加大，但在现实生活中，随意收集、违法获取、过度使用、非法买卖个人信息，利用个人信息侵扰人民群众生活安宁、危害人民群众生命健康和财产安全等问题仍十分突出。”臧铁伟介绍。

从四年前因个人信息泄露遭致电信诈骗的徐玉玉案，到抖音、微信读书近期一审被判侵害用户个人信息，个人信息保护在生活中时常受到挑战。数据显示，截至2020年3月，我国43.6%的网民遇到过网络安全问题，其中遭遇个人信息泄露问题占比最高。

北京市盈科律师事务所高级合伙人高同武也告诉北京商报记者：“例如我们代理的一个民事案件，当事人在小贷公司校园贷时使用的身份证信息被泄露，他人即冒用当事人个人信息注册微博，散布谣言侵犯某明星名誉权，而有的当事人直到被执行个人财产时方才知情，这就是公民信息被泄露而造成侵权的典型案例。”

随着信息时代到来，各界寻求个人信息保护专门立法的呼声也越来越多。如2017年3月，时任全国人大常委吴晓灵等45位全国人大代表就在两会上提交了《关于制定〈中华人民共和国个人信息保护法〉的议案》。

按照全国人大常委会立法规划和立法工作计划安排，从2018年开始，全国人大常委会法工委会同中央网信办就开始个人信息保护法的研究起草工作。根据此前消息，5月14日全国人大常委会法工委曾表示草案稿已经形成。

臧铁伟表示：“个人信息保护立法坚持从我国实际出发，深入总结网络安全法等法律、法规、标准的实施经验，并充分借鉴有关国际组织和国家、地区的个人信息保护相关准则、指导原则和法规，建立健全适应我国个人信息保护需要的法律制度。”

细化民法典内容

虽然专门法尚未出台，但我国对于个人信息的保护并非空白。全国人大常委会法工委相关负责人此前透露，近年来，全国人大及其常委会在制定修改网络安全法、民法总则、刑法、电子商务法等法律中，对个人信息权益、个人信息处理规则、个人信息安全保护措施等作出规定，不断完善个人信息保护相关法律制度。

如在2009年，《刑法修正案(七)》就增设了出售、非法提供公民个人信息罪和非法获取公民个人信息罪。随后，工信部、国家质检总局、两高一部等陆续发布了系列部门规章及司法解释，加强对公民个人信息的保护和管理。2015年《刑法修正案(九)》扩大了犯罪范围，整合了出售、非法提供公民个人信息罪和非法获取公民个人信息罪，整合为侵犯公民个人信息罪。

2018年以来也有相关司法解释出台。如两高于去年11月起，对拒不履行信息网络安全管理义务、非法利用信息网络、帮助信息网络犯罪活动等犯罪的前提要件和入罪标准等作出明确规定，包括泄露住宿信息等5000条以上将入刑等具体情形。

“但我国个人信息保护的立法存在‘九龙治水’问题，零散分布在《网络安全法》《消费者权益保护法》《电子商务法》等法律法规及规章等。”高同武告诉北京商报记者。

值得一提的是，今年两会审议通过的民法典完善了个人信息的定义，将之与隐私权明确区分，并规定个人信息的权利内容及“合规”处理个人信息的边界。

在民法典厘清总体原则的背景下，专门出台个人信息保护法的意义则更进一步。晓德律师事务所主任陈文明告诉北京商报记者：“民法典只是总体的原则性的条款，专门法实际上是对民法典的细化、具体化，更具有可操作性，同时也体现了对个人身份信息保护的重视。”

臧铁伟表示，制定个人信息保护法，将进一步明确个人信息处理活动应遵循的原则，完善个人信息处理规则，保障个人在个人信息处理活动中的各项权利，强化个人信息处理者的义务，明确个人信息保护的监管职责，并设置严格的法律责任。

他强调，个人信息保护法的制定，将进一步增强法律规范的系统性、针对性和可操作性，在个人信息保护方面形成更加完备的制度、提供更加有力的法律保障。

违法责任认定等受期待

具体来看，个人信息保护法有不少内容值得期待。其中，如何界定侵犯公民个人信息的行为是焦点之一。

高同武告诉北京商报记者：“相信本次即将提请审议的个人信息保护法草案会对各司法解释及部门规章进行归纳总结。一是公民个人信息的界定，即哪些信息属于公民个人信息;二是哪些行为是侵犯公民个人信息的行为，途径有哪些;三还包括哪些部门的哪些法律法规可以对侵犯公民个人信息的行为加以约束等等。”

如何平衡个人信息保护与对公民个人信息过度解读之间的关系问题也随之产生。“例如有的公司开发软件提供中介平台，将有各种需求人的信息提供给第三方，以促成有需求的委托方与第三方签订合同，并收取网络服务费，是目前网络上很常见的互联网经营模式，但有的公司未经授权擅自使用公民个人信息，就有可能涉嫌侵犯公民个人信息，所以对公民个人信息的合理使用范围必须进行明确的界定，厘清、合理使用公民个人信息，和滥用公民个人信息进行违法犯罪活动的界限。”高同武向北京商报记者分析称。

近些年，作为网络信息服务的提供商，搜索引擎、App等一直是个人信息泄露的重灾区。据中消协组织的相关调查显示，有85.2%的消费者都曾遭遇过手机App泄露个人信息的情况。从去年起，App的个人信息保护也成为监管重点，如工信部定期通报侵害用户权益行为的App并监督整改。但在行政监管之上，立法本身还需进一步完善。

进一步来看，个人信息泄露或被非法利用后的民事责任、行政责任以及刑事责任也有待厘清。陈文明告诉北京商报记者，目前针对违反个人信息保护的责任认定及处罚主要集中在刑法、民法、网络安全法、国家赔偿法等法律之中。然而这些法律所涉及内容较广、结构复杂，针对个人信息保护的责任认定和处罚并不明确。

高同武也表示，个人信息保护监管机构和职责明确是难点所在。个人信息保护要综合运用民事、行政、刑事等综合性手段加以保护，监管机构要职责清晰、范围明确，避免出现“九龙治水”的局面。

北京商报记者 陶凤 王晨婷