2020年10月21日，《中華人民共和國個人信息保護法（草案）》公布并公開征求社會公眾意見，截至日期為2020年11月19日。

個人信息保護事關每位公民的切身利益，也關系到國家和數字經濟的發展大計。雖然近幾年我國各相關立法和執法部門都出臺了一系列的法律法規，但由于缺乏根本法和頂層設計，該領域還是存在保護力度不夠、系統性不強，法律銜接不到位等諸多難點，而此次個人信息保護法的制定，不僅有望從根本上解決這些問題，更會使該法為我國發展建設信息社會奠定法律和規則的基石，為我國數字經濟和數字社會的健康長遠發展打下堅實的基礎。

同時，國際社會對個人信息保護的法律模式尚不確定，缺乏成熟的經驗和規則，所以該法律草案的審議，自然引發了各行各業、國內國外的重點關注。

要明確個人信息保護的類型

所謂保護法，無非有兩種類型：為保護而保護的，為發展而保護的。典型的為保護而保護的，如未成年人保護法；為發展而保護的，如版權法、商標法、消費者權益保護法等，可以說，絕大部分保護法都屬于這一類。保護的目的不是保護本身，而是利用和發展。保護知識產權的目的是使得這些權利能夠更好地流通和應用，保護消費者權益的目的也是要把市場和交易做大做活，如果因過度保護損害發展，則就是本末倒置了。

那么，個人信息保護法屬于哪一類？這是首先要明確的核心問題，這個定位不清晰，會導致后續的措施、原則、邏輯和關鍵問題處理上的混亂，損害立法、執法的效果和效率。筆者認為，個人信息保護也是為發展而保護的，千萬不要將個人信息保護理解為為了保護而保護！

我們已步入信息社會，評價信息社會發展程度的核心指標就是信息的質量和流通效率，個人信息既是信息的基礎和重要來源，基本所有的信息也都和個人信息有著千絲萬縷的關聯，無法做到截然分開。如果因為訂立法律而把個人信息的流通、運轉、利用限制死了，那么，信息社會、大數據、云計算、區塊鏈、物聯網等等的先進理念和先進技術，都會成為無源之水、無本之木。個人本身也無法從中受益，享受更好的產品和服務。

同時，絕大部分的信息也包括絕大部分的個人信息，都有一個共同特點，那就是存在的意義就是流通和傳播，越傳播越有價值，而且傳播本身和保護沒有矛盾，人類社會通過幾百年的探索，已經通過知識產權保護制度的建設很好地解決了這個問題。

因此，筆者建議，在總則里增加一條基本原則——“保護與利用兼顧”的原則。只有把這個原則寫進法條，才有可能在其他法條的措辭和設計，在相關法律細則的訂立、法律法規的執行中，真正體現為了發展而保護的立法目的。

保護與權利是相對的

目前個人信息保護存在一個非常突出的問題，即在政府執法、媒體報道、公共場所社會公德監督等情況下，相關個人信息是否還需要完全保護的問題。這個問題已經存在很多年，困惑了不少人和部門，作為個人信息保護的大法和頂層設計，是不應該回避這個問題的，亟須在這部法里對這個大問號畫上一個句號。

所有的保護和權利都是相對的，沒有絕對的和不變的保護。筆者認為，個人信息保護也是如此，當相關權利主體違反法律法規的規定，侵害他人合法權益或者嚴重違反社會公德時，他的這部分權利會因制止和懲處違法的需要而受到限制，不能再主張相關權利。筆者建議，在這種情況下，相關執法部門及媒體等，可以在編輯和傳播相關信息時使用其基本的個人信息的規定寫進這部法律里。

明確個人信息的“分類保護原則”

個人信息保護是一個世界性的難題，從最根本的個人信息的權利屬性到最細節的保護手段，有很多的不同觀點和爭議。究其原因，很重要的一點就是個人信息千差萬別，同一個原則或措施針對一類個人信息來保護可能是對的，但放在另一類中，問題就出來了。

比如，我們的身份證信息、手機號碼、銀行賬號、汽車牌照、違章記錄等，雖然都屬于個人信息，但這些信息個人基本沒有什么決定權，和微信朋友圈頭像、發布的照片和評論等個人能有決定權的信息相比，性質有很大不同。因此，筆者建議在立法時將基于國家治理、公共服務等取得的個人信息和基于民商事活動獲取的個人信息的保護分開處理，其保護的范圍、力度和救濟都有很大的差別。雖然已在草案里增加了第二章第三節來解決這個問題，但感覺還不夠，應當把這個問題的解決上升到原則的層面，即明確個人信息的“分類保護原則”，并加以解釋。

要統籌兼顧類似相關法律的要求

該草案第16條規定：“基于個人同意而進行的個人信息處理活動，個人有權撤回其同意。”對于這一條，筆者是有疑問的。如果這樣隨意撤回，建立秩序、提高效率、減少社會成本可能就會成空，大數據產業的發展也會面臨難題。因此，筆者建議，可改為“有先決條件的撤回”。這就又回到討論的第一個問題上了，這部法律的制定到底是為了保護而保護，還是為了發展而保護；是要平衡還是要無限制地給予個人以相應的權利？建議在這一條上慎重處理，以減少社會成本。

此外，該草案第24條第2款規定：“個人信息處理者向第三方提供匿名化信息的，第三方不得利用技術手段重新識別個人信息”，而在草案的第69條第4款里規定：“匿名化，是指個人信息經過處理無法識別特定自然人且不能復原的過程”。這兩條是相互矛盾的，既然匿名化信息無法復原，第三方又怎能重新識別呢？建議這兩款規定作相應的調整，以理順關系。

（作者為電子商務法律網創始人）