天能集团董事长张天任代表人大议案之一
关于制定《个人信息保护法》的议案

一、案由

      近年来，电信网络诈骗犯罪持续多发高发，手段日益复杂、新骗术层出不穷，严重影响人民群众的财产安全。《电信网络诈骗治理研究报告（2016）》显示，84.15%受访者曾经受过电信网络诈骗的骚扰。2016年8月19日，山东临沂高考录取新生徐玉玉遭遇电信诈骗，被以发放助学金的名义骗走9900元，徐玉玉与父亲到公安机关报案，回家途中心脏骤停，经抢救无效死亡。“徐玉玉之死”引发了全社会的强烈关注，罪犯受到法律惩处。国家有关部门采取多种手段严厉打击电信诈骗行为，但电信诈骗依然屡禁不止，社会影响极其恶劣。

电信诈骗的根源在于公民个人信息泄露。目前，个人信息从泄露、贩卖到营销、诈骗，已经发展成一条完整的黑色产业链，成为社会公害。只有加强个人信息保护，斩断这一黑色产业链，才能从源头杜绝电信诈骗，保护公民信息和财产安全。我国个人信息保护法尚属空白，这给个人信息泄露和网络诈骗留下了空间。建议我国尽快启动个人信息保护立法，完善立法体系，划定公民信息的边界和保护主体的责任，用法律的武器打击电信诈骗。

二、案据

1．制定个人信息保护法，是构建和完善法制体系的迫切需要。

近年来，我国正在着力加强个人信息保护的立法体系建设。正在修订的《民法通则》第五章第一百一十条规定：“自然人的个人信息受法律保护。任何组织和个人不得非法收集、使用、加工、传输个人信息，不得非法买卖或者公开个人信息。”2015年11月实施的《刑法修正案》（九）也明确规定了侵犯公民个人信息罪。其他法律法规、部门规章，以及一些地方性法规涉及到个人信息保护的，达数百部之多，如《护照法》《身份证法》《未成年人保护法》《侵权责任法》等。

但总体上，我国还缺少一部统领性、专门性的保护个人信息安全的法律。早在2004年，国务院信息办就委托中国社科院法学研究所进行个人数据保护法的研究，课题组也于2004年底完成了《中华人民共和国个人信息保护法》（专家建议稿）及立法说明，此后也启动了立法程序，但迟迟未见实质性进展。目前个人信息保护的立法时机已经成熟，建议尽快启动立法程序，进一步构建和完善关于个人信息保护的法制体系。

2．制定个人信息保护法，是信息时代高效安全运用个人信息数据库的迫切需要。

在信息时代，由个人信息汇集而成的大数据是一笔宝贵矿藏，对数据的采集、挖掘、分析和运用，在征信、风险评估、消费场景、商业渠道等领域发挥着重要作用，能创造巨大的物质财富和社会价值。然而，这些数据如不加以保护，个人信息安全面临严重威胁，目前泛滥成灾的电信诈骗就是最典型的例子。我们一方面应该鼓励对个人信息的积极利用，最大程度的挖掘其潜在价值；同时也要更加注重个人信息的安全和保护。制定个人信息保护法，让大数据在法律保护下安全迅速地进行收集和流通，才有利于促进我国社会的信息化进程，才能推动我国信息产业与世界接轨。

3．发达国家在个人信息保护领域的司法实践，为我们的立法工作提供借鉴。

在互联网时代，个人信息保护早已成为世界各国关注的焦点，早在上世纪70年代，西方国家就已经启动了这方面的立法工作。迄今为止，全球有90多个国家和地区制定了专门保障个人信息的法律。1970年，德国黑森州就颁布了保护公民个人信息的《数据保护法》，这是世界上最早的隐私保护法，随后有16个州相继通过与个人信息保护相关的法律。1977年，德国联邦政府正式颁布《联邦数据保护法》，全面保护德国公民个人信息；美国在1974年就通过了《隐私权保护法》，这是美国行政法中保护公民隐私权的一项重要法律，以此为基础，美国采取分散法律的模式，依靠联邦和州政府的各类条例，来维护个人信息安全；英国在1984年制订了《数据保护法》；日本的《个人信息保护法》在2005年正式实施。我们可以有选择性地借鉴西方国家的立法经验，结合我国国情和信息技术发展现状，取长补短，尽快制定《个人信息保护法》。

三、方案

个人信息保护法应包含立法宗旨、基本概念、主管部门、基本原则、适用范围；个人信息收集主体、收集范围和收集程序、部门或组织告知义务、个人信息的储存与使用、更改程序和共享程序、行业自律机制；损害赔偿、法律责任（民事、行政、刑事）、附则等。其中应当重点明确以下内容：

1．合法性原则和知情权原则。任何机关和个人在收集他人个人信息都应当遵循合法性原则，保证收集的主体和手段必须合法；知情权是个人信息权的核心。除法律强制规定以外，没有当事人的知情，任何的个人信息收集行为都是没有合法性基础的。对一些重要信息的收集，特别是关系个人核心隐私信息的收集，必须征得本人同意，并向当事人告知信息采集目的、用途、使用范围和期限等。

2．目的限定原则或风险限定原则。目的限定原则是指个人信息收集必须要符合特定目的，不能在此目的之外使用相关信息；风险限定原则认为，个人信息的二次利用是否合理，关键取决于新目的能否给用户带来精神压力、差别待遇及人身财产损害的可能性。显然，风险限定原则的边界较目的限定原则更为宽泛，更加灵活，但无论采用哪种原则，都需要对数据风险进行审慎评估，保护数据采集人的隐私。

3．个人信息收集范围。立法应当明确规定哪些个人信息可以被收集，哪些不能被收集；在收集个人信息时，应当遵循尽可能少收集的原则，即不能收集超出法律允许范围内的个人信息,更不能无限制地、大面积收集个人的信息。

4．妥善保管原则。个人信息收集后，应当有专人保管和负责；收集主体应当对个人信息收集后的泄露承担责任；收集主体因对个人信息保管不善而造成权利人利益受损的，其应当承担与其过错相应的责任；对于掌握信息的相关行业，要建立起信息保护与信息安全的防火墙，个人信息录入到相应系统之后，只有专业人员履行相关程序后才能接触。

5．审慎查询原则。个人信息属于私密信息，应当受到法律保护，不是任何人都可以查询，只有法律规定的利益相关者才有权查询他人信息。

6．最少使用原则。为保护个人信息，在从事某一特定活动可以使用、也可以不使用个人信息时，要尽量不使用。

7．明确侵权责任。立法应当明确侵害个人信息权利的责任，如因信息采集主体保管不善导致个人信息泄露，则信息采集主体应当依法承担相应责任；如工作人员私自泄露了个人信息，除该个人应当承担责任外，信息采集主体业应视具体情节也依法承担责任；如信息采集主体对个人信息保管不善，同时又有第三方非法获取并使用个人信息，则信息采集主体与第三方共同承担赔偿责任。

8．个人数据跨境监管制度。《个人信息保护法》应当对涉及国家安全等重大国家利益的个人数据禁止转移到国外；将用户个人数据转移至境外，应当取得用户的明确同意；国家制定数据跨境转移的合同范本，指导企业跨境转移活动；对于将个人数据转移至他国，以提供给他国政府的，应当取得数据保护机构的同意。