个人信息保护立法要“精准保护”

核心提示:是明确法律要保护的公民个人信息的范围，要明确每个公民都有保护他人个人信息，因为法律要保护的公民个人信息十分庞杂。

■ 观察家·代表委员议政录

个人信息保护立法，应对个人敏感隐私信息和非敏感信息加以区分，以节省执法成本，也能以清单化思维明确，哪些信息可在法律框架下得到合理利用。

去年的一起徐玉玉案，刺痛了国人神经，也暴露了我国个人信息保护立法相对滞后的现状。基于此，我建议由人大尽快出台《中华人民共和国公民个人信息保护法》，并做出几点具体建议。

首先，《公民个人信息保护法》宜在开篇列明公民个人信息的重要性，明确保障信息安全的相关举措，以提升公民个人保护信息的意识和能力。

其次，是明确法律要保护的公民个人信息的范围。这要从两个方面加以考量:一是应根据不同人群，界定出符合实际需要的由法律予以保护的个人信息，比如，对于党政干部需受法律保护的个人信息范围就要进行特殊规定。

二是对公民信息进行分类，根据类别的不同规定不同的保护力度。因为法律要保护的公民个人信息十分庞杂，有些直接关乎公民个人的人格尊严、个人隐私等核心利益，需要法律重点保护;有的并不直接关系公民的切身利益，但经过数字化分析也能构成对公民的侵权，其需保护程度不像"个人敏感隐私信息"那么强，一般保护即可。

在这方面，可借鉴我国台湾地区的《个人资料保护法》，其第6条以是否与个人核心隐私相关作为标准，对个人敏感信息进行了类型化列举，包括"有关医疗、基因、性生活、健康检查及犯罪前科之个人资料"。同时，直接关乎公民核心利益的信息是个动态范围，还应根据社会需要动态调整，真正实现"精准保护"。

再者，当明确个人信息保护的义务主体，强化责任追究。要明确每个公民都有保护他人个人信息，防止信息被恶意利用或传播的义务。还要明确通过合法手段掌握公民个人信息的主体范围，提高信息记录门槛、设置"分级查看"的权限，尽量减少信息采集量及可能触及个人信息的部门和人员。

在强化责任追究方面，可借鉴新加坡和我国香港等地"重典治乱"的经验:对侵害公民个人信息的企事业单位和个人，处以高额罚款，并记入征信档案，据此依法对其贷款、投资经营、购房等行为进行限制。

还应鼓励信息行业制定严于法律的行业准则。鼓励其结合自身的业务特点和业务实践经验，制定更具针对性更为细致的个人信息保护准则，为信息主体提供更为便利、充分、高水平的保护，并对法律规定相对滞后的领域进行规制，以适应信息技术的快速发展。

此外，应规定共享社会组织、科研机构资源。个人信息保护的责任主体涉及众多行业和部门，为避免人力、物力等资源的重复使用，克服人才技术不足的难题，各责任主体可以共同委托(或采用购买服务的方式)有资质有实力的社会组织和科研机构进行调查研究、服务平台建设和管理等工作。共享信息技术成果，及时准确掌握动态信息，为切实保护个人信息提供有力的人才和技术支持。

不可忽略的，还有对未成年人个人信息保护的强化。未成年人作为社会特殊群体，其认识和控制能力较弱，其个人信息权利极易受到侵害，因此需要法律单独作出相关规定，予以特殊保护。比如，强化监护人对未成年人个人信息的保护义务，增强侵害未成年人个人信息的惩治力度。

我建议，未来的《个人信息保护法》，还应确定一个适合我国青少年发展状况的强化保护的年龄节点。个人信息保护问题是很前沿的问题，如果按照民法通则标准来确定是否为未成年人，未免与实际情况不符。这也需要科学评估与精细考量。

□施杰(全国政协委员，知名律师)