一、立法动态 

  2019年，除《密码法》颁布外，尤为重要的是《儿童个人信息网络保护规定》的出台。同时，《公安机关办理刑事案件电子数据取证规则》、《区块链信息服务管理规定》、《网络音视频信息服务管理规定》等规章、规则发布。另外，还有多部涉及个人信息的法律、部门规章均在制定过程之中，陆续将会出台。

      •1月2日：《公安机关办理刑事案件电子数据取证规则》发布

      •1月10日：《区块链信息服务管理规定》颁布

      •  5月21日：《网络安全审查办法（征求意见稿）》发布

      •6月13日：《个人信息出境安全评估办法（征求意见稿）》

      •6月25日：《信息安全技术  个人信息安全规范》征询修订意见

      •8月22日：《儿童个人信息网络保护规定》颁布

      •10月9日：《个人金融信息保护试行办法》征求意见

      •10月26日：《密码法》颁布

      •11月18日：《网络音视频信息服务管理规定》发布

      •12月23日：《民法典·人格权编》细化个人信息民事保护

      •岁末年初：《个人信息保护法》起草工作正式启动

二、《网络安全法》实施成效显著

      2019年，我国《网络安全法》实施进入了第三个年头。一方面，社会对网络安全的重要性达成了一定共识；另一方面，各个部门也都作好了充分的准备。因此，各政府职能部门、行业组织均针对《网络安全法》的实施，出台了一系列细则、意见、指导文件等，并采取相应的执法行动。从目前《网络安全法》的实施来看，主要集中于网络内容监督管理、网络安全等级保护和个人信息滥用。针对APP强制授权、过度索权、超范围收集个人信息等乱象，APP执法大检查成为2019年网络安全执法的亮点。

（一）《网络安全法》贯彻落实

      •1月9日：网络短视频自律规范发布

      •4月10日：《互联网个人信息安全保护指南》发布

      •5月13日：网络安全等级保护制度标准正式发布

      •6月1日：《网络安全实践指南—移动互联网应用基本业务功能必要信息规范》发布

      •8月28日：《加强工业互联网安全工作的指导意见》发布

（二）APP执法检查

      2019年是APP执法检查年。除了四部委专项治理外，教育、电信等主管部门也参与其中；同时，国家市场监管总局联合中央网信办启动了APP安全认证工作。

      •1月25日：《关于开展APP违法违规收集使用个人信息专项治理的公告》发布

      •3月15日：国家市场监管总局与中央网信办联合开展APP安全认证工作

      •3月12日：《2019年教育信息化和网络安全工作要点》印发

        •7月1日：《电信和互联网行业提升网络数据安全保护能力专项行动方案》发布

      •11月28日：《APP违法违规收集使用个人信息行为认定方法》发布

（三）执法检查情况报告

      一年的整治行动倒逼企业对自身运营的APP进行自查并相继更新隐私政策以满足个人信息保护的合规要求，同时有关部门多次发布了执法检查情况报告。

三、深度观察 

      自2012年全国人大常委会出台《关于加强网络信息保护的决定》之后，我国在各个法律中开始陆续植入个人信息保护规则。由于个人是社会主体，个人信息是社会各行各业运行的元素，因此，个人信息保护可以渗透到各种法律中。除此前的《消费者权益保护法》、《网络安全法》、《电子商务法》等法律均涉及个人信息保护规则外，当前正在制定的《民法典·人格权编》、《个人信息保护法》、《数据安全法》（目前以部门规章方式进行立法）等也都涉及个人信息保护规则。但问题在于，个人信息保护法必须有体系、有层级，有一般性规则和特别规则之分，否则就会导致法律适用和解释上的难题。此外，在人类进入大数据时代后，还应当将个人信息保护放在整个数据保护和利用秩序的框架中进行考虑，如果完全从个人利益的角度出发，那么必然会导致为了保护而保护，所构建出的制度可能成为社会经济发展的羁绊。这里仅从数据作为一种新的生产要素出发，以数据经济发展为视角，对当前的立法进行一些观察，以供同行进一步思考和研究。

观察一 《电子商务法》对个人信息保护和利用规范的适用效果有待检验

      2019年1月1日，《电子商务法》正式生效。这部法定位于综合立法，因而对个人信息的保护和利用均作出了规范。但是这些规范适用的效果有待检验，尤其它对当前正在制定的“个人信息保护法”能提供什么样的可借鉴经验，需要进一步观察和研究。

      观察点一：第十八条赋予了消费者拒绝电商经营者精准推送商业信息的权利，保障网络消费者的知情权和选择权。（原文：第十八条  电子商务经营者根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务的搜索结果的，应当同时向该消费者提供不针对其个人特征的选项，尊重和平等保护消费者合法权益。）

      观察点二：第二十四条增设了个人信息主体的查询权，是第一次以法律的形式确认个人享有查询、更正、删除其个人信息的权利。（原文：第二十四条  电子商务经营者应当明示用户信息查询、更正、删除以及用户注销的方式、程序，不得对用户信息查询、更正、删除以及用户注销设置不合理条件）

      观察点三：第二十五条明确了电子商务经营者向监管部门报送“有关电子商务数据信息”的义务。但对于报送范围以及如何报送，也引发了关注。（原文：第二十五条 有关主管部门依照法律、行政法规的规定要求电子商务经营者提供有关电子商务数据信息的，电子商务经营者应当提供）

      观察点四：第三十一条明确了平台经营者对“服务信息、交易信息”的保存时间不少于三年。这意味着在三年之内，经营者可以合法拒绝消费者提出的删除相应个人信息的请求，但是如何保障个人的删除权，需要进一步研究。（原文：第三十一条　电子商务平台经营者应当记录、保存平台上发布的商品和服务信息、交易信息，并确保信息的完整性、保密性、可用性。商品和服务信息、交易信息保存时间自交易完成之日起不少于三年；法律、行政法规另有规定的，依照其规定）

      观察点五：第四十条对平台商品或服务展示作出了限制，要求多种方式展示，且对竞价排名应显著标明广告。这里的多种方式展示需要进一步解释，至少应当包括竞价排名之外的商品或服务的自然或随机展示。但问题在于，在首屏内容有限的情形下，如何决定谁能被展示出来？（原文：第四十条  电子商务平台经营者应当根据商品或者服务的价格、销量、信用等以多种方式向消费者显示商品或者服务的搜索结果；对于竞价排名的商品或者服务，应当显著标明“广告”。）

观察二  《民法典·人格权编》是否可以充当个人信息保护的法律基础？

      《民法典》（草案）第四编《人格权编》设置了第六章“隐私权与个人信息保护”，将隐私与个人信息区分保护无疑是正确的选择。但是人格权编中的内容无不引起争议。

      观察点一：个人信息保护的含义和模式。民法典继续沿用《民法总则》第111条，在宣布“自然人的个人信息受法律保护”的同时，明确二者的区别与联系：“个人信息中的私密信息，同时适用隐私权保护的有关规定”（第1034条）。可以讨论的问题有：（1）个人信息受保护的法律含义到底是保护个人信息，还是保护个人信息上之利益？（2）如果保护的是个人信息上的利益，是否可以抽象出一种权利，而作为权利受保护与作为利益受保护的法律效果对个人信息保护有何影响。（3）当个人信息属于隐私信息时，其请求权如何安排？（原文第1034条共有三款：“自然人的个人信息受法律保护。”“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特写自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱地址、行踪信息等。”“个人信息中的私密信息，同时适用隐私权保护的有关规定”）

      观察点二：第1036条确立了自然人的查阅、复制、更正和删除权，这些权利到底是何种性质的权利，如何救济？（原文：第1036条：自然人可以向信息控制者依法查阅、抄录或者复制其个人信息；发现信息有错误的，有权提出异议并请示及时采取更正等必要措施。自然人发现信息控制者违反法律、行政法规的规定或者双方的约定收集、处理其个人信息的，有权请求信息控制者及时删除。）

      观察点三：第1037条规定了合法使用个人信息的情形（侵权抗辩事由），这是否能够穷尽所有合法使用情形？（原文：收集、处理自然人个人信息，有下列情形之一的，行为人不承担民事责任：（一）在该自然人或者其监护人同意的范围内实施的行为；（二）处理该自然人自行公开的或者其他已经合法公开的信息，但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外。（三）为维护公共利益或者该自然人合法权益，合理实施的其他行为。）

      观察点四：第1038条有两个内容，其一，信息控制者的安全义务，即第二款。这一款的问题在于，违反该义务应承担怎样的法律责任，产生实际损害是否为承担责任的要件？其二，个人信息流通利用规则，即第一款。该款源自于《网络安全法》第42条，但对于个人同意能否成为个人信息流通的法律基础不无疑问；此外，“经过加工无法识别特定个人且不能复原的”信息已经不再是个人信息了，其提供给他人并不属于个人信息的流通。因此，个人信息流通利用问题仍然没有突破。（原文：第1038条共两款 “信息收集者、控制者不得泄露、篡改其收集、存储的个人信息；未经被收集者同意，不得向他人非法提供个人信息，但是经过加工无法识别特定个人且不能复原的除外。”“信息收集者、控制者应当采取技术措施和其他必要措施，确保其收集、存储的个人信息安全，防止信息泄露、篡改、丢失；发生或者可能发生个人信息泄露、篡改、丢失的，应当及时采取补救措施，依照规定告知被收集者并向有关主管部门报告。”）

      观察点五：公职人员对其履职过程中获得的所有个人信息均须承担保密义务吗？（原文：第1039条 国家机关及其工作人员对于履行职责过程中知悉的自然人的隐私和个人信息，应当予以保密，不得泄露或者向他人非法提供。）

      最重要的问题是，在制定个人信息保护法的背景下，人格权编对于建构个人信息保护规范体系的意义何在，它是否可以作为个人信息保护法立法的依据或上位法？在我们看来，个人信息保护是对个人信息主体利益的保护，其保护基础源自于宪法对人的尊严和自由（自治）的保护，而民法作为对个人民事权利进行保护的法律，恐难担当如此重任。如果《民法典》（草案）的这些规定在今年正式通过，那么我们正在制订的个人信息保护法是否要与《民法典》保持高度一致呢？如果不一致，那么应当优先适用哪部法律呢？在两部大法均指日可待的背景下，这可能不完全是杞人忧天。与其徒增法律适用烦恼，民法典人格权编不如只对个人信息保护作出原则性和转介性规定，将具体的保护规范交给个人信息保护法。

观察三  数据资产化：数据如何成为新生产要素

      党的十九届四中全会明确提出，健全劳动、资本、土地、知识、技术、管理、数据等生产要素由市场评价贡献、按贡献决定报酬的机制。这是党中央文件首次明确提出数据作为生产要素参与收益分配，这将开启数据资本化之门。在我国强劲的数字经济战略下，数据资源保护和运用能力成为所有企业的竞争力所在，这正在甚至已经成为现实。这意味着知识产权理论和制度需要持续创新，以回应新生产要素的时代需求。在我们看来，数据要素“红利”的发挥，既需要国家立法，更需要企业的实践探索。数据治理实际上是在确保数据安全和合法的前提下，企业进行数据资产化运作的基本前提。我们也将积极推动和帮助企业探索数据资产的界定、运作、保护和评估的基本规范。

观察四  工业互联网：数据如何产业化

      2019年1月18日，工信部发布《工业互联网网络建设及推广指南》，明确提出将以构筑支撑工业全要素、全产业链、全价值链互联互通的网络基础设施为目标，着力打造工业互联网标杆网络、创新网络应用，规范发展秩序，加快培育新技术、新产品、新模式、新业态。到2020年，形成相对完善的工业互联网网络顶层设计。指南还提出到2020年，初步建成工业互联网基础设施和技术产业体系，建立工业互联网网络发展监测评估机制，加强网络资源管理和安全保障，提升安全防护能力。

      在我们看来，工业互联网是基于数据的制造业或者制造业的数据化转型，核心是利用现代传感和智能设备采集设备制造和使用全过程的数据，对数据进行智能分析，根据分析结果改进产品制造工艺和流程，提高产品质量与精准度，同时降低制造和使用过程的能耗，全面提升制造业效率，实现制造业+服务业转型。工业互联应用的本质是数据智能分析支撑的制造业转型升级，核心是数据采集、汇集、智能分析和应用，使工业数据得以产业化。因此，我们需要对工业数据进行研究，以形成有利于采集汇集分析的环境，形成有利于工业数据资源利用的新秩序。

观察五  个人信息保护法：数字经济的保障or障碍？

      通过个人信息来识别社会个体，是商业运营、公共服务、社会交往等活动得以开展的必要条件，一律要求获得个人同意才能收集、处理个人信息不仅不符合社会规范，而且极易导致将个人信息上的利益视为一项支配性的私权，妨碍数据的正当利用。因此，个人信息原则上是可以为社会所利用的资源。但是，个人信息的使用关涉个人隐私和自主利益，甚至关系人身财产安全，因此个人信息的收集和使用必须加以规范，以确保个人主体权益不受侵犯，保障个人人身和财产安全。因此，个人信息的使用必须加以规范以实现“保护个人信息权益，保障个人信息依法有序的自由流动，促进个人信息合理利用”的立法目的。但是，正在制定的《个人信息保护法》（草案）似乎正在偏离这以立法目的，仍然以个人同意作为个人信息流通利用的基础，强调个人对个人信息利用的决定或控制，而忽略了个人信息资源的社会性和公共性。在草案中，个人信息利用规则仍然没有采纳国际社会通行的多元合法性基础原则，而是将“应当取得个人的同意”作为个人信息利用的基本规则。这样的立法一定是一部“看上去很美，但没有多少实际效果”的法律，既不能对个人权利有切实保护，反而徒增社会和经济运营的成本，为发挥数据红利制造障碍。

观察六  网络化挑战政府协同治理和一致性

      2019年10月31日，5G商用大门正式开启，这为网络应用插上翅膀，网络将成为人类社会的基础设施，数据成为人类社会的基本资源，由此开启了泛在网络时代和数据驱动发展时代。技术进步不断打破传统法社会分工和行业界线，翻新社会经济运行方式，给社会治理提出了巨大挑战。2019年是电商法实施的第一年，也是APP执法检查大年。但是，我们发现凡涉及网络的执法活动，均会涉及一个共性问题，即执法的协同性问题。网络既是通信工具、新闻媒体、社交渠道，又是各行各业运行的平台，传统的商业活动均可以通过网络实现，各种社会活动均在网络汇聚和融合。而政府管理则是建立在传统的分工基础上，当分工明确的政府部门将传统的管理职责延伸到网络之后，就会发现每个政府部门均具有网络执法职权和职责，如何协同执法，减少重叠和冲突，在推进“一网通办”的同时，做到“一事一管”就是政府管理需要思考的。以APP执法检查为例，在过去几轮“网络执法”检查的基础上，去年四部门联合进行了执法检查，以减少重复执法。然而，由于APP可以应用于任何行业，因而每个部门都有监督管理权，因而教育部对教育系统的APP治理就有正当性。但问题在于四部门的执法是否也应当包含教育系统呢？还有其他部门对APP是否需要进行执法检查吗？ 

      同样的困境也存在于个人信息保护。个人信息的使用更具有渗透性，因而其监管更涉及更多部门的协同监管问题。这次在《个人信息保护法》制定中面临的一个难题就在于，是否要建立统一的“个人信息监管机构”。在网络和个人信息保护执法中已经明显地感觉到“九龙治网”的问题，但是，单就个人信息保护而言，我们是否应像欧盟成员国那样建立独立的监管机构，其可行性也不无疑问。核心的问题也许是规则和执法标准的统一，减少多重或重复执法。

    观察七  数据安全：永恒而变化的主题

      人类进入泛在网络时代，数据成为基础资源，数据安全不再是某一个单位的信息系统安全问题，而且是整个网络安全的核心问题，不仅是一个组织的安全问题，而且也是整个社会经济和国家的安全问题。于是，数据安全成为国家政治的头等大事。在《网络安全法》颁行之后，《数据安全管理办法》成为实施网络安全法的重要内容。但是，在人类进入大数据时代，什么是数据安全也成了一个难以回答的问题。用传统 “完整性、保密性、可用性” 来定义数据安全，以信息系统安全思路来解决泛网络环境下的数据安全，似乎难以胜任。实际上，在泛网络时代，数据安全已经演变为数据治理，演变为数据利用秩序的安全，而这显然不是传统的数据安全措施所能够涵盖的。因此，《数据安全管理办法》草案实际上仍然是在传统数据安全思路下的“小数据安全法”。问题不仅如此，该办法还花了大量篇幅规范个人数据，甚至是以个人信息安全来构建其框架。如此一来，我们即将出台的《个人信息保护法》又将置于何处呢？有些行业专家就曾公开表示，将《数据安全管理办法》更名为《个人数据安全管理办法》更为妥帖。安全被视为数据经济的生命，可谓永恒的主题，但是安全的内涵和外延都在不断变化之中，我们制度规则和应对措施恐怕也要随之而变。

观察八    不断扩张的人脸识别应用：拷问其边界和规则

      在《促进新一代人工智能产业发展三年行动计划（2018－2020年）》中，国家提出“到2020年，复杂动态场景下人脸识别有效检出率超过97%，正确识别率超过90%，支持不同地域人脸特征识别”。从中可以看出国家对人脸识别技术的支持态度。随着人脸识别技术的大规模应用，有关“脸”的话题成为焦点。劳东燕教授在《人脸识别技术运用中的法律隐忧》一文中建议全国人大常委会对于北京地铁运用人脸识别进行分类安检的举措进行合法性审查，引发了广泛争论。人脸识别作为一项身份识别或验证技术，一直被用于犯罪安全侦破、追寻失踪儿童等领域，只是因为技术的进步，才逐渐地渗入到日常生活，如刷脸进门、刷脸安检、扫脸支付等。在带来诸多便利的同时，对人脸识别技术的担忧也随之而来，越来越多的人担心“刷脸”会让自己“丢脸”。

      人脸识别技术作为人工智能时代的一项重要技术，若被滥用或不当的使用，会对个人信息造成极大的侵害。因此，应当区分不同场景对人脸识别应用进行的不同限制，使人脸识别技术滥用行为得到规制。技术本身应当是中立的，绝对禁止使用人脸识别技术无疑是因噎废食。我们真正需要禁止的是因验证身份而采集的人脸信息被重复利用或被用于其他目的，我们更要扼制和打击利用人脸信息伪造身份并实施违法犯罪行为.

责任编辑：郑通