黃道麗，胡文華

（公安部第三研究所，上海 201204）

0 引 言

2020 年10 月21 日，《個人信息保護法（草案）》（以下簡稱草案）在中國人大網(wǎng)正式向社會公布并征求意見。繼個人信息保護相關(guān)規(guī)定散布于《全國人民代表大會常務(wù)委員會關(guān)于加強網(wǎng)絡(luò)信息保護的決定》《中華人民共和國刑法》《消費者權(quán)益保護法》《網(wǎng)絡(luò)安全法》《民法典》等法律法規(guī)之后，我國即將邁入個人信息保護專門立法、統(tǒng)一規(guī)范的新時代。在全球數(shù)字經(jīng)濟迅猛發(fā)展，國際社會圍繞數(shù)據(jù)控制力與主導權(quán)的博弈日趨激烈，國內(nèi)加快培育數(shù)據(jù)要素市場的背景下，草案是具有中國特色個人信息保護思路的集中體現(xiàn)。草案對個人信息的處理規(guī)則、個人權(quán)利和處理者義務(wù)、跨境流動、監(jiān)督管理、侵權(quán)救濟、法律責任等作出了明確規(guī)定，為數(shù)字時代的個人信息權(quán)益保護、個人信息有序、自由流動確立了基本框架。

1 《個人信息保護法（草案）》的中國特色

近年來，在國外歐盟《通用數(shù)據(jù)保護條例》（General Data Protection Regulation，GDPR） 掀起的全球個人信息保護立法浪潮盛行，國內(nèi)個人信息非法采集、濫用、泄露等形勢嚴峻的背景下，我國不斷強化對個人信息保護的監(jiān)管與執(zhí)法力度，并進行制度探索。

一方面，國家相關(guān)立法快速推進，《網(wǎng)絡(luò)安全法》《民法典》相繼出臺，在基本法層面構(gòu)建了個人信息保護的行政和民事基本規(guī)范。另一方面，部門規(guī)范、地方規(guī)范、標準規(guī)范等自下而上的制度探索全面展開。國家互聯(lián)網(wǎng)信息辦公室相繼發(fā)布《數(shù)據(jù)安全管理辦法（征求意見稿）》《個人信息出境安全評估辦法（征求意見稿）》。地方層面圍繞數(shù)據(jù)跨境、數(shù)據(jù)安全保障、數(shù)據(jù)開放、數(shù)據(jù)權(quán)等問題積極先試先行，典型如《天津市數(shù)據(jù)安全管理辦法（暫行）》《貴州省大數(shù)據(jù)安全保障條例》《深圳經(jīng)濟特區(qū)數(shù)據(jù)條例（征求意見稿）》《中國（上海）自由貿(mào)易試驗區(qū)臨港新片區(qū)總體方案的通知》《海南自由貿(mào)易港建設(shè)總體方案》等[1]。標準規(guī)范層面，國家標準《信息安全技術(shù) 個人信息安全規(guī)范》出臺并實施，充分發(fā)揮標準與行業(yè)的良性互動作用。

在個人信息保護執(zhí)法層面，圍繞個人信息非法采集和濫用、數(shù)據(jù)三性破壞等活動的數(shù)據(jù)安全專項治理行動空前有力。App 違法違規(guī)收集使用個人信息專項治理行動全面展開，公安部、市場監(jiān)管總局、工信部、網(wǎng)信辦等部門充分發(fā)揮監(jiān)管、主管職責開展個人信息保護專項行動。為保持對侵犯公民個人信息違法犯罪的高壓嚴打態(tài)勢，形成源頭治理、綜合治理、系統(tǒng)治理的工作格局，2020 年4 月，經(jīng)中央領(lǐng)導批準，公安部與中央網(wǎng)信辦牽頭，建立打擊危害公民個人信息和數(shù)據(jù)安全違法犯罪長效機制。

正是在這樣的背景下，我國《個人信息保護法（草案）》出臺。從現(xiàn)有規(guī)定來看，草案吸收了近年來個人信息保護的國際經(jīng)驗以及國內(nèi)前期《網(wǎng)絡(luò)安全法》《民法典》等立法、標準和實踐經(jīng)驗，使得草案既與國際接軌，又不乏中國特色。尤其是與歐盟GDPR 相比，草案在個人信息處理的合法性基礎(chǔ)、信息主體權(quán)利、個人信息處理者義務(wù)的規(guī)范方面引入了歐盟GDPR 的理念和相關(guān)規(guī)定，但同時也具有鮮明的中國特色：

第一，以“個人信息處理者為中心”的監(jiān)管思路。GDPR 從概念上對數(shù)據(jù)控制者和數(shù)據(jù)處理者進行區(qū)分，并分別對其設(shè)置了個人信息保護義務(wù)。草案中的委托方、受托方基本對應于GDPR 中界定的數(shù)據(jù)控制者和數(shù)據(jù)處理者概念。但與GDPR 對數(shù)據(jù)處理者同樣設(shè)置個人信息保護義務(wù)的規(guī)定不同，草案將個人信息保護義務(wù)集中于“個人信息處理者”，明確個人信息處理者應當對其個人信息處理活動負責, 并采取必要措施保障所處理的個人信息的安全（第9 條）。草案還設(shè)專章規(guī)定個人信息處理者義務(wù)（第5章）。根據(jù)草案第69 條的規(guī)定，“個人信息處理者”是指自主決定處理目的、處理方式等個人信息處理事項的組織、個人。根據(jù)這一界定，不能自主決定處理目的、處理方式的受托者并不屬于“個人信息處理者”。從這一立法思路來看，所有的監(jiān)管均圍繞“個人信息處理者”為中心展開。

第二，數(shù)據(jù)本地存儲和跨境提供問題?？缇硵?shù)據(jù)流動已經(jīng)成為時代發(fā)展的必然要求。但與此同時，其所帶來的隱私保護問題、數(shù)據(jù)主權(quán)問題、國家安全問題使得各國在此問題上存在諸多分歧，不同主權(quán)國家法治傳統(tǒng)與制度環(huán)境的差異導致跨境數(shù)據(jù)流動的規(guī)制沖突日益嚴重。據(jù)美國信息技術(shù)創(chuàng)新基金2017 年4 月統(tǒng)計，除信息化水平較低的非洲外，絕大多數(shù)國家均已實施了不同程度的數(shù)據(jù)本地化政策[2]。數(shù)據(jù)本地存儲和跨境提供是《網(wǎng)絡(luò)安全法》諸多制度設(shè)計中一直難以落地的關(guān)鍵問題之一。草案細化了個人信息本地化和跨境傳輸?shù)囊螅壳耙?guī)定的部分內(nèi)容突破了《網(wǎng)絡(luò)安全法》第37 條規(guī)定，本地存儲的義務(wù)主體既包括國家機關(guān)、關(guān)鍵信息基礎(chǔ)設(shè)施運營者，還包括處理個人信息達到規(guī)定數(shù)量的個人信息處理者。

2 制度定位：保障個體權(quán)益兼顧數(shù)據(jù)要素市場培育

個人數(shù)據(jù)作為大數(shù)據(jù)的重要基礎(chǔ)資源，具有重大的商業(yè)價值和社會價值。在個人信息保護立法過程中，“不同于傳統(tǒng)隱私權(quán)從個體出發(fā)為個體提供單一向度的權(quán)利保護，個人信息需要從保護和利用兩個角度兼得的視角加以考量”[3]。其是在中央將數(shù)據(jù)與土地、資本、勞動力、技術(shù)并列為五大生產(chǎn)要素的背景下，個人信息保護立法應當在關(guān)注個人信息人格屬性保障的同時，兼顧其經(jīng)濟價值和社會價值的釋放，為數(shù)據(jù)要素市場化建設(shè)提供制度支撐。從全球范圍來看，無論是歐盟的GDPR 還是美國《加州消費者隱私法》（California Consumer Privacy Act，CCPA）的規(guī)則設(shè)計，其在考慮對信息主體進行保護的同時，也將數(shù)字經(jīng)濟發(fā)展作為重要考量因素之一。這要求立法的制度建設(shè)需從增強用戶（信息主體）信任和企業(yè)激勵機制兩個維度著手。

從草案目前版本來看，立法者已經(jīng)注意到了這一點，并在部分制度建設(shè)中有意平衡個體權(quán)利保護和企業(yè)責任承擔之間的關(guān)系。例如草案在“知情—同意”之外增加了“為訂立或者履行個人作為一方當事人的合同所必需”等其他四項個人信息處理的合法性基礎(chǔ)。在數(shù)據(jù)泄露通知方面，規(guī)定個人信息處理者采取措施能夠有效避免信息泄露造成損害的，可以不通知個人，這大大降低了企業(yè)的通知成本。但草案仍存在以下問題亟待解決：

第一，部分場景仍堅持“同意為王”的治理模式。個人信息保護制度中的“知情—同意”框架偏向于通過信息主體自治以保護個人信息，這一路徑選擇對信息的合理流通和利用構(gòu)成了嚴苛的限制，實踐中也存在形式化問題[4]。此外，過于嚴苛的“同意”規(guī)則會造成數(shù)據(jù)企業(yè)經(jīng)營成本的增加，制約數(shù)據(jù)經(jīng)濟的發(fā)展。在此背景下，各國紛紛開始重新審視同意規(guī)則在個人數(shù)據(jù)保護中的實際效用，探索新時代語境下同意規(guī)則的合理性及適用問題[5]。從當前國際通行做法來看，增強信息主體對個人信息的控制力、重視對信息處理者的過程規(guī)制、強化事后問責都是可行路徑。草案也在很大程度上秉承了這一監(jiān)管理念。值得肯定的是，草案在個人信息處理的合法性基礎(chǔ)方面，除了規(guī)定同意之外還增加了其他合法事由，這在一定程度上可緩解當前真正的同意難以實現(xiàn)，反而可能為個人信息處理者提供免責事由損害信息主體利益的情況。但需要指出的是，草案在諸多場景下，仍然實質(zhì)上堅持用戶“同意為王”的治理模式。例如個人信息處理者因合并、分立場景下，接收方變更原先的處理目的、處理方式的（草案第23 條）、接收個人信息的第三方變更原先的處理目的、處理方式的（草案第24 條）、個人信息的公開（草案第26 條）等。

第二，缺乏對個人信息處理者“合法利益”的保障。在數(shù)據(jù)要素化背景下，在不侵犯信息主體基本權(quán)利及自由的前提下，立法上承認個人信息處理者對其處理的個人信息享有合法利益，對于激勵企業(yè)挖掘數(shù)據(jù)潛能具有重要意義，也是《個人信息保護法（草案）》在保障個體權(quán)益的同時，為數(shù)據(jù)要素市場化建設(shè)提供的重要制度支撐。在個人信息處理者對個人信息處理投入大量的人力、物力、財力的現(xiàn)實情況下，信息處理者對此類衍生數(shù)據(jù)享有一定的合法利益具有立法上的正當性。這一點在國際立法上也有例可考，如歐盟GDPR 將“數(shù)據(jù)控制者或第三方為追求合法利益目的而進行的必要數(shù)據(jù)處理”作為數(shù)據(jù)處理的合法基礎(chǔ)之一。

第三，未區(qū)分“去標識化”個人信息與一般個人信息處理規(guī)則。當前“匿名化”“去標識化”在數(shù)據(jù)處理中廣泛應用。草案對“匿名化”“去標識化”作出了明確界定，并規(guī)定匿名化的信息不再屬于個人信息。但對于“去標識化”的法律效果并沒有作出與一般個人信息處理規(guī)則不一樣的規(guī)定。在實踐中，“匿名化”往往難以實現(xiàn)，使得去標識化作為一種安全技術(shù)應用得更為廣泛?！叭俗R化”個人信息在不借助額外信息的情況下無法識別特定自然人的特點決定了其與一般個人信息存在較大差別。立法對其處理規(guī)則未做特殊規(guī)定，忽視了二者之間的差異，一方面可能會導致個人信息保護效果適得其反，如已去標識的個人信息要求獲得信息主體的同意意味著再次對信息主體進行識別。另一方面也難以對企業(yè)進行去標識化處理形成激勵效應。

3 體系定位：做好規(guī)范體系協(xié)調(diào)

我國個人信息法律保護近年來發(fā)展迅速，早期個人信息保護領(lǐng)域《中華人民共和國刑法》先行，而民事、行政立法薄弱的問題得以緩解，尤其是隨著《網(wǎng)絡(luò)安全法》《民法典》的出臺，個人信息保護的民事、行政立法逐漸充實。在學術(shù)界，由于個人信息的特殊性質(zhì)，個人信息保護近年來成為不同法律部門與理論研究的熱點，也產(chǎn)生很多爭議，包括個人信息保護的本質(zhì)究竟是權(quán)利還是權(quán)益，個人信息的權(quán)益屬性究竟是人格權(quán)還是財產(chǎn)權(quán)，《民法典》人格權(quán)編與個人信息保護法的關(guān)系，個人信息民法保護、行政法保護與刑法保護之間的關(guān)系等[6]。個人信息保護法即將出臺，該法如何與《民法典》《網(wǎng)絡(luò)安全法》《中華人民共和國刑法》以及未來即將出臺的《數(shù)據(jù)安全法》等立法進行有效銜接與協(xié)調(diào)，都是當前亟待解決的問題。

3.1 與《民法典》的協(xié)調(diào)

作為民事領(lǐng)域的基礎(chǔ)性法律，《民法典》將個人信息保護問題納入“人格權(quán)編”，并對個人信息處理規(guī)則、合理使用、責任承擔等作出明確規(guī)定，為個人信息作為“人格利益”予以保護以及保護機制提供重要依據(jù)。作為一部以保護“個人信息權(quán)益”為重要目標的立法，如何與《民法典》進行規(guī)范性協(xié)調(diào)是個人信息保護法面臨的一個核心問題。

草案諸多條款以《民法典》的規(guī)則為基礎(chǔ)，例如個人信息共同處理者的連帶責任就是以民事共同侵權(quán)理論為基礎(chǔ)；個人信息處理委托方與受托方、轉(zhuǎn)委托規(guī)則也以民事委托合同規(guī)則為基礎(chǔ)；侵犯個人信息權(quán)益的賠償標準是因人身權(quán)益受侵害遭受財產(chǎn)損失的賠償標準，等等。與《數(shù)據(jù)安全法》《網(wǎng)絡(luò)安全法》更加側(cè)重國家安全與公共安全不同，草案更加側(cè)重對個體個人信息權(quán)益的保障。例如草案確立的以個人“知情—同意”為核心的數(shù)據(jù)處理規(guī)則。專章規(guī)定的個人權(quán)利，對應的個人信息處理義務(wù)章節(jié)也是以保護個人信息權(quán)益為導向。草案還采用了《民法典》“個人信息處理”的概念，遵循了《民法典》確定的信息處理者管理思路。從這一角度看，可以說，草案是以《民法典》所確立的個人信息民事權(quán)益為基礎(chǔ)，從國家監(jiān)管角度，用公權(quán)力細化、落實個人信息民事合法權(quán)益的保障法。基于此，草案的許多規(guī)定還需要與《民法典》相協(xié)調(diào)。例如目前草案第15 條規(guī)定的“以14 歲為界”需要與《民法典》第1035 條進一步協(xié)調(diào)。同時，“敏感信息”處理規(guī)則如何與《民法典》中的“私密信息”規(guī)定進行協(xié)調(diào)也是需要考慮的問題。此外，公開個人信息的處理規(guī)則也需要注意與《民法典》相關(guān)規(guī)定的有效銜接。

3.2 與《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》等的協(xié)調(diào)

作為網(wǎng)絡(luò)安全領(lǐng)域的綜合性立法，2017 年《網(wǎng)絡(luò)安全法》將數(shù)據(jù)安全納入網(wǎng)絡(luò)安全范疇，基于網(wǎng)絡(luò)安全保障目的，為個人信息保護與數(shù)據(jù)安全的部分重要、核心制度奠定了基礎(chǔ)?！毒W(wǎng)絡(luò)安全法》施行已經(jīng)三年有余，國際國內(nèi)形勢變化、新技術(shù)新應用發(fā)展都對數(shù)據(jù)安全和個人信息保護問題提出了非常迫切的法律要求。從國家頂層設(shè)計來看，《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》，以及正在制定的個人信息保護法將是支撐國家網(wǎng)絡(luò)安全保障工作的重要支柱。

當前，草案部分規(guī)定與《網(wǎng)絡(luò)安全法》存在需要協(xié)調(diào)之處。例如草案第62 條違反處理個人信息規(guī)則的行政處罰規(guī)定與《網(wǎng)絡(luò)安全法》第64 條網(wǎng)絡(luò)運營者和網(wǎng)絡(luò)產(chǎn)品服務(wù)提供者違反個人信息處理規(guī)定設(shè)定的行政處罰在處罰條件、罰款最高額度方面的規(guī)定皆不相同，二者發(fā)生競合時如何適用？草案確立的數(shù)據(jù)本地化與跨境流動規(guī)則與《網(wǎng)絡(luò)安全法》第37條規(guī)定的不一致，未來將如何協(xié)調(diào)？草案第40 條將關(guān)鍵信息基礎(chǔ)設(shè)施運營者與處理個人信息達到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者并列，未來在關(guān)鍵信息基礎(chǔ)設(shè)施的認定中，系統(tǒng)中的“個人信息”數(shù)量是否將成為認定關(guān)鍵信息基礎(chǔ)設(shè)施的考量因素以及如何適用這一標準則需要與本條銜接協(xié)調(diào)。此外，還需做好個人信息安全評估、認證與其他網(wǎng)絡(luò)安全檢測、認證、評估之間的內(nèi)容銜接，盡可能避免重復檢測、認證和評估。

除個人權(quán)益保障之外，草案也注意到了個人信息處理對公共安全、國家安全乃至國際競爭的影響。如草案第10 條禁止性規(guī)定，納入了國家安全和公共安全的考量因素，第41 條關(guān)于國際執(zhí)法協(xié)助規(guī)定，第42 條規(guī)定個人信息提供負面清單制度；基于公共安全和國家安全的考量，可以實施第43 條對等原則。上述規(guī)定與《數(shù)據(jù)安全法（草案）》在規(guī)制思路上存在相似之處但也有所差異。與《數(shù)據(jù)安全法（草案）》第33 條國際執(zhí)法協(xié)助的規(guī)定相比，草案還增加了行政執(zhí)法協(xié)助的規(guī)定，這些差異都需要在兩部立法的制定過程中予以協(xié)調(diào)。

3.3 與《中華人民共和國刑法》的協(xié)調(diào)

大數(shù)據(jù)時代的到來，使得對個人數(shù)據(jù)的法律保護面臨重大的沖擊。無論是作為整體的法律體系還是作為部門法的刑法，都莫不如此[7]。因此，無論是正在制定中的個人信息保護法還是已實施許久的刑法，在相應的規(guī)則制定或落實中都應當著眼于整個法律體系走向，置于整個立法體系的視野之中予以考慮。《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（以下簡稱兩高解釋）將“未經(jīng)被收集者同意，將合法收集的公民個人信息向他人提供的”認定為“違反國家有關(guān)規(guī)定，提供公民個人信息”的行為。隨著草案在同意之外增加了其他幾項合法處理的事由，上述提供行為是否必然屬于非法提供還需根據(jù)具體情況來進行判定。雖然草案第24條對個人信息處理者向第三方提供行為仍然堅持同意規(guī)則，并要求單獨同意。但該條本身與第13 條合法性基礎(chǔ)的規(guī)定存在邏輯上不能自洽的問題。此外，兩高解釋對行蹤軌跡信息、通信內(nèi)容、征信信息與財產(chǎn)信息這四類信息的定罪情節(jié)作出了不同于一般個人信息的從嚴要求，但沒有對生物數(shù)據(jù)等更為敏感的個人信息給予更高程度的刑法保護。這一點如何與草案規(guī)定的包括“種族、民族、宗教信仰、個人生物特征”等在內(nèi)的敏感個人信息保護規(guī)則進行協(xié)調(diào)也需要通盤考慮。

4 完善思考

4.1 明確監(jiān)管部門權(quán)責分工，避免多頭監(jiān)管

草案第56 條明確國家網(wǎng)信部門負責個人信息保護工作的統(tǒng)籌協(xié)調(diào)，同時規(guī)定，國家網(wǎng)信部門和國務(wù)院有關(guān)部門在各自職責范圍內(nèi)負責個人信息保護和監(jiān)督管理工作。其規(guī)定未能解決網(wǎng)絡(luò)安全保護、數(shù)據(jù)安全治理領(lǐng)域長期存在的監(jiān)管體制機制問題，建議進一步明確各監(jiān)管部門之間的權(quán)責分工和界限，避免立法施行后因權(quán)力范圍重疊出現(xiàn)管理和執(zhí)法尺度不一，影響個人信息保護監(jiān)管執(zhí)法的實際效能。

4.2 細化罰款標準，避免執(zhí)法主體自由裁量幅度過大

草案第62 條規(guī)定了個人信息違法處理的法律責任，其處罰規(guī)則借鑒了歐盟GDPR 的監(jiān)管思路。為懲治個人信息違法處理亂象，加強法律懲治力度，增加違法成本的做法值得肯定。但現(xiàn)有規(guī)定在最高額五千萬元以下或者上一年度營業(yè)額百分之五以下罰款的幅度內(nèi)，未能確立相對明確、細化的罰款等級標準，給予監(jiān)管部門自由裁量空間過大，可能會帶來執(zhí)法上的諸多問題。

4.3 敏感個人信息的界定應當納入動態(tài)評估因素

將“敏感個人信息”予以特殊保護是當前國際通行做法，如何設(shè)計敏感個人信息的處理規(guī)則以平衡個人信息保護與利用的關(guān)系是立法亟須解決的問題。草案第二章第二節(jié)專門規(guī)定“敏感個人信息的處理規(guī)則”，第29 條界定了敏感個人信息的內(nèi)涵與外延。事實上，個人敏感信息的判定基于風險評估，在不同的場景、不同的行業(yè)、不同的適用條件下很難統(tǒng)一作立法上的區(qū)分。正如西米蒂斯（Simitis）教授所言：“所有數(shù)據(jù)信息的評估都必須建立在充分考慮其使用背景的基礎(chǔ)上。數(shù)據(jù)控制者的特定利益、數(shù)據(jù)的潛在接受者、收集數(shù)據(jù)的目的、收集數(shù)據(jù)的條件以及可能對數(shù)據(jù)主體產(chǎn)生的影響等整個數(shù)據(jù)處理過程中的因素要綜合起來進行考察，以此確定相關(guān)信息的敏感程度。”[8]因此，敏感個人信息的界定應當是一個動態(tài)評估的過程，建議采用“列舉+動態(tài)評估”規(guī)則。此外，個人敏感信息的界定與適用還需考慮與《民法典》《網(wǎng)絡(luò)安全法》《中華人民共和國刑法》及其司法解釋中的相關(guān)概念之間的協(xié)調(diào)，實現(xiàn)民法、行政法與刑法在個人信息保護上的一體化銜接。

4.4 自動化決策重大影響判定宜采用客觀標準

草案第25 條明確了利用個人信息進行自動化決策的要求，強調(diào)自動化決策的透明度和處理結(jié)果的公平合理，并規(guī)定了個人的救濟途徑。當前，自動化決策技術(shù)廣泛應用于商業(yè)經(jīng)營及社會治理中具有巨大的經(jīng)濟價值和社會價值。與此同時也對人的主體性、公平性等帶來挑戰(zhàn)。鑒于自動化決策中也會涉及個人信息的利用，立法確需在自動化決策應用中平衡個體權(quán)益、商業(yè)利益和社會公共利益。基于此，草案第25條自動化決策是否會“對個人權(quán)益造成重大影響”的判定宜采用客觀標準，而不宜采用當前條款中類似“個人認為”的主觀標準。

5 結(jié) 論

自2012 年全國人大常委會通過《關(guān)于加強網(wǎng)絡(luò)信息保護的決定》以來，我國無論數(shù)據(jù)產(chǎn)業(yè)還是數(shù)據(jù)規(guī)范都取得了突飛猛進的發(fā)展。此次發(fā)布的《個人信息保護法（草案）》也在一定程度上體現(xiàn)了對近年來立法、執(zhí)法等經(jīng)驗的總結(jié)，回應了產(chǎn)業(yè)發(fā)展的現(xiàn)實需求。但仍可以注意到，目前的版本在數(shù)據(jù)處理合法性基礎(chǔ)、監(jiān)管機制設(shè)置、敏感數(shù)據(jù)保護等制度構(gòu)建上有待進一步完善。在中央將數(shù)據(jù)作為生產(chǎn)要素的背景下，個人信息保護立法應在關(guān)注個人信息人格屬性保障的同時，兼顧其經(jīng)濟價值和社會價值的釋放，為數(shù)據(jù)要素市場化建設(shè)提供制度支撐。在當前已出臺《網(wǎng)絡(luò)安全法》《民法典》，未來還將出臺《數(shù)據(jù)安全法》的背景下，個人信息保護立法應做好不同立法間的規(guī)范協(xié)調(diào)，推動構(gòu)建個人信息保護刑事、行政、民事全方位法律保護體系。