个人信息保护法，里程碑亦是新起点 - 传媒教育网

据悉，明年全国人大将制定个人信息保护法、数据安全法，作为四年前开始关注个人信息安全及相关深层问题，并积极参与其间的一个社会组织，玛娜数据基金会自然非常乐见这一里程碑式进步，我们相信，这亦将是各界充分讨论、博弈，迎接数据社会的新起点……

12月20日，全国人大常委会法工委举行第三次记者会，现任全国人大常委会法制工作委员会立法规划室主任、全国人大常委会法制工作委员会新闻发言人岳仲明在会上报告了我国明年的立法工作计划，其中个人信息保护法、数据安全法等在计划修订立法之列。这意味着我国将有一部专门的“个人信息保护法”。

一是成为个人信息保护的基本法。在现行多个法律法规的基础上，主要针对个人信息权利领域的问题做出统一规范，使之成为各领域个人信息保护共同遵守的基本规范。

二是体现发展和时代性特征。个人信息保护立法主要回应信息社会产生的新问题和大数据技术的新发展。为之，在借鉴国际立法的基础上，专门设立了“信息可携权”和“被遗忘权”等新兴的权利形式。

三是坚持“统一立法、分类保护”的思路。在统一立法基础上，结合我国当前个人信息保护体制现状，建立统一个人信息保护法，并由各中央和地方各部门根据各自职责和权限，对不同的行业和领域分类管理，分别实施保护。

四是坚持严格保护和依法利用相结合。首先，个人信息应严格保护，非经信息主体知情同意不得收集、处理和利用。其次，在个人信息的利用方面，应当赋予信息主体决定权、选择权、拒绝权和被遗忘权，个人信息应可追溯、可异议、可纠错，并对滥用个人信息行为，应有强有力的法律约束和监管惩戒。

事实上，我国对个人信息安全保护法的探索早已开始。2016年11月7日，全国人大常委会颁布《中华人民共和国网络安全法》，首次定义了从立法层面对个人信息进行了定义和不完全列举：个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。我国对个人信息安全的规定也散见于《民法》、《刑法》、《消费者权益保护法》、《征信业管理条例》等法律条文中。

2017年12月29日，全国信息安全标准化技术委员会发布了《信息安全技术个人信息安全规范》，并于2018年5月1日正式实施。该规范类属于推荐性标准，不强制执行，也不属于法律体系，是对个人信息安全立法的一次重要尝试。标准中按照信息的敏感程度划分了个人信息和个人敏感信息，分别规定了不同的收集、保存、使用以及处理等流转环节的方法和原则，并要求个人信息控制者收集个人信息后，个人信息控制者宜立即进行去标识化处理，并采取技术和管理方面的措施，将去标识化后的信息与可用于恢复识别个人的信息分开存储。

2019年1月30日，全国信息安全标准化技术委员会对《信息安全技术个人信息安全规范》进行了修订，并向社会各界发起意见征询，新草案的主要变化是增加“个性化展示及推出”和“第三方接入管理”两大内容，进一步保障了个人信息主体对个人信息使用的主动权。

近几十年以来，关于个人信息保护的立法已经成为全球最令人瞩目的立法动态，欧盟甚至提出“没有个人信息保护，就没有国际贸易”的口号。2018年欧盟GDPR正式实施，被称为数据保护元年。2019年1月21日，谷歌被曝因违反GDPR被法国国家数据保护委员会处以5000万欧元的罚款。这并不是GDPR开出的第一张罚单，早在欧盟刚刚发布GDPR时就宣布，只有3%的企业符合该条例，Facebook、谷歌、苹果等巨头都被纳入重点监管的名单。

美国早在1974年就制定了《隐私法》，后续有关个人信息安全的法律规范都是在这一法律前提下进行立法。2015年10月，美国联邦通过《网络安全信息共享法》进一步规定了个人隐私、自由等私权利的保护。在联邦法的基础上，各州也推出了自己的信息安全保护政策。其中，加州于2018年7月通过的《2018加州消费者隐私法案》借鉴了多条GDPR的核心内容，被称为美国迄今“最严厉、最全面”的个人数据隐私保护法案。这法案2020年1月1日才会正式实施。

世界各国都在加快探索个人数据使用边界的进程：在GDPR的基础上，欧洲各国纷纷开始完善个人信息保护法，如2019年3月14日，荷兰发布GDPR惩罚细则，对罚款金额进行了具体分类；美国如德州、加州等发出了加强个人信息保护立法的声音，苹果CEO库克亦提议制定联邦法，向欧盟GDPR靠拢；澳大利亚近年来一直致力于修改联邦法案，增加对个人信息隐私权保护；2018年7月，印度政府关于《个人数据保护法案》草案的研究开始。

在数据合规方面，各国企业在立法监管趋严的背景下面临了较大压力。英国航空公司因违反《通用数据保护条例（GDPR）》罚款1.83亿英镑；万豪酒店因未能充分保护客户数据而面临着1.24亿美元罚款；谷歌将支付1.5亿美元至2亿美元，以解决美国联邦贸易委员会（FTC）对其视频网站YouTube上儿童信息处理方式的起诉；美国联邦贸易委员会（FTC）与Facebook的和解协议，同意以罚款50亿美元和其他附加限制条款结束对这家社交媒体巨头的长期隐私调查，更是惊动了全球。

在国内，对用户个人信息的过度使用，乃至各种灰色黑色地带，似乎成为发展常态。用户无可奈何，只能被迫接受。然而，这种“野蛮生长”局面或将改变。今年1月25日，中央网信办、工业和信息化部、公安部、市场监管总局决定自2019年1月至12月，在全国范围组织开展App违法违规收集使用个人信息专项治理。

9月15日，国家计算机病毒应急处理中心发布《移动App违法违规问题及治理举措》指出，App和SDK(软件开发工具包)存在六大类问题，并对涉嫌侵犯用户个人信息安全的金山词霸、墨迹天气等企业予以点名。

2019年11月以来，全国公安机关网安部门集中查处整改了100款违法违规采集使用个人信息的App及其运营互联网企业，不乏考拉海购、微店、更美、天津银行、房天下等知名产品和产品。据悉，公安部今年内已依法查处违法违规采集个人信息的App共683款。此外，2019年8月31日，大数据金融风控公司新颜科技CEO黄向前被警方带走调查；9月6日，提供精准营销、风险分析、反欺诈、多维度用户画像、授信评分等多维度风险管理服务的魔蝎科技CEO周江翔被警方带走；9月9日，金融大数据公司上海诚数信息科技有限公司开始协助警方办理案件；9月11日，公信宝主体运营公司杭州存信数据科技有限公司被查；9月12日，天翼征信的总经理、副总经理以及市场人员被警察带走。“连国企都开始被调查了”……一时间国内外密集的、重大的案件，使得个人信息这个话题触动了所有人的神经。

某种程度上说，对个人信息安全的认知，数据权益的保护，已然关乎信息社会的经济活动能否继续高效开展，事实上，这也是2016年玛娜数据科技发展基金会（以下简称玛娜数据基金会）成立最重要的一个出发点。而再进一层，对个人数据权益的界定，特别是所有权、收益权、处置权、使用权等权利的明确，更意味着对个人价值的全新认识、物权制度的创新、商业生态的再造，国内外政府、企业、社会组织在立法和商业上的尝试，以及区块链等新技术的出现，正在勾勒和描绘出一幅数据新世界的图景。

玛娜数据基金会将自身使命定义为“让数据科技服务于人的福祉和自由”，我们期待：从哲学层面形成符合大数据时代的伦理精神和准则；从法律层面对个人数据权属做出明确界定；从商业层面开辟数据流通的合理路径；从实务层面帮助商业实体、社会机构发现和管理数据全生命周期中的合规风险。我们希望，通过这种综合框架的构建和推进、倡导，能让社会各界围绕个人数据权益形成更广泛的讨论和共识，在互联网、大数据与人工智能产业繁荣的同时，人的价值同样得以保护和彰显！

玛娜数据基金会联合湖南师范大学李伦教授团队，参与国家社科重大项目“大数据环境下信息价值开发的伦理约束机制研究”，并提出“基于权利的数据伦理”。基于权利的数据伦理是对数据主义的反对，提倡以人的权利为本，以人的自由为中心，尊重用户的数据权和隐私权，主张算法应具有透明性和有规范的数据共享，重建人在大数据时代的主体地位，建构人与技术、人与数据的自由关系，维护人类自由，增进人类福祉。

玛娜数据基金会联合上海交通大学彭诚信教授团队，参与国家社科重大项目“大数据时代个人数据保护与数据权利体系研究”。项目研究如何建构个人数据的权利结构和利益配置路径，并探索人工智能的法律调整。在法律上为数据、个人信息以及隐私界定明确的范围，在保障个人权利和尊严的同时，促进互联网经济的发展，完善国家现有的法律体系。同时，从人类的根本属性角度出发，探索人工智能的主体性以及善恶意志的把握。

玛娜数据基金会在中航信托的支持下，针对数据交易的商业模式相关问题展开研究，期望能够在解放个人数据价值的基础上，创新商业模式，促进全社会数据开放与共享机制的形成，为再造一个全新的基于数据文明的商业生态提供理论基础。

玛娜数据基金会联合湖南师范大学文贤庆副教授团队及星瀚律师事务所，围绕商业机构使用个人数据的合规风险展开探索。玛娜数据基金会认为，合规风险不仅包含传统意义上的法律合规风险，更包含了道德合规风险，因为有关风险的评估在本质关联人们和社会的价值选择，是一种道德评价行为；我们对风险的认识是基于共同体所具有的社会价值观。所以，商业机构在运用个人数据时，不仅要在现有的法律框架下开展商业活动，更要在个人数据商业应用及技术创新中符合社会价值观和道德观。

在理论研究的基础上，玛娜数据基金会也在积极进行社会倡导和实践。2018年8月，玛娜数据基金会响应十九大报告“推动互联网、大数据、人工智能和实体经济深度融合”的号召，在北京主办“个人数据权益保护及应用的创新探索论坛”，汇聚哲学伦理学界、法学界、商业、技术和公益领域等各界人士，齐聚一堂，以开放、兼容的心态，实现不同领域视角和方式的充分碰撞，共同探索个人数据权益保护及应用的创新模式，一是关于个人数据权益保护的理论创新，二是以区块链技术为代表的技术创新，为个人数据权益这一课题提供更具前瞻性、建设性的思考。

2018年12月，玛娜数据基金会联合主办的第五届全国赛博伦理学暨数据伦理学研讨会在海口举行，来自全国各地高校、科研院所、社会组织和企业近200位专家学者集聚一堂，就“智能时代的数据伦理与算法伦理及其法律规制”主题，展开热烈的交流与讨论，为个人数据权益保护打下坚实的理论基础。

2018年12月，玛娜数据基金会研究员胡晓萌出席上海市《上海市公共数据开放管理办法》立法专家座谈会，以公益组织的使命和身份，为上海市公共数据开放建言建策。

2019年4月14日，玛娜数据基金会联合中航信托股份有限公司、上海交通大学法学院合规研究中心、湖南科技大学、数文明科技、上海星瀚律师事务所、数据法盟DataLaw等多家机构共同主办的“数据商业创新论坛暨数据商业研究成果发布会”顺利召开。此次会议齐聚了60余名来自上海交通大学、大连理工大学、华东政法大学、IBM、中国东方航空、竞天公诚律师事务所、Omaha联盟、支付宝等知名机构的专家学者。会议聚集了来自哲学、伦理学、法律、科技政策、技术、商业等领域的专业人士，围绕着数据合规与商业创新、数据流通与商业创新两大主题展开了一系列极具深度的讨论。

2019年6月29日，上玛娜数据基金会联合大连理工大学大数据与人工智能伦理法律与社会研究中心主办 “大数据伦理研讨会”，此次会议齐聚了50余名来自玛娜数据基金会、中国人民大学、清华大学、北京邮电大学、北京建筑大学、湖南师范大学、大连理工大学等机构的专家学者。会议围绕着“数据伦理”这一核心主题展开了一系列极具深度的探讨。

2019年8月31日，玛娜数据基金会在上海主办第二届个人数据权益保护论坛暨数据权利项目启动会。本次会议聚集了100多名学者专家。会议不仅仅论证了“数据、信息与隐私的界定及权利属性”的重要意义，还从哲学、技术、法律、数据技术应用等多个角度讨论了个人数据权利的属性，为该领域提供了前沿的理论探讨。本次会议的高端对话环节，也是国内首次数据法学与数据伦理学术界的交锋，开创了历史。

2019年12月6日，玛娜数据基金会与国家社科基金重大项目“大数据环境下信息价值开发的伦理约束机制研究”课题组、大连理工大学大数据与人工智能伦理法律与社会研究中心、湖南师范大学人工智能道德决策研究所共同主办 “玛娜数据基金会合规项目启动会”，旨在通过法律、伦理的双重框架，为企业、社会机构提供个人数据合规指引和服务。会议特邀的部分企事业单位的领导、专家列席以及项目组的其他成员共30余人参加了本次会议。

以上是我们三年来个人数据权益保护领域所做的部分工作，玛娜数据基金会通过在商业实践、法律、伦理等层面所作的大量研究积累，初步形成了相对完整和面对未来的理论体系框架，并正面对这一全球性问题组建促进多元对话、建设性的行动者网络平台，让数据科技服务于人的福祉和自由！

上海玛娜数据科技发展基金会是国内第一家以数据科技为关注重点的公益基金会，是经上海民政局认定的慈善组织。基金会以“让数据科技服务于人的福祉和自由”为宗旨，致力于个人数据权益保护以及推动数据技术与社会创新相结合，促进人与数据社会的和谐共生。基金会围绕“个人数据权益”主题开展“个人数据权益理论研究和倡导”、“科技赋能社区发展”、“社会资本创新及转化”等工作，希望能让科技发展和创新更加符合法律和道德。