加快搭建个人信息保护的法律框架

备受关注的个人信息保护法草案10月13日提请十三届全国人大常委会初次审议。草案确立以“告知—同意”为核心的个人信息处理一系列规则，要求处理个人信息应当在事先充分告知的前提下取得个人同意，并且个人有权撤回同意；重要事项发生变更的应当重新取得个人同意；不得以个人不同意为由拒绝提供产品或者服务。（相关报道见03版）

随着信息化与经济社会持续深入融合，个人信息的收集、使用更为广泛。虽然近年来我国个人信息保护力度不断加大，但在现实生活中，随意收集、违法获取、过度使用、非法买卖个人信息，利用个人信息侵扰人民群众生活安宁、危害人民群众生命健康和财产安全等问题仍十分突出。在信息化时代，个人信息保护已成为广大人民群众最关心、最直接、最现实的利益问题之一。

在日常生活中，我们的个人信息随时随地都被他人获取。买飞机票、火车票需要填写身份证、手机号码；办理各种银行卡、会员卡、打折卡，要求提供身份信息；甚至去体检、去消费，也会被以各种名义要求留下姓名、电话、身份证号甚至是邮箱……互联时代，不向外界提供我们的个人信息简直已经寸步难行。一些网络运营者出于自身业务拓展需要或者在客户端口预设陷阱，或者通过霸王条款强行获取个人信息，更有某些掌握他人信息的单位和人员，为了一己私利贩卖客户信息。

以用户个人信息泄露案件高发的电信行业为例，由于个别电信单位内控不严，最低层级的业务员也可以接触到海量的机主信息；查询过程没有进行监管、记录，对合作伙伴缺乏约束，使这些合作单位的工作人员也有机会接触到公民个人信息。正是这些疏于防范，致使公民个人信息随意泄露，不法分子获取这些信息的成本也更低廉。

面对数字经济突飞猛进的发展，个人信息的商业价值也越来越大，如何解决个人信息有序获取、合理使用的问题已成当务之急。为此，有关方面曾先后出台《互联网个人信息保护指南》、《个人信息安全标准》等规范性文件，并在《民法典》、《刑法修正案九》当中明确了保护个人信息的鲜明导向，以及刑责标准。

在这些年治理整顿过程中，我们已经对处理个人信息时应当遵循的诸如：目的明确、最少够用、公开告知、个人同意、质量保证、安全保障、诚信履行和责任明确等基本原则，以及信息收集、加工、转移、删除等环节有了清晰具体的认识。在总结网络安全法等法律、法规、标准的实施经验，并充分借鉴有关国际组织和国家、地区的个人信息保护相关准则、指导原则和法规的基础上，尽快建立健全适应我国个人信息保护需要的专门法律制度已经水到渠成。

制定《个人信息保护法》，将进一步明确个人信息处理活动应遵循的原则，完善个人信息处理规则，保障个人在个人信息处理活动中的各项权利，强化个人信息处理者的义务，明确个人信息保护的监管职责，并设置严格的法律责任。《个人信息保护法》实施后，我国还应参照其他国家经验设立专门的个人信息保护机构，该机构应拥有相对独立的监管、执法权力，以此全面完善我国个人信息事前保护、事后救济机制，推动个人信息保护再上新台阶。