今年5月25日，全國人大常委會工作報告指出，要加強重要領域立法，圍繞國家安全和社會治理，制定生物安全法、個人信息保護法、數(shù)據(jù)安全法。這意味著，承載公眾期待的個人信息保護法將加速出臺。

我國目前有多部法律、法規(guī)、規(guī)章涉及個人信息保護，但總體上呈分散立法的狀態(tài)。一方面，分散立法缺乏統(tǒng)一性與整體性；另一方面，相關立法或事后治理或原則性較強，調整法律關系的核心內容即信息主體、信息業(yè)者、政府等相關主體的權利義務關系體現(xiàn)得不足，源頭治理、系統(tǒng)治理的立法功能還發(fā)揮得不夠。這些都影響了法律的實際效果。因此急需出臺個人信息保護的專門法律，加強系統(tǒng)治理與源頭治理。

制定一部科學、完整、專門的個人信息保護法律，建立完善的個人信息保護制度符合人民的期待。為了更好解決現(xiàn)實問題，立法應重點關注以下幾方面內容。

第一，科學界定個人信息權利的保護范疇。我國的個人信息保護大致經(jīng)歷了以下幾個階段：第一階段，20世紀90年代前后，“個人信息”并不是法律概念。1986年《民法通則》規(guī)定公民享有的民事權利以列舉的方式指出，包含“姓名權”“肖像權”“名譽權”“榮譽權”等人身權。1991年《民事訴訟法》規(guī)定了涉及“個人隱私”證據(jù)保密及案件不公開審理的程序性保護措施?！肚謾嘭熑畏ā愤M一步將隱私權作為一項獨立的民事權利加以規(guī)定。這個階段個人信息安全并未成為單獨權利形式，以保護法律規(guī)定相關人身權利形式存在的，外延小。第二階段，90年代末21世紀初，“個人信息”在立法中開始體現(xiàn)。2003年《身份證法》使用了“個人信息”這一表述，第6條規(guī)定了對個人信息的保密，第19條規(guī)定了警察因制作、發(fā)放、查驗、扣押居民身份證得知公民個人信息，泄露并侵害公民合法權益的，給予行政處分或追究刑事責任。雖然個人信息作為法律概念初登舞臺，但此時個人信息更多出現(xiàn)在公法領域中，同時缺乏權威界定?，F(xiàn)階段，隨著個人信息保護需求的迫切性增加，個人信息保護立法逐漸清晰。2013年《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》中指出，本規(guī)定所稱用戶個人信息，是指電信業(yè)務經(jīng)營者和互聯(lián)網(wǎng)信息服務提供者在提供服務的過程中收集的用戶姓名、出生日期、身份證件號碼、住址、電話號碼、賬號和密碼等能夠單獨或者與其他信息結合識別用戶的信息以及用戶使用服務的時間、地點等信息。同年發(fā)布的我國首個個人信息保護國家標準——《信息安全技術公共及商用服務信息系統(tǒng)個人信息保護指南》，雖然該指南只是指導性文件，但不難看出，隨著時代與技術發(fā)展，個人信息的定義與屬性也不斷變化，對個人信息的科學界定是擺在立法道路上的首要問題。

第二，權衡好數(shù)據(jù)自由流動和個人權利保護之間的關系。強調權利保護的個人信息保護，目的是提升用戶對自身數(shù)據(jù)的控制權。但在今天，數(shù)據(jù)是數(shù)字經(jīng)濟發(fā)展的基本要素，過于嚴苛的數(shù)據(jù)保護活動，也會影響對數(shù)據(jù)的挖掘和利用，使產(chǎn)業(yè)和技術發(fā)展受到限制，且過高的保護標準在實踐中也會難以落實。當前，在個人信息保護的基本原則問題上，實踐中存在過度依賴將“知情同意”原則作為合法收集使用證據(jù)的現(xiàn)象，但所謂的“合理、正當、必要”原則也還缺乏具體判斷標準。立法應當尊重產(chǎn)業(yè)發(fā)展的基本規(guī)律，進行更合理、精細的制度設計，兼顧數(shù)據(jù)自由流動和個人權利保護。

第三，明確部門分工，加強部門協(xié)同。個人信息保護涉及行業(yè)部門眾多?，F(xiàn)實中，互聯(lián)網(wǎng)與傳統(tǒng)行業(yè)的不斷融合，跨行業(yè)、跨領域的個人信息保護情況層出不窮，但現(xiàn)有立法并未明確規(guī)定各行業(yè)主管部門在個人信息保護領域的管理邊界，還存在不少重復監(jiān)管和監(jiān)管真空的現(xiàn)象。同時，分散的個人信息保護管理體制，使得公民在個人信息受到侵害后投訴舉報常難以被受理或解決，救濟難度增加。因此，要使個人信息保護法的立法目的得以真正落地，在實踐中應當建立保護層級更高、統(tǒng)籌和協(xié)調性更強的個人信息保護體制，進一步統(tǒng)一執(zhí)法標準。

第四，加強配套制度建設，織密個人信息安全保護網(wǎng)。個人信息保護法一方面要整合、修改和補充原有的法律規(guī)范，消除其間的矛盾和混亂，建立規(guī)范、系統(tǒng)的法律體系；但另一方面，它不可能面面俱到，只能明確基本原則、基本制度、基本行為規(guī)范和法律責任，只有和其他法律有效協(xié)同，才能讓個人信息保護制度兼?zhèn)浞€(wěn)定性和開放性。我國目前個人信息方面的法律、法規(guī)和規(guī)范性文件雖然不少，但以行政法領域的立法居多，私法保障的配套建設還不足，《民法典》有關個人信息的規(guī)定主要涉及個人信息定義、收集處理個人信息原則及要求、個人信息被收集者和收集者的權利義務、國家機關和工作人員履職過程中對知悉的個人信息依法保存保密的義務等方面，但在實踐中的運行，還需要著重考慮如何處理好《民法典》與網(wǎng)絡安全法、個人信息保護法等其他立法的關系。同時，個人信息保護法制定時應充分考慮與國際規(guī)則的銜接安排，明確個人信息的國內保護機制和跨境制度安排，強化與各國、各地區(qū)以及國際組織的立法、司法、執(zhí)法之間的交流合作，建立更完善的國際信息保護機制。