《个人信息保护法》不是为了搞“突然袭击”

，，

【摘要】

11月1号，《个人信息保护法》正式施行，我国个人信息保护强监管时代正式到来。很多高度依赖数据的行业也都在紧锣密鼓地进行用户数据保护的整改，这一点，从我们普通人日常接触到的像支付宝、微信这类应用软件上就可以感受得到。所以截至目前，用户普遍对于《个保法》都持欢迎态度。但是也一些声音表示了疑虑，认为这部号称全球最严格的个人信息保护法可能对企业对于个人信息的采集和利用产生较大限制，进而造成中国部分产业原本已经具有的全球竞争优势被消弭。

针对这类忧虑，笔者认为，《个保法》出台得并不突然，而是国家法律体系完善到相关阶段的必然步骤；而且其目的也不在于把产业界“管死”，而是面对国际竞争做出必要的应对，因此可以平和看待，以下提供相关分析，以供参考。

作者|张骏中山大学粤港澳发展研究院博士生

一、历史视角：发展与保护是动态平衡的过程

从历史的角度讲，人类社会保护个人信息的实际需要与制度供给总体上都是与其传输、采集、处理个人信息的能力同步发展的。因此，虽然在某个时间节点上，或者某个时间段内，可能存在供需失衡的情况，但是长期来看，落后的一端必然设法与先进的一端匹配起来。

我国将之前散在于多部法律、法规、司法解释中的，与个人信息保护相关的内容，更加系统性地整合在一部专门的法律中并予以补充、强化，正是这一基本规律的体现。

在我国，个人信息保护绝不是全新的事物，基于个人信息保护目的的数据限制也早已存在。尤其是进入21世纪后，随着我们国家的信息化建设速度的加快，多部新出台或新修订的法律、法规、司法解释等也都在涉及到个人信息保护的内容上作出相关规定，他们包括但不限于《居民身份证法》（2003年修订）、《侵权责任法》（2009年）、《全国人大常委会关于加强网络信息保护的决定》（2012年）、《消费者权益保护法》（2013年修订）、《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》（2014年）、《刑法修正案九》（2015年）、《网络安全法》（2016年）、《民法总则》（2017年）、《电子商务法》（2017年）、《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（2017年）、《民法典》（2020年）、《信息安全技术个人信息安全规范》（2020年）、《数据安全法》（2021年），以及《个保法》（2021年）。

特别要强调的是，这些法律、法规、司法解释在总体的立法原意上是统一的，在具体措施上是互为补充的，分明呈现出朝着统一方向不断进发的趋势。如果说该总体方向真的引发了普遍担忧，那么以2012年《全国人大关于加强网络信息保护的决定》为开端，我国的互联网产业早就应该为不断收紧的缰绳而“消停”了。然而事实上，2012至今的这段时期，互联网行业发展迅猛，其市场规模从此前的1513亿（2010年）增长至2020年的超过50万亿。

所以说，历史地看，“保护个人信息的需要”和“保护个人信息的制度供给”是两个在长期实践中相互博弈，动态平衡，一体两面的一对事物。我国近10年来相关立法规管方面不断加码，恰恰说明立法者从来都没有要搞“言之不预”的规则突袭。

《个保法》的出台，虽然确实会对现实产生诸多影响，但这其中并不存在突发性的、颠覆式的限制，因此也不大可能出现“终结行业发展”的效果。做个可能不太恰当的比较，《个保法》对于互联网等产业的打击，甚至可能还没有”双减”文件对教辅行业的打击大，因此没有必要过度恐慌。

二、产业视角：个人信息保护是为了更好促进产业发展

从产业角度讲，对《个保法》表示疑虑的观点的核心理由往往就是过于严格的个人信息保护会限制我国部分优势行业的发展。

具体来说，如今中国有一些体量已经很庞大的产业，如“互联网+”、“大数据+”、“人工智能+”，之所以在世界上具有比较优势，甚至占据头部位置，其中一个条件就是这类产业获取数据相对更容易。

那么如今这个严格的，甚至站在某些企业经营者乃至产业政策规划者的角度堪称“严苛”的《个保法》，只要切实执行，就会在很大程度上终结这种竞争优势。为此，他们还建构了一番话语——为什么世界上互联网巨头只出现在了中美两国，而按说科技底子也不差的欧洲缺乏善可陈？最重要的原因之一就是，在获取数据，这个当代科技的关键支撑领域，“作风务实”的中美做出战略性的妥协，也因此抓住了发展机遇，而欧洲过高的个人信息保护标准彻底把企业管死了，事到如今，欧洲已经没有任何机会了。

类似的说法具有一定的合理角度，但我们更需要在产业发展的视角去分析。

首先，互联网巨头的出现，与统一的市场、使用同一种语言人口的规模、高水平人才的聚集、国家和企业研发的投入、各类资本的追捧、法律规则，乃至基于某些考量而人为设置的限制都有密不可分的关系，而且这些因素交错影响，互不独立，我们几乎不可能权衡某个单一因素的实际权重。那么，作为不计其数的法律规则之一的个人信息保护法，到底能在多大程度上决定一个国家或地区在全球互联网产业中的位置，只能是无法科学地量度和分析的。

其次，也没有证据显示美国互联网企业的行业优势真的来自于跟人信息保护领域的“低人权（隐私）优势”。事实上，美国不仅各州都有自己的《隐私保护法》（其中最著名的有加州的隐私保护法（CCPA&CPRA）），而且联邦层面也有《隐私法》（Privacy Act，1974年）对联邦政府机构收集、持有、存储以及传输公民个人、企业信息的相关原则与具体程序作出详细规定，此外，在金融信息、儿童信息、医疗健康信息、教育信息等领域还有特别法规定。

而在法律执行层面，除了发达的司法救济系统外，在行政监管领域，美国也建立了高效权威的执法机制。截至目前，美国联邦贸易委员会（FTC）发起的隐私和个人数据保护执法案例已有上千起，把通过具体执法推动个人信息保护的抽象原则落实到企业具体运营行为中。

最后，过往中国企业的部分数据优势，确实在一定程度上基于获取到更多的个人数据，但是长期来看，这种优势的保持并不在于毫无限制地捕捉良莠不齐的数据，而是需要合法有序取得高质量的数据。高质量的数据，并不来源于缺乏规制的丛林式的市场，这种市场只会在混乱中导致劣币驱逐良币。

事实上，在《个保法》出台前的近十年里，由于既有的法律法规在与数据相关的某些重要领域仍然存在一些漏洞，或者缺乏明确指引，国内部分行业的企业经营行为依然在很大程度上依赖于其自律，这就使得没有行为底线的企业反而获得了竞争优势。但其实这些数据多为彼此孤立的系统渠道取得数据，做深度挖掘和整合利用的空间比较有限。

相较之下，《个保法》出台实际上在国内首次确认了“个人信息可携带权”，这就为打破企业之间、企业与政府之间的大大小小数据壁垒，整合产生高质量数据创造了条件。比如，企业可以通过合法路径，经用户个人授权而（一般为有偿）取得原本储藏在互不联通的多个系统中的，个人饮食、运动、保险、就医等多个领域的数据，经整合后使其发挥更大的价值。

在此稍作延申，我们还可以预想，当《个保法》在不仅满足保护公民个人权利的需要，而且也提高了信息资源利用率，使得数字产业的规模继续扩大，那么在该产业优势产业集中的区域还会发展起数字治理产业。

比如，广东数字经济发展一直走在前列，2020年数字经济增加值规模约为5.2万亿元，居全国第一。2021年8月发布的《广东省数字经济促进条例》于9月1日起施行，这是“十四五”期间国家公布数字经济及其核心产业统计分类以来首部促进数字经济发展的地方性法规。该条例首次明确提出要在广东省开展数据跨境流通监管、数据资产凭证颁发、数据交易场所建设等试点工作，这将进一步推动广东数字技术与实体经济深度融合，打造具有国际竞争力的数字产业集群。

事实上，广东的举措绝非个例，截至2021年10月，已有11个省市出台了与数据相关的条例（包括大数据条例、数据条例、数字经济条例，统称为“数据条例”），具体是山东、天津、安徽、吉林、山西、海南、贵州已出台大数据条例，广东、浙江、河北已出台数字经济条例，深圳、上海制定了数据条例。

三、全球视角：国家整体战略的重要组成部分

从国家角度讲，有两个要点值得一提。首先，公民个人信息的保护也是国家数据安全工程的一部分。不要以为我们个人信息被非法获取、利用导致的仅仅是个人损失，这种损失完全可能被各种敌对势力利用，对我国的国家安全造成威胁。不过这话题更适合在有关《数据安全法》的解读中专门讨论，所以在此就不详述了。

其次，截至2020年底，全球224个具有独立司法管辖权领域的国家和地区中已有140多个制定了个人信息保护法，且这一数字仍在快速增长，说明实施更严格的个人信息保护也是与国际规则体系看齐、接轨的举措，是在应对国际上日益激烈的数据竞争的需要。

根据中国信息通信研究院的数据，2019年全球数字经济总量达到31.8万亿美元，占全球GDP的41.5%。中国数字经济规模由2005年的2.6万亿元扩张到2020年的39.2万亿元，占GDP的比重38.6%。近期多份海外智库的研究表明，数字经济带来的海量利益意味着该领域的国际竞争必然加剧。

为此，一些国家和地区间已经签署了一些数字贸易规则，比如美日之间，新加坡和澳大利亚之间都签署了数字贸易协定，新加坡、新西兰、智利则签署了《数字经济伙伴关系协定》（DEPA）。

中国也与其他国家一起推动了《区域全面经济伙伴关系协定》（RCEP），该协议在有关电子商务的章节明确了中国在个人信息保护、数据存储和监管，以及数字税方面的基本原则。然而，RCEP的规则标准在西方国家的一些专业人士看来并不理想，美国就已经显示出打造最符合其自身和盟友实际利益的全球数字产业规则的意愿。一旦美国主导的国际规则系统排斥中国的加入，那么如今蒸蒸日上的中国数字产业的“出海”将面临极大限制，料想其状况的困难程度怕不亚于如今遭遇“卡脖子”的国内芯片行业。

为了避免出现这种情况，我们的确有必要以出台《个保法》等在数据安全、个人信息保护以及数字税方面的法律法规，使其所涵盖的行业标准在国际上具有竞争力（或者至少是不要成为规则洼地），进而得以有效参与国际数字经济的规则制定，从而为中国的数字产业的可持续发展赢得长久的机遇。

四、结论

《个保法》正式实施月余，它对社会的真实影响也还有待观察，但是一些初步的结论还是比较清晰的。

首先，从我国的法治进程来看，《个保法》的出台绝非意外之举，而是对过往相关立法的整合、加强；是对当前社会迫切需求的回应；也是完善国家法律体系的一个步骤，是依法治国的必然要求。

其次，从产业角度来看，更加规范、更高标准的数据保护措施将有效打击“劣币驱逐良币”等灰色、黑色产业，实现行业更持续健康的发展，而且国际发展经验表明，个人信息保护领域的专门立法往往有助于解决公民个人信息基本权利、行政监管体制、司法救济途径等核心问题，建立起政府、企业及其他主体收集、使用个人信息的基本规范，是（广义的）互联网行业长期健康发展的必要条件。

最后，站在国家与全球的高度，实现信息自由流动，促进信息化发展是我国参与全球化竞争的战略需要，而“自由流动”的前提恰恰是信息安全得到保障。所以就目前而言，我们的确有更多的理由对这部法律抱以期许而非疑虑。

（原标题：个保法如期而至，产业界继续前行）

参考文献：

【1】艾瑞：2010年互联网市场规模达1513亿增长54%.

https://www.eyoucms.com/news/ziliao/other/2018/1105/3554.html#

【2】前瞻产业研究院：2020年中国产业互联网行业市场现状及发展前景分析 2020年市场规模或将突破50万亿. https://bg.qianzhan.com/trends/detail/506/210209-cf0568f7.html

【3】上海新金融研究院个人信息保护国际比较研究课题组.个人信息保护国际国际比较研究（第二版）.浙江出版社集团数字传媒有限公司,2021.

《个保法》的出台，

并非意外之举，

而是国家发展的必然要求。

快来评论区，

和我们一起分享你的观点吧~