我國個人信息法律保護現狀、主要問題及完善路徑
——基于《中華人民共和國個人信息保護法》的詞頻統計與分析

文禹衡，于 琳

（1.湘潭大學知識產權學院；2.湖南省高級人民法院-湘潭大學 大數據與智慧司法研究中心）

1 引言

個人信息兼有人格屬性和財產屬性，具備社會價值和經濟價值，是數字經濟社會的重要資源，開發利用個人信息能夠促進我國信息化建設和數字經濟發展，但不加限制的個人信息利用行為會導致個人信息濫用風險。個人信息的開發利用需要劃定邊界，但并不意味著要隔斷個人信息流通和利用。《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）于2021年8月20日通過，是我國第一部體系化地保護個人信息的法律［1］。然而，個人信息保護立法持何種指導思想、法律框架是否建成、既往法律規則是否得到細化、個人信息的社會熱點問題是否得到有效回應，這些問題都需要在深入挖掘《個人信息保護法》文本信息的基礎上得出答案。

盡管國內關于個人信息保護的研究呈多元化趨勢，但是關于個人信息保護法律文本的研究成果仍然不足。①特定主體的個人信息保護，例如讀者個人信息保護的民法分類分級［2］、刑法保護［3］和侵權救濟［4］，以及兒童［5］、軍人［6］和電子商務消費者［7］等主體的個人信息保護等；②特定場景的個人信息保護，如高校［8］、國家檔案局［9］、數字圖書館個性化服務［10］、讀者在線服務［11］、政府數據開放［12］等場景中的個人信息保護；③域外的個人信息保護，如美德個人信息保護立法模式比較［13］、日韓個人信息保護制度比較［14］、歐盟個人信息保護法中當事人同意的立法經驗［15］等；④個人信息保護和利用的立法，如個人信息保護的立法路徑比較［16］、讀者個人信息再利用立法規制［17］等；⑤個人信息權利及其保護，如個人信息被遺忘權［18］、個人信息刪除權［19］、個人信息權利保護的困境與破解［20］等。

綜上所述，當前我國僅有少部分研究成果通過解讀個人信息保護法草案呈現我國個人信息保護工作推進現狀［21］，還沒有對《個人信息保護法》正式文本進行全面解構的研究成果。鑒于此，本研究擬全面解構我國《個人信息保護法》文本，呈現我國個人信息保護專門立法的框架和重點并揭示主要問題，繼而有針對性地提出個人信息法律保護的完善建議。

2 研究設計

2.1 文本選擇

本文選取《個人信息保護法》（共八章，七十四條）為研究對象，其中第八章附則部分無實際意義，不納入樣本范圍。根據《個人信息保護法》的章節結構，按章節代號+法律條款順序號進行編號，大寫字母A到G分別對應7個章，小寫字母a、b、c分別對應章下設的節。具體內容如下：第一章“總則”編號為A1—A12；第二章“個人信息處理規則”下設三節，編號為Ba13—Ba27、Bb28—Bb32、Bc33—Bc37；第三章“個人信息跨境提供的規則”編號為C38—C43；第四章“個人在個人信息處理活動中的權利”編號為D44—D50；第五章“個人信息處理者的義務”編號為E51—E59；第六章“履行個人信息保護職責的部門”編號為F60—F65；第七章“法律責任”編號為G66—G71。

2.2 研究方法

本文采用統計分析法和社會網絡分析法，對《個人信息保護法》文本展開體系化解讀。①將《個人信息保護法》轉存為TXT文本，采用Jieba庫對法律文本作分詞處理；②以法律術語為標準，對分詞結果進行人工篩選，剔除無實際分析價值的虛詞，保留有價值的實詞，完成法律文本清理工作，并利用Python進行文本詞頻統計；③按照宗旨與定位、個人信息處理的基本原則、個人信息處理規則、個人信息權利、個人信息處理者義務、部門與職責和法律責任，對詞頻結果進行分類統計；④分析核心詞的詞頻統計結果，深度挖掘法律文本信息；⑤利用Ucinet 6軟件對核心詞與法律條款之間的關系進行可視化呈現，結合核心詞分布分析《個人信息保護法》的核心內容，探尋個人信息保護立法的完善方向。

3 《中華人民共和國個人信息保護法》的現狀解讀

3.1 立法宗旨

立法宗旨與定位方面的核心詞在整部法律各個章節均有所涉及，從其保障個人信息權益并促進個人信息合理利用的立法宗旨中可見，其具有與《中華人民共和國網絡安全法》（以下簡稱《網絡安全法》）、《中華人民共和國數據安全法》（以下簡稱《數據安全法》）等的公法性質不同的公法與私法相結合的法律定位。

3.1.1 詞頻統計

從宗旨與定位核心詞的詞頻統計（見表1）可知，“個人信息處理者”作為《個人信息保護法》的規制對象，出現頻次最高，其次是“個人信息保護”“安全”“個人信息處理活動”，這表明個人信息保護主要通過規制個人信息處理者的個人信息處理活動來保障個人信息安全。其他詞語的詞頻較低，但法律文本表達具有凝練、簡潔的特點，能夠寫入正式法律條文中的詞語具有不可替代的重要意義和地位。以“憲法”一詞為例，其在整部法律文本中僅出現1次，且是在三審稿時新增，但“根據憲法，制定本法”為個人信息保護提供了立法依據。《中華人民共和國憲法》規定“國家尊重和保障人權，公民的人格尊嚴不受侵犯，公民的通信自由和通信秘密受法律保護”［22］。“憲法”一詞的增加將個人信息權益上升至基本人權的高度，提升了個人信息保護的法律位階。

表1 宗旨與定位核心詞的詞頻統計

3.1.2 關聯程度分析

筆者使用Ucinet6軟件的NetDraw功能繪制宗旨與定位核心詞以及單條法律條款的關系圖譜（見圖1），深度挖掘文本信息，揭示核心詞與法律條款之間的關聯程度。圖1為除去孤立點后的關系圖譜，核心詞以紅色圓形圖標表示，單條法律條款以藍色方形圖標表示，圖標越大，說明該節點充當“中介”的次數越多，中介中心性越大，重要程度越高；核心詞與單條法律條款的連線越粗，說明二者關聯程度越大。

圖1 宗旨與定位核心詞與單條法律條款關系圖譜

就單條法律條款而言，宗旨與定位方面的法條圖標普遍偏小，說明其中介中心性低，法條與核心詞的關聯性不強。其中，A1的中介中心性相對較高，重點關注“憲法”“合理利用”“個人權益”“個人信息處理活動”等核心詞；其次是Ba13，關注的核心詞有“個人信息處理者”“安全”“自然人”“公共利益”，說明個人信息處理者只有以維護自然人合法權益或公共利益為目的處理個人信息時，才無須取得個人同意，其具備合法性的根本原因在于維護公共利益、私人合法權益不與個人信息保護法的立法宗旨相悖。就核心詞而言，“個人信息處理者”的中介中心性最高，說明其與各個法律條款之間的關聯程度最高。此外，關于個人信息處理者行為規制的條文占50%以上，說明《個人信息保護法》主要以規制個人信息處理者的個人信息處理活動來實現個人信息權益保護與個人信息合法利用平衡的宗旨。

3.2 個人信息處理的基本原則

目的限制原則貫穿個人信息處理活動全過程，是個人信息處理活動最核心的原則，是個人信息保護的基石。

3.2.1 詞頻統計

統計基本原則核心詞的詞頻（見表2）可知，“目的”在個人信息處理基本原則方面的核心詞中詞頻最高，隨后是“安全”“公開”“必要”“合法”“合理”。其他核心詞出現頻次雖少，卻極有必要，如“正當”“誠信”“合法”“必要”均出自《中華人民共和國民法典》（以下簡稱《民法典》）［23］，一并構成個人信息保護的首要原則。任何個人信息處理行為都是基于目的而展開的活動，目的不正當則行為不正當。為協調保護與利用的關系，《個人信息保護法》對個人信息處理目的進行嚴格限制，所確立的基本原則絕大部分圍繞目的展開，“明確”“合理”“直接相關”“影響最小”“最小范圍”僅出現1次，但均為目的限制原則的具體要求。另外，“準確”“完整”是質量保證原則的具體要求，“公開”“透明”是對個人信息處理者履行告知義務的方式要求。

表2 基本原則核心詞的詞頻統計

3.2.2 關聯程度分析

圖2為基本原則核心詞與單條法律條款的關系圖譜。從單條法律條款來看，A6的中介中心性最高，說明其與基本原則方面的核心詞關系最為緊密，A7、Ba17、Ba13、E51、E56、Bb28、A5、Ba27等依次排后。可以看出，個人信息處理基本原則方面的主題詞集中在《個人信息保護法》的第一、二、五章。從核心詞來看，“目的”的中介中心性最高，與A6、Ba23之間的關聯程度較高。其中，A6規制個人信息處理者的個人信息處理活動，B23規制個人信息處理者向第三方提供個人信息行為及第三方的個人信息處理行為。可見，無論是自己使用還是向第三方提供，個人信息處理者均受目的限制原則的約束。

圖2 基本原則核心詞與單條法律條款關系圖譜

3.3 個人信息處理規則

在個人信息處理原則的指導下，《個人信息保護法》設專章規定個人信息處理規則，共30個法律條款，篇幅占比超過1/3［1］，并在這一章下設三節，依據個人信息對自然人的人身財產安全敏感程度設個人信息處理一般規則和敏感個人信息處理規則兩節，同時考慮到國家不僅是個人信息處理行為的規制主體，也是最大的個人信息處理者，設專節規定國家機關處理個人信息的規則。此外，個人信息跨境提供事關國家安全，單設一章規定個人信息跨境提供的規則。

3.3.1 詞頻統計

統計個人信息處理規則核心詞的詞頻（見表3）可知，“處理目的”“告知”的詞頻最高，其次是“公開”“處理方式”“同意”。其他詞語詞頻雖低，但重要性不減。如，關于主體，出現了“國家機關”“不滿十四周歲未成年人”“關鍵信息基礎設施運營者”“監護人”“父母”等特殊主體；關于同意，出現了“不同意”“單獨同意”“撤回同意”“重新取得個人同意”“書面同意”等多樣化同意方式。“告知”“同意”共同構成最基本的個人信息處理規則，告知后同意的目的就是信息的透明化，能夠讓當事人真正評估其同意的影響，真正落實個人信息決定權［14］。總體而言，個人信息處理規則以“告知同意”為核心，細分多元主體，細化同意規則，區別個人信息敏感程度，提出基于“處理目的”“處理方式”等的具體要求。

表3 個人信息處理規則核心詞的詞頻統計

3.3.2 關聯程度分析

圖3是個人信息處理規則核心詞與法條的關系圖譜。從單條法律條款來看，Ba13圖標最大，說明其中介中心性最高，與“必需”“同意”之間的關聯性較高。其次是E55、Ba17、C39，其中，C39與Ba23共同關注“單獨同意”“名稱或者姓名”“處理目的”“聯系方式”“處理方式”等核心詞，說明個人信息跨境提供是一種向其他個人信息處理者提供信息的處理行為，二者在告知義務要求上達成了內部一致。整體來看，關于個人信息處理規則的內容主要分布在《個人信息保護法》的第一、二、五章，揭示出原則與規則、規則與義務三者之間的緊密關系，即個人信息處理規則受原則指導，規則也蘊含了個人信息處理者應負擔的義務。

圖3 個人信息處理規則核心詞與單條法律條款關系圖譜

3.4 個人信息權利

《個人信息保護法》細化了《民法典》《網絡安全法》等法律法規的既有權利內容，并新增了個人信息可攜權、死者個人信息保護等內容，初步形成了全面、系統的個人信息權利體系。

3.4.1 詞頻統計

統計個人信息權利核心詞的詞頻（見表4）可知，“有權”的詞頻最高，表明法律賦予個人信息主體廣泛的權利，具體包括知情權、決定權、限制處理權、拒絕權、可攜權、更正權、補充權、刪除權、說明權。同時，法律要求個人信息處理者配合上述權利的行使，如負有“及時提供”“核實”等義務。另外，“死者的相關個人信息”“近親屬”等詞語體現了《個人信息保護法》對死者近親屬合法、正當利益的維護。

表4 個人信息權利核心詞的詞頻統計

3.4.2關聯程度分析

圖4為個人信息權利核心詞與單條法律條款的關系圖譜。從單條法律條款來看，D45的中介中心性最強，說明它與個人信息權利方面的詞語關聯程度最高，關注的詞語有“查閱”“復制”“轉移”“及時提供”“有權”。其中，“轉移”出現在Ba22和D45兩個條文中，前者規定了個人信息處理者轉移個人信息需承擔告知義務，后者為正式文本新增的一項權利，即個人信息可攜權。此外，D47與“刪除”的關聯程度最高，意味著刪除權的規定主要集中在該條。《個人信息保護法》在《民法典》的基礎上擴大了刪除權的適用范圍，為刪除個人信息提供充分保護，要求個人信息處理者承擔主動刪除義務，在其未履行刪除義務時個人有權請求其刪除，并針對未滿法定保存期限和技術上難以刪除個人信息兩種特殊情形規定了處理方式。從核心詞來看，“有權”的圖標最大，與其相關聯的法條主要分布在第二章（B）和第四章（D）。第四章在《個人信息保護法》所占篇幅不多，但全面、完整的規定了個人信息主體權利以及權利行使的響應機制。

圖4 個人信息權利核心詞與單條法律條款關系圖譜

3.5 個人信息處理者義務

《個人信息保護法》既規定了個人信息處理者有告知、安全保障、合規審計、安全評估、個人信息泄露通知等義務，又規定了大型互聯網平臺指定個人信息保護負責人、平臺內部管理、接受外部監督等特殊義務，形成事前事中事后全鏈條的個人信息安全風險防范機制。

3.5.1 詞頻統計

統計個人信息處理者義務核心詞的詞頻（見表5）可知，“告知”“取得”的詞頻最高，說明告知義務是個人信息處理者在處理個人信息時應當履行的首要義務。為防止個人信息泄露，法律規定個人信息處理者分別從管理、技術、組織三個層面履行安全保障義務。其中，管理性安全措施的核心詞包括“內部管理制度”“操作規程”“合規審計”“個人信息保護影響評估”等；技術性安全措施的核心詞包括“加密”“去標識化”“操作權限”“安全性技術措施”等；組織性安全措施的核心詞包括“個人信息安全事件應急預案”“安全教育”“培訓”等。

表5 個人信息處理者義務核心詞的詞頻統計

除了個人信息處理者的一般性義務外，《個人信息保護法》要求三類特殊的個人信息處理者建立個人信息保護責任人制度：處理個人信息達到“國家網信部門規定數量”的個人信息處理者，負有指定個人信息保護負責人的義務；境外個人信息處理者負有在中國境內設立專門機構或者指定代表的義務；提供重要互聯網平臺服務、用戶數量巨大、業務類型復雜的個人信息處理者，負有成立主要由外部成員組成的獨立機構的義務［1］。第三類個人信息處理者通常為大型互聯網企業，其還要承擔建立“合規制度體系”、制定“平臺規則”、定期發布“社會責任報告”等特殊義務。此外，其在個人信息處理活動中扮演“守門人”角色，負有發現并阻止違法行為的義務，屬于行政法上的“第三方義務”。

3.5.2 關聯程度分析

圖5為個人信息處理者義務方面的核心詞與單條法律條款之間的關系圖譜。從單個法律條款來看，E52的圖標最大，說明其中介中心性最強，其與核心詞“個人信息保護負責人”的關聯程度最高。其次是E58，說明個人信息處理能力與個人信息處理者要承擔的個人信息保護責任成正比，個人信息處理能力越強，個人信息保護責任越大。從核心詞來看，“監督”的圖標最大，其次是“告知”。整體來看，個人信息處理者義務相關詞語除了集中于《個人信息保護法》第五章外，還存在于第二章及第四章中。

圖5 個人信息處理者義務核心詞與單條法律條款關系圖譜

3.6 部門與職責

國家網信部門在個人信息保護工作中具有舉足輕重的作用，《個人信息保護法》建立了完備的個人信息保護工作機制，重點強調國家網信部門的統籌協調職能，以及國務院有關部門、縣級以上地方政府有關部門的個人信息保護和監督管理工作，構建了一套以網信部門為中心的個人信息保護監督管理體系。

3.6.1 詞頻統計

統計個人信息保護相關部門及其職責核心詞的詞頻（見表6）可知，“國家網信部門”的詞頻最高，說明其在個人信息保護工作中的重要地位和作用。個人信息保護法賦予國家網信部門統籌協調職能，明確了個人信息保護的履職部門及其具體職責，規定了在執法過程中可采取的合法措施，建立了約談制度并規定了合規審計要求，重點完善了個人信息保護投訴、舉報工作機制。

表6 部門與職責核心詞的詞頻統計

3.6.2 關聯程度分析

圖6為部門與職責核心詞與法條的關系圖譜。從單條法律條款來看，F61的圖標最大，其中介中心性最強，與部門與職責方面的核心詞關聯程度最高。該條規定了個人信息保護部門的職責，側重“個人信息保護宣傳教育”“投訴”“舉報”“測評”等。從核心詞來看，“調查”的圖標最大，其次是“國家網信部門”，其與C38、C40連線最粗，說明個人信息的跨境提供由國家網信部門嚴格把關。整體來看，個人信息保護相關部門與職責方面的規定集中分布于第六章。一般情況下，對于正常的個人信息處理活動，行政機關應當恪守法定職權，不得擅加干預，但跨境提供個人信息事關國家安全、公共安全、個人信息及隱私安全，需要由國家網信部門介入保障個人信息跨境提供的安全。

圖6 部門與職責核心詞與單條法律條款關系圖譜

3.7 法律責任

《個人信息保護法》設置以民事、行政、刑事責任為內容的法律責任體系，針對違法個人信息處理行為加大處罰力度，并新增了限制從業的處罰條款［1］。此外，引入了個人信息保護公益訴訟制度，在個人信息侵權損害中確立過錯推定原則，從根本上降低了公民的維權難度。需要說明的是，法律責任方面的核心詞特點與其他方面的核心詞不同，核心詞詞頻低，與整個法律文本的其他法條關聯性不強，這也與法律責任本身具有獨立性、專業性特征有關。

3.7.1 詞頻統計

統計法律責任核心詞的詞頻（見表7）可知，法律責任方面的核心詞雖然詞頻不高，但種類多樣。相對而言，“責令”的詞頻最高，共出現5次，“刑事責任”“連帶責任”等核心詞均出現1次，說明違法個人信息處理的法律責任以行政責任為主。其中，具體包括“警告”等聲譽罰、“責令停業整頓”和“責令暫停”相關業務等能力罰、“罰款”和“沒收違法所得”等財產罰。此外，既有單位罰，也有個人罰。對于違法單位，《個人信息保護法》借鑒歐盟《通用數據保護條例》的巨額行政罰款制度［24］。相較于《網絡安全法》《數據安全法》對違法處理個人信息行為的處罰則有上限的規定，《個人信息保護法》大力提高個人信息處理活動的違法成本。對于單位，規定了處以五千萬或者上一年度營業額百分之五的罰款上限；對于違法個人，罰款上限為一百萬。《個人信息保護法》規定了個人信息保護負責人制度，對“直接負責的主管人員和其他直接責任人員”的處罰具有明確的人員指向。雖然實行雙罰制，但《個人信息保護法》依舊有所側重，個人對個人信息法益、經濟利益、社會利益甚至國家利益造成的損害、影響畢竟有限，能夠造成重大損失的往往是商業行為，因此《個人信息保護法》的重點懲治不在個人。

表7 法律責任核心詞的詞頻統計

3.7.2 關聯程度分析

圖7為法律責任核心詞與單條法律條款的關系圖譜。從單條法律條款來看，G66圖標最大，說明其中介中心性最強，作為“橋梁”連接法律責任方面的核心詞的能力也最強，與“責令”“改正”“罰款”的關聯程度最高。該條款基本囊括了違法個人信息處理者所要承擔的行政責任，并且在正式文本中繼續加大處罰力度，新增了限制從業的處罰方式。從核心詞來看，法律責任方面各個核心詞的圖標普遍偏小，說明法律責任方面的核心詞中介中心性不強，與其他法條關聯性低，說明其獨立性、專業性較強，每個分散的核心詞組背后都代表了單一制度設計。如，“過錯”“不能證明”“侵權責任”等核心詞代表了個人信息侵權舉證適用過錯推定原則，個人信息處理者如果不能證明自己沒有過錯，則應當承擔損害賠償責任，實質緩解了被侵權人舉證困境、降低了維權難度。“眾多個人”“訴訟”“人民檢察院”等核心詞代表了個人信息保護公益訴訟制度的確立，個人信息侵權通常表現為大規模輕微型侵害。對于單個受害人而言，由于損害輕微，所以維權意愿低，且成功的概率低、難度大，而人民檢察院、消費者組織或者網信部門確定的組織相較于個人而言，維權成功的可能性更高。

圖7 法律責任核心詞與單條法律條款關系圖譜

4 個人信息法律保護的主要問題

4.1 個人信息熱點問題的立法回應模糊化

《個人信息保護法》對公民普遍關注的個人信息熱點問題作出立法回應，但原則性條款居多，立法的模糊化會給司法實踐帶來諸多不確定性。

4.1.1 拒絕提供產品或服務的合法情形寬泛

《個人信息保護法》第十六條規定：“個人信息處理者不得以個人不同意處理其信息或者撤回同意為由，拒絕提供產品或者服務；處理個人信息屬于提供產品或者服務所必需的除外”［1］。該條是針對移動應用軟件存在用戶不同意個人信息保護及隱私政策就拒絕提供產品或服務的現象作出的禁止性規定，條款的后半部分規定了拒絕提供產品或服務的合法情形，即只有在用戶不同意提供產品或服務所必需的個人信息的情況下，個人信息處理者拒絕提供其產品或服務才是合法的。該條款本可以使用戶在不同意平臺處理個人信息的情況下依舊能夠使用互聯網產品或服務的權利在很大程度上得到維護，但“必需”一詞使規避作用擴張，權利保護功能受限，日后很可能成為個人信息處理者肆意拒絕提供產品或服務的責任規避條款。

4.1.2 自動化決策規制條款過于原則

《個人信息保護法》第二十四條是為規制由自動化決策引發的大數據殺熟、信息繭房等問題而制定的專門條款［1］。第一款要求個人信息處理者保證算法自動化決策的透明度及結果的公平、公正，但“保證”一詞主觀性過強，透明度沒有一個明確、客觀的程度標準會使個人信息處理者的義務履行達不到預期效果。此外，第一款還禁止在交易中對消費者實行不合理的差別待遇，而差別待遇是否合理缺乏判斷標準。第三款規定：“通過自動化決策方式作出對個人權益有重大影響的決定，個人有權要求個人信息處理者予以說明，并有權拒絕個人信息處理者僅通過自動化決策的方式作出決定”［1］。該條款賦予個人信息主體算法解釋權，但“對個人權益有重大影響”依舊是一個比較原則性的立法表述，個人權益受損達到何種程度屬于“重大”尚未明確。

4.1.3 個人信息可攜權缺乏可操作性

《個人信息保護法》第四十五條規定：“個人請求將個人信息轉移至其指定的個人信息處理者，符合國家網信部門規定條件的，個人信息處理者應當提供轉移的途徑”［1］。根據該條款，個人信息主體可以將提供給一個平臺的個人信息轉移至另一平臺，實現個人信息的跨平臺流轉，個人信息可攜權的增設具有打破數據壟斷、促進數據自由流通的積極意義。然而，個人信息可攜權在《個人信息保護法》中還僅僅是個人信息主體的一項請求權，并且條文僅規定“符合國家網信部門規定條件的，個人信息處理者應當提供轉移的路徑”［1］，個人信息可攜權的權利客體、權利行使條件、權利行使方式、個人信息處理者的協助義務等內容都尚未明確。個人信息可攜權涉及個人信息主體、個人信息處理者、新的個人信息接受者等多元主體，規定不明會造成多元主體間的價值沖突。

4.2 《中華人民共和國個人信息保護法》與其他法律不具有法秩序一致性

4.2.1《中華人民共和國民法典》與《中華人民共和國個人信息保護法》的關系定位不清

《民法典》初步規定了個人信息的定義、處理原則、處理條件、免責事由、個人信息主體權利、個人信息處理者的信息安全保障義務、國家機關工作人員的保密義務等與個人信息保護有關的內容，基本確立了個人信息保護的基本民事制度［23］。《個人信息保護法》在此基礎上更系統、全面地構建了完整的個人信息保護制度。然而，自《個人信息保護法》出臺以來，有關其與《民法典》的關系問題一直存在爭議，有學者主張二者是特別法與一般法的關系，也有學者認為《個人信息保護法》是兼具公法與私法性質的綜合性法律，與私法性質的《民法典》并非一般法與特別法的關系。《民法典》與《個人信息保護法》在有關個人信息的定義、分類等方面存在差異，面對同一問題不同規定的情況，二者關系定位不清會導致條文適用的選擇困難。

4.2.2 個人信息保護相關法律規定更新不及時

雖然保護個人信息的專門性法律剛剛出臺，但《中華人民共和國刑法》《民法典》《中華人民共和國電子商務法》《中華人民共和國消費者權益保護法》等部門法已經在各自的規范調整范圍內規定了個人信息保護的相關內容。大數據、云計算、人工智能等新一代信息技術不斷涌現，現有的個人信息保護制度更新不及時，將無法適應數字經濟社會的發展。我國公民個人信息的法律保護一直采取“先刑后民”的立法路徑，《刑法修正案（七）》首次增設有關公民個人信息的相關罪名后，個人信息的相關法律保護才逐漸齊備。侵犯公民個人信息罪是典型的個人信息刑法保護路徑，由于理論供給的先天不足，該罪一直飽受爭議，隨著《民法典》《網絡安全法》《數據安全法》《個人信息保護法》的出臺，侵犯公民個人信息罪在公民個人信息范圍等方面的規定已經與上述法律格格不入，法律規定內部缺乏一致性使法秩序的統一很難實現。

5 個人信息法律保護的完善路徑

5.1 立法精細化調整，完善《中華人民共和國個人信息保護法》法律文本

如前所述，《個人信息保護法》對個人信息保護方面的社會熱點問題作出了積極回應，但相關規定還不夠細致完善，需作出精細化調整。以個人信息可攜權為例，《信息安全技術個人信息安全規范》［25］第8.6條規定了個人信息主體獲取個人信息副本的權利以及技術可行前提下的個人信息直接轉移權，該條規定的個人信息可攜權有以下要點：①根據個人信息主體的請求；②轉移個人信息并非個人信息處理者義務；③個人信息轉移以技術可行為前提；④個人信息主體需指定特定第三方；⑤權利客體包括個人基本資料、個人身份信息、個人健康生理信息、個人教育工作信息。該條基本上明確了個人信息轉移權的具體內容，但仍存在權利行使限制性條款、數據格式標準、權利行使基礎缺失問題。歐盟《一般數據保護條例》第二十條專門規定數據可攜權，第一款明確了數據提供的格式要求，即“有組織的，通用的和機器可讀的格式”，第三和第四款規定了權利行使限制，即“不適用于為執行公共利益任務或者行使數據控制者被授權的職務權限所必要的數據處理”“不應對其他人的權利及自由造成負面影響”［24］。《個人信息保護法》宜在現有規定基礎上借鑒《一般數據保護條例》中關于數據可攜權的規定，進一步完善個人信息可攜權的具體權利內容、適用范圍、權利行使限制、數據傳輸格式要求。

5.2 加快出臺配套法規，健全個人信息法律保護體系

《個人信息保護法》的出臺標志著我國個人信息保護法律體系的初步建成，但其中大部分規定都不具備可操作性，需要通過后續的立法活動繼續補充與細化。因此，應當圍繞《個人信息保護法》加快出臺具有可操作性的配套法規，為執法活動提供指導依據，形成完備的個人信息保護法律體系。具體而言，應加緊制定《個人信息保護法實施條例》，發揮國家網信部門的統籌協調職能。《個人信息保護法》第六十二條規定，國家網信部門一方面要推進有關部門依法制定個人信息保護具體規則、標準；另一方面針對小型個人信息處理者處理敏感個人信息以及人臉識別、人工智能等新技術、新應用，制定專門的個人信息保護規則、標準［1］。個人信息保護相關工作部門應當在國家網信部門的統籌協調下，加快推進具體規則、標準的制定工作，確保個人信息保護制度落地實施。各地應以《個人信息保護法》為依據，結合本地實際情況，加緊出臺個人信息保護地方性法規，制定具有可操作性的規范性文件，對上位法規定作出進一步的細化與補充。此外，除了新法規的制定，現有的個人信息保護法律規定也應以《個人信息保護法》為參照及時更新，以確保個人信息保護法律秩序的統一。

個人信息的法律保護是一個持續且動態的過程，《個人信息保護法》的出臺僅是開端。個人信息保護法律體系已建立但未健全，舊的個人信息保護法律制度亟待更新，新的個人信息保護配套法規亟待出臺。個人信息保護的法律任務依舊任重道遠，后續需要繼續對個人信息保護規則進行精細化調整。