经济观察网 记者 胡艳明  全国进入两会时间，经济观察网记者获悉，全国政协委员、中国人民银行杭州中心支行行长殷兴山提出《关于大数据广泛应用背景下加强个人信息保护的建议》。

殷兴山表示，随着新技术的迅猛发展，大数据时代已然来临，个人信息（数据）成为经济社会活动的重要元素。以防控新冠肺炎疫情为例，大数据对传染源的追踪和监测发挥了突出作用，复工复产阶段运用大数据形成的健康码大大降低了社会成本。但同时，由于个人信息的资源价值，各个层面都重视挖掘个人信息、行为模式等数据，导致个人信息使用不断膨胀和扩散，有的被不法分子利用成为诈骗案件，保障个人信息安全迫在眉睫。现阶段，个人信息保护不足的主要表现：

（一）法律制度不健全

我国尚无个人信息保护专项立法，尽管《宪法》《刑法》《民法总则》《网络安全法》《消费者权益保护法》等有所涉及，但针对性和操作性相对欠缺。在法律责任方面，侵害个人信息安全的行为，主要追究刑事和行政责任，民事责任并不凸显，当事人缺乏权利救济的法律依据。

（二）缺乏主管部门

目前没有明确的主管部门对侵犯个人信息安全的行为进行调查、取证、制止、处罚等。现有的公共管理部门，从网络安全或从消费者权益保护角度介入，但部门间缺乏有效沟通。

（三）运营主体缺乏规范

一是市场进入不规范。运营主体只要设置一个平台或APP就可以收集使用者个人信息，有的运用“网络爬虫”收集，有的植入木马程序通过红包、链接违规收集。二是运营主体处于强势地位，强制授权、过度索权、超范围收集个人信息。三是运营主体使用信息缺乏约束，把个人信息作为自身资源任意使用，如用于个人信用评价等。四是运营主体信息保管不当，没有严格的管理和技术防护措施，甚至出现非法倒卖个人信息谋利的现象。

（四）信息主体保护意识淡薄

信息主体缺乏信息自决的权利意识，为寻求方便快捷，按服务商要求上传“人脸”“指纹”等敏感个人信息。也有的在网上展示身份、财富，分享家庭生活和心得心情，将大量个人信息暴露在网上。

由此，殷兴山提出四点建议：

（一）加快立法进程

2019年3月，全国人大已将《个人信息保护法》纳入立法规划，建议加快立法进程。通过专门立法，统一对公私领域的个人信息保护，明确运营主体收集、使用个人信息的原则、程序和保密、保护义务，不当使用、保护不力的法律责任以及监管部门的监督手段和处罚措施等。

（二）设立专门监管机构

建议在立法中明确专门机构负责或牵头负责个人信息保护工作，建立统一的制度规范，有权监督运营主体，并对违规行为进行处理。若采取牵头负责模式，监管机构要发挥协调职能，相关部门应依法配合。

（三）确立运营主体运营规范

一是明确运营主体必须依法采集、使用、保管个人信息，有明确正当的目的，符合“最少、必需”要求，并经过信息主体明示同意。

二是注重平衡保护，在强调个人信息保密义务的同时，明确基于法律规定、社会公共利益、当事信息主体同意等例外规定，实现特定情形下个人信息无障碍流通。

三是加强从业人员管理，制定信息收集、处理、传输、公开、使用规则，做好流程监控，一旦发生信息泄露事件，严格追究相关人员责任。同时将技术防护纳入法律规范，推动运营主体加大技防投入。

（四）赋予信息主体自我保护权力

一是明确“信息自决权”，信息主体有权决定是否告知或允许他人利用自己的信息。建立“知情同意”制度，只有信息主体知情同意，运营主体方可采集、保管、使用个人信息。

二是赋予“被遗忘权”，借鉴欧盟《通用数据保护条例》，信息主体行使“被遗忘权”时，运营主体不仅要删除自己所掌握的信息，还要对公开传播的信息负责，有义务通知其他人停止利用并删除。

三是赋予审查、拒绝权。信息主体有权审查运营主体的适格性，仅向合法运营主体提供个人信息，对超范围收集信息，有权提出异议或拒绝提供。

四是赋予救济权。当信息主体发现信息被滥用或泄露，有依法寻求行政、民事乃至刑事救济的权利。