个人信息被滥用所引发的问题近年来持续显现。4月26日至29日即将举行的十三届全国人大常委会第二十八次会议，个人信息保护法草案（二次审议稿）将提交常委会会议审议。

此前，对个人信息的规范散见于《消费者权益保护法》等法律规范，《个人信息保护法》以专门性立法的方式，集中规定个人信息保护的相关问题。

4月22日，全国人大常委会法制工作委员会发言人臧铁伟在记者会回应称，个人信息保护法草案设专节对处理敏感个人信息作出更严格的限制，只有在具有特定目的和充分必要性的情形下，方可处理敏感个人信息，并应取得个人的单独同意或书面同意，在事前进行风险评估。

不少接受采访的专家指出，这将对金融、医疗等涉及很多敏感个人信息的行业产生巨大影响。

此外，据臧铁伟介绍，提请本次常委会会议审议的草案二次审议稿将针对当前个人信息过度收集使用等突出问题，完善个人信息处理应遵循的原则；完善、充实合法处理个人信息的情形、撤回同意、自动化决策、跨境提供个人信息等方面的规则。

设专节更严格规制敏感个人信息

2016年，山东准女大学生徐玉玉遭电信诈骗猝死，个人信息泄露是导致徐玉玉悲剧的原因。徐玉玉案中，非法获取64万条山东省高考考生个人信息并出售的被告杜天禹，最终以非法获取公民个人信息罪获刑6年。

日常生活中，伴随着技术的发展，个人信息的滥用有时让生活不堪其扰，不断的推销电话、广告，随时随地被过度采集的信息。今天（4月22日）最高检发布的个人信息保护公益诉讼典型案例中，杭州一音乐视频教学类APP强制索取“访问设备上的照片、媒体内容和文件”及手机设备号等，涉及违法违规获取、存储用户个人信息数量达千万条以上。

在刑法触角碰不到的地方，如何合理保护个人信息，成为全世界共同关注的话题。据了解，截止2020年4月，全球已经有132个国家进行了个人信息保护的立法。 

中国人民大学民商事法律科学研究中心执行主任石佳友告诉21世纪经济报道记者，迄今为止，我国已有多部法律文件涉及个人信息保护，包括2012年《全国人民代表大会常务委员会关于加强网络信息保护的决定》、2013年修订后的《消费者权益保护法》、2016年《网络安全法》以及2020年《民法典》。“这些规范比较分散，呈现出碎片化的特征。”

2018年《个人信息保护法》被列入本届全国人大常委会的立法规划，石佳友认为，其主要是以专门性立法的方式，集中规定个人信息保护的相关问题。

根据此前公布的个人信息保护法草案，对个人信息的定义是：以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。

互联网行业隐私科技专家王磊向21世纪经济报道记者解释，个人信息的认定标准是识别性、关联性。识别性是指从信息到个人，关联性是指从个人到信息，所以有助于识别出特定个人的信息，以及特定个人在其活动中产生的信息都将被纳入规制。

“基本上处理个人信息较多的企业都会受到影响，互联网企业做用户画像和个性化推荐、精准营销、定向推送广告等行为，此后将被规制。”王磊表示。 

北京安理律师事务所高级合伙人王新锐也表示，《个人信息保护法》出台后，有大量用户的互联网公司影响是最大的。此外，他表示，对于用户量不算很大但涉及很多敏感个人信息（如金融、医疗）的行业也有很大影响。

个人信息保护法草案设专节对处理敏感个人信息作出更严格的限制。其中对敏感个人信息做出定义，即一旦泄露或者非法使用,可能导致个人受到歧视或者人身、财产安全受到严重危害的个人信息，包括种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等信息。

只有在具有特定目的和充分必要性的情形下，方可处理敏感个人信息，并应取得个人的单独同意或书面同意，在事前进行风险评估。

“草案中对敏感个人信息有更强的保护要求，比如单独同意，相关企业是否能做得到，有待观察。”王新锐告诉记者。

此外，王新锐表示，敏感个人信息不被滥用需要更严格的监管。“敏感信息商业价值很大，法律对其使用的要求应非常克制，只能在合理的场景下使用，比如在远程医疗、金融反欺诈中，必须要遵循必要性原则，并且采集后不能滥用。”

用户的更正、删除权对企业合规是挑战

个人信息保护法草案明确个人在个人信息处理活动中的各项权利，包括知情权、决定权、查询权、更正权、删除权等，强化个人信息处理者合规管理和保障个人信息安全的义务。

北京尚隐科技首席执行官张仁卓向21世纪经济报道记者表示，这意味着用户的权利地位得到很大的转变，甚至可以说，将用户放置在权利中心。

赋予用户的查询权、更正权以及删除权，在张仁卓看来会使得企业面临巨大的合规压力。

他表示，平台对用户信息的搜集超过想象，手机型号、CPU情况、功耗、输入信息、网络WiFi、使用习惯被平台企业以超低成本收集。

但个人信息保护法草案中，用户有了主动权，可以改变此前企业强势、用户弱势的局面。

张仁卓解释称，一方面用户可以在查询中知晓、了解自己被收集的信息，这意味着企业收集信息需要更为谨慎。另一方面，用户要求更正、删除信息，看似一个简单的操作，需要后台极为庞杂的运作。一旦用户提出查询个人信息请求，如果企业由于自身操作问题无法准确、全面筛选并提供相关信息，后续可能面临用户维权的情况。

王磊认为，个人信息保护法要求企业处理数据行为方式上要有改变，对企业来讲需要重塑信息保护机制，必须符合法律要求，履行企业处理个人信息的义务、风险评估的义务等，不能再像以前缺乏规制。

不过，企业面临的合规成本是否会折损创新发展？

石佳友认为，企业必须按照法律规定采取相应的合规措施，这是其从事个人信息处理活动并从中获取利益必须负担的合理成本。“企业必须在追求经济利益与保护他人权利之间保持合理的平衡，这也是企业社会责任的重要内涵，企业不得以牺牲个人权利为代价来追求经济效益最大化。”

石佳友表示，草案为信息主体所赋予的权利、为信息处理者所设定的义务都与我国的国情实际是相符合的。相对于《网络安全法》和《民法典》等现行法，《个人信息保护法》草案并没有不合理地大幅增加企业的负担。“企业应当以积极主动的心态去看待和拥抱最新立法，从践行企业社会责任的角度提前做好因应措施。”

不过，王新锐也提出，在欧盟《通用数据保护条例》（GDPR）出台以后，大量欧洲中小企业因为承受不了高额的合规成本，导致其创新能力不足，难以支撑和发展，反而是大型企业的垄断能力得到了强化。

“在合规压力比较大的情况下，大型企业由于其产品对于用户来说有很大吸引力，更加容易做到合法合规，比如，取得用户同意。”王新锐说，而部分中小型企业，在合规能力方面不足，只能被迫退出某些业务。

他表示，希望《个人信息保护法》出台后，也有配套的政策，包括设置很多行业的具体规定，减少“误伤”产业的情况。