7月12日，由中国互联网协会主办、中国互联网协会个人信息保护工作委员会承办的个人信息保护论坛在2018（第十七届）中国互联网大会期间成功举办。工业和信息化部信息通信管理局、网络安全管理局等政府部门负责同志、全国知名法学院专家、互联网企业相关负责人出席了本次论坛。

    工业和信息化部信息通信管理局副局长隋静在致辞中指出，信息采集的广度和深度不断拓展，信息流动日益突破地域和行业，对个人信息保护和安全保障提出了严峻挑战。工业和信息化部作为行业主管部门，高度重视个人信息保护工作，始终将维护用户合法权益、保障行业健康有序发展作为监管的重要理念。一方面，着力完善个人信息保护的规章制度，2013年制定出台了《电信和互联网用户个人信息保护规定》。另一方面，大力加强事中事后监管，强化对用户个人信息收集使用规则的告知、账号注销等环节的监督检查和违法违规行为处置，持续开展手机应用软件、用户个人信息保护技术检测等工作。

工业和信息化部信息通信管理局副局长隋静致辞

中国互联网协会个人信息保护工作委员会主任委员周汉华作主旨演讲。他指出，《个人信息保护法》的制定一直是各界呼吁的热点问题。在立法过程当中，要建立一个激励相容的制度。以欧盟为代表的国家（地区），从个人权利角度论证个人信息保护的必要性。美国实践中更多将个人信息保护作为风险管理处理。路径的选择关键不在于模式差别或者进路不同，也不在于是否一定要立法，而在于个人数据治理的制度设计是否科学。探索中国个人数据治理之道，必须超越欧美两种模式的简单对比或移植，避免简单立法的可能陷阱，找到解决问题的正确方向。在数据沉睡时代，个人数据实际处于未被开发的受保护状态。大数据时代，开发的力度越大，数据面临的风险就越大，失衡现象就愈发严重和常见。个人信息保护需要有效的内部组织架构，培育良性运行外部环境，并循序渐进。如果打破次序，不是先从风险管理角度切入，由易到难，而是反其道而行之，或者一步追求最终目标，势必加大内生机制的形成难度，欲速则不达，事与愿违。中国三十多年成功的渐进改革经验对探索激励相容的数据治理之道有很强的参考意义。放权松绑、改革开放，都是调动内生机制的精妙之笔。强制性法律的实施效果普遍不理想，也是因为简单的命令控制式立法必然会遇到的结果。 

中国互联网协会个人信息保护工作委员会主任委员周汉华作主旨演讲

院长对话环节由中国政法大学副校长时建中主持。清华大学法学院院长申卫星、吉林大学法学院院长蔡立东、北京航空航天大学法学院院长龙卫球、北京师范大学法学院院长卢建平、中国人民大学法学院副院长杨东，分别就个人信息保护的合理边界、数据权益归属、数据治理三个问题进行讨论交流。

院长对话环节现场

清华大学法学院院长申卫星指出，个人信息保护严格来讲是由于利益驱动导致如此复杂。个人信息保护难点是很多个人信息覆在一定的数据之上，例如数据的传输、数据的利用。工业4.0社会将数据比作石油，财富发挥作用，不可避免会引起个人信息的侵害。个人信息保护面临着平衡问题。个人可以以隐私的名义阻止数据的流动，政府可以以国家安全阻止数据的流动，数据不流动使得石油的作用发挥不了。从民法学的角度来讲，一切权利取自于企业和私人，一切限制必须有正当的理由和程序，否则仅仅为了行业发展需要使用数据，就可能会肆意侵害个人信息，显然违反了现代法治的基本理念。但也不意味着二者之间的矛盾没有办法调和。知情同意是平衡个人权利保护和行业对数据的需求发展很好的工具，但告知要充分，知情同意也要有相应的同意能力。知情同意应该有一定的例外，但例外必须有严格的限制。个人信息保护经历了网络经济和数字经济的发展，从野蛮时代到规范时代发展的当下关口，现在是一个非常好的时机，制定一个符合当下文化能够接受，经济发展水平相适应的个人隐私保护的行业标准，以此来规范所有的行业，大浪淘沙一定会留下一批优秀的企业。同时，要倡导数据治理的三个平衡原则，个人权益保障和行业发展之间的平衡，公权力和私权利的平衡，法律与技术共同治理的平衡。

清华大学法学院院长申卫星

吉林大学法学院院长蔡立东指出，个人信息的界定和保护首先是法律规范问题，但它不是在一个法教义学范围内能够完全解决的问题。个人信息保护是经济问题，甚至是一个政治问题、国家战略问题。研究个人信息保护不能脱离中国的现实，不能脱离中国国家治理的特点。个人信息保护立法模式采取了个人信息人格权益加上隐私权的立法体例。个人信息还没有上升到具体人格权的程度，只是人格法益。但《民法总则》同时又承认了隐私权。目前，我们这种保护模式是比较合理的，一方面，有效地保护了个人信息，另一方面，又满足了国家在现代国家治理的过程中收集和利用个人信息的现实需要。如果所有的个人信息都上升为权利保护，权利机制一旦启动，个人信息的收集和利用面临新的问题。他强调，个人信息的范围和个人信息的保护方式不能脱离国家治理的模式选择和国家治理能力、治理体系现代化的现实需求。当下，一劳永逸地解决数据治理问题，时机恐怕还没有来。不如让数据产业先飞一下，看能飞到什么程度。未来数据的治理，要集中在数据利用层面，对实践进行观察、类型化。数据是核心要素，涉及到社会阶层的重新分配，也涉及到社会利益的重新流动，把数据治理结合国家治理，结合中华民族伟大复兴的宏大背景来进行考虑。

吉林大学法学院院长蔡立东

北京师范大学法学院院长卢建平指出，我国个人信息保护立法走的是逆常规路线，也就是"最后法先行、刑法先行"。按照常规，个人信息保护方面要先通过《民法》、《行政法》等划定边界、确定规则，但在其他边界、规则还没有划清前，《刑法》首先划出了一条高压线，这反映了一个很迫切的现实。随着信息时代的来临，信息的重要性、价值越来越突出，但信息的滥用或者对公民个人信息破坏、侵犯到了一个难以容忍的地步。《刑法》不得不出手。这是迫不得已的，虽然有种种弊端，但《刑法》先出手有一个好处，就是倒逼《个人信息保护法》出来。然而至今，《个人信息保护法》还是犹抱琵琶半遮面，不肯出来，但《刑法》倒逼出了《网络安全法》、《民法总则》第111条等。保护个人信息的立法就像筑堤坝一样，刑法只是堤坝最后钢筋水泥的部分，而前置的低度的法，比如说秩序法要先行发挥管理作用，使法律发挥规范、引领、保障的作用。前置法与最后法的时间序列可以打乱，但价值序列即孰重孰轻是绝对不能搞错的。

北京师范大学法学院院长卢建平

北京航空航天大学法学院院长龙卫球指出，数据保护立法或者数据立法的思路，需要从归属走向利用，重利用而不是简单的重归属。过去立法中，物权法、财产法的概念中比较重归属，简单地以归属为中心。但是，从当前数据经济的合理需求逻辑来看，数据保护转向重利用或者归属和利用并重是其基本趋势。我国目前的数据立法或者个人信息保护立法情况总体上走出了一条比较独特、比较先进的路子。《民法总则》第111条和第127条把个人信息保护和数据保护进行分置规定，这是一种非常新颖的模式，也是非常先进的模式，比较好适应了个人信息保护和数据充分利用于经济和社会的双重需要。在具体的个人信息保护方面立法上也比较成熟，虽然没有统一立法，但已经形成比较体系化的规定，除了《民法总则》的原则规定，《网络安全法》和《个人信息安全规范》确立了具体保护规定。在个人信息保护问题上，欧盟比我们严格不少，特别是存在一个反对权或拒绝权，这对于数据产业化是较大障碍，我们在这个方面进行了有利于数据经济的平衡。我们将来数据立法的完善，应该立足数据在经济社会和管理上的合理利用，明确数据开发利用者的必要权利，同时确保数据保护的三大底线，一是必要的个人信息和隐私保护底线，二是信息社会保护底线，数据是信息，许多信息与公众知情权紧密相关，三是信息和数据安全以及其他公共利益的底线。此外，要注意数据问题的动态发展和立法调整。数据有很多新的业务场景，会使过去的规范要求发生变化，包括个人信息保护要求，比如人工智能的应用就可能要推翻很多过去确立的关于个人信息保护的具体规则，比如知情同意规则。总之，我国采取的个人信息保护和数据利用分置并重做法或者说重利用的立法模式，是对世界网络法特别是数据立法的一大贡献，应当坚持在此方向上进行完善和发展。

北京航空航天大学法学院院长龙卫球

中国人民大学法学院副院长杨东指出，个人数据以及隐私的立法应该在一个大的、宏观的数字经济环境背景之下来考量，因为整个经济体系是从传统的工业革命、工业经济向数字革命、数字经济的大变革时期。人工智能（AI）是生产力，大数据是生产资料，区块链是生产关系。要把大数据的生产资料利用好，是一个非常浩大的系统工程，需要很多的制度设计，而不单纯是一个私法的隐私保护或者数据保护，中国需要从宏观、体系化的角度去占领下一个数字经济时代全球的领导地位。目前，中国的立法模式可能是非常先进的，可能是全球非常了不起的一个模式。个人信息保护重要的不在于立法保护本身，而在于有一套保障机制体系，有一个具体的落实政策才是最关键的。同时，要注重新科技带来的挑战，比如，区块链对于个人信息保护的挑战和机遇是巨大的。未来的科技进步可能能够带领法律规则的进步，探索出一个比较好的、有利于中国数字经济发展的个人信息保护模式，建议导入科技驱动型的数据治理体系（Regtech）。

中国人民大学法学院副院长杨东

中国政法大学副校长时建中总结指出，我国个人信息保护立法已经起步，并且表现出了先进性。然而，立法先进性目前虽然在具体的条文有所表现，但更多的还表现为原则以及理念层面。先进的立法原则和理念需要合理的制度、科学的制度模式和具体的制度和实现路径予以保障，否则是好看但不好用，甚至不能用。在现代信息社会，个人信息保护制度的核心是相关主体的权利及权利体系安排。这就涉及到了围绕个人信息或者数据的生成、存储、利用、流动等各个环节来分析在不同主体之间的不同关系、利益。毫无疑问，这是一个复杂的问题，但必须要予以明确。与此同时，与权利配置相对应，就是义务配置和责任配置。回顾我国正在形成过程的个人信息保护制度，形成了刑法倒逼之势。先画出红线，对于推动个人信息法治体系的建设发挥了非常好的作用。其他法律的介入和进一步细化又可以推动刑法得以完善，使得个人信息保护整个法律制度体系得到完善。需要特别指出的是，对于个人信息保护议题的讨论，无疑是一个法律问题，同时也是一个技术问题。所以，我们不仅要进行法学思考，而且要进行技术方面的思考。如何实现技术的规律、技术程序与法治规律和法律程序的有效连接，确实是我们面临的新问题。

中国政法大学副校长时建中

在业界之声环节，全国领军企业相关负责人分别结合企业实际做了精彩的主题演讲。

360集团技术总裁、首席安全官谭晓生分享了360用户个人信息保护实践。经过多年努力，360用户信息保护策略渗透到用户个人信息的整个生命周期，形成了有效的组织架构，定期举办培训课程，开展数据检查和审计，制定严格的数据保护规范。同时，他呼吁产业界在符合法律法规要求下，对所收集的个人信息负责，保证个人信息不泄露的前提下，坚决不滥用个人信息，促进数据合理合法的流动、共享形成数据链，发挥数据的最大价值，保证大数据产业的健康发展。

360集团技术总裁、首席安全官谭晓生作主题演讲

华为消费者BG云服务应用市场业务部部长张凡分析了GDPR规则的效力范围、数据主体权利、法律基础、隐私通知、数据跨境转移、用户同意操作等规则要求，从数据保护的充分性决定、适当的保障措施、豁免场景的三个维度思考了全球化业务的应对策略，建议企业防范内部的数据壁垒，构建系统化、便捷的数据跨境转移解决方案。

华为消费者BG云服务应用市场业务部部长张凡作主题演讲

阿里巴巴集团数据安全负责人张世长介绍了企业通过大量实践总结而得出的个人信息保护合规思路。首先，从国内外法律法规的要求对阿里巴巴集团业务作出分析以建立机制。二是建立完善的组织保障和职责要求体系。三是把合规的能力沉淀成产品服务或者以技术的方式赋能到整个阿里巴巴集团不同的业务之中。同时他指出希望在国家监管部门的帮助下，能够把阿里巴巴个人信息保护方面的尝试和实践经验转换成行业标准，运用到产业实践之中，最终形成良性的他律和自律关系。

阿里巴巴集团数据安全负责人张世长作主题演讲

中国电信综合平台开发运营中心账号事业部总经理陈献青发表了“智能认证 新体验 新价值”的主题演讲。中国电信不仅重视企业自身经营过程中的个人信息保护，还发挥基础网络能力为行业提供个人信息保护的智能化解决方案，通过识别用户手机SIM卡信息进行无密码登录，不仅便捷安全，还能够有效杜绝“账号密码易泄露”、“短信验证码被劫持”、“二次放号引发隐私安全风险”等问题，从而有效地保护了用户的个人信息安全。

中国电信综合平台开发运营中心账号事业部总经理陈献青作主题演讲

中国移动信息安全管理与运行中心品质管理处副经理温暖介绍了企业通过技管结合、立体防护来构建客户信息安全保护的体系。其中，“金库模式”客户信息保护技术手段实现了对网管、业支、业务平台三大领域36套共600余个关键系统的全面覆盖，覆盖范围涵盖中国移动全部31个省公司及各专业公司，实现了高风险操作和高权限账号登录次数下降50%以上，有效地保障了客户信息安全。

中国移动信息安全管理与运行中心品质管理处副经理温暖作主题演讲

腾讯集团大数据法务合规中心总经理王小夏分享了新技术时代互联网企业数据合规管理之道，结合具体案例展示企业产品功能设计优秀实践，从透明度、用户控制力、数据安全三个维度介绍了腾讯数据合规的管理方法，并积极参与管理部门有关行动，从隐私条款内容、展示方式和征得用户同意方式等不同维度加强用户信息保护。

腾讯集团大数据法务合规中心总经理王小夏作主题演讲

京东法律研究院执行院长丁道勤博士介绍了欧盟GDPR的核心内容，并结合产业实践分析了GDPR合规要点和难点，建议思考借鉴风险管理和激励驱动的数据保护理念。数字经济治理规则没有最优，只有最适合。欧美对数据治理的态度有明显差别，背后是由其发展阶段和所处的竞争位势决定。他建议制定符合我国数据经济发展的个人数据保护策略与规则。

京东法律研究院执行院长丁道勤博士作主题演讲

中国信息通信研究院标准所业务与网络研究部副主任孟然以典型的实践案例解读了跨行业号码应用的突出问题，特别是二次放号引发的用户信息泄露风险，介绍了码号服务推进组的主要工作内容，提出了推进跨行业健康码号服务生态体系建设的具体建议。

中国信息通信研究院标准所业务与网络研究部副主任孟然作主题演讲

在会上，中国互联网协会个人信息保护工作委员会副秘书长郝智超发布《个人信息保护行动计划（2018）》。此项行动计划目的是为促进互联网健康有序发展，坚持创新与规范并举、安全与发展并重，贯彻落实“积极利用、科学发展、依法管理、确保安全”的方针，充分发挥行业自律作用，以积极措施推动个人信息保护与数据商业利用之间关系的平衡、良性协调，引导成员单位切实履行主体责任，提高对个人信息保护的意识和水平，切实维护公民、法人和其他组织的合法权益，维护国家安全、社会公共利益，形成个人信息保护行动计划成果，汇集产业界力量，努力推动实现个人信息的合法收集、有序流动、合理利用，营造清朗网络生态。

中国互联网协会个人信息保护工作委员会副秘书长郝智超发布《个人信息保护行动计划（2018）》

论坛由中国互联网协会个人信息保护工作委员会秘书长李美燕主持。互联网界、法律界代表600余人参加会议，通过交流互动，对话研讨，有效汇集行业的中坚力量，信息汇聚，内容精彩，成果丰硕。

中国互联网协会个人信息保护工作委员会秘书长李美燕主持论坛