7月25日，中国消费者协会发布《2018年上半年全国消协组织受理投诉情况分析》，同时发布了“2018年上半年投诉10大热点”，位列首位的即是“利用微信等互联网社交平台非法搜集消费者个人信息现象成投诉新热点”。前不久，上海市消保委评测地图类APP，发现多款APP过度获取用户敏感权限。另外，类似非法获取、泄露甚至倒卖公民个人信息等恶劣事件时有发生。对于个人隐私，消费者从未像当下这般焦虑。
      如何实现企业之间的数据共享？如何界定个人信息以及立法路径如何选择？如何规制个人信息的过度收集与滥用，维护数据主体的合法权益？如何平衡个人信息保护以及数据商业利用之间的关系？在近日召开的中国互联网大会“个人信息保护论坛”上，个人信息隐私保护问题成为专家关注的焦点。
保护与发展的矛盾
      清华大学法学院院长申卫星告诉记者，包括个人信息在内的数据可以说是工业4.0时代的石油，企业、行业对数据的需求都是非常巨大的，但对数据的使用不可避免地造成了对个人信息的侵害，而过于严格的个人信息保护又会阻碍行业发展，因此要在行业的发展和个人的权利保障之间找到一个平衡。
      5月25日，欧盟《一般数据保护条例》开始正式实施，这一被称为“史上最严厉”的数据保护法规由于其具有“长臂管辖”的特性，使得非欧盟范围内，但在欧盟开展业务的互联网企业，也着手修改其个人信息保护措施，以符合要求。因此也为各国政府加强对公民个人信息的监管与保护提供了重要的立法范式。
      中国互联网协会个人信息保护工作委员会主任委员周汉华指出，在个人信息保护的立法模式上，欧盟与美国存在区别。欧盟的法规更加严格，更重视对个人信息的保护；而美国的法规相对宽松，更有利于企业对包括个人信息在内的数据信息的开发利用，以促进行业发展，但二者都存在失衡的问题。欧盟的严厉法规虽然更好地保护了个人信息，但互联网产业没有得到良好发展；美国的法规促进了互联网产业的蓬勃发展，但被曝光的数据信息泄露重大案例，80%以上都是美国的公司。周汉华认为，探讨我国的个人信息保护立法，必须要超越欧盟和美国两种不同的模式，不能对他国的法规进行简单的移植，只能是根据我国的国情，吸取它们各自的长处，走出一条自己的路。
先进与简陋并存
      与欧盟和美国不同，我国的个人信息保护法律也已经初具规模，并有自己的特点。
      北京师范大学法学院院长卢建平告诉记者，我国的个人信息保护法律体系，走的是刑法先行的逆常规路线。“正常的个人信息保护法规体系，应该是基础法（如《个人信息保护法》）先出，再出秩序法（如民法、行政法等），最后出刑法。但我国早在2009年修订通过的《刑法修正案（七）》就对非法窃取、出售、泄露个人信息的行为作出了规定，而《民法总则》《网络安全法》等和个人信息保护相关的秩序法是近两年出来的，《个人信息保护法》迄今还没出台。”
      在卢建平看来，这一情况有好处也有坏处，好处是能倒逼其他秩序法、基础法尽快出台，而且首先让保护个人信息的法律有了最锋利的“牙齿”。坏处是当时规定的罚则较轻，“情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金”，且犯罪主体是“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”。2015年又有了《刑法修正案（九）》，加重了处罚。最高人民法院和最高人民检察院也出台了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》。
       不同部门法、司法解释相互推动，相互促进是一个好现象，但是也可能会带来法律之间的矛盾冲突问题。比如两个刑法修正案规定的与个人信息相关的犯罪行为是“非法出售或提供”“非法获取或窃取”，而《民法总则》第一百一十一条规定的是“不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息”，其所禁止的行为比刑法修正案要广得多，如果这些行为在《刑法》中没有规定，那对个人信息保护的力度无疑会大大降低。
       北京航空航天大学法学院院长龙卫球则认为，我国的个人信息和数据保护立法是比较先进的，因为《民法总则》第一百一十一条和第一百二十七条对个人信息和数据进行分则规定，这说明我国在立法时没有简单地只考虑数据信息的归属问题，还考虑到如何利用好数据信息的问题，并在二者之间做了平衡。
      吉林大学法学院院长蔡立东也持类似观点。他认为，不能脱离中国的现实和国家治理的需要来界定个人信息范围、个人信息保护方式。现行的法律并未将个人信息上升到具体人格权的程度，但《民法总则》同时又承认了隐私权，将个人信息和个人隐私分开。这种保护模式是比较合理的，一方面它要保护个人信息不被滥用，另一方面又保证了在现代国家治理的过程中需要使用个人信息。
建立激励相容制度
      对于未来我国应如何进一步完善个人信息保护法律法规体系这一问题，在中国互联网协会个人信息保护工作委员会主任委员周汉华看来，核心是要建立“激励相容”的制度，如果激励不相容，那法律很容易成为摆设或者运动式执法、选择性执法甚至是执法腐败的温床。
      所谓“激励相容”是一个经济学上的概念，简单说就是：在市场经济中，个人行为会按自利的规则行动；如果能有一种制度使追求个人利益的行为与集体价值最大化的目标相吻合，就是“激励相容”。
      “对掌握数据和个人信息的企业如果没有保护其利益的激励机制，只是一味要求其尽保护个人信息的义务，那么，最后要么执法效果会很差，要么抑制行业发展。但如果对企业没有很强的外部威慑，也不能指望其靠内在的发育来解决个人信息的保护问题，因为企业要追逐利润。”周汉华认为，个人信息保护立法真正要做的是，建立一个可以调动企业保护个人信息数据积极性的制度，使个人信息保护符合企业自身利益，同时还要完善执法体制，提高执法能力，形成有效外部威慑，才能促成激励相容机制的产生。
      清华大学法学院院长申卫星则认为，知情同意原则应该是个人信息保护的核心，即企业在采集个人信息时必须充分告知，并得到被采集者的同意，才能进行信息采集。知情同意是平衡个人权利保护和行业对数据的需求发展的很好工具，但告知要充分，个人也要有相应的同意能力。“现行的一些法律法规虽然有知情同意的规定，但还不充分。尤其是现在企业在‘充分告知’时往往会提供一个数量庞大的文本，信息告知过于充分，导致信息超载，让用户不堪其烦，不得不点击同意，这样的信息告知其实依然是不充分的。”
      吉林大学法学院院长蔡立东认为，一定要区分个人信息和非个人信息，个人信息和隐私之间的关系。对属于隐私的信息要用隐私权的法律法规加以保护，对于敏感隐私信息要有更严格的保护，比如规定必须二次授权。此外，还可以探索发挥消费公益诉讼在保护个人信息中的作用，对侵害消费者个人信息的行为，省级以上消协组织可以提起公益诉讼。