首页> 图书频道> 政法> 法学

【个人信息保护工作的总体要求】

2026年02月27日
版权
第十一条 【 个人信息保护 工作的总体要求】

国家建立健全个人信息保护制度,预防和惩治侵害个人信息权益的行为,加强个人信息保护宣传教育,推动形成政府、企业、相关社会组织、公众共同参与个人信息保护的良好环境。

【条文主旨】

本条是关于国家开展个人信息保护工作的总体要求的规定。

【条文理解】

本条明确了国家依法整治互联网及维护个人信息保护良好环境的总体要求。大数据时代,对个人信息的收集、处理、利用无处不在,国家需要从宏观层面进行有效调控,通过健全个人信息保护制度、推进个人信息保护的宣传和教育工作等多举措并行,进一步强化个人信息保护,促进个人信息的安全利用,形成安全、稳定、良好的数据环境。只有这样才能全面、有效提高我国个人信息保护的整体水平,满足我国经济转型和科技创新的发展新需要,推动互联网产业和大数据产业蓬勃发展。

一、个人信息保护制度是个人信息保护工作的基础

保护个人信息的根本目的是协调个人信息主体与个人信息处理者之间的利益博弈关系,个人信息保护制度既要促进信息流通又要确保信息安全,既要考虑个人权益又要考虑社会效益,因此,构建有利于个人数据流通的法律机制是一项复杂的系统工程。

在本法颁布之前,《全国人民代表大会常务委员会关于加强网络信息保护的决定》、消费者权益保护法、网络安全法、刑法修正案(九)、民法典以及数据安全法等法律中,均提及对个人信息的法律保护,初步建立起了个人信息保护相关的制度,以回应社会的关注。但总体上看,存在规定较为零散、制度缺乏协调、执行效果有限等问题,没有形成合力。个人信息保护法既从我国实际出发,坚持问题导向,将实践中行之有效的做法和措施上升为法律规范;同时又充分参考了有关国际组织和国家的有益做法,体现立法的前瞻性和完整性,构造了个人信息处理一系列原则和规则,首次在我国确立一整套系统的个人信息保护法律制度,弥补以前的不足,为处理个人信息保护法与其他法律的关系奠定基础,具有重大的理论和现实意义[27]

二、预防和惩治

本条中的“预防”和“惩治”分别为个人信息保护的事前措施和事后措施。“预防”是指个人信息处理者应当在处理前采取预测、评估、审计等事前措施,以避免个人信息处理行为可能带来的对信息主体等的不利影响;“惩治”是指在发生个人信息安全事件或违法行为后,降低、消除影响等干预和补救工作。

在“预防”和“惩治”两个手段之间,应以预防为主、惩治为辅。一旦发生个人信息安全事件,一般会造成较大范围信息主体的利益受损,而事后的补救、惩治措施往往难以消除或者弥补损害,如一经泄露的信息即失去其保密性。因此,个人信息保护工作的治理关口应当前移,以预防作为主要的保护手段,在事前即控制引起不利后果的可能性或者不确定性,防患于未然。[28]

三、加强宣传教育

当下我国个人信息安全教育普及的覆盖面较窄,相关法律法规宣传力度不足,公众对个人信息安全意识和认识较低,个人信息安全的认知能力和实操能力都亟待提升。有调查显示,目前我国公众对个人信息安全法律法规认知一般,对主动学习个人信息安全知识意愿不强,在日常生活中主动采取有效安全措施的能力弱,如账号密码一号多用等,在大部分被调研者经常收到骚扰电话、垃圾短信的情况下,只有10%左右的受访者认为损失程度严重或很严重[29]

加强个人信息保护宣传教育有利于提高个人信息安全素养。个人信息安全素养包括认知和实操两大方面。认知方面,应加强个人信息主体对个人信息安全问题有基本认识和基本处理态度,个人信息处理者对个人信息安全问题足够重视且有守法、合规的概念;实操方面,个人信息主体应对个人信息的重要性、内涵、威胁来源、权益实现途径等方面有一定了解,个人信息处理者能够采取有效的个人信息保障和安全措施,确保个人信息的收集、处理全过程合法合规。

四、社会共同治理

个人信息保护工作并不只存在于个人信息主体和个人信息处理者之间,也不只是监管部门的监管职责,个人信息安全、有效流通的环境有赖各方社会力量共同参与营造,共同发挥作用,形成共治格局,社会各方主体包括政府、企业、相关社会组织、公众等。

【适用指南】

一、建立健全个人信息保护制度

个人信息保护法已经对个人信息的处理规则、个人在个人信息处理活动中的权利、个人信息处理者的义务等作了较为全面的规定,但也需要预留足够的立法、司法空间,以便适应瞬息万变的数据市场。除此之外,个人信息保护制度在立法、执法、司法上应当与其他法律相衔接、相协调,包括民法典、刑法、电子商务法、网络安全法、数据安全法、消费者权益保护法等,厘清个人信息保护的规范对象和监管主体。

制度的生命力在于实施,国家网信部门等主管部门应履行好个人信息保护的职责,提高监管效率,创新管理模式,为个人信息保护创造良好的立法环境、执法环境和司法环境。

二、开展不同层次的宣传教育工作

个人信息安全素养的提升有赖于多种多样的宣传教育活动。面向未成年人,可以引入学校课堂;面向群众,可以加强社区宣传;面向机关工作人员、企业员工、普通公民等不同主体开展具有针对性的公益讲座、培训等。

三、推动形成行业自律

移动互联网及其应用是个人信息保护的主战场。随着移动互联网的普及,网民个人信息泄露的影响将越来越大,侵犯网民权益的同时也会损害公共利益。因此,推动互联网产业形成行业自律,有利于提高互联网企业个人信息保护意识,引导互联网企业规范地收集、存储及使用个人信息,促进相关法律法规的贯彻落实,推动互联网行业健康、可持续发展。同时,鼓励以行业自律为主和以监管机构外部审查为辅的“双重监管”,尊重行业内部企业自身的意愿,防止过度干预。

2001年《中国互联网行业自律公约》就已经明确了保护用户信息秘密。2013年4月,中国互联网协会联合网络营销服务和互联网用户数据研究服务领域的29家企业发布并签署了国内首份《网络营销与互联网用户数据保护自律宣言》,对网络信息收集做出了约束。[30]2018年,中国互联网协会向互联网业界发布《个人信息保护倡议书》,呼吁业界共同关注个人信息保护问题,促进产业健康有序发展,共筑网络强国之梦。[31]2021年11月1日,在个人信息保护法正式施行当天,中国互联网协会发布了新的《个人信息保护倡议书》,呼吁互联网企业“严格遵守法律规定,贯彻落实法律要求;建立健全管理制度,承担信息保护责任;开展合规审计评估,接受社会公众监督;加强安全教育培训,提高安全防护能力;积极参与普教宣传,促进行业交流合作”。[32]

本条解读中没有涉及其他法规的具体条款,全部为总体性提及。

【相关规定】

《中华人民共和国民法典》;《中华人民共和国刑法》;《中华人民共和国电子商务法》;《中华人民共和国网络安全法》;《中华人民共和国数据安全法》;《中华人民共和国消费者权益保护法》。