7月15日，2021中国网络诚信大会分论坛之一——网络诚信法治建设论坛，在湖南省长沙市举行。本次论坛主题为“依法加强网络信息安全与个人信息保护”，由国家网信办网络法治局主办，中国法学会网络与信息法学研究会承办，法制网、百度公司协办。现将嘉宾发言要点摘登如下，敬请关注——

湖南省委常委、省委秘书长张剑飞：近年来，湖南坚持以习近平新时代中国特色社会主义思想为指导，深入学习贯彻习近平总书记关于湖南工作的系列重要讲话指示精神，加快推进网络强省与数字新湖南建设，高度重视网络诚信法治建设。张剑飞表示，从湖南的探索实践来看，加强网络诚信法治建设、强化网络信息安全与个人信息保护，关键在于“三个坚持”：坚持以习近平法治思想为引领；坚持依法治网与以德润网相结合；坚持以优化信息数据综合治理格局为方向。

最高人民法院党组成员、副院长、二级大法官、中国法学会副会长姜伟：党的十八大以来，以习近平同志为核心的党中央高度重视网络安全和网络诚信建设。我国不断加强对网络信息安全和个人信息的保护力度，法治体系更加健全。完善的法律制度，为净化网络空间，促进网络健康发展，实施网络强国战略提供了强有力的法律支撑。我们要认真学习贯彻习近平法治思想，运用法治思维和法治方式探索管网治网之道，发挥法治规范引导网络行为的基础作用，全面推进网络空间治理法治化。依法治网，营造天朗气清的网络空间。理论先行，加强网络和信息法学基础建设。综合治理，培育诚信向善网络文化。

中央网信办副主任、国家网信办副主任盛荣华：党的十八大以来，以习近平同志为核心的党中央高度重视网络信息安全和个人信息保护工作，对完善相关法律制度、严厉打击违法行为提出明确要求。中央网信办认真贯彻落实习近平总书记重要指示批示精神和党中央决策部署，聚焦个人信息保护重大问题，强化监督治理、惩治违法行为，推动各项工作取得积极进展。要充分发挥依法治网这个基础性手段的作用，坚决整治侵害个人信息权益的违法违规行为，共同营造诚实守信的良好网络环境。以科学立法夯实治理根基。把网络立法作为基础工程，加快推进重点立法进程，推动完善个人信息保护相关法律制度，以良法善治为互联网健康发展保驾护航。以重拳执法净化网络环境。要强化法治红线、提升管理硬度，对违法失信行为出重拳、亮利剑，确保网络执法落地见效。以深入普法凝聚社会共识。要固本培元，深化网络法治宣传教育，让个人信息保护意识入脑入心，强化实践养成，引导网民做依法用网、诚信上网的倡导者、实践者、推动者。以综合治理构建良好格局。要坚持共建共享、综合施策，加快形成主体多元、手段多样、成果共享、务实管用的工作新格局。

中国社会科学院法学研究所副所长、中国法学会网络与信息法学研究会负责人周汉华研究员：社会信用体系建设中信用监管举足轻重，信用信息是信用监管的基础，与个人信息保护密不可分。建议进一步完善信用监管与个人信息保护：第一，坚持合法原则，个人信息保护法为个人信息处理设计了全流程制度，对信用信息处理具有统领性，在此基础上宜加快制定社会信用法，为信用监管奠定法治基础；第二，坚持合理原则，科学界定信用监管作为一种新型监管手段与传统执法手段之间的关系，体现信用监管柔性、全面、持久、多元等特点，与传统执法手段刚柔相济、相互补充；第三，坚持分类治理原则，进一步规范和健全失信行为认定、记录、归集、共享、公开、惩戒和信用修复等机制，特别是分类治理企业征信与个人征信，其中个人信用信息的处理必须以权利保护为基础，避免制度错位；第四，坚持系统治理原则，实现观念、体制、机制、管理手段与监督体系、评价体系等的系统联动变化，加强顶层设计以形成和凝聚改革合力，调动不同主体参与改革的主动性和积极性，处理好短期与长期目标的关系，确保体制、机制之间的有序衔接。

百度集团党委书记、资深副总裁梁志祥：在新发展阶段，更加需要在习近平法治思想的指导下，以法治建设保障数据安全，践行法治诚信。互联网企业在数据安全方面应当注意三点：第一，增强数据主权和国家安全意识，明确数据安全的立法指导思想。数据主权不容质疑，国际数据竞争趋势日益显著，中国规则建设恰逢其时。第二，确立数据分类分级保护法律制度，加强“重要数据”保护。数据安全法首次以法律形式提出国家建立数据分类分级保护制度，明确了自上而下的分类分级保护路径，企业应按照相关标准建立、完善内部数据分类分级保护规则。第三，践行明确数据安全负责人的法治要求，确保安全工作责任到人。数据安全法明确要求重要数据处理者需要明确数据安全负责人和管理机构，落实数据安全保护责任。为此，企业应当根据自身情况建立和完善相应的数据保护组织，明确数据安全负责人的职责，落实数据安全有关法律法规的各项规定。

中国人民大学法学院教授、中国法学会网络与信息法学研究会副会长张新宝：个人信息保护立法是我国互联网法治建设的大事，需要进一步完善个人信息保护公益诉讼的制度建设。第一，关于个人信息保护公益诉讼的提起条件，《中华人民共和国个人信息保护法（草案）》（二次审议稿）第六十九条对个人信息保护的公益诉讼做了原则的规定，未来应结合侵害个人信息的敏感程度和数量予以明确，由实施细则或者司法解释制定可量化标准。第二，关于适格的原告，只有法律规定的特定机关或者组织方能提起公益诉讼。第三，关于侵权责任，个人信息保护公益诉讼可以围绕实际损失提出损害赔偿请求，但并不适宜提出精神损害赔偿和惩罚性赔偿，公益诉讼应主要围绕强制履行个保法第4章所规定的查阅、删除、更正、补充、说明等义务。第四，关于与其他法律责任的关系，基于律责任相互不替代的原则，行政处罚、刑事责任等法律责任的承担不影响公益诉讼的责任和民事责任。

中国移动法律与监管事务部总经理、中国法学会网络与信息法学研究会副会长于莽：5G时代的数据安全治理体系的构建须关注以下方面：第一，在数据安全治理有关法律体系的建构上，未来需要进一步明确法律适用范围边界，构建数据安全治理体系，确定分类分级保护制度，确定数据安全保护制度，确定数据交易管理制度，确定数据跨境流动制度，以及促进数字经济产业发展。第二，在数据安全治理体系构建举措上，建议尽快出台数据安全配套制度，对数据活动的各参与主体权利、义务和责任等进行细化，明确分类分级标准、具体重要数据目录、监管流程等内容；建议社会团体发挥行业自律优势，积极开展有关数据安全行业标准、数据领域法律问题研究等社会活动；建议企业加强数据安全保护义务，一方面要落实《数据安全法》等法律制度，坚持依法诚信经营，另一方面要抓住数智化发展新契机，拓展业务合作空间。

吉林大学党委常委、副校长、中国法学会网络与信息法学研究会副会长蔡立东：个人信息保护法在个人权益方面采取了个体主义的权益配置思路，向个人信息处理者配置全面的信息保护义务，赋予个人信息主体诸多权利。未来个人信息权益配置立法要把握好两方面的辩证关系：一是安全与发展的关系，即个人信息对个体人格尊严具有的安全价值与其社会化利用需求间的关系；二是自由和秩序的关系，即个人信息权利的价值重要性与信息主体行使此种权利能力的有限性间的关系。对此，一方面基于公共利益对个人信息权益予以适度限制，另一方面构建复合型的个人信息保护机制，建立明确的个人信息保护专门机构，运用公权力手段对个人信息加以有效的保护。

北京航空航天大学法学院院长、中国法学会网络与信息法学研究会副会长龙卫球：网络信息化2.0时代面临新型安全和信任问题，一方面需要加强监管克服市场化的弊端，实现治理现代化，另一方面要体现监管的适时性和针对性，既要做到审慎监管与适时监管，同步建设新型安全与信任问题，又要做到一般监管与重点监管，加快建立和健全从数据和个人信息安全和可信任的重点监管。对此，需要建立相关新的法律监管体系和机制，要点在于覆盖网络信息活动的全流程和各环节，合理设计相应监管治理机制，实现行为监管和科技监管的结合，实时确保网络信息安全可信。

北京大学法学院教授、北京大学知识产权学院常务副院长张平：合法、正当、必要是个人信息保护的基本原则，贯穿于个人信息处理的全流程，告知－同意是最基本的合规要件，既是自律层面善意的证明，也是监管部门的执法依据。企业需要遵循法律所规定的关于告知－同意的最简单表达。告知包括政策告知、事件告知、同步告知等形式。未来需要进一步就企业的告知－同意出台复合性的合规标准，在实践中结合不同场景落实告知－同意制度，给予监管部门具体的执法参考。

法制网总裁万学忠：随着信息技术和经济社会的交汇融合，互联网新业态、新问题层出不穷，法律在面临挑战的同时，也在积极跟进、积极回应。数据安全法的出台就是立法积极回应的典型案例。互联网时代超大型平台所掌握的超大数据，关系国家安全、经济安全、社会稳定，在某种意义上已不仅仅是企业的私有资产，相反，已具备公共属性，这些数据的安全和合规处理应受到执法监督和媒体监督。执法机构履行监管职能、媒体履行监督职能，都面临能力的挑战，都要提升对互联网新业态的认知、提升对互联网新技术的应用能力。

北京理工大学法学院教授洪延青：要完整地认识数据安全法中数据安全含义，应当从安全、控制、利用三个层次展开。所谓“安全”是指国家构建数据安全制度，明确数据安全保护义务，实现技术意义上的数据安全，也是数据安全法最基本的层次。所谓“控制”是基于数据作为国家基础性战略资源的视角，从维护国家主权、安全和发展利益的高度，明确国家能够对一定范围内数据的收集、使用、流动、删除、销毁等环节提出自主控制和支配的强制性要求。所谓“利用”是指公共部门基于公共行政或执法必要性等调取私营部门所持有的数据，以及鉴于数据对于经济生产、公共管理、商务智能等决策支持作用，通过立法推进和便利化公共部门已有数据的再次利用，实现对数据驱动的制度支持，既包括推进政务数据共享，也包括政务数据开放以便利全社会实现数据的增值性利用。

中国社会科学院文化法制研究中心研究员、中国法学会网络与信息法学研究会副秘书长周辉：数据安全合规包括三个维度：首先，数据安全合规是法律和监管对企业运营的基本要求，落实综合治理，也要建立以合规为重要价值目标的体系化工具，推进合规科技应用和合规科技产业发展；其次，数据安全合规是用户的基本诉求和期待；最后，数据安全合规也是企业长远发展的基本能力。对企业而言，不能只看到合规成本，也要意识到，合规是生存力、发展力、竞争力。面向未来，要让科技赋能合规，让合规护航科技，更好地实现科技合规化、合规科技化。

南方财经合规科技研究院院长虞伟：互联网平台的数据安全只有得到政府、社会、公众用户的认可，才能真正促进数据流动和共享，实现数字经济的高质量发展。对此，需要加大对互联网平台数据安全可感知度的建设，促进专家、学者、媒体以及专门机构对互联网平台实现多重监督，例如引进法律人才、技术人才，构建互联网平台透明度、安全可感知度评价指标体系，搭建自主可控的技术平台，定期进行常态化的检测和评估，及时将结果向大众公布，重建信任。

中国信息通信研究院互联网法律研究中心主任方禹：网络领域立法之难根本在于法律的刚性要求与包容网络创新之间的冲突，确定的法律体系在网络环境的实践中往往难以明确底线。因此，立法中既要有刚性、硬性的要求，也要有原则性的要求，从互联网管理向治理转变，通过多元治理以形成整体合规的环境。企业在充分履行数据安全保障义务后，仍然发生数据安全问题的，应当得到一定程度的豁免。

字节跳动数据安全和隐私保护法务负责人田申：新的数据安全风险主要体现于数据滥用而非数据泄露，这将会对数据主体、社会公共利益以及国家安全产生负面影响。对此，应当在数据收集过程中增加关于合规的体系性要求，即在告知同意的基础上，对数据后续共享、利用过程中是否会对主体造成影响、是否与收集目的相一致进行管理与评估，设立系统性的管理措施，将技术措施与法律要求相结合。