建议人：吕忠梅（全国人大代表，省政协副主席，农工党中央常委、湖北省主委，湖北经济学院院长）

案由：随着互联网和信息技术的飞速发展和广泛应用，个人信息一旦遭到不当收集、恶意使用、篡改，将会扰乱公民的生活安宁，危害公民的财产安全，甚至会影响到公民的人身安全。个人信息作为一种重要的信息资源，国家应该尽快制定个人信息保护法，以规范个人信息收集、保存和利用行为。

建议：明确个人信息保护立法的原则。首先，坚持公开收集原则。政府或企业在收集公民个人信息时，应当向其告知有关信息收集的情况。其次，要平衡个人信息保护与行业发展。再次，适应国际化需求，与国际个人信息保护立法接轨。各国已经逐渐认识到了传统隐私权法律保护的不足，隐私权的内涵也已从消极被动的“私生活不受干扰”的人格性权利发展为积极能动的“自己的信息自己控制”兼具人格和财产属性的权利，即个人信息自决权的概念。

我国个人信息保护立法的具体制度。我国个人信息保护法可分为总则（个人信息保护的原则、个人信息的范围等）、用户权利、信息的收集和使用规范、安全保障措施、国家对消费者合法权益的保护（立法、司法、行政）、法律责任、附则等部分组成。1、个人信息的界定 。对于个人信息的界定应当考虑的因素，包括：数据的类型、数据涉及的实体、服务提供商的信任水平、收集方法、设备环境、应用和使用、以及交易各方之间的价值交换。2、明确个人信息收集目的。任何主体不应在个人信息主体不知情、未参与的情况下采取隐蔽技术手段或采用间接方式收集个人信息。收集个人信息前应当明确告知如下事项：收集个人信息的目的、使用范围和收集方式；个人信息管理者的名称、地址、联系办法；不提供个人信息可能出现的后果；个人信息主体的权利；个人信息主体的投诉渠道。3、加大对未成年人等特殊群体的保护。对未成年人的个人信息特殊保护是各国一贯的作法，当运营商发现信息提交者未满16周岁时，应给出明确提示并停止收集行为，为提供必要服务确需收集其个人信息的，应征得其监护人的同意。4、增设用户自主选择权和控制权。赋予用户自主选择权和控制权是个人信息保护的重要手段，既可以保证个人信息的收集获得信息主体的授权，也可以更全面地保证个人信息的使用的安全。5、强化数据泄露通知制度。数据丢失、被窃，或者遭遇未经授权的接入，致使敏感的、可识别个人身份的数据信息的机密状态、完整状态存在受损可能，一旦发生上述情形，个人信息保护法中应当明确相关责任主体需在一定时限内向受损主体或有关执法主体进行通告。6、云计算大数据的使用权限。随着大数据和云计算的普及，促使大量的个人数据收集和分析成为可能，政府和企业的决策越来越依赖大量的数据收集和分析。在这种情况下，数据挖掘、分析技术使数据被利用的可能性增加，数据被收集、使用的风险增大。个人信息保护法可以从立法上明晰个人隐私与公共信息渉及的不同范围界限，明晰公权力进入个人隐私范围的界限，明晰哪些公共信息属开放、共享的范畴。7、智能终端APP个人信息保护。移动APP开发者必须遵循提供易懂、易得的隐私政策；对及时披露收集和处理的数据，取得用户明确、知情授权；告知用户修改、删除、拒绝等权利；在APP设计和实施各个阶段进行隐私设计确保安全。8、建立统一的个人数据保护机构。建立专门机构有利于监督个人数据保护法的落实，提升整个国家的个人数据保护水平，也有利于对各行业、各部门的个人数据保护履行监督管理职责，更有利于为消费者（用户）建立维权申诉的一站式服务。 9、设立个人数据跨境监管制度。个人信息保护法应当规定对涉及到国家安全等重大国家利益的个人数据禁止转移到国外；将用户个人数据转移至境外，应当取得用户的明示同意；国家制定数据跨境转移的合同范本，指导企业跨境转移活动；对于将个人数据转移至他国，以提供给他国政府的，应当取得数据保护机构的同意。