“应立法保护个人信息。”2006年全国两会期间，全国人大代表张学东提出制定个人信息保护法的建议。这是在中国人大网输入“个人信息保护”进行检索后，有关个人信息保护法最早的一条信息。

时隔15年，作为首部保护公民个人信息的专门法律，个人信息保护法正式实施。

这些年间，个人信息保护立法留下了哪些足迹？从中国人大网有关“个人信息保护”的620个检索结果中，或许可以找到答案。

从条件尚不成熟到被写入立法规划

“关于修改担保法、修改民法通则、制定人格权法、制定个人信息保护法的10件代表议案涉及的4个立法项目，未列入十届全国人大常委会立法规划，法律委员会建议待条件成熟时列入立法规划或者立法计划。”2006年12月29日，十届全国人大常委会第二十五次会议表决通过了《全国人大法律委员会关于第十届全国人民代表大会第四次会议主席团交付审议的代表提出的议案审议结果的报告》。

彼时，制定个人信息保护法的条件尚不成熟，“建议进一步研究”。

2007年全国两会期间，民盟中央提出建议，加快立法进程，将个人信息保护法的制定列入近年全国人大常委会的立法计划。

在同年年底《全国人大法律委员会关于第十届全国人民代表大会第五次会议主席团交付审议的代表提出的议案审议结果的报告》中，这一建议得到回应，“法制工作委员会已就个人信息保护法或者公民隐私权益保护法的问题进行研究”。

而在2008年十一届全国人大常委会立法规划中，个人信息保护等方面的法律制度也被提及，由有关方面继续开展研究论证，视情况作出相应安排。

接下来几年的全国两会上，关于加快个人信息保护法立法进程的呼声不断。例如，2014年全国两会期间，浙江代表团提出“个人信息保护法”已刻不容缓，应明确法律适用范围，确定并设立专门的监督管理机构，明确个人信息主体对个人信息的权利和个人信息保管者的义务；全国人大代表秦希燕则认为，个人信息保护立法存在问题，现有法律规定效力层级较低，相互间缺乏协调性。

2016年年底，《全国人民代表大会法律委员会关于第十二届全国人民代表大会第四次会议主席团交付审议的代表提出的议案审议结果的报告》指出，对于制定个人信息法的建议，法律委员会、法制工作委员会在网络安全法制定工作中、在民法总则草案审议修改工作中作了认真研究吸收，并将在今后的立法工作中进一步认真研究。

直到2018年9月10日，个人信息保护法出现在十三届全国人大常委会立法规划上，类别为“条件比较成熟、任期内拟提请审议的法律草案”。

立法重视个人信息保护

事实上，我国历来重视个人信息保护，在个人信息保护法出台前，已经有多部法律、法规、规章涉及个人信息保护。

2009年2月28日通过的刑法修正案（七）增加了关于个人信息保护的内容，明确规定窃取、非法获取、出售和非法提供公民个人信息的刑事责任，考虑到当时我国个人信息保护方面基本法律还不是很完备，刑法修正案（七）对非法泄露公民个人信息的犯罪行为作了“违反国家规定”的限定；2009年12月26日通过的侵权责任法对个人信息保护也作了规定。

2012年，十一届全国人大常委会第三十次会议审议通过了《关于加强网络信息保护的决定》，虽然只有12条，但对保护个人电子信息及个人隐私发挥了重要作用。

2013年2月，我国首个个人信息保护国家标准《信息安全技术公共及商用服务信息系统个人信息保护指南》实施，将个人信息分为个人一般信息和个人敏感信息，并提出了默许同意和明示同意的概念。

2013年10月25日，十二届全国人大常委会第五次会议表决通过了关于修改消费者权益保护法的决定。修订后的消费者权益保护法将个人信息受到保护作为消费者的一种权益确认下来。

此前，在分组审议消费者权益保护法修正案草案时，全国人大常委会委员汪毅夫指出，就个人信息保护作出明确规定，是修正案草案一个引人注目的进步。“个人信息的保护涉及多个方面、多个层面，建议制定个人信息保护法”。

而在此后的数年中，个人信息保护引来多部法律的关注：在2015年刑法修正案(九）中，为加强公民个人信息保护，新增加编造虚假信息犯罪；2016年11月7日通过的网络安全法，在“网络信息安全”章节规定了“网络运营者对个人信息维护的职责”条款，强化了个人信息保护；2018年8月31日通过的电子商务法，对电子商务活动中的个人信息保护作出具体规定；2020年5月28日通过的民法典，在人格权编对隐私权和个人信息保护进行专章规定。

历经三审

尽管已有多部法律涉及个人信息的保护，但在不少法学专家看来，这些规定比较零散，难以形成严密的保护个人信息的法律网。需要一部法律位阶比较高、专门保护个人信息的法律，个人信息保护法呼之欲出。

2020年10月13日，个人信息保护法草案提请十三届全国人大常委会初次审议。

草案明确了适用范围，健全了个人信息处理规则，完善了个人信息跨境提供规则，并明确个人信息处理活动中个人的权利和处理者义务等，共八章70条。

“个人信息保护法能够进入立法议程，本身就是一个巨大的成功。草案的亮点有很多，包括敏感信息的界定、坚持个人信息与隐私相区分的立场等等。”中国社科院法学所副所长、中国法学会网络与信息法学研究会负责人周汉华此前就草案研讨时指出。

2021年4月29日，中国人大网公布个人信息保护法草案二审稿，二审稿进行了多处修订，包括明确敏感个人信息的性质和范围、强化超大型互联网平台的个人信息保护义务等。

三个半月后，在十三届全国人大常委会第三十次会议上，个人信息保护法草案三审稿提请会议审议。草案对应用程序过度收集个人信息、“大数据杀熟”以及非法买卖、泄露个人信息等作出有针对性规范。

此外，三审稿完善个人信息跨境提供的规则，对按照我国缔结或者参加的国际条约、协定向境外提供个人信息、对转移到境外的个人信息的保护不应低于我国的保护标准等作出规定。

8月20日，十三届全国人大常委会第三十次会议表决通过了个人信息保护法，这部保障个人信息安全的基础性、综合性法律诞生。

“个人信息保护法的颁行极大地加强我国个人信息保护的法制保障，在个人信息保护方面形成了更加完备的制度、提供了更有力的法律保障；个人信息保护法以严密的制度、严格的标准、严厉的责任规范个人信息处理活动，规定了完备的个人在个人信息处理活动中的权利，全方位落实各类组织、个人等个人信息处理者的义务与责任，有力地维护了网络空间良好生态，满足人民日益增长的美好生活需要；个人信息保护法科学的协调个人信息权益保护与个人信息合理利用的关系，建立了权责明确、保护有效、利用规范的个人信息处理规则，从而在保障个人信息权益的基础上，促进了包括个人信息在内的数据信息的自由安全的流动与合理有效的利用，推动了数字经济的健康发展。”清华大学法学院副院长、程啸教授如是评价这部法律。

责任编辑：春彰