在5G即将商用之际，一部有针对性的专门法律更利于应对当前的态势，同时也更加便于法律条文的逐步完善。

■本报记者 赵广立

告别“裸奔”！今年两会上传来好消息，一部立足于对个人信息保护的法律规范终于呼之欲出。

3月4日，十三届全国人大二次会议新闻发布会上，新闻发言人张业遂透露，全国人大常委会已将一些与人工智能相关的立法项目，如数字安全法、个人信息保护法等列入本届五年立法规划。

“我从2014年就开始呼吁，连续好几年都提交了相关的议案，今年终于看到了曙光。”在接受《中国科学报》采访时，全国人大代表、南京邮电大学校长杨震告诉记者，我国在5G（第五代移动通信技术）即将商用之际将个人信息保护立法列入规划，不仅非常及时，而且意义重大。

5G时代挑战更大

“科技的进步一方面带来极大便利，另一方面也为个人信息保护带来巨大挑战，尤其是5G。”杨震说，从4G时代人与人之间的通信，到5G时代的联通万物，万物互联将使得信息的采集变得空前全面，每个人在网络中将变得如“透明人”一般，“这个时候，以立法的形式对个人信息加以保护尤为重要”。

个人信息安全问题是社会各界关注的焦点，因个人信息不当采集、滥用、泄露乃至非法买卖，导致公民权益受到侵害的案件时有发生。“5G即将投入商用，对个人信息保护提出了更为迫切的需求。”杨震说，人们在日常生活消费和信息通信体验中的各种信息，将随着通信技术的升级被更便捷地、无感地采集，即使商家不是主动侵犯个人隐私，也带来了各种隐患。

事实上，个人信息保护在我国并非无法可依。目前，我国已有刑法总则、民法总则、消费者权益保护法、网络安全法、电子商务法等多部法律、法规和规章涉及个人信息保护。不过，杨震认为，这些法规总体较为分散，在5G即将商用之际，一部有针对性的专门法律更利于应对当前的态势，同时也更加便于法律条文的逐步完善。

难以一步到位

近年来，全球范围内掀起了一股加强个人隐私保护的热潮，并随着FaceBook创始人兼CEO扎克伯格因深陷“用户数据遭窃事件”频上头条达到顶峰。2018年5月，欧盟颁布的“史上最严”数据保护法案《通用数据保护条例》（GDPR）宣告生效。

我国专门针对个人信息保护的立法，会是中国版的GDPR吗？

“在立法过程中，可以参照国外好的做法，吸取其长处，但也要立足我国国情，制定符合我国大多数公民利益的法律条款。”杨震告诉记者，我国的网络覆盖强度、用户习惯与国外不同，这些因素需要在立法中考虑进去。

不过，杨震也坦言，针对个人信息保护，需要回答的基本问题很多，比如怎么定义个人信息？哪些信息要保护？如何进行保护？应该对未成年人个人信息保护采取哪些妥善措施？诸如此类的问题，此前还没有哪部法律有专门的解释。

比如，全国政协委员、公安部原副部长陈智敏就认为，数据在数字时代应属于私有，相当于农业革命的土地、工业革命的资本，但现行法律并没有赋予其资产属性，数据的所有权、使用权、管理权、交易权等也没有被充分地认同和明确地界定。因此，他提出，要在立法中明确数据的属性。

此外，杨震还提出，个人信息保护法在维护公民隐私的基础上，也要注意保护的“适度”。“个人信息保护法从长远看不应成为互联网企业头上的紧箍咒，而是要成为促进行业规范发展的利好因素。”他表示，这就考验立法者的智慧，如何让立法更科学，既能保护用户个人信息，又能促进科技发展和应用。

全国政协委员、搜狗公司CEO王小川认为，保护与开放并不矛盾，他建议，在确保数据收集、分发、使用等得到国家立法规范与保护的前提下，加快面向人工智能的公共数据开放，营造包容的公共数据流通法治环境。

“如何找到这个平衡点，这是立法的一个难点。”杨震说，这也表明了个人信息保护立法确实有其难度，“要很容易，早就出来了”。他说，类比中国首部电子商务法的制定与实施，个人信息保护法也不可能一下子十全十美，“要根据实际情况不断地完善”。

一靠法律，二靠技术

立法保护个人信息的另一层要义，是维护数据安全。“防止数据被‘黑’，一靠法律，二靠技术。”杨震说，随着技术的革新，攻防双方都在进步，“道高一尺魔高一丈”。

这需要法律和技术综合运用。全国政协委员、中国科学院院士尹浩认为，互联网用户信息安全，需要技术和管理综合施策。

“安全界有一种说法：三分技术，七分管理。一方面要通过法律管理手段让非法攫取和滥用信息的人承受代价，严厉打击盗用互联网用户信息的非法行为，另一方面管理和技术必须相辅相成。”尹浩举例说，例如，如何快速发现窃取和非法使用公民信息行为并进行准确定位，这就需要网络安全防护技术的支撑，如借助人工智能技术建立攻击者的行为模型，通过算法分析快速识别和准确定位非法入侵者等。

不过，随着物联网、信息化、智能化的发展，网络安全防护还面临一些重大挑战。全国政协委员、360集团董事长兼CEO周鸿祎向《中国科学报》介绍道，未来联网设备数以百亿计，不可能在每个终端上都部署防护软件；此外，黑客只要利用一个未知漏洞在未知的时间和地点就能发动攻击，而漏洞却是难以预知的。

“面对这些威胁和挑战，当务之急是能够及时发现网络攻击，靠单点发现是不可能的，唯一的方法要靠大数据。”周鸿祎说，虽然现在各单位建立了很多网络安全防御系统，但是数据没有打通、各自为战，无论是企业、网络安全公司、运营商还是政府部门，都各自掌握一部分数据，只能看到局部情况。

“迫切需要把数据统一起来，建设国家级的网络空间防御系统——网络安全大脑，实现对网络攻击的第一时间发现和及时处置。”周鸿祎介绍说，360过去几年构建了一个安全大脑的原型，综合运用了物联网、移动通信、人工智能、区块链、云计算、大数据、边缘计算等技术，能够发现潜在威胁，初步解决了“谁进来了不知道、是敌是友不知道、干了什么不知道”的问题。

周鸿祎进一步建议，若构建国家级的网络安全大脑，迫切需要发挥制度优势，由国家相关部门牵头，协调网信、工信、公安、科技等部门和单位，组织国企、民企、科研院所等广泛参与。