“大数据时代，公民个人信息泄露的节点增加，需要一部专门的法律规定各个节点公民个人信息保护的义务。在这方面，目前的立法是缺位的，我们有很多个人信息保护的规定散见在各种制度中，却不成体系。”3月1日，施杰告诉记者。

半数以上电信诈骗涉及个人信息泄漏

2月27日，新华经参研究院和360互联网安全中心发布《关键企业保障网络安全的形势与挑战》报告。报告显示，有半数以上的电信网络诈骗案件与个人信息泄漏有关。

另据360补天平台的统计数据显示，仅在该平台2015年收录的漏洞中，就有1400余个漏洞可造成个人信息泄漏，可泄漏信息规模达55.3亿条。

中国互联网协会发布的《中国网民权益保护调查报告2016》也显示，网民在网购过程中，遭遇“个人信息泄漏”的占51%，84%因信息泄漏受到骚扰、金钱损失等不良影响，一年因个人信息泄漏等遭受的经济损失高达915亿元。

腾讯安全管理部总经理朱劲松介绍，公民个人隐私信息的案件高发，为产业链下游的犯罪提供了便利。他们经黑产渠道拿到各种各样的库，通过做一些清洗和关联，能够对具体的受害人进行精准的画像，然后再为你量身定做一份诈骗的剧本，成功率非常高。

在今年初举行的中央政法工作会议上，中央政治局委员、中央政法委书记孟建柱要求，针对窃取泄露买卖公民个人信息新动向，要深化专项行动，重点打击灰色产业群，强化重点行业信息安全防护措施。

相关法律未成体系

江苏省高级法院近日一份调研报告显示，近3年来，涉及个人信息安全进入诉讼程序的案件有近80件，其中2013年5件、2014年41件、2015年23件。然而，这些案件以刑事案件居多，民事案件在个人信息保护中仅仅以隐私权的角度加以保护，无法应对互联网金融个人信息保护的复杂性。

事实上，刑事打击也存在漏洞。九三学社成员、国家发改委气候中心综合部副主任邹晶说，《刑法》规定了“向他人出售公民个人信息”的，轻则处以三年以下有期徒刑，重则处以三年以上、七年以下有期徒刑，并处罚金，但并未规定罚金的数量。

目前，对个人信息保护作出规定的法律较多但分散，包括《全国人大常委会关于加强网络信息保护的决定》《刑法》《居民身份证法》《消费者权益保护法》和《网络安全法》等，正在制定中的《电子商务法》《民法总则》也重点强调了公民个人信息保护。

邹晶介绍，《消费者权益保护法》规定“消费者享有个人信息依法得到保护的权利”，但没有详细定义和规定。《邮政法》中虽然有明确规定，泄露用户信息会被处以1万元以上5万元以下的罚款，但这项条例也几乎从未被真正执行过。

个人信息分类保护

如何在未来的个人信息保护法中界定个人信息的范围至关重要。施杰认为，在大数据时代，在一些普通信息的基础上就能分析出事关个人隐私、信息安全的“敏感信息”，进而侵害当事人的合法权益。

“个人信息权应被个人数据权取代。个人数据的范围大于个人信息，比如利用cookies收集的网络用户的行为轨迹、浏览记录、打字频率信息等大数据，通过直接间接手段做到可识别化后，就成了个人信息。”中国政法大学传播法研究中心副主任朱巍告诉记者。

施杰认为，需要法律对个人信息进行分类，然后根据类别的不同规定不同的保护力度。

“有些公民个人信息直接关乎公民个人的人格尊严，个人隐私等核心利益，需要法律重点保护。但有的公民个人信息并不直接关系公民的切身利益，但经过数字化分析也能构成对公民的侵权，这类型的公民个人信息需要保护的程度无需如‘个人敏感隐私信息’那么强，一般保护即可。”他说。

法律还被认为应加强各方义务。邹晶介绍，在这方面，国外的案例值得借鉴，例如欧盟在2015年底通过了一项新法案，规定违反“个人信息保护法案”的企业，最高可罚企业全年营业额的4%。