5月25日，最高人民法院院长周强向十三届全国人大三次会议作最高法工作报告。他在报告中强调，要加大数据安全和个人隐私保护力度，严惩侵犯公民个人信息犯罪，依法审理手机应用擅自读取用户通讯录信息、网络信用平台滥用个人征信数据等案件。

　　数据是资产、数据有价值已经是一种社会共识，与此同时，伴随信息的过度收集、未经用户同意收集的争议也由来已久。

　　按照国家推荐标准《个人信息安全规范》的提示，对用户个人信息的收集应有明确的目的，不得超出产品功能相关目的，收集额外信息。据北京师范大学网络法治国际中心执行主任、中国互联网协会研究中心秘书长吴沈括介绍，在个人信息保护领域，各类App等网络运营者首先需要遵守的是《网络安全法》中关于网络信息安全的基本要求，严格遵循合法、正当、必要三项原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。

　　但在实际生活中，用户在面对无法弃用的各类APP时，往往少有“无可奉告”的自由。“考虑到App类型多样，行业主管部门可以通过发布指南等方式为类型化的业务场景规定信息收集范围。明确权限，细化管理。”吴沈括表示。如根据全国信息安全标准化技术委员会发布的《信息安全技术移动互联网应用（App）收集个人信息基本规范（草案）》，个人征信信息须经用户授权查询；金融借贷类App可收集紧急联系人信息，但仅限两人；App应允许用户手动输入联系人信息，而不应强制读取通讯录。

　　而对于最高级别的生物识别信息，保护力度也自然应是最高级别。“生物特征识别技术，尤其是人脸、指纹、虹膜、掌静脉、声纹、步态形体以及基因等识别技术，正在广泛的应用于智能产品中，也暴露出严重的安全问题。密码丢了可以更换，但是生物识别信息无法更改，一旦泄露，个人可能终身暴露在被攻击和骚扰的风险中。”全国人大代表、联想集团董事长兼CEO杨元庆毫不讳言，他建议，即将出台的《数据安全法》和《个人信息保护法》应明确参与数据全生命周期环节的各类主体，严厉打击各种窃取、滥用、篡改、泄露等非法使用数据的行为。

　　“针对数据处理全生命周期，就所涉及的各方主体明确权责义务是数据规范化治理的核心。关键点在于实现个人权益、产业利益与社会国家利益在具体场景中的合理平衡。目前社会各界最迫切的需求是数据的流转规则体系的建设与落地。”吴沈括解释道。

　　他表示，一方面，期待各级监管机关、司法机关及时更新司法理念，多渠道汇聚社会公众与产业各界有关个人信息流转利用的多样场景，适时推出个人信息监管指南与侵权司法解释等，系统地协调统一各级监管机关、司法机关的业务实践，有效地回应和平衡个人信息流动过程中各利益相关方的差异化诉求，通过透明、高效、经济的监管与司法实现个人权益、产业利益、公共利益乃至国家利益的有机融合。

　　“另一方面，鉴于我国社会与产业发展阶段的现状以及域外个人信息保护的普遍实践，有必要在国家层面建立独立的、专职的个人信息保护机构，进行中立、专业、持续的监管执法活动。”吴沈括建议，对内既有助于实现执法与司法的合理衔接，也有助于支持广大民众有效维护其个人信息民事权益，还有助于政府、企业和其他单位落实各项个人信息保护义务要求。（崔爽）