调研情况：

个人数据与个人信息紧密相连，不再是传统意义上，作为一种绝对的财产权或人格权对象而出现，而是对于公共管理而言有了一定的共享性、公共性。但对个人数据进行搜集、分析和使用的过程中，难免会损害到信息主体的隐私权益，因此相关法律依据和立法规制，显得尤为重要。 个人数据保护现状：大数据的数量巨大性、类型多样性、高价值性、快速即时性等特征，给政府、企业和个人等主体均带来了巨大的帮助，政府能够更好的制定国家大计，企业收获了更大的经济利益，个人也因此享受到了更方便迅捷的定制化服务。但是，大数据同时也带来了更多、更难以解决的数据安全问题，一是侵害行为无处不在，涉及各类个人数据采集的线下场合及线上电脑端、移动端等，二是个人数据侵害主要是个人财产侵害。 

问题分析：

1、缺少专门立法，分散的法律条文难以操作。《个人数据保护法》迟迟未予出台，对个人数据的保护分散于各个部门法及行政性规章中，而且各分散的法律条文内容并不完善，碎片化严重，规定不够细化且可操作性差。缺少对个人数据的范围限定和突破性保护的例外性规定。当遇到公民人身安全或国家社会公共利益遭受巨大危机时，法律应赋予相关数据采集机构可以突破保护性原则，及时提供给相关行政侦查和司法机关。 

2、数据监管手段滞后，行政办事效率低下。目前对于个人数据泄露的追踪手段较为滞后，一般都是发生了事件后，相关数据监管部门（公安机关、人力资源主管部门、金融监管机构等）方才进行核查。因为犯罪手段的即时性与瞬间性，无法在第一时间监测到数据泄露或交易事项。而且，不同行政部门对个人数据的保护强度与力度均有所不同，彼此之间的数据库并未实现联网互通，行政办事效率较为低下。 

3、个人维权取证困难，举证责任有待界定。个人数据泄露后，相关受害人并不知晓个人信息将会被如何售卖或利用，且若后期发生财产性损失，个人如何获取被侵权的直接证据也是难题。故除了公安机关立案侦查之外，个人如果因数据被泄露而采取民事维权的救济途径，无法明确具体的侵权行为人和固定相关侵权证据。故此类民事案件的举证责任分配原则有待特殊化规定。 

4、数据泄露刑责过低，司法实践不易操作。我国刑法对公民个人数据的保护力度仍需增强，刑事处罚不够严峻。《刑法》第253条之一规定了非法获取公民个人信息罪，，该条入罪的条件之一为“情节严重”，但究竟什么情况下属于严重，既要考虑个人信息的数量，又要考虑牟利数额，实践中界定难以统一，操作性不强。并且，该条的刑期标准也不高，最重的处罚是3年有期徒刑，并处罚金。 

具体建议：

1、尽快出台《个人数据保护法》 采用基本法与特殊法相结合的模式，在保持现有的一般性法律中有明确规定的情况下，应尽快出台《个人数据保护法》等单行性文本，并根据不同领域的行业特征出台有关金融、电信、电商、旅游等各自不同的个人数据保护特别法；各行业自治机构和地方性政府机关，可以自行出台相关操作指南和配套监管制度。

2、明确个人数据分类层级 个人数据所涉及的主体及种类具有多样化特征，故有必要根据数据的来源和属性为标准进行分类，比如核心数据和一般数据。核心数据范围与个人隐私重合，此类数据的采集使用和转移必须经过公民的授权同意并且明确告知相关使用目的。且一旦发生因个人数据被利用而导致的损坏，法律应规定制止侵权行为持续性的措施及权利救济途径。一般数据通常不具有私密性，这类信息的搜集处理不存在有潜在人员合法权益受到侵害的情况发生，可以适当放宽保护原则，在宽严相济间平衡。 

3、限定个人数据搜集的主体及其职责 在各类监管性行政规章中，设立专章阐明个人数据使用登记备案制度，明确个人数据收集的主体责任。不论个人数据是否具有财产利益，都应做到“专收专用”，防止数据信息收集主体的过量收集和滥用。对于紧急性例外情形，在立法时也应一并考虑，赋予信息收集主体免责事由。 

4、加大刑事处罚力度，入罪量刑标准从严 颁布刑法“非法获取公民个人信息罪”司法解释，增加刑期及限制减刑、今后行业禁业等方式加大处罚力度。