理念对中国个人信息保护框架设计的启示

“经规划的隐私”理念给中国个人信息保护框架设计带来的启示就是：积极主动地去设计保护个人信息。这种思路包括两个方面的内容。

（一）积极主动地解决隐私和个人信息问题

传统的保护思路总是被动的。首先，立法保护本身就有滞后性的特点。中国从新世纪初开始制定个人信息保护法，却至今仍未出台；隐私权在中国到2009年才正式成为一种独立的权利等。这些问题都体现了传统思路的被动性。其次，技术标准和行业规范的颁布也具有被动性。中国个人信息保护的国家标准《信息安全技术公共及商用服务信息系统个人信息保护指南》到2012年11月才发布，而在此之前个人信息泄露和互联网隐私侵害事件频繁发生；至今中国仍未形成专门的个人信息保护行业自律规范。此外，企业在法律环境、自律环境十分宽松的条件下，自然也不愿意增加生产成本，这就使企业在对待个人信息问题时采取的是“来一个解决一个”的方式。而个人——个人信息的主体，往往也只有在经受泄露事件之后才开始意识到自我保护的重要性。中国不同层面在对待隐私或个人信息保护问题上都显示出了被动的态度。个人信息权是一种极易受侵犯的权利，事实证明，只有积极主动地去进行保护才能取得好的效果。消极被动的应对只会产生更多的“牺牲品”，足够多的个人信息泄露事件已为中国敲响了警钟。“先污染，后治理”的落后模式绝不应该出现在个人信息保护工作中。当然，这种主动解决并非要求去预测未知的威胁，而是对能够预测到的个人信息安全风险和威胁进行分析和解决。事实是，在云计算、物联网、移动互联网、智能终端、大数据等大规模发展起来的背景下，诸多的威胁和风险是可以预见的。

（二）通过设计去保护隐私和个人信息

PbD理念中提到，应将隐私和个人信息保护嵌入到产品、系统或物理硬件的设计中去，并在信息产品或系统的整个生命周期内进行保护，同时还对企业内部的隐私文化建设、隐私人事设置、隐私政策制定等提出了体系化的建议。这种思路是目前中国所没有的。我们认为，这种设计思路不仅适用于企业内部，更能扩展到个人信息保护框架中的各个层面。对于国家层面而言，就是要制定出一套完善的个人信息保护法律体系，并设立一个独立的监管机构对法律进行执行和监管，同时配套出台相应的技术标准等。而对于行业层面来说，自律规范和行业指引的内容也应该是有针对性和体系性的，应通过缜密的设计来使这些规范更易被采纳和接受。至于个人层面，在目前中国个人权利保护意识不强的现实情况下，可以通过精密的设计将隐私和个人信息保护意识提升巧妙地体现在各个方面，而不应只是简单而单调地进行宣传教育。