图：中国信息通信研究院泰尔终端实验室副主任马鑫主持论坛。
　　当前，以互联网为代表的信息通信技术已经深度渗透到经济社会的方方面面。基于网络的消费服务百花齐放,产业发展跨界融合,海量数据时刻记录着人们的生产生活，并通过数据的分析与挖掘为网民提供个性化、精准化的服务。
　　在数据共享和流动的过程中，如何界定个人信息？企业如何实现数据流动？用户画像在哪里？这些问题逐渐受到各界广泛关注。
　　顺应现实，中国互联网协会在今年成立了个人信息保护工作委员会，并承办了本届互联网大会的个人信息保护论坛。论坛上，政产学研各界代表共同探讨个人信息保护的相关问题，关注行业热点，聚焦发展难点，回应用户痛点。
个人信息安全正面临挑战
　　“当前，个人信息采集的广度和深度不断拓展，信息流动日益突破地域和行业限制，这对个人信息保护和安全保障提出了更加严峻的挑战。”工业和信息化部信息通信管理局副局长隋静说，“网络安全问题日益凸显，非法获取、泄露甚至倒卖公民个人信息等侵害公民个人信息安全的恶劣事件时有发生，企业合规和执法监管都还面临问题和挑战。”“最近几年的趋势更明显，已经进入到大数据时代。”中国互联网协会个人信息保护工作委员会主任委员周汉华说，大数据时代最重要的就是个人数据，可以说互联网企业做的都是数据生意。大数据的核心是由人、机器和传感器产生的，其中最基本的是个人数据，是由用户活动产生的。他说：“因此我们说进入到大数据时代，怎么处理好大数据的发展和个人信息的保护，是一个基础性的问题，是一个关键的选择。”
　　数据创造价值，数据的流动、共享给国家数据安全防护、个人信息保护带来全新的挑战。面对新形势，如何应对挑战，或如何将挑战变成机遇，变得不可回避。
　　在此背景下，《个人信息保护法》的制定一直是各界呼吁的热点问题。周汉华认为，相关立法有很大的可能性，在新的一届人大立法议程中应该会得到反映。
数据利用和保护激励失衡
　　在立法中，如何既有效保护个人信息，同时又促进信息的有效流动，促进行业的发展？周汉华认为，大数据时代，数据就是核心竞争力，这时候利用和保护激励机制失衡的可能性越发加大。他认为，利用的激励越来越大，但保护激励没有相应地构筑起来。为什么数据没有保护激励？这和数据的特点有关。
　　周汉华认为，第一，数据和传统的生产要素不一样，数据是具有非独占性、非排他性公共产品的特点。我用这个数据开发一个产品，你把这个数据再拿去开发另外一个没有问题，丝毫不影响我的使用，而且数据的复制可以很快，大量的人可以共享、反复使用，因此它具有准公共产品的特点。
　　第二，数据无处不在。因为它多点采集、多场景使用、多人经手、跨国界、跨边界、跨业务线，所以保护难度非常大。
　　第三，人们常说数据是有价值的，是说有数据分析的工具才有价值，否则数据就只是一堆符号。但对数据既没有办法做个保险箱，也没有必要，也就是说你偷去了之后没有处理技术也是处理不了的。
　　第四，数据泄露导致的损失是数据主体，不是数据控制者，因此对控制者难以产生保护数据的激励。
　　利用的激励越来越大，但保护的激励并没有，这种失衡就表现为数据泄露等侵权事件时有发生。周汉华认为，制造一个数据保护的体制，才能实现数据利用和保护的双赢。因此，他呼吁要建立一个激励相容的制度。他认为，《个人信息保护法》立法最重要的就是设计机制，促成数据控制者内生机制的生成。法律不只是惩罚、威慑，法律也有引导和推动作用。
合理使用自己的信息控制权
　　欧盟的《通用数据保护条例》（GDPR）是此次论坛的热门话题。一方面，对于涉及海外业务的厂商来说，GDPR的要求必须达到；另一方面，GDPR的规定对我国的立法和实践也很有借鉴作用。
　　与会者认为，个人信息保护最主要的是应该确认个人对自己的信息有控制权，并与激励相容构成多维度的治理体系。在互联网的环境下，光靠个人自愿同意的方式，是流于形式的。因为用户都会点同意，但你又不能实现或漠视这一权利。因此，相关的法律法规会对数据的性质进行分类。
　　比如我们在用手机时，可能要点大量的“同意”，欧盟GDPR的“同意”比国内的“同意”要求更高，不是给一个按纽或者勾选一个框这样简单，而是有专门的解释和明确的要求。
　　华为终端云服务应用市场业务部部长张凡说：“如GDPR规定，假设这项服务提供的功能是用户使用这个业务必需的，在产品设计时就可以采用‘选择下一步表示同意’的方式，不用再弹一个窗口来要用户点同意。”
　　数据控制者也拥有合法权益，比如要开展业务必须要处理一些数据时，是不需要数据主体明示同意的。
个人数据权益保护难关待突破
　　近年来，由于个人信息泄露事件成为国内外广泛关注的焦点，企业也在采取积极的措施，推进个人信息保护的工作，促进数据合理化使用。
　　“5月25日，360把对欧洲所有的摄像头服务都停掉了。”360集团技术总裁、首席安全官谭晓生说，由于无法在规定时间之前按GDPR的要求改完所有的设置，所以把所有的摄像头服务都停了。
　　谭晓生认为，今天所谓公民个人信息保护是直接关系到国家安全的。他说：“我个人预测，在欧盟的GDPR之后，不管是美国还是中国，未来在信息保护方面都会出台越来越多的法律，因为背后有一个非常强的国家安全诉求在驱动。”
　　作为360第一位首席安全官，谭晓生在2012年上任之后做的第一件事情，就是把360的个人隐私保护相关条例整理并公之于众，接受大家的监督。
　　运用互联网出口监听等技术手段，对信息泄露防患于未然。“查出来大概有100来种确实是涉嫌违规，最终查证有20种确实有问题的。”谭晓生表示，“在几年的时间里，我一直都是最终审批的人。比如游戏部门想开发一个功能，看身边的朋友在玩什么游戏，这件事情直接就被我‘毙’了。首先是GPI坐标不允许采集，为什么一上来就要拿别人的GPI坐标？公司做隐私保护的团队压力是非常大的，业务部门一年给公司挣几十亿元，你是要担责的。”
　　企业对数据的保护也涉及很多技术难度。“比如给用户的隐私通知。你知道一个APP的隐私通知有多少字吗？据华为统计是16000-17000字，这么多字用户是不可能全看的。”张凡说，华为正在寻找一种更友好的方式明确告知数据主体的权益。一些国外的公司也在尝试采用一些新型的方式（如图片、视频），希望可以提升用户的体验，让用户有一个更好、更直接、更清晰明了的方式感知其数据的权益。
　　数据主体权利包括知情权、访问权、修改权、删除权、限制处理权、可携带权、拒绝权等。这些权益的实现，对数据服务提供商来说有很多现实的难度。张凡指出，比如对于知情权可以通过通知的方式解决，对自动化决策（如收到消息、不收到消息）可以通过选框、退订邮件等方式实现。而访问权、删除权等就比较麻烦，因为这些权利的实现首先要有条件，比如证明是这个用户等。可携带权或修改权，则需要一定的处理时间。他认为，这就需要搭建一个专门的平台去服务数据主体的权利请求，同时还要有一套严格的流程做保障。