為推進大數據應用和數據產業發展，“大數據流通與交易技術國家工程實驗室”于2016年經國家發改委批復，正式落戶上海。實驗室由上海數據交易中心有限公司、中國互聯網信息中心、中國聯通集團、復旦大學、中國信息通信研究院等單位聯合共建，圍繞大數據國家戰略和數字經濟發展，面向大數據關鍵共性技術、垂直行業、國家治理體系，開展數據流通應用的技術、標準和法律規范的協同研究。

個人信息保護是大數據應用的前提，實驗室下設的 “大數據政策法律研究中心”協同相關大數據行業組織，反復論證形成“完善個人信息保護體系，促進大數據產業發展”建議稿。在2017年7月6日上海靜安國際大數據論壇閉門專家會議上，建議稿經討論定稿，以上海共識名義向社會公開發布。

信息的價值在于使用

人類進入網絡化、數據化和智能化時代，大數據技術不僅帶來科技和商業模式的創新，還帶來管理決策方式的變革。在大數據時代，信息成為非常重要的資源，那些與個人有聯系、能夠識別出個人完整情況的信息（又稱個人數據）構成了大數據利用的重要組成部分。現在，個人信息流動和社會化利用成為當今社會發展的必然趨勢，商務活動、政務活動、社會活動都離不開個人信息的收集和利用，進而催生出了專門的數據收集、加工處理等數據服務行業。

個人信息歸屬于個人，法律必須給予切實有效保護。企業在業務中獲取和使用個人信息應當遵循合法、正當、必要的原則，這是世界公認的行為準則。在遵守該準則的前提下，企業經營活動中收集客戶或用戶的個人信息，并用于合法經營目的或合同約定目的是正當的商業行為。超出該準則之外的行為，包括提供給合同外第三方使用（即流通），由于可能會導致個人信息受泄露、披露、公開或被不當使用、非法使用，甚至可能危害到公民人身和財產安全，就應當被禁止。世界各國紛紛制定個人信息保護法，對個人信息收集和使用行為予以規范，在保護個人基本權利的同時，促進個人信息流通使用。

中國目前尚未建立起對個人信息的民事和行政保護體系，尚只是在2009年的《刑法修正案（七）》上確立了侵犯公民個人信息罪，著重打擊非法提供（包括出售）和非法獲取個人信息（包括竊取）行為，兩高發布的《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（法釋〔2017〕10號，下稱《刑法釋2017》）進一步對侵犯個人信息犯罪行為和量刑作出更具體明確的規定，有利于厘清是否入刑的邊界，正確適用刑法。無疑，刑法的規定對于扼制日益猖獗的數據黑產，打擊利用個人信息的各種犯罪行為，保護個人基本權利，維護個人信息利用正當秩序具有非常重要的意義。但是，在現實應用場景中，許多個人信息利用行為的合法與非法、罪與非罪的邊界仍然不清，企業對個人信息的使用仍然面臨著法律上的模糊地帶。

2013年修訂后的《消費者權益保護法》將消費者個人信息保護歸為工商管理部門的職責。2016年6月1日，《網絡安全法》生效，個人信息被納入“網絡信息安全”范圍加以保護，一個國家網信部門統籌監管，電信、公安和其他有關機關分工協作的個人信息行政保護體系由此開始建立。

打擊個人信息的非法利用、保護公民基本權利與促進信息流動、掘取大數據紅利同樣重要。因為，信息的價值在于使用──不僅僅在于自己使用，更在于向社會開放，提供給他人使用。信息的流通是信息社會化利用的必然要求。為了促進大數據的應用，帶動我國產業的升級轉型，我們形成并發布本建議書。

共識

1.個人信息收集、流通和使用是大數據時代企業的生存發展模式，在給社會帶來福祉的同時也存在潛在危害，主要來自：（1）泄露、披露或公開個人信息可能侵害個人隱私，甚至被“不法分子”利用以實施各種犯罪；（2）不當收集、使用或濫用個人信息，例如在個人不知情的情形下，收集處理個人信息，對個人作出錯誤畫像，可能危害個人的尊嚴和自由，甚至帶來歧視。

2.個人信息保護的目的是促進個人信息的合法流通和使用。作為懲治具有社會危害性行為的法律手段，刑法的目的是打擊出售（提供）、購買（獲取）包含個人身份信息、敏感信息的個人信息行為以及利用個人信息從事欺詐等犯罪的行為。因為包含身份信息的個人信息的買賣，不僅導致個人隱私的泄露，嚴重影響了公民的個人利益，而且還可能被用于不法目的，給個人人身和財產安全帶來危害。