2019年10月，全国政协提案委组织委员赴湖南、贵州专题调研。委员们在调研中发现，目前个人信息保护的司法救助机制不完善，侵犯主体、侵犯责任认定难，取证和举证难度大。  

对已经认定侵犯公民个人信息的，也存在着处罚力度不够的问题，杨贵平称，如工业和信息化部出台的相关规定中，对此类非法行为仅设定了警告和3万元以下罚款的处罚。“相对于贩卖出售个人信息所获巨额利益来说，违法成本明显过低。”这是个人信息保护存在的困境。  

不单是困境，个人信息保护亦存在争议，包括保护个人信息是否影响数据产业的发展、数据属于用户还是属于采集平台等。  

建议：需要明确数据收集、处理、使用的义务边界  

记者注意到，近年已有多名代表委员建议加快制定《个人信息保护法》。  

全国政协委员、北京天达共和律师事务所主任李大进在接受采访时说，我国目前有近40部法律、30余部法规及近200部规章涉及个人信息保护。但由于缺乏顶层立法，现有规定散见于各类法律中，很难发挥震慑作用。  

“我国虽然出台了一些信息安全保护的法律法规，但尚未出台针对个人隐私保护的专门立法。对于泄露个人隐私的处罚较轻，导致侵犯个人隐私的违法成本过低，个人隐私保护力度极其有限。”全国人大代表、北京市律协会长高子程说。  

需要明确数据收集、处理、使用的义务边界，是提出建议代表委员的共识。他们认为，应该明确规定哪些个人信息可以被收集，哪些不能。对于运营主体的收集行为而言，殷兴山认为要有明确正当的目的，要符合“最少、必需”要求，并经过信息主体明示同意。  

“应把个人信息上升为个人基本权利。”全国人大代表、世纪荣华投资控股集团有限公司董事长崔荣华呼吁，她同时提出个人信息保护的知情同意、目的明确、使用限制、信息质量、安全管理、禁止泄露、保存时限和自由流通等八项原则，严格企业和机构的信息保护责任，加大处罚力度。  

她认为，立法应当明确侵害个人信息权利的责任。如因信息采集主体保管不善导致个人信息泄露，信息采集主体应当依法承担相应责任；如工作人员私自泄露了个人信息，除个人应当承担责任外，信息采集主体业应视具体情节也依法承担责任；如信息采集主体对个人信息保管不善，同时又有第三方非法获取并使用个人信息，则信息采集主体与第三方共同承担赔偿责任。  

多年持续关注数据安全立法的全国政协委员、北京国际城市发展研究院院长连玉明则建议，《个人信息保护法》应充分考虑根据应用场景对个人信息进行分类分级保护条款，对行政机关、公共机构的信息收集、使用和处理行为也要加以规范。