南方周末記者 周小鈴 吳超 南方周末實(shí)習(xí)生 閆一帆

個(gè)人信息保護(hù)法的出臺(tái)歷經(jīng)十八年，它將個(gè)人信息保護(hù)權(quán)上升為公民的一項(xiàng)基本權(quán)利?！∫曈X(jué)中國(guó)　?圖

南方周末記者張玥　?整理　梁淑怡?制圖

★當(dāng)前個(gè)保法涉及的是個(gè)人權(quán)益保護(hù)，并不直接解決個(gè)人信息相關(guān)的財(cái)產(chǎn)權(quán)?！傲⒎ㄕ呓o了各方利益平衡的空間?！薄皬奶幜P的最高額度來(lái)說(shuō)，除歐盟外，其他地方?jīng)]有見(jiàn)過(guò)這么高的罰款，能起到一定的威懾作用?！?/p>

2021年8月20日，十三屆全國(guó)人大常委會(huì)第三十次會(huì)議表決通過(guò)了《中華人民共和國(guó)個(gè)人信息保護(hù)法》（以下簡(jiǎn)稱“個(gè)保法”），自2021年11月1日起施行。

距2003年專家起草個(gè)保法建議稿已經(jīng)過(guò)去十八年。2018年，個(gè)保法正式進(jìn)入立法流程。三年，歷經(jīng)三次審議最終成型。

個(gè)保法共分為8章74條，明確了個(gè)人信息處理活動(dòng)中的權(quán)利義務(wù)邊界，是首部完整規(guī)定個(gè)人信息處理規(guī)則的法律。其第一條明確指出，該部法律“根據(jù)憲法”制定，意味著個(gè)人信息保護(hù)權(quán)上升為公民的一項(xiàng)基本權(quán)利。

未界定個(gè)人信息權(quán)屬問(wèn)題

在個(gè)保法出臺(tái)前，已有地方推出與個(gè)人信息相關(guān)的數(shù)據(jù)管理?xiàng)l例，如《深圳行政特區(qū)數(shù)據(jù)條例》《上海市數(shù)據(jù)條例》。

其中，深圳將“個(gè)人數(shù)據(jù)”定義為可識(shí)別特定自然人信息的數(shù)據(jù)，并將個(gè)人數(shù)據(jù)分為自然人享受的人格權(quán)益和其他合法的信息處理者享受的財(cái)產(chǎn)性權(quán)益。

而在個(gè)保法中，并未對(duì)個(gè)人信息的權(quán)屬問(wèn)題作出界定。

中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)研究中心副主任、北京師范大學(xué)網(wǎng)絡(luò)法治國(guó)際中心執(zhí)行主任吳沈括是參與個(gè)保法制定的專家。他向南方周末記者介紹，個(gè)人信息保護(hù)源于憲法對(duì)于公民人格尊嚴(yán)的保護(hù)，個(gè)保法涉及的是個(gè)人權(quán)益保護(hù)，并不直接解決個(gè)人信息相關(guān)的財(cái)產(chǎn)權(quán)?！傲⒎ㄕ呓o了各方利益平衡的空間”。

他補(bǔ)充，數(shù)據(jù)問(wèn)題作為國(guó)家基本民事制度或者基本經(jīng)濟(jì)制度，按照立法要求，應(yīng)為中央立法權(quán)限，地方所有立法應(yīng)遵循國(guó)家的頂層設(shè)計(jì)，各地雖可以先行先試，但必須遵循中央立法確定的個(gè)人數(shù)據(jù)治理、流轉(zhuǎn)和利用的基本規(guī)則。除非有中央立法機(jī)關(guān)的特別授權(quán)。

北京大學(xué)法學(xué)院教授、法治發(fā)展研究院執(zhí)行院長(zhǎng)王錫鋅也是深度參與個(gè)保法立法的專家。他告訴南方周末記者，數(shù)據(jù)產(chǎn)生權(quán)益，但并非所有權(quán)，所有權(quán)是針對(duì)有形物，解決稀缺性的問(wèn)題，而數(shù)據(jù)不具備稀缺性，“我拿過(guò)來(lái)數(shù)據(jù)，你的數(shù)據(jù)并沒(méi)有減少，就像陽(yáng)光。”數(shù)據(jù)和有形物的差異，讓所有權(quán)界定成為難題。

王錫鋅說(shuō)，參與信息處理的各方，個(gè)人、企業(yè)、國(guó)家都可以主張權(quán)益，但權(quán)益分配并非個(gè)保法要解決的問(wèn)題。

環(huán)球律師事務(wù)所網(wǎng)絡(luò)安全與數(shù)據(jù)合規(guī)團(tuán)隊(duì)合伙人孟潔也同意前述觀點(diǎn)。個(gè)保法只是對(duì)個(gè)人信息保護(hù)作出框架性規(guī)定。對(duì)個(gè)人而言，明確哪些權(quán)利受法律保護(hù)，對(duì)控制個(gè)人信息的企業(yè)而言，在保護(hù)個(gè)人信息上又要承擔(dān)哪些義務(wù)。“現(xiàn)在討論財(cái)產(chǎn)權(quán)益歸屬，反而不利于法律的落地”。

中國(guó)人民大學(xué)法學(xué)院教授石佳友向南方周末記者解釋，個(gè)人信息和數(shù)據(jù)是兩回事。如果企業(yè)將用戶信息進(jìn)行匿名化處理，無(wú)法識(shí)別個(gè)人用戶，比如幾百上千個(gè)車主駕駛習(xí)慣分析形成的大數(shù)據(jù)，這屬于企業(yè)所有，與個(gè)人無(wú)關(guān)。個(gè)保法只針對(duì)個(gè)人信息，就是具有身份識(shí)別功能的信息。

五種情況需要個(gè)人單獨(dú)同意

“告知-同意”原則是貫穿個(gè)人信息保護(hù)的基礎(chǔ)規(guī)則，是個(gè)人信息處理者處理用戶信息的前提。

以往，個(gè)人信息處理者提供的是一攬子的同意協(xié)議條款。個(gè)保法明確規(guī)定了兩種“同意機(jī)制”，一是廣泛的同意，二是個(gè)人單獨(dú)同意，特別強(qiáng)調(diào)需在個(gè)人充分知情的基礎(chǔ)上作出明確同意。

王錫鋅舉例，比如涉及敏感個(gè)人信息需要拎出來(lái)獲得用戶個(gè)人的單獨(dú)同意，而不是只有一個(gè)同意與否的選項(xiàng)。如果用戶針對(duì)涉及敏感信息的部分選擇不同意，也不能影響用戶在一般情況下正常使用軟件。敏感個(gè)人信息包括生物識(shí)別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個(gè)人信息。

“原則上是不能收集敏感信息的，除非有特別的目的或明確的必要性?！睆埿聦氄f(shuō)。他是中國(guó)人民大學(xué)法學(xué)院教授、中國(guó)法學(xué)會(huì)網(wǎng)絡(luò)信息法學(xué)研究會(huì)副會(huì)長(zhǎng)，參與個(gè)保法全程立法工作。

孟潔總結(jié)，個(gè)保法中規(guī)定需要單獨(dú)獲得同意的有五類應(yīng)用場(chǎng)景：個(gè)人信息公開(kāi)，向第三方提供個(gè)人信息，向境外提供個(gè)人信息，處理敏感個(gè)人信息，以及并非出于維護(hù)公共安全目的而使用公共場(chǎng)所采集的圖像和身份識(shí)別信息。此外，有法律、行政法規(guī)規(guī)定的，從其規(guī)定。

同時(shí)，個(gè)保法規(guī)定個(gè)人信息處理者要針對(duì)不同類型的信息進(jìn)行分類處理。

吳沈括認(rèn)為，信息分類是立法的總體要求，包括數(shù)據(jù)安全法中提到數(shù)據(jù)分類分級(jí)管理。落實(shí)到個(gè)人信息保護(hù)領(lǐng)域，分為敏感信息和非敏感信息、未成年人信息和成年人信息等。

企業(yè)也可基于自身業(yè)務(wù)實(shí)踐做進(jìn)一步分類。吳沈括說(shuō)，“立法者也是希望企業(yè)能針對(duì)不同類型的數(shù)據(jù)有不同強(qiáng)度、不同形式的保護(hù)，體現(xiàn)個(gè)保法全面保護(hù)的要求”。

對(duì)比個(gè)保法二審稿，對(duì)個(gè)人信息進(jìn)行分級(jí)的表述在正式稿中被刪除。吳沈括表示，在不同場(chǎng)合中個(gè)人信息的敏感性質(zhì)不相同，同一個(gè)信息在不同應(yīng)用場(chǎng)景中的價(jià)值屬性也不相同，拿掉“分級(jí)”是為了給予企業(yè)更具彈性的操作空間，但不意味著個(gè)人信息分級(jí)不重要。

騰訊安全云鼎實(shí)驗(yàn)室數(shù)據(jù)安全專家劉海洋在個(gè)保法頒布當(dāng)晚的一場(chǎng)新媒體沙龍中談到，拆解具體法條后，總結(jié)了個(gè)人信息處理者的九項(xiàng)義務(wù)，包括主動(dòng)刪除、定期審計(jì)、事前評(píng)估、保障行權(quán)、信息泄露補(bǔ)救等。

劉海洋介紹，由于個(gè)保法要求獲得個(gè)人同意和告知的場(chǎng)景較多，直接影響橫向和縱向的上下游。從個(gè)保法要求來(lái)看，一個(gè)授權(quán)解決整個(gè)生態(tài)的問(wèn)題是不可能的。新增的授權(quán)及信息處理要求，尤其梳理業(yè)務(wù)關(guān)聯(lián)關(guān)系時(shí)的工作量非常龐大。

高處罰水平

個(gè)保法通過(guò)后，信息處理者面臨更嚴(yán)格的合規(guī)要求。

比如處理敏感信息時(shí)，要求企業(yè)在特定目的和充分必要性下，采取嚴(yán)格的保護(hù)措施。實(shí)際上，企業(yè)對(duì)嚴(yán)格的保護(hù)措施并沒(méi)有一套統(tǒng)一標(biāo)準(zhǔn)，這也留給了企業(yè)和監(jiān)管機(jī)構(gòu)自主判斷的空間。

“由于個(gè)保法的過(guò)錯(cuò)推定責(zé)任，決定了企業(yè)會(huì)自主選擇用最嚴(yán)格的辦法，在經(jīng)濟(jì)成本承受范圍內(nèi)保護(hù)個(gè)人信息。”吳沈括解釋，只有企業(yè)系統(tǒng)地建章立制、盡全力保護(hù)用戶信息，它才能證明自己在保護(hù)用戶個(gè)人信息上沒(méi)有過(guò)錯(cuò)。

尤其是對(duì)于互聯(lián)網(wǎng)平臺(tái)這類用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的個(gè)人信息處理者，個(gè)保法要求這類企業(yè)要建立個(gè)人信息保護(hù)合規(guī)制度，且要由外部成員組成的獨(dú)立機(jī)構(gòu)來(lái)監(jiān)督；定期發(fā)布個(gè)人信息保護(hù)社會(huì)責(zé)任報(bào)告；違反法律、法規(guī)的個(gè)人信息處理者停止服務(wù)。

王錫鋅說(shuō)，在個(gè)人信息保護(hù)方面企業(yè)合規(guī)需要有適應(yīng)過(guò)程，合規(guī)成本自然也會(huì)隨之增長(zhǎng)。但企業(yè)做好合規(guī)工作，對(duì)投資者也是正向激勵(lì)，也有利于企業(yè)的上市和融資。

涉及數(shù)據(jù)跨境的企業(yè)，個(gè)保法規(guī)定了四條出境途徑：一是通過(guò)網(wǎng)信部門組織的安全評(píng)估，二是由專業(yè)機(jī)構(gòu)提供個(gè)人信息保護(hù)認(rèn)證，三是遵守網(wǎng)信辦后續(xù)發(fā)布的標(biāo)準(zhǔn)的合同條款，四是符合法律、行政法規(guī)或國(guó)家網(wǎng)信部門規(guī)定的其他條件。

王錫鋅補(bǔ)充，數(shù)據(jù)出境不僅涉及個(gè)保法，最主要是涉及數(shù)據(jù)安全。專業(yè)機(jī)構(gòu)提供的第三方認(rèn)證主要看是否做到匿名化處理。匿名化后，這些信息就不再是個(gè)人信息，也不再受個(gè)保法約束，評(píng)估的核心就變成了數(shù)據(jù)安全問(wèn)題。

從處罰金額看，個(gè)保法對(duì)違反個(gè)人信息保護(hù)的企業(yè)規(guī)定了較高的處罰水平。

中國(guó)人民大學(xué)法學(xué)院教授張新寶對(duì)南方周末記者表示，個(gè)保法對(duì)企業(yè)的處罰主要分為兩種情況：對(duì)中小企業(yè)的處理，最高不超過(guò)5000萬(wàn)；對(duì)大型企業(yè)來(lái)說(shuō)，最高罰上年度營(yíng)業(yè)額的百分之五，甚至?xí)和I(yè)務(wù)或吊銷營(yíng)業(yè)許可，處罰落實(shí)到直接責(zé)任人。處罰權(quán)限上升到省級(jí)人民政府的網(wǎng)信部門來(lái)實(shí)施。

張新寶說(shuō)，“從處罰的最高額度來(lái)說(shuō)，除歐盟外，其他地方?jīng)]有見(jiàn)過(guò)這么高的罰款，能夠起到一定的威懾作用?！比欢?，具體的實(shí)施還要根據(jù)網(wǎng)信辦細(xì)則來(lái)執(zhí)行。

值得注意的是，此次個(gè)保法將政府和市場(chǎng)主體一并納為規(guī)范對(duì)象。

禁止“大數(shù)據(jù)殺熟”

個(gè)保法明確保障個(gè)人對(duì)個(gè)人信息享有知情權(quán)、決定權(quán)、查閱復(fù)制權(quán)、刪除權(quán)、規(guī)則解釋權(quán)，有權(quán)限制或拒絕信息處理者處理個(gè)人信息，有權(quán)撤回“同意”。

一直以來(lái)，個(gè)人信息受侵害取證難度大、訴訟時(shí)間長(zhǎng)，使得個(gè)人維權(quán)十分困難。

吳沈括介紹，個(gè)保法明確了用戶維權(quán)的幾條路徑：一是社會(huì)性保護(hù)，通過(guò)消費(fèi)者保護(hù)組織保障；二是行政保護(hù)，通過(guò)國(guó)家行政機(jī)關(guān)設(shè)立的投訴舉報(bào)機(jī)制保障；三是司法保護(hù)，可以個(gè)人訴訟維權(quán)，可以代表人訴訟即集體訴訟，也可以公益訴訟。

吳沈括說(shuō)，這是個(gè)人信息保護(hù)的公益訴訟正式進(jìn)入立法，“是先行先試的舉措”。

此外，個(gè)保法首次提及自然人死亡的個(gè)人信息處理問(wèn)題。自然人死亡后，可由其近親屬代為行使個(gè)人信息保護(hù)相關(guān)權(quán)利。

張新寶解釋，本條有兩個(gè)含義：一是原則上以死者生前意愿為準(zhǔn)，保護(hù)死者的人格與隱私，算是遺囑的一部分。如果死者生前未做表示，近親屬可以在具有合法權(quán)益的情況下代為行權(quán)，但不意味著可以用死者名義發(fā)布微信、帖子，“這就超出合理范圍”。

個(gè)保法也禁止了“大數(shù)據(jù)殺熟”，即個(gè)人信息處理者利用個(gè)人信息進(jìn)行自動(dòng)化決策，不得對(duì)個(gè)人在交易價(jià)格等交易條件上實(shí)行不合理的差別待遇。

王錫鋅分析，與平臺(tái)經(jīng)濟(jì)領(lǐng)域的反壟斷指南不同，個(gè)保法側(cè)重于解決“大數(shù)據(jù)殺熟”中企業(yè)對(duì)個(gè)人數(shù)據(jù)的濫用。

個(gè)保法還規(guī)定了由國(guó)家網(wǎng)信部門來(lái)統(tǒng)籌協(xié)調(diào)個(gè)人信息保護(hù)工作和相關(guān)的監(jiān)督工作。

華東政法大學(xué)教授、數(shù)據(jù)法律研究中心主任高富平告訴南方周末記者，網(wǎng)信辦是網(wǎng)絡(luò)安全的監(jiān)管機(jī)構(gòu)，由網(wǎng)信辦負(fù)責(zé)個(gè)人信息保護(hù)監(jiān)管工作具有先發(fā)優(yōu)勢(shì)。美國(guó)一般放在貿(mào)易委員會(huì)實(shí)施監(jiān)管，歐洲則由專門的數(shù)據(jù)監(jiān)管委員會(huì)負(fù)責(zé)。

中國(guó)社會(huì)科學(xué)院法學(xué)研究所副所長(zhǎng)周漢華在接受南方都市報(bào)采訪時(shí)談到，有專家曾建議設(shè)立統(tǒng)一的執(zhí)法機(jī)構(gòu)，最終沒(méi)有被采納。