◎中國電子信息產(chǎn)業(yè)發(fā)展研究院 王偉潔

2021年8月20日，《中華人民共和國個人信息保護法》（以下簡稱《個保法》）正式通過，并將于2021年11月1日起正式實施?！秱€保法》的出臺為個人權(quán)益的保護構(gòu)建了基本法律框架，也為相關(guān)個人信息處理者提供了具體的合規(guī)指引，標(biāo)志著我國個人信息保護邁出了具有里程碑意義的一步，進一步完善了我國在數(shù)據(jù)領(lǐng)域的立法體系。

一、《個保法》主要內(nèi)容

（一）明確了個人信息的處理原則

個人信息處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開等環(huán)節(jié)。在充分結(jié)合國內(nèi)外實踐經(jīng)驗、立法成果以及個人保護要求后，《個保法》確立了個人信息處理的三類原則：一是處理個人信息應(yīng)滿足一般原則要求，包括合法正當(dāng)、具有明確及合理目的、對個人權(quán)益影響最小、遵循公開透明處理原則等。二是處理生物識別、醫(yī)療健康、行蹤軌跡等易導(dǎo)致個體人格尊嚴(yán)、人身、財產(chǎn)安全受到侵害的，以及未滿14周歲未成年人的個人敏感信息時，應(yīng)建立更為嚴(yán)格的保護措施，否則不予相關(guān)主體處理敏感信息的資格。三是國家機關(guān)處理個人信息應(yīng)滿足特別規(guī)定，包括境內(nèi)存儲個人信息、出境安全評估、不得超出履行法定職責(zé)所必需的范圍和限度等。

（二）提出了個人信息處理者的責(zé)任義務(wù)

一方面，要求個人信息處理者建立符合法律規(guī)定的內(nèi)部個人信息保護制度，如開展對個人信息的分級分類管理、采取加密、去標(biāo)識化等技術(shù)措施強化個人信息處理操作權(quán)限、定期開展從業(yè)人員安全教育和培訓(xùn)、制定個人信息安全事件應(yīng)急預(yù)案、開展個人信息保護安全評估、設(shè)置個人信息保護負(fù)責(zé)人等。另一方面，為具有巨大用戶數(shù)量、復(fù)雜業(yè)務(wù)類型的互聯(lián)網(wǎng)平臺制定了針對性要求，包括要求其建立公開、公平、公正的平臺規(guī)則，定期發(fā)布個人信息保護社會責(zé)任報告、接受社會監(jiān)督等。

（三）強化個人信息安全監(jiān)督管理

一方面，為夯實個人信息安全監(jiān)管基礎(chǔ)，《個保法》建立了個人信息保護機構(gòu)機制，并進一步明確了各監(jiān)管部門監(jiān)管范圍和基本職責(zé)。具體包括，由國家網(wǎng)信部門負(fù)責(zé)統(tǒng)籌協(xié)調(diào)個人信息保護具體規(guī)則制定、個人信息保護評估認(rèn)證推進等相關(guān)工作，國務(wù)院有關(guān)部門、各地方相關(guān)部門等各司其職進行個人信息保護和監(jiān)督管理。另一方面，《個保法》加大了對個人信息違法活動的處罰力度，設(shè)置的處罰全面覆蓋了常見的違法行為。通過設(shè)置五千萬元或者上一年度營業(yè)額百分之五的高額罰款，對當(dāng)前販賣個人信息、濫采濫用個人信息等侵害個人信息權(quán)益的違法行為進行強有力的威懾，實現(xiàn)了對各類違法主體的精準(zhǔn)打擊，大大增加企業(yè)的違法成本。

（四）賦予個人信息主體六大權(quán)利

《個保法》從法律層面賦予個人信息主體關(guān)于個人信息保護的各項權(quán)利、一是個人知情權(quán)和決定權(quán)，個人可在使用產(chǎn)品和服務(wù)時，限制或拒絕相關(guān)個人信息處理活動；二是個人要求解釋權(quán)，個人可在信息被收集時，要求個人信息處理者對信息收集、使用目的等進行解釋說明；三是更正補充權(quán)，個人可針對不準(zhǔn)確、不完整的個人信息要求個人信息處理者進行更正、補充；四是查閱、復(fù)制和可攜帶權(quán)，個人有權(quán)從個人信息處理者處查閱并獲取個人信息副本，以及請求個人信息處理者直接將其個人信息傳輸給另一實體；五是請求刪除權(quán)，個人有權(quán)通過撤回同意等方式要求信息處理者刪除已收集的信息；六是信息待決定權(quán)，逝者個人信息的查閱、復(fù)制、更正等權(quán)利在一定條件下由其親屬代為執(zhí)行。

（五）進一步細(xì)化了個人信息跨境提供的規(guī)則

一方面，明確了個人信息跨境的三大基本要求，包括要求關(guān)鍵信息基礎(chǔ)設(shè)施運營者、其他一般個人信息處理者及時告知個人、具備向境外提供信息的必要條件、落實對應(yīng)的安全審查義務(wù)。另一方面，建立了個人信息跨境流動領(lǐng)域的國際競爭與合作制度。合作方面，提出了按照平等互惠原則依法向境外提供個人信息。競爭方面，設(shè)置了個人信息境外提供的限制措施，并制定了對等反制策略，及時有效應(yīng)對國外在個人信息保護領(lǐng)域?qū)ξ覈扇〉木哂衅缫曅缘南拗平勾胧?/p>

二、《個保法》核心亮點

《個保法》內(nèi)容較為豐富，針對當(dāng)前社會關(guān)切的個人信息保護問題均有所涉及，直面當(dāng)前個人信息保護中的熱點難點問題。

（一）限制過度收集個人信息，從源頭防范信息泄露

近些年，通過移動App等線上應(yīng)用或攝像頭等線下設(shè)備過度收集用戶信息問題頻頻引發(fā)質(zhì)疑，個人信息采集邊界模糊，個人信息被“瘋狂野蠻開采”?！秱€保法》特別針對個人信息過度收集問題做出回應(yīng)，提出了以“知情同意”為重要核心，以“最少必要信息”為基本原則的個人信息采集要求，明確了除少數(shù)特殊情況外，個人信息采集應(yīng)取得個人同意，且應(yīng)限于實現(xiàn)處理目的的最小范圍，旨在從數(shù)據(jù)全生命周期源頭為個人信息打造“安全保護鎖”。以線下采集人臉信息場景為例，《個保法》規(guī)定，在公共場所采集人臉信息應(yīng)設(shè)置顯著提示標(biāo)識，且僅限于維護公共安全目的，這正是針對此前線下各大商家濫用攝像頭暗自采集人臉信息并用于實施營銷推廣等亂象進行明確法律規(guī)制的體現(xiàn)。

（二）規(guī)范自動化決策，強化消費者權(quán)益保障

《個保法》對基于數(shù)據(jù)和算法的自動化決策所引發(fā)的風(fēng)險問題進行了專門回應(yīng)。一方面，禁止強制性個性化算法推薦。《個保法》明確提出，向個人進行信息推送、商業(yè)營銷，應(yīng)當(dāng)同時提供不針對其個人特征的選項，或者向個人提供便捷的拒絕方式，這為相關(guān)產(chǎn)品和服務(wù)中存在的個性化廣告信息騷擾問題設(shè)置了法律規(guī)制路徑。另一方面，明確禁止大數(shù)據(jù)殺熟。此前，通過數(shù)據(jù)和算法實施價格歧視，在相關(guān)產(chǎn)品和服務(wù)中對不同用戶采取不同價格政策的問題引起了社會各界強烈的反映。現(xiàn)《個保法》明確規(guī)定，個人信息處理者利用個人信息進行自動化決策，不得對個人在交易價格等交易條件上實行不合理的差別待遇。在社會各界的普遍監(jiān)督下，濫用技術(shù)手段實施“大數(shù)據(jù)殺熟”行為的主體將會受到高額罰款、終止服務(wù)等嚴(yán)厲的監(jiān)管處罰。在具備強有力的法律威懾和法律管束的生態(tài)環(huán)境下，消費者權(quán)益將會得到充分保障。

（三）加強兒童和逝者的信息保護，充分考量特殊群體的信息權(quán)利

一方面，為限制線上教育、游戲、短視頻及社交平臺等利用兒童個人信息進行非法牟利，如誘導(dǎo)其進行在線充值、打賞等，《個保法》將不滿十四周歲未成年人的個人信息納入敏感信息范圍，并要求個人信息處理者對此制定專門的個人信息處理規(guī)則，旨在為辨識和控制能力較弱，且尚無完全民事行為能力的兒童群體建立更高級別的保護要求，和美歐等國家的GDPR、CCPA、UPDPA等國外法案相比，兒童個人信息保護是我國個人信息保護法制度的一大創(chuàng)新。另一方面，《個保法》與《民法典》中對逝者的個人隱私保護相關(guān)內(nèi)容進行了有效銜接，明確了逝者親屬為了自身的合法、正當(dāng)利益，可對逝者個人信息行使相關(guān)權(quán)利，并尊重死者的生前安排。將道德與法律有機結(jié)合，是人性化立法的體現(xiàn)。

（四）完善個人信息救濟機制，構(gòu)建個人信息保護閉環(huán)

由于“技術(shù)鴻溝”和“平臺權(quán)利”的存在，在長期的個人信息維權(quán)過程中消費者個人往往處于弱勢地位。為進一步打破個人信息救濟面臨的困境，《個保法》明確了履行個人信息保護職責(zé)的相關(guān)部門應(yīng)接受、處理與個人信息保護有關(guān)的投訴、舉報，并應(yīng)及時處理和告知處理結(jié)果，這使得行政投訴機制形成了有效的閉環(huán)，可保證個人救濟機制良性運轉(zhuǎn)。同時，作為“事后”監(jiān)管機制的一部分，可通過發(fā)揮個體監(jiān)督力量，及時發(fā)現(xiàn)各大技術(shù)應(yīng)用中難以發(fā)覺的個人信息安全風(fēng)險漏洞，并對相關(guān)風(fēng)險開展及時的處置，以避免更大范圍的風(fēng)險擴散。

（五）分類設(shè)置個人信息保護要求，充分確保相關(guān)義務(wù)履行的可行性

不同規(guī)模的個人信息處理者在數(shù)據(jù)體量、技術(shù)能力、管理資源上存在差異，為此，《個保法》對不同規(guī)模的個人信息處理者設(shè)置了不同的義務(wù)要求，提出互聯(lián)網(wǎng)巨頭等大型個人信息處理者需履行“守門人”角色，自行制定有關(guān)個人信息保護的平臺規(guī)則、主動發(fā)布社會責(zé)任公告等，而信息量較少、處理活動簡單、技術(shù)水平較低的小型企業(yè)則由國家網(wǎng)信部門為其制定數(shù)據(jù)處理的相關(guān)規(guī)則。這一舉措也充分體現(xiàn)出我國法律制定對于“因材施教”的考量：針對大型企業(yè)，充分發(fā)揮其主體責(zé)任，重點加強對其個人信息處理活動的監(jiān)管；對于小型企業(yè)，需考慮其強化個人信息保護和負(fù)擔(dān)合規(guī)成本之間的平衡，避免較高的合規(guī)成本成為其創(chuàng)新發(fā)展的阻礙。

三、《個保法》重要意義

（一）建立起與我國數(shù)字實力相匹配的法律制度，使我國個人信息保護“有法可循”

隨著個人信息價值的凸顯，個人信息權(quán)益保護變得愈加重要。過去幾十年，國際上諸多國家紛紛探索個人信息保護制度，并相繼完成個人信息保護相關(guān)立法，如歐盟的GDPR法案，阿根廷和越南的《個人數(shù)據(jù)保護法》以及美國各州出臺的《消費者數(shù)據(jù)保護法》等。在強化個人信息保護方面，我國雖早已發(fā)布關(guān)于個人信息安全保護的多項規(guī)范性文件及國家標(biāo)準(zhǔn)，并組織開展違法違規(guī)行為的專項打擊活動，但由于缺乏具有強威懾力的專項法律制度，個人信息安全亂象屢禁不止，由此對我國數(shù)字技術(shù)和產(chǎn)業(yè)發(fā)展造成的風(fēng)險也逐漸加劇。《個保法》的出臺，在極大保護我國個人信息權(quán)益的同時，也為我國數(shù)字技術(shù)在法律規(guī)定的框架內(nèi)快速發(fā)展創(chuàng)造了條件，并為我國智慧城市、自動駕駛、網(wǎng)絡(luò)零售等數(shù)字產(chǎn)業(yè)平穩(wěn)發(fā)展提供了良好的社會環(huán)境。

（二）彰顯了我國數(shù)字領(lǐng)域“以人為本”的國家治理理念

我國具有豐富的數(shù)據(jù)資源，且相較國外文化更易搜集數(shù)據(jù)，因此在多年的發(fā)展中，我國在以數(shù)據(jù)為核心驅(qū)動力的人工智能、物聯(lián)網(wǎng)等數(shù)字技術(shù)領(lǐng)域占有國際領(lǐng)先優(yōu)勢。但在數(shù)字技術(shù)為我國經(jīng)濟發(fā)展帶來重大機遇的同時，也不斷滋生個人信息安全風(fēng)險隱患，且這些風(fēng)險隱患對不同群體的個人權(quán)益造成了不同程度的嚴(yán)重危害。在此背景下，《個保法》特別對自動化技術(shù)不當(dāng)應(yīng)用產(chǎn)生的“大數(shù)據(jù)殺熟”、“強制個性化推薦”等本能帶來可觀經(jīng)濟收益的技術(shù)應(yīng)用進行了限制，避免人工智能等數(shù)字技術(shù)濫用造成個體對數(shù)字社會發(fā)展的信任裂痕。此外，《個保法》甚至制定了更為嚴(yán)格的規(guī)定，進一步控制數(shù)字技術(shù)及應(yīng)用可能對兒童等弱勢群體造成的影響。此等相關(guān)規(guī)制舉措，均體現(xiàn)了我國在數(shù)字領(lǐng)域的制度制定充分考慮并尊重個人權(quán)利、權(quán)益，充分彰顯了我國數(shù)字領(lǐng)域“以人為本”的國家治理理念。

（三）為全球數(shù)據(jù)治理貢獻(xiàn)了中國解決方案

《個保法》向全世界傳達(dá)了我國保護個人信息權(quán)益、治理網(wǎng)絡(luò)環(huán)境、引導(dǎo)數(shù)字經(jīng)濟健康有序發(fā)展的決心和擔(dān)當(dāng)。一方面，其內(nèi)容與國際通用規(guī)則緊密接軌，其確立的個人信息處理原則、個人信息處理者責(zé)任義務(wù)、設(shè)立個人信息跨境標(biāo)準(zhǔn)合同機制等方面均與國際立法具有較強兼容性，有助于數(shù)字經(jīng)濟的全球化發(fā)展。另一方面，又基于我國自身數(shù)據(jù)技術(shù)、產(chǎn)業(yè)、文化基礎(chǔ)，設(shè)置了中國式特色規(guī)則，如建立了個人權(quán)利體系、將兒童信息列為敏感信息保護、制定了適度有限的域外效力等?；谧陨韲樵O(shè)計個人信息保護領(lǐng)域的中國方案，不僅有益于國內(nèi)數(shù)據(jù)產(chǎn)業(yè)的規(guī)范化發(fā)展，也將成為全球數(shù)字治理中的引領(lǐng)和示范。