南方周末記者 周小鈴 吳超 南方周末實習(xí)生 閆一帆

個人信息保護(hù)法的出臺歷經(jīng)十八年，它將個人信息保護(hù)權(quán)上升為公民的一項基本權(quán)利。　視覺中國　?圖

南方周末記者張玥　?整理　梁淑怡?制圖

★當(dāng)前個保法涉及的是個人權(quán)益保護(hù)，并不直接解決個人信息相關(guān)的財產(chǎn)權(quán)?！傲⒎ㄕ呓o了各方利益平衡的空間?！薄皬奶幜P的最高額度來說，除歐盟外，其他地方?jīng)]有見過這么高的罰款，能起到一定的威懾作用。”

2021年8月20日，十三屆全國人大常委會第三十次會議表決通過了《中華人民共和國個人信息保護(hù)法》（以下簡稱“個保法”），自2021年11月1日起施行。

距2003年專家起草個保法建議稿已經(jīng)過去十八年。2018年，個保法正式進(jìn)入立法流程。三年，歷經(jīng)三次審議最終成型。

個保法共分為8章74條，明確了個人信息處理活動中的權(quán)利義務(wù)邊界，是首部完整規(guī)定個人信息處理規(guī)則的法律。其第一條明確指出，該部法律“根據(jù)憲法”制定，意味著個人信息保護(hù)權(quán)上升為公民的一項基本權(quán)利。

未界定個人信息權(quán)屬問題

在個保法出臺前，已有地方推出與個人信息相關(guān)的數(shù)據(jù)管理條例，如《深圳行政特區(qū)數(shù)據(jù)條例》《上海市數(shù)據(jù)條例》。

其中，深圳將“個人數(shù)據(jù)”定義為可識別特定自然人信息的數(shù)據(jù)，并將個人數(shù)據(jù)分為自然人享受的人格權(quán)益和其他合法的信息處理者享受的財產(chǎn)性權(quán)益。

而在個保法中，并未對個人信息的權(quán)屬問題作出界定。

中國互聯(lián)網(wǎng)協(xié)會研究中心副主任、北京師范大學(xué)網(wǎng)絡(luò)法治國際中心執(zhí)行主任吳沈括是參與個保法制定的專家。他向南方周末記者介紹，個人信息保護(hù)源于憲法對于公民人格尊嚴(yán)的保護(hù)，個保法涉及的是個人權(quán)益保護(hù)，并不直接解決個人信息相關(guān)的財產(chǎn)權(quán)。“立法者給了各方利益平衡的空間”。

他補充，數(shù)據(jù)問題作為國家基本民事制度或者基本經(jīng)濟(jì)制度，按照立法要求，應(yīng)為中央立法權(quán)限，地方所有立法應(yīng)遵循國家的頂層設(shè)計，各地雖可以先行先試，但必須遵循中央立法確定的個人數(shù)據(jù)治理、流轉(zhuǎn)和利用的基本規(guī)則。除非有中央立法機關(guān)的特別授權(quán)。

北京大學(xué)法學(xué)院教授、法治發(fā)展研究院執(zhí)行院長王錫鋅也是深度參與個保法立法的專家。他告訴南方周末記者，數(shù)據(jù)產(chǎn)生權(quán)益，但并非所有權(quán)，所有權(quán)是針對有形物，解決稀缺性的問題，而數(shù)據(jù)不具備稀缺性，“我拿過來數(shù)據(jù)，你的數(shù)據(jù)并沒有減少，就像陽光。”數(shù)據(jù)和有形物的差異，讓所有權(quán)界定成為難題。

王錫鋅說，參與信息處理的各方，個人、企業(yè)、國家都可以主張權(quán)益，但權(quán)益分配并非個保法要解決的問題。

環(huán)球律師事務(wù)所網(wǎng)絡(luò)安全與數(shù)據(jù)合規(guī)團(tuán)隊合伙人孟潔也同意前述觀點。個保法只是對個人信息保護(hù)作出框架性規(guī)定。對個人而言，明確哪些權(quán)利受法律保護(hù)，對控制個人信息的企業(yè)而言，在保護(hù)個人信息上又要承擔(dān)哪些義務(wù)?！艾F(xiàn)在討論財產(chǎn)權(quán)益歸屬，反而不利于法律的落地”。

中國人民大學(xué)法學(xué)院教授石佳友向南方周末記者解釋，個人信息和數(shù)據(jù)是兩回事。如果企業(yè)將用戶信息進(jìn)行匿名化處理，無法識別個人用戶，比如幾百上千個車主駕駛習(xí)慣分析形成的大數(shù)據(jù)，這屬于企業(yè)所有，與個人無關(guān)。個保法只針對個人信息，就是具有身份識別功能的信息。

五種情況需要個人單獨同意

“告知-同意”原則是貫穿個人信息保護(hù)的基礎(chǔ)規(guī)則，是個人信息處理者處理用戶信息的前提。

以往，個人信息處理者提供的是一攬子的同意協(xié)議條款。個保法明確規(guī)定了兩種“同意機制”，一是廣泛的同意，二是個人單獨同意，特別強調(diào)需在個人充分知情的基礎(chǔ)上作出明確同意。

王錫鋅舉例，比如涉及敏感個人信息需要拎出來獲得用戶個人的單獨同意，而不是只有一個同意與否的選項。如果用戶針對涉及敏感信息的部分選擇不同意，也不能影響用戶在一般情況下正常使用軟件。敏感個人信息包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息。

“原則上是不能收集敏感信息的，除非有特別的目的或明確的必要性?！睆埿聦氄f。他是中國人民大學(xué)法學(xué)院教授、中國法學(xué)會網(wǎng)絡(luò)信息法學(xué)研究會副會長，參與個保法全程立法工作。

孟潔總結(jié)，個保法中規(guī)定需要單獨獲得同意的有五類應(yīng)用場景：個人信息公開，向第三方提供個人信息，向境外提供個人信息，處理敏感個人信息，以及并非出于維護(hù)公共安全目的而使用公共場所采集的圖像和身份識別信息。此外，有法律、行政法規(guī)規(guī)定的，從其規(guī)定。

同時，個保法規(guī)定個人信息處理者要針對不同類型的信息進(jìn)行分類處理。

吳沈括認(rèn)為，信息分類是立法的總體要求，包括數(shù)據(jù)安全法中提到數(shù)據(jù)分類分級管理。落實到個人信息保護(hù)領(lǐng)域，分為敏感信息和非敏感信息、未成年人信息和成年人信息等。

企業(yè)也可基于自身業(yè)務(wù)實踐做進(jìn)一步分類。吳沈括說，“立法者也是希望企業(yè)能針對不同類型的數(shù)據(jù)有不同強度、不同形式的保護(hù)，體現(xiàn)個保法全面保護(hù)的要求”。

對比個保法二審稿，對個人信息進(jìn)行分級的表述在正式稿中被刪除。吳沈括表示，在不同場合中個人信息的敏感性質(zhì)不相同，同一個信息在不同應(yīng)用場景中的價值屬性也不相同，拿掉“分級”是為了給予企業(yè)更具彈性的操作空間，但不意味著個人信息分級不重要。

騰訊安全云鼎實驗室數(shù)據(jù)安全專家劉海洋在個保法頒布當(dāng)晚的一場新媒體沙龍中談到，拆解具體法條后，總結(jié)了個人信息處理者的九項義務(wù)，包括主動刪除、定期審計、事前評估、保障行權(quán)、信息泄露補救等。

劉海洋介紹，由于個保法要求獲得個人同意和告知的場景較多，直接影響橫向和縱向的上下游。從個保法要求來看，一個授權(quán)解決整個生態(tài)的問題是不可能的。新增的授權(quán)及信息處理要求，尤其梳理業(yè)務(wù)關(guān)聯(lián)關(guān)系時的工作量非常龐大。

高處罰水平

個保法通過后，信息處理者面臨更嚴(yán)格的合規(guī)要求。

比如處理敏感信息時，要求企業(yè)在特定目的和充分必要性下，采取嚴(yán)格的保護(hù)措施。實際上，企業(yè)對嚴(yán)格的保護(hù)措施并沒有一套統(tǒng)一標(biāo)準(zhǔn)，這也留給了企業(yè)和監(jiān)管機構(gòu)自主判斷的空間。

“由于個保法的過錯推定責(zé)任，決定了企業(yè)會自主選擇用最嚴(yán)格的辦法，在經(jīng)濟(jì)成本承受范圍內(nèi)保護(hù)個人信息。”吳沈括解釋，只有企業(yè)系統(tǒng)地建章立制、盡全力保護(hù)用戶信息，它才能證明自己在保護(hù)用戶個人信息上沒有過錯。

尤其是對于互聯(lián)網(wǎng)平臺這類用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的個人信息處理者，個保法要求這類企業(yè)要建立個人信息保護(hù)合規(guī)制度，且要由外部成員組成的獨立機構(gòu)來監(jiān)督；定期發(fā)布個人信息保護(hù)社會責(zé)任報告；違反法律、法規(guī)的個人信息處理者停止服務(wù)。

王錫鋅說，在個人信息保護(hù)方面企業(yè)合規(guī)需要有適應(yīng)過程，合規(guī)成本自然也會隨之增長。但企業(yè)做好合規(guī)工作，對投資者也是正向激勵，也有利于企業(yè)的上市和融資。

涉及數(shù)據(jù)跨境的企業(yè)，個保法規(guī)定了四條出境途徑：一是通過網(wǎng)信部門組織的安全評估，二是由專業(yè)機構(gòu)提供個人信息保護(hù)認(rèn)證，三是遵守網(wǎng)信辦后續(xù)發(fā)布的標(biāo)準(zhǔn)的合同條款，四是符合法律、行政法規(guī)或國家網(wǎng)信部門規(guī)定的其他條件。

王錫鋅補充，數(shù)據(jù)出境不僅涉及個保法，最主要是涉及數(shù)據(jù)安全。專業(yè)機構(gòu)提供的第三方認(rèn)證主要看是否做到匿名化處理。匿名化后，這些信息就不再是個人信息，也不再受個保法約束，評估的核心就變成了數(shù)據(jù)安全問題。

從處罰金額看，個保法對違反個人信息保護(hù)的企業(yè)規(guī)定了較高的處罰水平。

中國人民大學(xué)法學(xué)院教授張新寶對南方周末記者表示，個保法對企業(yè)的處罰主要分為兩種情況：對中小企業(yè)的處理，最高不超過5000萬；對大型企業(yè)來說，最高罰上年度營業(yè)額的百分之五，甚至?xí)和I(yè)務(wù)或吊銷營業(yè)許可，處罰落實到直接責(zé)任人。處罰權(quán)限上升到省級人民政府的網(wǎng)信部門來實施。

張新寶說，“從處罰的最高額度來說，除歐盟外，其他地方?jīng)]有見過這么高的罰款，能夠起到一定的威懾作用。”然而，具體的實施還要根據(jù)網(wǎng)信辦細(xì)則來執(zhí)行。

值得注意的是，此次個保法將政府和市場主體一并納為規(guī)范對象。

禁止“大數(shù)據(jù)殺熟”

個保法明確保障個人對個人信息享有知情權(quán)、決定權(quán)、查閱復(fù)制權(quán)、刪除權(quán)、規(guī)則解釋權(quán)，有權(quán)限制或拒絕信息處理者處理個人信息，有權(quán)撤回“同意”。

一直以來，個人信息受侵害取證難度大、訴訟時間長，使得個人維權(quán)十分困難。

吳沈括介紹，個保法明確了用戶維權(quán)的幾條路徑：一是社會性保護(hù)，通過消費者保護(hù)組織保障；二是行政保護(hù)，通過國家行政機關(guān)設(shè)立的投訴舉報機制保障；三是司法保護(hù)，可以個人訴訟維權(quán)，可以代表人訴訟即集體訴訟，也可以公益訴訟。

吳沈括說，這是個人信息保護(hù)的公益訴訟正式進(jìn)入立法，“是先行先試的舉措”。

此外，個保法首次提及自然人死亡的個人信息處理問題。自然人死亡后，可由其近親屬代為行使個人信息保護(hù)相關(guān)權(quán)利。

張新寶解釋，本條有兩個含義：一是原則上以死者生前意愿為準(zhǔn)，保護(hù)死者的人格與隱私，算是遺囑的一部分。如果死者生前未做表示，近親屬可以在具有合法權(quán)益的情況下代為行權(quán)，但不意味著可以用死者名義發(fā)布微信、帖子，“這就超出合理范圍”。

個保法也禁止了“大數(shù)據(jù)殺熟”，即個人信息處理者利用個人信息進(jìn)行自動化決策，不得對個人在交易價格等交易條件上實行不合理的差別待遇。

王錫鋅分析，與平臺經(jīng)濟(jì)領(lǐng)域的反壟斷指南不同，個保法側(cè)重于解決“大數(shù)據(jù)殺熟”中企業(yè)對個人數(shù)據(jù)的濫用。

個保法還規(guī)定了由國家網(wǎng)信部門來統(tǒng)籌協(xié)調(diào)個人信息保護(hù)工作和相關(guān)的監(jiān)督工作。

華東政法大學(xué)教授、數(shù)據(jù)法律研究中心主任高富平告訴南方周末記者，網(wǎng)信辦是網(wǎng)絡(luò)安全的監(jiān)管機構(gòu)，由網(wǎng)信辦負(fù)責(zé)個人信息保護(hù)監(jiān)管工作具有先發(fā)優(yōu)勢。美國一般放在貿(mào)易委員會實施監(jiān)管，歐洲則由專門的數(shù)據(jù)監(jiān)管委員會負(fù)責(zé)。

中國社會科學(xué)院法學(xué)研究所副所長周漢華在接受南方都市報采訪時談到，有專家曾建議設(shè)立統(tǒng)一的執(zhí)法機構(gòu)，最終沒有被采納。