王曉霞

自2018年全國人大常委會著手研究起草草案，歷經三次審議，2021年8月20日，《個人信息保護法》在十三屆全國人大常委會第三十次會議上表決通過。這是中國首部個人信息保護的專門法律， 全文共8章74條，從今年11月1日起施行。

截至2020年3月，中國互聯(lián)網用戶已達9億，互聯(lián)網網站超過400萬個、應用程序數量超過300萬個，個人信息的收集、使用更為廣泛。雖然近年來中國個人信息保護力度不斷加大，但在現(xiàn)實生活中，一些企業(yè)、機構甚至個人，從商業(yè)利益等出發(fā)，隨意收集、違法獲取、過度使用、非法買賣個人信息，利用個人信息危害公眾生命健康和財產安全等問題仍十分突出。

這些行為不僅損害公眾利益，而且危害交易安全，擾亂市場競爭，破壞網絡空間秩序。因此，中國制定和出臺了《個人信息保護法》，以規(guī)范個人信息處理活動，落實企業(yè)、機構等個人信息處理者的法律義務和責任，維護網絡空間良好生態(tài)。

《個人信息保護法》確立了個人信息處理應遵循的原則：強調處理個人信息應當遵循合法、正當、必要和誠信原則，不得通過誤導、欺詐、脅迫等方式處理個人信息;要求處理個人信息具有明確、合理的目的，并應當與處理目的直接相關，采取對個人權益影響最小的方式;明確收集個人信息，應當限于實現(xiàn)處理目的的最小范圍，不得過度收集個人信息。

該法還確立了以“告知—同意”為核心的個人信息處理一系列規(guī)則：要求處理個人信息應當在事先充分告知的前提下取得個人同意，并且個人有權撤回同意;重要事項發(fā)生變更的應當重新取得個人同意;不得以個人不同意為由拒絕提供產品或者服務。

值得注意的是，對App過度收集用戶信息、敏感個人信息、“大數據殺熟”、算法自動推送、數據信息歸屬等公眾關注點，《個人信息保護法》均作出規(guī)范，問題導向增強。

此外，該法要求“提供重要互聯(lián)網平臺服務、用戶數量巨大、業(yè)務類型復雜的個人信息處理者”，即大型互聯(lián)網企業(yè)，履行“建立健全個人信息保護合規(guī)制度體系，成立主要由外部成員組成的獨立機構對個人信息保護情況進行監(jiān)督”、制定平臺規(guī)則明確平臺內產品或者服務提供者處理個人信息的規(guī)范、定期發(fā)布個人信息保護社會責任報告等義務。

從上世紀70年代開始，經濟合作與發(fā)展組織、亞太經濟合作組織和歐盟等先后出臺了個人信息保護相關準則、指導原則和法規(guī)，有140多個國家和地區(qū)制定了個人信息保護方面的法律。早在2003年，中國國務院有關部門也啟動了個人信息保護立法的研究工作。

今年，《個人信息保護法》終于出臺，下一步通過執(zhí)法規(guī)則的細化來完善和強化監(jiān)管執(zhí)法力度至關重要。特別是，如何確保信息收集者在收集、使用個人信息前，將其想要收集或使用的信息明確無誤、完整、及時、以簡練且可理解的形式提供給被收集者，確保公眾切實知曉各項信息收集、使用授權的內容和范圍，需要下大功夫。