◎中國(guó)電子信息產(chǎn)業(yè)發(fā)展研究院 王偉潔

2021年8月20日，《中華人民共和國(guó)個(gè)人信息保護(hù)法》（以下簡(jiǎn)稱《個(gè)保法》）正式通過(guò)，并將于2021年11月1日起正式實(shí)施?！秱€(gè)保法》的出臺(tái)為個(gè)人權(quán)益的保護(hù)構(gòu)建了基本法律框架，也為相關(guān)個(gè)人信息處理者提供了具體的合規(guī)指引，標(biāo)志著我國(guó)個(gè)人信息保護(hù)邁出了具有里程碑意義的一步，進(jìn)一步完善了我國(guó)在數(shù)據(jù)領(lǐng)域的立法體系。

一、《個(gè)保法》主要內(nèi)容

（一）明確了個(gè)人信息的處理原則

個(gè)人信息處理包括個(gè)人信息的收集、存儲(chǔ)、使用、加工、傳輸、提供、公開(kāi)等環(huán)節(jié)。在充分結(jié)合國(guó)內(nèi)外實(shí)踐經(jīng)驗(yàn)、立法成果以及個(gè)人保護(hù)要求后，《個(gè)保法》確立了個(gè)人信息處理的三類(lèi)原則：一是處理個(gè)人信息應(yīng)滿足一般原則要求，包括合法正當(dāng)、具有明確及合理目的、對(duì)個(gè)人權(quán)益影響最小、遵循公開(kāi)透明處理原則等。二是處理生物識(shí)別、醫(yī)療健康、行蹤軌跡等易導(dǎo)致個(gè)體人格尊嚴(yán)、人身、財(cái)產(chǎn)安全受到侵害的，以及未滿14周歲未成年人的個(gè)人敏感信息時(shí)，應(yīng)建立更為嚴(yán)格的保護(hù)措施，否則不予相關(guān)主體處理敏感信息的資格。三是國(guó)家機(jī)關(guān)處理個(gè)人信息應(yīng)滿足特別規(guī)定，包括境內(nèi)存儲(chǔ)個(gè)人信息、出境安全評(píng)估、不得超出履行法定職責(zé)所必需的范圍和限度等。

（二）提出了個(gè)人信息處理者的責(zé)任義務(wù)

一方面，要求個(gè)人信息處理者建立符合法律規(guī)定的內(nèi)部個(gè)人信息保護(hù)制度，如開(kāi)展對(duì)個(gè)人信息的分級(jí)分類(lèi)管理、采取加密、去標(biāo)識(shí)化等技術(shù)措施強(qiáng)化個(gè)人信息處理操作權(quán)限、定期開(kāi)展從業(yè)人員安全教育和培訓(xùn)、制定個(gè)人信息安全事件應(yīng)急預(yù)案、開(kāi)展個(gè)人信息保護(hù)安全評(píng)估、設(shè)置個(gè)人信息保護(hù)負(fù)責(zé)人等。另一方面，為具有巨大用戶數(shù)量、復(fù)雜業(yè)務(wù)類(lèi)型的互聯(lián)網(wǎng)平臺(tái)制定了針對(duì)性要求，包括要求其建立公開(kāi)、公平、公正的平臺(tái)規(guī)則，定期發(fā)布個(gè)人信息保護(hù)社會(huì)責(zé)任報(bào)告、接受社會(huì)監(jiān)督等。

（三）強(qiáng)化個(gè)人信息安全監(jiān)督管理

一方面，為夯實(shí)個(gè)人信息安全監(jiān)管基礎(chǔ)，《個(gè)保法》建立了個(gè)人信息保護(hù)機(jī)構(gòu)機(jī)制，并進(jìn)一步明確了各監(jiān)管部門(mén)監(jiān)管范圍和基本職責(zé)。具體包括，由國(guó)家網(wǎng)信部門(mén)負(fù)責(zé)統(tǒng)籌協(xié)調(diào)個(gè)人信息保護(hù)具體規(guī)則制定、個(gè)人信息保護(hù)評(píng)估認(rèn)證推進(jìn)等相關(guān)工作，國(guó)務(wù)院有關(guān)部門(mén)、各地方相關(guān)部門(mén)等各司其職進(jìn)行個(gè)人信息保護(hù)和監(jiān)督管理。另一方面，《個(gè)保法》加大了對(duì)個(gè)人信息違法活動(dòng)的處罰力度，設(shè)置的處罰全面覆蓋了常見(jiàn)的違法行為。通過(guò)設(shè)置五千萬(wàn)元或者上一年度營(yíng)業(yè)額百分之五的高額罰款，對(duì)當(dāng)前販賣(mài)個(gè)人信息、濫采濫用個(gè)人信息等侵害個(gè)人信息權(quán)益的違法行為進(jìn)行強(qiáng)有力的威懾，實(shí)現(xiàn)了對(duì)各類(lèi)違法主體的精準(zhǔn)打擊，大大增加企業(yè)的違法成本。

（四）賦予個(gè)人信息主體六大權(quán)利

《個(gè)保法》從法律層面賦予個(gè)人信息主體關(guān)于個(gè)人信息保護(hù)的各項(xiàng)權(quán)利、一是個(gè)人知情權(quán)和決定權(quán)，個(gè)人可在使用產(chǎn)品和服務(wù)時(shí)，限制或拒絕相關(guān)個(gè)人信息處理活動(dòng)；二是個(gè)人要求解釋權(quán)，個(gè)人可在信息被收集時(shí)，要求個(gè)人信息處理者對(duì)信息收集、使用目的等進(jìn)行解釋說(shuō)明；三是更正補(bǔ)充權(quán)，個(gè)人可針對(duì)不準(zhǔn)確、不完整的個(gè)人信息要求個(gè)人信息處理者進(jìn)行更正、補(bǔ)充；四是查閱、復(fù)制和可攜帶權(quán)，個(gè)人有權(quán)從個(gè)人信息處理者處查閱并獲取個(gè)人信息副本，以及請(qǐng)求個(gè)人信息處理者直接將其個(gè)人信息傳輸給另一實(shí)體；五是請(qǐng)求刪除權(quán)，個(gè)人有權(quán)通過(guò)撤回同意等方式要求信息處理者刪除已收集的信息；六是信息待決定權(quán)，逝者個(gè)人信息的查閱、復(fù)制、更正等權(quán)利在一定條件下由其親屬代為執(zhí)行。

（五）進(jìn)一步細(xì)化了個(gè)人信息跨境提供的規(guī)則

一方面，明確了個(gè)人信息跨境的三大基本要求，包括要求關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者、其他一般個(gè)人信息處理者及時(shí)告知個(gè)人、具備向境外提供信息的必要條件、落實(shí)對(duì)應(yīng)的安全審查義務(wù)。另一方面，建立了個(gè)人信息跨境流動(dòng)領(lǐng)域的國(guó)際競(jìng)爭(zhēng)與合作制度。合作方面，提出了按照平等互惠原則依法向境外提供個(gè)人信息。競(jìng)爭(zhēng)方面，設(shè)置了個(gè)人信息境外提供的限制措施，并制定了對(duì)等反制策略，及時(shí)有效應(yīng)對(duì)國(guó)外在個(gè)人信息保護(hù)領(lǐng)域?qū)ξ覈?guó)采取的具有歧視性的限制禁止措施。

二、《個(gè)保法》核心亮點(diǎn)

《個(gè)保法》內(nèi)容較為豐富，針對(duì)當(dāng)前社會(huì)關(guān)切的個(gè)人信息保護(hù)問(wèn)題均有所涉及，直面當(dāng)前個(gè)人信息保護(hù)中的熱點(diǎn)難點(diǎn)問(wèn)題。

（一）限制過(guò)度收集個(gè)人信息，從源頭防范信息泄露

近些年，通過(guò)移動(dòng)App等線上應(yīng)用或攝像頭等線下設(shè)備過(guò)度收集用戶信息問(wèn)題頻頻引發(fā)質(zhì)疑，個(gè)人信息采集邊界模糊，個(gè)人信息被“瘋狂野蠻開(kāi)采”?！秱€(gè)保法》特別針對(duì)個(gè)人信息過(guò)度收集問(wèn)題做出回應(yīng)，提出了以“知情同意”為重要核心，以“最少必要信息”為基本原則的個(gè)人信息采集要求，明確了除少數(shù)特殊情況外，個(gè)人信息采集應(yīng)取得個(gè)人同意，且應(yīng)限于實(shí)現(xiàn)處理目的的最小范圍，旨在從數(shù)據(jù)全生命周期源頭為個(gè)人信息打造“安全保護(hù)鎖”。以線下采集人臉信息場(chǎng)景為例，《個(gè)保法》規(guī)定，在公共場(chǎng)所采集人臉信息應(yīng)設(shè)置顯著提示標(biāo)識(shí)，且僅限于維護(hù)公共安全目的，這正是針對(duì)此前線下各大商家濫用攝像頭暗自采集人臉信息并用于實(shí)施營(yíng)銷(xiāo)推廣等亂象進(jìn)行明確法律規(guī)制的體現(xiàn)。

（二）規(guī)范自動(dòng)化決策，強(qiáng)化消費(fèi)者權(quán)益保障

《個(gè)保法》對(duì)基于數(shù)據(jù)和算法的自動(dòng)化決策所引發(fā)的風(fēng)險(xiǎn)問(wèn)題進(jìn)行了專門(mén)回應(yīng)。一方面，禁止強(qiáng)制性個(gè)性化算法推薦?！秱€(gè)保法》明確提出，向個(gè)人進(jìn)行信息推送、商業(yè)營(yíng)銷(xiāo)，應(yīng)當(dāng)同時(shí)提供不針對(duì)其個(gè)人特征的選項(xiàng)，或者向個(gè)人提供便捷的拒絕方式，這為相關(guān)產(chǎn)品和服務(wù)中存在的個(gè)性化廣告信息騷擾問(wèn)題設(shè)置了法律規(guī)制路徑。另一方面，明確禁止大數(shù)據(jù)殺熟。此前，通過(guò)數(shù)據(jù)和算法實(shí)施價(jià)格歧視，在相關(guān)產(chǎn)品和服務(wù)中對(duì)不同用戶采取不同價(jià)格政策的問(wèn)題引起了社會(huì)各界強(qiáng)烈的反映?，F(xiàn)《個(gè)保法》明確規(guī)定，個(gè)人信息處理者利用個(gè)人信息進(jìn)行自動(dòng)化決策，不得對(duì)個(gè)人在交易價(jià)格等交易條件上實(shí)行不合理的差別待遇。在社會(huì)各界的普遍監(jiān)督下，濫用技術(shù)手段實(shí)施“大數(shù)據(jù)殺熟”行為的主體將會(huì)受到高額罰款、終止服務(wù)等嚴(yán)厲的監(jiān)管處罰。在具備強(qiáng)有力的法律威懾和法律管束的生態(tài)環(huán)境下，消費(fèi)者權(quán)益將會(huì)得到充分保障。

（三）加強(qiáng)兒童和逝者的信息保護(hù)，充分考量特殊群體的信息權(quán)利

一方面，為限制線上教育、游戲、短視頻及社交平臺(tái)等利用兒童個(gè)人信息進(jìn)行非法牟利，如誘導(dǎo)其進(jìn)行在線充值、打賞等，《個(gè)保法》將不滿十四周歲未成年人的個(gè)人信息納入敏感信息范圍，并要求個(gè)人信息處理者對(duì)此制定專門(mén)的個(gè)人信息處理規(guī)則，旨在為辨識(shí)和控制能力較弱，且尚無(wú)完全民事行為能力的兒童群體建立更高級(jí)別的保護(hù)要求，和美歐等國(guó)家的GDPR、CCPA、UPDPA等國(guó)外法案相比，兒童個(gè)人信息保護(hù)是我國(guó)個(gè)人信息保護(hù)法制度的一大創(chuàng)新。另一方面，《個(gè)保法》與《民法典》中對(duì)逝者的個(gè)人隱私保護(hù)相關(guān)內(nèi)容進(jìn)行了有效銜接，明確了逝者親屬為了自身的合法、正當(dāng)利益，可對(duì)逝者個(gè)人信息行使相關(guān)權(quán)利，并尊重死者的生前安排。將道德與法律有機(jī)結(jié)合，是人性化立法的體現(xiàn)。

（四）完善個(gè)人信息救濟(jì)機(jī)制，構(gòu)建個(gè)人信息保護(hù)閉環(huán)

由于“技術(shù)鴻溝”和“平臺(tái)權(quán)利”的存在，在長(zhǎng)期的個(gè)人信息維權(quán)過(guò)程中消費(fèi)者個(gè)人往往處于弱勢(shì)地位。為進(jìn)一步打破個(gè)人信息救濟(jì)面臨的困境，《個(gè)保法》明確了履行個(gè)人信息保護(hù)職責(zé)的相關(guān)部門(mén)應(yīng)接受、處理與個(gè)人信息保護(hù)有關(guān)的投訴、舉報(bào)，并應(yīng)及時(shí)處理和告知處理結(jié)果，這使得行政投訴機(jī)制形成了有效的閉環(huán)，可保證個(gè)人救濟(jì)機(jī)制良性運(yùn)轉(zhuǎn)。同時(shí)，作為“事后”監(jiān)管機(jī)制的一部分，可通過(guò)發(fā)揮個(gè)體監(jiān)督力量，及時(shí)發(fā)現(xiàn)各大技術(shù)應(yīng)用中難以發(fā)覺(jué)的個(gè)人信息安全風(fēng)險(xiǎn)漏洞，并對(duì)相關(guān)風(fēng)險(xiǎn)開(kāi)展及時(shí)的處置，以避免更大范圍的風(fēng)險(xiǎn)擴(kuò)散。

（五）分類(lèi)設(shè)置個(gè)人信息保護(hù)要求，充分確保相關(guān)義務(wù)履行的可行性

不同規(guī)模的個(gè)人信息處理者在數(shù)據(jù)體量、技術(shù)能力、管理資源上存在差異，為此，《個(gè)保法》對(duì)不同規(guī)模的個(gè)人信息處理者設(shè)置了不同的義務(wù)要求，提出互聯(lián)網(wǎng)巨頭等大型個(gè)人信息處理者需履行“守門(mén)人”角色，自行制定有關(guān)個(gè)人信息保護(hù)的平臺(tái)規(guī)則、主動(dòng)發(fā)布社會(huì)責(zé)任公告等，而信息量較少、處理活動(dòng)簡(jiǎn)單、技術(shù)水平較低的小型企業(yè)則由國(guó)家網(wǎng)信部門(mén)為其制定數(shù)據(jù)處理的相關(guān)規(guī)則。這一舉措也充分體現(xiàn)出我國(guó)法律制定對(duì)于“因材施教”的考量：針對(duì)大型企業(yè)，充分發(fā)揮其主體責(zé)任，重點(diǎn)加強(qiáng)對(duì)其個(gè)人信息處理活動(dòng)的監(jiān)管；對(duì)于小型企業(yè)，需考慮其強(qiáng)化個(gè)人信息保護(hù)和負(fù)擔(dān)合規(guī)成本之間的平衡，避免較高的合規(guī)成本成為其創(chuàng)新發(fā)展的阻礙。

三、《個(gè)保法》重要意義

（一）建立起與我國(guó)數(shù)字實(shí)力相匹配的法律制度，使我國(guó)個(gè)人信息保護(hù)“有法可循”

隨著個(gè)人信息價(jià)值的凸顯，個(gè)人信息權(quán)益保護(hù)變得愈加重要。過(guò)去幾十年，國(guó)際上諸多國(guó)家紛紛探索個(gè)人信息保護(hù)制度，并相繼完成個(gè)人信息保護(hù)相關(guān)立法，如歐盟的GDPR法案，阿根廷和越南的《個(gè)人數(shù)據(jù)保護(hù)法》以及美國(guó)各州出臺(tái)的《消費(fèi)者數(shù)據(jù)保護(hù)法》等。在強(qiáng)化個(gè)人信息保護(hù)方面，我國(guó)雖早已發(fā)布關(guān)于個(gè)人信息安全保護(hù)的多項(xiàng)規(guī)范性文件及國(guó)家標(biāo)準(zhǔn)，并組織開(kāi)展違法違規(guī)行為的專項(xiàng)打擊活動(dòng)，但由于缺乏具有強(qiáng)威懾力的專項(xiàng)法律制度，個(gè)人信息安全亂象屢禁不止，由此對(duì)我國(guó)數(shù)字技術(shù)和產(chǎn)業(yè)發(fā)展造成的風(fēng)險(xiǎn)也逐漸加劇?！秱€(gè)保法》的出臺(tái)，在極大保護(hù)我國(guó)個(gè)人信息權(quán)益的同時(shí)，也為我國(guó)數(shù)字技術(shù)在法律規(guī)定的框架內(nèi)快速發(fā)展創(chuàng)造了條件，并為我國(guó)智慧城市、自動(dòng)駕駛、網(wǎng)絡(luò)零售等數(shù)字產(chǎn)業(yè)平穩(wěn)發(fā)展提供了良好的社會(huì)環(huán)境。

（二）彰顯了我國(guó)數(shù)字領(lǐng)域“以人為本”的國(guó)家治理理念

我國(guó)具有豐富的數(shù)據(jù)資源，且相較國(guó)外文化更易搜集數(shù)據(jù)，因此在多年的發(fā)展中，我國(guó)在以數(shù)據(jù)為核心驅(qū)動(dòng)力的人工智能、物聯(lián)網(wǎng)等數(shù)字技術(shù)領(lǐng)域占有國(guó)際領(lǐng)先優(yōu)勢(shì)。但在數(shù)字技術(shù)為我國(guó)經(jīng)濟(jì)發(fā)展帶來(lái)重大機(jī)遇的同時(shí)，也不斷滋生個(gè)人信息安全風(fēng)險(xiǎn)隱患，且這些風(fēng)險(xiǎn)隱患對(duì)不同群體的個(gè)人權(quán)益造成了不同程度的嚴(yán)重危害。在此背景下，《個(gè)保法》特別對(duì)自動(dòng)化技術(shù)不當(dāng)應(yīng)用產(chǎn)生的“大數(shù)據(jù)殺熟”、“強(qiáng)制個(gè)性化推薦”等本能帶來(lái)可觀經(jīng)濟(jì)收益的技術(shù)應(yīng)用進(jìn)行了限制，避免人工智能等數(shù)字技術(shù)濫用造成個(gè)體對(duì)數(shù)字社會(huì)發(fā)展的信任裂痕。此外，《個(gè)保法》甚至制定了更為嚴(yán)格的規(guī)定，進(jìn)一步控制數(shù)字技術(shù)及應(yīng)用可能對(duì)兒童等弱勢(shì)群體造成的影響。此等相關(guān)規(guī)制舉措，均體現(xiàn)了我國(guó)在數(shù)字領(lǐng)域的制度制定充分考慮并尊重個(gè)人權(quán)利、權(quán)益，充分彰顯了我國(guó)數(shù)字領(lǐng)域“以人為本”的國(guó)家治理理念。

（三）為全球數(shù)據(jù)治理貢獻(xiàn)了中國(guó)解決方案

《個(gè)保法》向全世界傳達(dá)了我國(guó)保護(hù)個(gè)人信息權(quán)益、治理網(wǎng)絡(luò)環(huán)境、引導(dǎo)數(shù)字經(jīng)濟(jì)健康有序發(fā)展的決心和擔(dān)當(dāng)。一方面，其內(nèi)容與國(guó)際通用規(guī)則緊密接軌，其確立的個(gè)人信息處理原則、個(gè)人信息處理者責(zé)任義務(wù)、設(shè)立個(gè)人信息跨境標(biāo)準(zhǔn)合同機(jī)制等方面均與國(guó)際立法具有較強(qiáng)兼容性，有助于數(shù)字經(jīng)濟(jì)的全球化發(fā)展。另一方面，又基于我國(guó)自身數(shù)據(jù)技術(shù)、產(chǎn)業(yè)、文化基礎(chǔ)，設(shè)置了中國(guó)式特色規(guī)則，如建立了個(gè)人權(quán)利體系、將兒童信息列為敏感信息保護(hù)、制定了適度有限的域外效力等?；谧陨韲?guó)情設(shè)計(jì)個(gè)人信息保護(hù)領(lǐng)域的中國(guó)方案，不僅有益于國(guó)內(nèi)數(shù)據(jù)產(chǎn)業(yè)的規(guī)范化發(fā)展，也將成為全球數(shù)字治理中的引領(lǐng)和示范。