個人信息保護法出臺，改變了什么？

南方周末記者 周小鈴 吳超 南方周末實習生 閆一帆

個人信息保護法的出臺歷經十八年，它將個人信息保護權上升為公民的一項基本權利?！∫曈X中國　?圖

南方周末記者張玥　?整理　梁淑怡?制圖

★當前個保法涉及的是個人權益保護，并不直接解決個人信息相關的財產權?！傲⒎ㄕ呓o了各方利益平衡的空間?！薄皬奶幜P的最高額度來說，除歐盟外，其他地方沒有見過這么高的罰款，能起到一定的威懾作用?！?/p>

2021年8月20日，十三屆全國人大常委會第三十次會議表決通過了《中華人民共和國個人信息保護法》（以下簡稱“個保法”），自2021年11月1日起施行。

距2003年專家起草個保法建議稿已經過去十八年。2018年，個保法正式進入立法流程。三年，歷經三次審議最終成型。

個保法共分為8章74條，明確了個人信息處理活動中的權利義務邊界，是首部完整規(guī)定個人信息處理規(guī)則的法律。其第一條明確指出，該部法律“根據憲法”制定，意味著個人信息保護權上升為公民的一項基本權利。

未界定個人信息權屬問題

在個保法出臺前，已有地方推出與個人信息相關的數據管理條例，如《深圳行政特區(qū)數據條例》《上海市數據條例》。

其中，深圳將“個人數據”定義為可識別特定自然人信息的數據，并將個人數據分為自然人享受的人格權益和其他合法的信息處理者享受的財產性權益。

而在個保法中，并未對個人信息的權屬問題作出界定。

中國互聯(lián)網協(xié)會研究中心副主任、北京師范大學網絡法治國際中心執(zhí)行主任吳沈括是參與個保法制定的專家。他向南方周末記者介紹，個人信息保護源于憲法對于公民人格尊嚴的保護，個保法涉及的是個人權益保護，并不直接解決個人信息相關的財產權?！傲⒎ㄕ呓o了各方利益平衡的空間”。

他補充，數據問題作為國家基本民事制度或者基本經濟制度，按照立法要求，應為中央立法權限，地方所有立法應遵循國家的頂層設計，各地雖可以先行先試，但必須遵循中央立法確定的個人數據治理、流轉和利用的基本規(guī)則。除非有中央立法機關的特別授權。

北京大學法學院教授、法治發(fā)展研究院執(zhí)行院長王錫鋅也是深度參與個保法立法的專家。他告訴南方周末記者，數據產生權益，但并非所有權，所有權是針對有形物，解決稀缺性的問題，而數據不具備稀缺性，“我拿過來數據，你的數據并沒有減少，就像陽光?！睌祿陀行挝锏牟町悾屗袡嘟缍ǔ蔀殡y題。

王錫鋅說，參與信息處理的各方，個人、企業(yè)、國家都可以主張權益，但權益分配并非個保法要解決的問題。

環(huán)球律師事務所網絡安全與數據合規(guī)團隊合伙人孟潔也同意前述觀點。個保法只是對個人信息保護作出框架性規(guī)定。對個人而言，明確哪些權利受法律保護，對控制個人信息的企業(yè)而言，在保護個人信息上又要承擔哪些義務。“現在討論財產權益歸屬，反而不利于法律的落地”。

中國人民大學法學院教授石佳友向南方周末記者解釋，個人信息和數據是兩回事。如果企業(yè)將用戶信息進行匿名化處理，無法識別個人用戶，比如幾百上千個車主駕駛習慣分析形成的大數據，這屬于企業(yè)所有，與個人無關。個保法只針對個人信息，就是具有身份識別功能的信息。

五種情況需要個人單獨同意

“告知-同意”原則是貫穿個人信息保護的基礎規(guī)則，是個人信息處理者處理用戶信息的前提。

以往，個人信息處理者提供的是一攬子的同意協(xié)議條款。個保法明確規(guī)定了兩種“同意機制”，一是廣泛的同意，二是個人單獨同意，特別強調需在個人充分知情的基礎上作出明確同意。

王錫鋅舉例，比如涉及敏感個人信息需要拎出來獲得用戶個人的單獨同意，而不是只有一個同意與否的選項。如果用戶針對涉及敏感信息的部分選擇不同意，也不能影響用戶在一般情況下正常使用軟件。敏感個人信息包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息。

“原則上是不能收集敏感信息的，除非有特別的目的或明確的必要性?！睆埿聦氄f。他是中國人民大學法學院教授、中國法學會網絡信息法學研究會副會長，參與個保法全程立法工作。

孟潔總結，個保法中規(guī)定需要單獨獲得同意的有五類應用場景：個人信息公開，向第三方提供個人信息，向境外提供個人信息，處理敏感個人信息，以及并非出于維護公共安全目的而使用公共場所采集的圖像和身份識別信息。此外，有法律、行政法規(guī)規(guī)定的，從其規(guī)定。

同時，個保法規(guī)定個人信息處理者要針對不同類型的信息進行分類處理。

吳沈括認為，信息分類是立法的總體要求，包括數據安全法中提到數據分類分級管理。落實到個人信息保護領域，分為敏感信息和非敏感信息、未成年人信息和成年人信息等。

企業(yè)也可基于自身業(yè)務實踐做進一步分類。吳沈括說，“立法者也是希望企業(yè)能針對不同類型的數據有不同強度、不同形式的保護，體現個保法全面保護的要求”。

對比個保法二審稿，對個人信息進行分級的表述在正式稿中被刪除。吳沈括表示，在不同場合中個人信息的敏感性質不相同，同一個信息在不同應用場景中的價值屬性也不相同，拿掉“分級”是為了給予企業(yè)更具彈性的操作空間，但不意味著個人信息分級不重要。

騰訊安全云鼎實驗室數據安全專家劉海洋在個保法頒布當晚的一場新媒體沙龍中談到，拆解具體法條后，總結了個人信息處理者的九項義務，包括主動刪除、定期審計、事前評估、保障行權、信息泄露補救等。

劉海洋介紹，由于個保法要求獲得個人同意和告知的場景較多，直接影響橫向和縱向的上下游。從個保法要求來看，一個授權解決整個生態(tài)的問題是不可能的。新增的授權及信息處理要求，尤其梳理業(yè)務關聯(lián)關系時的工作量非常龐大。

高處罰水平

個保法通過后，信息處理者面臨更嚴格的合規(guī)要求。

比如處理敏感信息時，要求企業(yè)在特定目的和充分必要性下，采取嚴格的保護措施。實際上，企業(yè)對嚴格的保護措施并沒有一套統(tǒng)一標準，這也留給了企業(yè)和監(jiān)管機構自主判斷的空間。

“由于個保法的過錯推定責任，決定了企業(yè)會自主選擇用最嚴格的辦法，在經濟成本承受范圍內保護個人信息。”吳沈括解釋，只有企業(yè)系統(tǒng)地建章立制、盡全力保護用戶信息，它才能證明自己在保護用戶個人信息上沒有過錯。

尤其是對于互聯(lián)網平臺這類用戶數量巨大、業(yè)務類型復雜的個人信息處理者，個保法要求這類企業(yè)要建立個人信息保護合規(guī)制度，且要由外部成員組成的獨立機構來監(jiān)督；定期發(fā)布個人信息保護社會責任報告；違反法律、法規(guī)的個人信息處理者停止服務。

王錫鋅說，在個人信息保護方面企業(yè)合規(guī)需要有適應過程，合規(guī)成本自然也會隨之增長。但企業(yè)做好合規(guī)工作，對投資者也是正向激勵，也有利于企業(yè)的上市和融資。

涉及數據跨境的企業(yè)，個保法規(guī)定了四條出境途徑：一是通過網信部門組織的安全評估，二是由專業(yè)機構提供個人信息保護認證，三是遵守網信辦后續(xù)發(fā)布的標準的合同條款，四是符合法律、行政法規(guī)或國家網信部門規(guī)定的其他條件。

王錫鋅補充，數據出境不僅涉及個保法，最主要是涉及數據安全。專業(yè)機構提供的第三方認證主要看是否做到匿名化處理。匿名化后，這些信息就不再是個人信息，也不再受個保法約束，評估的核心就變成了數據安全問題。

從處罰金額看，個保法對違反個人信息保護的企業(yè)規(guī)定了較高的處罰水平。

中國人民大學法學院教授張新寶對南方周末記者表示，個保法對企業(yè)的處罰主要分為兩種情況：對中小企業(yè)的處理，最高不超過5000萬；對大型企業(yè)來說，最高罰上年度營業(yè)額的百分之五，甚至暫停業(yè)務或吊銷營業(yè)許可，處罰落實到直接責任人。處罰權限上升到省級人民政府的網信部門來實施。

張新寶說，“從處罰的最高額度來說，除歐盟外，其他地方沒有見過這么高的罰款，能夠起到一定的威懾作用?！比欢唧w的實施還要根據網信辦細則來執(zhí)行。

值得注意的是，此次個保法將政府和市場主體一并納為規(guī)范對象。

禁止“大數據殺熟”

個保法明確保障個人對個人信息享有知情權、決定權、查閱復制權、刪除權、規(guī)則解釋權，有權限制或拒絕信息處理者處理個人信息，有權撤回“同意”。

一直以來，個人信息受侵害取證難度大、訴訟時間長，使得個人維權十分困難。

吳沈括介紹，個保法明確了用戶維權的幾條路徑：一是社會性保護，通過消費者保護組織保障；二是行政保護，通過國家行政機關設立的投訴舉報機制保障；三是司法保護，可以個人訴訟維權，可以代表人訴訟即集體訴訟，也可以公益訴訟。

吳沈括說，這是個人信息保護的公益訴訟正式進入立法，“是先行先試的舉措”。

此外，個保法首次提及自然人死亡的個人信息處理問題。自然人死亡后，可由其近親屬代為行使個人信息保護相關權利。

張新寶解釋，本條有兩個含義：一是原則上以死者生前意愿為準，保護死者的人格與隱私，算是遺囑的一部分。如果死者生前未做表示，近親屬可以在具有合法權益的情況下代為行權，但不意味著可以用死者名義發(fā)布微信、帖子，“這就超出合理范圍”。

個保法也禁止了“大數據殺熟”，即個人信息處理者利用個人信息進行自動化決策，不得對個人在交易價格等交易條件上實行不合理的差別待遇。

王錫鋅分析，與平臺經濟領域的反壟斷指南不同，個保法側重于解決“大數據殺熟”中企業(yè)對個人數據的濫用。

個保法還規(guī)定了由國家網信部門來統(tǒng)籌協(xié)調個人信息保護工作和相關的監(jiān)督工作。

華東政法大學教授、數據法律研究中心主任高富平告訴南方周末記者，網信辦是網絡安全的監(jiān)管機構，由網信辦負責個人信息保護監(jiān)管工作具有先發(fā)優(yōu)勢。美國一般放在貿易委員會實施監(jiān)管，歐洲則由專門的數據監(jiān)管委員會負責。

中國社會科學院法學研究所副所長周漢華在接受南方都市報采訪時談到，有專家曾建議設立統(tǒng)一的執(zhí)法機構，最終沒有被采納。