《個(gè)人信息保護(hù)法》：個(gè)人信息保護(hù)開啟新篇章

文 王環(huán)環(huán)

隨著互聯(lián)網(wǎng)信息技術(shù)的不斷深入發(fā)展，人工智能等新興技術(shù)日漸融入人們生活的各個(gè)角落，個(gè)人信息被大面積采集與處理已成為普遍現(xiàn)象。與此同時(shí)，“大數(shù)據(jù)殺熟”、個(gè)人隱私信息泄露等問題也隨之凸顯出來，由此而引發(fā)的網(wǎng)絡(luò)詐騙等事件更是層出不窮，個(gè)人信息安全遭遇了極大的威脅。信息化時(shí)代，如何保護(hù)個(gè)人的信息安全，成為時(shí)下亟需思考的命題。

2021年8月20日，十三屆全國(guó)人大常委會(huì)第三十次會(huì)議表決通過了《中華人民共和國(guó)個(gè)人信息保護(hù)法》（以下簡(jiǎn)稱《個(gè)人信息保護(hù)法》），并將于2021年11月1日起實(shí)施?！秱€(gè)人信息保護(hù)法》的通過，于個(gè)人信息保護(hù)而言，意義重大?！秱€(gè)人信息保護(hù)法》共8章74條，以嚴(yán)密的制度、嚴(yán)格的標(biāo)準(zhǔn)、嚴(yán)厲的責(zé)任，構(gòu)建了權(quán)責(zé)明確、保護(hù)有效、利用規(guī)范的個(gè)人信息處理和保護(hù)制度規(guī)則。

01 《個(gè)人信息保護(hù)法》的設(shè)立

近年來，隨著互聯(lián)網(wǎng)經(jīng)濟(jì)的蓬勃發(fā)展，我國(guó)在個(gè)人信息保護(hù)方面投入的力度在不斷加大。

我國(guó)對(duì)于個(gè)人信息安全法的關(guān)注始于2003年，當(dāng)時(shí)的國(guó)務(wù)院信息化辦公室正式部署了立法研究工作；2005年，《個(gè)人信息保護(hù)法（專家建議稿）》相繼宣布完成。

同期，我國(guó)在網(wǎng)絡(luò)數(shù)據(jù)立法方面的進(jìn)程也在不斷加快。2012年，《全國(guó)人大關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》出臺(tái)；2016年，《網(wǎng)絡(luò)安全法》出臺(tái)；2018年，《電子商務(wù)法》出臺(tái)。此外，除這些專門的網(wǎng)絡(luò)法外，傳統(tǒng)法律的制定、修訂工作也給予了網(wǎng)絡(luò)空間極大的關(guān)注，如《消費(fèi)者權(quán)益保護(hù)法（修訂）》（2013年）、《刑法修正案》（九）（2015年）、《民法總則》（2017年）、《民法典》之人格權(quán)編（2020年）都補(bǔ)充了個(gè)人信息保護(hù)相關(guān)條款。這些相關(guān)法律條文的設(shè)立，在一定程度上回應(yīng)了公眾關(guān)切的問題，對(duì)于信息化時(shí)代下網(wǎng)絡(luò)安全、個(gè)人信息保護(hù)提供了些許依據(jù)。

但就實(shí)際而言，由于長(zhǎng)期以來，我國(guó)始終未建立起系統(tǒng)的個(gè)人信息保護(hù)法律體系，在個(gè)人信息保護(hù)相關(guān)工作的落實(shí)中，仍是較為艱難的。不乏一些企業(yè)、機(jī)構(gòu)甚至個(gè)人，為了獲取商業(yè)利益，鉆法律漏洞，隨意收集、過度使用、非法買賣個(gè)人信息，對(duì)人們的生活、健康乃至財(cái)產(chǎn)安全都造成了極大的損害。加快立法工作的推進(jìn)迫在眉睫。

2018年9月，《個(gè)人信息保護(hù)法》正式納入人大立法規(guī)劃，并在歷經(jīng)三年起草制定后，于2021年8月20日正式出臺(tái)。

《個(gè)人信息保護(hù)法》的出臺(tái)，于我國(guó)數(shù)字時(shí)代法律體系的建立健全來說，意義重大。自此，我國(guó)終于完善了在個(gè)人信息保護(hù)方面的缺口，形成了以《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》三法為核心的網(wǎng)絡(luò)法律體系，為數(shù)字時(shí)代的網(wǎng)絡(luò)安全、數(shù)據(jù)安全、個(gè)人信息權(quán)益保護(hù)提供了基礎(chǔ)制度保障。

02 個(gè)人信息保護(hù)有法可依：從收集、處理到維護(hù)

與先前出臺(tái)的《網(wǎng)絡(luò)安全法》和《數(shù)據(jù)安全法》有所區(qū)別，《個(gè)人信息保護(hù)法》側(cè)重保護(hù)個(gè)人信息，監(jiān)管對(duì)象是個(gè)人信息的處理者和受托人?！秱€(gè)人信息保護(hù)法》共8章74條，主要就個(gè)人信息處理的規(guī)則、個(gè)人信息跨境提供的規(guī)則、個(gè)人的權(quán)利及信息處理者的義務(wù)、履行個(gè)人信息保護(hù)職責(zé)的部門、法律責(zé)任等進(jìn)行了規(guī)定。

個(gè)人信息的收集：約束與規(guī)范

約束過度收集個(gè)人信息。對(duì)于以往信息過度收集的亂象，《個(gè)人信息保護(hù)法》明確規(guī)定，收集個(gè)人信息，應(yīng)當(dāng)限于實(shí)現(xiàn)處理目的的最小范圍，不得過度收集個(gè)人信息。此外，任何組織、個(gè)人不得非法收集、使用、加工、傳輸他人個(gè)人信息，不得非法買賣、提供或者公開他人信息。

規(guī)范公共場(chǎng)合圖像采集。智能時(shí)代下，我國(guó)已進(jìn)入“監(jiān)視時(shí)代”，公共場(chǎng)所中隨處可見的攝像頭在積極推動(dòng)國(guó)家法制監(jiān)督發(fā)展的同時(shí)，也對(duì)民眾隱私等基本權(quán)益的保護(hù)提出挑戰(zhàn)。在最新出臺(tái)的《個(gè)人信息保護(hù)法》中，對(duì)于公共場(chǎng)合圖像的采集作出了明確規(guī)定，在公共場(chǎng)所安裝圖像采集、個(gè)人身份識(shí)別設(shè)備，應(yīng)當(dāng)為維護(hù)公共安全所必需，遵守國(guó)家有關(guān)規(guī)定，并設(shè)置顯著的提示標(biāo)識(shí)。此外，《個(gè)人信息保護(hù)法》還規(guī)定：所收集的個(gè)人圖像、身份識(shí)別信息只能用于維護(hù)公共安全的目的，不得用于其他目的；取得個(gè)人單獨(dú)同意的除外。

個(gè)人信息的處理：穩(wěn)妥處理與嚴(yán)格禁止

構(gòu)建以“告知—同意”為核心的個(gè)人信息處理規(guī)則。個(gè)人信息保護(hù)的原則是收集、使用個(gè)人信息的基本遵循，是構(gòu)建個(gè)人信息保護(hù)具體規(guī)則的制度基礎(chǔ)。《個(gè)人信息保護(hù)法》緊緊圍繞規(guī)范個(gè)人信息處理活動(dòng)、保障個(gè)人信息權(quán)益，構(gòu)建了以“告知—同意”為核心的個(gè)人信息處理規(guī)則。

全國(guó)人大常委會(huì)法工委經(jīng)濟(jì)法室副主任楊合慶表示，“‘告知—同意’是法律確立的個(gè)人信息保護(hù)核心規(guī)則，是保障個(gè)人對(duì)其個(gè)人信息處理知情權(quán)和決定權(quán)的重要手段?！?/p>

《個(gè)人信息保護(hù)法》要求，處理個(gè)人信息應(yīng)當(dāng)在事先充分告知的前提下取得個(gè)人同意，個(gè)人信息處理的重要事項(xiàng)發(fā)生變更的應(yīng)當(dāng)重新向個(gè)人告知并取得同意。同時(shí)，針對(duì)現(xiàn)實(shí)生活中社會(huì)反映強(qiáng)烈的一攬子授權(quán)、強(qiáng)制同意等問題，《個(gè)人信息保護(hù)法》特別要求，個(gè)人信息處理者在處理敏感個(gè)人信息、向他人提供或公開個(gè)人信息、跨境轉(zhuǎn)移個(gè)人信息等環(huán)節(jié)應(yīng)取得個(gè)人的單獨(dú)同意，明確個(gè)人信息處理者不得過度收集個(gè)人信息，不得以個(gè)人不同意為由拒絕提供產(chǎn)品或者服務(wù)，并賦予個(gè)人撤回同意的權(quán)利，在個(gè)人撤回同意后，個(gè)人信息處理者應(yīng)當(dāng)停止處理或及時(shí)刪除其個(gè)人信息。

穩(wěn)妥處理敏感個(gè)人信息。對(duì)于何為敏感個(gè)人信息，《個(gè)人信息保護(hù)法》中給予了明確：一旦泄露或者非法使用，可能導(dǎo)致個(gè)人受到歧視或者人身、財(cái)產(chǎn)安全受到嚴(yán)重危害的個(gè)人信息均屬于敏感個(gè)人信息，包括：種族、民族、宗教信仰、個(gè)人生物特征、醫(yī)療健康、金融賬戶、個(gè)人行蹤等。

對(duì)于敏感個(gè)人信息的處理，《個(gè)人信息保護(hù)法》要求，個(gè)人信息處理者具有特定的目的和充分的必要性，方可處理敏感個(gè)人信息。此外，明確提出，基于個(gè)人同意處理敏感個(gè)人信息的，個(gè)人信息處理者必須取得個(gè)人的單獨(dú)同意。如果法律、行政法規(guī)規(guī)定處理敏感個(gè)人信息必須取得書面同意的，個(gè)人信息處理者應(yīng)當(dāng)取得信息被處理人的書面同意，同時(shí)，還必須向個(gè)人告知處理敏感個(gè)人信息的必要性以及對(duì)個(gè)人的影響。

禁止“大數(shù)據(jù)殺熟”。“大數(shù)據(jù)殺熟”、算法歧視在當(dāng)前的數(shù)字時(shí)代下，已日漸成為見怪不怪的事。當(dāng)前，一些企業(yè)通過掌握消費(fèi)者的經(jīng)濟(jì)狀況、消費(fèi)習(xí)慣、對(duì)價(jià)格的敏感程度等信息，對(duì)消費(fèi)者在交易價(jià)格等方面實(shí)行歧視性的差別待遇，誤導(dǎo)、欺詐消費(fèi)者，其中最典型的就是：在同一個(gè)APP上訂酒店或是點(diǎn)外賣，不同用戶顯示不同價(jià)格。

《個(gè)人信息保護(hù)法》首次對(duì)這些情況做出了規(guī)范，明確規(guī)定，個(gè)人信息處理者利用個(gè)人信息進(jìn)行自動(dòng)化決策，應(yīng)當(dāng)保證決策的透明度和結(jié)果公平、公正，不得對(duì)個(gè)人在交易價(jià)格等交易條件上實(shí)行不合理的差別待遇。

不得強(qiáng)制推送個(gè)性化廣告。搜索過一個(gè)商品，接著就會(huì)收到很多類似廣告的推送……近年來，一些平臺(tái)利用大數(shù)據(jù)進(jìn)行用戶畫像推送個(gè)性化廣告，對(duì)人們的生活造成了極大的困擾?！秱€(gè)人信息保護(hù)法》中對(duì)此明確規(guī)定，個(gè)人信息處理者應(yīng)當(dāng)保障消費(fèi)者的知情權(quán)和選擇權(quán)，通過自動(dòng)化決策方式進(jìn)行商業(yè)營(yíng)銷、信息推送，必須同時(shí)提供不針對(duì)其個(gè)人特征的選項(xiàng)，或者向個(gè)人提供拒絕的方式。

嚴(yán)格個(gè)人信息跨境提供原則。隨著國(guó)際間的交流合作日漸緊密，個(gè)人信息數(shù)據(jù)的跨境流動(dòng)在全球蓬勃發(fā)展的數(shù)字經(jīng)濟(jì)中發(fā)揮著越來越重要的作用?；ヂ?lián)網(wǎng)技術(shù)的發(fā)展縮短了人與人之間的時(shí)空距離，同時(shí)也帶來了一定的安全風(fēng)險(xiǎn)?！皵?shù)據(jù)出境不僅涉及個(gè)保法，最主要是涉及數(shù)據(jù)安全。專業(yè)機(jī)構(gòu)提供的第三方認(rèn)證主要看是否做到匿名化處理。匿名化后，這些信息就不再是個(gè)人信息，也不再受個(gè)保法約束，評(píng)估的核心就變成了數(shù)據(jù)安全問題。”北京大學(xué)法學(xué)院教授、法治發(fā)展研究院執(zhí)行院長(zhǎng)王錫鋅說道。

為此，《個(gè)人信息保護(hù)法》為個(gè)人信息跨境流動(dòng)設(shè)立專門章節(jié)，確立個(gè)人信息處理者向境外提供個(gè)人信息所具備的條件和要求，明確關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者和處理個(gè)人信息達(dá)到國(guó)家網(wǎng)信部門規(guī)定數(shù)量的個(gè)人信息處理者應(yīng)當(dāng)將在我國(guó)境內(nèi)收集和產(chǎn)生的個(gè)人信息存儲(chǔ)在境內(nèi)。確需向境外提供的，應(yīng)當(dāng)通過國(guó)家網(wǎng)信部門組織的安全評(píng)估，從而保障個(gè)人信息安全、自由流動(dòng)，以適應(yīng)國(guó)際經(jīng)貿(mào)往來的現(xiàn)實(shí)需要。

個(gè)人信息的維護(hù)：個(gè)人權(quán)利與可訴性

規(guī)定個(gè)人權(quán)利?！啊秱€(gè)人信息保護(hù)法》就是一部保護(hù)個(gè)人信息權(quán)益的法?！痹谇迦A大學(xué)法學(xué)院教授程嘯看來，這正是這部法律的根本目的。以此為基礎(chǔ)，《個(gè)人信息保護(hù)法》對(duì)個(gè)人在個(gè)人信息處理活動(dòng)中的權(quán)利作出全面的規(guī)定。

《個(gè)人信息保護(hù)法》將個(gè)人在個(gè)人信息處理活動(dòng)中的各項(xiàng)權(quán)利，包括知悉個(gè)人信息處理規(guī)則和處理事項(xiàng)、同意和撤回同意，以及個(gè)人信息的查詢、復(fù)制、更正、刪除等總結(jié)提升為知情權(quán)、決定權(quán)，明確個(gè)人有權(quán)限制個(gè)人信息的處理。

可依法提起訴訟。為了更好地保障上述個(gè)人權(quán)利的實(shí)現(xiàn)，《個(gè)人信息保護(hù)法》還專門賦予這些權(quán)利可訴性。“所謂可訴性，即在個(gè)人信息處理者拒絕個(gè)人行使權(quán)利的請(qǐng)求時(shí)，個(gè)人可以依法向人民法院提起訴訟，由法院判決強(qiáng)制個(gè)人信息處理者履行相應(yīng)的義務(wù)，保障個(gè)人權(quán)利的實(shí)現(xiàn)?！背虈[解釋說。

此外，根據(jù)個(gè)人信息處理的不同情況，《個(gè)人信息保護(hù)法》對(duì)違法處理個(gè)人信息的行為設(shè)置了不同梯次的行政處罰。對(duì)未造成嚴(yán)重后果的輕微或一般違法行為，可由執(zhí)法部門責(zé)令改正、給予警告、沒收違法所得，對(duì)拒不改正的最高可處一百萬元罰款；對(duì)情節(jié)嚴(yán)重的違法行為，最高可處五千萬元或上一年度營(yíng)業(yè)額百分之五的罰款，并可以對(duì)相關(guān)責(zé)任人員作出相關(guān)從業(yè)禁止的處罰。同時(shí)，《個(gè)人信息保護(hù)法》還專門規(guī)定，對(duì)違法處理個(gè)人信息的應(yīng)用程序，可以責(zé)令暫停或終止提供服務(wù)。

在民事責(zé)任方面，《個(gè)人信息保護(hù)法》明確，侵害個(gè)人信息權(quán)益造成損害的，個(gè)人信息處理者如不能證明自己沒有過錯(cuò)的，應(yīng)當(dāng)承擔(dān)損害賠償?shù)惹謾?quán)責(zé)任。同時(shí)，《個(gè)人信息保護(hù)法》還對(duì)侵害眾多個(gè)人權(quán)益的民事公益訴訟作了規(guī)定。

03 填補(bǔ)法律空缺，筑牢個(gè)人信息保護(hù)網(wǎng)

隨著《個(gè)人信息保護(hù)法》的出臺(tái)，針對(duì)個(gè)人信息保護(hù)的網(wǎng)將越織越密。作為網(wǎng)絡(luò)空間治理和數(shù)據(jù)保護(hù)的“三駕馬車”之一，《個(gè)人信息保護(hù)法》的制定填補(bǔ)了數(shù)字社會(huì)的重要法律空缺，明確了個(gè)人信息保護(hù)的相關(guān)規(guī)則和各相關(guān)方的權(quán)利義務(wù)，全方位構(gòu)筑了個(gè)人信息保護(hù)網(wǎng)。自此，對(duì)于個(gè)人信息的保護(hù)開啟了新的篇章。

“可以說，個(gè)人信息保護(hù)法已搭建起保護(hù)個(gè)人信息的科學(xué)、系統(tǒng)、全面的頂層設(shè)計(jì)。下一步，隨著監(jiān)管執(zhí)法舉措的不懈推進(jìn)、司法裁判規(guī)則的不斷豐富、多方參與共治的持續(xù)培育以及國(guó)際交流合作的深入開展，置身代碼世界的廣大人民群眾將長(zhǎng)久擁抱個(gè)人信息合法權(quán)益受保護(hù)、個(gè)人信息處理活動(dòng)受規(guī)范、個(gè)人信息合理利用受促進(jìn)的數(shù)字治理新生態(tài)?！北本煼洞髮W(xué)網(wǎng)絡(luò)法治國(guó)際中心執(zhí)行主任、中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)研究中心副主任吳沈括說。