《個人信息保護法》亮點與意義研究

◎中國電子信息產(chǎn)業(yè)發(fā)展研究院 王偉潔

2021年8月20日，《中華人民共和國個人信息保護法》（以下簡稱《個保法》）正式通過，并將于2021年11月1日起正式實施?！秱€保法》的出臺為個人權益的保護構(gòu)建了基本法律框架，也為相關個人信息處理者提供了具體的合規(guī)指引，標志著我國個人信息保護邁出了具有里程碑意義的一步，進一步完善了我國在數(shù)據(jù)領域的立法體系。

一、《個保法》主要內(nèi)容

（一）明確了個人信息的處理原則

個人信息處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開等環(huán)節(jié)。在充分結(jié)合國內(nèi)外實踐經(jīng)驗、立法成果以及個人保護要求后，《個保法》確立了個人信息處理的三類原則：一是處理個人信息應滿足一般原則要求，包括合法正當、具有明確及合理目的、對個人權益影響最小、遵循公開透明處理原則等。二是處理生物識別、醫(yī)療健康、行蹤軌跡等易導致個體人格尊嚴、人身、財產(chǎn)安全受到侵害的，以及未滿14周歲未成年人的個人敏感信息時，應建立更為嚴格的保護措施，否則不予相關主體處理敏感信息的資格。三是國家機關處理個人信息應滿足特別規(guī)定，包括境內(nèi)存儲個人信息、出境安全評估、不得超出履行法定職責所必需的范圍和限度等。

（二）提出了個人信息處理者的責任義務

一方面，要求個人信息處理者建立符合法律規(guī)定的內(nèi)部個人信息保護制度，如開展對個人信息的分級分類管理、采取加密、去標識化等技術措施強化個人信息處理操作權限、定期開展從業(yè)人員安全教育和培訓、制定個人信息安全事件應急預案、開展個人信息保護安全評估、設置個人信息保護負責人等。另一方面，為具有巨大用戶數(shù)量、復雜業(yè)務類型的互聯(lián)網(wǎng)平臺制定了針對性要求，包括要求其建立公開、公平、公正的平臺規(guī)則，定期發(fā)布個人信息保護社會責任報告、接受社會監(jiān)督等。

（三）強化個人信息安全監(jiān)督管理

一方面，為夯實個人信息安全監(jiān)管基礎，《個保法》建立了個人信息保護機構(gòu)機制，并進一步明確了各監(jiān)管部門監(jiān)管范圍和基本職責。具體包括，由國家網(wǎng)信部門負責統(tǒng)籌協(xié)調(diào)個人信息保護具體規(guī)則制定、個人信息保護評估認證推進等相關工作，國務院有關部門、各地方相關部門等各司其職進行個人信息保護和監(jiān)督管理。另一方面，《個保法》加大了對個人信息違法活動的處罰力度，設置的處罰全面覆蓋了常見的違法行為。通過設置五千萬元或者上一年度營業(yè)額百分之五的高額罰款，對當前販賣個人信息、濫采濫用個人信息等侵害個人信息權益的違法行為進行強有力的威懾，實現(xiàn)了對各類違法主體的精準打擊，大大增加企業(yè)的違法成本。

（四）賦予個人信息主體六大權利

《個保法》從法律層面賦予個人信息主體關于個人信息保護的各項權利、一是個人知情權和決定權，個人可在使用產(chǎn)品和服務時，限制或拒絕相關個人信息處理活動；二是個人要求解釋權，個人可在信息被收集時，要求個人信息處理者對信息收集、使用目的等進行解釋說明；三是更正補充權，個人可針對不準確、不完整的個人信息要求個人信息處理者進行更正、補充；四是查閱、復制和可攜帶權，個人有權從個人信息處理者處查閱并獲取個人信息副本，以及請求個人信息處理者直接將其個人信息傳輸給另一實體；五是請求刪除權，個人有權通過撤回同意等方式要求信息處理者刪除已收集的信息；六是信息待決定權，逝者個人信息的查閱、復制、更正等權利在一定條件下由其親屬代為執(zhí)行。

（五）進一步細化了個人信息跨境提供的規(guī)則

一方面，明確了個人信息跨境的三大基本要求，包括要求關鍵信息基礎設施運營者、其他一般個人信息處理者及時告知個人、具備向境外提供信息的必要條件、落實對應的安全審查義務。另一方面，建立了個人信息跨境流動領域的國際競爭與合作制度。合作方面，提出了按照平等互惠原則依法向境外提供個人信息。競爭方面，設置了個人信息境外提供的限制措施，并制定了對等反制策略，及時有效應對國外在個人信息保護領域?qū)ξ覈扇〉木哂衅缫曅缘南拗平勾胧?/p>

二、《個保法》核心亮點

《個保法》內(nèi)容較為豐富，針對當前社會關切的個人信息保護問題均有所涉及，直面當前個人信息保護中的熱點難點問題。

（一）限制過度收集個人信息，從源頭防范信息泄露

近些年，通過移動App等線上應用或攝像頭等線下設備過度收集用戶信息問題頻頻引發(fā)質(zhì)疑，個人信息采集邊界模糊，個人信息被“瘋狂野蠻開采”?！秱€保法》特別針對個人信息過度收集問題做出回應，提出了以“知情同意”為重要核心，以“最少必要信息”為基本原則的個人信息采集要求，明確了除少數(shù)特殊情況外，個人信息采集應取得個人同意，且應限于實現(xiàn)處理目的的最小范圍，旨在從數(shù)據(jù)全生命周期源頭為個人信息打造“安全保護鎖”。以線下采集人臉信息場景為例，《個保法》規(guī)定，在公共場所采集人臉信息應設置顯著提示標識，且僅限于維護公共安全目的，這正是針對此前線下各大商家濫用攝像頭暗自采集人臉信息并用于實施營銷推廣等亂象進行明確法律規(guī)制的體現(xiàn)。

（二）規(guī)范自動化決策，強化消費者權益保障

《個保法》對基于數(shù)據(jù)和算法的自動化決策所引發(fā)的風險問題進行了專門回應。一方面，禁止強制性個性化算法推薦?！秱€保法》明確提出，向個人進行信息推送、商業(yè)營銷，應當同時提供不針對其個人特征的選項，或者向個人提供便捷的拒絕方式，這為相關產(chǎn)品和服務中存在的個性化廣告信息騷擾問題設置了法律規(guī)制路徑。另一方面，明確禁止大數(shù)據(jù)殺熟。此前，通過數(shù)據(jù)和算法實施價格歧視，在相關產(chǎn)品和服務中對不同用戶采取不同價格政策的問題引起了社會各界強烈的反映?，F(xiàn)《個保法》明確規(guī)定，個人信息處理者利用個人信息進行自動化決策，不得對個人在交易價格等交易條件上實行不合理的差別待遇。在社會各界的普遍監(jiān)督下，濫用技術手段實施“大數(shù)據(jù)殺熟”行為的主體將會受到高額罰款、終止服務等嚴厲的監(jiān)管處罰。在具備強有力的法律威懾和法律管束的生態(tài)環(huán)境下，消費者權益將會得到充分保障。

（三）加強兒童和逝者的信息保護，充分考量特殊群體的信息權利

一方面，為限制線上教育、游戲、短視頻及社交平臺等利用兒童個人信息進行非法牟利，如誘導其進行在線充值、打賞等，《個保法》將不滿十四周歲未成年人的個人信息納入敏感信息范圍，并要求個人信息處理者對此制定專門的個人信息處理規(guī)則，旨在為辨識和控制能力較弱，且尚無完全民事行為能力的兒童群體建立更高級別的保護要求，和美歐等國家的GDPR、CCPA、UPDPA等國外法案相比，兒童個人信息保護是我國個人信息保護法制度的一大創(chuàng)新。另一方面，《個保法》與《民法典》中對逝者的個人隱私保護相關內(nèi)容進行了有效銜接，明確了逝者親屬為了自身的合法、正當利益，可對逝者個人信息行使相關權利，并尊重死者的生前安排。將道德與法律有機結(jié)合，是人性化立法的體現(xiàn)。

（四）完善個人信息救濟機制，構(gòu)建個人信息保護閉環(huán)

由于“技術鴻溝”和“平臺權利”的存在，在長期的個人信息維權過程中消費者個人往往處于弱勢地位。為進一步打破個人信息救濟面臨的困境，《個保法》明確了履行個人信息保護職責的相關部門應接受、處理與個人信息保護有關的投訴、舉報，并應及時處理和告知處理結(jié)果，這使得行政投訴機制形成了有效的閉環(huán)，可保證個人救濟機制良性運轉(zhuǎn)。同時，作為“事后”監(jiān)管機制的一部分，可通過發(fā)揮個體監(jiān)督力量，及時發(fā)現(xiàn)各大技術應用中難以發(fā)覺的個人信息安全風險漏洞，并對相關風險開展及時的處置，以避免更大范圍的風險擴散。

（五）分類設置個人信息保護要求，充分確保相關義務履行的可行性

不同規(guī)模的個人信息處理者在數(shù)據(jù)體量、技術能力、管理資源上存在差異，為此，《個保法》對不同規(guī)模的個人信息處理者設置了不同的義務要求，提出互聯(lián)網(wǎng)巨頭等大型個人信息處理者需履行“守門人”角色，自行制定有關個人信息保護的平臺規(guī)則、主動發(fā)布社會責任公告等，而信息量較少、處理活動簡單、技術水平較低的小型企業(yè)則由國家網(wǎng)信部門為其制定數(shù)據(jù)處理的相關規(guī)則。這一舉措也充分體現(xiàn)出我國法律制定對于“因材施教”的考量：針對大型企業(yè)，充分發(fā)揮其主體責任，重點加強對其個人信息處理活動的監(jiān)管；對于小型企業(yè)，需考慮其強化個人信息保護和負擔合規(guī)成本之間的平衡，避免較高的合規(guī)成本成為其創(chuàng)新發(fā)展的阻礙。

三、《個保法》重要意義

（一）建立起與我國數(shù)字實力相匹配的法律制度，使我國個人信息保護“有法可循”

隨著個人信息價值的凸顯，個人信息權益保護變得愈加重要。過去幾十年，國際上諸多國家紛紛探索個人信息保護制度，并相繼完成個人信息保護相關立法，如歐盟的GDPR法案，阿根廷和越南的《個人數(shù)據(jù)保護法》以及美國各州出臺的《消費者數(shù)據(jù)保護法》等。在強化個人信息保護方面，我國雖早已發(fā)布關于個人信息安全保護的多項規(guī)范性文件及國家標準，并組織開展違法違規(guī)行為的專項打擊活動，但由于缺乏具有強威懾力的專項法律制度，個人信息安全亂象屢禁不止，由此對我國數(shù)字技術和產(chǎn)業(yè)發(fā)展造成的風險也逐漸加劇。《個保法》的出臺，在極大保護我國個人信息權益的同時，也為我國數(shù)字技術在法律規(guī)定的框架內(nèi)快速發(fā)展創(chuàng)造了條件，并為我國智慧城市、自動駕駛、網(wǎng)絡零售等數(shù)字產(chǎn)業(yè)平穩(wěn)發(fā)展提供了良好的社會環(huán)境。

（二）彰顯了我國數(shù)字領域“以人為本”的國家治理理念

我國具有豐富的數(shù)據(jù)資源，且相較國外文化更易搜集數(shù)據(jù)，因此在多年的發(fā)展中，我國在以數(shù)據(jù)為核心驅(qū)動力的人工智能、物聯(lián)網(wǎng)等數(shù)字技術領域占有國際領先優(yōu)勢。但在數(shù)字技術為我國經(jīng)濟發(fā)展帶來重大機遇的同時，也不斷滋生個人信息安全風險隱患，且這些風險隱患對不同群體的個人權益造成了不同程度的嚴重危害。在此背景下，《個保法》特別對自動化技術不當應用產(chǎn)生的“大數(shù)據(jù)殺熟”、“強制個性化推薦”等本能帶來可觀經(jīng)濟收益的技術應用進行了限制，避免人工智能等數(shù)字技術濫用造成個體對數(shù)字社會發(fā)展的信任裂痕。此外，《個保法》甚至制定了更為嚴格的規(guī)定，進一步控制數(shù)字技術及應用可能對兒童等弱勢群體造成的影響。此等相關規(guī)制舉措，均體現(xiàn)了我國在數(shù)字領域的制度制定充分考慮并尊重個人權利、權益，充分彰顯了我國數(shù)字領域“以人為本”的國家治理理念。

（三）為全球數(shù)據(jù)治理貢獻了中國解決方案

《個保法》向全世界傳達了我國保護個人信息權益、治理網(wǎng)絡環(huán)境、引導數(shù)字經(jīng)濟健康有序發(fā)展的決心和擔當。一方面，其內(nèi)容與國際通用規(guī)則緊密接軌，其確立的個人信息處理原則、個人信息處理者責任義務、設立個人信息跨境標準合同機制等方面均與國際立法具有較強兼容性，有助于數(shù)字經(jīng)濟的全球化發(fā)展。另一方面，又基于我國自身數(shù)據(jù)技術、產(chǎn)業(yè)、文化基礎，設置了中國式特色規(guī)則，如建立了個人權利體系、將兒童信息列為敏感信息保護、制定了適度有限的域外效力等。基于自身國情設計個人信息保護領域的中國方案，不僅有益于國內(nèi)數(shù)據(jù)產(chǎn)業(yè)的規(guī)范化發(fā)展，也將成為全球數(shù)字治理中的引領和示范。