《個人信息保護法》：個人信息保護開啟新篇章

王環(huán)環(huán)

隨著互聯(lián)網(wǎng)信息技術(shù)的不斷深入發(fā)展，人工智能等新興技術(shù)日漸融入人們生活的各個角落，個人信息被大面積采集與處理已成為普遍現(xiàn)象。與此同時，“大數(shù)據(jù)殺熟”、個人隱私信息泄露等問題也隨之凸顯出來，由此而引發(fā)的網(wǎng)絡(luò)詐騙等事件更是層出不窮，個人信息安全遭遇了極大的威脅。信息化時代，如何保護個人的信息安全，成為時下亟需思考的命題。

2021年8月20日，十三屆全國人大常委會第三十次會議表決通過了《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》），并將于2021年兒月1日起實施?！秱€人信息保護法》的通過，于個人信息保護而言，意義重大?！秱€人信息保護法》共8章74條，以嚴密的制度、嚴格的標準、嚴厲的責(zé)任，構(gòu)建了權(quán)責(zé)明確、保護有效、利用規(guī)范的個人信息處理和保護制度規(guī)則。

01《個人信息保護法》的設(shè)立

近年來，隨著互聯(lián)網(wǎng)經(jīng)濟的蓬勃發(fā)展，我國在個人信息保護方面投入的力度在不斷加大。

我國對于個人信息安全法的關(guān)注始于2003年，當(dāng)時的國務(wù)院信息化辦公室正式部署了立法研究工作;2005年，《個人信息保護法（專家建議稿）》相繼宣布完成。

同期，我國在網(wǎng)絡(luò)數(shù)據(jù)立法方面的進程也在不斷加快。2012年，《全國人大關(guān)于加強網(wǎng)絡(luò)信息保護的決定》出臺;2016年，《網(wǎng)絡(luò)安全法》出臺;2018年，《電子商務(wù)法》出臺。此外，除這些專門的網(wǎng)絡(luò)法外，傳統(tǒng)法律的制定、修訂工作也給予了網(wǎng)絡(luò)空間極大的關(guān)注，如《消費者權(quán)益保護法（修訂）》（2013年）、《刑法修正案》（九）（2015年）、《民法總則》（2017年）、《民法典》之人格權(quán)編（2020年）都補充了個人信息保護相關(guān)條款。這些相關(guān)法律條文的設(shè)立，在一定程度上回應(yīng)了公眾關(guān)切的問題，對于信息化時代下網(wǎng)絡(luò)安全、個人信息保護提供了些許依據(jù)。

但就實際而言，由于長期以來，我國始終未建立起系統(tǒng)的個人信息保護法律體系，在個人信息保護相關(guān)工作的落實中，仍是較為艱難的。不乏一些企業(yè)、機構(gòu)甚至個人，為了獲取商業(yè)利益，鉆法律漏洞，隨意收集、過度使用、非法買賣個人信息，對人們的生活、健康乃至財產(chǎn)安全都造成了極大的損害。加快立法工作的推進迫在眉睫。

2018年9月，《個人信息保護法》正式納入人大立法規(guī)劃，并在歷經(jīng)三年起草制定后，于2021年8月20日正式出臺。

《個人信息保護法》的出臺，于我國數(shù)字時代法律體系的建立健全來說，意義重大。自此，我國終于完善了在個人信息保護方面的缺口，形成了以《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護法》三法為核心的網(wǎng)絡(luò)法律體系，為數(shù)字時代的網(wǎng)絡(luò)安全、數(shù)據(jù)安全、個人信息權(quán)益保護提供了基礎(chǔ)制度保障。

02個人信息保護有法可依：從收集、處理到維護

與先前出臺的《網(wǎng)絡(luò)安全法》和《數(shù)據(jù)安全法》有所區(qū)別，《個人信息保護法》側(cè)重保護個人信息，監(jiān)管對象是個人信息的處理者和受托人。《個人信息保護法》共8章74條，主要就個人信息處理的規(guī)則、個人信息跨境提供的規(guī)則、個人的權(quán)利及信息處理者的義務(wù)、履行個人信息保護職責(zé)的部門、法律責(zé)任等進行了規(guī)定。

個人信息的收集：約束與規(guī)范

約束過度收集個人信息。對于以往信息過度收集的亂象，《個人信息保護法》明確規(guī)定，收集個人信息，應(yīng)當(dāng)限于實現(xiàn)處理目的的最小范圍，不得過度收集個人信息。此外，任何組織、個人不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人信息。

規(guī)范公共場合圖像采集。智能時代下，我國已進入“監(jiān)視時代”，公共場所中隨處可見的攝像頭在積極推動國家法制監(jiān)督發(fā)展的同時，也對民眾隱私等基本權(quán)益的保護提出挑戰(zhàn)。在最新出臺的《個人信息保護法》中，對于公共場合圖像的采集作出了明確規(guī)定，在公共場所安裝圖像采集、個人身份識別設(shè)備，應(yīng)當(dāng)為維護公共安全所必需，遵守國家有關(guān)規(guī)定，并設(shè)置顯著的提示標識。此外，《個人信息保護法》還規(guī)定：所收集的個人圖像、身份識別信息只能用于維護公共安全的目的，不得用于其他目的;取得個人單獨同意的除外。

個人信息的處理：穩(wěn)妥處理與嚴格禁止

構(gòu)建以“告知一同意”為核心的個人信息處理規(guī)則。個人信息保護的原則是收集、使用個人信息的基本遵循，是構(gòu)建個人信息保護具體規(guī)則的制度基礎(chǔ)。《個人信息保護法》緊緊圍繞規(guī)范個人信息處理活動、保障個人信息權(quán)益，構(gòu)建了以“告知一同意”為核心的個人信息處理規(guī)則。

全國人大常委會法工委經(jīng)濟法室副主任楊合慶表示，“‘告知—同意是法律確立的個人信息保護核心規(guī)則，是保障個人對其個人信息處理知情權(quán)和決定權(quán)的重要手段?！?/p>

《個人信息保護法》要求，處理個人信息應(yīng)當(dāng)在事先充分告知的前提下取得個人同意，個人信息處理的重要事項發(fā)生變更的應(yīng)當(dāng)重新向個人告知并取得同意。同時，針對現(xiàn)實生活中社會反映強烈的一攬子授權(quán)、強制同意等問題，《個人信息保護法》特別要求，個人信息處理者在處理敏感個人信息、向他人提供或公開個人信息、跨境轉(zhuǎn)移個人信息等環(huán)節(jié)應(yīng)取得個人的單獨同意，明確個人信息處理者不得過度收集個人信息，不得以個人不同意為由拒絕提供產(chǎn)品或者服務(wù)，并賦予個人撤回同意的權(quán)利，在個人撤回同意后，個人信息處理者應(yīng)當(dāng)停止處理或及時刪除其個人信息。

穩(wěn)妥處理敏感個人信息。對于何為敏感個人信息，《個人信息保護法》中給予了明確：一旦泄露或者非法使用，可能導(dǎo)致個人受到歧視或者人身、財產(chǎn)安全受到嚴重危害的個人信息均屬于敏感個人信息，包括：種族、民族、宗教信仰、個人生物特征、醫(yī)療健康、金融賬戶、個人行蹤等。

對于敏感個人信息的處理，《個人信息保護法》要求，個人信息處理者具有特定的目的和充分的必要性，方可處理敏感個人信息。此外，明確提出，基于個人同意處理敏感個人信息的，個人信息處理者必須取得個人的單獨同意。如果法律、行政法規(guī)規(guī)定處理敏感個人信息必須取得書面同意的，個人信息處理者應(yīng)當(dāng)取得信息被處理人的書面同意，同時，還必須向個人告知處理敏感個人信息的必要性以及對個人的影響。

禁止“大數(shù)據(jù)殺熟”?！按髷?shù)據(jù)殺熟”、算法歧視在當(dāng)前的數(shù)字時代下，已日漸成為見怪不怪的事。當(dāng)前，一些企業(yè)通過掌握消費者的經(jīng)濟狀況、消費習(xí)慣、對價格的敏感程度等信息，對消費者在交易價格等方面實行歧視性的差別待遇，誤導(dǎo)、欺詐消費者，其中最典型的就是：在同一個APP上訂酒店或是點外賣，不同用戶顯示不同價格。

《個人信息保護法》首次對這些情況做出了規(guī)范，明確規(guī)定，個人信息處理者利用個人信息進行自動化決策，應(yīng)當(dāng)保證決策的透明度和結(jié)果公平、公正，不得對個人在交易價格等交易條件上實行不合理的差別待遇。

不得強制推送個性化廣告。搜索過一個商品，接著就會收到很多類似廣告的推送……近年來，一些平臺利用大數(shù)據(jù)進行用戶畫像推送個性化廣告，對人們的生活造成了極大的困擾?！秱€人信息保護法》中對此明確規(guī)定，個人信息處理者應(yīng)當(dāng)保障消費者的知情權(quán)和選擇權(quán)，通過自動化決策方式進行商業(yè)營銷、信息推送，必須同時提供不針對其個人特征的選項，或者向個人提供拒絕的方式。

嚴格個人信息跨境提供原則。隨著國際間的交流合作日漸緊密，個人信息數(shù)據(jù)的跨境流動在全球蓬勃發(fā)展的數(shù)字經(jīng)濟中發(fā)揮著越來越重要的作用?；ヂ?lián)網(wǎng)技術(shù)的發(fā)展縮短了人與人之間的時空距離，同時也帶來了一定的安全風(fēng)險?！皵?shù)據(jù)出境不僅涉及個保法，最主要是涉及數(shù)據(jù)安全。專業(yè)機構(gòu)提供的第三方認證主要看是否做到匿名化處理。匿名化后，這些信息就不再是個人信息，也不再受個保法約束，評估的核心就變成了數(shù)據(jù)安全問題?！北本┐髮W(xué)法學(xué)院教授、法治發(fā)展研究院執(zhí)行院長王錫鋅說道。

為此，《個人信息保護法》為個人信息跨境流動設(shè)立專門章節(jié)，確立個人信息處理者向境外提供個人信息所具備的條件和要求，明確關(guān)鍵信息基礎(chǔ)設(shè)施運營者和處理個人信息達到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者應(yīng)當(dāng)將在我國境內(nèi)收集和產(chǎn)生的個人信息存儲在境內(nèi)。確需向境外提供的，應(yīng)當(dāng)通過國家網(wǎng)信部門組織的安全評估，從而保障個人信息安全、自由流動，以適應(yīng)國際經(jīng)貿(mào)往來的現(xiàn)實需要。

個人信息的維護：個人權(quán)利與可訴性

規(guī)定個人權(quán)利?！啊秱€人信息保護法》就是—部保護個人信息權(quán)益的法?！痹谇迦A大學(xué)法學(xué)院教授程嘯看來，這正是這部法律的根本目的。以此為基礎(chǔ)，《個人信息保護法》對個人在個人信息處理活動中的權(quán)利作出全面的規(guī)定。

《個人信息保護法》將個人在個人信息處理活動中的各項權(quán)利，包括知悉個人信息處理規(guī)則和處理事項、同意和撤回同意，以及個人信息的查詢、復(fù)制、更正、刪除等總結(jié)提升為知情權(quán)、決定權(quán)，明確個人有權(quán)限制個人信息的處理。

可依法提起訴訟。為了更好地保障上述個人權(quán)利的實現(xiàn)，《個人信息保護法》還專門賦予這些權(quán)利可訴性?！八^可訴性，即在個人信息處理者拒絕個人行使權(quán)利的請求時，個人可以依法向人民法院提起訴訟，由法院判決強制個人信息處理者履行相應(yīng)的義務(wù)，保障個人權(quán)利的實現(xiàn)?！背虈[解釋說。

此外，根據(jù)個人信息處理的不同情況，《個人信息保護法》對違法處理個人信息的行為設(shè)置了不同梯次的行政處罰。對未造成嚴重后果的輕微或一般違法行為，可由執(zhí)法部門責(zé)令改正、給予警告、沒收違法所得，對拒不改正的最高可處一百萬元罰款;對情節(jié)嚴重的違法行為，最高可處五千萬元或上一年度營業(yè)額百分之五的罰款，并可以對相關(guān)責(zé)任人員作出相關(guān)從業(yè)禁止的處罰。同時，《個人信息保護法》還專門規(guī)定，對違法處理個人信息的應(yīng)用程序，可以責(zé)令暫停或終止提供服務(wù)。

在民事責(zé)任方面，《個人信息保護法》明確，侵害個人信息權(quán)益造成損害的，個人信息處理者如不能證明自己沒有過錯的，應(yīng)當(dāng)承擔(dān)損害賠償?shù)惹謾?quán)責(zé)任。同時，《個人信息保護法》還對侵害眾多個人權(quán)益的民事公益訴訟作了規(guī)定。

03填補法律空缺，筑牢個人信息保護網(wǎng)

隨著《個人信息保護法》的出臺，針對個人信息保護的網(wǎng)將越織越密。作為網(wǎng)絡(luò)空間治理和數(shù)據(jù)保護的“三駕馬車”之一，《個人信息保護法》的制定填補了數(shù)字社會的重要法律空缺，明確了個人信息保護的相關(guān)規(guī)則和備相關(guān)方的權(quán)利義務(wù)，全方位構(gòu)筑了個人信息保護網(wǎng)。自此，對于個人信息的保護開啟了新的篇章。

“可以說，個人信息保護法已搭建起保護個人信息的科學(xué)、系統(tǒng)、全面的頂層設(shè)計。下一步，隨著監(jiān)管執(zhí)法舉措的不懈推進、司法裁判規(guī)則的不斷豐富、多方參與共治的持續(xù)培育以及國際交流合作的深入開展，置身代碼世界的廣大人民群眾將長久擁抱個人信息合法權(quán)益受保護、個人信息處理活動受規(guī)范、個人信息合理利用受促進的數(shù)字治理新生態(tài)?！北本煼洞髮W(xué)網(wǎng)絡(luò)法治國際中心執(zhí)行主任、中國互聯(lián)網(wǎng)協(xié)會研究中心副主任吳沈括說。