老網關（資深金融從業者）

2021年8月20日，第十三屆全國人民代表大會常務委員會第三十次會議通過《中華人民共和國個人信息保護法》（以下簡稱“辦法”），全文共八章74條，自2021年11月1日正式實施。簡言之，個人信息權，你我都有。哈哈哈……看了标題奔着其他想法進來的，自罰一下，形式不限，歡迎就此留言。

一、明确自然人的“個人信息權”

辦法明确自然人擁有個人信息權益。第4條規定，個人信息是以電子或者其他方式記錄的與已識别或者可識别的自然人有關的各種信息，不包括匿名化處理後的信息。匿名化則是指個人信息經過處理無法識别特定自然人且不能複原的過程（第73條）。因此，個人信息權是在享有安全保障權、知悉真情權、自主選擇權、公平交易權、依法求償權、求教獲知權、依法結社權、維護尊嚴權、監督批評權等九大消保權益基礎上的數字化特色權益擴充。

個人信息權範圍（第44-50條）。包括知情權、決定權（含限制和拒絕）、查閱複制以及信息轉移權、核實變更（更正、補充）權、要求删除權、知悉信息處理規則權（第48條）以及“凍結權”（第48條規定：法律、行政法規規定的保存期限未屆滿，或者删除個人信息從技術上難以實現的，個人信息處理者應當停止除存儲和采取必要的安全保護措施之外的處理）。

同時第49條還規定了自然人死亡後的“關聯者權益”“自然人死亡的，其近親屬為了自身的合法、正當利益，可以對死者的相關個人信息行使本章規定的查閱、複制、更正、删除等權利；死者生前另有安排的除外”。

敏感個人信息定義。第28-32條都是圍繞敏感個人信息保護。敏感個人信息是一旦洩露或者非法使用，容易導緻自然人的人格尊嚴受到侵害或者人身、财産安全受到危害的個人信息，包括生物識别、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌迹等信息，以及不滿十四周歲未成年人的個人信息（第28條）。特别要強調的是，不滿十四歲未成年人的個人信息都屬于敏感個人信息。

處理敏感個人信息的要求。處理敏感個人信息應當取得個人的單獨同意（第29條）；要告知必要性和對個人權益的影響（第30條）；處理未成年人信息屬于敏感個人信息，要取得其父母或者其他監護人的同意，且需制定專門的個人信息處理規則（第31條）。對于個人信息處理者處理敏感個人信息的要求則是“具有特定的目的和充分的必要性并采取嚴格保護措施”（第28條）。

保護個人的賠償傾向。第69條規定，對于處理個人信息侵害個人信息權益造成損害的，個人信息處理者不能證明自己沒有過錯的，應當承擔損害賠償等侵權責任。賠償責任按照個人受損或處理者獲益确定，難以确定的，根據實際情況确定賠償數額。這個條款實際執行時，如果遇到個人和處理者均為受損者情形，要作何處理呢？又或者雙方均有過錯呢？以及，個人有過錯，而處理者無法證明自己沒有過錯呢？實操中理清具體處理安排，大約還有很長的路要走。

公共場所信息采集要求。辦法對公共場所涉及隐私的數據采集也明确了要求，第26條規定，在公共場所安裝圖像采集、個人身份識别設備，應當為維護公共安全所必需，遵守國家有關規定，并設置顯著的提示标識。所收集的個人圖像、身份識别信息隻能用于維護公共安全的目的，不得用于其他目的。對于保障實施，也料将會有細化工作安排。

二、保護個人信息權的基本原則

辦法明确了個人信息處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、删除等八個重要方面。體現的基本原則是：

公平原則。允許個人撤回信息同意；信息處理要素變更需盡告知義務；變更事項屬于公共的要公開，以便于保存和查閱，屬于個性的要告知個人；應對緊急情況進行消息處理來不及告知的，緊急情況消除後應及時告知；信息的保存時間應為實現處理目的所必要的最短時間。（第13-19條）

連坐原則。多個信息處理者責要分明、禍要連坐，責任需分别約定，個人權利與之分别對應，即第20條規定的“該約定不影響個人向其中任何一個個人信息處理者要求行使本法規定的權利。個人信息處理者共同處理個人信息，侵害個人信息權益造成損害的，應當依法承擔連帶責任”。

多方同意原則。辦法23條明确， 在兩個信息處理人之間轉移個人信息的，需告知接收方名稱或姓名、聯系方式、處理目的、處理方式和個人信息種類，并需取得個人單獨同意，接收方變更原先的處理目的、處理方式的，應當重新取得個人同意。 此外，辦法21-22條也規定了委托繼承原則，對委托人、受托人、轉委托、繼承等安排，國家機關處理個人信息的特别規定（第33-37條）和個人信息跨境提供的規則（第38-43條）。

三、對自動化決策、去标識化、匿名化等規範召喚數字化管理神龍（第24條和73條）

第73條明确，自動化決策是指通過計算機程序自動分析、評估個人的行為習慣、興趣愛好或者經濟、健康、信用狀況等，并進行決策的活動。

第24條規定（1）個人信息處理者利用個人信息進行自動化決策，應當保證決策的透明度和結果公平、公正，不得對個人在交易價格等交易條件上實行不合理的差别待遇。（2）通過自動化決策方式向個人進行信息推送、商業營銷，應當同時提供不針對其個人特征的選項，或者向個人提供便捷的拒絕方式。（3）通過自動化決策方式作出對個人權益有重大影響的決定，個人有權要求個人信息處理者予以說明，并有權拒絕個人信息處理者僅通過自動化決策的方式作出決定。

對于（2），這意味着，要麼向客戶提供拒絕被自動化決策的方式，要麼要提供不針對個人特征的普通模式，結合第48條“個人有權要求個人信息處理者對其個人信息處理規則進行解釋說明”，客戶依據處理規則，要求提供可組合剔除的個性化安排似也無不可？比如選擇去除一個或多個組合的性别因素、年齡因素、地域因素。。。諸如此類，此時，處理供需兩端的“千人千面個性化訴求”，考驗的是個人信息處理者信息處理的能力，和與經營目标之間的平衡，這比單純經營目标導向的千人千面要更加複雜，如果考慮數據生産要素及其價值體現，且對個人信息能夠定價衡量的話，那麼整個交易過程則不僅将有所交付産品和服務的定價及價值轉移安排，還應包括數據價值定價及轉移安排，又或者，未來的産品或服務定價，需要結合不同的個人信息獲取做出差異化定價安排。

對于（1），自動化決策要保證決策透明度和結果公平公正，不得存有不合理的差别待遇。除了信息處理者要有專業實現能力和自律精神之外，更需要有數字化、智能化的度量标準及手段。這愈将加快機器可讀标準的嵌入式、智能化管理的應用進程，無論是内部審計，還是外部監管。

對于（3），如果客戶申請一筆貸款，僅用模型跑出來的拒絕，可能被客戶拒絕，僅用模型跑出來的分類定價，也可能被拒絕？加上人工簽字确認的環節，還算不算？這個您有啥高見？歡迎留言！

此外，第73條還明确：去标識化是指個人信息經過處理，使其在不借助額外信息的情況下無法識别特定自然人的過程。匿名化是指個人信息經過處理無法識别特定自然人且不能複原的過程。去标識化沿襲了此前《個人信息安全規範》不借助額外信息的規定，也因其依舊可被重新識别或具備重識别可能，因此，去标識化的數據依舊屬于個人信息，隻有匿名化處理後信息才不屬于個人信息範疇（第4條）。

結合第51條中的（三）“采取相應的加密、去标識化等安全技術措施”字少事大的管理要求，以及當前不同國家或地區對于去标識化、匿名化等所做的不同定義和實施的不同律法約束，顯然數據分類應用、分類管理、匿名化數據引入、加工和輸出，以及外部交流合作等等，都是挑戰和機會并存。

四、對個人信息處理者的管理及懲戒

業者自律。第五章共19條，規定個人信息處理者義務。包括建立内部管理制度和操作規程、分類管理、加密、去标識化、設定操作權限，實施安全教育和培訓、建立應急預案、落實合規審計，定期發布個人信息保護社會責任報告接受社會監督，确保個人信息訪問安全和防洩露、篡改、丢失。對于發生風險的，要施行補救措施（第57條）。

第52-56條要求，對于處理敏感信息、自動化決策、委托處理或對外提供或公開個人信息，還需事前做影響評估并記錄。對于影響評估，則要求覆蓋應用目的、處理方式等是否合法、正當、必要；對個人權益的影響及安全風險；所采取的保護措施是否合法、有效并與風險程度相适應；個人信息保護影響評估報告和處理情況記錄應當至少保存三年。

分層監管。第六章（第60-65條）規定了履行個人信息保護職責的部門。明确國家網信部門、國務院有關部門、縣級以上地方人民政府有關部門。統稱為履行個人信息保護職責的部門。其職責包括：宣傳教育、指導、監督、處理投訴和舉報、展開測評、調查和處理。其中，國家網信部門職能包括：

負責制定個人信息保護具體規則、标準；針對小型個人信息處理者、處理敏感個人信息以及人臉識别、人工智能等新技術、新應用，制定專門的個人信息保護規則、标準；支持研究開發和推廣應用安全、方便的電子身份認證技術，推進網絡身份認證公共服務建設；推進個人信息保護社會化服務體系建設，支持有關機構開展個人信息保護評估、認證服務；完善個人信息保護投訴、舉報工作機制。

管理方式除了檢查、調查之外，也包括約談法定代表人或主要負責人，要求個人信息處理者委托專業機構對其個人信息處理活動做合規審計，采取措施進行整改直至消除隐患，對涉嫌犯罪的移送公安機關。

分層處罰見人見錢。第七章（第66-71條）明确了對企業和對直接負責的主管人員和其他直接責任人員的處罰，對機構的處罰除了責令整改之外，情節嚴重的，處罰可至：沒收違法所得，并處五千萬元以下或者上一年度營業額百分之五以下罰款，責令暫停相關業務或停業整頓、通報有關主管部門吊銷相關業務許可或者吊銷營業執照，對直接負責的主管人員和其他直接責任人員處十萬元以上一百萬元以下罰款，以及一定期限内的董、監、高和個人信息保護負責人禁業處理，同時要記入信用檔案，并予以公示。

此外，對于提供重要互聯網平台服務、用戶數量巨大、業務類型複雜的個人信息處理者，則明确實施專門監督、明确規範直至停止提供服務（第58條）。處理個人信息達到國家網信部門規定數量的個人信息處理者應當指定個人信息保護負責人、公開聯系方式，姓名、聯系方式要報備（第52條）。

五、待強化的事項

數字化能力。除了前面已經說過的，第8條規定，處理個人信息應當保證個人信息的質量，避免因個人信息不準确、不完整對個人權益造成不利影響。由于時效性是影響準确性的重要因素之一，内誰說過，人不能兩次次踏入同一條河流，而内誰則進一步指出，人一次也沒法踏入同一條河流，因此，個人信息變化是常态使然，确保數據獲取并更新調整時效性難度極高，何況，數據割裂在多信息處理者也是常态；而實際上，不同機構因其其數據治理能力及效果和質量參差，對于客戶同樣的“動作”，所能錄得的信息準确性、完整性也差異極大；再則，即便面對完全相同的數據基礎，不同的機構或團隊運用數據的能力也不相同，這些也将導緻同源數據“千人千面”的結果千差萬别。。。。因此，配置數據管理專業人員，建立工作及制度規範體系，提高數據管理能力，依法合規擴展數據來源，提高數據處理能力至關重要。個人隐私保護政策也需據此做出修訂安排。對于各方管理角色而言，則是實施機器可讀标準的智能化管理。

全方位認證和監管體系。如前所述，不同機構既有數據資源禀賦差異，也有管理基礎和運用能力差異，在承認數據是生産要素且具備價值的前提下，對個人信息最大的保護大概是引導其識别保護能力強、運用效果好的信息處理人，但自然人受限于識别條件、專業能力或設施手段，顯然不具備這類“全民素質”，這就要求監管方或獨立的第三方為公衆提供可信的評估或認證結果，供個人參考。從維護公平市場秩序的角度看，如果數據是生産要素，處理數據的能力就是生産力，生産力差異會覺得産品所附價值和安全防控等等能力差異，因此，其産品和服務定價顯然也應體現能力差異，因此，認證或評估可謂市場廣闊，包括第12條所指，積極參與個人信息保護國際規則的制定，促進個人信息保護方面的國際交流與合作，推動個人信息保護規則、标準等互認，這對于信息處理專業化标準化展業及管理，以及接軌參與外循環均屬必需。無論評估、認證還是審計、檢查、查核、監管，機器可讀标準的智能化都将是唯一選擇。

保護多方權益。所有市場主體各自擁有自己的責權利，對于個人而言，應加強個人信息權的知識普及等權益保障，讓個人知悉其在個人信息保護中的責任、權利、義務，了解保護自身合法權益注意事項和受侵害時的權益主張或維權方法，加上業者自律、監管及懲戒，是權益保護生态中不可或缺的組成要素，個人對于自身權益的了解程度、保護意識、權益主張難度，都将影響或推動個人信息應用和保護工作，而所有這些均起于知悉和了解，因此，辦法多個條款對于應答個人咨詢、投訴、舉報都做出了規範，要落地見效，還取決于個人信息權相關知識的廣泛普及，以及客戶用權時被誠意以待的各種正面激勵，尤其是對屬于敏感個人信息的保護安排。對于信息處理者而言，合法權益同樣應該受到保護，近段時間爆出的打着正規維權幌子、使着“惡意投訴”伎倆、奔着“一手交錢、一手辦事”訛詐目的而來的黑色維權産業鍊，正在侵害正規金融的形象和利益以及市場公平，後者對于市場環境的破壞尤其值得關注！而維護市場公平正義的終極法器，恐怕出路也在于數字化甄别能力和機器可讀标準的智能化監管和智能化消保溯源。

此外，對于一些條款的解讀或需進一步明晰：比如，第6條規定處理個人信息應當具有明确、合理的目的，并應當與處理目的直接相關，采取對個人權益影響最小的方式。直接相關和個人權益影響最小的判斷标準？再如，第14條對于同意信息處理的形式，規定“有規範（法律、行政法規規定）明确要求單獨同意或書面同意的，從其規定。其他的保障由個人在充分知情的前提下自願、明确作出即可”，顯然，單獨同意、書面同意、明确同意，是表達同意的三種不同方式，實操中如何做出合理安排，同樣考驗智慧和誠意。

所以，說來道去，都将通往基于全面連接的機器可讀标準的數智化管理。所以，個人信息權這個權，掌和被掌都太難了……不同角色不同體會，也會對前景做出不同判斷……留言說說您看到的？總之，哪哪都是學問，學也學不完，這向天要借多少年才夠呀！（本文為作者觀點，不代表本頭條号立場）

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!