一圖讀懂我國首部個人信息保護法?個人信息保護法：為數字社會治理與數字經濟發展構建基本法，我來為大家講解一下關于一圖讀懂我國首部個人信息保護法?跟着小編一起來看一看吧!

一圖讀懂我國首部個人信息保護法

個人信息保護法：為數字社會治理與數字經濟發展構建基本法

作者：丁曉東 中國人民大學未來法治研究院副院長

互聯網與大數據時代，個人信息保護構成了數字社會治理與數字經濟發展的基本法，牽動着萬千公衆的切身利益，也關涉企業對于個人信息的合理利用與規範發展。個人信息保護法自啟動立法以來，也因此受到了社會的廣泛關注。如今，個人信息保護法正式頒布，為個人信息處理活動提供了明确的法律依據，為個人維護其個人信息權益提供了充分保障，為企業合規處理提供了操作指引。

整體來看，個人信息保護法構建了完整的個人信息保護框架。其規定涵蓋了個人信息的範圍以及個人信息從收集、存儲到使用、加工、傳輸、提供、公開、删除等所有處理過程；明确賦予了個人對其信息控制的相關權利，并确認與個人權利相對應的個人信息處理者的義務及法律責任；對個人信息出境問題、個人信息保護的部門職責、相關法律責任進行了規定。

首先，個人信息保護法确認了廣義的個人信息範圍，包括以電子或者其他方式記錄的與已識别或者可識别的自然人有關的各種信息，這意味着絕大多數與自然人相關的信息都可以納入保護範圍，體現了個人信息保護法廣泛的保護範圍。同時區分了敏感個人信息，包括生物識别、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌迹等信息，以及不滿十四周歲未成年人的個人信息。将不滿十四周歲的未成年人的個人信息納入敏感個人信息範疇，加強了對未成年人個人信息保護的力度。此外，明确将匿名化處理後的信息排除在外，這表明在大力保護個人信息權益的同時，也希望個人信息處理者能夠采用匿名化等技術，以保障正常的信息處理活動。

第二，個人信息保護法提出了處理個人信息需要遵循的原則和要求。處理個人信息不僅要滿足合法、正當、必要，還要有明确、合理的目的，同時必須采取對個人權益影響最小的方式，限于實現處理目的的最小範圍，遵循公開、透明的原則，保證個人信息的準确、完整性，并采取必要措施保障個人信息的安全。作為個人信息處理活動最基本的要求，這些原則貫穿于個人信息的收集、存儲、使用、加工、傳輸、提供、公開、删除等各個處理環節，在疑難情況或沒有具體規定時也都應當符合原則的要求，任何組織、個人都不得非法買賣、提供或者公開他人個人信息；不得從事危害國家安全、公共利益的個人信息處理活動。

第三，個人信息保護法制定了個人信息處理的規則。原則為個人信息的處理活動提供了方向，規則則讓個人信息的具體處理活動有更具體的依據。

首先是處理個人信息的合法性基礎。個人信息保護法對“知情—同意規則”提出了明确要求。必須要保證個人的知情權，明确在處理個人信息前，個人信息處理者應當以顯著方式、清晰易懂的語言真實、準确、完整地将個人信息處理的目的、處理方式等相關事項告知個人，個人在充分知情的前提下自願、明确作出同意。個人還有權随時撤回其同意，并且不影響撤回前基于個人同意已進行的個人信息處理活動的效力，個人信息處理者不得以個人不同意或者撤回同意為由拒絕提供産品或者服務，處理個人信息屬于提供産品或者服務所必需的除外。而基于“知情—同意規則”處理敏感個人信息的，除了需要個人的單獨同意，在告知環節還應當向個人告知處理敏感個人信息的必要性以及對個人權益的影響。

處理個人信息的合法基礎除了個人的同意外，還有可能是其他原因，個人信息保護法第十三條規定：符合下列情形之一的，個人信息處理者方可處理個人信息：（一）取得個人的同意；（二）為訂立、履行個人作為一方當事人的合同所必需，或者按照依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理所必需；（三）為履行法定職責或者法定義務所必需；（四）為應對突發公共衛生事件，或者緊急情況下為保護自然人的生命健康和财産安全所必需；（五）為公共利益實施新聞報道、輿論監督等行為，在合理的範圍内處理個人信息；（六）依照本法規定在合理的範圍内處理個人自行公開或者其他已經合法公開的個人信息；（七）法律、行政法規規定的其他情形。除同意以外的其他合法性基礎還需要考慮特定情形，符合處理個人信息的基本原則，并采取對個人權益影響最小的方式，嚴格限制對個人信息的濫用。其中，以“按照依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理所必需”為企業需要處理員工的個人信息的情形提供了法律依據。因為勞動關系中從屬性的存在，員工的“同意”往往難以被認定為是自由作出，使得企業處理員工個人信息困難重重，以“按照依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理所必需”作為合法基礎為企業處理信息預留空間的同時又有着較強的限定，可以避免企業對正當利益合法基礎的濫用，也體現了個人信息保護法嚴格的規制目标。

其次，個人信息保護法規定利用個人信息進行自動化決策，不僅要保證決策的透明度和結果的公平、公正，還要求不得對個人在交易價格等交易條件上實行不合理的差别待遇，明确否定了“大數據殺熟”等現象。通過自動化決策方式作出對個人權益有重大影響的決定，個人有權要求個人信息處理者予以說明，并有權拒絕個人信息處理者僅通過自動化決策的方式作出決定。如果利用自動化決策方式進行信息推送、商業營銷，還應當同時提供不針對其個人特征的選項，或者向個人提供拒絕的方式，比如提供關閉個性化推薦的選項。

個人信息保護法還規定了個人信息跨境提供的合法性基礎，包括通過國家網信部門組織的安全評估、按照國家網信部門的規定經專業機構進行個人信息保護認證、按照國家網信部門制定的标準合同與境外接收方訂立合同并約定雙方的權利和義務等，并且規定了中華人民共和國締結或者參加的國際條約、協定也可以作為合法基礎。但同時還需要注意個人信息跨境提供，個人信息處理者應當保障境外接收方處理個人信息的活動達到本法規定的個人信息保護标準。

第四，個人信息保護法明确了個人信息處理活動過程中的權利和義務。賦予了個人在個人信息處理活動中的權利，包括查閱複制權、可攜帶權、更正補充權、删除權、解釋說明權等權利。其中，可攜帶權是指當個人請求将個人信息轉移至其指定的個人信息處理者，符合國家網信部門規定條件的，個人信息處理者應當提供轉移的途徑。删除權的行使則需要在保存期限屆滿、出現違法違約等情況且個人信息處理者沒有主動删除的情況下，個人才有權請求删除。

與個人權利相對應的是個人信息處理者的義務，個人信息保護法中對個人信息處理者的職責和義務提出了嚴格的要求，應當根據具體的處理情形采取必要的措施，并在涉及敏感個人信息、自動化決策等情形時還需在事前進行個人信息保護影響評估，如果處理個人信息數量達到國家網信部門規定數量的，還應當指定個人信息保護負責人。發生或可能發生個人信息洩露、篡改、丢失時，個人信息處理者應當立即采取補救措施，并将相關情況通知履行個人信息保護職責的部門和個人。同時，提供重要互聯網平台服務、用戶數量巨大、業務類型複雜的個人信息處理者還應履行更高水平的保護義務。

第五，個人信息保護法規定了履行個人信息保護職責部門的職責。國家網信部門負責統籌協調個人信息保護工作和相關監督管理工作。履行個人信息保護職責的部門需要接受、處理與個人信息保護有關的投訴、舉報，并調查、處理違法個人信息處理活動。對于個人信息處理活動有任何疑問的任何組織、個人都有權向履行個人信息保護職責的部門進行投訴、舉報。收到投訴、舉報的部門應當依法及時處理，并将處理結果告知投訴、舉報人。

第六，個人信息保護法規定了相關法律責任。個人信息保護法第五十四條規定，個人信息處理者應當定期對其個人信息處理活動遵守法律、行政法規的情況進行合規審計。這表明在未來對企業的合規審計将會成為常态，不僅是事後對違法的個人信息處理活動進行調查處理，更重要的是事前的預防機制，從源頭阻止個人信息被侵害的情形發生。而一旦發生侵害個人信息的行為，将對個人信息處理者實行過錯推定原則，不能證明自己沒有過錯的就應當承擔損害賠償等侵權責任，這在很大程度上減輕了個人維權的難度，也給個人信息處理者的合規審計帶來了壓力和動力。如果侵害衆多個人的權益的，人民檢察院、法律規定的消費者組織和由國家網信部門确定的組織還可以依法向人民法院提起公益訴訟。

綜合而言，我國的個人信息保護法對相關制度進行了全方位的規定，體現了我國政府維護公民基本權益的決心，為個人信息的規範化收集與利用提供了保障。随着幾個月後個人信息保護法的生效實施，這一數字時代的基本法也必将為我國數字社會治理與數字經濟發展注入更為強大的動力。

個人信息保護法解決廣大人民群衆最關心最直接最現實的利益問題

作者：方禹 中國信息通信研究院互聯網法律研究中心主任

2021年8月20日，個人信息保護法審議出台，将于2021年11月1日起施行。國家層面對個人信息保護問題作出重大基礎性法律制度安排。2016年11月審議通過的網絡安全法在“網絡信息安全”一章中對個人信息保護問題進行了規定，明确了個人信息保護的主要原則和基本規則。網絡安全法對于推動個人信息保護法治進程發揮了重要作用。同時，随着信息通信技術快速發展疊代，個人信息保護問題的複雜性、緊迫性、專業性進一步凸顯，有必要制定統一的、專門的個人信息保護立法。

個人信息保護已經成為廣大人民群衆最關心最直接最現實的利益問題之一。截至2020年12月，我國網民規模達9.89億，較2020年3月增長8540萬，互聯網普及率達70.4%。随着“互聯網 ”深度融合和數字經濟快速發展，線下活動逐漸向線上轉移融合，消費互聯網廣泛改變人們的生活方式，互聯網深刻改變人們的工作方式，網絡已經與人們的生産生活密不可分。現實生活中，一些企業、機構甚至個人，從商業利益等出發，随意收集、違法獲取、過度使用、非法買賣個人信息，利用個人信息侵擾人民群衆生活安甯、危害人民群衆财産安全和生命健康等問題仍十分突出。日常生活中，随意收集個人信息的場景十分常見，免費領取的氣球小玩具要求掃碼關注獲取個人信息，商場停車要求微信公衆号注冊繳納停車費，餐廳點餐需要掃碼下單獲取不必要個人信息等等。人們對此司空見慣卻又頗具無奈。個人信息頻繁被收集使用，個人生活安甯被不斷侵擾，用戶合法權益得不到切實保障，甚至滋生長鍊條的黑色産業。個人信息保護法的出台有效回應了這些不規範、不合法的問題。總體來看，個人信息保護法對個人信息保護問題作出了全面性、基礎性的規定，能夠有效實現個人信息保護法治環境。具體來看，主要包括六個方面内容。

一是明确了個人信息保護的調整範圍。個人信息保護法第四條第一款規定，個人信息是以電子或者其他方式記錄的與已識别或者可識别的自然人有關的各種信息，不包括匿名化處理後的信息。網絡安全法、民法典等對“個人信息”均有界定，基本以“識别說”為基礎，采取的都是概括 列舉的表述方式。個人信息保護法作為專門的個人信息保護法律，在定義方式上有明顯的不同，兼具了“識别說”和“關聯說”，很大程度上反映了個人信息保護的專業性、動态性，結合個人信息處理主體多樣、處理活動複雜、個人信息類型易變的現實發展情況，通過内涵和外延較為寬泛的定義方式，最大程度地保證了個人信息保護法能夠廣泛适用和穩定适用。與此同時，第四條第二款規定，個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、删除等。數據作為新型生産要素，價值化釋放是數據活動的主要目的之一。個人信息在當前發展階段是價值極為豐富的數據類型，其價值化釋放需求十分強烈，而可能伴随的個人信息權益侵害也貫穿于數據處理活動的全生命周期。個人信息保護法通過立法技巧，将有關個人信息活動統一為“處理”活動，以保證全法條文的有效覆蓋。相比于歐盟的《通用數據保護條例》（GDPR）所規定的數據控制者（Data Controller）和數據處理者（Data Processor），個人信息保護法僅用“個人信息處理者”一個概念表述，從比較法角度存在差異理解問題，但個人信息保護法通過委托處理（第二十一條）和轉移處理（第二十三條）兩種方式的規定，實際上充分考慮了以“數據控制者”和“數據處理者”為理解背景的場景适用。從周延性的角度來說，并無實質不同。對于類型多樣的個人信息處理者而言，這是理解個人信息保護法适用的關鍵問題之一。

二是明确了個人信息處理的基本規則。首先，個人信息保護法首次在國内法中規定了個人信息處理的合法性基礎（第十三條），包括用戶同意、訂立合同所必需、人力資源管理所必需、履行法定職責/義務、緊急保護、新聞報道或者輿論監督、合理處理公開信息等多項合法性基礎。對于個人信息處理者而言，在以往僅有用戶同意這種唯一的合法性基礎之上，豐富了可以合法處理個人信息的途徑，既考慮了個人信息處理活動的合理實踐，也借鑒了成熟的國外立法經驗。同時，個人信息保護法也妥當地處理了同法條文的銜接，根據第十三條第二款規定，依照本法其他有關規定，處理個人信息應當取得個人同意，但有前款第二項至第七項規定情形的，不需取得個人同意。這充分體現了個人信息處理活動的複雜性、多場景性，明确了除“用戶同意”以外合法處理個人信息的情形遵守其他條款的規則，保證了立法的科學性和嚴密性。其次，個人信息保護法對通過自動化決策方式處理個人信息作出了規定，回應了廣為關注的信息繭房和大數據殺熟問題。個人信息保護法要求“利用個人信息進行自動化決策，應當保證決策的透明度和結果公平、公正”（第二十四條第一款）。針對信息繭房問題，個人信息保護法賦予了用戶拒絕的權利，規定“通過自動化決策方式向個人進行信息推送、商業營銷，應當同時提供不針對其個人特征的選項，或者向個人提供便捷的拒絕方式”（第二十四條第二款）；針對大數據殺熟問題，規定“不得對個人在交易價格等交易條件上實行不合理的差别待遇”（第二十四條第一款）。實際上，在反壟斷法框架下，大數據殺熟是一種濫用市場支配地位的行為，反壟斷法已有類似的規定。個人信息保護法對此作出規定，既能在反壟斷規制以外提供新的保護路徑，也能從個人信息收集、使用的底層邏輯上應對大數據殺熟問題。無論是信息繭房問題還是大數據殺熟，個人信息處理活動發揮着最基礎的支撐作用，離開個人信息數據處理，信息繭房和大數據殺熟都很難實現。通過對個人信息處理活動的有效規制，能夠對解決類似問題起到釜底抽薪的根本性作用。再次，明确了對公共場所視頻監控活動的規則。個人信息保護法第二十六條要求“在公共場所安裝圖像采集、個人身份識别設備，應當為維護公共安全所必需，遵守國家有關規定，并設置顯著的提示标識。所收集的個人圖像、身份識别信息隻能用于維護公共安全的目的，不得用于其他目的；取得個人單獨同意的除外。”出于保護公共安全的必要，公共場所設置攝像等設備越來越普及，也發揮了實際的效果。然而，有些攝像等設備的設置超出了維護公共安全的目的，甚至是為了私益。個人信息保護法通過該條作出了原則性規定，為後續規範相關活動提供了法律依據。最後，首次明确了處理已公開個人信息的規則。根據個人信息保護法第十三條的規定，“依照本法規定在合理的範圍内處理個人自行公開或者其他已經合法公開的個人信息”屬于合法性基礎之一。第二十七條對已公開的個人信息處理進行規定，明确可以在合理的範圍内處理個人自行公開或者其他已經合法公開的個人信息，但是個人明确拒絕的除外。同時，處理已公開的個人信息對個人權益有重大影響的，還應當依照本法規定取得個人同意。

三是對個人在個人信息處理活動中的權利進行了充分規定。個人對其個人信息所享有的權利是個人參與個人信息保護的重要手段之一，體現了個人信息多元治理思路。參考以GDPR為代表的國外個人信息保護立法，賦予個人的權利種類基本一緻。個人信息保護法進行了科學、充分的立法借鑒。通過原則性條款明确了個人對其個人信息的處理享有知情權、決定權，有權限制或者拒絕他人對其個人信息進行處理（第四十四條）。具體規定了查閱、複制權，可攜帶權（第四十五條），更正權（第四十六條），删除權（第四十七條），請求解釋權（第四十八條）。對于自然人死亡的，也明确了其近親屬行使相關權利的規定（第四十九條）。比較而言，個人信息保護法對個人在個人信息處理活動中享有的權利作了比較充分的規定，除了對國際國内普遍存在争議的“被遺忘權”未作明确規定以外，基本和國外立法相一緻。值得注意的是，個人信息保護法中所稱“權利”，有别于民法體系中的民事權利，并未對個人信息進行權利化規定，而是強調了“在個人信息處理活動中的”權利。

四是規定了個人信息處理者的義務。個人信息處理者的義務可以理解為個人信息處理的操作規範和手冊。對于個人信息處理者而言，是需要非常熟悉并逐一對照遵守的部分。個人信息保護是一種合規性狀态，而非一種目标性結果，需要個人信息處理者持續投入成本、資源以維持合法、合理的個人信息保護水平。個人信息保護法第五十一條對個人信息處理者的義務進行了概括性規定，包括：（一）制定内部管理制度和操作規程；（二）對個人信息實行分類管理；（三）采取相應的加密、去标識化等安全技術措施；（四）合理确定個人信息處理的操作權限，并定期對從業人員進行安全教育和培訓；（五）制定并組織實施個人信息安全事件應急預案；（六）法律、行政法規規定的其他措施。總體而言，個人信息處理者按照這幾項持續推進内部個人信息保護工作就能符合合規要求，具體可以根據企業規模大小、服務性質、技術水平等選擇更為符合自身情況的相應措施。除了第五十一條規定，個人信息保護法還規定了合規審計（第五十四條）、洩露通知（第五十七條）等要求。在一般性要求的基礎上，個人信息保護法還作了一些特殊規定，一是對于處理個人信息達到國家網信部門規定數量的個人信息處理者，要求指定個人信息保護負責人（第五十二條）；二是對于境外個人信息處理者，要求在中國境内設立專門機構或者指定代表（第五十三條）；三是特定情形下應當進行個人信息保護影響評估，主要是一些高風險情形，包括處理敏感個人信息、自動化決策、委托處理、向他人/境外提供、公開個人信息等（第五十五條）；四是規定了“守門人”義務，對于提供重要互聯網平台服務、用戶數量巨大、業務類型複雜的個人信息處理者（可以理解為“守門人”或是大型互聯網平台）還應當履行更高水平的義務，要求成立外部獨立監督機構、制定平台規則、阻斷違法活動、定期發布履責報告等（第五十八條）。

五是确定了履行個人信息保護職責的部門及其職責。個人信息保護法對個人信息保護體制進行了明确安排（第六十條）。從橫向來看，由國家網信部門負責統籌協調個人信息保護工作和相關監督管理工作，國務院有關部門依照本法和有關法律、行政法規的規定，在各自職責範圍内負責個人信息保護和監督管理工作。從縱向來看，縣級以上地方人民政府有關部門按照國家有關規定确定個人信息保護和監督管理職責。根據第六十條規定，個人信息保護将按照統籌協調加協抓共管的思路，構建跨部門、跨行業、跨領域監管體制機制，能夠很好地适應個人信息保護工作的特點。管理層級上，可以結合情況構建國家、省（區、市）、地級市、縣四級管理體系。同時，個人信息保護法對履行個人信息保護職責的部門的職責，國家網信部門的統籌協調職能進行了列舉式規定（第六十一條、第六十二條）。

六是規定了較為嚴厲的法律責任。個人信息處理活動涉及面廣、情況複雜、主體多樣、隐蔽性強，一旦發生侵害個人信息權益的行為，往往會對社會層面造成較為嚴重的後果，甚至有些損害結果難以顯性化察覺，監管成本比較高，行政資源消耗比較大。根據國外經驗以及個人信息保護本身的特點，苛以較為嚴厲的法律責任符合法理邏輯。行政責任方面，個人信息保護法設置了全面的行政處罰手段，包括警告、沒收違法所得、罰款（包括對單位和責任人員）、責令暫停相關業務或者停業整頓、吊銷許可或者營業執照。其中，對于違法處理個人信息的應用程序，可以責令暫停或者終止提供服務。罰款的最高數額可達五千萬元人民币或者上一年度營業額的百分之五。此外還規定了信用懲戒以及對擔任企業董事、監事、高級管理人員和個人信息保護負責人的從業禁止等。民事責任方面，規定了過錯推定原則，處理個人信息侵害個人信息權益造成損害，個人信息處理者不能證明自己沒有過錯的，應當承擔損害賠償等侵權責任（第六十九條）。

縱觀個人信息保護法全文，其保護不可謂之不充分，其考慮不可謂之不全面，準确把握了網絡發展的規律和特點，回應了個人權益保護的迫切需求。個人信息保護立法過程中一直承載着各方高度關注和殷切希望。從一審稿到二審稿到最終出台，不斷得到完善，廣泛得到各方認可和好評，反映了我國對個人信息保護法治工作認真、負責的态度。個人信息保護法的出台，并不意味着個人信息保護工作的剛剛開始，實際上我國個人信息保護工作已經深入開展了相當長的時間。而個人信息保護法的出台标志着我國進入了更高水平的個人信息保護的法治時代，這也正是給所有身處網絡時代生活的人們最關心最直接最現實的利益問題的最好法律答案。

全面保護個人信息權益的重要法律

作者：程嘯 清華大學法學院副院長、教授、博士生導師

2021年8月20日，第十三屆全國人大常委會第三十次會議審議通過了《中華人民共和國個人信息保護法》，它是我國第一部個人信息保護方面的專門法律。個人信息保護法的頒行極大地加強我國個人信息保護的法制保障，在個人信息保護方面形成了更加完備的制度、提供了更有力的法律保障；個人信息保護法以嚴密的制度、嚴格的标準、嚴厲的責任規範個人信息處理活動，規定了完備的個人在個人信息處理活動中的權利，全方位落實各類組織、個人等個人信息處理者的義務與責任，有力地維護了網絡空間良好生态，滿足人民日益增長的美好生活需要；個人信息保護法科學地協調個人信息權益保護與個人信息合理利用的關系，建立了權責明确、保護有效、利用規範的個人信息處理規則，從而在保障個人信息權益的基礎上，促進了包括個人信息在内的數據信息的自由安全的流動與合理有效的利用，推動了數字經濟的健康發展。

個人信息保護法，顧名思義，就是保護個人信息的法律，也就是保護個人信息權益的專門法律。個人信息權益是自然人針對個人信息享有的受到法律保護的權益。保護個人信息權益是我國個人信息保護法的重要立法目的，該法第一條就明确規定，為了保護個人信息權益，規範個人信息處理活動，促進個人信息合理利用，根據憲法，制定本法。第2條再次明确“自然人的個人信息受法律保護，任何組織、個人不得侵害自然人的個人信息權益。”為了實現對個人信息權益的全面的、充分的保護，個人信息保護法作出了如下系統全面、科學細緻的規定。

1.确立了個人信息處理活動應當遵循的基本原則，包括合法、正當、必要、誠信、目的限制、最小必要、質量、責任等原則。這些原則的根本目的就是要規範個人信息處理者的處理活動，保護個人信息權益。例如，依據第6條所确立的目的限制原則，處理個人信息應當具有明确、合理的目的，并應當與處理目的直接相關，采取對個人權益影響最小的方式。收集個人信息，應當限于實現處理目的的最小範圍，不得過度收集個人信息。無論什麼樣的個人信息處理者為了何種處理目的，以何種方式實施個人信息處理活動，都應當遵循這些基本原則。不僅如此，調整規範個人信息處理活動的法規規章，也不能違反這些基本原則。

2.詳細規定告知同意規則，明确了個人信息處理者處理個人信息前，必須以顯著方式、清晰易懂的語言真實、準确、完整地向個人告知法律規定的事項，除非法律、行政法規規定應當保密或者不需要告知，或者告知将妨礙國家機關履行法定職責。如果個人信息處理者是基于個人同意而處理個人信息的，那麼個人的同意必須是個人在充分知情的前提下自願、明确地作出，個人信息處理者不得以個人不同意處理其個人信息或者撤回同意為由，拒絕提供産品或者服務。

3.對于社會普遍關注的“大數據殺熟”“人臉識别”等問題，明确要求個人信息處理者保證自動化決策的透明度和結果公平、公正，不得對個人在交易價格等交易條件上實行不合理的差别待遇。如果通過自動化決策方式作出對個人權益有重大影響的決定，個人有權要求個人信息處理者予以說明，并有權拒絕個人信息處理者僅通過自動化決策的方式作出決定。在公共場所安裝圖像采集、個人身份識别設備，應當為維護公共安全所必需，遵守國家有關規定，并設置顯著的提示标識。所收集的個人圖像、身份識别信息隻能用于維護公共安全的目的，不得用于其他目的，除非取得個人單獨同意。

4.界定了敏感個人信息并給予非常嚴格的保護。敏感個人信息，即一旦洩露或者非法使用，容易導緻自然人的人格尊嚴受到侵害或者人身、财産安全受到危害的個人信息，包括生物識别、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌迹等信息，以及不滿十四周歲未成年人的個人信息。依據個人信息保護法的規定，隻有在具有特定的目的和充分的必要性，并采取嚴格保護措施的情形下，個人信息處理者方可處理敏感個人信息。同時，處理敏感個人信息應當取得個人的單獨同意，處理不滿十四周歲未成年人個人信息的，應當取得未成年人的父母或者其他監護人的同意。

5.專章規定了個人在個人信息處理活動中的權利。個人在個人信息處理活動中的權利屬于手段性權利或救濟性權利，規定這些權利的目的就是為了保護自然人的個人信息權益。個人信息保護法在網絡安全法、民法典的規定的基礎上，立足于我國個人信息保護實踐的要求，吸收借鑒比較法上的優秀成果，對個人在個人信息處理活動中的權利作出了系統全面的規定，規定了個人在個人信息處理活動中享有：對個人信息處理的知情權與決定權、查閱複制權、可攜帶權、更正補充權、删除權、解釋說明權等。此外，為了維護死者的近親屬的合法、正當利益，個人信息保護法還規定，自然人死亡的，其近親屬為了自身的合法、正當利益，可以對死者的相關個人信息行使本章規定的查閱、複制、更正、删除等權利；死者生前另有安排的除外。

6.對個人信息處理者的義務作出了集中、詳細的規定，構建了完整的義務體系。這些義務包括：個人信息處理者采取措施确保個人信息處理活動合法并保護個人信息安全的義務；按照規定指定個人信息保護負責人的義務；定期進行合規審計的義務；對于高風險個人信息處理活動進行個人信息保護影響評估并對處理情況進行記錄的義務；在發生或可能發生個人信息洩露等安全事件時立即采取補救措施并通知監管機構和個人的義務；提供重要互聯網平台服務、用戶數量巨大、業務類型複雜的個人信息處理者負有的“守門人義務”。

7.對于違法處理個人信息或者沒有履行法律規定的個人信息保護義務的行為規定了嚴格的行政處罰，如對于違法行為情節嚴重的，沒收違法所得，并處五千萬元以下或者上一年度營業額百分之五以下罰款，并可以責令暫停相關業務或者停業整頓、通報有關主管部門吊銷相關業務許可或者吊銷營業執照等。對直接負責的主管人員和其他直接責任人員處十萬元以上一百萬元以下罰款，并可以決定禁止其在一定期限内擔任相關企業的董事、監事、高級管理人員和個人信息保護負責人。再如，對于違反個人信息保護法的違法行為的，明确了依照有關法律、行政法規的規定記入信用檔案，并予以公示。

8.規定了科學合理的民事責任制度以及民事公益訴訟。依據個人信息保護法的規定，處理個人信息侵害個人信息權益造成損害，個人信息處理者不能證明自己沒有過錯的，應當承擔損害賠償等侵權責任。侵害個人信息權益造成損害的損害賠償責任按照個人因此受到的損失或者個人信息處理者因此獲得的利益确定；個人因此受到的損失和個人信息處理者因此獲得的利益難以确定的，根據實際情況确定賠償數額。在個人信息處理者違反個人信息保護法規定處理個人信息，侵害衆多個人的權益時，人民檢察院、法律規定的消費者組織和由國家網信部門确定的組織可以依法向人民法院提起訴訟。

吸收接軌國際立法 探索開創中國路徑——讀《中華人民共和國個人信息保護法》

作者：吳沈括 北京師範大學網絡法治國際中心執行主任、博導，中國互聯網協會研究中心副主任

2021年8月20日，廣受中外關注的《中華人民共和國個人信息保護法》由十三屆全國人大常委會第三十次會議正式通過，這翻開了我國個人信息立法保護的曆史新篇章，也是全球個人信息法治發展的重大裡程碑。

就個人信息保護法出台的時代背景而言，有着豐富的國際國内蘊涵：一方面，随着數字經濟的蓬勃發展，世界各國日益重視個人信息的多重價值屬性，紛紛出台個人信息保護的專門立法。從歐盟《一般數據保護條例》、美國《加州消費者隐私保護法案》到日本、韓國、巴西、印度乃至阿聯酋等國新近出台的諸多法律文件，無不透射出個人信息保護的重要戰略意義，可以說個人信息法律保護已經成為衡量一國法治文明和法治水平的重要指針。

另一方面，當下我國正處于全面數字化轉型的高質量發展新階段，在新技術新應用層出不窮的生态語境下，個人信息的處理已經成為社會進步和産業升級新的驅動力，而廣大民衆對于加大個人信息保護力度也有着空前的關切和期待，可以說個人信息保護法的制定頒布是保障公民個人信息權益、促進個人信息合理利用的必然舉措。

個人信息保護法全文以總計8章74條的篇幅，在總則、個人信息處理規則、個人信息跨境提供的規則、個人在個人信息處理活動中的權利、個人信息處理者的義務、履行個人信息保護職責的部門、法律責任以及附則等多個層面設計和建構個人信息保護的立法框架，在條文内容上反映了立法者吸收接軌國際立法、探索開創中國路徑的制度努力，特别是在規範設計上呈現了衆多亮點：

第一，個人信息保護法以“告知—同意”機制為核心邏輯建構覆蓋個人信息處理全生命周期的規則框架，強化保障自然人的自主權利，同時注重與其他重要利益包括國家安全以及公共利益等的平衡協調，例如針對各類不同的具體場景設定告知或者同意的例外規則。

尤其是個人信息保護法從個人信息處理的一般規則到敏感個人信息處理的特殊規則，乃至個人信息跨境提供的單獨規則設定，無不反映了立法者對于個人權益的着重保護，以及對于各利益相關方多樣訴求的兼容權衡，并通過系統的個人權利内容以及個人信息處理者義務相關規定予以全面的細化落實，切實貫徹保護個人信息權益與促進個人信息合理利用的雙重立法目的。

第二，個人信息保護法通過明确規定履行個人信息保護職責的部門的權限分工進一步提升個人信息權益的保護水平。從國家網信部門、國務院有關部門到縣級以上地方人民政府有關部門的職責内容與執法方式等細化規定都将有力推動個人信息處理活動監管機制的革新完善。

在職責内容上，個人信息保護法明确賦予履行個人信息保護職責的部門接受、處理與個人信息保護有關的投訴、舉報以及調查、處理違法個人信息處理活動等執法權限，同時在執法方式上，個人信息保護法明文規定履行個人信息保護職責的部門可以采取詢問、調查、查閱、複制、現場調查以及查封、扣押等措施，兩者共同保障個人信息處理活動的法治化、機制化監管。

第三，個人信息保護法注重發揮國家、社會、企業和個人等不同主體的協同作用，打造個人信息保護領域的多方共享共治模式。個人信息保護法特别強調國家建立健全個人信息保護制度，預防和懲治侵害個人信息權益的行為，加強個人信息保護宣傳教育，推動形成政府、企業、相關行業組織和社會公衆共同參與個人信息保護的良好環境，為促進個人信息合理利用奠定堅實的、可持續的生态基礎。

更進一步而言，個人信息保護法還對當下我國民衆的諸多現實關切做出了及時、有效的回應，提出了具有鮮明時代印記與中國特色的規則安排：

其一，針對目前多發的個人信息洩露事件，個人信息保護法明确規定個人信息處理者的義務規則，要求其立即采取補救措施，并且面向履行個人信息保護職責的部門和個人通知個人信息洩露的原因、丢失的個人信息種類和可能造成的危害、已采取的補救措施以及個人可以采取的減輕危害的措施等重要事項。

其二，針對日益普遍的自動化決策應用，個人信息保護法明确要求保證決策的透明度和結果公平、公正，并賦予個人相關的知情權和拒絕權，特别是在通過自動化決策方式向個人進行信息推送、商業營銷的應用場景中，有權同時獲得不針對其個人特征的選項或者拒絕的途徑。

其三，針對廣泛存在的已公開個人信息的利用問題，個人信息保護法專門規定個人信息處理者可以在合理的範圍内處理個人自行公開或者其他已經合法公開的個人信息，而個人對此有權明确拒絕，并且如果個人信息處理者處理已公開的個人信息對個人權益有重大影響的，仍然應當依法取得個人同意。

“潮平兩岸闊，風正一帆懸。”可以期待，在個人信息保護法科學、系統、全面的頂層設計之下，後續随着監管執法舉措的不懈推進、司法裁判規則的不斷豐富、多方參與共治的持續培育以及國際交流合作的深入開展，置身代碼世界的廣大人民群衆将長久擁抱個人信息合法權益受保護、個人信息處理活動受規範、個人信息合理利用受促進的數字治理新生态。

個人信息保護法的深遠意義：中國與世界

作者：許可 對外經濟貿易大學數字經濟與法律創新研究中心執行主任

醞釀多年的《中華人民共和國個人信息保護法》終于在2021年8月20日出台，作為“百年未有之大變局”的制度回應，個人信息保護法外引域外立法智慧，内接本土實務經驗，熔“個人信息權益”的私權保護與“個人信息處理”的公法監管于一爐，統合私主體和公權力機關的義務與責任，兼顧個人信息保護與利用，奠定了我國網絡社會和數字經濟的法律之基。為了充分理解個人信息保護法的内涵，我們不妨從世界維度與中國維度着眼，以展現其深遠意義。

順應世界潮流

個人信息保護的立法可追溯至德國黑森州1970年《資料保護法》。此後，瑞士（1973）、法國（1978）、挪威（1978）、芬蘭（1978）、冰島（1978）、奧地利（1978）、冰島（1981）、愛爾蘭（1988）、葡萄牙（1991）、比利時（1992）等國的個人信息保護法亦景從雲集。在大西洋彼岸，1973年美國發布“公平信息實踐準則”報告，确立了處理個人信息處理的五項原則：（1）禁止所有秘密的個人信息檔案保存系統；（2）确保個人了解其被收集的檔案信息是什麼，以及信息如何被使用；（3）确保個人能夠阻止未經同意而将其信息用于個人授權使用之外的目的，或者将其信息提供給他人，用作個人授權之外的目的；（4）确保個人能夠改正或修改關于個人可識别信息的檔案；（5）确保任何組織在計劃使用信息檔案中的個人信息都必須是可靠的，并且必須采取預防措施防止濫用。在“公平信息實踐準則”所奠定的個人信息保護基本框架之上，美國《消費者網上隐私法》《兒童網上隐私保護法》《電子通訊隐私法案》《金融服務現代化法》（GLB）《健康保險流通與責任法》（HIPAA）《公平信用報告法》相繼出台。

進入21世紀，在數字化浪潮的推動下，個人信息保護的立法陡然加速。2000到2010年，共有40個國家頒布了個人信息保護法，是前10年的兩倍，而2010年到2019年，又新增了62部個人信息保護法，比以往任何10年都要多。延續這一趨勢，截至2029年将會有超過200個國家或地區擁有個人信息保護法。

我國個人信息保護法正是此曆史進程中的重要一環。回顧過往，世界個人信息保護法迄今已經曆了三代。第一代以經合組織1980年《關于隐私保護與個人數據跨境流通指引》和1981年歐洲理事會《有關個人數據自動化處理之個人保護公約》為起點。第二代以歐盟1995年《個人數據保護指令》為代表，其在第一代原則的基礎上加入了包括“數據最少夠用”“删除”“敏感信息”“獨立的個人信息保護機構”等要素。第三代即為2018年生效的歐盟《通用數據保護條例》（GDPR）。與第二代相比，GDPR大大拓展了信息主體權利，并确立了一系列新的保護制度。我國個人信息保護法采取“拿來主義、兼容并包”的方法，會通各國立法，借鑒世界第三代個人信息保護法的先進制度，鑄就熨帖我國國情的規則設計。這主要體現在：

其一，在體例結構上，将私營部門處理個人信息和國家機關處理個人信息一體規制，除明确例外規則外，确保遵循個人信息保護的同一标準。基于此，個人信息保護法兩線作戰，即直面企業超采、濫用用戶個人信息的痼疾，又防範行政部門違法違規處理個人信息的問題，最大限度地保護個人信息權益。其二，在管轄範圍上，個人信息保護法統籌境内和境外，賦予必要的域外适用效力，以充分保護我國境内個人的權益。其三，在“個人信息”認定上，采取“關聯說”，将“與已識别或者可識别的自然人有關的各種信息”均囊括在内。其四，在個人信息權益上，不僅賦予個人查詢權、更正權、删除權、自動化決策的解釋權和拒絕權以及有條件的可攜帶權等“具體權利”，而且從中升華為“個人對其個人信息處理的知情權、決定權，限制或者拒絕他人對其個人信息進行處理”的“抽象權利”，由此形成法定性和開放性兼備的個人信息權益體系。其五，在個人信息跨境上，采取安全評估、保護認證、标準合同等多元化的出境條件。其六，在大型平台監管上，對“重要互聯網平台服務、用戶數量巨大、業務類型複雜的個人信息處理者”苛以“看門人”義務，完善個人信息治理。

貢獻中國智慧

我國個人信息保護法決不隻是回應世界潮流之舉，事實上，它也是我國法律體系自我完善、自我發展的必然結果。從2018年9月個人信息保護法被納入“十三屆全國人大常委會立法規劃”，位列“條件比較成熟、任期内拟提請審議”的69部法律草案之中，到如今個人信息保護法正式頒行，看起來不過曆時三載，但追根溯源，距離2012年《全國人大常委會關于加強網絡信息保護的決定》已有10年，距離2003年國務院信息化辦公室部署個人信息保護法立法研究工作已有18年。在近20年的進程中，我國個人信息保護規範日漸豐茂，網絡安全法、新修訂的消費者權益保護法、電子商務法、刑法修正案九、民法典等對個人信息保護作出了相應規定，及時回應了國家、社會、個人對個人信息保護的關切。然而，這種分散式的立法，也面臨着體系性和操作性欠缺、權利救濟和監管措施不足的困境，正因如此，一部統一的個人信息保護法正當其時。

任何法律都是特定時空下社會生活和國家秩序的規則，個人信息保護法概莫能外。我國個人信息保護法以現實問題為導向，以法律體系為根基，統籌既有法律法規，體察民衆訴求和時代需求，将之挖掘、提煉、表達為具體可感、周密詳實的法律規則，以維護網絡良好生态，促進數字經濟發展。我國個人信息保護法的中國智慧和中國方案包括但不限于：

其一，在法律淵源上，将個人信息保護上溯至憲法，經由憲法第33條第三款“國家尊重和保障人權”、第38條“中華人民共和國公民的人格尊嚴不受侵犯”、第40條“中華人民共和國公民的通信自由和通信秘密受法律的保護”，宣誓、夯實、提升了個人信息權益的法律位階。其二，在立法目的上，将“保護個人信息權益”和“促進個人信息合理利用”作為并行的規範目标，秉持“執其兩端，用其中于民”的理念，滿足人們對美好生活的向往。為此，個人信息保護法拓展了民法典“知情同意 免責事由”的規則設計，采取了包括個人同意、訂立和履行合同、履行法定職責和法定義務、人力資源管理、突發公共衛生事件應對、公開信息處理、新聞報道、輿論監督等多元正當性基礎。其三，在規範主體上，将“個人信息處理者”作為主要義務人，将“接受委托處理個人信息的受托人”作為輔助人，承擔一定範圍内的個人信息安全保障義務。其四，在保護程度上，對于未成年人的個人信息、特定身份、行蹤軌迹、生物識别等信息予以更高力度的保護。其五，在适用場景上，對于“差别化定價”“個性化推送”“公共場所圖像采集識别”等社會反映強烈的問題，予以專門規制；開展公開或向第三方提供個人信息、處理敏感個人信息、個人信息出境等高風險處理活動的，應當取得個人的“單獨同意”。其六，在監管體制上，個人信息保護法采取了“規則制定權相對集中，執法權相對分散”的架構，由國家網信部門統籌協調有關部門制定個人信息保護具體規則、标準，國務院有關部門在各自職責範圍内負責個人信息保護和監督管理工作。

“十年辛苦不尋常”，我國個人信息保護法是過往世界經驗和中國智慧的結晶。但同時，“徒法不足以自行”，在立法大功告成之後，個人信息保護法還有待司法和執法的後續接力，才能真正落地生根，最終成為護持個人權益、激勵穩健發展、連接國家命運的數字時代基本法。從出台到實施，個人信息保護法依然任重而道遠。

（來源：“網信中國”微信公衆号 中國人大網）

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!