十八年沉淀三次審議始出來 個人信息保護法于11月1日起施行

2021年8月20日，十三屆全國人大常委會第三十次會議表決通過了《中華人民共和國個人信息保護法》(以下簡稱《個人信息保護法》)。這是中國首部個人信息保護的專門性法律，定于11月1日起施行。至此，我國數字經濟領域的法律規范又向前邁出重要一步。同時，由《網絡安全法》《數據安全法》《個人信息保護法》構成的我國數字經濟時代三大法律支柱體系基本確立，共同搭建起數字經濟“生態保護系統”。

《個人信息保護法》全文共8章74條，對法律的適用范圍、以“告知—同意”為核心的個人信息處理規則、個人信息處理活動中個人的權利和處理者義務、大型網絡平臺的特別義務、國家機關處理個人信息的規范、個人信息跨境流動以及履行個人信息保護監管體制、法律責任等內容作出了具體規定。作為我國首部個人信息保護的專門立法，《個人信息保護法》在立法高度和路徑上、個人信息處理原則上，以及社會重大問題的回應上都極具特色。

在信息化時代，個人信息保護已經成為一個重大課題。自20世紀70年代起，個人信息保護立法逐漸發展成全球行動，到目前為止，有140多個國家和地區制定了相關法律。2018年5月施行的歐盟《通用數據保護條例》(GDPR)尤其注重保護私權，被認為代表了一種立法模式。中國此前采用分散立法的方式保護個人信息，相關條款先后寫入《刑法》《侵權責任法》《消費者權益保護法》《網絡安全法》和《民法典》等法律，以及公安、工信、金融等領域的行政法規、部門規章、國家標準和司法解釋之中。

十八年沉淀三次審議“始出來”

相關資料顯示，早在2003年，原國務院信息化工作辦公室就啟動了個人信息保護立法的研究工作。2018年，制定的《個人信息保護法》被列為十三屆全國人大常委會立法規劃的第一類項目，即條件比較成熟、任期內擬提請審議的法律草案。同年，全國人大常委會法工委會同中央網信辦，著手研究起草法律草案。

2020年10月，《個人信息保護法》草案首次亮相，提請十三屆全國人大常委會初次審議。初次審議后，草案一審稿向社會征求意見并進行了修改，隨后形成草案二審稿于2021年4月提請審議。之后二審稿也向社會公開征求意見，并作了修改形成草案三審稿，于8月17日提請全國人大常委會第三次審議，至20日表決通過，《個人信息保護法》終得問世。

該部法律首次確立了“敏感個人信息”的法律概念，即一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息。根據規定，處理敏感個人信息比處理一般個人信息更為嚴格，只有在特定目的和充分必要情形下，并采取嚴格保護措施的情形下，取得個人單獨或書面同意才能進行。

以人為本充分體現分類保護思路

《個人信息保護法》對個人信息保護領域的突出問題予以重點回應。針對“大數據殺熟”問題，規定不得通過自動化決策對個人進行歧視。隨著大數據、算法等技術的升級迭代，個人信息處理者能夠以“千人千面”的個性化推薦和自動化決策對信息主體進行區別對待，甚至實施價格歧視與不合理的差別待遇。《個人信息保護法》第二十四條增加了對“大數據殺熟”的規定，要求個人信息處理者在利用個人信息進行自動化決策時，不得對個人在交易條件上實行不合理的差別待遇，同時賦予個人要求進行說明和拒絕個性化推送、營銷的權利，進一步豐富了對“大數據殺熟”等歧視性定價和差別待遇問題的規制工具箱。

在兒童權益保護問題上，對不滿十四周歲未成年人的個人信息作特別規定。《個人信息保護法》將不滿十四周歲未成年人的個人信息歸為敏感個人信息，適用更高層次的保護規則，同時要求個人信息處理者要針對不滿十四周歲的未成年人制定專門個人信息處理規則。由于兒童個人信息容易被過度采集，針對兒童權益保護問題，《個人信息保護法》在《未成年人保護法》和《兒童個人信息網絡保護規定》基礎上，兼顧行業發展訴求，將未成年人的保護年齡設定在十四周歲。一方面，加強對心智尚未發展成熟、自我保護意識薄弱的未滿十四周歲未成年人的保護，防范其個人信息被濫用可能導致的嚴重后果;另一方面，考慮身心發展情況，對十四周歲以上的未成年人適用一般規定，減輕個人信息處理者的負擔。

疫情期間“健康碼”的應用實現了動態精準化的數字治理，但在前期也存在數據過度采集、數據處理不透明的問題，如“杭州健康變色碼”，將公民完全異化為數據評估對象并給予工具性評價。在一切皆可被數據測量、皆可被數字評判的今天，尤須心存對人格尊嚴的敬畏，對人本身的關懷。因此，《個人信息保護法》并不止步于保障個體對個人信息的處分，而是以人為核心、以人為本位的數字社會的權利界碑。

此外，針對“數據遺產”問題，對死者信息處理作出規定。相關研究表明，由于缺乏相關法律規定，大量的個人數據往往會隨著信息主體的死亡而沉睡在數據控制者的服務器中，礙于“用戶隱私”保護政策成為無法被“繼承”的“數據遺產”。《個人信息保護法》在第四十九條規定了自然人死亡后其個人信息的處理方式，給予其近親屬處理個人信息的權力，同時也兼顧了死者生前意志，尊重其生前就個人數據所做的安排。

面臨挑戰互聯網“數據壟斷”不復當年

年初以來，大型平臺“數據壟斷”問題幾度沖擊輿論熱榜，本次《個人信息保護法》引入個人信息可攜權。個人信息可攜權即數據主體有權從數據控制者處獲取經過處理的、常用的且機器可讀的個人專屬數據，并要求數據控制者將其個人專屬數據傳輸給其他數據控制者。《個人信息保護法》在二審稿的基礎上也增加了對個人信息可攜權的規定，即經個人請求，個人信息處理者應當提供轉移的途徑將個人信息轉移至個人所指定的個人信息處理者。創設個人信息可攜權能夠在一定程度上扼制大型平臺“數據驅動”與“隱私驅動”的增長模式，破除“數據壟斷”。數字經濟時代，用戶數據業已成為平臺企業爭奪的重要資源。大型平臺利用其早期積累的個人數據資源優勢，構筑起極高的市場壁壘。個人信息可攜權的創設，增強了平臺用戶對其個人信息的掌控權，降低了平臺企業的用戶黏性，促進數據流通，為新進入者提供了更為平等的競爭環境，進一步加強平臺之間在產品和服務上的競爭。

有業內人士表示，《個人信息保護法》中的多個條款將對大型互聯網平臺產生深遠影響。該法第五十八條規定，提供重要互聯網平臺服務、用戶數量巨大、業務類型復雜的個人信息處理者，應當履行四大法定義務，包括按照國家規定建立健全個人信息保護合規制度體系，成立主要由外部成員組成的獨立機構對個人信息保護情況進行監督;遵循公開、公平、公正的原則，制定平臺規則，明確平臺內產品或者服務提供者處理個人信息的規范和保護個人信息的義務;對嚴重違反法律、行政法規處理個人信息的平臺內的產品或者服務提供者，停止提供服務;定期發布個人信息保護社會責任報告，接受社會監督等。

《個人信息保護法》第二十四條規定，利用個人信息進行自動化決策，應當保證決策的透明度和結果公平、公正，不得對個人在交易價格等交易條件上實行不合理的差別待遇。本條第2、3款明確，通過自動化決策方式向個人進行信息推送、商業營銷，應當同時提供不針對其個人特征的選項，或者向個人提供便捷的拒絕方式;通過自動化決策方式作出對個人權益有重大影響的決定，個人有權要求個人信息處理者予以說明，并有權拒絕個人信息處理者僅通過自動化決策的方式作出決定。

上述條款對互聯網行業的影響可瞥端倪。《個人信息保護法》通過當天，阿里巴巴旗下的淘寶網宣布已于近期更新用戶信息加密技術，商家和開發者被要求跟進系統改造。

求同存異貢獻全球數字實踐中國方案

如何平衡好個人權益保護與促進數據利用的關系，始終是個人信息保護立法的核心命題。歐盟《通用數據保護條例》(GDPR)以“權利保護”而聞名于世，但也始終無法擺脫阻礙歐盟數字經濟發展的質疑。

盡管法律機制有著共通性，但在探索數字時代個人信息保護以及更為廣泛的數據治理政策框架的道路上，并沒有萬能的標準答案。歐盟GDPR、美國加州《隱私法》(CCPA&CPRA)，也是依據本地區的政治、文化、產業發展基礎量身定制的制度方案。

中國自身的數字經濟發展規模和基礎，以及對未來發展的宏觀愿景，都決定了在設計個人信息保護的中國方案時，有著基于自身國情的特殊考量。這體現在整體上與國際規則接軌的同時，在具體機制上仍然有細微的差別。

譬如，該法擴展了域外適用效力，但適度有限;建立了個人的權利體系，但對于仍有爭議尚未看清的權利仍持謹慎態度，對我國社會公眾關注的大數據畫像、“大數據殺熟”制定了專門條款;在跨境數據流動規則方面集中體現了作為發展中國家對于數據安全的優先考量。這些差異之處代表了發展中國家在面對數字經濟議題時，對個人權利保護、數字創新發展和國家數據安全的綜合平衡，也成為中國在當前全球數字治理中的制度貢獻。(記者 李跇)

免責聲明：本文不構成任何商業建議，投資有風險，選擇需謹慎！本站發布的圖文一切為分享交流，傳播正能量，此文不保證數據的準確性，內容僅供參考