貫徹《個人信息保護法》，十大要點需注意

獵人

2021年11月1日，《個人信息保護法》正式施行。該法集中體現(xiàn)了以人民為中心的立法理念，并將在國家層面建立健全個人信息保護制度，預防和懲治侵害個人信息權益的行為，加強個人信息保護宣傳教育，推動形成政府、企業(yè)、相關社會組織、公眾共同參與個人信息保護的良好環(huán)境，確?！秱€人信息保護法》的各項要求和規(guī)定在社會生活中得到全面的貫徹和實施。在學習和貫徹《個人信息保護法》時，建議重點把握以下十大核心要點。

一、“規(guī)范個人信息處理活動” 是個人信息保護法的核心

目前，在各類個人信息保護法的解讀文章中，大多在談論個人信息保護的內容，很少涉及如何促進個人信息合理利用。實質上，《個人信息保護法》的立法目的不僅僅是“保護”個人信息，而是“保護”和“利用”同步推進。

《個人信息保護法》第一條規(guī)定：“為了保護個人信息權益，規(guī)范個人信息處理活動，促進個人信息合理利用，根據(jù)憲法，制定本法?！?從《個人信息保護法》的立法目的看，個人信息保護法的實質功能是一部個人信息處理活動行為規(guī)范法，個人信息保護的真正立法目的有兩個：一個是“保護個人信息權益”，另一個是“促進個人信息合理利用”，其中“規(guī)范個人信息處理活動”處于整個《個人信息保護法》的核心地位，只有夯實“規(guī)范個人信息處理活動”這個關鍵環(huán)節(jié)，才能確保實現(xiàn)保護個人信息權益和促進個人信息合理利用之目的。
二、個人信息的內涵與匿名化

《個人信息保護法》第四條第一款明確了“個人信息”的定義：“個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理后的信息?！痹摱x與《網絡安全法》《民法典》以及最高人民法院、最高人民檢察院《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》中的“個人信息”定義在基本概念上保持了一致，強調了“已識別或者可識別的自然人信息”，但在內涵上卻有很大的不同?！秱€人信息保護法》中的“個人信息”定義增加了“不包括匿名化處理后的信息”，明確了“個人信息”經匿名化處理后不屬于個人信息，也就無須適用《個人信息保護法》的相關規(guī)定，體現(xiàn)了《個人信息保護法》的“保護”和“利用”并重。

《個人信息保護法》第七十三條（四）將“匿名化”定義為：“是指個人信息經過處理無法識別特定自然人且不能復原的過程?！痹摱x中的“不能復原”主要采取了以下兩種方法，一是刪除個人信息包含的個人描述部分，包括將描述部分替換為其他描述部分，或者使用具有不可恢復的方法等；二是刪除所述個人信息中所包含的全部標識符，包括將標識符替換為其他描述部分，或者使用具有不可恢復的方法等。

三、個人信息保護法的域外效力
: M$ ~0 J; A# b- m在數(shù)字化、智能化和網絡化的時代，數(shù)據(jù)正在以前所未有的方式自由流動和跨境傳輸，因此個人信息保護立法僅有域內效力的規(guī)定，根本無法充分保護本國公民的個人信息。2018年生效的歐盟《通用數(shù)據(jù)保護條例》（General Data Protection Regulation，簡稱GDPR），率先確立了個人數(shù)據(jù)保護的域外效力，目前已有多個國家的個人信息保護法借鑒了GDPR域外效力的立法實踐，我國的《個人信息保護法》也反映了國際個人信息保護的域外效力趨勢。

我國《個人信息保護法》第三條第二款規(guī)定，在中華人民共和國境外處理中華人民共和國境內自然人個人信息的活動，有下列三種情形之一的，也適用《個人信息保護法》：一是“以向境內自然人提供產品或者服務為目的”，比如一家位于美國運營的電子商務網站（Amazon）向中國境內的自然人（包括本國人、外國人和無國籍人）提供產品或服務；二是“分析、評估境內自然人的行為”，比如一家位于境外的社交網站分析、評估中國境內自然人的行為，像全球最大的社交網站Facebook，每年發(fā)布專門的用戶行為習慣研究分析報告；三是法律、行政法規(guī)規(guī)定的其他情形，如我國《數(shù)據(jù)安全法》第二條第二款明確規(guī)定：“在中華人民共和國境外開展數(shù)據(jù)處理活動，損害中華人民共和國國家安全、公共利益或者公民、組織合法權益的，依法追究法律責任?！?/p>

四、個人信息處理的核心原則
《個人信息保護法》總則部分確立了多項處理個人信息的基本原則，對這部法律的實施具有重要的指導意義?！秱€人信息保護法》的基本原則主要涉及的是個人信息處理的基本準則，特別是在云環(huán)境和平臺經濟的背景下，很多新型和疑難的個人信息保護案件很難精準地適用具體相應的法律條款，但是個人信息處理的基本原則具有協(xié)調、漏洞補充和緩和規(guī)則不公正的作用，對新型個人信息保護案件的適用將發(fā)揮重要作用，應當透徹理解。

《個人信息保護法》主要確立以下五項重要原則：一是遵循合法、正當、必要和誠信原則；二是采取對個人權益影響最小的方式，限于實現(xiàn)處理目的的最小范圍原則；三是處理個人信息應當遵循公開、透明原則；四是處理個人信息應當保證個人信息質量原則；五是采取必要措施確保個人信息安全原則等。以上個人信息處理原則，如“遵循合法、正當、必要”“應當遵循公開、透明原則”以及“保障個人信息安全”等原則，在《全國人民代表大會常務委員會關于加強網絡信息保護的決定》《網絡安全法》《民法典》《消費者權益保護法》等相關個人信息保護立法中均有規(guī)定，已經成為我國個人信息處理應遵循的通用規(guī)則。

我以為，《個人信息保護法》總則部分第六條確立的兩個“最小原則”，是個人信息處理應遵循的核心原則，尤其是處理目的的“最小范圍”，這是禁止“過度收集個人信息”的關鍵要點，因為個人信息處理者只有在嚴格遵守處理目的的“最小范圍”的前提下，即“非必要不收集”的情況下，才能確保其采取對個人權益影響最小的方式。《個人信息保護法》第八條還專門規(guī)定了處理個人信息應當保證個人信息的質量，這項原則也極為重要，如果個人信息不準確或不完整，將對個人權益造成不利影響，比如疫情期間“通信大數(shù)據(jù)行程卡”記錄的“表示當前該城市存在中風險或高風險地區(qū)，并不表示用戶實際到訪過這些中高風險地區(qū)”，以上對個人行程信息的記錄就不夠準確或不夠完整，給用戶的出行帶來了極大的不便。準確和完成的信息應該是“該城市存在中風險或高風險地區(qū)，具體應當注明是哪幾個區(qū)域存在中風險或高風險，該用戶是否實際到過這些中高風險區(qū)域”。

五、構建了以“告知-知情-同意”為核心的個人信息處理規(guī)則
0 b% X9 w  I1 q7 [" D* g4 |5 |, D' w# y“告知-同意”這一個人信息處理規(guī)則，在《全國人民代表大會常務委員會關于加強網絡信息保護的決定》《網絡安全法》《消費者權益保護法》以及《民法典》等法律中均有規(guī)定?！秱€人信息保護法》不僅是確立了以“告知-同意”的個人信息處理規(guī)則，而且構建了以“告知-知情-同意”為核心的個人信息處理規(guī)則體系。

應當指出，個人信息處理者“告知”的目的是為了確保被告知者的充分“知情”，只有被告知者在充分知情的前提下才能自愿、明確地作出決定。為此，《個人信息保護法》第十四條明確規(guī)定：“基于個人同意處理個人信息的，該同意應當由個人在充分知情的前提下自愿、明確作出。法律、行政法規(guī)規(guī)定處理個人信息應當取得個人單獨同意或者書面同意的，從其規(guī)定?！庇纱耍秱€人信息保護法》構建了以“告知-知情-同意”為核心的個人信息處理規(guī)則。

六、敏感個人信息的認定與保護規(guī)則
; f0 u8 ~, \8 ^6 W7 W《民法典》第一千零三十四條三款規(guī)定：“個人信息中的私密信息,適用有關隱私權的規(guī)定;沒有規(guī)定的，適用有關個人信息保護的規(guī)定?！?因此，《個人信息保護法》沒有對自然人的隱私信息作出專門規(guī)定，而是將個人信息分為敏感信息和非敏感信息，并設專節(jié)設置了“敏感個人信息的處理規(guī)則”。

《個人信息保護法》第二十八條給出了“敏感個人信息”的定義，即“敏感個人信息是一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息?！?該定義采用了“個人信息被泄露或者非法使用+危害后果+列舉重要敏感個人信息”的立法技術，同時將不滿十四周歲未成年人的個人信息也納入了“敏感個人信息”給予重點保護。

《個人信息保護法》對處理敏感個人信息作出了嚴格的限制性規(guī)定，即在履行“告知-知情-同意”原則的基礎上，只有在具有特定的目的和充分的必要性，并采取嚴格保護措施的情形下，個人信息處理者方可處理敏感個人信息。特別是處理敏感個人信息應當取得個人的單獨同意，如果法律、行政法規(guī)規(guī)定處理敏感個人信息應當取得書面同意的，應當從其規(guī)定。

七、嚴禁“大數(shù)據(jù)殺熟”以及為“用戶畫像”等涉及不當自動化決策
* N! Q- _# t# E% t4 [% I       針對“大數(shù)據(jù)殺熟”“用戶畫像”和“算法推薦”等涉及個人信息自動化決策的熱點問題，《個人信息保護法》作出了明確規(guī)范（第二十四條）：首先，個人信息處理者利用個人信息進行自動化決策，應當保證決策的透明度和結果公平、公正，不得對個人在交易價格等交易條件上實行不合理的差別待遇；其次，通過自動化決策方式向個人進行信息推送、商業(yè)營銷，應當同時提供不針對其個人特征的選項，或者向個人提供便捷的拒絕方式；第三，通過自動化決策方式作出對個人權益有重大影響的決定，個人有權要求個人信息處理者予以說明，并有權拒絕個人信息處理者僅通過自動化決策的方式作出決定。

《個人信息保護法》就個人信息處理者利用個人信息進行自動化決策重點確立了一項義務性規(guī)范和一項禁止性規(guī)定：一是應當保證決策的透明度和結果公平、公正；二是不得對個人在交易價格等交易條件上實行不合理的差別待遇。

八、個人信息跨境提供規(guī)則
# V6 a) L/ q2 }  O; Q5 Q       在數(shù)字和網絡時代，特別是疫情激發(fā)的非接觸式經濟，使得個人信息的跨境流動日益頻繁，但是由于不同國家的個人信息法律制度存在差異，個人信息跨境流動的規(guī)則也有所不同。我國《個人信息保護法》立足我國實際，并借鑒了國際立法經驗，確立了一套完善的個人信息跨境提供規(guī)則。

《個人信息保護法》明確了個人信息處理者向境外提供個人信息應當具備的基本條件，如關鍵信息基礎設施運營者和處理個人信息達到國家網信部門規(guī)定數(shù)量的處理者，確需向境外提供個人信息的，應當通過國家網信部門組織的安全評估；對于其他需要跨境提供個人信息的，應由專業(yè)機構進行個人信息保護認證；個人信息處理者因業(yè)務需要向境外提供個人信息，需按照國家網信部門的標準合同與境外接收方訂立合同；對我國締結或者參加的國際條約、協(xié)定對向我國境外提供個人信息的條件等有規(guī)定的，可以按照其規(guī)定執(zhí)行等。

《個人信息保護法》對個人信息處理者跨境提供個人信息的“告知與單獨同意”作出了嚴格的要求；對因國際司法協(xié)助或者行政執(zhí)法協(xié)助，需要向境外提供個人信息的，要求依法申請有關主管部門批準，特別是對從事?lián)p害我國公民個人信息權益或者危害我國國家安全、公共利益等活動的境外組織、個人，以及在個人信息保護方面對我國采取不合理措施的國家和地區(qū)，規(guī)定了相應的限制或者禁止措施。

九、個人在個人信息處理活動中的七項權利
《個人信息保護法》全面構建了個人在個人信息處理活動中的權利，包括知情權、決定權（限制、拒絕和撤回權）、查閱復制權、個人信息可攜帶權、更正補充權、刪除權、規(guī)則解釋權。

1.知情同意權。收集和使用公民個人信息必須遵循合法、正當、必要原則，且目的必須明確并經用戶的知情同意；2.決定權。有權限制、拒絕或撤回他人對其個人信息的處理；3.查閱復制權。個人有權向個人信息處理者查閱、復制其個人信息；4.個人信息移轉權。個人請求將個人信息轉移至其指定的個人信息處理者，符合國家網信部門規(guī)定條件的，個人信息處理者應當提供轉移的途徑；5.更正補充權。個人發(fā)現(xiàn)其個人信息不準確或者不完整的，有權請求個人信息處理者更正、補充；6.刪除權。在五種情形下，個人信息處理者應當主動刪除個人信息；個人信息處理者未刪除的，個人有權請求刪除：1）處理目的已實現(xiàn)、無法實現(xiàn)或者為實現(xiàn)處理目的不再必要，2）個人信息處理者停止提供產品或者服務，或者保存期限已屆滿，3）個人撤回同意，4）個人信息處理者違反法律、行政法規(guī)或者違反約定處理個人信息，5）法律、行政法規(guī)規(guī)定的其他情形；7.規(guī)則解釋權。個人有權要求個人信息處理者對其個人信息處理規(guī)則進行解釋說明。

十、重要互聯(lián)網平臺的“守門人”制度
7 q% j, K; @$ l( ]4 }       鑒于重要互聯(lián)網平臺掌握海量用戶數(shù)據(jù)，一旦發(fā)生信息泄露或濫用，可能導致嚴重后果，《個人信息保護法》專門要求其履行“守門人”角色，并承擔更多責任，主要包括：1.應按照國家規(guī)定建立健全個人信息保護合規(guī)制度體系；2.成立主要由外部成員組成的獨立機構進行監(jiān)督；3.遵循公開、公平、公正的原則制定平臺規(guī)則；4.對嚴重違法處理個人信息的平臺內產品或服務提供者停止提供服務；5.定期發(fā)布個人信息保護社會責任報告并接受社會監(jiān)督等。

2021年10月29日，國家市場監(jiān)督管理總局就《互聯(lián)網平臺分類分級指南（征求意見稿）》《互聯(lián)網平臺落實主體責任指南（征求意見稿）》公開征求意見?！痘ヂ?lián)網平臺分類分級指南（征求意見稿）》根據(jù)用戶規(guī)模、業(yè)務種類、限制能力，將互聯(lián)網平臺分為以下三級：超級平臺、大型平臺和中小平臺，其中“超級平臺”超級平臺指同時具備超大用戶規(guī)模、超廣業(yè)務種類、超高經濟體量和超強限制能力的平臺。其中，超大用戶規(guī)模，即平臺上年度在中國的年活躍用戶不低于5億；超廣業(yè)務種類，即平臺核心業(yè)務至少涉及兩類平臺業(yè)務，該業(yè)務涉及網絡銷售、生活服務、社交娛樂、信息資訊、金融服務、計算應用等六大方面；超高經濟體量，即平臺上年底市值（估值）不低于10000億人民幣；超強限制能力，即平臺具有超強的限制商戶接觸消費者（用戶）的能力。

《互聯(lián)網平臺落實主體責任指南(征求意見稿)》明確了超大型平臺經營者的八大主體責任：一是公平競爭的示范責任，超大型平臺經營者具有規(guī)模、數(shù)據(jù)、技術等優(yōu)勢，應當發(fā)揮公平競爭示范引領作用；二是平等治理的責任，超大型平臺經營者應當遵守公平和非歧視原則，平等對待平臺自身（或關聯(lián)企業(yè)）和平臺內經營者，不實施自我優(yōu)待；三是開放生態(tài)的責任，超大型平臺經營者應當在符合安全以及相關主體權益保障的前提下，推動其提供的服務與其他平臺經營者提供的服務具有互操作性；四是數(shù)據(jù)管理的責任，超大型平臺經營者應當建立健全數(shù)據(jù)安全審查與內控機制，對涉及用戶個人信息的處理、數(shù)據(jù)跨境流動，涉及國家和社會公共利益的數(shù)據(jù)開發(fā)行為，必須嚴格依法依規(guī)進行，確保數(shù)據(jù)安全；五是內部治理的責任，超大型平臺經營者應當設置平臺合規(guī)部門，不斷完善平臺內部合規(guī)制度和合規(guī)機制，響應監(jiān)管部門的監(jiān)管要求，并建立平臺內部預防腐敗機制；六是風險評估的責任，超大型平臺經營者應當至少每年進行一次風險評估，重點識別、分析和評估由其提供的互聯(lián)網平臺服務可能引起的各種風險，并定期發(fā)布風險評估報告；七是安全審計的責任，超大型平臺經營者應定期委托第三方獨立機構對《互聯(lián)網平臺落實主體責任指南》所規(guī)定的主體責任的遵守情況進行審計，并由第三方獨立機構發(fā)布書面審計報告；八是促進創(chuàng)新的責任，超大型互聯(lián)網平臺經營者應當充分利用數(shù)據(jù)、資金、人才、用戶和技術等資源優(yōu)勢，加大創(chuàng)新投入，提升技術水平，組織核心技術攻關，加快技術迭代，扶持中小科技企業(yè)創(chuàng)新，不斷激發(fā)平臺經濟領域創(chuàng)新發(fā)展活力。

為了確保個人信息處理者遵守個人信息保護之義務，嚴格規(guī)范個人信息的處理活動，《個人信息保護法》設置了嚴格的行政和民事法律責任。

《個人信息保護法》第六十六條對違法處理個人信息，或者處理個人信息未履行法定的個人信息保護義務設置了三項法律責任：一是由履行個人信息保護職責的部門責令改正，給予警告，沒收違法所得，對違法處理個人信息的應用程序，責令暫?；蛘呓K止提供服務；二是拒不改正的，并處一百萬元以下罰款；三是對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。

如果有上述規(guī)定的違法行為，且情節(jié)嚴重的，設置了兩項更嚴格的法律責任：一是由省級以上履行個人信息保護職責的部門責令改正，沒收違法所得，并處五千萬元以下或者上一年度營業(yè)額百分之五以下罰款，并可以責令暫停相關業(yè)務或者停業(yè)整頓、通報有關主管部門吊銷相關業(yè)務許可或者吊銷營業(yè)執(zhí)照；二是對直接負責的主管人員和其他直接責任人員處十萬元以上一百萬元以下罰款，并可以決定禁止其在一定期限內擔任相關企業(yè)的董事、監(jiān)事、高級管理人員和個人信息保護負責人。

特別是“并處五千萬元以下或者上一年度營業(yè)額百分之五以下罰款，并可以責令暫停相關業(yè)務或者停業(yè)整頓、通報有關主管部門吊銷相關業(yè)務許可或者吊銷營業(yè)執(zhí)照”，這項處罰是非常嚴厲的。我們可以對比GDPR對違反信息披露和保護個人信息違規(guī)實施的處罰：嚴重違約罰款2000萬歐元或全球營業(yè)額的4%（以較高者為準）；輕微違約罰款 1000萬歐元或全球營業(yè)額的2%（以較高者為準），比如蘋果公司最近幾年的收入都超過了2000億美元，那么按照“全球營業(yè)額的4%”計算，罰金就有可能高達80億美元。可見，我國個人信息保護法的處罰金額與GDPR的罰金是一個等量級的，不過GDPR對違反信息披露和保護個人信息的經濟處罰責任重點強調違約罰款，特別強調了是“全球營業(yè)額”的罰款比例。我國《個人信息保護法》已經設立了域外效力，因此法律責任的適用也應當具有全球視野。

作者：王春暉，系浙江大學教授、博導，網絡空間治理與數(shù)字經濟法治（長三角）研究基地主任兼首席專家，工業(yè)和信息化部信息通信經濟專家委員會委員、聯(lián)合國世界絲路論壇數(shù)字經濟研究院院長、聯(lián)合國國際貿易法律委員會中國觀察員專家團成員、中國互聯(lián)網協(xié)會應用創(chuàng)新工作委員副主任、中國行為法學會學術委員會副主任兼網絡與數(shù)字法治研究院院長、中國法學會網絡與信息法學研究會常務理事。

來源：法制網