貫徹《個(gè)人信息保護(hù)法》，十大要點(diǎn)需注意

獵人

2021年11月1日，《個(gè)人信息保護(hù)法》正式施行。該法集中體現(xiàn)了以人民為中心的立法理念，并將在國(guó)家層面建立健全個(gè)人信息保護(hù)制度，預(yù)防和懲治侵害個(gè)人信息權(quán)益的行為，加強(qiáng)個(gè)人信息保護(hù)宣傳教育，推動(dòng)形成政府、企業(yè)、相關(guān)社會(huì)組織、公眾共同參與個(gè)人信息保護(hù)的良好環(huán)境，確?！秱€(gè)人信息保護(hù)法》的各項(xiàng)要求和規(guī)定在社會(huì)生活中得到全面的貫徹和實(shí)施。在學(xué)習(xí)和貫徹《個(gè)人信息保護(hù)法》時(shí)，建議重點(diǎn)把握以下十大核心要點(diǎn)。

一、“規(guī)范個(gè)人信息處理活動(dòng)” 是個(gè)人信息保護(hù)法的核心

目前，在各類個(gè)人信息保護(hù)法的解讀文章中，大多在談?wù)搨€(gè)人信息保護(hù)的內(nèi)容，很少涉及如何促進(jìn)個(gè)人信息合理利用。實(shí)質(zhì)上，《個(gè)人信息保護(hù)法》的立法目的不僅僅是“保護(hù)”個(gè)人信息，而是“保護(hù)”和“利用”同步推進(jìn)。

《個(gè)人信息保護(hù)法》第一條規(guī)定：“為了保護(hù)個(gè)人信息權(quán)益，規(guī)范個(gè)人信息處理活動(dòng)，促進(jìn)個(gè)人信息合理利用，根據(jù)憲法，制定本法?！?從《個(gè)人信息保護(hù)法》的立法目的看，個(gè)人信息保護(hù)法的實(shí)質(zhì)功能是一部個(gè)人信息處理活動(dòng)行為規(guī)范法，個(gè)人信息保護(hù)的真正立法目的有兩個(gè)：一個(gè)是“保護(hù)個(gè)人信息權(quán)益”，另一個(gè)是“促進(jìn)個(gè)人信息合理利用”，其中“規(guī)范個(gè)人信息處理活動(dòng)”處于整個(gè)《個(gè)人信息保護(hù)法》的核心地位，只有夯實(shí)“規(guī)范個(gè)人信息處理活動(dòng)”這個(gè)關(guān)鍵環(huán)節(jié)，才能確保實(shí)現(xiàn)保護(hù)個(gè)人信息權(quán)益和促進(jìn)個(gè)人信息合理利用之目的。
二、個(gè)人信息的內(nèi)涵與匿名化

《個(gè)人信息保護(hù)法》第四條第一款明確了“個(gè)人信息”的定義：“個(gè)人信息是以電子或者其他方式記錄的與已識(shí)別或者可識(shí)別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息?！痹摱x與《網(wǎng)絡(luò)安全法》《民法典》以及最高人民法院、最高人民檢察院《關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問題的解釋》中的“個(gè)人信息”定義在基本概念上保持了一致，強(qiáng)調(diào)了“已識(shí)別或者可識(shí)別的自然人信息”，但在內(nèi)涵上卻有很大的不同。《個(gè)人信息保護(hù)法》中的“個(gè)人信息”定義增加了“不包括匿名化處理后的信息”，明確了“個(gè)人信息”經(jīng)匿名化處理后不屬于個(gè)人信息，也就無須適用《個(gè)人信息保護(hù)法》的相關(guān)規(guī)定，體現(xiàn)了《個(gè)人信息保護(hù)法》的“保護(hù)”和“利用”并重。

《個(gè)人信息保護(hù)法》第七十三條（四）將“匿名化”定義為：“是指?jìng)€(gè)人信息經(jīng)過處理無法識(shí)別特定自然人且不能復(fù)原的過程?！痹摱x中的“不能復(fù)原”主要采取了以下兩種方法，一是刪除個(gè)人信息包含的個(gè)人描述部分，包括將描述部分替換為其他描述部分，或者使用具有不可恢復(fù)的方法等；二是刪除所述個(gè)人信息中所包含的全部標(biāo)識(shí)符，包括將標(biāo)識(shí)符替換為其他描述部分，或者使用具有不可恢復(fù)的方法等。

三、個(gè)人信息保護(hù)法的域外效力
在數(shù)字化、智能化和網(wǎng)絡(luò)化的時(shí)代，數(shù)據(jù)正在以前所未有的方式自由流動(dòng)和跨境傳輸，因此個(gè)人信息保護(hù)立法僅有域內(nèi)效力的規(guī)定，根本無法充分保護(hù)本國(guó)公民的個(gè)人信息。2018年生效的歐盟《通用數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation，簡(jiǎn)稱GDPR），率先確立了個(gè)人數(shù)據(jù)保護(hù)的域外效力，目前已有多個(gè)國(guó)家的個(gè)人信息保護(hù)法借鑒了GDPR域外效力的立法實(shí)踐，我國(guó)的《個(gè)人信息保護(hù)法》也反映了國(guó)際個(gè)人信息保護(hù)的域外效力趨勢(shì)。

我國(guó)《個(gè)人信息保護(hù)法》第三條第二款規(guī)定，在中華人民共和國(guó)境外處理中華人民共和國(guó)境內(nèi)自然人個(gè)人信息的活動(dòng)，有下列三種情形之一的，也適用《個(gè)人信息保護(hù)法》：一是“以向境內(nèi)自然人提供產(chǎn)品或者服務(wù)為目的”，比如一家位于美國(guó)運(yùn)營(yíng)的電子商務(wù)網(wǎng)站（Amazon）向中國(guó)境內(nèi)的自然人（包括本國(guó)人、外國(guó)人和無國(guó)籍人）提供產(chǎn)品或服務(wù)；二是“分析、評(píng)估境內(nèi)自然人的行為”，比如一家位于境外的社交網(wǎng)站分析、評(píng)估中國(guó)境內(nèi)自然人的行為，像全球最大的社交網(wǎng)站Facebook，每年發(fā)布專門的用戶行為習(xí)慣研究分析報(bào)告；三是法律、行政法規(guī)規(guī)定的其他情形，如我國(guó)《數(shù)據(jù)安全法》第二條第二款明確規(guī)定：“在中華人民共和國(guó)境外開展數(shù)據(jù)處理活動(dòng)，損害中華人民共和國(guó)國(guó)家安全、公共利益或者公民、組織合法權(quán)益的，依法追究法律責(zé)任。”

四、個(gè)人信息處理的核心原則
1 v5 P2 m1 J$ g! M《個(gè)人信息保護(hù)法》總則部分確立了多項(xiàng)處理個(gè)人信息的基本原則，對(duì)這部法律的實(shí)施具有重要的指導(dǎo)意義?！秱€(gè)人信息保護(hù)法》的基本原則主要涉及的是個(gè)人信息處理的基本準(zhǔn)則，特別是在云環(huán)境和平臺(tái)經(jīng)濟(jì)的背景下，很多新型和疑難的個(gè)人信息保護(hù)案件很難精準(zhǔn)地適用具體相應(yīng)的法律條款，但是個(gè)人信息處理的基本原則具有協(xié)調(diào)、漏洞補(bǔ)充和緩和規(guī)則不公正的作用，對(duì)新型個(gè)人信息保護(hù)案件的適用將發(fā)揮重要作用，應(yīng)當(dāng)透徹理解。

《個(gè)人信息保護(hù)法》主要確立以下五項(xiàng)重要原則：一是遵循合法、正當(dāng)、必要和誠(chéng)信原則；二是采取對(duì)個(gè)人權(quán)益影響最小的方式，限于實(shí)現(xiàn)處理目的的最小范圍原則；三是處理個(gè)人信息應(yīng)當(dāng)遵循公開、透明原則；四是處理個(gè)人信息應(yīng)當(dāng)保證個(gè)人信息質(zhì)量原則；五是采取必要措施確保個(gè)人信息安全原則等。以上個(gè)人信息處理原則，如“遵循合法、正當(dāng)、必要”“應(yīng)當(dāng)遵循公開、透明原則”以及“保障個(gè)人信息安全”等原則，在《全國(guó)人民代表大會(huì)常務(wù)委員會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》《網(wǎng)絡(luò)安全法》《民法典》《消費(fèi)者權(quán)益保護(hù)法》等相關(guān)個(gè)人信息保護(hù)立法中均有規(guī)定，已經(jīng)成為我國(guó)個(gè)人信息處理應(yīng)遵循的通用規(guī)則。

我以為，《個(gè)人信息保護(hù)法》總則部分第六條確立的兩個(gè)“最小原則”，是個(gè)人信息處理應(yīng)遵循的核心原則，尤其是處理目的的“最小范圍”，這是禁止“過度收集個(gè)人信息”的關(guān)鍵要點(diǎn)，因?yàn)閭€(gè)人信息處理者只有在嚴(yán)格遵守處理目的的“最小范圍”的前提下，即“非必要不收集”的情況下，才能確保其采取對(duì)個(gè)人權(quán)益影響最小的方式?！秱€(gè)人信息保護(hù)法》第八條還專門規(guī)定了處理個(gè)人信息應(yīng)當(dāng)保證個(gè)人信息的質(zhì)量，這項(xiàng)原則也極為重要，如果個(gè)人信息不準(zhǔn)確或不完整，將對(duì)個(gè)人權(quán)益造成不利影響，比如疫情期間“通信大數(shù)據(jù)行程卡”記錄的“表示當(dāng)前該城市存在中風(fēng)險(xiǎn)或高風(fēng)險(xiǎn)地區(qū)，并不表示用戶實(shí)際到訪過這些中高風(fēng)險(xiǎn)地區(qū)”，以上對(duì)個(gè)人行程信息的記錄就不夠準(zhǔn)確或不夠完整，給用戶的出行帶來了極大的不便。準(zhǔn)確和完成的信息應(yīng)該是“該城市存在中風(fēng)險(xiǎn)或高風(fēng)險(xiǎn)地區(qū)，具體應(yīng)當(dāng)注明是哪幾個(gè)區(qū)域存在中風(fēng)險(xiǎn)或高風(fēng)險(xiǎn)，該用戶是否實(shí)際到過這些中高風(fēng)險(xiǎn)區(qū)域”。

五、構(gòu)建了以“告知-知情-同意”為核心的個(gè)人信息處理規(guī)則
“告知-同意”這一個(gè)人信息處理規(guī)則，在《全國(guó)人民代表大會(huì)常務(wù)委員會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》《網(wǎng)絡(luò)安全法》《消費(fèi)者權(quán)益保護(hù)法》以及《民法典》等法律中均有規(guī)定。《個(gè)人信息保護(hù)法》不僅是確立了以“告知-同意”的個(gè)人信息處理規(guī)則，而且構(gòu)建了以“告知-知情-同意”為核心的個(gè)人信息處理規(guī)則體系。

應(yīng)當(dāng)指出，個(gè)人信息處理者“告知”的目的是為了確保被告知者的充分“知情”，只有被告知者在充分知情的前提下才能自愿、明確地作出決定。為此，《個(gè)人信息保護(hù)法》第十四條明確規(guī)定：“基于個(gè)人同意處理個(gè)人信息的，該同意應(yīng)當(dāng)由個(gè)人在充分知情的前提下自愿、明確作出。法律、行政法規(guī)規(guī)定處理個(gè)人信息應(yīng)當(dāng)取得個(gè)人單獨(dú)同意或者書面同意的，從其規(guī)定?！庇纱?，《個(gè)人信息保護(hù)法》構(gòu)建了以“告知-知情-同意”為核心的個(gè)人信息處理規(guī)則。

六、敏感個(gè)人信息的認(rèn)定與保護(hù)規(guī)則
5 D" k* _7 q5 p/ l) |. ~《民法典》第一千零三十四條三款規(guī)定：“個(gè)人信息中的私密信息,適用有關(guān)隱私權(quán)的規(guī)定;沒有規(guī)定的，適用有關(guān)個(gè)人信息保護(hù)的規(guī)定。” 因此，《個(gè)人信息保護(hù)法》沒有對(duì)自然人的隱私信息作出專門規(guī)定，而是將個(gè)人信息分為敏感信息和非敏感信息，并設(shè)專節(jié)設(shè)置了“敏感個(gè)人信息的處理規(guī)則”。

《個(gè)人信息保護(hù)法》第二十八條給出了“敏感個(gè)人信息”的定義，即“敏感個(gè)人信息是一旦泄露或者非法使用，容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財(cái)產(chǎn)安全受到危害的個(gè)人信息，包括生物識(shí)別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個(gè)人信息?！?該定義采用了“個(gè)人信息被泄露或者非法使用+危害后果+列舉重要敏感個(gè)人信息”的立法技術(shù)，同時(shí)將不滿十四周歲未成年人的個(gè)人信息也納入了“敏感個(gè)人信息”給予重點(diǎn)保護(hù)。

《個(gè)人信息保護(hù)法》對(duì)處理敏感個(gè)人信息作出了嚴(yán)格的限制性規(guī)定，即在履行“告知-知情-同意”原則的基礎(chǔ)上，只有在具有特定的目的和充分的必要性，并采取嚴(yán)格保護(hù)措施的情形下，個(gè)人信息處理者方可處理敏感個(gè)人信息。特別是處理敏感個(gè)人信息應(yīng)當(dāng)取得個(gè)人的單獨(dú)同意，如果法律、行政法規(guī)規(guī)定處理敏感個(gè)人信息應(yīng)當(dāng)取得書面同意的，應(yīng)當(dāng)從其規(guī)定。

七、嚴(yán)禁“大數(shù)據(jù)殺熟”以及為“用戶畫像”等涉及不當(dāng)自動(dòng)化決策
       針對(duì)“大數(shù)據(jù)殺熟”“用戶畫像”和“算法推薦”等涉及個(gè)人信息自動(dòng)化決策的熱點(diǎn)問題，《個(gè)人信息保護(hù)法》作出了明確規(guī)范（第二十四條）：首先，個(gè)人信息處理者利用個(gè)人信息進(jìn)行自動(dòng)化決策，應(yīng)當(dāng)保證決策的透明度和結(jié)果公平、公正，不得對(duì)個(gè)人在交易價(jià)格等交易條件上實(shí)行不合理的差別待遇；其次，通過自動(dòng)化決策方式向個(gè)人進(jìn)行信息推送、商業(yè)營(yíng)銷，應(yīng)當(dāng)同時(shí)提供不針對(duì)其個(gè)人特征的選項(xiàng)，或者向個(gè)人提供便捷的拒絕方式；第三，通過自動(dòng)化決策方式作出對(duì)個(gè)人權(quán)益有重大影響的決定，個(gè)人有權(quán)要求個(gè)人信息處理者予以說明，并有權(quán)拒絕個(gè)人信息處理者僅通過自動(dòng)化決策的方式作出決定。

《個(gè)人信息保護(hù)法》就個(gè)人信息處理者利用個(gè)人信息進(jìn)行自動(dòng)化決策重點(diǎn)確立了一項(xiàng)義務(wù)性規(guī)范和一項(xiàng)禁止性規(guī)定：一是應(yīng)當(dāng)保證決策的透明度和結(jié)果公平、公正；二是不得對(duì)個(gè)人在交易價(jià)格等交易條件上實(shí)行不合理的差別待遇。

八、個(gè)人信息跨境提供規(guī)則
       在數(shù)字和網(wǎng)絡(luò)時(shí)代，特別是疫情激發(fā)的非接觸式經(jīng)濟(jì)，使得個(gè)人信息的跨境流動(dòng)日益頻繁，但是由于不同國(guó)家的個(gè)人信息法律制度存在差異，個(gè)人信息跨境流動(dòng)的規(guī)則也有所不同。我國(guó)《個(gè)人信息保護(hù)法》立足我國(guó)實(shí)際，并借鑒了國(guó)際立法經(jīng)驗(yàn)，確立了一套完善的個(gè)人信息跨境提供規(guī)則。

《個(gè)人信息保護(hù)法》明確了個(gè)人信息處理者向境外提供個(gè)人信息應(yīng)當(dāng)具備的基本條件，如關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者和處理個(gè)人信息達(dá)到國(guó)家網(wǎng)信部門規(guī)定數(shù)量的處理者，確需向境外提供個(gè)人信息的，應(yīng)當(dāng)通過國(guó)家網(wǎng)信部門組織的安全評(píng)估；對(duì)于其他需要跨境提供個(gè)人信息的，應(yīng)由專業(yè)機(jī)構(gòu)進(jìn)行個(gè)人信息保護(hù)認(rèn)證；個(gè)人信息處理者因業(yè)務(wù)需要向境外提供個(gè)人信息，需按照國(guó)家網(wǎng)信部門的標(biāo)準(zhǔn)合同與境外接收方訂立合同；對(duì)我國(guó)締結(jié)或者參加的國(guó)際條約、協(xié)定對(duì)向我國(guó)境外提供個(gè)人信息的條件等有規(guī)定的，可以按照其規(guī)定執(zhí)行等。

《個(gè)人信息保護(hù)法》對(duì)個(gè)人信息處理者跨境提供個(gè)人信息的“告知與單獨(dú)同意”作出了嚴(yán)格的要求；對(duì)因國(guó)際司法協(xié)助或者行政執(zhí)法協(xié)助，需要向境外提供個(gè)人信息的，要求依法申請(qǐng)有關(guān)主管部門批準(zhǔn)，特別是對(duì)從事?lián)p害我國(guó)公民個(gè)人信息權(quán)益或者危害我國(guó)國(guó)家安全、公共利益等活動(dòng)的境外組織、個(gè)人，以及在個(gè)人信息保護(hù)方面對(duì)我國(guó)采取不合理措施的國(guó)家和地區(qū)，規(guī)定了相應(yīng)的限制或者禁止措施。

九、個(gè)人在個(gè)人信息處理活動(dòng)中的七項(xiàng)權(quán)利
《個(gè)人信息保護(hù)法》全面構(gòu)建了個(gè)人在個(gè)人信息處理活動(dòng)中的權(quán)利，包括知情權(quán)、決定權(quán)（限制、拒絕和撤回權(quán)）、查閱復(fù)制權(quán)、個(gè)人信息可攜帶權(quán)、更正補(bǔ)充權(quán)、刪除權(quán)、規(guī)則解釋權(quán)。

1.知情同意權(quán)。收集和使用公民個(gè)人信息必須遵循合法、正當(dāng)、必要原則，且目的必須明確并經(jīng)用戶的知情同意；2.決定權(quán)。有權(quán)限制、拒絕或撤回他人對(duì)其個(gè)人信息的處理；3.查閱復(fù)制權(quán)。個(gè)人有權(quán)向個(gè)人信息處理者查閱、復(fù)制其個(gè)人信息；4.個(gè)人信息移轉(zhuǎn)權(quán)。個(gè)人請(qǐng)求將個(gè)人信息轉(zhuǎn)移至其指定的個(gè)人信息處理者，符合國(guó)家網(wǎng)信部門規(guī)定條件的，個(gè)人信息處理者應(yīng)當(dāng)提供轉(zhuǎn)移的途徑；5.更正補(bǔ)充權(quán)。個(gè)人發(fā)現(xiàn)其個(gè)人信息不準(zhǔn)確或者不完整的，有權(quán)請(qǐng)求個(gè)人信息處理者更正、補(bǔ)充；6.刪除權(quán)。在五種情形下，個(gè)人信息處理者應(yīng)當(dāng)主動(dòng)刪除個(gè)人信息；個(gè)人信息處理者未刪除的，個(gè)人有權(quán)請(qǐng)求刪除：1）處理目的已實(shí)現(xiàn)、無法實(shí)現(xiàn)或者為實(shí)現(xiàn)處理目的不再必要，2）個(gè)人信息處理者停止提供產(chǎn)品或者服務(wù)，或者保存期限已屆滿，3）個(gè)人撤回同意，4）個(gè)人信息處理者違反法律、行政法規(guī)或者違反約定處理個(gè)人信息，5）法律、行政法規(guī)規(guī)定的其他情形；7.規(guī)則解釋權(quán)。個(gè)人有權(quán)要求個(gè)人信息處理者對(duì)其個(gè)人信息處理規(guī)則進(jìn)行解釋說明。

十、重要互聯(lián)網(wǎng)平臺(tái)的“守門人”制度
       鑒于重要互聯(lián)網(wǎng)平臺(tái)掌握海量用戶數(shù)據(jù)，一旦發(fā)生信息泄露或?yàn)E用，可能導(dǎo)致嚴(yán)重后果，《個(gè)人信息保護(hù)法》專門要求其履行“守門人”角色，并承擔(dān)更多責(zé)任，主要包括：1.應(yīng)按照國(guó)家規(guī)定建立健全個(gè)人信息保護(hù)合規(guī)制度體系；2.成立主要由外部成員組成的獨(dú)立機(jī)構(gòu)進(jìn)行監(jiān)督；3.遵循公開、公平、公正的原則制定平臺(tái)規(guī)則；4.對(duì)嚴(yán)重違法處理個(gè)人信息的平臺(tái)內(nèi)產(chǎn)品或服務(wù)提供者停止提供服務(wù)；5.定期發(fā)布個(gè)人信息保護(hù)社會(huì)責(zé)任報(bào)告并接受社會(huì)監(jiān)督等。

2021年10月29日，國(guó)家市場(chǎng)監(jiān)督管理總局就《互聯(lián)網(wǎng)平臺(tái)分類分級(jí)指南（征求意見稿）》《互聯(lián)網(wǎng)平臺(tái)落實(shí)主體責(zé)任指南（征求意見稿）》公開征求意見?！痘ヂ?lián)網(wǎng)平臺(tái)分類分級(jí)指南（征求意見稿）》根據(jù)用戶規(guī)模、業(yè)務(wù)種類、限制能力，將互聯(lián)網(wǎng)平臺(tái)分為以下三級(jí)：超級(jí)平臺(tái)、大型平臺(tái)和中小平臺(tái)，其中“超級(jí)平臺(tái)”超級(jí)平臺(tái)指同時(shí)具備超大用戶規(guī)模、超廣業(yè)務(wù)種類、超高經(jīng)濟(jì)體量和超強(qiáng)限制能力的平臺(tái)。其中，超大用戶規(guī)模，即平臺(tái)上年度在中國(guó)的年活躍用戶不低于5億；超廣業(yè)務(wù)種類，即平臺(tái)核心業(yè)務(wù)至少涉及兩類平臺(tái)業(yè)務(wù)，該業(yè)務(wù)涉及網(wǎng)絡(luò)銷售、生活服務(wù)、社交娛樂、信息資訊、金融服務(wù)、計(jì)算應(yīng)用等六大方面；超高經(jīng)濟(jì)體量，即平臺(tái)上年底市值（估值）不低于10000億人民幣；超強(qiáng)限制能力，即平臺(tái)具有超強(qiáng)的限制商戶接觸消費(fèi)者（用戶）的能力。

《互聯(lián)網(wǎng)平臺(tái)落實(shí)主體責(zé)任指南(征求意見稿)》明確了超大型平臺(tái)經(jīng)營(yíng)者的八大主體責(zé)任：一是公平競(jìng)爭(zhēng)的示范責(zé)任，超大型平臺(tái)經(jīng)營(yíng)者具有規(guī)模、數(shù)據(jù)、技術(shù)等優(yōu)勢(shì)，應(yīng)當(dāng)發(fā)揮公平競(jìng)爭(zhēng)示范引領(lǐng)作用；二是平等治理的責(zé)任，超大型平臺(tái)經(jīng)營(yíng)者應(yīng)當(dāng)遵守公平和非歧視原則，平等對(duì)待平臺(tái)自身（或關(guān)聯(lián)企業(yè)）和平臺(tái)內(nèi)經(jīng)營(yíng)者，不實(shí)施自我優(yōu)待；三是開放生態(tài)的責(zé)任，超大型平臺(tái)經(jīng)營(yíng)者應(yīng)當(dāng)在符合安全以及相關(guān)主體權(quán)益保障的前提下，推動(dòng)其提供的服務(wù)與其他平臺(tái)經(jīng)營(yíng)者提供的服務(wù)具有互操作性；四是數(shù)據(jù)管理的責(zé)任，超大型平臺(tái)經(jīng)營(yíng)者應(yīng)當(dāng)建立健全數(shù)據(jù)安全審查與內(nèi)控機(jī)制，對(duì)涉及用戶個(gè)人信息的處理、數(shù)據(jù)跨境流動(dòng)，涉及國(guó)家和社會(huì)公共利益的數(shù)據(jù)開發(fā)行為，必須嚴(yán)格依法依規(guī)進(jìn)行，確保數(shù)據(jù)安全；五是內(nèi)部治理的責(zé)任，超大型平臺(tái)經(jīng)營(yíng)者應(yīng)當(dāng)設(shè)置平臺(tái)合規(guī)部門，不斷完善平臺(tái)內(nèi)部合規(guī)制度和合規(guī)機(jī)制，響應(yīng)監(jiān)管部門的監(jiān)管要求，并建立平臺(tái)內(nèi)部預(yù)防腐敗機(jī)制；六是風(fēng)險(xiǎn)評(píng)估的責(zé)任，超大型平臺(tái)經(jīng)營(yíng)者應(yīng)當(dāng)至少每年進(jìn)行一次風(fēng)險(xiǎn)評(píng)估，重點(diǎn)識(shí)別、分析和評(píng)估由其提供的互聯(lián)網(wǎng)平臺(tái)服務(wù)可能引起的各種風(fēng)險(xiǎn)，并定期發(fā)布風(fēng)險(xiǎn)評(píng)估報(bào)告；七是安全審計(jì)的責(zé)任，超大型平臺(tái)經(jīng)營(yíng)者應(yīng)定期委托第三方獨(dú)立機(jī)構(gòu)對(duì)《互聯(lián)網(wǎng)平臺(tái)落實(shí)主體責(zé)任指南》所規(guī)定的主體責(zé)任的遵守情況進(jìn)行審計(jì)，并由第三方獨(dú)立機(jī)構(gòu)發(fā)布書面審計(jì)報(bào)告；八是促進(jìn)創(chuàng)新的責(zé)任，超大型互聯(lián)網(wǎng)平臺(tái)經(jīng)營(yíng)者應(yīng)當(dāng)充分利用數(shù)據(jù)、資金、人才、用戶和技術(shù)等資源優(yōu)勢(shì)，加大創(chuàng)新投入，提升技術(shù)水平，組織核心技術(shù)攻關(guān)，加快技術(shù)迭代，扶持中小科技企業(yè)創(chuàng)新，不斷激發(fā)平臺(tái)經(jīng)濟(jì)領(lǐng)域創(chuàng)新發(fā)展活力。

為了確保個(gè)人信息處理者遵守個(gè)人信息保護(hù)之義務(wù)，嚴(yán)格規(guī)范個(gè)人信息的處理活動(dòng)，《個(gè)人信息保護(hù)法》設(shè)置了嚴(yán)格的行政和民事法律責(zé)任。

《個(gè)人信息保護(hù)法》第六十六條對(duì)違法處理個(gè)人信息，或者處理個(gè)人信息未履行法定的個(gè)人信息保護(hù)義務(wù)設(shè)置了三項(xiàng)法律責(zé)任：一是由履行個(gè)人信息保護(hù)職責(zé)的部門責(zé)令改正，給予警告，沒收違法所得，對(duì)違法處理個(gè)人信息的應(yīng)用程序，責(zé)令暫?；蛘呓K止提供服務(wù)；二是拒不改正的，并處一百萬元以下罰款；三是對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處一萬元以上十萬元以下罰款。

如果有上述規(guī)定的違法行為，且情節(jié)嚴(yán)重的，設(shè)置了兩項(xiàng)更嚴(yán)格的法律責(zé)任：一是由省級(jí)以上履行個(gè)人信息保護(hù)職責(zé)的部門責(zé)令改正，沒收違法所得，并處五千萬元以下或者上一年度營(yíng)業(yè)額百分之五以下罰款，并可以責(zé)令暫停相關(guān)業(yè)務(wù)或者停業(yè)整頓、通報(bào)有關(guān)主管部門吊銷相關(guān)業(yè)務(wù)許可或者吊銷營(yíng)業(yè)執(zhí)照；二是對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處十萬元以上一百萬元以下罰款，并可以決定禁止其在一定期限內(nèi)擔(dān)任相關(guān)企業(yè)的董事、監(jiān)事、高級(jí)管理人員和個(gè)人信息保護(hù)負(fù)責(zé)人。

特別是“并處五千萬元以下或者上一年度營(yíng)業(yè)額百分之五以下罰款，并可以責(zé)令暫停相關(guān)業(yè)務(wù)或者停業(yè)整頓、通報(bào)有關(guān)主管部門吊銷相關(guān)業(yè)務(wù)許可或者吊銷營(yíng)業(yè)執(zhí)照”，這項(xiàng)處罰是非常嚴(yán)厲的。我們可以對(duì)比GDPR對(duì)違反信息披露和保護(hù)個(gè)人信息違規(guī)實(shí)施的處罰：嚴(yán)重違約罰款2000萬歐元或全球營(yíng)業(yè)額的4%（以較高者為準(zhǔn)）；輕微違約罰款 1000萬歐元或全球營(yíng)業(yè)額的2%（以較高者為準(zhǔn)），比如蘋果公司最近幾年的收入都超過了2000億美元，那么按照“全球營(yíng)業(yè)額的4%”計(jì)算，罰金就有可能高達(dá)80億美元?？梢?，我國(guó)個(gè)人信息保護(hù)法的處罰金額與GDPR的罰金是一個(gè)等量級(jí)的，不過GDPR對(duì)違反信息披露和保護(hù)個(gè)人信息的經(jīng)濟(jì)處罰責(zé)任重點(diǎn)強(qiáng)調(diào)違約罰款，特別強(qiáng)調(diào)了是“全球營(yíng)業(yè)額”的罰款比例。我國(guó)《個(gè)人信息保護(hù)法》已經(jīng)設(shè)立了域外效力，因此法律責(zé)任的適用也應(yīng)當(dāng)具有全球視野。

作者：王春暉，系浙江大學(xué)教授、博導(dǎo)，網(wǎng)絡(luò)空間治理與數(shù)字經(jīng)濟(jì)法治（長(zhǎng)三角）研究基地主任兼首席專家，工業(yè)和信息化部信息通信經(jīng)濟(jì)專家委員會(huì)委員、聯(lián)合國(guó)世界絲路論壇數(shù)字經(jīng)濟(jì)研究院院長(zhǎng)、聯(lián)合國(guó)國(guó)際貿(mào)易法律委員會(huì)中國(guó)觀察員專家團(tuán)成員、中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)應(yīng)用創(chuàng)新工作委員副主任、中國(guó)行為法學(xué)會(huì)學(xué)術(shù)委員會(huì)副主任兼網(wǎng)絡(luò)與數(shù)字法治研究院院長(zhǎng)、中國(guó)法學(xué)會(huì)網(wǎng)絡(luò)與信息法學(xué)研究會(huì)常務(wù)理事。

來源：法制網(wǎng)