你好 个人信息保护法

当我们在享受着信息时代的便捷时，自身也被信息化浪潮所裹挟。

搜索一件商品，立刻收到无数相关推送；偶然浏览网页，推销电话、贷款电话不出多时便纷至沓来。时代向前，却让这些“细思极恐”逐渐变成了“习以为常”。这背后正是各类个人信息非法获取和使用的日渐泛滥。

治理乱象，以法为基。11月1日，《中华人民共和国个人信息保护法》（下文统称个人信息保护法）正式施行。该法8章74条，在有关法律基础上，进一步细化、完善个人信息保护应遵循的原则和个人信息处理规则，明确个人信息处理活动中的权利义务边界，健全个人信息保护工作体制机制。

靴子落地，必有跫音。作为一部顺应人民群众呼声与时代需求的法律，其从诞生之初就被寄予厚望。天量数据流动下的各种安全隐忧、个人敏感信息非法收集带来的“大数据杀熟”等行业乱象，能否得到“拨乱反正”？各类APP对于个人信息的无度索要，能否得到有效遏制？更重要的是，它对个人敏感信息如何收集、如何处理、如何保护所划定的原则和框架，将给未来信息化、数字化的发展带来什么变化？这些问题既待观察，亦需解读。

为此，记者采访了多名专家、律师，他们对上述问题表达了各自观点。新法施行，其效在长。但不能否认的是，个人信息保护法的出台施行作为一个里程碑，标志着那个“挟用户以令市场”的蛮荒时代终将会过去。我们有理由相信，信息化时代便利性和安全性的平衡绝非一损一荣的零和博弈，在良法善治的引导下，终究能走向共同发展。

困境——

面临侵害 我们无奈成为“沉默的多数”

“不知道怎么办”——相同的迷茫，发生在多名个人信息疑似遭到泄露的个人身上。

李先生近两年来不堪其扰。他曾经创业开设一间公司并任法定代表人，后因业务调整，公司注销。公司虽然没了，但各类骚扰电话从未停止，营销、财税、广告……李先生百思不得其解，自己的电话如何泄露。对于如何停止这漫无止境的骚扰，他亦是毫无头绪。

李先生的遭遇并非孤例，在现实生活中因个人信息遭到滥用而造成的困境比比皆是。有受访者表示，逛一次房屋中介，买房卖房的骚扰电话可以持续数年；手机叫车，同样的车程，更贵型号的手机车费更高；在网页中搜索一件商品，购物软件立刻就会有相关推荐；甚至是在短视频平台偶然刷到某个内容，之后就会越来越多刷到……种种怪象的背后，很难让人相信这是单纯的“巧合”。而对于个人来说，只能陷入疑而无据、困而难求的境地。

造成这种困境的原因，一方面是信息化时代个人信息的使用频率越来越频繁、使用场景越来越多样，客观上存在个人信息泄露风险。同时，违法成本低、相关法律规定不健全，也造成企业对于侵害个人信息无所顾忌，而当事人维权困难的境地。

“数字经济时代的到来，使得个人信息也成为‘金矿’，合法有效使用这些海量数据可以给人们带来极大的方便，而不适当地、非正义地使用这些大数据在给使用者带来效益的同时损害了数据主体的权利。”四川省律师协会规则与大数据工作委员会主任尹晓华表示，正是因为担心出现这种不正当使用个人信息的情况，特别是现在人们对手机APP过度收集用户个人信息反应很大，众多应用提供商仍然我行我素，在这种矛盾之下，个人信息保护已到了刻不容缓的程度。

四川大学法学院教授韩旭在接受记者采访时表示，个人信息保护法出台前，我国法律中关于个人信息保护的条款散见于民法典人格权编及网络安全法、电子商务法等法律法规中，尽管在一定程度上关注到个人信息安全问题，但却没有建立起体系化的个人信息保护法律制度，在操作中往往难以形成实践合力，公众个人信息遭到侵犯或泄露后，维权难的困境仍然存在。

而个人信息保护法的出台施行，则有望打破这一局面。2020年10月21日，全国人大常委会法工委发布了《个人信息保护法（草案）》征求意见稿，就个人信息保护有关的立法问题向社会公开征求意见，其影响之大、关注之高，以至于部分业内人士将2020年称为我国“个人信息保护立法元年”。

之所以称为“元年”，更多的是肯定这部法律立法所体现的里程碑意义。韩旭认为，个人信息保护法作为我国第一部个人信息保护方面的专门法律，在数字化发展的新时代有力回应了公众对于个人信息安全保护的迫切需求，极大加强了我国个人信息保护的法治保障。

破局——

新法施行 带来个人信息保护新气象

作为我国首部个人信息保护专门法律，多名受访的专家、律师一致认为，个人信息保护法不仅有高屋建瓴的系统性、制度性规定，也关照到“大数据杀熟”“个人信息过度收集”“算法推送被滥用”等与你我息息相关的侵权情形；定义了个人信息保护边界，明确了收集处理个人信息的多项基本原则，并针对具体侵权行为作出规制并给出救济路径，为切实维护个人信息安全提供了可参照、可操作的基本遵循，意义重大。

在韩旭看来，个人信息保护法在设计层面上的亮点可概括为两方面：第一，对社会公众而言，本法构建了完备的个人信息保护框架，其调整范围涵盖了当下生活常见的各种个人信息处理场景，包括存储、授权、使用、删除等，明确了处理个人信息需要遵循的“合法、正当、必要”“公开、透明”等原则，使个人信息处理活动有了法律依据；第二，从监管层面说，明确国家网信部门负责统筹协调个人信息保护和监管，杜绝推诿、互相“踢皮球”的情况，监管部门亦可做到有法可依、规范执法。

“告知-同意”是处理个人信息合法性基础

“个人信息保护法第一条即明确规定，该法是依据宪法所制定的。”在四川坤弘律师事务所律师王文璞看来，作为个人信息保护这一领域的“基本法”，个人信息保护法将成为个人信息保护立法领域的基石。王文璞认为，“告知-同意”此项原则意义重大，是处理个人信息的合法性基础。

个人信息保护法对“告知-同意”原则提出了怎样的法律要求？王文璞解释到，第十三条以“一种原则、六种例外”的方式确立了处理个人信息时，应当以个人同意为原则，以该条第（二）至（七）款明确规定的六种方式作为例外的基本体系。

其次，第十四条至第二十七条对“因同意而处理个人信息”的内涵、外延及禁止性条款作了系统规定，“告知-同意”在操作上，同意必须在充分知情、自愿、明确的前提下作出，且同意可以撤回；多名个人信息处理者共同处理信息时应明确各自权利义务，有义务向个人告知处理的目的、方式和程序，除非个人同意，否则在公共场所采集的信息仅应用于维护公共安全。

以必要性为原则 敏感信息慎重处理

记者注意到，在个人信息保护法中，对个人信息进行了分类，从规范个人信息处理行为的角度分为了敏感个人信息和非敏感个人信息。

在尹晓华看来，这种分类有针对性地提高了处理者在处理敏感个人信息时的法定义务，更加充分地保护个人信息权益。他援引个人信息保护法第二十八条对敏感信息的定义解释到：“此类信息一旦泄露或者非法使用，对自然人的人格尊严或人身财产安全有可能造成损害，因此，只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，个人信息处理者方可处理敏感个人信息。”

王文璞补充到，个人信息保护法第二十九条至第三十二条对保护敏感个人信息进行了特殊规定，要求个人信息处理者在处理敏感信息时必须具有特定的目的和充分的必要性，还应在处理前取得个人或监护人的单独同意，并应就处理的必要性向个人进行告知。

而对于群众反映强烈的服务提供商过度收集个人信息的情况，个人信息保护法亦有关注。个人信息保护法第六条第二款规定：“收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息。”对此，王文璞表示，“限于实现处理目的的最小范围”将是个人信息处理者的紧箍咒，意味着其必须根据其提供服务实现为限度索要信息，而不能任性随意索取。并且，禁止个人信息处理者在非必要时以个人不同意提供信息为由停止为个人提供服务。从这个角度来说，类似“手电筒应用索要通讯录权限”的荒诞逻辑将不再重演。

拒绝信息滥用 向“大数据杀熟”说不

个人信息保护法对多种信息滥用的情形作出了规定。该法第二十四条规定，个人信息处理者利用个人信息进行自动化决策，应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇。

尹晓华告诉记者，根据该法第七十三条，这里的“自动化决策”，是指通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等，并进行决策的活动。平台通过广泛收集个人信息，掌握个人偏好，并利用此偏好抬高价格，使得消费者受损，即俗称的“大数据杀熟”就违反了第二十四条的规定。

此外，“算法”本身的滥用，亦是当下备受关注的问题。2020年9月，《人物》杂志发布的调查文章《外卖骑手，困在系统里》刷屏社交网络，引起了公众对于不合理“算法”侵害人身权益的高度关注。

“冷冰冰的‘算法’不应是唯一管理法则。人性关怀和温度在社会中不能缺位。”王文璞表示，个人信息保护法第二十四条第三款规定，个人有权拒绝个人信息处理者仅通过自动化决策的方式作出对个人权益有重大影响的决定。他认为，这限制了“算法”的使用场景，有助于化解类似外卖平台运营商和外卖小哥之间因“算法”导致的争议纠纷，体现了法律的人文关怀。

提供多种救济渠道 遇侵权不再沉默

同样令人欣喜的是，个人信息保护法的出现，不仅规定了多种侵犯个人信息权益的情形将负相应法律责任，同时也明确了多种维权救济渠道，让公民在个人信息遭到侵害时，能够有法维权、依法维权。

对于个人信息泄露的问题，个人信息保护法第二十三条规定，个人信息处理者向其他个人信息处理者提供其处理的个人信息的，应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意。尹晓华举例说：“如果没有获得个人同意，一个商家向另一个商家传递用户信息就违背了个人信息保护法。”

记者注意到，该法第七章“法律责任”中，对各类违法情形所承担的相应法律后果及各类救济途径予以了明确。第六十六条、六十七条、六十八条分别列举了违法后可能承担的相应后果，包括但不限于责令改正、给予警告、没收违法所得、罚款、停业整顿、记入信用档案等，对侵害个人信息违法行为形成了威慑。

尹晓华特别提到，第六十九条规定“处理个人信息侵害个人信息权益造成损害，个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任”。他认为，此款表明侵犯个人信息案件适用于过错推定原则，对于普通群众来说，是维护自己合法权益的有力武器。

此外，该法第七十条规定了公益诉讼：“个人信息处理者违反本法规定处理个人信息，侵害众多个人的权益的，人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。”第七十一条明确，违反本法规定，构成违反治安管理行为的，依法给予治安管理处罚；构成犯罪的，依法追究刑事责任。

展望——

深刻变革迎接一个新时代的来临

个人信息保护法作为我国首部全面保护个人信息的专门性立法，其施行必然带来方方面面的关系调整和体制变革。王文璞特别指出，该法约束调整的法律关系不仅仅涉及平等主体之间，还涉及实质不平等的自然人与互联网平台间，国家机关如何依法处理个人信息、国家机关如何监管个人信息保护，也在个人信息保护法调整范围之内。

对于国家行政机关来说，该法施行将对其依法行政水平提出考验。韩旭表示，以“敏感个人信息”的正确处理为例，由于一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害，因此处理时必须慎之又慎。

韩旭指出，权利的实现也同时伴随义务的履行，由此决定了人权保障理应成为公权机关的一项重要任务。因而，执法部门在处理相关案情时，应当追求更侧重保护个人隐私、更尊重人格尊严的执法方式。

对于公民个人来说，个人信息遭到侵害时，将获得有力的维权武器。尹晓华呼吁，在个人信息受到不当损害时，一定不要做“沉默的羔羊”。个人信息保护法为公民捍卫个人信息合法权益提供了诸多有利的法律途径，当发现权益受侵害时，要坚定自己对追求公平正义的信心。法律的生命在于实施，每个人勇敢地站出来，不仅是对个人权益的有力维护，同时也是对社会整体尊重个人信息、遵守法律规定风气的捍卫。

对于服务提供企业来说，必须学会在新的变革中生存。面对个人信息保护法明确的定期性合规审核与吊销营业执照乃至承担刑事责任的高昂违法成本，企业必须要学会在尊重法律、尊重用户的前提下开展业务。王文璞认为，该法第六十六条规定的违法处理个人信息最高可处上一年度营业额百分之五以下罚款及吊销营业执照，以及第六十九条确立的侵害个人信息纠纷中适用“过错推定责任规则”对互联网平台的合规性提出了严格要求。这一系列的规定，势必重构互联网平台原有的“以用户隐私换取服务”的商业逻辑，为互联网信息产业发展塑造一个更加优质的生态环境。

个人信息保护法告诉我们，公民的个人信息受法律保护，任何组织、个人不得侵害自然人的个人信息权益；它告诉我们，处理个人信息应当取得个人同意，个人有权撤回其同意；它告诉我们，处理个人信息应当遵循合法、正当、必要和诚信原则；它也告诉我们，用“大数据杀熟”把人困在“算法”里、用个人喜好编织“信息茧房”是错的，信息化社会的未来，不是充斥着冰冷的数据和算法，而是有法治的关怀与人性的温度。

怀着对未来的憧憬，我们说出问候——“你好，个人信息保护法！”

来源：四川法治报