原標(biāo)題：個(gè)人信息保護(hù)法——“十大亮點(diǎn)”彰顯個(gè)人信息全面保護(hù)

□我國(guó)個(gè)人信息保護(hù)法始終堅(jiān)持以“告知同意”為核心構(gòu)建個(gè)人信息的處理規(guī)則，利用多個(gè)條文對(duì)告知同意規(guī)則作出了詳細(xì)規(guī)定。

□為了確保個(gè)人信息處理活動(dòng)的合法性與個(gè)人信息的安全，個(gè)人信息保護(hù)法對(duì)個(gè)人信息處理者的義務(wù)作出了嚴(yán)格且詳細(xì)的規(guī)定。其中特別值得注意的是，個(gè)人信息保護(hù)法第58條規(guī)定了提供重要互聯(lián)網(wǎng)平臺(tái)服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的個(gè)人信息處理者負(fù)有的特殊義務(wù)。

2021年8月20日，第十三屆全國(guó)人大常委會(huì)第三十次會(huì)議表決通過(guò)的《中華人民共和國(guó)個(gè)人信息保護(hù)法》，是我國(guó)第一部個(gè)人信息保護(hù)方面的專門法律。該法以保護(hù)個(gè)人信息權(quán)益、規(guī)范個(gè)人信息處理活動(dòng)、促進(jìn)個(gè)人信息合理利用為立法目的，對(duì)個(gè)人信息處理規(guī)則、個(gè)人在個(gè)人信息處理活動(dòng)中的權(quán)利、個(gè)人信息處理者的義務(wù)、履行個(gè)人信息保護(hù)職責(zé)的部門以及法律責(zé)任作出了極為系統(tǒng)完備與科學(xué)嚴(yán)謹(jǐn)?shù)囊?guī)定。其中，最引人注意的是以下十大亮點(diǎn)：

亮點(diǎn)一：全方位規(guī)范個(gè)人信息處理活動(dòng)。個(gè)人信息保護(hù)法對(duì)個(gè)人信息處理活動(dòng)進(jìn)行了全方位規(guī)范。首先，對(duì)個(gè)人信息的界定采取了關(guān)聯(lián)說(shuō)，將其界定為：以電子或者其他方式記錄的與已識(shí)別或者可識(shí)別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息。其次，在民法典列舉的個(gè)人信息的收集、存儲(chǔ)、使用、加工、傳輸、提供、公開等處理活動(dòng)類型的基礎(chǔ)上，新增了“刪除”。再次，無(wú)論是國(guó)家機(jī)關(guān)、法律法規(guī)授權(quán)的具有管理公共事務(wù)職能的組織抑或作為營(yíng)利法人的公司企業(yè)，或者非法人組織以及自然人，其實(shí)施的個(gè)人信息處理活動(dòng)都適用個(gè)人信息保護(hù)法，除非法律另有規(guī)定。

亮點(diǎn)二：空間適用上以屬地管轄為原則，輔之以必要的保護(hù)性管轄。為適應(yīng)互聯(lián)網(wǎng)的開放性、全球性及數(shù)據(jù)信息的流動(dòng)性，充分保護(hù)我國(guó)境內(nèi)自然人的個(gè)人信息權(quán)益，我國(guó)個(gè)人信息保護(hù)法在空間適用范圍即域外適用的問(wèn)題上堅(jiān)持了屬地管轄為原則，輔之以必要的保護(hù)性管轄。首先，依據(jù)該法第3條第1款，只要在我國(guó)境內(nèi)處理自然人個(gè)人信息的活動(dòng)，無(wú)論處理者是組織還是個(gè)人，無(wú)論是我國(guó)的還是外國(guó)的組織、個(gè)人，都必須適用個(gè)人信息保護(hù)法。其次，第3條第2款明確規(guī)定了三類在我國(guó)境外處理我國(guó)境內(nèi)自然人個(gè)人信息的活動(dòng)，即以向境內(nèi)自然人提供產(chǎn)品或者服務(wù)為目的，分析、評(píng)估境內(nèi)自然人的行為以及法律、行政法規(guī)規(guī)定的其他情形，無(wú)論處理者本身是否是我國(guó)的組織或個(gè)人，都要適用個(gè)人信息保護(hù)法。

亮點(diǎn)三：個(gè)人信息處理活動(dòng)的多元合法根據(jù)。個(gè)人信息的處理活動(dòng)在客觀上就是對(duì)個(gè)人信息權(quán)益的侵入或影響，如果沒(méi)有合法根據(jù)，該處理活動(dòng)就是侵害個(gè)人信息權(quán)益的行為，屬于不法行為。個(gè)人信息處理的合法根據(jù)有兩大類：一是告知并取得個(gè)人的同意，這種情形下的個(gè)人信息處理活動(dòng)就是“基于個(gè)人同意處理個(gè)人信息的”活動(dòng)，處理行為的合法性來(lái)自于信息主體即個(gè)人的有效同意；二是法定理由，即法律、行政法規(guī)規(guī)定的情形或理由，此時(shí)無(wú)需個(gè)人的同意即可處理個(gè)人信息。就法定理由的范圍如何，各國(guó)差異很大，我國(guó)個(gè)人信息保護(hù)法的起草中也存在很大的爭(zhēng)議。

最終，立法機(jī)關(guān)在充分考慮了我國(guó)的國(guó)情，兼顧現(xiàn)實(shí)與未來(lái)發(fā)展基礎(chǔ)上，與民法典等法律保持一致，吸收借鑒了比較法上的優(yōu)秀成果，在個(gè)人信息保護(hù)法第13條第1款第2項(xiàng)至第7項(xiàng)中，明確規(guī)定了六類無(wú)需取得個(gè)人同意即可處理個(gè)人信息的情形，分別是：（1）為訂立、履行個(gè)人作為一方當(dāng)事人的合同所必需，或者按照依法制定的勞動(dòng)規(guī)章制度和依法簽訂的集體合同實(shí)施人力資源管理所必需；（2）為履行法定職責(zé)或者法定義務(wù)所必需；（3）為應(yīng)對(duì)突發(fā)公共衛(wèi)生事件，或者緊急情況下為保護(hù)自然人的生命健康和財(cái)產(chǎn)安全所必需；（4）為公共利益實(shí)施新聞報(bào)道、輿論監(jiān)督等行為，在合理的范圍內(nèi)處理個(gè)人信息；（5）依照本法規(guī)定在合理的范圍內(nèi)處理個(gè)人自行公開或者其他已經(jīng)合法公開的個(gè)人信息；（6）法律、行政法規(guī)規(guī)定的其他情形。

亮點(diǎn)四：完備的告知同意規(guī)則。我國(guó)個(gè)人信息保護(hù)法始終堅(jiān)持以“告知同意”為核心構(gòu)建個(gè)人信息的處理規(guī)則，利用多個(gè)條文對(duì)告知同意規(guī)則作出了詳細(xì)規(guī)定，具體包括：要求個(gè)人信息處理者在處理個(gè)人信息前，應(yīng)當(dāng)以顯著方式、清晰易懂的語(yǔ)言真實(shí)、準(zhǔn)確、完整地向個(gè)人告知該法所列舉的各個(gè)事項(xiàng)；嚴(yán)格限制不需要告知的情形；明確了個(gè)人的同意應(yīng)當(dāng)是由個(gè)人在充分知情的前提下自愿、明確作出。同時(shí)，如果法律、行政法規(guī)規(guī)定處理個(gè)人信息應(yīng)當(dāng)取得個(gè)人單獨(dú)同意或者書面同意的，從其規(guī)定。在基于個(gè)人同意處理個(gè)人信息的情形中，如果個(gè)人信息的處理目的、處理方式和處理的個(gè)人信息種類、保存期限發(fā)生變更的，應(yīng)當(dāng)重新取得個(gè)人同意?；趥€(gè)人同意處理個(gè)人信息的，個(gè)人有權(quán)撤回其同意。個(gè)人信息處理者應(yīng)當(dāng)提供便捷的撤回同意的方式，處理者不得以個(gè)人不同意為由拒絕提供產(chǎn)品或者服務(wù)。

亮點(diǎn)五：對(duì)自動(dòng)化決策的全面規(guī)范。自動(dòng)化決策，是指通過(guò)計(jì)算機(jī)程序自動(dòng)分析、評(píng)估個(gè)人的行為習(xí)慣、興趣愛好或者經(jīng)濟(jì)、健康、信用狀況等，并進(jìn)行決策的活動(dòng)。自動(dòng)化決策是建立在大數(shù)據(jù)、機(jī)器學(xué)習(xí)、人工智能和算法等基礎(chǔ)之上的，其通過(guò)大數(shù)據(jù)技術(shù)對(duì)海量的用戶進(jìn)行持續(xù)追蹤和信息采集，然后遵循特定的規(guī)則處理所收集的個(gè)人信息，對(duì)用戶進(jìn)行數(shù)字畫像和相應(yīng)的決策。

我國(guó)個(gè)人信息保護(hù)法第24條在綜合采取算法透明化與個(gè)人賦權(quán)兩種觀點(diǎn)的基礎(chǔ)上，對(duì)利用個(gè)人信息進(jìn)行自動(dòng)化決策進(jìn)行了全面規(guī)范。首先，要求個(gè)人信息處理者利用個(gè)人信息進(jìn)行自動(dòng)化決策時(shí)，必須保證決策的透明度和結(jié)果的公平和公正，尤其是不得對(duì)個(gè)人在交易價(jià)格等交易條件上實(shí)行不合理的差別待遇。其次，要求個(gè)人信息處理者通過(guò)自動(dòng)化決策方式進(jìn)行信息推送、商業(yè)營(yíng)銷時(shí)，應(yīng)當(dāng)同時(shí)提供不針對(duì)其個(gè)人特征的選項(xiàng)，或者向個(gè)人提供拒絕的方式。最后，賦予了個(gè)人要求處理者予以說(shuō)明的權(quán)利和拒絕權(quán)，即通過(guò)自動(dòng)化決策方式作出對(duì)個(gè)人權(quán)益有重大影響的決定，個(gè)人有權(quán)要求個(gè)人信息處理者予以說(shuō)明，并有權(quán)拒絕個(gè)人信息處理者僅通過(guò)自動(dòng)化決策的方式作出決定。

亮點(diǎn)六：對(duì)人臉識(shí)別的嚴(yán)格規(guī)制。現(xiàn)代網(wǎng)絡(luò)信息技術(shù)尤其是大數(shù)據(jù)和人工智能技術(shù)高速發(fā)展，通過(guò)在公共場(chǎng)所安裝圖像采集和個(gè)人身份識(shí)別設(shè)備，可以隨時(shí)對(duì)自然人的臉部特征、指紋信息等生物識(shí)別信息以及行蹤軌跡等其他個(gè)人信息進(jìn)行處理。其中，最典型也最常見的就是人臉識(shí)別技術(shù)的運(yùn)用。近年來(lái)，我國(guó)人臉識(shí)別被濫用的情形時(shí)有發(fā)生，由此導(dǎo)致社會(huì)公眾的高度關(guān)注。為回應(yīng)社會(huì)關(guān)切，個(gè)人信息保護(hù)法第26條明確規(guī)定，在公共場(chǎng)所安裝圖像采集、個(gè)人身份識(shí)別設(shè)備，應(yīng)當(dāng)為維護(hù)公共安全所必需，遵守國(guó)家有關(guān)規(guī)定，并設(shè)置顯著的提示標(biāo)識(shí)。所收集的個(gè)人圖像、身份識(shí)別信息只能用于維護(hù)公共安全的目的，不得用于其他目的；取得個(gè)人單獨(dú)同意的除外。這就是說(shuō)，只有在滿足為了維護(hù)公共安全、符合國(guó)家有關(guān)規(guī)定、設(shè)置了顯著提示標(biāo)識(shí)等三個(gè)條件的情形下，才可以在公共場(chǎng)所安裝圖像采集、個(gè)人身份識(shí)別設(shè)備，采集人臉信息、行蹤軌跡信息等個(gè)人信息。并且要嚴(yán)格限制取得的個(gè)人信息的用途，即只能用于維護(hù)公共安全。個(gè)人信息保護(hù)法第62條第2項(xiàng)還明確要求，國(guó)家網(wǎng)信部門統(tǒng)籌有關(guān)部門依據(jù)本法針對(duì)人臉識(shí)別、人工智能等新技術(shù)、新應(yīng)用，制定專門的個(gè)人信息保護(hù)規(guī)則、標(biāo)準(zhǔn)。

亮點(diǎn)七：全面且可訴訟救濟(jì)的個(gè)人信息處理活動(dòng)中的個(gè)人權(quán)利。為了更好地保護(hù)自然人的個(gè)人信息權(quán)益，個(gè)人信息保護(hù)法第四章對(duì)個(gè)人在個(gè)人信息處理活動(dòng)中的權(quán)利作出了詳細(xì)規(guī)定，包括明確了個(gè)人對(duì)個(gè)人信息處理享有知情權(quán)與決定權(quán)；有權(quán)查閱復(fù)制個(gè)人信息；符合條件時(shí)的個(gè)人信息可攜帶權(quán)；有權(quán)要求更正或補(bǔ)充不完整、不正確的個(gè)人信息；有權(quán)要求個(gè)人信息處理者刪除個(gè)人信息；有權(quán)要求個(gè)人信息處理者對(duì)個(gè)人信息處理規(guī)則進(jìn)行解釋說(shuō)明等。此外，為了保護(hù)死者近親屬自身合法、正當(dāng)?shù)睦?，同時(shí)也尊重死者的遺愿并保護(hù)死者本人及其交往者的隱私和通信秘密，個(gè)人信息保護(hù)法允許死者近親屬可以對(duì)死者的相關(guān)個(gè)人信息行使查閱、復(fù)制、更正、刪除等權(quán)利，但是，死者生前另有安排的除外。更重要的是，為了更好地保障上述個(gè)人權(quán)利的實(shí)現(xiàn)，個(gè)人信息保護(hù)法還專門賦予這些權(quán)利以訴訟救濟(jì)保障，即個(gè)人信息處理者拒絕個(gè)人行使權(quán)利的請(qǐng)求的，個(gè)人可以依法向人民法院提起訴訟。

亮點(diǎn)八：嚴(yán)格的個(gè)人信息處理者的義務(wù)。為了確保個(gè)人信息處理活動(dòng)的合法性與個(gè)人信息的安全，個(gè)人信息保護(hù)法對(duì)個(gè)人信息處理者的義務(wù)作出了嚴(yán)格且詳細(xì)的規(guī)定，包括個(gè)人信息處理者采取措施確保個(gè)人信息處理活動(dòng)合法并保護(hù)個(gè)人信息安全的義務(wù)；按照規(guī)定指定個(gè)人信息保護(hù)負(fù)責(zé)人的義務(wù)；定期進(jìn)行合規(guī)審計(jì)的義務(wù)；對(duì)于各種高風(fēng)險(xiǎn)的個(gè)人信息處理活動(dòng)進(jìn)行個(gè)人信息保護(hù)影響評(píng)估并對(duì)處理情況進(jìn)行記錄的義務(wù)；在發(fā)生或可能發(fā)生個(gè)人信息泄露等安全事件時(shí)立即采取補(bǔ)救措施并通知監(jiān)管機(jī)構(gòu)和個(gè)人的義務(wù)。其中特別值得注意的是，個(gè)人信息保護(hù)法第58條規(guī)定了提供重要互聯(lián)網(wǎng)平臺(tái)服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的個(gè)人信息處理者負(fù)有的特殊義務(wù)。這些大型的網(wǎng)絡(luò)企業(yè)不僅要確保自身個(gè)人信息處理活動(dòng)符合法律規(guī)定、合乎科技倫理，承擔(dān)應(yīng)有的社會(huì)責(zé)任并接受社會(huì)監(jiān)督，還必須通過(guò)制定公平公正的平臺(tái)規(guī)則以及制止違法行為等措施，使平臺(tái)內(nèi)產(chǎn)品或者服務(wù)提供者也必須合法地處理個(gè)人信息并保護(hù)個(gè)人信息的安全。

亮點(diǎn)九：對(duì)違法的個(gè)人信息處理活動(dòng)的嚴(yán)厲處罰。為了更好地懲治和預(yù)防違法處理行為，個(gè)人信息保護(hù)法規(guī)定了嚴(yán)格的法律責(zé)任，例如，對(duì)于違法的個(gè)人信息處理行為中情節(jié)嚴(yán)重的，除沒(méi)收違法所得，還可以并處五千萬(wàn)元以下或者上一年度營(yíng)業(yè)額百分之五以下罰款，并責(zé)令暫停相關(guān)業(yè)務(wù)或者停業(yè)整頓、通報(bào)有關(guān)主管部門吊銷相關(guān)業(yè)務(wù)許可或者吊銷營(yíng)業(yè)執(zhí)照；同時(shí)，對(duì)于直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員不僅要給予罰款，還可以決定禁止其在一定期限內(nèi)擔(dān)任相關(guān)企業(yè)的董事、監(jiān)事、高級(jí)管理人員和個(gè)人信息保護(hù)負(fù)責(zé)人。有個(gè)人信息保護(hù)法規(guī)定的違法行為的，還將按照法律、行政法規(guī)的規(guī)定記入信用檔案，予以公示。

亮點(diǎn)十：侵害個(gè)人信息權(quán)益的過(guò)錯(cuò)推定責(zé)任。個(gè)人信息保護(hù)法第69條明確了侵害個(gè)人信息權(quán)益實(shí)行過(guò)錯(cuò)推定責(zé)任，規(guī)定個(gè)人信息處理者如果不能證明自己沒(méi)有過(guò)錯(cuò)的，就必須要為其處理個(gè)人信息侵害個(gè)人信息權(quán)益造成的損害承擔(dān)損害賠償?shù)惹謾?quán)責(zé)任。該規(guī)定對(duì)于減輕受害人的舉證負(fù)擔(dān)，保護(hù)其個(gè)人信息權(quán)益非常有利。不僅如此，考慮到侵害個(gè)人信息權(quán)益對(duì)受害人造成的損害主要是精神損害，但是精神損害往往難以證明，個(gè)人信息保護(hù)法第69條特別規(guī)定：因侵害個(gè)人信息權(quán)益，無(wú)論給受害人造成的是財(cái)產(chǎn)損失還是精神損害，都可以按照個(gè)人因此受到的損失或者個(gè)人信息處理者因此獲得的利益確定；個(gè)人因此受到的損失和個(gè)人信息處理者因此獲得的利益難以確定的，根據(jù)實(shí)際情況確定賠償數(shù)額。

（作者：程嘯?為清華大學(xué)法學(xué)院副院長(zhǎng)、教授、博士生導(dǎo)師）