明確不得過度收集個人信息、大數(shù)據(jù)殺熟，對人臉信息等敏感個人信息的處理作出規(guī)制，完善個人信息保護投訴、舉報工作機制……8月20日，十三屆全國人大常委會第三十次會議表決通過的《中華人民共和國個人信息保護法》充分回應社會關(guān)切，將于2021年11月1日起施行。

專家表示，當前個人信息保護已成為廣大人民群眾最關(guān)心最直接最現(xiàn)實的利益問題之一，個人信息保護法進一步完善我國在數(shù)據(jù)領(lǐng)域的立法體系，全方位構(gòu)筑個人信息保護網(wǎng)，標志著我國個人信息保護邁出具有里程碑意義的一步。

全方位構(gòu)筑個人信息保護網(wǎng)

個人信息保護法共8章74條，在有關(guān)法律的基礎(chǔ)上，進一步細化、完善個人信息保護應遵循的原則和個人信息處理規(guī)則，明確個人信息處理活動中的權(quán)利義務邊界，健全個人信息保護工作體制機制。

“個人信息保護法從全局高度對各主體利益進行統(tǒng)籌安排和科學分配，在規(guī)則安排上既保護了個人信息權(quán)益，又拓展了個人信息處理者利用個人信息的合理空間，也回應了國家機關(guān)為履行法定職責或者法定義務處理個人信息的訴求，從而最大化實現(xiàn)社會利益。”中國信息通信研究院互聯(lián)網(wǎng)法律研究中心高級研究員楊婕表示。

針對App過度收集個人信息、公共場所安裝攝像頭和人臉識別設(shè)備等個人信息保護中的熱點難點問題，個人信息保護法也給出回應，包括處理個人信息應當具有明確、合理的目的，并應當與處理目的直接相關(guān)，采取對個人權(quán)益影響最小的方式;在公共場所安裝圖像采集、個人身份識別設(shè)備，應設(shè)置顯著的提示標識;所收集的個人圖像、身份識別信息只能用于維護公共安全的目的。

中國電子信息產(chǎn)業(yè)發(fā)展研究院網(wǎng)絡(luò)安全所所長劉權(quán)表示，針對線上應用和線下設(shè)備過度收集用戶信息，造成的個人信息采集邊界模糊問題，個人信息保護法提出以“知情同意”為重要核心、以“最少必要信息”為基本原則的個人信息采集要求，旨在從數(shù)據(jù)全生命周期源頭為個人信息打造“安全保護鎖”。

中國信息通信研究院云計算與大數(shù)據(jù)所工程師呼娜英也指出，個人信息保護法明確要求個人信息處理者在處理敏感個人信息前需存在“特定的目的”及“充分的必要性”。這是處理個人信息需遵循“合法、正當、必要”的具體體現(xiàn)，也對處理敏感個人信息提出更高要求。這樣一來，零售商要求刷臉進出或支付、小區(qū)要求刷臉進出、樓宇閘機要求刷臉登記等場景僅以人臉識別作為唯一方式，則可能因缺乏目的正當性和必要性而遭受挑戰(zhàn)。

針對越來越多的企業(yè)利用大數(shù)據(jù)分析、評估消費者個人特征用于商業(yè)營銷的“大數(shù)據(jù)殺熟”問題，個人信息保護法給予明確禁止，規(guī)定個人信息處理者利用個人信息進行自動化決策，不得對個人在交易價格等交易條件上實行不合理的差別待遇。劉權(quán)認為，在社會各界的普遍監(jiān)督下，濫用技術(shù)手段實施“大數(shù)據(jù)殺熟”行為的主體將會受到高額罰款、終止服務等嚴厲的監(jiān)管處罰，消費者權(quán)益有望得到充分保障。

加強對頭部企業(yè)監(jiān)督規(guī)范

當前，不少互聯(lián)網(wǎng)巨頭企業(yè)掌握大量個人信息，對互聯(lián)網(wǎng)生態(tài)環(huán)境有巨大的影響和控制力。業(yè)內(nèi)人士認為，互聯(lián)網(wǎng)巨頭等大型個人信息處理者應受到更加嚴格的規(guī)范，在個人信息保護方面應當承擔更多的法律義務。

個人信息保護法對大型和小型個人信息處理者進行區(qū)分。對于提供重要互聯(lián)網(wǎng)平臺服務、用戶數(shù)量巨大、業(yè)務類型復雜的個人信息處理者，特別規(guī)定了其需要履行的義務，如建立健全個人信息保護合規(guī)制度體系，定期發(fā)布個人信息保護社會責任報告，接受社會監(jiān)督等。而信息量較少、處理活動簡單、技術(shù)水平較低的小型企業(yè)則由國家網(wǎng)信部門為其制定數(shù)據(jù)處理的相關(guān)規(guī)則。

“互聯(lián)網(wǎng)巨頭等大型個人信息處理者需履行‘守門人’角色，并承擔更多責任。”劉權(quán)表示，這一舉措充分體現(xiàn)我國法律制定對于“因材施教”的考量：針對大型企業(yè)，充分發(fā)揮其主體責任，重點加強對其個人信息處理活動的監(jiān)管;對于小型企業(yè)，需考慮其強化個人信息保護和負擔合規(guī)成本之間的平衡，避免較高的合規(guī)成本成為其創(chuàng)新發(fā)展的阻礙。

對外經(jīng)貿(mào)大學數(shù)字經(jīng)濟與法律創(chuàng)新研究中心執(zhí)行主任許可認為，下一步相關(guān)部門需要進一步劃分大型和小型個人信息處理者標準，在降低要求、豁免部分責任等方面對小型個人信息處理者作出專門規(guī)則設(shè)計，這為制定個人信息保護法相關(guān)配套性立法留足了空間。

個人信息保護法設(shè)立個人信息可攜權(quán)，對大型平臺的“數(shù)據(jù)壟斷”現(xiàn)象亮劍。許可表示，個人信息可攜權(quán)代表著用戶有權(quán)依照自己意愿將其個人數(shù)據(jù)從一個平臺轉(zhuǎn)移到另一個平臺。從個人權(quán)益的角度出發(fā)，在某些場景下個人信息可攜帶是必需的，例如醫(yī)療健康、教育等行業(yè)，數(shù)據(jù)和信息的合理、有序流動為普通民眾帶來了便捷。

楊婕也指出，當前，具有先發(fā)市場地位的大型平臺通過在市場早期積累的大量用戶個人信息，逐步形成了不可撼動的行業(yè)地位?？蓴y權(quán)的設(shè)立，強化了用戶自主權(quán)，能夠有效破除個人信息流通障礙，以用戶權(quán)益為出發(fā)點，形成“用戶主導型”個人信息跨平臺流通，起到防止個人信息鎖定、降低市場準入門檻以及增強平臺之間競爭的效果。

保障數(shù)字經(jīng)濟長遠發(fā)展利益

在業(yè)內(nèi)專家看來，個人信息保護法的出臺將促進信息數(shù)據(jù)依法合理有效利用，為數(shù)字經(jīng)濟健康發(fā)展提供法律保障。

“過去幾十年，國際上諸多國家紛紛探索個人信息保護制度，并相繼完成個人信息保護相關(guān)立法，我國雖早已發(fā)布關(guān)于個人信息安全保護的多項規(guī)范性文件及國家標準，并組織開展違法違規(guī)行為的專項打擊活動，但由于缺乏具有強威懾力的頂層法律制度，個人信息安全亂象屢禁不止，由此對我國數(shù)字技術(shù)和產(chǎn)業(yè)發(fā)展造成的風險也逐漸加劇。”劉權(quán)說。

中國法學會法治研究所研究員劉金瑞表示，個人信息保護法的頒行實施和有關(guān)配套規(guī)定的制定落地，必將有力推動我國形成完備的個人信息保護制度體系，進而在保障個人信息權(quán)益的基礎(chǔ)上，促進信息數(shù)據(jù)依法合理有效利用，推動我國數(shù)字經(jīng)濟持續(xù)健康發(fā)展。

劉權(quán)也表示，個人信息保護法為我國數(shù)字技術(shù)在法律規(guī)定的框架內(nèi)快速發(fā)展創(chuàng)造了條件，為數(shù)字產(chǎn)業(yè)平穩(wěn)發(fā)展提供了良好的社會環(huán)境。同時，其確立的個人信息處理原則、個人信息處理者責任義務、設(shè)立個人信息跨境標準合同機制等方面均與國際立法具有較強兼容性，為全球數(shù)據(jù)治理貢獻了中國解決方案。

(記者 郭倩)

關(guān)鍵詞： 全方位構(gòu)筑 個人信息 保護網(wǎng) 頭部企業(yè) 監(jiān)督規(guī)范