个人信息保护法：全方位构筑个人信息“保护网”

　　2021年11月1日，《中华人民共和国个人信息保护法》（以下简称“个人信息保护法”）正式实施。

　　这是我国第一部个人信息保护方面的专门法律，与民法典、网络安全法、数据安全法、电子商务法、消费者权益保护法等法律共同编织成一张个人信息的“保护网”。

　　历经三审

　　随着信息化与经济社会持续深度融合，网络已成为生产生活的新空间、经济发展的新引擎、交流合作的新纽带。截至2020年12月，我国互联网用户已达9。89亿，互联网网站超过443万个、应用程序数量超过345万个，个人信息的收集、使用更为广泛。

　　在现实生活中，一些企业、机构甚至个人，从商业利益等出发，随意收集、违法获取、过度使用、非法买卖个人信息，利用个人信息侵扰人民群众生活安宁、危害人民群众生命健康和财产安全等问题十分突出。

　　尽管在个人信息保护法出台前我国已有多部法律涉及个人信息的保护，但在不少法学专家看来，这些规定比较零散，难以形成严密的保护个人信息的法律网，需要一部法律位阶比较高、专门保护个人信息的法律。

　　2020年10月13日，个人信息保护法（草案）提请十三届全国人大常委会初次审议。

　　草案明确了适用范围，健全了个人信息处理规则，完善了个人信息跨境提供规则，并明确个人信息处理活动中个人的权利和处理者义务等，共八章70条。

　　2021年4月29日，中国人大网公布个人信息保护法（草案）二审稿，二审稿进行了多处修订，包括明确敏感个人信息的性质和范围、强化超大型互联网平台的个人信息保护义务等。

　　三个半月后，在十三届全国人大常委会第三十次会议上，个人信息保护法（草案）三审稿提请会议审议。草案对应用程序过度收集个人信息、“大数据杀熟”以及非法买卖、泄露个人信息等作出有针对性规范。

　　此外，三审稿完善了个人信息跨境提供的规则，对按照我国缔结或者参加的国际条约、协定向境外提供个人信息、对转移到境外的个人信息的保护不应低于我国的保护标准等作出规定。

　　2021年8月20日，十三届全国人大常委会第三十次会议表决通过了个人信息保护法，这部保障个人信息安全的基础性、综合性法律诞生。

　　个人信息保护法坚持和贯彻以人民为中心的法治理念，在确立个人信息保护原则、禁止“大数据杀熟”、严格保护敏感个人信息、赋予大型网络平台特别义务、规范个人信息跨境流通、健全个人信息保护工作机制等方面，明确了个人信息保护的相关规则和各相关方的权利义务，全方位构筑了个人信息保护网。

　　引发行业巨震

　　个人信息保护法实施后，引起不少行业巨震。

　　2021年12月，上海市市场监督管理局官网公示的一则行政处罚决定书显示，上海小鹏汽车销售服务有限公司于2021年1月至6月，共违规采集上传人脸照片43万余张， 被徐汇区市场监督管理局罚款10万元。

　　根据被罚信息，小鹏汽车购买具有人脸识别功能的摄像设备22台安装在旗下门店，以此统计进店人数并分析男女比例、年龄等。小鹏汽车事后对此事件致歉，表示其上海门店已撤下所有的采集设备，数据全部删除。

　　“个人信息保护法明确规定，收集消费者个人信息，应保证消费者知情，征得消费者本人同意。个人信息保护法赋予了公民个人更多的权利。”对外经济贸易大学数字经济与法律创新研究中心主任许可说。

　　而在国际视野下，中国的个人信息保护法提出的“单独同意”，堪称同意规则中最为严格的规定。在个人信息保护法中，“单独同意”总共出现了6次。

　　“一定意义上说，‘单独同意’是中国独创的制度，是对于中国的个人信息保护治理实践的一种回应和总结，有着特殊的实践意义。”北京师范大学网络法治国际中心执行主任、北京师范大学法学院副教授吴沈括此前在接受法治周末记者采访时说。

　　新法实施对数据营销领域影响深远。目前，数据营销基础之上的广告收入，正是许多大型互联网企业的主要营收来源。法治周末曾对此进行报道。（见《法治周末》12月2日第9版，《“单独同意”来了，数据营销“死”了？》）

　　对于野蛮生长多年的数据营销而言，“单独同意”好比“一剂猛药”。过去，数据营销中使用的个人信息或数据不少都通过灰色渠道获取，对于数据的处理过程也堪称悄无声息。但个人信息保护法实施后，获取个人信息数据必须取得单独同意，这让不少企业都“慌了”。

　　“如果询问用户，是否同意被平台追踪进而使用其个人数据，我估计百分之百的人都不会同意。”上海交通大学数据法律研究中心执行主任、上海交通大学法学院副教授何渊坦言。而在数据经济领域，最成功的应用就是广告。一旦用户选择关闭广告推送，意味着平台广告收入锐减。

　　对此，他提出，将部分广告收益与用户共享或许是一种解决方案。“一方面，个人信息能得到更好地保护，另一方面，用户也能享受数字经济的红利。”何渊说，“巨头公司在数据世界中已经得到了很多。用户和企业不一定形成对立，还可以进行合作，比如，以数字税、数字费的形式。在企业和用户之间，不能是零和博弈。”

　　数据合规的法律构架初步搭建完成

　　法律制度是数据要素市场化建设的重要保障。

　　个人信息保护法的出台实施，与之前颁布实施的数据安全法、网络安全法共同形成了数据合规领域的“三驾马车”，标志着数据合规的法律构架已初步搭建完成。

　　数据安全法围绕保障数据安全和促进数据开发利用两大核心，从数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放的角度进行了详细的规制。

　　个人信息保护法规定了个人信息“处理”这一法律概念，将其作为个人信息收集、存储、使用、加工、传输、提供、公开、删除等活动的统称。实施个人信息保护法的关键，就在于按照其规定的个人信息处理基本原则，规范个人信息处理活动。

　　“个人信息保护法的颁行极大地加强了我国个人信息保护的法制保障，在个人信息保护方面形成了更加完备的制度、提供了更有力的法律保障；个人信息保护法以严密的制度、严格的标准、严厉的责任规范个人信息处理活动，规定了完备的个人在个人信息处理活动中的权利，全方位落实各类组织、个人等个人信息处理者的义务与责任，有力地维护了网络空间良好生态，满足人民日益增长的美好生活需要；个人信息保护法科学的协调个人信息权益保护与个人信息合理利用的关系，建立了权责明确、保护有效、利用规范的个人信息处理规则，从而在保障个人信息权益的基础上，促进了包括个人信息在内的数据信息的自由安全的流动与合理有效的利用，推动了数字经济的健康发展。”清华大学法学院副院长程啸说。

　　而在数据合规的法律构架基础上，重点行业、新兴技术的法律和司法解释在2021年密集出台，地方性立法成果丰硕，为国家安全提供了有力的支撑，为产业、技术的发展提供了清晰的合规指引，也为人们提供了更全面的权益保障。