隨著互聯(lián)網(wǎng)信息技術(shù)的不斷深入發(fā)展，人工智能等新興技術(shù)日漸融入人們生活的各個角落,，個人信息被大面積采集與處理已成為普遍現(xiàn)象,。與此同時，“大數(shù)據(jù)殺熟”,、個人隱私信息泄露等問題也隨之凸顯出來,，由此而引發(fā)的網(wǎng)絡(luò)詐騙等事件更是層出不窮，個人信息安全遭遇了極大的威脅,。信息化時代,，如何保護(hù)個人的信息安全，成為時下亟需思考的命題,。

2021年8月20日,，十三屆全國人大常委會第三十次會議表決通過了《中華人民共和國個人信息保護(hù)法》（以下簡稱《個人信息保護(hù)法》），并將于2021年11月1日起實施,?！秱€人信息保護(hù)法》的通過，于個人信息保護(hù)而言,，意義重大,。《個人信息保護(hù)法》共8章74條,，以嚴(yán)密的制度,、嚴(yán)格的標(biāo)準(zhǔn)、嚴(yán)厲的責(zé)任,，構(gòu)建了權(quán)責(zé)明確,、保護(hù)有效、利用規(guī)范的個人信息處理和保護(hù)制度規(guī)則,。

《個人信息保護(hù)法》的設(shè)立

近年來,，隨著互聯(lián)網(wǎng)經(jīng)濟(jì)的蓬勃發(fā)展，我國在個人信息保護(hù)方面投入的力度在不斷加大。

我國對于個人信息安全法的關(guān)注始于2003年,，當(dāng)時的國務(wù)院信息化辦公室正式部署了立法研究工作,；2005年，《個人信息保護(hù)法（專家建議稿）》相繼宣布完成,。

同期,，我國在網(wǎng)絡(luò)數(shù)據(jù)立法方面的進(jìn)程也在不斷加快。2012年,，《全國人大關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》出臺,；2016年，《網(wǎng)絡(luò)安全法》出臺,；2018年,，《電子商務(wù)法》出臺。此外,，除這些專門的網(wǎng)絡(luò)法外,，傳統(tǒng)法律的制定,、修訂工作也給予了網(wǎng)絡(luò)空間極大的關(guān)注,，如《消費者權(quán)益保護(hù)法（修訂）》（2013年）、《刑法修正案》（九）（2015年）,、《民法總則》（2017年）,、《民法典》之人格權(quán)編（2020年）都補(bǔ)充了個人信息保護(hù)相關(guān)條款。這些相關(guān)法律條文的設(shè)立,，在一定程度上回應(yīng)了公眾關(guān)切的問題,，對于信息化時代下網(wǎng)絡(luò)安全、個人信息保護(hù)提供了些許依據(jù),。

但就實際而言,，由于長期以來，我國始終未建立起系統(tǒng)的個人信息保護(hù)法律體系,，在個人信息保護(hù)相關(guān)工作的落實中,，仍是較為艱難的。不乏一些企業(yè),、機(jī)構(gòu)甚至個人,，為了獲取商業(yè)利益，鉆法律漏洞,，隨意收集,、過度使用、非法買賣個人信息,，對人們的生活,、健康乃至財產(chǎn)安全都造成了極大的損害。加快立法工作的推進(jìn)迫在眉睫。

2018年9月,，《個人信息保護(hù)法》正式納入人大立法規(guī)劃,，并在歷經(jīng)三年起草制定后，于2021年8月20日正式出臺,。

《個人信息保護(hù)法》的出臺,，于我國數(shù)字時代法律體系的建立健全來說，意義重大,。自此,，我國終于完善了在個人信息保護(hù)方面的缺口，形成了以《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護(hù)法》三法為核心的網(wǎng)絡(luò)法律體系,，為數(shù)字時代的網(wǎng)絡(luò)安全,、數(shù)據(jù)安全、個人信息權(quán)益保護(hù)提供了基礎(chǔ)制度保障,。

個人信息保護(hù)有法可依：從收集,、處理到維護(hù)

與先前出臺的《網(wǎng)絡(luò)安全法》和《數(shù)據(jù)安全法》有所區(qū)別，《個人信息保護(hù)法》側(cè)重保護(hù)個人信息,，監(jiān)管對象是個人信息的處理者和受托人,。《個人信息保護(hù)法》共8章74條,，主要就個人信息處理的規(guī)則,、個人信息跨境提供的規(guī)則、個人的權(quán)利及信息處理者的義務(wù),、履行個人信息保護(hù)職責(zé)的部門,、法律責(zé)任等進(jìn)行了規(guī)定。

個人信息的收集：約束與規(guī)范

約束過度收集個人信息,。對于以往信息過度收集的亂象,，《個人信息保護(hù)法》明確規(guī)定，收集個人信息,，應(yīng)當(dāng)限于實現(xiàn)處理目的的最小范圍,，不得過度收集個人信息。此外,，任何組織,、個人不得非法收集、使用,、加工,、傳輸他人個人信息，不得非法買賣,、提供或者公開他人信息,。

規(guī)范公共場合圖像采集,。智能時代下，我國已進(jìn)入“監(jiān)視時代”,，公共場所中隨處可見的攝像頭在積極推動國家法制監(jiān)督發(fā)展的同時,，也對民眾隱私等基本權(quán)益的保護(hù)提出挑戰(zhàn)。在最新出臺的《個人信息保護(hù)法》中,，對于公共場合圖像的采集作出了明確規(guī)定,，在公共場所安裝圖像采集、個人身份識別設(shè)備,，應(yīng)當(dāng)為維護(hù)公共安全所必需,，遵守國家有關(guān)規(guī)定，并設(shè)置顯著的提示標(biāo)識,。此外,，《個人信息保護(hù)法》還規(guī)定：所收集的個人圖像、身份識別信息只能用于維護(hù)公共安全的目的,，不得用于其他目的,；取得個人單獨同意的除外。

個人信息的處理：穩(wěn)妥處理與嚴(yán)格禁止

構(gòu)建以“告知—同意”為核心的個人信息處理規(guī)則,。個人信息保護(hù)的原則是收集,、使用個人信息的基本遵循，是構(gòu)建個人信息保護(hù)具體規(guī)則的制度基礎(chǔ),?！秱€人信息保護(hù)法》緊緊圍繞規(guī)范個人信息處理活動,、保障個人信息權(quán)益,，構(gòu)建了以“告知—同意”為核心的個人信息處理規(guī)則。

全國人大常委會法工委經(jīng)濟(jì)法室副主任楊合慶表示,，“‘告知—同意’是法律確立的個人信息保護(hù)核心規(guī)則,，是保障個人對其個人信息處理知情權(quán)和決定權(quán)的重要手段?！?/span>

《個人信息保護(hù)法》要求,，處理個人信息應(yīng)當(dāng)在事先充分告知的前提下取得個人同意，個人信息處理的重要事項發(fā)生變更的應(yīng)當(dāng)重新向個人告知并取得同意,。同時,，針對現(xiàn)實生活中社會反映強(qiáng)烈的一攬子授權(quán)、強(qiáng)制同意等問題,，《個人信息保護(hù)法》特別要求,，個人信息處理者在處理敏感個人信息、向他人提供或公開個人信息,、跨境轉(zhuǎn)移個人信息等環(huán)節(jié)應(yīng)取得個人的單獨同意,，明確個人信息處理者不得過度收集個人信息,，不得以個人不同意為由拒絕提供產(chǎn)品或者服務(wù)，并賦予個人撤回同意的權(quán)利,，在個人撤回同意后,，個人信息處理者應(yīng)當(dāng)停止處理或及時刪除其個人信息。

穩(wěn)妥處理敏感個人信息,。對于何為敏感個人信息,，《個人信息保護(hù)法》中給予了明確：一旦泄露或者非法使用，可能導(dǎo)致個人受到歧視或者人身,、財產(chǎn)安全受到嚴(yán)重危害的個人信息均屬于敏感個人信息,，包括：種族、民族,、宗教信仰,、個人生物特征、醫(yī)療健康,、金融賬戶,、個人行蹤等。

對于敏感個人信息的處理,，《個人信息保護(hù)法》要求,，個人信息處理者具有特定的目的和充分的必要性，方可處理敏感個人信息,。此外,，明確提出，基于個人同意處理敏感個人信息的,，個人信息處理者必須取得個人的單獨同意,。如果法律、行政法規(guī)規(guī)定處理敏感個人信息必須取得書面同意的,，個人信息處理者應(yīng)當(dāng)取得信息被處理人的書面同意,，同時，還必須向個人告知處理敏感個人信息的必要性以及對個人的影響,。

禁止“大數(shù)據(jù)殺熟”,。“大數(shù)據(jù)殺熟”,、算法歧視在當(dāng)前的數(shù)字時代下,，已日漸成為見怪不怪的事。當(dāng)前,，一些企業(yè)通過掌握消費者的經(jīng)濟(jì)狀況,、消費習(xí)慣、對價格的敏感程度等信息,，對消費者在交易價格等方面實行歧視性的差別待遇,，誤導(dǎo),、欺詐消費者，其中最典型的就是：在同一個APP上訂酒店或是點外賣,，不同用戶顯示不同價格,。

《個人信息保護(hù)法》首次對這些情況做出了規(guī)范，明確規(guī)定,，個人信息處理者利用個人信息進(jìn)行自動化決策,，應(yīng)當(dāng)保證決策的透明度和結(jié)果公平、公正,，不得對個人在交易價格等交易條件上實行不合理的差別待遇,。

不得強(qiáng)制推送個性化廣告。搜索過一個商品,，接著就會收到很多類似廣告的推送……近年來,，一些平臺利用大數(shù)據(jù)進(jìn)行用戶畫像推送個性化廣告，對人們的生活造成了極大的困擾,?！秱€人信息保護(hù)法》中對此明確規(guī)定，個人信息處理者應(yīng)當(dāng)保障消費者的知情權(quán)和選擇權(quán),，通過自動化決策方式進(jìn)行商業(yè)營銷,、信息推送，必須同時提供不針對其個人特征的選項,，或者向個人提供拒絕的方式,。

嚴(yán)格個人信息跨境提供原則。隨著國際間的交流合作日漸緊密,，個人信息數(shù)據(jù)的跨境流動在全球蓬勃發(fā)展的數(shù)字經(jīng)濟(jì)中發(fā)揮著越來越重要的作用,。互聯(lián)網(wǎng)技術(shù)的發(fā)展縮短了人與人之間的時空距離,，同時也帶來了一定的安全風(fēng)險,。“數(shù)據(jù)出境不僅涉及個保法,，最主要是涉及數(shù)據(jù)安全,。專業(yè)機(jī)構(gòu)提供的第三方認(rèn)證主要看是否做到匿名化處理。匿名化后,，這些信息就不再是個人信息,，也不再受個保法約束，評估的核心就變成了數(shù)據(jù)安全問題,?！北本┐髮W(xué)法學(xué)院教授、法治發(fā)展研究院執(zhí)行院長王錫鋅說道,。

為此,，《個人信息保護(hù)法》為個人信息跨境流動設(shè)立專門章節(jié),，確立個人信息處理者向境外提供個人信息所具備的條件和要求，明確關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者和處理個人信息達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者應(yīng)當(dāng)將在我國境內(nèi)收集和產(chǎn)生的個人信息存儲在境內(nèi),。確需向境外提供的,，應(yīng)當(dāng)通過國家網(wǎng)信部門組織的安全評估，從而保障個人信息安全,、自由流動,，以適應(yīng)國際經(jīng)貿(mào)往來的現(xiàn)實需要。

個人信息的維護(hù)：個人權(quán)利與可訴性

規(guī)定個人權(quán)利,。“《個人信息保護(hù)法》就是一部保護(hù)個人信息權(quán)益的法,。”在清華大學(xué)法學(xué)院教授程嘯看來,，這正是這部法律的根本目的,。以此為基礎(chǔ)，《個人信息保護(hù)法》對個人在個人信息處理活動中的權(quán)利作出全面的規(guī)定,。

《個人信息保護(hù)法》將個人在個人信息處理活動中的各項權(quán)利,，包括知悉個人信息處理規(guī)則和處理事項、同意和撤回同意,，以及個人信息的查詢,、復(fù)制、更正,、刪除等總結(jié)提升為知情權(quán),、決定權(quán)，明確個人有權(quán)限制個人信息的處理,。

可依法提起訴訟,。為了更好地保障上述個人權(quán)利的實現(xiàn)，《個人信息保護(hù)法》還專門賦予這些權(quán)利可訴性,。“所謂可訴性,，即在個人信息處理者拒絕個人行使權(quán)利的請求時，個人可以依法向人民法院提起訴訟,，由法院判決強(qiáng)制個人信息處理者履行相應(yīng)的義務(wù),，保障個人權(quán)利的實現(xiàn)?！背虈[解釋說,。

此外，根據(jù)個人信息處理的不同情況,，《個人信息保護(hù)法》對違法處理個人信息的行為設(shè)置了不同梯次的行政處罰,。對未造成嚴(yán)重后果的輕微或一般違法行為，可由執(zhí)法部門責(zé)令改正,、給予警告,、沒收違法所得,，對拒不改正的最高可處一百萬元罰款；對情節(jié)嚴(yán)重的違法行為,，最高可處五千萬元或上一年度營業(yè)額百分之五的罰款,，并可以對相關(guān)責(zé)任人員作出相關(guān)從業(yè)禁止的處罰。同時,，《個人信息保護(hù)法》還專門規(guī)定,，對違法處理個人信息的應(yīng)用程序，可以責(zé)令暫?；蚪K止提供服務(wù),。

在民事責(zé)任方面，《個人信息保護(hù)法》明確,，侵害個人信息權(quán)益造成損害的,，個人信息處理者如不能證明自己沒有過錯的，應(yīng)當(dāng)承擔(dān)損害賠償?shù)惹謾?quán)責(zé)任,。同時,，《個人信息保護(hù)法》還對侵害眾多個人權(quán)益的民事公益訴訟作了規(guī)定。

填補(bǔ)法律空缺,，筑牢個人信息保護(hù)網(wǎng)

隨著《個人信息保護(hù)法》的出臺,，針對個人信息保護(hù)的網(wǎng)將越織越密。作為網(wǎng)絡(luò)空間治理和數(shù)據(jù)保護(hù)的“三駕馬車”之一,，《個人信息保護(hù)法》的制定填補(bǔ)了數(shù)字社會的重要法律空缺,，明確了個人信息保護(hù)的相關(guān)規(guī)則和各相關(guān)方的權(quán)利義務(wù)，全方位構(gòu)筑了個人信息保護(hù)網(wǎng),。自此,，對于個人信息的保護(hù)開啟了新的篇章。

“可以說,，個人信息保護(hù)法已搭建起保護(hù)個人信息的科學(xué),、系統(tǒng)、全面的頂層設(shè)計,。下一步,，隨著監(jiān)管執(zhí)法舉措的不懈推進(jìn)、司法裁判規(guī)則的不斷豐富,、多方參與共治的持續(xù)培育以及國際交流合作的深入開展,，置身代碼世界的廣大人民群眾將長久擁抱個人信息合法權(quán)益受保護(hù)、個人信息處理活動受規(guī)范,、個人信息合理利用受促進(jìn)的數(shù)字治理新生態(tài)?！北本煼洞髮W(xué)網(wǎng)絡(luò)法治國際中心執(zhí)行主任,、中國互聯(lián)網(wǎng)協(xié)會研究中心副主任吳沈括說,。