周輝

隨著數(shù)字技術(shù)加速創(chuàng)新和數(shù)字經(jīng)濟蓬勃發(fā)展，個人信息處理的復雜性、普遍性日益增強，個人信息合理利用的經(jīng)濟社會價值和濫采濫用的侵權(quán)安全風險也同步凸顯，傳統(tǒng)社會法律規(guī)則亟待系統(tǒng)性更新。

2021年11月1日起，《中華人民共和國個人信息保護法》（下稱《個人信息保護法》）正式施行。這標志著個人的信息權(quán)益有了更系統(tǒng)的法治保障，個人信息處理活動有了更明確的法律指引，中國數(shù)字經(jīng)濟發(fā)展和治理自此邁入嶄新階段。

一

如何理解《個人信息保護法》出臺

信息并非新的概念，個人信息保護也并非新的命題，與個人信息保護相關(guān)的法律規(guī)則此前更非空白，為什么當下還要出臺一部《個人信息保護法》？

進入數(shù)字時代后，形勢發(fā)生革命性變化。正如中共中央總書記習近平指出：“數(shù)字技術(shù)正以新理念、新業(yè)態(tài)、新模式全面融入人類經(jīng)濟、政治、文化、社會、生態(tài)文明建設各領(lǐng)域和全過程，給人類生產(chǎn)生活帶來廣泛而深刻的影響?！彪S著數(shù)字技術(shù)加速創(chuàng)新和數(shù)字經(jīng)濟蓬勃發(fā)展，個人信息處理的復雜性、普遍性日益增強，個人信息合理利用的經(jīng)濟社會價值和濫采濫用的侵權(quán)安全風險也同步凸顯，傳統(tǒng)社會法律規(guī)則亟待系統(tǒng)性更新。

在數(shù)字時代，保障好個人信息權(quán)益，需要降低維權(quán)成本、提高侵權(quán)違法成本，需要賦予相對弱勢的個人更豐富的權(quán)利內(nèi)容和更有力的救濟機制，也需要監(jiān)管部門發(fā)揮好行政執(zhí)法主動性、專業(yè)性的優(yōu)勢。傳統(tǒng)的民事規(guī)則主要調(diào)整的是平等民事主體間法律關(guān)系，無法有效、及時調(diào)整信息大規(guī)模、多樣化、廣互聯(lián)利用過程中多主體間復雜的社會關(guān)系。

所以，需要補充特殊的民事責任規(guī)則、訴訟維權(quán)程序，也需要明確行政執(zhí)法權(quán)限和強化行政處罰力度，對個人信息監(jiān)管部門職責范圍以及如何監(jiān)管執(zhí)法作出規(guī)定。更重要的是，各級國家機關(guān)和法律、法規(guī)授權(quán)的具有管理公共事務職能的組織，在履行法定公共職責的過程中，也存在諸多處理個人信息的情形。對于這些公共主體的個人信息處理活動，也需要一并予以規(guī)范。

同時，對個人信息權(quán)益的保障，不應影響對個人信息的合理利用。個人信息雖然稱之為個人的，但在信息的公共價值日益凸顯的背景下，所有與個人相關(guān)的信息，不宜都專屬于個人排他性支配。個人信息的保護不能絕對化，成為個人信息促進經(jīng)濟社會發(fā)展、提高數(shù)字經(jīng)濟國家競爭力的障礙。也正因如此，《民法典》沒有像對隱私的保護那樣，把個人信息整體明確為一項民事權(quán)利，僅申明自然人的個人信息受法律保護，保留了執(zhí)法和司法裁量的余地，也留出了個人信息主體外的其他主體依法合理利用個人信息的空間。進一步地，就需要建立如何合理利用個人信息的法律規(guī)則，對個人信息的權(quán)益包括哪些內(nèi)容、如何實現(xiàn)，個人信息處理者的義務包括哪些以及如何履行做出規(guī)定。

伴隨數(shù)字經(jīng)濟跨境發(fā)展和平臺經(jīng)濟跨境運營，個人信息的全球流動，給變局下的全球化帶來新的機遇和挑戰(zhàn)。我們有必要從國際大勢出發(fā)，積極回應當前國際競爭的需要，明確向境外提供個人信息的條件、程序和管理要求。

個人信息保護關(guān)乎人民群眾安全感、獲得感和幸福感，關(guān)乎數(shù)字經(jīng)濟規(guī)范健康持續(xù)發(fā)展，關(guān)乎國家安全和競爭新優(yōu)勢。習近平總書記多次強調(diào)，要堅持網(wǎng)絡安全為人民、網(wǎng)終安全靠人民，保障個人信息安全，維護公民在網(wǎng)絡空間的合法權(quán)益，對加強個人信息保護工作提出明確要求。

二

如何處理個人信息

與《民法典》《數(shù)據(jù)安全法》保持一致，《個人信息保護法》規(guī)定了個人信息“處理”這一法律概念，將其作為個人信息收集、存儲、使用、加工、傳輸、提供、公開、刪除等活動的統(tǒng)稱。實施《個人信息保護法》的關(guān)鍵，就在于按照其規(guī)定的個人信息處理基本原則，規(guī)范個人信息處理活動。

第一，堅持合法正當誠信原則。處理個人信息應當遵循合法、正當、誠信原則，不得通過誤導、欺詐、脅迫等方式處理個人信息。任何組織、個人不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息;不得從事危害國家安全、公共利益的個人信息處理活動。利用個人信息進行自動化決策，應當保證決策結(jié)果公平、公正，不得對個人在交易價格等交易條件上實行不合理的差別待遇。

第二，堅持處理必要原則?！秱€人信息保護法》對個人信息的收集范圍、處理方式、保存期限等作了嚴格限制。收集個人信息，應當限于實現(xiàn)處理目的的最小范圍，不得過度收集個人信息。處理個人信息應當采取對個人權(quán)益影響最小的方式。除非處理個人信息屬于提供產(chǎn)品或者服務所必需，個人信息處理者不得以個人不同意處理其個人信息或者撤回其對個人信息處理的同意為由，拒絕提供產(chǎn)品或者服務。除法律、行政法規(guī)另有規(guī)定外，個人信息的保存期限應當為實現(xiàn)處理目的所必要的最短時間。在公共場所安裝圖像采集、個人身份識別設備，應當為維護公共安全所必需。對于敏感個人信息，只有在具有特定的目的和充分的必要性，并采取嚴格保護措施的情形下，個人信息處理者方可處理。

第三，堅持目的特定原則。處理個人信息應當具有明確、合理的目的，并應當與處理目的直接相關(guān)。個人信息的處理目的發(fā)生變更的，應當重新取得個人同意。受托人應當按照約定處理個人信息，不得超出約定的處理目的處理個人信息。因合并、分立、解散、被宣告破產(chǎn)等原因需要接收個人信息的接收方，變更原先的處理目的的，應當依照重新取得個人同意。在公共場所安裝圖像采集、個人身份識別設備，所收集的個人信息，除非取得個人單獨同意，只能用于維護公共安全的目的，不得用于其他目的。處理目的已實現(xiàn)、無法實現(xiàn)或者為實現(xiàn)處理目的不再必要的，個人信息處理者應當主動刪除個人信息。

第四，堅持知情同意原則。知情同意是個人信息處理活動中最普遍的合法性基詘。除非包括該法在內(nèi)的法律、行政法規(guī)有特殊規(guī)定，處理個人信息應當取得個人的同意。包括地方性法規(guī)、部門規(guī)章和地方政府規(guī)章在內(nèi)的其他立法，不能創(chuàng)設例外?；趥€人同意處理個人信息的，該同意應當由個人在充分知情的前提下自愿、明確作出。個人信息處理者向其他個人信息處理者提供其處理的個人信息、公開其處理的個人信息、處理敏感個人信息、向境外提供個人信息的，還應當取得個人的單獨同意。

第五，堅持個體參與原則。個人有權(quán)要求個人信息處理者對其個人信息處理規(guī)則進行解釋說明。個人信息處理者應當建立便捷的個人行使權(quán)利的申請受理和處理機制。拒絕個人行使權(quán)利的請求的，應當說明理由。通過自動化決策方式作出對個人權(quán)益有重大影響的決定，個人有權(quán)要求個人信息處理者予以說明。

第六，堅持保證質(zhì)量原則。處理個人信息應當保證個人信息的質(zhì)量，避免因個人信息不準確、不完整對個人權(quán)益造成不利影響。個人發(fā)現(xiàn)其個人信息不準確或者不完整的，有權(quán)請求個人信息處理者更正、補充。個人請求更正、補充其個人信息的，個人信息處理者應當對其個人信息予以核實，并及時更正、補充。

第七，堅持公開透明原則。處理個人信息應當遵循公開、透明原則，公開個人信息處理規(guī)則，明示處理的目的、方式和范圍。個人信息處理者在處理個人信息前，應當以顯著方式、清晰易懂的語言真實、準確、完整地向個人告知法定事項;通過制定個人信息處理規(guī)則的方式告知必要事項的，處理規(guī)則應當公開，并且便于查閱和保存。個人信息處理者應當公開個人信息保護負責人的聯(lián)系方式。個人信息處理者因合并、分立、解散、被宣告破產(chǎn)等原因需要轉(zhuǎn)移個人信息的，應當向個人告知接收方的名稱或者姓名和聯(lián)系方式。個人信息處理者利用個人信息進行自動化決策，應當保證決策的透明度;處理敏感個人信息的，除非法律另有規(guī)定，還應當向個人告知處理敏感個人信息的必要性以及對個人權(quán)益的影響;向境外提供個人信息的，應當向個人告知境外接收方的名稱或者姓名、聯(lián)系方式、處理目的、處理方式、個人信息的種類以及個人向境外接收方行使本法規(guī)定權(quán)利的方式和程序等事項。

第八，堅持安全保障原則。個人信息處理者應當對其個人信息處理活動負責，并采取必要措施保障所處理的個人信息的安全;根據(jù)個人信息的處理目的、處理方式、個人信息的種類以及對個人權(quán)益的影響、可能存在的安全風險等，采取相應的保護措施。接受委托處理個人信息的受托人，應當按照規(guī)定，采取必要措施保障所處理的個人信息的安全。

三

不合規(guī)會承擔哪些法律責任

《個人信息保護法》既對個人信息處理各環(huán)節(jié)作了全流程規(guī)范，也對個人信息處理不合規(guī)可能承擔的民事、行政和刑事責任作了綜合性規(guī)定。

個人信息處理者如果不規(guī)范處理活動，產(chǎn)生侵權(quán)后果，就要依法承擔民事責任。《個人信息保護法》充分考慮個人信息權(quán)益主體在維權(quán)過程中相對弱勢的地位，確立了過錯推定責任規(guī)則。處理個人信息如果侵害個人信息權(quán)益，并造成損害，除非個人信息處理者能夠證明自己沒有過錯，否則就要承擔損害賠償?shù)惹謾?quán)責任。

當然，個人信息權(quán)益主體仍負有證明存在侵害行為，并因此產(chǎn)生損害的責任。只是當完成這一證明責任后，個人信息權(quán)益主體就不必再去證明個人信息處理者存在過錯。不過，個人信息處理者只要違反了上述基本原則，就很難證明自己沒有過錯。此外，針對個人信息處理者違反本法規(guī)定處理個人信息，侵害眾多個人權(quán)益的情況，為了降低維權(quán)成本，《個人信息保護法》進一步規(guī)定了公益訴訟制度，規(guī)定人民檢察院、法律規(guī)定的消費者保護組織和由國家網(wǎng)信部門確定的組織可以依法向人民法院提起訴訟。

如果違法處理個人信息，或未履行個人信息保護義務，履行個人信息保護職責的部門還可以根據(jù)情節(jié)，對個人信息處理者采取包括巨額罰款在內(nèi)的行政處罰。罰款金額最高可以達5000萬元人民幣，或者個人信息處理者上一年度營業(yè)額的5%。為了讓個人信息處理者相關(guān)責任人切實承擔責任，《個人信息保護法》也對其設定了法律責任。違法情節(jié)嚴重的，對直接負責的主管人員和其他直接責任人員，可以決定禁止其在一定期限內(nèi)擔任相關(guān)企業(yè)的董事、監(jiān)事、高級管理人員和個人信息保護負責人。如果個人信息處理者是國家機關(guān)，存在不履行該法規(guī)定的個人信息保護義務的，由該國家機關(guān)上級機關(guān)或者履行個人信息保護職責的部門責令改正;對直接負責的主管人員和其他直接責任人員，也依法給予處分。

個人信息處理活動違反該法規(guī)定，如果構(gòu)成違反治安管理行為的，公安機關(guān)還可以依據(jù)《治安管理處罰法》給予個人信息處理者治安管理處罰。例如，散布涉及個人隱私的個人信息，可處5日以下拘留或者500元以下罰款;情節(jié)較重的，處5日以上10日以下拘留，可以并處500元以下罰款。個人信息處理活動違法程度足以構(gòu)成犯罪的，依法追究個人信息處理者的刑事責任。

四

走向更規(guī)范的新時代

個人信息權(quán)益能否真正得到保障、個人信息利用效能可否更好發(fā)揮，需要所有個人信息處理者切實落實《個人信息保護法》的管理要求。

原則之下，更需細化規(guī)則?！秱€人信息保護法》盡管是綜合且全面的，但畢竟不能涵蓋所有的個人信息處理細節(jié)。無論是履行個人信息保護職責的部門依法履職，還是個人信息處理者依法合規(guī)，都需要更加具體的規(guī)則甚至標準指引。

法律之外，也需技術(shù)。個人信息處理活動是高度技術(shù)性的，法律規(guī)則能否得到遵循也離不開技術(shù)的評估、審計、驗證和檢查?！秱€人信息保護法》也充分考慮到技術(shù)治理的必要性和重要性。

一方面注重明確技術(shù)措施要求：個人信息處理者應當根據(jù)比例原則，采取加密、去標識化等技術(shù)措施保障所處理的個人信息的安全;把所采取的安全保護措施是否合法、有效并與風險程度相適應，明確為個人信息保護影響評估的法定內(nèi)容。另一方面，也鼓勵應用有利于保護個人信息的先進技術(shù)，更規(guī)范的個人信息處理，離不開包括隱私計算、量子加密等安全技術(shù)的發(fā)展和應用。

未來已來。我們已經(jīng)進入數(shù)字社會，《個人信息保護法》帶來的影響必然也是廣泛而深遠的。個人信息處理的整體規(guī)范化、合規(guī)化將是一個系統(tǒng)的工程，需要政府、產(chǎn)業(yè)和社會投入相當大的人力、物力、技術(shù)資源。信息的處理已經(jīng)技術(shù)化，監(jiān)管與合規(guī)唯有輔以相當?shù)募夹g(shù)能力，才能實現(xiàn)個人信息處理的真實、持續(xù)規(guī)范?？梢灶A見，《個人信息保護法》的實施也會帶來新的經(jīng)濟增長點。把握個人信息處理規(guī)范的時代機遇，無論合規(guī)科技，還是監(jiān)管科技，都會迎來、也應該去開拓它們的“藍?！薄?/p>

摘自《財經(jīng)》雜志