2021年8月20日，第十三屆全國(guó)人大常委會(huì)第三十次會(huì)議審議通過《中華人民共和國(guó)個(gè)人信息保護(hù)法》。個(gè)人信息保護(hù)法是我國(guó)第一部個(gè)人信息保護(hù)方面的專門法律，以嚴(yán)密的制度、嚴(yán)格的標(biāo)準(zhǔn)、嚴(yán)厲的責(zé)任規(guī)范個(gè)人信息處理活動(dòng)，規(guī)定了個(gè)人在個(gè)人信息處理活動(dòng)中的權(quán)利，全方位落實(shí)各類組織、個(gè)人等個(gè)人信息處理者的義務(wù)與責(zé)任，有力維護(hù)了網(wǎng)絡(luò)空間良好生態(tài)，滿足人民日益增長(zhǎng)的美好生活需要。個(gè)人信息保護(hù)法協(xié)調(diào)個(gè)人信息權(quán)益保護(hù)與個(gè)人信息合理利用的關(guān)系，建立了權(quán)責(zé)明確、保護(hù)有效、利用規(guī)范的個(gè)人信息處理規(guī)則，從而在保障個(gè)人信息權(quán)益的基礎(chǔ)上，促進(jìn)包括個(gè)人信息在內(nèi)的數(shù)據(jù)信息的自由安全的流動(dòng)與合理有效的利用，推動(dòng)數(shù)字經(jīng)濟(jì)健康發(fā)展。

　　個(gè)人信息保護(hù)法是保護(hù)個(gè)人信息的法律，也是保護(hù)個(gè)人信息權(quán)益的專門法律。個(gè)人信息權(quán)益是自然人針對(duì)個(gè)人信息享有的受到法律保護(hù)的權(quán)益。保護(hù)個(gè)人信息權(quán)益是我國(guó)個(gè)人信息保護(hù)法的重要立法目的，該法第一條明確規(guī)定，為了保護(hù)個(gè)人信息權(quán)益，規(guī)范個(gè)人信息處理活動(dòng)，促進(jìn)個(gè)人信息合理利用，根據(jù)憲法，制定本法。第二條再次明確，自然人的個(gè)人信息受法律保護(hù)，任何組織、個(gè)人不得侵害自然人的個(gè)人信息權(quán)益。

　　筆者認(rèn)為，個(gè)人信息保護(hù)法的亮點(diǎn)主要有以下幾個(gè)方面。

　　確立個(gè)人信息處理活動(dòng)基本原則

　　個(gè)人信息保護(hù)法包括合法、正當(dāng)、必要、誠(chéng)信、目的限制、最小必要、質(zhì)量、責(zé)任等原則。這些原則的根本目的就是要規(guī)范個(gè)人信息處理者的處理活動(dòng)，保護(hù)個(gè)人信息權(quán)益。例如，依據(jù)第六條所確立的目的限制原則，處理個(gè)人信息應(yīng)當(dāng)具有明確、合理的目的，并應(yīng)當(dāng)與處理目的直接相關(guān)，采取對(duì)個(gè)人權(quán)益影響最小的方式。收集個(gè)人信息，應(yīng)當(dāng)限于實(shí)現(xiàn)處理目的的最小范圍，不得過度收集個(gè)人信息。無論什么樣的個(gè)人信息處理者為了何種處理目的，以何種方式實(shí)施個(gè)人信息處理活動(dòng)，都應(yīng)當(dāng)遵循這些基本原則。不僅如此，調(diào)整規(guī)范個(gè)人信息處理活動(dòng)的法規(guī)規(guī)章，也不能違反這些基本原則。

　　詳細(xì)規(guī)定告知同意規(guī)則

　　明確個(gè)人信息處理者處理個(gè)人信息前，必須以顯著方式、清晰易懂的語言真實(shí)、準(zhǔn)確、完整地向個(gè)人告知法律規(guī)定的事項(xiàng)，除非法律、行政法規(guī)規(guī)定應(yīng)當(dāng)保密或者不需要告知，或者告知將妨礙國(guó)家機(jī)關(guān)履行法定職責(zé)。如果個(gè)人信息處理者基于個(gè)人同意而處理個(gè)人信息，那么個(gè)人的同意必須是個(gè)人在充分知情的前提下自愿、明確地作出，個(gè)人信息處理者不得以個(gè)人不同意處理其個(gè)人信息或者撤回同意為由，拒絕提供產(chǎn)品或者服務(wù)。

　　對(duì)“大數(shù)據(jù)殺熟”“人臉識(shí)別”等問題予以回應(yīng)

　　個(gè)人信息保護(hù)法明確要求個(gè)人信息處理者保證自動(dòng)化決策的透明度和結(jié)果公平、公正，不得對(duì)個(gè)人在交易價(jià)格等交易條件上實(shí)行不合理的差別待遇。如果通過自動(dòng)化決策方式作出對(duì)個(gè)人權(quán)益有重大影響的決定，個(gè)人有權(quán)要求個(gè)人信息處理者予以說明，并有權(quán)拒絕個(gè)人信息處理者僅通過自動(dòng)化決策的方式作出決定。在公共場(chǎng)所安裝圖像采集、個(gè)人身份識(shí)別設(shè)備，應(yīng)當(dāng)為維護(hù)公共安全所必需，遵守國(guó)家有關(guān)規(guī)定，并設(shè)置顯著的提示標(biāo)識(shí)。所收集的個(gè)人圖像、身份識(shí)別信息只能用于維護(hù)公共安全的目的，不得用于其他目的，除非取得個(gè)人單獨(dú)同意。

　　界定敏感個(gè)人信息并給予嚴(yán)格保護(hù)

　　敏感個(gè)人信息，即一旦泄露或者非法使用，容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財(cái)產(chǎn)安全受到危害的個(gè)人信息，包括生物識(shí)別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個(gè)人信息。依據(jù)個(gè)人信息保護(hù)法的規(guī)定，只有在具有特定的目的和充分的必要性，并采取嚴(yán)格保護(hù)措施的情形下，個(gè)人信息處理者方可處理敏感個(gè)人信息。同時(shí)，處理敏感個(gè)人信息應(yīng)當(dāng)取得個(gè)人的單獨(dú)同意，處理不滿十四周歲未成年人個(gè)人信息的，應(yīng)當(dāng)取得未成年人的父母或者其他監(jiān)護(hù)人的同意。

　　專章規(guī)定個(gè)人在個(gè)人信息處理活動(dòng)中的權(quán)利

　　個(gè)人在個(gè)人信息處理活動(dòng)中的權(quán)利屬于手段性權(quán)利或救濟(jì)性權(quán)利，規(guī)定這些權(quán)利的目的就是為了保護(hù)自然人的個(gè)人信息權(quán)益。個(gè)人信息保護(hù)法在網(wǎng)絡(luò)安全法、民法典規(guī)定的基礎(chǔ)上，立足于我國(guó)個(gè)人信息保護(hù)實(shí)踐的要求，吸收借鑒比較法上的優(yōu)秀成果，對(duì)個(gè)人在個(gè)人信息處理活動(dòng)中的權(quán)利作出系統(tǒng)全面的規(guī)定，明確個(gè)人在個(gè)人信息處理活動(dòng)中享有：對(duì)個(gè)人信息處理的知情權(quán)與決定權(quán)、查閱復(fù)制權(quán)、可攜帶權(quán)、更正補(bǔ)充權(quán)、刪除權(quán)、解釋說明權(quán)等。此外，為了維護(hù)死者近親屬的合法、正當(dāng)利益，個(gè)人信息保護(hù)法還規(guī)定，自然人死亡的，其近親屬為了自身的合法、正當(dāng)利益，可以對(duì)死者的相關(guān)個(gè)人信息行使本章規(guī)定的查閱、復(fù)制、更正、刪除等權(quán)利，死者生前另有安排的除外。

　　對(duì)個(gè)人信息處理者的義務(wù)作出詳細(xì)規(guī)定

　　個(gè)人信息保護(hù)法構(gòu)建了完整的義務(wù)體系。這些義務(wù)包括：個(gè)人信息處理者采取措施確保個(gè)人信息處理活動(dòng)合法并保護(hù)個(gè)人信息安全的義務(wù)，按照規(guī)定指定個(gè)人信息保護(hù)負(fù)責(zé)人的義務(wù)，定期合規(guī)審計(jì)的義務(wù)，對(duì)于高風(fēng)險(xiǎn)個(gè)人信息處理活動(dòng)進(jìn)行個(gè)人信息保護(hù)影響評(píng)估并對(duì)處理情況記錄的義務(wù)，在發(fā)生或可能發(fā)生個(gè)人信息泄露等安全事件時(shí)立即采取補(bǔ)救措施并通知監(jiān)管機(jī)構(gòu)和個(gè)人的義務(wù)，提供重要互聯(lián)網(wǎng)平臺(tái)服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的個(gè)人信息處理者負(fù)有的“守門人義務(wù)”。

　　明確違法行為處罰規(guī)定

　　個(gè)人信息保護(hù)法對(duì)于違法處理個(gè)人信息或者沒有履行法律規(guī)定的個(gè)人信息保護(hù)義務(wù)的行為規(guī)定了嚴(yán)格的行政處罰。如對(duì)于違法行為情節(jié)嚴(yán)重的，沒收違法所得，并處五千萬元以下或者上一年度營(yíng)業(yè)額百分之五以下罰款，并可以責(zé)令暫停相關(guān)業(yè)務(wù)或者停業(yè)整頓、通報(bào)有關(guān)主管部門吊銷相關(guān)業(yè)務(wù)許可或者吊銷營(yíng)業(yè)執(zhí)照等。對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處十萬元以上一百萬元以下罰款，并可以決定禁止其在一定期限內(nèi)擔(dān)任相關(guān)企業(yè)的董事、監(jiān)事、高級(jí)管理人員和個(gè)人信息保護(hù)負(fù)責(zé)人。再如，對(duì)于違反個(gè)人信息保護(hù)法違法行為的，明確依照有關(guān)法律、行政法規(guī)的規(guī)定記入信用檔案，并予以公示。

　　規(guī)定民事責(zé)任制度以及民事公益訴訟

　　依據(jù)個(gè)人信息保護(hù)法的規(guī)定，處理個(gè)人信息侵害個(gè)人信息權(quán)益造成損害，個(gè)人信息處理者不能證明自己沒有過錯(cuò)的，應(yīng)當(dāng)承擔(dān)損害賠償?shù)惹謾?quán)責(zé)任。侵害個(gè)人信息權(quán)益造成損害的賠償責(zé)任按照個(gè)人因此受到的損失或者個(gè)人信息處理者因此獲得的利益確定；個(gè)人因此受到的損失和個(gè)人信息處理者因此獲得的利益難以確定的，根據(jù)實(shí)際情況確定賠償數(shù)額。在個(gè)人信息處理者違反個(gè)人信息保護(hù)法規(guī)定處理個(gè)人信息，侵害眾多個(gè)人的權(quán)益時(shí)，人民檢察院、法律規(guī)定的消費(fèi)者組織和由國(guó)家網(wǎng)信部門確定的組織可以依法向人民法院提起訴訟。

　　□ 清華大學(xué)法學(xué)院副院長(zhǎng)、教授、博士生導(dǎo)師 程嘯