2021年(nián)8月(yuè)20日，第十三屆全國(guó)人大常委會(huì)第三十次會(huì)議審議通(tōng)過《中華人民(mín)共和國(guó)個(gè)人信息保護法》。個(gè)人信息保護法是我國(guó)第一(yī)部個(gè)人信息保護方面的專門(mén)法律，以嚴密的制度、嚴格的标準、嚴厲的責任規範個(gè)人信息處理活動，規定了個(gè)人在個(gè)人信息處理活動中的權利，全方位落實各類組織、個(gè)人等個(gè)人信息處理者的義務與責任，有力維護了網絡空間良好生(shēng)态，滿足人民(mín)日益增長(cháng)的美好生(shēng)活需要。個(gè)人信息保護法協調個(gè)人信息權益保護與個(gè)人信息合理利用的關系，建立了權責明确、保護有效、利用規範的個(gè)人信息處理規則，從(cóng)而在保障個(gè)人信息權益的基礎上(shàng)，促進包括個(gè)人信息在内的數據信息的自(zì)由安全的流動與合理有效的利用，推動數字經濟健康發展。

個(gè)人信息保護法是保護個(gè)人信息的法律，也是保護個(gè)人信息權益的專門(mén)法律。個(gè)人信息權益是自(zì)然人針對個(gè)人信息享有的受到(dào)法律保護的權益。保護個(gè)人信息權益是我國(guó)個(gè)人信息保護法的重要立法目的，該法第一(yī)條明确規定，為(wèi)了保護個(gè)人信息權益，規範個(gè)人信息處理活動，促進個(gè)人信息合理利用，根據憲法，制定本法。第二條再次明确，自(zì)然人的個(gè)人信息受法律保護，任何組織、個(gè)人不得侵害自(zì)然人的個(gè)人信息權益。

筆者認為(wèi)，個(gè)人信息保護法的亮點主要有以下(xià)幾個(gè)方面。

确立個(gè)人信息處理活動基本原則

個(gè)人信息保護法包括合法、正當、必要、誠信、目的限制、最小(xiǎo)必要、質量、責任等原則。這些原則的根本目的就(jiù)是要規範個(gè)人信息處理者的處理活動，保護個(gè)人信息權益。例如，依據第六條所确立的目的限制原則，處理個(gè)人信息應當具有明确、合理的目的，并應當與處理目的直接相(xiàng)關，采取對個(gè)人權益影響最小(xiǎo)的方式。收集個(gè)人信息，應當限于實現處理目的的最小(xiǎo)範圍，不得過度收集個(gè)人信息。無論什麽樣的個(gè)人信息處理者為(wèi)了何種處理目的，以何種方式實施個(gè)人信息處理活動，都應當遵循這些基本原則。不僅如此，調整規範個(gè)人信息處理活動的法規規章，也不能(néng)違反這些基本原則。

詳細規定告知同意規則

明确個(gè)人信息處理者處理個(gè)人信息前，必須以顯著方式、清晰易懂(dǒng)的語言真實、準确、完整地向個(gè)人告知法律規定的事(shì)項，除非法律、行政法規規定應當保密或者不需要告知，或者告知将妨礙國(guó)家機(jī)關履行法定職責。如果個(gè)人信息處理者基于個(gè)人同意而處理個(gè)人信息，那麽個(gè)人的同意必須是個(gè)人在充分知情的前提下(xià)自(zì)願、明确地作出，個(gè)人信息處理者不得以個(gè)人不同意處理其個(gè)人信息或者撤回同意為(wèi)由，拒絕提供産品或者服務。

對“大數據殺熟”“人臉識别”等問題予以回應

個(gè)人信息保護法明确要求個(gè)人信息處理者保證自(zì)動化決策的透明度和結果公平、公正，不得對個(gè)人在交易價格等交易條件(jiàn)上(shàng)實行不合理的差别待遇。如果通(tōng)過自(zì)動化決策方式作出對個(gè)人權益有重大影響的決定，個(gè)人有權要求個(gè)人信息處理者予以說明，并有權拒絕個(gè)人信息處理者僅通(tōng)過自(zì)動化決策的方式作出決定。在公共場所安裝圖像采集、個(gè)人身份識别設備，應當為(wèi)維護公共安全所必需，遵守國(guó)家有關規定，并設置顯著的提示标識。所收集的個(gè)人圖像、身份識别信息隻能(néng)用于維護公共安全的目的，不得用于其他目的，除非取得個(gè)人單獨同意。

界定敏感個(gè)人信息并給予嚴格保護

敏感個(gè)人信息，即一(yī)旦洩露或者非法使用，容易導緻自(zì)然人的人格尊嚴受到(dào)侵害或者人身、财産安全受到(dào)危害的個(gè)人信息，包括生(shēng)物(wù)識别、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌迹等信息，以及不滿十四周歲未成年(nián)人的個(gè)人信息。依據個(gè)人信息保護法的規定，隻有在具有特定的目的和充分的必要性，并采取嚴格保護措施的情形下(xià)，個(gè)人信息處理者方可處理敏感個(gè)人信息。同時，處理敏感個(gè)人信息應當取得個(gè)人的單獨同意，處理不滿十四周歲未成年(nián)人個(gè)人信息的，應當取得未成年(nián)人的父母或者其他監護人的同意。

專章規定個(gè)人在個(gè)人信息處理活動中的權利

個(gè)人在個(gè)人信息處理活動中的權利屬于手段性權利或救濟性權利，規定這些權利的目的就(jiù)是為(wèi)了保護自(zì)然人的個(gè)人信息權益。個(gè)人信息保護法在網絡安全法、民(mín)法典規定的基礎上(shàng)，立足于我國(guó)個(gè)人信息保護實踐的要求，吸收借鑒比較法上(shàng)的優秀成果，對個(gè)人在個(gè)人信息處理活動中的權利作出系統全面的規定，明确個(gè)人在個(gè)人信息處理活動中享有：對個(gè)人信息處理的知情權與決定權、查閱複制權、可攜帶權、更正補充權、删除權、解釋說明權等。此外，為(wèi)了維護死者近親屬的合法、正當利益，個(gè)人信息保護法還(hái)規定，自(zì)然人死亡的，其近親屬為(wèi)了自(zì)身的合法、正當利益，可以對死者的相(xiàng)關個(gè)人信息行使本章規定的查閱、複制、更正、删除等權利，死者生(shēng)前另有安排的除外。

對個(gè)人信息處理者的義務作出詳細規定

個(gè)人信息保護法構建了完整的義務體系。這些義務包括：個(gè)人信息處理者采取措施确保個(gè)人信息處理活動合法并保護個(gè)人信息安全的義務，按照(zhào)規定指定個(gè)人信息保護負責人的義務，定期合規審計的義務，對于高(gāo)風險個(gè)人信息處理活動進行個(gè)人信息保護影響評估并對處理情況記錄的義務，在發生(shēng)或可能(néng)發生(shēng)個(gè)人信息洩露等安全事(shì)件(jiàn)時立即采取補救措施并通(tōng)知監管機(jī)構和個(gè)人的義務，提供重要互聯網平台服務、用戶數量巨大、業(yè)務類型複雜(zá)的個(gè)人信息處理者負有的“守門(mén)人義務”。

明确違法行為(wèi)處罰規定

個(gè)人信息保護法對于違法處理個(gè)人信息或者沒有履行法律規定的個(gè)人信息保護義務的行為(wèi)規定了嚴格的行政處罰。如對于違法行為(wèi)情節嚴重的，沒收違法所得，并處五千萬元以下(xià)或者上(shàng)一(yī)年(nián)度營業(yè)額百分之五以下(xià)罰款，并可以責令暫停相(xiàng)關業(yè)務或者停業(yè)整頓、通(tōng)報(bào)有關主管部門(mén)吊銷相(xiàng)關業(yè)務許可或者吊銷營業(yè)執照(zhào)等。對直接負責的主管人員(yuán)和其他直接責任人員(yuán)處十萬元以上(shàng)一(yī)百萬元以下(xià)罰款，并可以決定禁止其在一(yī)定期限内擔任相(xiàng)關企業(yè)的董事(shì)、監事(shì)、高(gāo)級管理人員(yuán)和個(gè)人信息保護負責人。再如，對于違反個(gè)人信息保護法違法行為(wèi)的，明确依照(zhào)有關法律、行政法規的規定記入信用檔案，并予以公示。

規定民(mín)事(shì)責任制度以及民(mín)事(shì)公益訴訟

依據個(gè)人信息保護法的規定，處理個(gè)人信息侵害個(gè)人信息權益造成損害，個(gè)人信息處理者不能(néng)證明自(zì)己沒有過錯(cuò)的，應當承擔損害賠償等侵權責任。侵害個(gè)人信息權益造成損害的賠償責任按照(zhào)個(gè)人因此受到(dào)的損失或者個(gè)人信息處理者因此獲得的利益确定；個(gè)人因此受到(dào)的損失和個(gè)人信息處理者因此獲得的利益難以确定的，根據實際情況确定賠償數額。在個(gè)人信息處理者違反個(gè)人信息保護法規定處理個(gè)人信息，侵害衆多(duō)個(gè)人的權益時，人民(mín)檢察院、法律規定的消費(fèi)者組織和由國(guó)家網信部門(mén)确定的組織可以依法向人民(mín)法院提起訴訟。

□ 清華大學法學院副院長(cháng)、教授、博士生(shēng)導師(shī) 程嘯