《中華人民(mín)共和國(guó)個(gè)人信息保護法》即将于2021年(nián)11月(yuè)1日起正式施行，這标志(zhì)著(zhe)我國(guó)個(gè)人信息保護立法體系進入新的階段。個(gè)人信息保護的相(xiàng)關制度在《網絡安全法》就(jiù)已經有了專章規定，其後的《民(mín)法典》人格權編和《數據安全法》也先後規定了涉及個(gè)人信息的具體保護制度。相(xiàng)較于前述立法活動，《個(gè)人信息保護法》的出台為(wèi)個(gè)人信息權益保護、信息處理者的義務以及主管機(jī)關的職權範圍提供了全面的、體系化的法律依據。個(gè)人面對非法收集和處理個(gè)人信息的侵權行為(wèi)能(néng)夠獲得更具體、更多(duō)樣的救濟方式，權利保障範圍涵蓋個(gè)人信息收集、存儲、使用、加工(gōng)、傳輸、提供、公開(kāi)、删除等多(duō)個(gè)環節以及敏感個(gè)人信息處理、個(gè)人信息跨境提供等特定場景。個(gè)人信息權益得到(dào)切實有效的制度保障，也為(wèi)信息産業(yè)明确了經營行為(wèi)的合法性邊界，與《國(guó)家安全法》《網絡安全法》《民(mín)法典》和《數據安全法》等法律法規共同構建起個(gè)人信息保護的法治堤壩。

一(yī)、個(gè)人信息處理活動的基本原則框架：合法、正當、必要與誠信

《個(gè)人信息保護法》的出台可謂是順應人民(mín)群衆最迫切的利益訴求。在數字經濟時代，個(gè)人與網絡信息服務提供者之間存在明顯的信息鴻溝，為(wèi)了能(néng)夠獲得相(xiàng)應的信息服務使用權限，個(gè)人不得不“主動”提供自(zì)己的個(gè)人信息，但是卻無法真正知曉自(zì)己的個(gè)人信息究竟将如何被處理以及誰将擁有自(zì)己的個(gè)人信息。更有甚者，個(gè)人信息買賣已然成為(wèi)完整的黑(hēi)灰産業(yè)鏈條，個(gè)人的财産安全和人身安全受到(dào)嚴重威脅。為(wèi)了充分保護個(gè)人信息權益，同時也是為(wèi)了規範個(gè)人信息處理活動，促進信息産業(yè)發展，《個(gè)人信息保護法》順勢而為(wèi)，明确了個(gè)人信息處理活動應當以合法、正當、必要和誠信作為(wèi)基本原則，即任何類型和任何階段的個(gè)人信息處理行為(wèi)均應當滿足這些原則性要求，即便現行立法沒有明确規定特定個(gè)人信息處理行為(wèi)是否滿足法定義務，如若相(xiàng)關行為(wèi)違背合法、正當、必要和誠信四項基本原則之一(yī)，也應當承擔相(xiàng)應的民(mín)事(shì)法律責任，情節嚴重的，應當承擔刑事(shì)責任。換言之，這四項基本原則構成了《個(gè)人信息保護法》的内容主線：第一(yī)，合法性原則要求個(gè)人信息處理行為(wèi)應當滿足法律法規規定，這裡(lǐ)的“法”并不單一(yī)局限于《個(gè)人信息保護法》，還(hái)包括《網絡安全法》《數據安全法》《民(mín)法典》《刑法》《關鍵信息基礎設施安全保護條例》等法律法規。第二，正當性原則要求個(gè)人信息處理行為(wèi)應當符合立法宗旨和法律價值，不得以謀求自(zì)身利益而侵害其他個(gè)人的個(gè)人信息權益。在實踐中，部分APP運營者在用戶注冊階段以不顯著、不直接的方式向用戶展示個(gè)人信息處理的目的、範圍和方式等重要信息，這種行為(wèi)顯然違背了正當性原則。第三，必要性原則要求個(gè)人信息的收集範圍和處理方式應當僅以實現相(xiàng)應的信息服務功能(néng)和業(yè)務目的為(wèi)必要。該原則強有力地回應了當下(xià)社會(huì)對APP運營者肆意收集處理個(gè)人信息行為(wèi)的擔憂和質疑，避免個(gè)人為(wèi)獲取相(xiàng)應信息服務而被動提供個(gè)人信息的問題惡化。例如，地圖導航類APP運營者的個(gè)人信息收集範圍僅應當以地理位置信息為(wèi)限，職業(yè)、工(gōng)資、旅遊偏好等其他與地圖導航功能(néng)無關的個(gè)人信息顯然不在“與處理目的直接相(xiàng)關”的範圍之内。第四，誠信原則強調個(gè)人信息處理者不得利用自(zì)身的優勢地位侵害個(gè)人信息權益。一(yī)方面，個(gè)人信息處理者應當誠實信用地按照(zhào)約定的處理目的和範圍處理個(gè)人信息；另一(yī)方面，個(gè)人信息處理者不應當故意隐瞞、有意淡化事(shì)關個(gè)人信息權益的提示說明事(shì)項。

二、個(gè)人信息權益保護方式：權利與義務的一(yī)體化

在歐盟《通(tōng)用數據保護條例》出台之後，全球各國(guó)個(gè)人信息立法曾一(yī)度或多(duō)或少受到(dào)歐盟個(gè)人數據權利體系的理論影響，删除權、更正權、查詢權等具體權利似乎成為(wèi)個(gè)人信息保護領域的“制度範本”。我國(guó)《個(gè)人信息保護法》則立足于中國(guó)本土(tǔ)實踐，向全世界提供了全新的個(gè)人信息保護思路(lù)：重視個(gè)人信息權益的實質性保護，以權利與義務的一(yī)體化要求為(wèi)導向。從(cóng)《個(gè)人信息保護法》的第四章和第五章内容來看(kàn)，個(gè)人在個(gè)人信息處理活動中享有查閱、複制、更正、補充、請求删除個(gè)人信息等具體權利。并且，個(gè)人信息處理者也應當積極履行法定義務，确保個(gè)人權利能(néng)夠有效實現，倘若個(gè)人信息處理者設置各種不合理非必要的維權程序、客服流程等“維權門(mén)檻”，既違背了個(gè)人信息處理行為(wèi)的基本原則，也構成了法定義務履行不充分。

個(gè)人在個(gè)人信息處理活動中行使權利有兩個(gè)前提條件(jiàn)：第一(yī)，個(gè)人對個(gè)人信息處理應當享有充分知情權和決定權。所謂的知情權是指個(gè)人有權知曉其個(gè)人信息的收集處理目的、範圍和方式，并且這種知情應當是以清晰易懂(dǒng)的顯著方式予以實現。換言之，如果個(gè)人信息處理者為(wèi)避免承擔法律責任将所有個(gè)人信息處理事(shì)項事(shì)無巨細地向用戶直接展示，又(yòu)或是以小(xiǎo)号字體、密集文字排版等方式告知用戶個(gè)人信息處理活動，則顯然構成對個(gè)人信息知情權的實質侵害。第二，個(gè)人在實現知情權之後應當能(néng)夠獨立自(zì)主地決定是否提供個(gè)人信息以及決定個(gè)人信息的實際處理範圍和方式。在實踐中，部分用戶即便知曉個(gè)人信息處理的相(xiàng)關事(shì)項，但囿于使用特定信息服務的需要以及行業(yè)内格式合同的泛濫，用戶無力決定個(gè)人信息的具體處理方式。為(wèi)了解決此類問題，《個(gè)人信息保護法》明确個(gè)人有權限制或限制對其個(gè)人信息處理。此外，決定權也有其例外情形。

三、充足的安全感：國(guó)家機(jī)關全方位保護個(gè)人信息

《個(gè)人信息保護法》提供的個(gè)人信息保護路(lù)徑并不局限權利與義務的一(yī)緻性要求，還(hái)包括專門(mén)的國(guó)家機(jī)關履行個(gè)人信息保護職責，提供全方位的個(gè)人信息保護和救濟方式。《個(gè)人信息保護法》所提供的充足安全感既來自(zì)于國(guó)家機(jī)關處理個(gè)人信息的特别規定，也來源于國(guó)家機(jī)關履行職責的專門(mén)規定。一(yī)方面，《個(gè)人信息保護法》規定國(guó)家機(jī)關處理個(gè)人信息同樣應當遵守法律、行政法規規定的權限和程序。個(gè)人信息權益受到(dào)前所未有的重視，即便個(gè)人信息處理者是國(guó)家機(jī)關，其收集處理範圍和限度同樣不得超出履行法定職責之需要。并且，國(guó)家機(jī)關處理個(gè)人信息之前，應當依照(zhào)規定，履行告知義務。另一(yī)方面，《個(gè)人信息保護法》明确規定了國(guó)家網信部門(mén)負責統籌協調個(gè)人信息保護工(gōng)作和相(xiàng)關監督管理工(gōng)作。國(guó)務院有關部門(mén)依照(zhào)本法和有關法律、行政法規的規定，在各自(zì)職責範圍内負責個(gè)人信息保護和監督管理工(gōng)作。具體而言，除了日常熟知的個(gè)人信息保護宣傳教育，接受、處理與個(gè)人信息保護相(xiàng)關的投訴、舉報(bào)，調查、處理違法處理個(gè)人信息等活動之外，還(hái)包括個(gè)人信息保護評估、個(gè)人信息跨境傳輸安全評估、第三方安全認證體系、個(gè)人信息保護技(jì)術(shù)标準制定等具體領域的工(gōng)作内容。此外，為(wèi)了切實解決近期出現的“監控偷拍人臉識别”“大數據殺熟”等社會(huì)熱點問題，《個(gè)人信息保護法》還(hái)專門(mén)規定國(guó)家網信部門(mén)統籌協調有關部門(mén)依據本法推進人臉識别、人工(gōng)智能(néng)等新技(jì)術(shù)、新應用領域個(gè)人信息保護規則、标準制定工(gōng)作。

個(gè)人信息保護絕不能(néng)停留于紙(zhǐ)面的權利宣誓與義務要求，更要重視之後法律實施過程中可能(néng)面臨的新問題和新挑戰，平衡個(gè)人信息權益與信息産業(yè)良性發展的雙重訴求，個(gè)人信息保護還(hái)需要有效統籌協調立法、執法和司法三個(gè)環節，要讓老百姓看(kàn)得到(dào)、摸得著(zhe)、感受得到(dào)真正的個(gè)人信息權益保護，推進個(gè)人信息保護工(gōng)作的縱深化發展。（作者：趙精武，北(běi)京航空航天大學法學院副教授，工(gōng)業(yè)和信息化法治研究院研究員(yuán)）