长期以来，应用程序过度收集个人信息问题成为社会关注的一大焦点。截至今年6月，我国网民规模为10.11亿人，我国网站数量为422万个，国内市场上监测到的App数量为302万款，个人信息的收集、使用越来越广泛。专家认为，制定个人信息保护法是进一步加强个人信息保护法制保障的客观要求，是维护网络空间良好生态的现实需要，是促进数字经济健康发展的重要举措。

8月20日，第十三届全国人民代表大会常务委员会第三十次会议通过了《中华人民共和国个人信息保护法》(以下简称个人信息保护法)，该法自今年11月1日起施行。个人信息保护法有哪些亮点，回应了哪些社会痛点?日前，多位专家接受中国商报·法治周刊记者采访并就相关问题进行了解读。

引领信息生态

“随着信息化与经济社会持续深度融合，网络已成为生产生活的新空间、经济发展的新引擎、交流合作的新纽带，但利用个人信息侵扰人民群众生活安宁、危害人民群众生命健康和财产安全等问题仍十分突出，亟须有一部专门的法律来规范信息收集与应用，使信息技术更好地服务于生活。”全国人大常委会法工委副主任刘俊臣说。

近年来，虽然我国个人信息保护力度不断加大，但是在现实生活中，一些企业、机构和个人从商业利益角度等出发，随意收集、违法获取、过度使用、非法买卖个人信息等现象仍然屡见不鲜。

“在信息化时代，个人信息保护已成为广大人民群众最关心最直接最现实的利益问题，社会各方面广泛呼吁出台专门的个人信息保护法。”刘俊臣说，制定个人信息保护法是进一步加强个人信息保护法制保障的客观要求，是维护网络空间良好生态的现实需要，是促进数字经济健康发展的重要举措。

针对社会上一些人提出反对收集个人信息的观点，中国社会科学院学部委员、全国人大宪法和法律委员会委员孙宪忠也对制定个人信息保护法发表了他的看法。“制定个人信息保护法不是为了禁止个人信息收集，而是反对过度收集、强制收集和违法收集，让网络空间在法治的规定上运行发展，更好地造福于百姓生活。”孙宪忠说，“我们不能一味地反对个人信息收集。”

“国家已经进入信息化社会，信息化是社会的进步重要体现。”孙宪忠说，信息技术在促进经济发展、给人民提供更多物质生活和文化生活方面发挥着举足轻重的作用。“但是，在信息收集环节和后续的信息加工、管理、应用等环节却出了过度收集、不当收集、信息滥用等问题，个人信息保护法就是针信息收集利用方面提出的一些问题进行规范，让信息生态在法治框架内良性健康发展。”

确立核心规则

“个人信息保护法明确，处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。”全国人大常委会法工委经济法室副主任杨合庆介绍说，“收集个人信息，应当限于实现处理目的的最小范围。”

杨合庆表示，“告知—同意”是法律确立的个人信息保护核心规则。个人信息处理者在取得个人同意的情形下方可处理个人信息，个人信息处理的重要事项发生变更，应当重新向个人告知并取得同意。

针对群众反映强烈的一揽子授权、强制同意等问题，杨合庆表示，个人信息处理者在处理敏感个人信息、向他人提供或公开个人信息、跨境转移个人信息等环节应取得个人的单独同意，明确个人信息处理者不得过度收集个人信息，不得以个人不同意为由拒绝提供产品或者服务，并赋予个人撤回同意的权利。

个人信息保护法第十四条明确规定，基于个人同意处理个人信息的，该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的，从其规定。人信息的处理目的、处理方式和处理的个人信息种类发生变更的，应当重新取得个人同意。

“该法第十五条还提到撤回权的问题，许可个人将信息撤回。”杨合庆说，第十六条针对此问题对信息收集者提出要求——个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由，拒绝提供产品或者服务;处理个人信息属于提供产品或者服务所必需的除外。

“个人信息保护法针对信息收集有很多条文规定，它的基本原则就是要正当、合法、必要，不能侵犯个人隐私。”孙宪忠说，“谈到个人隐私，我们首先要对隐私有一个明确的定义。”

孙宪忠介绍说，所谓个人隐私，用通俗的话说就是指涉及到个人的私生活、居住地、身体状况等。这些方面的信息是不能收集的，这也是民法典明确规定的。如果某个平台或者App提供者要求提供涉及个人隐私性信息，从法律上来看有可能会涉嫌违法。”

个人信息保护法第四条明确，个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。从此定义可以看出，个人信息从某种程度上来说即是个人隐私。

孙宪忠说，违规收集个人隐私是违法的，但不能说只要收集个人隐私就都是违法的，如医院收集个人身体状况有关信息就是必要的，因为医院要给病人治病。个人信息保护法第六条明确，处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息。

直击五大痛点

针对当前存在的五大痛点，个人信息保护法均给出了相应的回应。

痛点一：“大数据杀熟”侵犯消费者权益。“大数据杀熟”是指在互联网销售平台利用消费者的消费数据，就相同的产品对不同用户给出不同的价格。杨合庆表示，根据个人信息保护法，个人信息处理者利用个人信息进行自动化决策，应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇。通过自动化决策方式向个人进行信息推送、商业营销，应当同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式。

痛点二：敏感个人信息被滥用。“个人信息保护法将生物识别、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息列为敏感个人信息。”杨合庆说。该法要求，只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，方可处理敏感个人信息，同时应事前进行影响评估，并向个人告知处理的必要性以及对个人权益的影响。

痛点三：个人信息跨境提供不规范。刘俊臣介绍，个人信息保护法明确关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的处理者，确需向境外提供个人信息的，应当通过国家网信部门组织的安全评估。对于其他需要跨境提供个人信息的，规定了经专业机构认证等途径。

痛点四：个人信息被泄露。比如，一些人反映，自己的手机时不时地收到贷款、培训、购房等诸如此类的广告推销信息。“这属于在信息收集之后的‘占有和加工管理’。”孙宪忠介绍说，个人信息保护法对此也有一些明确的规定。此外，在应对新冠肺炎疫情过程中，大数据应用为联防联控和复工复产提供了有力支持。个人信息保护法将应对突发公共卫生事件，或者紧急情况下保护自然人的生命健康，作为处理个人信息的合法情形之一。“需要强调的是，在上述情形下处理个人信息，也必须严格遵守本法规定的处理规则，履行个人信息保护义务。”刘俊臣说。

痛点五：“人脸识别”泛滥。个人信息保护法规定，在公共场所安装图像采集、个人身份识别设备，应当为维护公共安全所必需，遵守国家有关规定，并设置显著的提示标识。“不是任何主体都有权在公共场所安装图像采集、个人身份识别设备，必须是为了维护公共安全并且要符合国家有关规定，同时还要通过设置显著的提示标识加以告知。”清华大学法学院副院长、教授、博士生导师程啸说，“对于收集的个人图像、身份识别信息只能用于特定的目的即维护公共安全，未取得个人单独同意的，不得用于其他目的。”

明确各方义务

“个人信息保护法明确个人信息处理活动中个人的权利和处理者义务。”刘俊臣说。

一方面，与民法典的有关规定相衔接，明确在个人信息处理活动中个人的各项权利，包括知情权、决定权、查询权、更正权、删除权等，并要求个人信息处理者建立个人行使权利的申请受理和处理机制。

另一方面，明确个人信息处理者的合规管理和保障个人信息安全等义务：要求其按照规定制定内部管理制度和操作规程，采取相应的安全技术措施，并指定负责人对其个人信息处理活动进行监督;定期对其个人信息活动进行合规审计;对处理敏感个人信息、向境外提供个人信息等高风险处理活动，事前进行风险评估;履行个人信息泄露通知和补救义务，等等。

“超大型互联网平台掌握了海量用户数据，一旦发生信息泄露或者滥用，可能导致极为严重的后果。”杨合庆说，个人信息保护法特别规定了这类平台需要履行的义务，包括按照国家规定建立健全个人信息保护合规制度体系，成立主要由外部成员组成的独立机构进行监督，遵循公开、公平、公正的原则制定平台规则，对严重违法处理个人信息的平台内产品或者服务提供者停止提供服务等。

个人信息保护法根据个人信息处理的不同情况，对违法处理个人信息的行为设置了不同梯次的行政处罚。对未造成严重后果的轻微或一般违法行为，可由执法部门责令改正、给予警告、没收违法所得，对拒不改正的最高可处一百万元罚款;对情节严重的违法行为，最高可处五千万元或上一年度营业额百分之五的罚款，并可以对相关责任人员做出相关从业禁止的处罚。

“在监管部门方面，个人信息保护法法明确，国家网信部门和国务院有关部门在各自职责范围内负责个人信息保护和监督管理工作。”杨合庆说，“同时对个人信息保护和监管职责作出规定，其中包括指导监督个人信息保护工作、接收处理相关投诉举报、组织对应用程序等进行测评、调查处理违法个人信息处理活动等。”

(记者 李海洋)

关键词： 个人信息 保护力度 护航 数字生态 建设