浙江大學教授：個人資訊保護法實施應關注十大核心要點

　　于11月1日實施的《中華人民共和國個人資訊保護法》，在國家層面建立了個人資訊保護制度。為加強個人資訊保護宣傳教育，推動形成政府、企業、相關社會組織、公眾共同參與個人資訊保護的良好環境，確保個人資訊保護法的各項要求和規定在社會生活中落到實處，建議在學習和貫徹實施個人資訊保護法中重點把握好以下十大核心要點。

　　第一，“規範個人資訊處理活動”是個人資訊保護法的核心。個人資訊保護法第一條規定：“為了保護個人資訊權益，規範個人資訊處理活動，促進個人資訊合理利用，根據憲法，制定本法。”由此可見，就個人資訊保護法的實質功能而言，它是一部個人資訊處理活動行為規範法，“規範個人資訊處理活動”處於整個個人資訊保護法的核心地位，只有夯實這一關鍵環節，才能確保實現保護個人資訊權益和促進個人資訊合理利用之目的。

　　第二，個人資訊的內涵與匿名化。個人資訊保護法第四條第一款明確了“個人資訊”的定義：“個人資訊是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種資訊，不包括匿名化處理後的資訊。”這意味著“個人資訊”經匿名化處理後即不屬於個人資訊，也就無需適用個人資訊保護法的相關規定，這一規定體現了個人資訊保護法對個人資訊“保護”和“利用”並重的立法精神。

　　第三，個人資訊保護法的域外效力。根據我國個人資訊保護法第三條第二款規定，在中華人民共和國境外處理中華人民共和國境內自然人個人資訊的活動，有下列情形之一的，也適用本法：(一)以向境內自然人提供産品或者服務為目的；(二)分析、評估境內自然人的行為；(三)法律、行政法規規定的其他情形。

　　第四，個人資訊處理的核心原則。個人資訊保護法主要確立以下五項重要原則：一是遵循合法、正當、必要和誠信原則；二是採取對個人權益影響最小的方式，限于實現處理目的的最小範圍原則；三是處理個人資訊應當遵循公開、透明原則；四是處理個人資訊應當保證個人資訊品質原則；五是採取必要措施確保個人資訊安全原則等。需要注意的是，個人資訊保護法總則部分第六條確立的兩個“最小原則”，即“採取對個人權益影響最小的方式”“限于實現處理目的的最小範圍”，是個人資訊處理應遵循的核心原則，尤其是後者，是禁止“過度收集個人資訊”的關鍵要點。

　　第五，以“告知—知情—同意”為核心的個人資訊處理規則。個人資訊保護法構建了以“告知—知情—同意”為核心的個人資訊處理規則體系。個人資訊處理者“告知”的目的是為了確保被告知者的充分“知情”，只有被告知者在充分知情的前提下才能自願、明確地作出決定。為此，個人資訊保護法第十四條明確規定：“基於個人同意處理個人資訊的，該同意應當由個人在充分知情的前提下自願、明確作出。”

　　第六，敏感個人資訊的認定與保護規則。個人資訊保護法對自然人的隱私資訊未作出專門規定，而是將個人資訊分為敏感資訊和非敏感資訊，並專節設置了“敏感個人資訊的處理規則”。並採用了“個人資訊被洩露或者非法使用+危害後果+列舉重要敏感個人資訊”的立法技術，明確“敏感個人資訊是一旦洩露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財産安全受到危害的個人資訊，包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等資訊，以及不滿十四週歲未成年人的個人資訊”。

　　第七，嚴禁“大數據殺熟”以及為“用戶畫像”等涉及不當自動化決策的做法。針對“大數據殺熟”“用戶畫像”和“演算法推薦”等涉及個人資訊自動化決策的熱點問題，個人資訊保護法予以明確規範：首先，個人資訊處理者利用個人資訊進行自動化決策，應當保證決策的透明度和結果公平、公正，不得對個人在交易價格等交易條件上實行不合理的差別待遇；其次，個人資訊處理者通過自動化決策方式向個人進行資訊推送、商業行銷，應當同時提供不針對其個人特徵的選項或者向個人提供便捷的拒絕方式；再次，個人資訊處理者通過自動化決策方式作出對個人權益有重大影響的決定時，個人有權要求個人資訊處理者予以説明，並有權拒絕個人資訊處理者僅通過自動化決策的方式作出決定。

　　第八，個人資訊跨境提供規則。個人資訊保護法明確了個人資訊處理者向境外提供個人資訊應當具備的基本條件，如關鍵資訊基礎設施運營者和處理個人資訊達到國家網信部門規定數量的處理者，確需向境外提供個人資訊的，應當通過國家網信部門組織的安全評估；對於其他需要跨境提供個人資訊的，應由專業機構進行個人資訊保護認證；個人資訊處理者因業務需要向境外提供個人資訊，須按照國家網信部門的標準合同與境外接收方訂立合同；對我國締結或者參加的國際條約、協定對向我國境外提供個人資訊的條件等有規定的，可以按照其規定執行等。

　　第九，個人在個人資訊處理活動中的七項權利。個人資訊保護法全面構建了個人在個人資訊處理活動中的權利，包括知情權、決定權(限制、拒絕和撤回權)、查閱複製權、個人資訊可移轉權、更正補充權、刪除權、規則解釋權。這些權利的設定，表明瞭個人資訊保護法對個人資訊保護與利用的平衡，即在保護中利用，在利用中保護。

　　第十，重要網際網路平臺的“守門人”制度。鋻於重要網際網路平臺掌握海量用戶數據，一旦發生資訊洩露或濫用，可能導致嚴重後果，個人資訊保護法專門要求其履行“守門人”角色，並承擔更多責任。主要包括：應按照國家規定建立健全個人資訊保護合規制度體系；成立主要由外部成員組成的獨立機構進行監督；遵循公開、公平、公正的原則制定平臺規則；對嚴重違法處理個人資訊的平臺內産品或服務提供者停止提供服務；定期發佈個人資訊保護社會責任報告並接受社會監督等。

　　此外，為了確保個人資訊處理者遵守個人資訊保護法之義務，嚴格規範個人資訊的處理活動，個人資訊保護法設置了嚴格的行政和民事法律責任。例如，個人資訊保護法第六十六條對違法處理個人資訊，或者處理個人資訊未履行法定的個人資訊保護義務設置了三項法律責任：一是由履行個人資訊保護職責的部門責令改正，給予警告，沒收違法所得，對違法處理個人資訊的應用程式，責令暫停或者終止提供服務；二是拒不改正的，並處一百萬元以下罰款；三是對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。

　　如果有上述規定的違法行為，且情節嚴重的，設置了兩項更嚴格的法律責任：一是由省級以上履行個人資訊保護職責的部門責令改正，沒收違法所得，並處五千萬元以下或者上一年度營業額百分之五以下罰款，並可以責令暫停相關業務或者停業整頓、通報有關主管部門吊銷相關業務許可或者吊銷營業執照；二是對直接負責的主管人員和其他直接責任人員處十萬元以上一百萬元以下罰款，並可以決定禁止其在一定期限內擔任相關企業的董事、監事、高級管理人員和個人資訊保護負責人。

　　(作者係浙江大學教授)