《中华人民共和国（guó）个人信息（xī）保护法》（下文简称“个保法”）于2021年11月1日起正式实施。中（zhōng）国人民（mín）大学未来法治研究（jiū）院副院长丁晓东对新京报贝（bèi）壳财（cái）经记者表示，个（gè）保法（fǎ）为个人（rén）信息处理活动提供（gòng）了（le）明确的法律依据，为（wéi）个人（rén）维护其个（gè）人信息权（quán）益提供（gòng）了充（chōng）分保（bǎo）障，为企业（yè）合规处理提供了（le）操作（zuò）指引。

需（xū）要注意的是，在个保法出台之前，我国并没有一部专门规范使用个人信息的法律，关（guān）于个人隐（yǐn）私保护的相关条款（kuǎn）分散在不同的法律法规（guī）之（zhī）中。而随着互联网经济（jì）和数字化发展，越来越多的应用场景涉及（jí）个人信息处理，因此个保法出台可（kě）谓是“众望所归”。

历经十八载终出台（tái），构建完整个（gè）人信息保护框架

贝壳财经记者了（le）解到，2003年，专家起草了个保法建议稿。2018年，个保法正式（shì）进入立（lì）法流（liú）程，历（lì）经三（sān）次（cì）审议最终（zhōng）成型（xíng）。2021年8月20日（rì），十三届全国人大常委会第三（sān）十次会议表（biǎo）决通过了《中华人民共和国个人信息（xī）保护法》，自2021年11月1日起正式实施。此时距离个保法建（jiàn）议稿（gǎo）的起草（cǎo）已经过去18年。

《个人信息保护法》全文以总计8章74条的篇幅，在总则（zé）、个人信息处理（lǐ）规则、个人信息（xī）跨（kuà）境提供的规（guī）则（zé）、个人（rén）在个（gè）人信息（xī）处理活动中的权利（lì）、个人信息处理者的义务、履（lǚ）行个人信息保护职责的部门、法律（lǜ）责任以及附则等多个层面设计和建构个人（rén）信息保护的立法框（kuàng）架。

中国（guó）互联（lián）网协会（huì）研究中心副主任、北京师范（fàn）大学网络法治国际中心执行（háng）主任吴沈括参与了个（gè）保（bǎo）法（fǎ）的制定。据他（tā）介（jiè）绍，个人信（xìn）息保护源于宪法对于（yú）公（gōng）民人格（gé）尊（zūn）严的保（bǎo）护，个保法（fǎ）涉及的是个人权益保护（hù），并（bìng）不直接解决个人（rén）信息相关的财产权。“立（lì）法者（zhě）给了各方利益平衡（héng）的空间”。

丁晓（xiǎo）东认为，从整体（tǐ）来看，个保法（fǎ）构（gòu）建了完整的个（gè）人信息保护框（kuàng）架。其规定涵盖了个人信息的范围（wéi）以及个人信息从收（shōu）集（jí）、存（cún）储到使用、加工（gōng）、传输、提供、公开、删（shān）除等所有处理过（guò）程（chéng）；明确赋予了个人对其信（xìn）息控制的相（xiàng）关权利，并确认与个人权（quán）利相对应（yīng）的个人（rén）信息处理者的义务（wù）及法律责任；对个人信息出（chū）境问（wèn）题、个人（rén）信息（xī）保护的部门职责、相关法律责任进行（háng）了规定（dìng）。

吴沈括称，个保（bǎo）法（fǎ）以“告知-同（tóng）意”机制为核心逻辑建构覆盖个人信（xìn）息处理全生命（mìng）周期的规（guī）则框架，强化（huà）保障自然人的自主权利，同时注重与其（qí）他重要（yào）利益包括国家（jiā）安全以及公共利益等（děng）的（de）平衡协调，例（lì）如针对各（gè）类不同的具体场景设定告知或者（zhě）同意的例外规则。

从具体问题来看，个保法明（míng）确不得过度收集个人信息、大数据杀熟，对人脸信（xìn）息（xī）等（děng）敏感个人信（xìn）息（xī）的处理作出规制，完善个人（rén）信息保护投诉、举（jǔ）报（bào）工作机制等。

中国政法大学传播法研究中心副主任朱巍告（gào）诉（sù）贝（bèi）壳财（cái）经记者，个保法一经问世，就（jiù）肩负（fù）起统领其他法律法规对个人信息保护的作用。该法所确立的对权利人“最（zuì）小伤害（hài）”“公开透明（míng）”“准确完整”“合（hé）理使用”“合理目的”等（děng）原则（zé），是（shì）对（duì）先前相关法律关于个人信息使用“合法（fǎ）性（xìng）、正当性、必要性”原（yuán）则的扩展和补强。未来（lái）后续新（xīn）的立法中，凡是涉及个（gè）人信息（xī）保护（hù）问题的（de），都应遵（zūn）守个人信息保护法（fǎ）所确（què）定的基（jī）本原则，任（rèn）何规定都（dōu）不得与之（zhī）相冲突。

“个人（rén）信息（xī）保（bǎo）护法是个体权利在个人信（xìn）息保护领域的新旗（qí）帜，极（jí）大扩展和补充了民法典、消费者（zhě）权益保护法等（děng）民事法律关于个（gè）人信（xìn）息（xī）权（quán）利的范围（wéi）。新法（fǎ）将个人权（quán）利单独（dú）成章，赋（fù）予了公民（mín）个体对自（zì）己个人（rén）信息的‘自我（wǒ）决（jué）定权’和充分的‘知情权’。”朱巍（wēi）表示。

向“大数（shù）据（jù）杀熟”“信息曝光”说不，个性化推送可关闭

朱巍（wēi）认为，“我的权（quán）利我做主（zhǔ）”在（zài）个人（rén）信息（xī）保（bǎo）护（hù）法中（zhōng）得到（dào）了（le）具体体（tǐ）现。老百姓依法享（xiǎng）有（yǒu）对自己信息的查询权、复制权、删除（chú）权、更正（zhèng）权（quán）、保（bǎo）持完整性和准确性权、投诉权、要（yào）求（qiú）说明权和诉讼权。这些新（xīn）型权利（lì）基本构成了适应大数据时代个人信息保护的权利保护体（tǐ）系。

例（lì）如，在（zài）个保法（fǎ）出台前，用户在（zài）接受互联网产品和服（fú）务时，仅享有注册权，很少有人尝（cháng）试过（guò）“注销权”。很多App或网（wǎng）络（luò）服务（wù），当用户不（bú）再（zài）使（shǐ）用的时候，随手从手机（jī）中删（shān）除，却忘记了（le）之前（qián）在平台的注（zhù）册信息、身份信息和行为（wéi）数据，这些信息不会因为个（gè）人删除行为而自行（háng）消失。个保法出台（tái）后，用户一（yī）旦停（tíng）止使用某款（kuǎn）网络服（fú）务，在删（shān）除应用的（de）同时（shí），平（píng）台也应依法对用（yòng）户现存信息进行删除，确保（bǎo）用户（hù）个（gè）人（rén）信息不（bú）会成为（wéi）那些“睡眠应（yīng）用（yòng）”的非法财产。

而对于用户在App平台（tái）中遇到同一款产品，不同人显示的价格不一样（yàng），甚至在不同型号的手机上（shàng）显示（shì）价格也不同的“大数据杀熟”行（háng）为，个保法也有了（le）明确的（de）要求——个人信息保护法第二十四（sì）条规（guī）定，个人（rén）信息处理（lǐ）者利用个人信息（xī）进行自动（dòng）化决策（cè），应当保证（zhèng）决（jué）策的透明度和结果公平、公正，不得对个（gè）人在交易价格等交易（yì）条件上实行不合（hé）理（lǐ）的差别待（dài）遇。丁晓东认（rèn）为，这明确（què）否定（dìng）了“大（dà）数（shù）据杀熟”等（děng）现（xiàn）象。

此外，个（gè）保（bǎo）法规定，通过自（zì）动（dòng）化决（jué）策（cè）方式向个人进行信息推送、商业营销，应当（dāng）同时提（tí）供不针（zhēn）对其个人特征的（de）选项，或者向个（gè）人提供便捷的拒绝（jué）方（fāng）式（shì）。

安（ān）恒信息高级副总（zǒng）裁、首席科学家（jiā）刘博（bó）告诉贝壳财经记者，上述条款限制了平台对个人画（huà）像及针对性营销（xiāo）的能力。

中国（guó）电子技术标准化研究（jiū）院网络（luò）安全研究中心测评实验室（shì）副何延哲则表（biǎo）示，（自动（dòng）化决策（cè）条款）肯（kěn）定会对广告业产生影响，以前用户往（wǎng）往只能被动接受（shòu）个性化广告的（de）推送，用户拥有主动权后，可以自（zì）行选择是否（fǒu）开启类似功能。“以前许多广告商在无限度追求商业（yè）利（lì）益的过程中，经常忽略用户个人（rén）的感受。如今出（chū）台了相关法规，他们便要承担之前野蛮发展的后（hòu）果——曾经让多少用户反感，以后可能就要（yào）承（chéng）担多少用户关闭个性化推荐后的损失。”

同时，针（zhēn）对广泛（fàn）存在的（de）已公开个人信息的利用问题，《个（gè）人信（xìn）息（xī）保护法》也专门（mén）规定个人信息处（chù）理（lǐ）者（zhě）可（kě）以在合理的（de）范围内处（chù）理个人自（zì）行公开（kāi）或者其他已（yǐ）经合法公（gōng）开（kāi）的个人信息，而个人对此有权明确拒绝，并且如果（guǒ）个人信息处理者处理（lǐ）已公开的个人信息对个人（rén）权益有重（chóng）大影（yǐng）响（xiǎng）的，仍然应当（dāng）依法取得个人同意。

“个保法从个人信息处（chù）理的一（yī）般规（guī）则到敏感个人信息处理（lǐ）的特（tè）殊规则，乃（nǎi）至个（gè）人（rén）信息跨境提供的单独规则设定，无不反映了立（lì）法者对于个人（rén）权（quán）益的着重保护，以及对于各利益相关方多样诉（sù）求的兼容权衡，并通过系统的个（gè）人权（quán）利（lì）内容以及个人信（xìn）息处理者义务相关（guān）规定（dìng）予以全（quán）面的细化落实，切实贯彻保护个人信息（xī）权益（yì）与促进个人信息合理利用的（de）双重立（lì）法目的。”吴沈括表示。

吸收（shōu）接轨国际（jì）立法（fǎ），探索开创中国路径

多位（wèi）专（zhuān）家认（rèn）为，个保法（fǎ）吸纳了不少国际立（lì）法的成功（gōng）经验，但同时也结（jié）合中（zhōng）国（guó）国情做（zuò）出了创新。

吴沈括认为，个保法注重发挥国家、社会、企业和个人等不（bú）同主体的协（xié）同作用，打（dǎ）造（zào）个（gè）人（rén）信息保护领域的（de）多方共享共治模式。个保法特别强调国家建立健全个人信息保护制度，预防和惩（chéng）治（zhì）侵害个人（rén）信息权（quán）益的行为，加强（qiáng）个人（rén）信息保护宣传（chuán）教育，推动形成政府（fǔ）、企业、相关行业组织和社会公（gōng）众共（gòng）同参与个人信息保护的良好环境（jìng），为促进个人信息合理利用（yòng）奠定坚（jiān）实的、可持续的生态基础。“更进一步而言，个保法还对当下我（wǒ）国民众的诸多现实关切做出了及时、有效的（de）回应，提出了具有鲜（xiān）明时代印记与中国特色的规（guī）则安（ān）排。”

例如，针对目前多发（fā）的个人信息泄露事件（jiàn），个保法明确（què）规定（dìng）个人信（xìn）息处理者的义务（wù）规则，要求其（qí）立即采（cǎi）取补救措施，并且面（miàn）向履行个人信息保护职（zhí）责的部门和个人通（tōng）知个人信息泄露的（de）原因、丢失的（de）个人信（xìn）息种类和可能（néng）造成的危害、已采取的补救（jiù）措施以及（jí）个人可以采取的减轻危（wēi）害的措施等重要事项。

需要注意的是，对于（yú）不同类型的（de）个人信息，个（gè）保法规定（dìng），个人（rén）信息处理者要针对不同类型的信息进行分类（lèi）处理。

吴沈括认为，信息分类是立法的总体要求，包括数据安（ān）全法（fǎ）中提到数（shù）据分类分级管（guǎn）理（lǐ）。落实到（dào）个人信（xìn）息保护领域（yù），分为敏感信息和非敏感（gǎn）信息、未成年人信息和成（chéng）年人信息等。企（qǐ）业也可（kě）基于自身业务（wù）实（shí）践（jiàn）做进一步分类，“立法者也是希望企业能针（zhēn）对不（bú）同类型（xíng）的（de）数据有（yǒu）不同（tóng）强（qiáng）度、不同形式的（de）保护，体现个保法全面保护的要求”。

但（dàn）对（duì）比个保法二审稿，对个（gè）人信（xìn）息（xī）进行分级的表述在正式稿中被删除。

吴沈括（kuò）表示，在不同场合中个人信息的敏感性（xìng）质不相同（tóng），同一（yī）个信息在不同应用场景中的价（jià）值属性也不相同（tóng），拿掉（diào）“分级”是为（wéi）了（le）给予企业更具弹性的操作空间（jiān），但不意味着（zhe）个人信息分级不重要。

“可（kě）以期待，在个保法科学、系统（tǒng）、全面的顶（dǐng）层（céng）设计之下，后续（xù）随着监管执法（fǎ）举措的不懈推（tuī）进、司法（fǎ）裁（cái）判规则（zé）的不断丰富、多方参（cān）与共治的持续培（péi）育以及国际交流合作（zuò）的深入（rù）开展，置身代（dài）码世界的广（guǎng）大人民群（qún）众将长久拥抱个人信（xìn）息合法权益受保护、个人信（xìn）息处理活动受规范（fàn）、个人信（xìn）息（xī）合理利（lì）用受促进的数字治理新生态。”吴（wú）沈（shěn）括表示。

“综合而言，我国的个（gè）人信息保护法对相关制（zhì）度进（jìn）行（háng）了全方位的规定，体现（xiàn）了我国政府维护公民（mín）基本权益的决心（xīn），为个人信息的规范化收集与利用（yòng）提（tí）供了（le）保障。随（suí）着（zhe）几个月后个（gè）人信（xìn）息保护法的生（shēng）效实（shí）施，这一（yī）数字时代的基本法也必（bì）将（jiāng）为（wéi）我国数字社会治（zhì）理与（yǔ）数字经济（jì）发展注入更为强大的动力。”丁晓东（dōng）表（biǎo）示。