kaiyun体育 《个人信息保护法》——五个划时代意义

作者

腾讯研究院首席数据法律与政策专家 王荣

个人信息保护法来得晚，但却开启了一个时代的新篇章。

2021年8月20日，《个人信息保护法》正式通过，并将于2021年11月1日正式实施。《个人信息保护法》的诞生，标志着我国网络数据法律体系由《网络安全法》向《个人信息保护法》过渡的开始。《数据安全法》出台后，终于完成了重要的一块拼图，具有划时代的意义。

（为全面解读个人信息保护法的规定及影响，本公众号将推出系列文章及报道）

1. 经过近 20 年的时间，我们终于填补了

数字社会中的重要法律问题

数字时代的个人信息保护法是保护个人信息权益乃至宪法权利的基本法律。个人信息保护法第一条规定，为了保护个人信息权益，规范个人信息处理活动，促进个人信息的合理利用，根据宪法，制定本法。立法依据中的“根据宪法”字样是在第三次审议过程中增加的[1]，这表明我国将个人信息权保护上升到了更高的高度。这一高度来自于宪法：国家尊重和保障人权，公民的人格尊严不受侵犯，公民的通信自由和通信秘密受法律保护。

我国从2003年开始关注个人信息保护法，当时国务院新闻办公室正式部署立法研究工作，2005年有关学者完成了个人信息保护法（专家稿）[2]。

同期，我国对网络数据的整体立法加速，从2012年《全国人大关于加强网络信息保护的决定》开始，《网络安全法》（2016）、《电子商务法》（2017）相继出台，除了专门的网络法律之外，传统法律的制定、修改也对网络空间给予了前所未有的关注：《消费者权益保护法（修正）》（2013）、《刑法修正案（九）》（2015）、《民法总则》（2017）和《民法典》（2020）均增加了个人信息保护的相关规定。这些散布在各项法律中的规定一定程度上回应了公众的关切，但一套完整的个人信息保护法律体系尚未建立。

直到2018年9月，《个人信息保护法》才正式列入全国人大立法规划，经过三年的起草制定，于2021年8月20日正式颁布，自此，我国终于形成了以《网络安全法》《数据安全法》《个人信息保护法》为核心的网络法律体系，为数字时代的网络安全、数据安全、个人信息权益保护提供了基本的制度保障。

2. 经过半个多世纪，

与我国数字超级大国相匹配的法律体系

从全球范围看，个人信息保护问题的制度回应起源于20世纪六七十年代计算机的普及，当政府机构、大型跨国公司通过计算机大规模处理公民个人信息时，传统的法律辩护和事后救济的“隐私权”已不再能够彻底解决个人信息的非法收集和使用问题。私法领域的“隐私权”逐渐发展成为公法领域的个人信息保护制度，即在隐私侵犯没有明确后果的情况下，通过行为规范明确个人信息的处理方式，包括知情同意、最小化、特定目的、安全和问责等。20世纪70年代，欧美发达国家率先完成了个人信息保护立法。进入本世纪以来，个人数据保护立法在全球不断铺开，目前已有128个国家通过立法保护个人信息和隐私[3]。

随着数字化在全球逐渐展开，各国数据保护立法呈现出不同阶段，相较之下，发展中国家整体起步较晚，目前正迎头赶上。南非、巴西均于2020年出台个人信息保护法，预计于年内生效。印度于2016年推出个人信息保护立法，目前仍处于起草阶段。

同样，作为发展中国家，我国在进入21世纪后，随着移动互联网的迅猛发展，个人信息的收集处理成为社会问题，也开始加速立法和监管。如今，我国网民规模已接近十亿，在网络零售、社交网络、智慧城市、自动驾驶、工业互联网等数字化应用蓬勃发展。个人信息保护法的出台可谓恰逢其时开yun官网入口登录APP下载，标志着与我国网络大国和数字强国地位相匹配的制度建设逐渐成熟。

3.走进“以人为本”

数字社会的制度里程碑

每一个享受数字科技便利的个体云开·全站apply体育官方平台，也深深被无处不在的数据处理所困扰。从移动互联网、物联网、无人驾驶汽车、人脸识别，到可穿戴设备、智能家居、医疗监测设备，数据驱动的创新背后，人们担心的是物联网设备的秘密记录、健康信息的不经意暴露、超出消费者授权的个人数据共享、信用卡欺诈、数据歧视、声誉损害等。在数字时代重建每一个个体的信心和信任，是数字社会实现文明、民主、以人为本的终极问题。

我国《个人信息保护法》明确规定，处理个人信息必须有正当理由。如果信息处理基于个人同意，则该同意必须是个人在充分知情的前提下自愿、明确给予的。对信息的收集、处理以及身份特征等敏感信息的处理则规定了更为严格的法定条件。

疫情期间“健康码”的运用，依托数据资源的汇聚和数字化技术的支撑，实现了动态精准的数字化治理。但早期也存在数据采集过度、数据处理不透明的问题，如“杭州健康色码”，将公民彻底异化为数据评价对象，并赋予其工具性评价[4]。在今天这个一切都可以用数据衡量、用数字来判断的世界，我们尤其要尊重人的尊严，关爱人本身。因此，个人信息保护法并不止步于保护个人对个人信息的处置，而是一个以人为本、以人为本的数字化社会中的权利里程碑。

4.遵守国际通用规则

完全集成

我国《个人信息保护法》几乎完全符合国际个人信息保护的一般原则。

在立法模式上，采用全球主流、全面、普适的立法模式，适用于各行各业。尤其是明确国家机关处理个人信息也适用个人信息保护法，意义重大。在治理建设的背景下，政府已成为最重要的数据处理主体，政府机构遵循个人信息保护法的法律规范，在履行法定职责范围内依法依规处理个人信息，将对全社会起到引领作用。示范效应，彰显我国政府在数字时代践行法治的决心。

在监管内容上，《个人信息保护法》确立了基本原则、数据处理的法律基础、个人信息的分类（包括敏感信息、匿名化信息、去标识化信息等）、数据处理者的义务（包括个人信息保护法规）、个人信息保护规则（包括个人信息保护规则的制定、保护范围的变更、个人信息保护义务的履行等）、个人信息保护法规（包括个人信息保护法规的制定、保护范围的变更、个人信息保护义务的履行等）等。虽然《个人信息保护法》与国际立法（数据泄露通知、个人隐私影响评估、文件记录等）仍有些许差异，但仍然具有较高的兼容性。

在跨境数据流动等场景下，《个人信息保护法》不仅引入了标准合同机制等一些国际上较为成熟的做法，还强调国家积极参与个人信息保护国际规则的制定，推动与其他国家和地区的合作，国际组织之间对个人信息保护规则和标准的互认，体现了开放的心态。

个人信息保护是数字时代各国面临的共同问题，各国应对个人信息保护的法律机制具有天然的相似性，一致的规则体系也有利于避免法律碎片化，促进数字经济的全球发展。

5. 全球数字治理

中国方案贡献

如何平衡个人权益保障与数据利用促进一直是个人信息保护立法的核心命题kaiyun体育，欧盟《通用数据保护条例》（GDPR）以“维权”著称，却始终无法摆脱阻碍欧盟数字经济发展的质疑。

虽然法律机制有共通之处，但在探索数字时代个人信息保护之路和更广泛的数据治理政策框架时，并没有放之四海而皆准的标准答案，欧盟GDPR与美国加州隐私法案（CCPA&CPRA）也是基于地区政治、文化与产业发展基础而量身定制的制度解决方案。

中国自身的数字经济发展规模和基础，以及对未来发展的宏观愿景，决定了中国在设计个人信息保护方案时，有基于自身国情的特殊考虑。这体现在与国际规则总体接轨的同时，在具体机制上仍存在细微差异。其中包括：扩大域外适用效力，但适度限制；建立个人权利体系，但仍对尚存在争议和不明确的权利保持谨慎，关注我国民众的关切；针对大数据画像和数据歧视制定专门规定；在跨境数据流动规则方面，注重发展中国家对数据安全的优先考虑。这些差异代表了发展中国家对数字经济问题的不同视角，而个人权利保护、数字创新发展与国家数据安全的综合平衡，也是中国在当前全球数字治理中的制度贡献。

笔记：

[1] 个人信息保护法草案等15件议案将提请全国人大常委会本次会议审议

[2]周汉华，《个人信息保护法（专家稿）》及立法研究报告，法制出版社，2006年9月1日

[3]参见：，最后访问于 2021 年 8 月 17 日。

[4] 王荣，《民法典人格权规范》出炉：“健康色码”能止异化吗？腾讯研究院微信公众号，2020年5月31日

/上篇文章

你在看我吗？