【法学前沿】论《个人信息保护法》的亮点、特色与适用（上）

　　【中文摘要】《个人信息保护法》的出台，体现了以人民为中心的发展思想，满足了人民群众新时代的新需要、新愿望，为国际数字法治贡献了“中国方案”。《个人信息保护法》进一步扩张了个人信息的保护范围，全面规定了个人在信息处理中的权利，强化了个人信息处理者的保护义务，构建了敏感个人信息的严格保护规则，规范了国家机关的个人信息处理行为，完善了个人信息的法律救济途径，这些都构成立法上的突出亮点。该法彰显时代性、本土性与实践性特色，回应了数字时代的个人信息处理，在吸收世界先进经验的同时凝聚中国智慧，更贴近中国实际与本土背景。《民法典》是《个人信息保护法》的基础性法律，《个人信息保护法》的适用应当与《民法典》的实施相结合，共同构筑个人信息保护的法治防线。

　　【中文关键字】个人信息保护；个人信息权益；民法典

　　【全文】

　　2021年8月20日，十三届全国人大常委会第三十次会议表决通过《个人信息保护法》，该法于2021年11月1日起施行。《个人信息保护法》是我国第一部系统、全面保护个人信息的专门性法律。习近平总书记指出：“网信事业发展必须贯彻以人民为中心的发展思想，把增进人民福祉作为信息化发展的出发点和落脚点，让人民群众在信息化发展中有更多获得感、幸福感、安全感。”[1]正是在这一背景下，《个人信息保护法》应运而生。《个人信息保护法》对《民法典》总则编、人格权编中有关个人信息保护的规定进行了更为细化和系统的规定，完善了个人信息保护制度，丰富了个人信息保护的规则，将为人民群众维护其合法权益提供保障，为企业规范利用个人信息提供指引，也为数字经济在法治轨道上健康发展提供了法治保障。可以说，《个人信息保护法》将切实把广大人民群众的网络空间合法权益维护好、保障好、发展好，使广大人民群众在数字经济发展中享受更多的获得感、幸福感、安全感。[2]本文拟对该法的亮点、特色与适用作初步探讨。

　　一、个人信息保护法的亮点

　　（一）进一步扩张了个人信息的保护范围

　　《个人信息保护法》在与《民法典》等法律规定保持实质一致性的基础上，进一步扩张了个人信息的范围。与《网络安全法》第76条关于个人信息的规定相比，《民法典》第1034条不再采用《网络安全法》所规定的识别自然人个人身份的标准，[3]而采用了识别自然人说，即以单独或结合其他信息可识别特定自然人作为判断个人信息的标准，[4]这也符合个人信息界定的通行做法。[5]从《个人信息保护法》第4条规定来看，其对于个人信息的界定仍然采纳了识别说，与《民法典》的规定具有实质上的一致性。需要指出的是，“识别说”对于个人信息范围的界定其实并不狭隘，识别既包括对个人姓名、地址的直接识别，也包括对个人其他身份的识别。[6]需要指出的是，《民法典》采用“识别说”的标准界定个人信息的范围，这虽然扩张了个人信息的保护范围，但在实践中，有的企业对识别说仍然存在一定的误解。例如，有的企业认为，由于个人信息的碎片不能直接识别特定的个人，因此，仅仅抓取个人信息的碎片并不构成对个人信息的侵害，这显然不利于个人信息的保护。

　　正因为如此，为了进一步强化对个人信息的保护，《个人信息保护法》在概念界定上进一步借鉴了欧盟《一般数据保护条例》的规定，在“识别说”的基础上，又加上了“关联说”的标准。《个人信息保护法》第4条规定：“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。”该法第73条进一步明确，所谓匿名化，“是指个人信息经过处理无法识别特定自然人且不能复原的过程”。由此可见，《个人信息保护法》在一定程度上扩张了个人信息的范围。在个人信息的界定标准方面，《个人信息保护法》之所以增加关联说标准，主要是因为，在互联网与大数据时代，很多信息不能直接识别个人姓名、地址或电话，但却给个人带来极大影响。[7]也就是说，相关信息只需要与个人具有关联性，就可以对个人产生重要影响。以互联网的信息收集与个性化推送为例，很多情形下，从互联网上收集的个人信息并不包含个人的姓名、电话与地址，仅仅是收集用户的IP地址、MAC地址、IMEI码、浏览记录、消费记录以及种种行为信息，但这类信息收集与推送行为都对个人权益造成了重要影响。[8]同样，在剑桥分析丑闻案中，Facebook所收集的信息也不包含个人的真实姓名，但却可以利用用户的画像对个人进行精准推送，甚至干预政治活动。[9]对于此类信息，如果都将其视为非个人信息，甚至促进其无限制的流动，那将对个人信息权益造成重大影响。[10]因此，《个人信息保护法》第4条在“识别”之外添加“有关”的表述，实质上是以扩张解释的方法理解“识别”概念。如果狭隘地甚至僵化地理解“可识别”标准，[11]企业很可能对个人信息保护范围产生认识上的误差，认为只要关注身份信息，并证明其所处理的用户信息并不能用于识别特定个人身份，即可规避个人信息法的规定。如此，大量用户画像和个性化推荐行为即不受个人信息法约束，用户知情权也将难以获得保护。[12]未经用户同意、法律规制的用户画像与个性化推荐还可能导致“寒蝉效应”，用户会感到自己对自身信息如何被收集与利用丧失了控制与预期，对网络产生不信任情绪，有违我国建立健康清朗网络环境的网信工作部署。因此，《个人信息保护法》第4条在界定个人信息的范围时增加了“有关”二字，虽没有实质性改变识别说，但一定程度上扩张了个人信息的范围。

　　除在概念上扩张个人信息的内涵外，《个人信息保护法》还在如下方面扩张了个人信息的范围：一方面，在列举敏感个人信息时扩张了个人信息的范围。关于敏感个人信息，《个人信息保护法》第28条与《民法典》第1034条相比，增加了宗教信仰、特定身份、金融账户等个人信息类型，并且明确了不满14周岁未成年人的个人信息均属于敏感个人信息。另一方面，依据《个人信息保护法》第73条的规定，去标识化信息“是指个人信息经过处理，使其在不借助额外信息的情况下无法识别特定自然人”的信息；匿名化信息“是指个人信息经过处理无法识别特定自然人且不能复原的”信息。该法将匿名化信息排除在个人信息之外，但仍然将去标识化信息认定为个人信息。因此综合而言，《个人信息保护法》对个人信息的范围进行了扩***更为全面的规定。

　　还应当看到，《个人信息保护法》对死者个人信息的保护规则作出了规定，这也扩张了个人信息的保护范围。《个人信息保护法》第49条正面回应了大数据时代自然人死亡后在互联网遗留的一系列相关信息的处理问题，该条规定：“自然人死亡的，其近亲属为了自身的合法、正当利益，可以对死者的相关个人信息行使本章规定的查阅、复制、更正、删除等权利。”该条具有几个重要亮点：一是完善了《民法典》的相关规定。因为在当前数字时代，自然人在网络上常常会有许多数字账号，其中通常会包含大量的个人信息、隐私以及涉及他人的信息。该条进一步完善了《民法典》第994条关于死者人格利益保护的规定，《民法典》第994条在列举死者人格利益时虽然采用了“等”这一兜底表述，但其是否包含个人信息，存在一定的争议。《个人信息保护法》对死者个人信息保护作出规定，丰富和完善了死者人格保护规则。二是新增了近亲属可以对死者相关个人信息行使查阅、复制、更正、删除等权利的规定。例如，为了继承死者的遗产，近亲属有必要查询死者的银行账户信息。三是尊重死者的生前安排。《个人信息保护法》第49条还规定：“死者生前另有安排的除外。”这一例外规定与民法中意思自治、遗嘱自由的理念是一致的。例如，死者生前通过遗嘱禁止他人查询、复制其微信信息，此时，应当尊重其意愿。同时，个人信息的处理本质上也是要保障个人的自主决定，因此，死者个人信息保护应当优先考虑死者生前的自我安排。

　　（二）全面规定了个人在信息处理中的权利

　　比较法上普遍认为，对个人信息保护的目的旨在保护个人对其个人信息的自决。在大陆法系国家，该权利最早起源于德国。1976年，德国学者Christoph Mallmann率先提出“个人信息自决权（das Recht auf informationelle Selbstbestimmung）”，认为个人信息对于个人人格的发展具有重大的意义，是个人自我表现（Selbstdarstellung）和与社会环境交流的媒介。因此，基于自决权，权利人应当享有对个人信息的知情同意等权利。[13]个人信息自决权也为两大法系所普遍接受，该权利也是个人信息保护的理论基础，其他有关个人信息保护的权利都是从该权利中派生出来的。我国《个人信息保护法》第1条开宗明义，就规定了保护个人信息权益；而第44条的规定表明，个人信息保护的主要目的在于保护个人对其个人信息的自主决定，并在自主决定的基础上形成个人对其个人信息所享有的完整权利体系。在《民法典》关于个人信息保护的基础上，《个人信息保护法》细化和新增了如下几项权利：

　　第一，《个人信息保护法》在《民法典》个人信息相关条文的基础上，细化了对查询权、复制权、更正权、删除权等权利的规定，帮助个体更好地对自己的信息权益进行自我管理以及风险预期和防范。[14]《民法典》规定了自然人个人信息受法律保护，并且具体规定了个人在信息处理中的查阅、复制、更正等权利。《个人信息保护法》在《民法典》第1037条的基础上，丰富了删除权的请求情形并补充了例外规定，同时要求个人信息处理者建立个人行使权利的申请受理和处理机制，进一步完善了个人在信息处理中的权利。

　　第二，增加了数据携带权的规定。依据《个人信息保护法》第45条第3款规定，“个人请求将个人信息转移至其指定的个人信息处理者，符合国家网信部门规定条件的，个人信息处理者应当提供转移的途径”。在实践中，数据携带主要是指用户在某个平台的数据移转至另一个平台，如将某个通讯公司中的通话信息移转至另一家公司。数据携带权在欧洲被首先提出，2012年，欧盟在《一般数据保护条例》草案中首次纳入了“用户数据可携权”，并于2016年发布的《一般数据保护条例》正式版本中将“用户数据可携权”单独列为第20条，予以规范。正如欧盟第29工作组所言，数据携带权赋予了个体以一种“整理的、普遍使用的和机器可读的”方式来获取与下载个人数据的权利，[15]数据携带权使个人能够在不同的网站与设备上自由地转移个人数据，公民对于个人数据的控制能力将达到前所未有的高度。此次《个人信息保护法》增加携带权的规定，显示了我国立法机关对于个人信息受保护权的开放与强化立场。

　　《个人信息保护法》新增规定数据携带权具有重要意义。一是其强化了对用户信息自主决定权的保护。对数据的下载、携带、介入、复制等一系列过程，都是个人对其数据自主决定的组成部分。《个人信息保护法》新增规定数据携带权，目的在于实现个人对其数据的自主决定权，因此，其本质上也是用户自主决定权的重要内容。二是便利用户对数据的控制和利用。数据携带允许用户将其数据移转至其他平台，强化了用户对其数据的控制，[16]这也为用户利用其数据提供了便利。因为如果不允许数据携带，则用户在移转到另一个平台时，需要重新积累数据，这不仅成本较高，而且用户前期积累的数据也无法利用，这显然不利于用户对数据的有效利用。三是打破数据垄断，促进数据的流通和利用。数据携带权对促进数据自由流通、增加互信和促进创新具有正面效应。就数字经济发展而言，通过赋予个人数据携带权，有利于消除个人数据自由传输中不必要的障碍，增强互联网的互操作性，部分消除“锁定效应”。[17]当然，这一权利也面临一些争议与可能被滥用的情形，[18]数据携带权所涉及的数据也可能涉及他人数据，甚至他人隐私。[19]为了预防这一权利可能带来的某些问题，如可能带来技术性的难题，[20]给企业附加过多的责任，以及可能导致的竞争问题等，《个人信息保护法》为数据携带权行使规定了适用前提，要求符合国家网信部门规定条件的情形下个人才能行使数据携带权，以实现个人与数据处理者的双赢。[21]

　　第三，细化了个人信息主体在算法与自动化决策中的相关权利。自动化决策的技术核心是算法应用。以往，算法更多是数学家或程序员所关注的对象，算法主要在数学运算或实验室的场景下发生作用。但在大数据与人工智能时代，算法开始在越来越多的应用场景中被用于决策或辅助决策。特别是当算法与个人信息结合，算法的黑箱属性或不透明性使得算法解释权等权利成为核心议题。[22]企业等信息处理者有可能利用算法对不同身份的个体进行差别对待，还有可能利用算法对个体进行个性化定价。在有的情形下，此类差别对待属于正常的商业行为，例如给不同消费能力的群体提供不同价位的推荐和服务；[23]但其也可能导致算法歧视与“大数据杀熟”，有些企业甚至利用其支配地位和算法对个体进行支配甚至欺诈。[24]需要指出的是，算法的复杂性不应成为其不可解释或难以解释的理由。[25]欧盟《一般数据保护法》针对算法解释权与脱离自动化算法决策权作出了规定，平衡了算法应用与个人信息风险之间的关系。[26]我国《个人信息保护法》对此作出了明确回应，规定利用个人信息进行自动化决策，应当保证决策的透明度和结果公平、公正，并且进一步明确，禁止对个人在交易价格等交易条件上实行不合理的差别待遇。[27]

　　（三）强化了个人信息处理者的保护义务

　　个人信息权利的自主决定权能够得到尊重与实现，很大程度上依赖于信息处理者对此种权利的尊重以及依法履行保护义务。因此，《个人信息保护法》第五章专章规定，个人信息处理者应当对其个人信息处理活动负责，并采取必要措施保障所处理的个人信息的安全。《个人信息保护法》还对大型和小型个人信息处理者进行了区分，细化落实了个人信息处理者的保护义务。具体来说：

　　第一，细化了信息处理者合法处理个人信息的义务，确保个人信息的处理活动符合法律、行政法规的规定。依据《民法典》第111条的规定，个人信息处理活动应当依法进行，信息处理者不得非法处理个人信息，但何为合法处理个人信息，何为非法处理个人信息，该条并没有作出明确规定。《个人信息保护法》第51条具体列举了个人信息处理中应当采取的六项举措，只有切实采取这些举措，才能保障个人信息处理活动的合法性。

　　第二，规定了个人信息保护人制度。依据《个人信息保护法》第52条规定，处理个人信息达到国家网信部门规定数量的个人信息处理者，应当指定个人信息保护负责人，负责对个人信息处理活动以及采取的保护措施等进行监督。[28]个人信息保护负责人制度与欧盟等国家和地区的数据保护官（Data Protection Officer，DPO）制度具有一定相似性，设立这一制度的核心在于促进企业个人信息保护的专业性与独立性，强化企业的内部数据治理。[29]目前，我国很多企业都在内部设立了专门的数据保护职位或人员。有的政府部门也已经进行了试点，例如，广东省已出台《广东省首席数据官制度试点工作方案》，试点建立首席数据官制度，创新数据共享开放和开发利用模式，提高数据治理和数据运营能力。深圳市也发布了《深圳市首席数据官制度试点实施方案》，将在该市本级政府、福田等4个区政府、市公安局等8个市直单位试点设立首席数据官，提高数据治理和数据运营能力，助力深圳智慧城市和数字政府建设。此外，依据《个人信息保护法》第53条规定，在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动的，也应当依法在我国境内设立专门机构或者指定代表，负责处理个人信息保护相关事务。

　　第三，建立了个人信息保护影响评估制度。依据《个人信息保护法》第55、56条，在处理敏感个人信息、利用个人信息进行自动化决策、委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息、向境外提供个人信息以及对个人权益有重大影响的个人信息处理活动中，应当进行个人信息保护影响评估。这一规定与欧盟《一般数据保护条例》所规定的“数据保护影响评估”（data protection impact assessment）具有一定的相似性。《一般数据保护条例》规定：“当某种类型的处理——特别是适用新技术进行的处理——很可能会对自然人的权利与自由带来高风险时，在考虑了处理的性质、范围、语境与目的后，控制者应当在处理之前评估计划的处理进程对个人数据保护的影响”。[30]从治理模式上说，这种制度确立了企业自我规制和风险自我管理模式。相比其他制度，个人信息保护影响评估制度更为动态，这种制度要求企业时时掌握个人信息保护的风险，并采取对个体影响最低的方式处理个人信息。

　　第四，规定了提供重要互联网平台服务信息处理者的特殊保护义务。大型网络平台与超大型网络平台的出现，使得用户对其往往具有很强的依赖性。[31]在个人信息处理方面，互联网平台为平台内经营者处理个人信息提供基础技术服务、设定基本处理规则，是个人信息保护的关键环节。从防范风险的角度出发，大型互联网平台对平台内发生的个人信息处理活动具有较强的风险防范能力，是控制平台内违法处理个人信息风险与预防危险的适格主体，[32]在个人信息保护方面应承担更多的法律义务。因此，《个人信息保护法》第58条对提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者（如腾讯、阿里等）规定了特别义务，包括成立主要由外部成员组成的独立机构对个人信息保护情况进行监督；对严重违反法律法规的平台内主体停止提供服务；定期发布个人信息保护社会责任报告等。[33]而对于信息量较少、处理活动简单、技术水平较低的小型企业则要求其遵守个人信息处理者的一般性义务，包括遵守内部管理制度和操作规程，对个人信息实行分类管理、去标识化等安全技术措施，明确操作权限与应急预案等。《个人信息保护法》落实了信息处理者的保护责任，强化了其风险防范，并使其为不符合法律规定的保护措施承担法律责任，如强制执行、罚款甚至刑事处罚。[34]

　　来源：《法学家》2021年第6期