个人信息保护法出台，改变了什么？

南方周末记者 周小铃 吴超 南方周末实习生 闫一帆

个人信息保护法的出台历经十八年，它将个人信息保护权上升为公民的一项基本权利。　视觉中国　❘图

南方周末记者张玥　❘整理　梁淑怡❘制图

★当前个保法涉及的是个人权益保护，并不直接解决个人信息相关的财产权。“立法者给了各方利益平衡的空间。”“从处罚的最高额度来说，除欧盟外，其他地方没有见过这么高的罚款，能起到一定的威慑作用。”

2021年8月20日，十三届全国人大常委会第三十次会议表决通过了《中华人民共和国个人信息保护法》（以下简称“个保法”），自2021年11月1日起施行。

距2003年专家起草个保法建议稿已经过去十八年。2018年，个保法正式进入立法流程。三年，历经三次审议最终成型。

个保法共分为8章74条，明确了个人信息处理活动中的权利义务边界，是首部完整规定个人信息处理规则的法律。其第一条明确指出，该部法律“根据宪法”制定，意味着个人信息保护权上升为公民的一项基本权利。

未界定个人信息权属问题

在个保法出台前，已有地方推出与个人信息相关的数据管理条例，如《深圳行政特区数据条例》《上海市数据条例》。

其中，深圳将“个人数据”定义为可识别特定自然人信息的数据，并将个人数据分为自然人享受的人格权益和其他合法的信息处理者享受的财产性权益。

而在个保法中，并未对个人信息的权属问题作出界定。

中国互联网协会研究中心副主任、北京师范大学网络法治国际中心执行主任吴沈括是参与个保法制定的专家。他向南方周末记者介绍，个人信息保护源于宪法对于公民人格尊严的保护，个保法涉及的是个人权益保护，并不直接解决个人信息相关的财产权。“立法者给了各方利益平衡的空间”。

他补充，数据问题作为国家基本民事制度或者基本经济制度，按照立法要求，应为中央立法权限，地方所有立法应遵循国家的顶层设计，各地虽可以先行先试，但必须遵循中央立法确定的个人数据治理、流转和利用的基本规则。除非有中央立法机关的特别授权。

北京大学法学院教授、法治发展研究院执行院长王锡锌也是深度参与个保法立法的专家。他告诉南方周末记者，数据产生权益，但并非所有权，所有权是针对有形物，解决稀缺性的问题，而数据不具备稀缺性，“我拿过来数据，你的数据并没有减少，就像阳光。”数据和有形物的差异，让所有权界定成为难题。

王锡锌说，参与信息处理的各方，个人、企业、国家都可以主张权益，但权益分配并非个保法要解决的问题。

环球律师事务所网络安全与数据合规团队合伙人孟洁也同意前述观点。个保法只是对个人信息保护作出框架性规定。对个人而言，明确哪些权利受法律保护，对控制个人信息的企业而言，在保护个人信息上又要承担哪些义务。“现在讨论财产权益归属，反而不利于法律的落地”。

中国人民大学法学院教授石佳友向南方周末记者解释，个人信息和数据是两回事。如果企业将用户信息进行匿名化处理，无法识别个人用户，比如几百上千个车主驾驶习惯分析形成的大数据，这属于企业所有，与个人无关。个保法只针对个人信息，就是具有身份识别功能的信息。

五种情况需要个人单独同意

“告知-同意”原则是贯穿个人信息保护的基础规则，是个人信息处理者处理用户信息的前提。

以往，个人信息处理者提供的是一揽子的同意协议条款。个保法明确规定了两种“同意机制”，一是广泛的同意，二是个人单独同意，特别强调需在个人充分知情的基础上作出明确同意。

王锡锌举例，比如涉及敏感个人信息需要拎出来获得用户个人的单独同意，而不是只有一个同意与否的选项。如果用户针对涉及敏感信息的部分选择不同意，也不能影响用户在一般情况下正常使用软件。敏感个人信息包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。

“原则上是不能收集敏感信息的，除非有特别的目的或明确的必要性。”张新宝说。他是中国人民大学法学院教授、中国法学会网络信息法学研究会副会长，参与个保法全程立法工作。

孟洁总结，个保法中规定需要单独获得同意的有五类应用场景：个人信息公开，向第三方提供个人信息，向境外提供个人信息，处理敏感个人信息，以及并非出于维护公共安全目的而使用公共场所采集的图像和身份识别信息。此外，有法律、行政法规规定的，从其规定。

同时，个保法规定个人信息处理者要针对不同类型的信息进行分类处理。

吴沈括认为，信息分类是立法的总体要求，包括数据安全法中提到数据分类分级管理。落实到个人信息保护领域，分为敏感信息和非敏感信息、未成年人信息和成年人信息等。

企业也可基于自身业务实践做进一步分类。吴沈括说，“立法者也是希望企业能针对不同类型的数据有不同强度、不同形式的保护，体现个保法全面保护的要求”。

对比个保法二审稿，对个人信息进行分级的表述在正式稿中被删除。吴沈括表示，在不同场合中个人信息的敏感性质不相同，同一个信息在不同应用场景中的价值属性也不相同，拿掉“分级”是为了给予企业更具弹性的操作空间，但不意味着个人信息分级不重要。

腾讯安全云鼎实验室数据安全专家刘海洋在个保法颁布当晚的一场新媒体沙龙中谈到，拆解具体法条后，总结了个人信息处理者的九项义务，包括主动删除、定期审计、事前评估、保障行权、信息泄露补救等。

刘海洋介绍，由于个保法要求获得个人同意和告知的场景较多，直接影响横向和纵向的上下游。从个保法要求来看，一个授权解决整个生态的问题是不可能的。新增的授权及信息处理要求，尤其梳理业务关联关系时的工作量非常庞大。

高处罚水平

个保法通过后，信息处理者面临更严格的合规要求。

比如处理敏感信息时，要求企业在特定目的和充分必要性下，采取严格的保护措施。实际上，企业对严格的保护措施并没有一套统一标准，这也留给了企业和监管机构自主判断的空间。

“由于个保法的过错推定责任，决定了企业会自主选择用最严格的办法，在经济成本承受范围内保护个人信息。”吴沈括解释，只有企业系统地建章立制、尽全力保护用户信息，它才能证明自己在保护用户个人信息上没有过错。

尤其是对于互联网平台这类用户数量巨大、业务类型复杂的个人信息处理者，个保法要求这类企业要建立个人信息保护合规制度，且要由外部成员组成的独立机构来监督；定期发布个人信息保护社会责任报告；违反法律、法规的个人信息处理者停止服务。

王锡锌说，在个人信息保护方面企业合规需要有适应过程，合规成本自然也会随之增长。但企业做好合规工作，对投资者也是正向激励，也有利于企业的上市和融资。

涉及数据跨境的企业，个保法规定了四条出境途径：一是通过网信部门组织的安全评估，二是由专业机构提供个人信息保护认证，三是遵守网信办后续发布的标准的合同条款，四是符合法律、行政法规或国家网信部门规定的其他条件。

王锡锌补充，数据出境不仅涉及个保法，最主要是涉及数据安全。专业机构提供的第三方认证主要看是否做到匿名化处理。匿名化后，这些信息就不再是个人信息，也不再受个保法约束，评估的核心就变成了数据安全问题。

从处罚金额看，个保法对违反个人信息保护的企业规定了较高的处罚水平。

中国人民大学法学院教授张新宝对南方周末记者表示，个保法对企业的处罚主要分为两种情况：对中小企业的处理，最高不超过5000万；对大型企业来说，最高罚上年度营业额的百分之五，甚至暂停业务或吊销营业许可，处罚落实到直接责任人。处罚权限上升到省级人民政府的网信部门来实施。

张新宝说，“从处罚的最高额度来说，除欧盟外，其他地方没有见过这么高的罚款，能够起到一定的威慑作用。”然而，具体的实施还要根据网信办细则来执行。

值得注意的是，此次个保法将政府和市场主体一并纳为规范对象。

禁止“大数据杀熟”

个保法明确保障个人对个人信息享有知情权、决定权、查阅复制权、删除权、规则解释权，有权限制或拒绝信息处理者处理个人信息，有权撤回“同意”。

一直以来，个人信息受侵害取证难度大、诉讼时间长，使得个人维权十分困难。

吴沈括介绍，个保法明确了用户维权的几条路径：一是社会性保护，通过消费者保护组织保障；二是行政保护，通过国家行政机关设立的投诉举报机制保障；三是司法保护，可以个人诉讼维权，可以代表人诉讼即集体诉讼，也可以公益诉讼。

吴沈括说，这是个人信息保护的公益诉讼正式进入立法，“是先行先试的举措”。

此外，个保法首次提及自然人死亡的个人信息处理问题。自然人死亡后，可由其近亲属代为行使个人信息保护相关权利。

张新宝解释，本条有两个含义：一是原则上以死者生前意愿为准，保护死者的人格与隐私，算是遗嘱的一部分。如果死者生前未做表示，近亲属可以在具有合法权益的情况下代为行权，但不意味着可以用死者名义发布微信、帖子，“这就超出合理范围”。

个保法也禁止了“大数据杀熟”，即个人信息处理者利用个人信息进行自动化决策，不得对个人在交易价格等交易条件上实行不合理的差别待遇。

王锡锌分析，与平台经济领域的反垄断指南不同，个保法侧重于解决“大数据杀熟”中企业对个人数据的滥用。

个保法还规定了由国家网信部门来统筹协调个人信息保护工作和相关的监督工作。

华东政法大学教授、数据法律研究中心主任高富平告诉南方周末记者，网信办是网络安全的监管机构，由网信办负责个人信息保护监管工作具有先发优势。美国一般放在贸易委员会实施监管，欧洲则由专门的数据监管委员会负责。

中国社会科学院法学研究所副所长周汉华在接受南方都市报采访时谈到，有专家曾建议设立统一的执法机构，最终没有被采纳。