从立法到社会治理：个人信息保护法的探索

■张化冰

2021 年11 月1 日，《中华人民共和国个人信息保护法》（以下简称个人信息保护法）正式施行，标志着我国的个人信息保护进入了一个新的发展阶段。自2003 年开始，我国就加紧对个人信息保护的立法研究工作，本部法律的出台也历经了十多年的酝酿论证。

这是我国首部专门针对个人信息保护的系统性、综合性法律，有以下几个总体特征：第一，这是一部处理自然人个人信息的法律；第二，这是一部针对电子或者其他方式记录的与自然人有关的专门法；第三，该法将对个人信息处理者包括媒体尤其是互联网平台产生重要影响。

“权利—义务”为核心的立法准则

全球信息的自由流动是在互联网迅速发展的上世纪90 年代末开始的，个人隐私权的问题也随之浮出水面。美国个人隐私研究专家马克·罗滕伯格早就说过，“隐私之于下个世纪的信息经济，如同消费者权益保护和环境问题之于20 世纪的工业社会。”①

互联网带来的个人信息保护问题是全球性的，早在1995 年10 月，欧盟议会代表所有成员国通过了《欧盟个人数据保护指令》，第一条即阐明了其目的是“为了保护自然人的基本权利和自由，尤其与个人数据处理相关的隐私权”。②2018年5月25日欧盟正式施行的《通用数据保护条例》（GDPR），被认为是最严格也最受到关注的有关信息保护的法律。

我国作为互联网第一大国，近年来一直致力于从法律上推进个人信息保护，如2017 年6月1日实施的网络安全法，其中有11 个条款作出个人信息保护的规定，并于2020年颁布了《信息安全技术个人信息安全规范》，2021年1月1日实施的民法典中专设“隐私权和个人信息保护”一章，都对个人信息保护作了规定。

个人信息保护法从个人信息收集、处理的主客体方面作了全面规定，比如互联网企业、国家机关、个人信息提供者、未成年人等，同时该法确立了我国个人信息保护的基本原则，即“权利—义务”为核心的个人信息处理规则，一方面是指互联网企业在使用了收集个人信息的权利后，应承担个人信息保护的义务；另一方面是指个人信息的保护也要在个人权利和公共利益间取得平衡。例如，根据其第13 条第1 款第4项、第5 项规定，为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需，或者为公共利益实施新闻报道、舆论监督等行为，信息处理者可以不需取得个人同意处理个人信息。又如，根据其第26 条规定，基于维护公共安全的目的，可以在公共场所安装图像采集、个人身份识别设备。

“敏感个人信息”概念的确立

个人信息保护法中“敏感个人信息”成为一个关键词。“敏感个人信息”是指生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，尤其需要注意的是，基于对未成年人的保护考虑，14周岁以下未成年人信息被界定为“敏感个人信息”，对其进行更为严格的保护。个人信息保护法第31 条第2 款规定，个人信息处理者处理不满14周岁未成年人个人信息的，应当制定专门的个人信息处理规则。

根据第49 次《中国互联网络发展状况统计报告》，截至2021 年12 月，我国网民规模为10.32 亿，而我国19 岁以下网民数量达到17.6%，即1.82 亿人；10 岁以下网民数量占比4.3%，达到4438万人。未成年人越来越成为我国网民的重要组成部分。

近年来，由于短视频信息平台的影响力加大，未成年人用户与日俱增，同时不断出现侵犯未成年人隐私甚至引发猥亵儿童等犯罪行为的案例。由于短视频平台是一种新生事物，如何在法律层面进行规制还是一个新课题，同时互联网企业如何界定内容是否侵犯隐私权、如何进行自我过滤和自我审查等都是问题。比如有的短视频App上传推送大量未成年人生活的内容，其中难免包括侵犯隐私权的部分；有的短视频App则专门违法违规收集、使用未成年人信息，甚至专门针对未成年人进行犯罪等。

此类乱象已引起政府有关部门高度重视，比如2020 年，根据检察机关工作建议，北京市网信办制定了《关于开展未成年人信息安全保护专项整治的工作方案》，对属地重点直播和短视频平台逐一梳理，落实网站主体责任。2021 年6 月1 日实施的新修订的未成年人保护法专门增加了网络专章，明确网络平台应该保护未成年人的信息安全，防止其利益受损。

个人信息保护法中“敏感个人信息”概念的确立不仅加强了对未成年人的保护，还从执行层面对个人信息保护予以了规定，比如第48 条规定“个人有权要求个人信息处理者对其个人信息处理规则进行解释说明”；第50 条规定“个人信息处理者应当建立便捷的个人行使权利的申请受理和处理机制”。这是对互联网环境下一直处于弱势的网民个人信息保护的直接介入和保护。

企业个人信息保护机制的完善

个人信息保护法明确了互联网企业保护个人信息的责任，第51 条明确规定应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等，采取措施确保个人信息处理活动符合法律、行政法规的规定，并防止未经授权的访问以及个人信息泄露、篡改、丢失。

从传统媒体时代进入互联网时代后，不仅信息把关人缺失，互联网企业也不再以传统媒体具有的媒体道德、自律约束自己，人人成为传播者的时代让海量内容不断上传，把关人、新闻职业道德、媒介素养等均处在一个相对混乱、无序的时期。个人信息保护法第58 条要求，互联网企业要建立健全个人信息保护合规制度体系，成立主要由外部成员组成的独立机构对个人信息保护情况进行监督；明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务；定期发布个人信息保护社会责任报告，接受社会监督，并定期对从业人员进行安全教育和培训等。

事实上，政府相关部门近年来一直高度重视个人信息保护问题，通过各种立法、行政命令督促互联网企业负起个人信息保护的义务。比如2021年9月实施的数据安全法，要求网络运营者“应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失”。

与个人信息保护法相比，其他法律的立法对象并非以个人尤其是网民为主，因而该法对未来互联网企业中的个人信息保护机制的建立具有重要的推动作用。其第52条明确指出，“互联网企业应当指定个人信息保护负责人，负责对个人信息处理活动以及采取的保护措施等进行监督”“个人信息处理者应当公开个人信息保护负责人的联系方式，并将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门”。这是非常具象化、具有可操作性的个人信息保护法律举措。

当然，我们也要看到个人信息保护法实施后在落地、执行过程中可能出现的一些问题，比如如何区分普通个人信息处理者和提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，个人对互联网企业行使权利的申请受理和处理机制如何有效建立，社会如何更好地监督互联网企业的个人信息保护工作，等等。

个人信息保护是一个任重而道远的历程，这对所有接入互联网的国家都是如此，个人信息保护法的实施是这个历程中非常重要的一步。最终个人信息保护还是要纳入社会治理的框架中来，要由政府、企业、个人和第三方机构联合完成，尤其是在法律已将个人信息保护纳入考核企业社会责任并需要定期发布报告的情况下，如何建立个人、企业和政府之间的高效、良好的互动和合作关系，是未来个人信息保护的发展方向，个人信息保护法无疑为此奠定了坚实的基础。

注释：

①［美］理查德·斯皮内洛：《铁笼，还是乌托邦——网络空间的道德与法律》，李伦等译，北京大学出版社2007年版，第133-134页。

②同①，第154页。