明确了个人信息的处理原则

个人信息处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等环节。在充分结合国内外实践经验、立法成果以及个人保护要求后，《个保法》确立了个人信息处理的三类原则：一是处理个人信息应满足一般原则要求，包括合法正当、具有明确及合理目的、对个人权益影响最小、遵循公开透明处理原则等。二是处理生物识别、医疗健康、行踪轨迹等易导致个体人格尊严、人身、财产安全受到侵害的，以及未满14周岁未成年人的个人敏感信息时，应建立更为严格的保护措施，否则不予相关主体处理敏感信息的资格。三是国家机关处理个人信息应满足特别规定，包括境内存储个人信息、出境安全评估、不得超出履行法定职责所必需的范围和限度等。

提出了个人信息处理者的责任义务

一方面，要求个人信息处理者建立符合法律规定的内部个人信息保护制度，如开展对个人信息的分级分类管理、采取加密、去标识化等技术措施强化个人信息处理操作权限、定期开展从业人员安全教育和培训、制定个人信息安全事件应急预案、开展个人信息保护安全评估、设置个人信息保护负责人等。另一方面，为具有巨大用户数量、复杂业务类型的互联网平台制定了针对性要求，包括要求其建立公开、公平、公正的平台规则，定期发布个人信息保护社会责任报告、接受社会监督等。

强化个人信息安全监督管理

一方面，为夯实个人信息安全监管基础，《个保法》建立了个人信息保护机构机制，并进一步明确了各监管部门监管范围和基本职责。具体包括，由国家网信部门负责统筹协调个人信息保护具体规则制定、个人信息保护评估认证推进等相关工作，国务院有关部门、各地方相关部门等各司其职进行个人信息保护和监督管理。另一方面，《个保法》加大了对个人信息违法活动的处罚力度，设置的处罚全面覆盖了常见的违法行为。通过设置五千万元或者上一年度营业额百分之五的高额罚款，对当前贩卖个人信息、滥采滥用个人信息等侵害个人信息权益的违法行为进行强有力的威慑，实现了对各类违法主体的精准打击，大大增加企业的违法成本。

赋予个人信息主体六大权利

《个保法》从法律层面赋予个人信息主体关于个人信息保护的各项权利，一是个人知情权和决定权，个人可在使用产品和服务时，限制或拒绝相关个人信息处理活动。二是个人要求解释权，个人可在信息被收集时，要求个人信息处理者对信息收集、使用目的等进行解释说明。三是更正补充权，个人可针对不准确、不完整的个人信息要求个人信息处理者进行更正、补充。四是查阅、复制和可携带权，个人有权从个人信息处理者处查阅并获取个人信息副本，以及请求个人信息处理者直接将其个人信息传输给另一实体。五是请求删除权，个人有权通过撤回同意等方式要求信息处理者删除已收集的信息。六是信息待决定权，逝者个人信息的查阅、复制、更正等权利在一定条件下由其亲属代为执行。

进一步细化了个人信息跨境提供的规则

一方面，明确了个人信息跨境的三大基本要求，包括要求关键信息基础设施运营者、其他一般个人信息处理者及时告知个人、具备向境外提供信息的必要条件、落实对应的安全审查义务。另一方面，建立了个人信息跨境流动领域的国际竞争与合作制度。合作方面，提出了按照平等互惠原则依法向境外提供个人信息。竞争方面，设置了个人信息境外提供的限制措施，并制定了对等反制策略，及时有效应对国外在个人信息保护领域对我国采取的具有歧视性的限制禁止措施。

《个保法》内容较为丰富，针对当前社会关切的个人信息保护问题均有所涉及，直面当前个人信息保护中的热点难点问题。

限制过度收集个人信息，从源头防范信息泄露

近些年，通过移动APP等线上应用或摄像头等线下设备过度收集用户信息问题频频引发质疑，个人信息采集边界模糊，个人信息被“疯狂野蛮开采”。《个保法》特别针对个人信息过度收集问题做出回应，提出了以“知情同意”为重要核心，以“最少必要信息”为基本原则的个人信息采集要求，明确了除少数特殊情况外，个人信息采集应取得个人同意，且应限于实现处理目的的最小范围，旨在从数据全生命周期源头为个人信息打造“安全保护锁”。以线下采集人脸信息场景为例，《个保法》规定，在公共场所采集人脸信息应设置显著提示标识，且仅限于维护公共安全目的，这正是针对此前线下各大商家滥用摄像头暗自采集人脸信息并用于实施营销推广等乱象进行明确法律规制的体现。

规范自动化决策，强化消费者权益保障

《个保法》对基于数据和算法的自动化决策所引发的风险问题进行了专门回应。一方面，禁止强制性个性化算法推荐。《个保法》明确提出，向个人进行信息推送、商业营销，应当同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式，这为相关产品和服务中存在的个性化广告信息骚扰问题设置了法律规制路径。另一方面，明确禁止大数据杀熟。此前，通过数据和算法实施价格歧视，在相关产品和服务中对不同用户采取不同价格政策的问题引起了社会各界强烈的反映。现《个保法》明确规定，个人信息处理者利用个人信息进行自动化决策，不得对个人在交易价格等交易条件上实行不合理的差别待遇。在社会各界的普遍监督下，滥用技术手段实施“大数据杀熟”行为的主体将会受到高额罚款、终止服务等严厉的监管处罚。在具备强有力的法律威慑和法律管束的生态环境下，消费者权益将会得到充分保障。

加强儿童和逝者的信息保护，充分考量特殊群体的信息权利

一方面，为限制线上教育、游戏、短视频及社交平台等利用儿童个人信息进行非法牟利，如诱导其进行在线充值、打赏等，《个保法》将不满十四周岁未成年人的个人信息纳入敏感信息范围，并要求个人信息处理者对此制定专门的个人信息处理规则，旨在为辨识和控制能力较弱，且尚无完全民事行为能力的儿童群体建立更高级别的保护要求，和美欧等国家的GDPR、CCPA、UPDPA等国外法案相比，儿童个人信息保护是我国个人信息保护法制度的一大创新。另一方面，《个保法》与《民法典》中对逝者的个人隐私保护相关内容进行了有效衔接，明确了逝者亲属为了自身的合法、正当利益，可对逝者个人信息行使相关权利，并尊重死者的生前安排。将道德与法律有机结合，是人性化立法的体现。

完善个人信息救济机制，构建个人信息保护闭环

由于“技术鸿沟”和“平台权利”的存在，在长期的个人信息维权过程中消费者个人往往处于弱势地位。为进一步打破个人信息救济面临的困境，《个保法》明确了履行个人信息保护职责的相关部门应接受、处理与个人信息保护有关的投诉、举报，并应及时处理和告知处理结果，这使得行政投诉机制形成了有效的闭环，可保证个人救济机制良性运转。同时，作为“事后”监管机制的一部分，可通过发挥个体监督力量，及时发现各大技术应用中难以发觉的个人信息安全风险漏洞，并对相关风险开展及时的处置，以避免更大范围的风险扩散。

分类设置个人信息保护要求，充分确保相关义务履行的可行性

不同规模的个人信息处理者在数据体量、技术能力、管理资源上存在差异，为此，《个保法》对不同规模的个人信息处理者设置了不同的义务要求，提出互联网巨头等大型个人信息处理者需履行“守门人”角色，自行制定有关个人信息保护的平台规则、主动发布社会责任公告等，而信息量较少、处理活动简单、技术水平较低的小型企业则由国家网信部门为其制定数据处理的相关规则。这一举措也充分体现出我国法律制定对于“因材施教”的考量：针对大型企业，充分发挥其主体责任，重点加强对其个人信息处理活动的监管；对于小型企业，需考虑其强化个人信息保护和负担合规成本之间的平衡，避免较高的合规成本成为其创新发展的阻碍。

建立起与我国数字实力相匹配的法律制度，使我国个人信息保护“有法可循”

随着个人信息价值的凸显，个人信息权益保护变得愈加重要。过去几十年，国际上诸多国家纷纷探索个人信息保护制度，并相继完成个人信息保护相关立法，如欧盟的GDPR法案，阿根廷和越南的《个人数据保护法》以及美国各州出台的《消费者数据保护法》等。在强化个人信息保护方面，我国虽早已发布关于个人信息安全保护的多项规范性文件及国家标准，并组织开展违法违规行为的专项打击活动，但由于缺乏具有强威慑力的专项法律制度，个人信息安全乱象屡禁不止，由此对我国数字技术和产业发展造成的风险也逐渐加剧。《个保法》的出台，在极大保护我国个人信息权益的同时，也为我国数字技术在法律规定的框架内快速发展创造了条件，并为我国智慧城市、自动驾驶、网络零售等数字产业平稳发展提供了良好的社会环境。

彰显了我国数字领域“以人为本”的国家治理理念

我国具有丰富的数据资源，且相较国外文化更易搜集数据，因此在多年的发展中，我国在以数据为核心驱动力的人工智能、物联网等数字技术领域占有国际领先优势。但在数字技术为我国经济发展带来重大机遇的同时，也不断滋生个人信息安全风险隐患，且这些风险隐患对不同群体的个人权益造成了不同程度的严重危害。在此背景下，《个保法》特别对自动化技术不当应用产生的“大数据杀熟”、“强制个性化推荐”等本能带来可观经济收益的技术应用进行了限制，避免人工智能等数字技术滥用造成个体对数字社会发展的信任裂痕。此外，《个保法》甚至制定了更为严格的规定，进一步控制数字技术及应用可能对儿童等弱势群体造成的影响。此等相关规制举措，均体现了我国在数字领域的制度制定充分考虑并尊重个人权利、权益，充分彰显了我国数字领域“以人为本”的国家治理理念。

为全球数据治理贡献了中国解决方案

《个保法》向全世界传达了我国保护个人信息权益、治理网络环境、引导数字经济健康有序发展的决心和担当。一方面，其内容与国际通用规则紧密接轨，其确立的个人信息处理原则、个人信息处理者责任义务、设立个人信息跨境标准合同机制等方面均与国际立法具有较强兼容性，有助于数字经济的全球化发展。另一方面，又基于我国自身数据技术、产业、文化基础，设置了中国式特色规则，如建立了个人权利体系、将儿童信息列为敏感信息保护、制定了适度有限的域外效力等。基于自身国情设计个人信息保护领域的中国方案，不仅有益于国内数据产业的规范化发展，也将成为全球数字治理中的引领和示范。

中国电子信息产业发展研究院 王伟洁