《个人信息保护法》之解读

还记得2020年7月，浙江省绍兴市柯桥区人民法院开庭审理了胡女士诉上海携程商务有限公司侵权纠纷一案一度上了热搜，携程APP被判退一赔三，同时，法院认定携程APP收集的用户信息超越了形成订单必需的要素信息，属于非必要信息的采集和使用，其中用户信息分享给携程可随意界定的关联公司、业务合作伙伴进行进一步商业利用更是既无必要性，又无限加重用户个人信息使用的风险，判决“被告应在其运营的携程旅行APP中为原告增加不同意其现有‘服务协议’和‘隐私政策’仍可继续使用的选项，或者为原告修订携程旅行APP的‘服务协议’和‘隐私政策’，去除对用户非必要信息采集和使用的相关内容，修订版本需经法院审定同意。”

不久之后，即2021年8月20日，《个人信息保护法》正式颁布，定于11月1日正式施行。至此，在信息技术高速发展的时代，与国际立法接轨的、以保护个人信息为内容的专门法律正式出台。

随着信息技术的发展，层出不穷的网络侵权事件、信息处理者擅自收集、提供、利用公众的个人信息、个人信息的非法买卖甚至成为了一个新兴行业，对公众的财产、名誉甚至是生命安全都造成了威胁，而国家法律法规、行政规章等层面缺乏有效的制约机制、惩罚手段，个人信息保护处于失序状态。这之前，国家对个人信息保护的方式主要为直接保护和间接保护，前者数量极为有限，仅有《中华人民共和国护照法》、《中华人民共和国身份证法》等直接对其进行了规定；间接保护则是通过“人格尊严”、“个人隐私”、“个人秘密”等词汇予以笼统概括，作用也是极为有限的。刑法重在惩罚、行政法重在行政管理，对公民权利的确认及事后的救济措施却无强有力的作用，公民个人信息在遭受相关侵害时往往无法可依、无人可找，正因为原有的个人信息保护规定过于笼统、原则，而缺乏实践可操作性，归责、追责困难，以至于公众进行投诉、诉讼困难或不愿投诉、起诉。

《个人信息保护法》的出台，填补了我们立法领域中对个人信息权益专门化保护的空白，既与国际立法接轨、适应数字化时代对个人信息的多重价值属性的重视，又回应了国内对制定保障公民个人信息权益专门立法的呼声，至此，我国已经建立起保护个人信息的科学、系统而全面的保护体系。

《个人信息保护法》的根本目的，正如清华大学法院院教授程啸所言，是一部“保护个人信息权益的法”，个人信息法正是基于这样的目的对个人信息权益做了一个全面的规定。不同于以往的笼统的法律规定，《个人信息法》对个人在信息处理中享有的权利做出了全面规定且赋予了可诉性，既保障了个人可主张及行使的权利，也保护了死者近亲属合法、正当的利益。

在对个人权益进行保护的同时，区分了一般个人信息及个人敏感信息，并强化了对个人敏感信息的保护规则，将未满14周岁的未成年人的个人信息纳入个人敏感信息范畴，设置了适用特殊的处理规则和国家机关处理个人信息的特别规定。

1、透明度原则：通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或经济、健康、信用状况，并进行决策，即自动化决策过程中，要求信息处理者在处理个人信息时，去标识化、匿名化，在履行告知义务的前提下，取得信息主体的个人同意，包括明示、授权方式，在进行更新、修改过程中应重新取得同意，并保证个人有权撤回其同意。本文开头的携程APP大数据杀熟案例，正是在未充分保证自动化决策的透明度和结果公平、公正的情况下发生的，本次《个人信息保护法》针对自动化决策再次强调了透明度原则的适用。

2、个人信息保存期限以最短必要为原则：《个人信息保护法》第19条规定：个人信息的保存期限应当为实现处理目的所必要的最短时间。即，根据必要性的要求，规定在满足目的后，信息处理者应尽快予以删除，法律另有规定的，从其规定。

3、侵权损害赔偿责任适用过错推定原则：该法第69条规定，个人信息处理侵害个人信息权益造成损害的，处理人如果不能证明自己没有过错的，必须承担损害赔偿等侵权责任。考虑到个人信息侵害案件中，受害人处于弱势地位，对损害的发生往往难以举证证明，此条规定有利于减轻受害人的举证负担，对于保护其个人信息权益较为有利。

4、国家机关处理个人信息规则

    国家机关在收集、处理公民个人信息时，应依照法定权限、程序进行，履行告知义务、负有法定保密义务；在公共场所安装图像采取、个人身份识别设备时，应当为维护公共安全所需要，并设置显著提醒标识；

5、个人信息处理者的义务

遵循保证信息收集的质量、合目的性、使用限制性、采取必要措施保障个人信息安全等义务，要求处理个人信息达到国家网信部门规定数量的个人信息处理者需指定负责人；要求大型互联网平台建立健全制度，建立由外部成员构成的独立机构，对个人信息活动进行监督。

《个人信息保护法》以专章形式对“敏感个人信息”的处理规则作出了详细规定，第28条规定：敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。

相关信息处理者在处理以上敏感个人信息应遵循的处理规则为：

1、以特定目的和充分必要性并采取严格保护措施，取得个人的单独同意，且同时满足“明示同意”的要求，依法处理需取得书面同意，且必须符合“书面同意”的形式要件；

2、履行告知义务：遵从个人信息处理的告知要求；向个人告知处理敏感信息的必要性以及对个人权益的影响；处理不满十四周岁未成年人个人信息的，应取得未成年人的父母或监护人的同意；应当制定专门的个人信息处理规则；依法应当取得相关行政许可或者作出其他限制的，从其规定。

相对于《个人信息保护法》出台前，受侵害公民无法确定向什么机构投诉、举报等现象导致的诉讼困难，该法明确了履行个人信息保护职责的部门由国家网信部门进行统筹和协调，具体落实的工作由国务院各部门在各自职责范围内进行纵向的“条块管理”，县级以上地方人民政府按照该模式进行管理。

随着数字经济的蓬勃发展，自2003年以来，针对我国当下诸多现实迫切的问题，国家相关部门做出了不少的努力，委托专家多次起草相关草案；长期、多地的社会调研，为本部专门法律的出台奠定了社会现实、法律基础，相信随着国家监控执法措施的不断推进、司法裁判的不断实践，在多方共同参与之下，个人信息处理活动将得到不断规范，个人信息的合法合理利用将成为常态，置身于安全有序的网络环境中，人们能在感受数字化时代带来的经济、便捷的同时，亦感受到强有力的个人权益保护。