经过多年酝酿和打磨，《中华人民共和国个人信息保护法》将于11月1日起施行。

数字时代，得到信息的人得到了世界。但一直以来，这句话的前提并没有真正实现:“得”的手段要公正，量要适度，获得的信息要妥善保管。这也使得个人在享受数字红利的同时，随时面临信息和隐私被非法收集、泄露和滥用的威胁。

《个人信息保护法》的颁布，为保护个人信息权利和信息处理者的义务提供了全面系统的法律依据，构建了个人信息安全的保护网。

海量的个人信息，从此有了“特殊锁”。

今年国庆假期刚过，从事数据安全相关工作的何艳哲关注了两个行业新闻。

有数码博主发现，微信APP在没有用户主动激活的情况下，多次阅读相册，每次阅读时间为40秒到1分钟。此外，QQ、淘宝等应用也在后台频繁读取用户相册。

两天后，在另一位数码博主上传的录制视频中，美团APP每5分钟定位一次，连续定位24小时。博主忍不住惊呼:“太恐怖了。这是什么？”

类似事件虽然不是..次发生，但这样的“行业”新闻并没有出乎意料地引起“热搜级”的关注和讨论。

距离《个人信息保护法》生效不到一个月，人们对个人信息和隐私敏感脆弱的神经再次被挑动。

因为信息泄露，失去了一条生命。

重庆大学国家网络空间与大数据法律战略研究院院长齐爱民关注了始于1996年的个人信息保护立法。

当时中国正式上网还不到两年，拥有一部手机还是“有钱人”的标志，“个人信息”的概念甚至在学术界都很少被提及。据齐爱民回忆，当时研究个人信息保护立法是完全不受欢迎的。

2003年，我国个人信息保护立法确立。两年后，由中国社会科学院法学研究所研究员周汉华带领的课题组完成了《中华人民共和国个人信息保护法(..稿)》和《立法研究报告》。同年，齐爱民起草的《中华人民共和国个人信息保护示范法草案》公布并上报国务院新闻办，当时国务院新闻办主要负责推动国家信息相关立法。

然而，在随后的几年里，《个人信息保护法》的立法进程一直处于停滞状态。

“立法是一项系统工程。具体到《个人信息保护法》，既关系到学术界的理论研究现状，也考虑到当时社会信息化程度。”齐爱民解释道。

也就是说，社会是否迫切需要，是影响相关立法进程的重要因素之一。

在智能手机出现和普及之前，人们上网的主要目的是浏览信息。要进入当时流行的论坛和聊天室，只需要一个用虚拟昵称注册的账号。2005年，原名“内网”的Renren.com成立，成为许多80后记忆中实名制注册的..个社交平台。

2010年，网友“一哥”发文质疑人人网转售其个人信息。虽然该网站随后回应称，犯罪分子利用系统漏洞窃取用户信息，事与愿违，但从此，“个人信息可能通过网络泄露”开始成为一种显性知识并在公众中传播。

真正加快个人信息保护法立法进程的标志性案例是2016年的“徐玉玉案”。

当年8月，来自山东临沂的女孩徐玉玉被骗走9900元上大学。后来，徐玉玉伤心欲绝，死于心脏骤停。

后来发现，犯罪嫌疑人通过非法渠道购买了5万多条山东省2016年高考考生信息，然后冒充教育局工作人员，以发放助学金的名义对学生实施电话诈骗。徐玉玉上当了。

现任中国电子技术标准化研究院网络安全研究中心评估实验室副主任的何艳哲，至今还记得“徐玉玉案”带给自己的触动。“谁能想到，因为信息泄露，一条人命就要丢了？”

这一事件甚至直接影响了何彦哲的研究方向。之后，他将重心从网络安全转移到数据安全，开始关注个人信息保护。后来主要由何彦哲编写的《个人信息安全规范》，对个人信息处理的具体实践进行了限制和规范，填补了国内相关方面的空白。

同样在2016年，全国30个省份的275名艾滋病毒感染者声称接到了欺诈电话，他们的个人信息被怀疑大面积泄露。此后，APP过度苛求手机权益、求职平台泄露用户简历等新闻接连出现。据多家媒体报道，互联网上大多数含有真实个人数据的信息，平均售价不到一元。

2018年9月，《个人信息保护法》正式列入NPC第十三届人大常委会立法计划。

中国人民大学法学院教授、中国法学会网络信息法学研究会副会长张新宝参与了《个人信息保护法》的立法工作。“从决策层到立法部门，再到全社会，已经形成广泛共识，加强个人信息保护迫在眉睫”。随着2020年新冠肺炎疫情的爆发，在公共场所扫码登记个人信息成为常态，引起了公众对个人信息安全的广泛关注，进一步加快了相关立法的速度。

从2020年10月到2021年8月，个人信息保护法草案从一审到三审只用了10个月的时间。

16个“告知”和27个“同意”。

“自然人享有隐私权。”"自然人的个人信息受法律保护."“处理个人信息应当遵循合法、公正、必要的原则，不得过度处理。”

2021年1月1日，被称为社会生活百科全书的《民法典》正式生效。在《人格权法》中，有单独的一章规定了自然人的隐私权和保护个人信息，这被视为立法的一大亮点。

民法典并不是..个从法律层面保护个人信息的。2012年，《全国人民代表大会常务委员会关于加强网络信息保护的决定》颁布。此后，从《网络安全法》的制定，到《消费者权益保护法》的修订，再到《刑法修正案(九)》的制定，再到《电子商务法》的问世，都涉及到个人信息保护某一方面、某一领域的专门规则，也在一定程度上回应了公众的关切。

然而，直到《个人信息保护法》的颁布，我国才真正建立起一套相对完整的个人信息保护法律体系。

作为开场白，《个人信息保护法》..条内容如下:为了保护个人信息权益，规范个人信息处理活动，促进个人信息合理使用，根据宪法，制定本法。

张新宝透露，在法律起草过程中，无论是初稿还是二稿都没有规定立法依据。第三次审议草案中增加了“根据宪法”一词。

我国宪法规定，国家尊重和保障人权；公民的人格尊严不受侵犯；公民的通信自由和隐私受法律保护。

“在个人信息处理活动中，自然人与个人信息处理者之间存在着‘非对称权力结构’或‘持续不平等信息关系’。”张新宝表示，企业或国家机关在处理个人信息时，为了追求商业价值或公共管理价值的实现，往往会忽视对个人尊严、人身财产安全、通信自由和隐私等个人利益的保护，导致自然人的个人信息权利受到侵害。通常，自然人在保护或维护个人权益时处于弱势地位。

“虽然只是四个字的区别，但意味着《个人信息保护法》保护的权益不仅仅是民事层面，而是上升到了宪法层面。”张信宝说。

《个人信息保护法》从立法之初就将“告知—同意”原则作为个人信息保护的基本规则，这是个人信息处理者处理用户信息的前提。在由8章74条组成的法律全文中，“告知”一词出现了16次，“同意”一词出现了27次。

过去，大多数个人信息处理者向用户提供一揽子协议条款。于是，一个经典的笑话在网上流传已久:从小到大，被骗.多的就是同意各种隐私条款。

针对这一现象，《个人信息保护法》明确规定了两种同意机制，一是广泛同意，二是个别同意。例如，法律规定，任何人处理敏感的个人信息或出于维护公共安全以外的目的使用收集的个人图像和身份信息，必须获得个人同意。

“个人信息对主题的重要性不同。有些是敏感信息，有些是隐私信息，有些是一般信息。因此，通知的力度、同意的明确性和同意的方式也是不同的。”张新宝说，“在这方面，《个人信息保护法》做了详细的区分。”

经对外经济贸易大学数字经济与法律创新研究中心主任许可注意到，《个人信息保护法》增加了相关处罚。根据该法第66条，违法情况严重时，企业将面临5000万元或上一年度营业额5%的罚款。

“这比之前分散立法中的处罚要高得多。”许可上写着。

同时，许可证提到，根据此前相关法律法规，个人信息处理者主要限于私人主体。但在《个人信息保护法》中，这一范围扩展到履行相应公共管理职能的国家机关和事业单位，它们与私人主体遵循统一的个人信息保护原则和规则。

关于新冠肺炎疫情防控期间个别地方政府收集公民电子病历、体检报告、生活方式等信息的做法导致官方侵犯个人隐私的讨论，许可证认为“个人信息处理者范围的调整是一大进步”。

用得越多，杀得越快？

“为了方便用户快速发送图片”“系统更新后频繁唤醒APP”“.新版本会优化”……在被数码博主发布到互联网后，微信和美团迅速回应了用户相册的阅读和频繁定位。但是，“似曾相识”的解释和改进措施能在多大程度上让网友满意和安心，确实值得问一个问号。

“说到底，类似的事件通常是APP开发者在未经用户同意的情况下进行未经授权的索赔导致的，可能会触及用户隐私或影响用户的安全感。.后，被用户发现后，他们会依次提问。”何艳哲总结道。

.新数据显示，中国网民规模已达10.11亿，国内市场监测的app数量为291万。APP中普遍存在的强制主张权利和过度收集用户信息的现象，使得该领域成为个人信息安全受到威胁的重灾区。

在此前各方对《个人信息保护法》的解释中，多次提到第二十四条:个人信息处理者利用个人信息进行自动化决策时，应当保证决策的透明度和结果的公平公正，不得在交易价格等交易条件上对个人给予不合理的差别待遇。

这一规定以大众更熟悉的方式表达:“大数据扼杀”将被规制。

2021年初，复旦大学教授孙金云发布了《出租车使用手机软件》的研究报告。通过在中国5个城市常规场景下采集的800多个出租车样本，团队得出结论:用户手机越贵，越容易接到更贵车型的订单。在相同的行驶路线下，经常使用某个网约车平台的用户的出租车费比新用户贵。

这个结论得到了很多网友的认可，也有网友在购物和旅游平台上“分享”了自己被“杀”的经历。

2021年7月，国内“首例大数据杀熟悉案”在浙江省绍兴市柯桥区法院开庭审理。本案原告胡女士是携程APP的钻石会员，可以享受15%的折扣，但当她通过该APP预订酒店房间时，价格却是普通用户的两倍。胡女士随后以上海携程商务有限公司收集不必要的个人信息并进行“大数据查杀”为由起诉法院，并提出“退一赔三”等多项请求。

在市场经济中，差别定价一般不违法。“但是，在数字经济时代，互联网公司利用收集到的用户个人信息对其进行画像，根据不同的支付能力设定不同的价格，可能会破坏公平交易原则和个人选择自由。”许可上写着。

根据《个人信息保护法》，个人信息处理者在基于对个人行为、爱好或者经济、健康、信用状况的“算法”分析和评估做出自动决策时，应当确保决策的透明度和结果的公平公正，不得在交易价格等交易条件上对个人实施不合理的差别待遇。

“当一个信息处理者只通过自动决策来做决定时，它完全排除了人们的参与。”从许可的角度来看，即使个人被置于“算法”中，人格权也必须得到尊重。

让大厂成为“守门人”。

目前，智能手机已经异化为人体的“新器官”，但与社会有一定联系的个人却很难避免使用大型互联网公司的产品。这意味着无论是在国内还是国外，互联网企业的数据安全对于个人信息保护都非常重要。

“对大型互联网企业设置个人信息保护义务迫在眉睫。”张信宝说。

据此，在《个人信息保护法》起草过程中，张新宝提出在草案中增加关于大型互联网平台企业个人信息保护特殊义务的相关规定。在他看来，作为互联网生态的“守门人”，头部互联网企业必须满足更高标准的信息合规处理要求。

张新宝的建议被立法部门采纳，形成了《个人信息保护法》草案第二稿第五十七条。经过修改完善，成为第三稿第五十八条，.终通过法律。

该条规定，提供重要互联网平台服务、用户数量大、业务类型复杂的个人信息处理者，应当建立个人信息保护合规制度，建立以外部成员为主的独立机构进行监管；制定平台规则；严重违法违规的个人信息处理人员应停止服务；定期发布个人信息保护社会责任报告。

事实上，该条款中制定平台规则的内容只是在审议的.后阶段才加入的。

根据张新宝的推测，该条未被纳入二次审议稿的原因是“大型企业可能滥用该义务作为垄断或不正当竞争经营的工具”。

“但是，在审议的.后阶段，立法机关加了一顶‘遵循公开、公平、公正原则’的‘帽子’，相当于作出了克制。”他补充道。

也有类似的碰撞。有人认为这一条款对企业，尤其是大型互联网企业提出了很高的要求。这会增加他们的负担吗？

但张新宝在调查中发现，几乎没有企业对此提出异议。

“企业之间相互竞争，如果履行了同样的义务，那么出发点也是一样的。”张新宝解释道。

何艳哲还观察到，越来越多的企业意识到保护用户个人信息也是其核心竞争力。

不过，他也提出了一个问题:企业想保护好个人信息，但不能“赔钱”。他们该怎么办？另外，哪些企业可以算是“大型互联网平台”？法律认可什么样的合规制度建设？企业应履行哪些社会责任来满足要求？“这些仍然是令人困惑的观点。”

“消除困惑需要时间和实践。只要企业转变态度，开始行动，问题的解决就迈出了关键的一步。”何艳哲说。

法律的生命在于它的实施。

在“首例大数据扼杀熟悉感案”中，法院.终依据《消费者权益保护法》判令携程“退一赔三”，但并未对胡女士“大数据扼杀熟悉感”的申请进行判决。

同样，2021年4月，备受关注的“人脸识别..案”终于宣判。杭州市中级人民法院裁定，被告杭州野生动物园在办理指纹年卡时，删除了郭冰提交的面部特征信息和指纹识别信息。

作为法学教师，郭冰认为，虽然法院认定动物园单方面改变入园方式构成违约，但回避了对“没有人脸识别的用户将无法正常入园”格式条款的审查。这是他对动物园诉讼的关键上诉。

就许可而言，“人脸识别..案”是在《个人信息保护法》颁布之前宣判的，当时.高人民法院关于人脸识别的司法解释尚未出台。“法院不支持郭冰的关键上诉，也缺乏明确的法律依据”。

根据《个人信息保护法》，人脸信息属于敏感信息，应予以加强。只有当其具有特定的目的和充分的必要性，获得使用者的个别同意，并采取严格的保护措施时，才能处理。根据许可，如果案件发生在11月1日之后，判决结果可能会有所不同。

更重要的是，郭冰的“脸”是在花费了大量时间和精力之后才被删除的，所以在《个人信息保护法》生效之后，更多的“脸”等过去收集到的信息都不会被删除，会如何删除呢？

“个人信息保护法赋予公民很多积极的权利。”比如，当发现个人信息权益受到侵害时，可以要求信息处理者对信息进行访问和删除，也可以通过监管部门进行投诉举报。

“但是，权利的行使需要个人主动，法律并没有保护那些‘沉睡’的人。”强调一下。

何彦哲也关注了法律实施后的落地。以“信息采集”为例，它只是填写手机号和身份证号的一种方式，在交互过程中产生和采集了大量用户的信息。“这么多信息，想删就删，可行吗？”何艳哲抛出疑问。

“一方面，精准删除需要技术支持，避免影响其他使用同一系统或产品的人；另一方面，信息删除的边界在哪里？是否应该考虑给互联网监管留痕？”何艳哲说。

“这部个人信息保护法代表了法律制度的价值取向和基本框架。如何实现需要大量的支持规则。”张新宝透露，网络信息部正在加紧完成这项工作，已经公布了部分内容。

法律的生命在于实施，个人信息保护法在实施中也需要不断调整，这需要政府、企业、相关社会组织和公众的共同参与。

“从这个意义上说，法律的出台只是..步。”张信宝说。

（——文章来源新华网，如有侵权请联系宁夏拼接屏厂家的小编删除）