????《個(gè)人信息保護(hù)法》是我國(guó)第一部個(gè)人信息保護(hù)方面的專(zhuān)門(mén)法律，其頒行將極大地加強(qiáng)我國(guó)個(gè)人信息保護(hù)的法制保障。

????《個(gè)人信息保護(hù)法》對(duì)個(gè)人信息處理規(guī)則作出了詳細(xì)的規(guī)定，包括公眾廣泛關(guān)注的“大數(shù)據(jù)殺熟”問(wèn)題、“人臉識(shí)別”問(wèn)題，對(duì)個(gè)人信息跨境提供的規(guī)則、個(gè)人在個(gè)人信息處理活動(dòng)中的權(quán)利、個(gè)人信息處理者的義務(wù)作出了詳細(xì)的規(guī)定。

????2021年8月20日，第十三屆全國(guó)人大常委會(huì)第三十次會(huì)議審議通過(guò)了《中華人民共和國(guó)個(gè)人信息保護(hù)法》（以下稱(chēng)《個(gè)人信息保護(hù)法》），它是我國(guó)第一部個(gè)人信息保護(hù)方面的專(zhuān)門(mén)法律?！秱€(gè)人信息保護(hù)法》的頒行將極大地加強(qiáng)我國(guó)個(gè)人信息保護(hù)的法制保障；它以嚴(yán)密的制度、嚴(yán)格的標(biāo)準(zhǔn)、嚴(yán)厲的責(zé)任規(guī)范個(gè)人信息處理活動(dòng)，規(guī)定了完備的個(gè)人在個(gè)人信息處理活動(dòng)中的權(quán)利，全方位落實(shí)各類(lèi)組織、個(gè)人等個(gè)人信息處理者的義務(wù)與責(zé)任；科學(xué)協(xié)調(diào)個(gè)人信息權(quán)益保護(hù)與個(gè)人信息合理利用的關(guān)系，建立了權(quán)責(zé)明確、保護(hù)有效、利用規(guī)范的個(gè)人信息處理規(guī)則，從而在保障個(gè)人信息權(quán)益的基礎(chǔ)上，促進(jìn)包括個(gè)人信息在內(nèi)的數(shù)據(jù)信息的自由安全的流動(dòng)與合理有效的利用，推動(dòng)數(shù)字經(jīng)濟(jì)的健康發(fā)展。

????科學(xué)合理的個(gè)人信息處理規(guī)則

????個(gè)人信息處理規(guī)則就是處理個(gè)人信息如個(gè)人信息的收集、存儲(chǔ)、使用、加工、傳輸、提供、公開(kāi)、刪除時(shí)遵循的規(guī)則，包括法律規(guī)定的和處理者自己制定的。法律規(guī)定的個(gè)人信息處理規(guī)則，是強(qiáng)制性的。個(gè)人信息處理規(guī)則既是個(gè)人信息處理者的行為規(guī)范，也是個(gè)人信息權(quán)益的保護(hù)規(guī)范。因此，《個(gè)人信息保護(hù)法》第二章對(duì)個(gè)人信息處理規(guī)則作出了詳細(xì)的規(guī)定。

????首先，《個(gè)人信息保護(hù)法》第13條建立了個(gè)人信息處理活動(dòng)的多元化合法性基礎(chǔ)。不僅是取得個(gè)人的同意可以作為處理個(gè)人信息的合法根據(jù)，而且為訂立、履行個(gè)人作為一方當(dāng)事人的合同所必需，按照依法制定的勞動(dòng)規(guī)章制度和依法簽訂的集體合同實(shí)施人力資源管理所必需，履行法定職責(zé)或者法定義務(wù)所必需，為應(yīng)對(duì)突發(fā)公共衛(wèi)生事件或者緊急情況下為保護(hù)自然人的生命健康和財(cái)產(chǎn)安全所必需等，也都可以成為處理個(gè)人信息的合法性根據(jù)。這樣一來(lái)，就很好地協(xié)調(diào)了個(gè)人信息權(quán)益的保護(hù)與個(gè)人信息的合理利用的關(guān)系。

????其次，詳細(xì)規(guī)定了告知同意規(guī)則，要求個(gè)人信息處理者處理個(gè)人信息前，必須以顯著方式、清晰易懂的語(yǔ)言真實(shí)、準(zhǔn)確、完整地向個(gè)人告知法律規(guī)定的事項(xiàng)，除非法律、行政法規(guī)規(guī)定應(yīng)當(dāng)保密或者不需要告知，或者告知將妨礙國(guó)家機(jī)關(guān)履行法定職責(zé)。如果個(gè)人信息處理者是基于個(gè)人同意而處理個(gè)人信息的，那么個(gè)人的同意必須是個(gè)人在充分知情的前提下自愿、明確的作出，個(gè)人信息處理者不得以個(gè)人不同意處理其個(gè)人信息或者撤回同意為由，拒絕提供產(chǎn)品或者服務(wù)。

????再次，就所謂的“大數(shù)據(jù)殺熟”問(wèn)題，《個(gè)人信息保護(hù)法》第24條規(guī)定，個(gè)人信息處理者利用個(gè)人信息進(jìn)行自動(dòng)化決策，應(yīng)當(dāng)保證決策的透明度和結(jié)果公平、公正，不得對(duì)個(gè)人在交易價(jià)格等交易條件上實(shí)行不合理的差別待遇。通過(guò)自動(dòng)化決策方式向個(gè)人進(jìn)行信息推送、商業(yè)營(yíng)銷(xiāo)，應(yīng)當(dāng)同時(shí)提供不針對(duì)其個(gè)人特征的選項(xiàng)，或者向個(gè)人提供拒絕的方式。通過(guò)自動(dòng)化決策方式作出對(duì)個(gè)人權(quán)益有重大影響的決定，個(gè)人有權(quán)要求個(gè)人信息處理者予以說(shuō)明，并有權(quán)拒絕個(gè)人信息處理者僅通過(guò)自動(dòng)化決策的方式作出決定。

????第四，針對(duì)社會(huì)公眾廣泛關(guān)注的“人臉識(shí)別”問(wèn)題，《個(gè)人信息保護(hù)法》第26條規(guī)定，在公共場(chǎng)所安裝圖像采集、個(gè)人身份識(shí)別設(shè)備，應(yīng)當(dāng)為維護(hù)公共安全所必需，遵守國(guó)家有關(guān)規(guī)定，并設(shè)置顯著的提示標(biāo)識(shí)。所收集的個(gè)人圖像、身份識(shí)別信息只能用于維護(hù)公共安全的目的，不得用于其他目的；取得個(gè)人單獨(dú)同意的除外。這就是說(shuō)，不是任何主體都有權(quán)在公共場(chǎng)所安裝圖像采集、個(gè)人身份識(shí)別設(shè)備，必須是為了維護(hù)公共安全并且要符合國(guó)家有關(guān)規(guī)定，同時(shí)還要通過(guò)設(shè)置顯著的提示標(biāo)識(shí)加以告知。對(duì)于收集的個(gè)人圖像、身份識(shí)別信息只能用于特定的目的即維護(hù)公共安全，未取得個(gè)人單獨(dú)同意的，不得用于其他目的。

????最后，對(duì)敏感個(gè)人信息進(jìn)行了更嚴(yán)格的保護(hù)。敏感個(gè)人信息，是一旦泄露或者非法使用，容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財(cái)產(chǎn)安全受到危害的個(gè)人信息，包括生物識(shí)別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個(gè)人信息。《個(gè)人信息保護(hù)法》規(guī)定，處理者只有在具有特定的目的和充分的必要性，并采取嚴(yán)格保護(hù)措施的情形下，才能處理敏感個(gè)人信息。并且，處理敏感個(gè)人信息應(yīng)當(dāng)取得個(gè)人的單獨(dú)同意。此外，為了更好保護(hù)未成年人的個(gè)人信息權(quán)益，《個(gè)人信息保護(hù)法》將不滿十四周歲未成年人個(gè)人信息作為敏感個(gè)人信息要求，要求處理者只有在取得未成年人的父母或者其他監(jiān)護(hù)人的同意后才能處理，并且還要制定專(zhuān)門(mén)的個(gè)人信息處理規(guī)則。

????安全與自由兼具的

????個(gè)人信息跨境提供規(guī)則

????個(gè)人信息跨境提供，是指一國(guó)境內(nèi)的個(gè)人信息或個(gè)人數(shù)據(jù)流出境內(nèi)，為他國(guó)的公權(quán)力機(jī)關(guān)或民事主體所讀取、收集、存儲(chǔ)、加工、使用等。網(wǎng)絡(luò)科技已經(jīng)打破了物理上的國(guó)境限制，隨著網(wǎng)絡(luò)科技高速發(fā)展與經(jīng)濟(jì)的全球化，各國(guó)間無(wú)時(shí)無(wú)刻不在進(jìn)行著人員往來(lái)、貨物流動(dòng)、服務(wù)提供，云計(jì)算、物聯(lián)網(wǎng)和跨境電子商務(wù)的飛速發(fā)展，使得包括個(gè)人數(shù)據(jù)在內(nèi)的數(shù)據(jù)流動(dòng)越來(lái)越頻繁，也越來(lái)越重要。數(shù)據(jù)的跨境流動(dòng)在全球蓬勃發(fā)展的數(shù)字經(jīng)濟(jì)中發(fā)揮著越來(lái)越重要的作用。然而，數(shù)據(jù)的跨境流動(dòng)也帶來(lái)了很多的問(wèn)題，如不利于保護(hù)本國(guó)境內(nèi)個(gè)人的權(quán)利，重要數(shù)據(jù)出境會(huì)危害國(guó)家安全，有礙本國(guó)數(shù)字經(jīng)濟(jì)的發(fā)展等。為了既保護(hù)個(gè)人信息的安全，同時(shí)又能實(shí)現(xiàn)個(gè)人信息數(shù)據(jù)的自由跨境流動(dòng)，促進(jìn)數(shù)字經(jīng)濟(jì)的發(fā)展，我國(guó)《個(gè)人信息保護(hù)法》對(duì)個(gè)人信息跨境提供的規(guī)則作出了如下規(guī)定。

????首先，為了實(shí)現(xiàn)個(gè)人信息的自由跨境流動(dòng)，《個(gè)人信息保護(hù)法》允許處理者因業(yè)務(wù)等需要向境外提供個(gè)人信息，并且提供了多種可供選擇的條件，如按照國(guó)家網(wǎng)信部門(mén)的規(guī)定經(jīng)專(zhuān)業(yè)機(jī)構(gòu)進(jìn)行個(gè)人信息保護(hù)認(rèn)證，按照國(guó)家網(wǎng)信部門(mén)制定的標(biāo)準(zhǔn)合同與境外接收方訂立合同等。但是，為了保護(hù)個(gè)人信息安全，明確規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者以及處理個(gè)人信息達(dá)到國(guó)家網(wǎng)信部門(mén)規(guī)定數(shù)量的個(gè)人信息處理者，均應(yīng)將在我國(guó)境內(nèi)收集和產(chǎn)生的個(gè)人信息存儲(chǔ)在境內(nèi)。如果確需向境外提供個(gè)人信息的，應(yīng)當(dāng)通過(guò)國(guó)家網(wǎng)信部門(mén)組織的安全評(píng)估。此外，所有的向境外提供個(gè)人信息的處理者應(yīng)當(dāng)采取必要措施，保障境外接收方處理個(gè)人信息的活動(dòng)達(dá)到我國(guó)《個(gè)人信息保護(hù)法》規(guī)定的個(gè)人信息保護(hù)標(biāo)準(zhǔn)。

????其次，為了將來(lái)我國(guó)和其他國(guó)家締結(jié)的條約或者參加的國(guó)際條約、協(xié)定等對(duì)跨境提供個(gè)人信息作出相應(yīng)的安排，《個(gè)人信息保護(hù)法》第38條第2款規(guī)定，中華人民共和國(guó)締結(jié)或者參加的國(guó)際條約、協(xié)定對(duì)向中華人民共和國(guó)境外提供個(gè)人信息的條件等有規(guī)定的，可以按照其規(guī)定執(zhí)行。例如，2020年11月15日，東盟十國(guó)與我國(guó)、日本、韓國(guó)、澳大利亞、新西蘭共15個(gè)國(guó)家正式簽署了《區(qū)域全面經(jīng)濟(jì)伙伴關(guān)系協(xié)定》（RCEP），該協(xié)定第十二章“電子商務(wù)”中，要求締約方為電子商務(wù)創(chuàng)造有利環(huán)境，保護(hù)電子商務(wù)用戶的個(gè)人信息，為在線消費(fèi)者提供保護(hù)，并針對(duì)非應(yīng)邀商業(yè)電子信息加強(qiáng)監(jiān)管和合作等。

????最后，為了保障個(gè)人權(quán)利，防止個(gè)人信息跨境提供損害個(gè)人權(quán)利和自由，《個(gè)人信息保護(hù)法》規(guī)定，個(gè)人信息處理者向我國(guó)境外提供個(gè)人信息的，應(yīng)當(dāng)向個(gè)人告知境外接收方的名稱(chēng)或者姓名、聯(lián)系方式、處理目的、處理方式、個(gè)人信息的種類(lèi)以及個(gè)人向境外接收方行使本法規(guī)定權(quán)利的方式等事項(xiàng)，并取得個(gè)人的單獨(dú)同意。

????詳細(xì)規(guī)定

????個(gè)人在個(gè)人信息處理活動(dòng)中的權(quán)利

????《個(gè)人信息保護(hù)法》第四章對(duì)“個(gè)人在個(gè)人信息處理活動(dòng)中的權(quán)利”作出了詳細(xì)的規(guī)定。之所以采取“個(gè)人在個(gè)人信息處理活動(dòng)中的權(quán)利”這一名稱(chēng)，是為了強(qiáng)調(diào)這些權(quán)利的主體是作為信息主體的個(gè)人，這些權(quán)利指向的義務(wù)人是個(gè)人信息處理者，并非其他主體。此外，也表明個(gè)人是在個(gè)人信息處理活動(dòng)中才享有這些權(quán)利的。個(gè)人在個(gè)人信息處理活動(dòng)中的權(quán)利屬于手段性權(quán)利或救濟(jì)性權(quán)利，目的在于保護(hù)自然人的個(gè)人信息權(quán)益。我國(guó)《個(gè)人信息保護(hù)法》立足于我國(guó)個(gè)人信息保護(hù)實(shí)踐的要求，吸收借鑒比較法上的優(yōu)秀成果，對(duì)個(gè)人在個(gè)人信息處理活動(dòng)中的權(quán)利作出了系統(tǒng)全面的規(guī)定。該法規(guī)定的個(gè)人在個(gè)人信息處理活動(dòng)中享有的權(quán)利包括：對(duì)個(gè)人信息處理的知情權(quán)與決定權(quán)、查閱復(fù)制權(quán)、可攜帶權(quán)、更正補(bǔ)充權(quán)、刪除權(quán)、解釋說(shuō)明權(quán)等。

????需要注意的是，首先，《個(gè)人信息保護(hù)法》明確承認(rèn)了可攜帶權(quán)，即該法第45條第3款規(guī)定，個(gè)人請(qǐng)求將個(gè)人信息轉(zhuǎn)移至其指定的個(gè)人信息處理者，符合國(guó)家網(wǎng)信部門(mén)規(guī)定條件的，個(gè)人信息處理者應(yīng)當(dāng)提供轉(zhuǎn)移的途徑。可攜帶權(quán)是由歐盟《一般數(shù)據(jù)保護(hù)條例》首次規(guī)定的一種新型的數(shù)據(jù)主體權(quán)利。可攜帶權(quán)有利于加強(qiáng)個(gè)人對(duì)其個(gè)人信息的控制，可以很好預(yù)防和制止平臺(tái)經(jīng)濟(jì)領(lǐng)域內(nèi)的壟斷行為，保護(hù)市場(chǎng)公平競(jìng)爭(zhēng)，促進(jìn)平臺(tái)經(jīng)濟(jì)規(guī)范有序創(chuàng)新健康發(fā)展，維護(hù)消費(fèi)者利益和社會(huì)公共利益。故此，我國(guó)《個(gè)人信息保護(hù)法》承認(rèn)了可攜帶權(quán)，但是對(duì)該權(quán)利的具體行使條件作出了限定，授權(quán)國(guó)家網(wǎng)信部門(mén)作出具體的規(guī)定。

????其次，《個(gè)人信息保護(hù)法》第49條規(guī)定，自然人死亡的，其近親屬為了自身的合法、正當(dāng)利益，可以對(duì)死者的相關(guān)個(gè)人信息行使本章規(guī)定的查閱、復(fù)制、更正、刪除等權(quán)利；死者生前另有安排的除外。這是對(duì)死者個(gè)人信息保護(hù)的規(guī)定。在《民法典》第994條已經(jīng)明確保護(hù)死者的姓名、肖像、名譽(yù)、榮譽(yù)、隱私等的情形下，《個(gè)人信息保護(hù)法》承認(rèn)一定條件下死者的近親屬可以針對(duì)死者的相關(guān)個(gè)人信息行使查閱、復(fù)制、更正、刪除等權(quán)利，既有利于更好維護(hù)死者近親屬自身的合法、正當(dāng)利益，也有利于尊重死者的遺愿并保護(hù)死者本人及其交往者的隱私和通信秘密。

????嚴(yán)格完整的

????個(gè)人信息處理者的義務(wù)體系

????為了加強(qiáng)個(gè)人信息權(quán)益保護(hù)，貫徹落實(shí)合法原則與責(zé)任原則，我國(guó)《個(gè)人信息保護(hù)法》專(zhuān)章對(duì)個(gè)人信息處理者的義務(wù)作出了詳細(xì)的規(guī)定，并構(gòu)建了一個(gè)嚴(yán)格完整的處理者的義務(wù)體系。

????首先，明確了個(gè)人信息處理者的基本義務(wù)，即個(gè)人信息處理者應(yīng)當(dāng)根據(jù)個(gè)人信息的處理目的、處理方式、個(gè)人信息的種類(lèi)以及對(duì)個(gè)人的影響、可能存在的安全風(fēng)險(xiǎn)等，采取相應(yīng)的措施確保個(gè)人信息處理活動(dòng)符合法律、行政法規(guī)的規(guī)定，并防止未經(jīng)授權(quán)的訪問(wèn)以及個(gè)人信息泄露、篡改、丟失。該條列舉了個(gè)人信息處理者應(yīng)當(dāng)采取的五種具體的措施。

????其次，要求處理個(gè)人信息達(dá)到國(guó)家網(wǎng)信部門(mén)規(guī)定數(shù)量的個(gè)人信息處理者必須指定個(gè)人信息保護(hù)負(fù)責(zé)人制度，監(jiān)督個(gè)人信息處理活動(dòng)以及采取的保護(hù)措施，進(jìn)一步確保個(gè)人信息處理活動(dòng)的合法性與個(gè)人信息的安全性。如果是必須適用《個(gè)人信息保護(hù)法》的我國(guó)境外的個(gè)人信息處理者，也應(yīng)當(dāng)在我國(guó)境內(nèi)設(shè)立專(zhuān)門(mén)機(jī)構(gòu)或者指定代表，負(fù)責(zé)處理個(gè)人信息保護(hù)相關(guān)事務(wù)，并將有關(guān)機(jī)構(gòu)的名稱(chēng)或者代表的姓名、聯(lián)系方式等報(bào)送履行個(gè)人信息保護(hù)職責(zé)的部門(mén)。

????再次，規(guī)定了個(gè)人信息處理者的定期合規(guī)審計(jì)義務(wù)，使個(gè)人信息處理者能夠持續(xù)保證個(gè)人信息處理活動(dòng)符合法律、行政法規(guī)，并且有能力向監(jiān)管部門(mén)舉證證明。

????第四，從事前、事中和事后三個(gè)維度規(guī)定了個(gè)人信息處理者的保護(hù)個(gè)人信息安全的義務(wù)。一方面，針對(duì)高風(fēng)險(xiǎn)的個(gè)人信息處理活動(dòng)，要求個(gè)人信息處理者在事前進(jìn)行個(gè)人信息保護(hù)影響評(píng)估，并對(duì)處理情況進(jìn)行記錄；另一方面，一旦發(fā)生個(gè)人信息泄露，要求個(gè)人信息處理者立即采取補(bǔ)救措施并通知監(jiān)管機(jī)構(gòu)和個(gè)人。

????最后，對(duì)特定的個(gè)人信息處理者即提供重要互聯(lián)網(wǎng)平臺(tái)服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類(lèi)型復(fù)雜的個(gè)人信息處理者確立了所謂的“守門(mén)人義務(wù)”，要求其除了履行一般的個(gè)人信息處理者的義務(wù)外，還必須按照國(guó)家規(guī)定建立健全個(gè)人信息保護(hù)合規(guī)制度體系，成立主要由外部成員組成的獨(dú)立機(jī)構(gòu)對(duì)個(gè)人信息保護(hù)情況進(jìn)行監(jiān)督；遵循公開(kāi)、公平、公正的原則，制定平臺(tái)規(guī)則，明確平臺(tái)內(nèi)產(chǎn)品或者服務(wù)提供者處理個(gè)人信息的規(guī)范和保護(hù)個(gè)人信息的義務(wù)；對(duì)嚴(yán)重違反法律、行政法規(guī)處理個(gè)人信息的平臺(tái)內(nèi)的產(chǎn)品或者服務(wù)提供者，停止提供服務(wù)；定期發(fā)布個(gè)人信息保護(hù)社會(huì)責(zé)任報(bào)告，接受社會(huì)監(jiān)督。

????（作者為清華大學(xué)法學(xué)院副院長(zhǎng)、教授、博士生導(dǎo)師）

????