經過數年醞釀與打磨，《中華人民共和國個人信息保護法》將于11月1日起施行。

數字化時代，得信息者得天下。然而一直以來，這句話的前提都未能真正實現：“得”的手段要正當、數量要適度，到手的信息要妥善儲存與保管。這也使得個人在享受數字化紅利的同時，隨時面臨著信息和隱私被非法收集、泄露和濫用的威脅。

個人信息保護法的出臺，為個人信息權益保護、信息處理者的義務提供了全面、體系化的法律依據，構建起了個人信息安全的防護網。

海量個人信息，自此有了一把“專門鎖”。

今年國慶假期剛結束，從事數據安全相關工作的何延哲就關注到了兩條行業新聞。

有數碼博主發現，微信APP在用戶未主動激活的情況下數次讀取相冊，每次讀取時間為40秒至1分鐘。此外，QQ、淘寶等APP也存在在后臺頻繁讀取用戶相冊的行為。

兩天后，在另一位數碼博主上傳的錄屏視頻中，美團APP每隔5分鐘、連續24小時對其進行定位。該博主忍不住驚呼：“太恐怖了，這是要干什么？”

雖然類似事件早不是第一次發生，但這樣的“業內”新聞依然毫不意外地引來了“熱搜級”關注和討論。

在距離個人信息保護法施行還有不到1個月的時候，人們關于個人信息與個人隱私的那根敏感又脆弱的神經再一次被挑動了。

因為信息泄露，一條人命沒了

重慶大學國家網絡空間與大數據法治戰略研究院院長齊愛民關注個人信息保護立法，最早開始于1996年。

當時，我國正式接入國際因特網不到兩年，擁有手機還是“富人”的標志，“個人信息”概念即使在學界也鮮有被提及。據齊愛民回憶，當時研究個人信息保護立法，完全算是冷門方向。

2003年，我國個人信息保護立法相關課題研究立項。兩年后，由中國社會科學院法學研究所研究員周漢華領銜的課題組完成了《中華人民共和國個人信息保護法（專家建議稿）及立法研究報告》；同年，齊愛民起草的《中華人民共和國個人信息保護法示范法草案學者建議稿》發表，呈報當時主要負責推動國家信息化相關立法的國務院信息化工作辦公室。

不過，此后數年間，個人信息保護法的立法進程卻陷入了停滯狀態。

“立法是系統性工程。具體到個人信息保護法，既關乎學界的理論研究狀況，又要考慮到當時的社會信息化程度。”齊愛民解釋。

這即是說，社會是否迫切需要，是影響相關立法進程的重要因素之一。

智能手機出現并普及前，人們上網的主要目的是瀏覽資訊。想進入當時盛行的論壇、聊天室，也只需要一個由虛擬昵稱注冊的賬戶。2005年，原名“校內網”的人人網創立，成為許多80后記憶中第一個實名制的社交網絡平臺。

2010年，網友“一閣”發文質疑人人網轉賣其個人信息。雖然網站隨后回應是不法分子利用系統漏洞竊取了用戶信息，事情不了了之，但從那時起，“個人信息可能通過網絡泄露”開始成為一條顯性知識在公眾間傳播開來。

真正加速個人信息保護法立法進程的標志性案例，是2016年發生的“徐玉玉案”。

當年8月，山東臨沂女生徐玉玉因接到一通電話，被騙走上大學的費用9900元。事后，徐玉玉傷心欲絕，心臟驟停離世。

后經查明，犯罪嫌疑人通過非法渠道購買了5萬余條山東省2016年高考考生信息，隨后冒充教育局工作人員，以發放助學金名義對學生實施電話詐騙。徐玉玉因此上當。

如今已是中國電子技術標準化研究院網絡安全研究中心測評實驗室副主任的何延哲依然記得當年“徐玉玉案”帶給自己的觸動，“誰能想到因為信息泄露，一條人命就沒了？”

這起事件甚至直接影響了何延哲的研究方向。此后，他將工作重心從原本的網絡安全轉到了數據安全，并開始重點關注個人信息保護。后來，由何延哲擔任主要編制人的《個人信息安全規范》對個人信息處理具體實踐進行了限制和規范，填補了國內相關方面的空白。

同樣在2016年，全國30個省份275位艾滋病感染者稱接到詐騙電話，艾滋病感染者的個人信息疑似被大面積泄露。自那之后，APP過度索取手機權限、求職平臺泄露用戶簡歷等新聞相繼出現。而從多家媒體的報道來看，大多數包含個人真實數據的信息在互聯網上平均售價不足一元。

2018年9月，個人信息保護法正式列入十三屆全國人大常委會立法規劃。

中國人民大學法學院教授、中國法學會網絡信息法學研究會副會長張新寶全程參與了個人信息保護法的立法工作，“從決策層到立法部門，再到整個社會都形成了廣泛共識，加強個人信息保護已經迫在眉睫”。2020年新冠肺炎疫情出現，公共場合掃碼、登記個人信息成為常態，由此引發的大眾普遍對個人信息安全的擔憂又進一步加快了相關立法速度。

2020年10月至2021年8月，個人信息保護法草案從一審到三審，僅用了10個月。

16個“告知”，27個“同意”

“自然人享有隱私權。”“自然人的個人信息受法律保護。”“處理個人信息的，應當遵循合法、正當、必要原則，不得過度處理。”

2021年1月1日，有“社會生活百科全書”之稱的民法典開始實施。法典人格權編中，用單獨一章對自然人隱私權和個人信息保護做出了規定，這一舉措被視為一大立法亮點。

從法律層面保護個人信息，民法典并非第一個。2012年，《全國人民代表大會常務委員會關于加強網絡信息保護的決定》出臺。此后，從網絡安全法制定，消費者權益保護法修訂，刑法修正案（九）制定，再到電子商務法問世，都涉及了個人信息保護某一個方面、某一個領域的專門規則，也在一定程度上回應了公眾關切。

不過，直到個人信息保護法出臺，我國才真正建立起相對完整的個人信息保護法律體系。

作為“開場白”，個人信息保護法第一條這樣寫道：為了保護個人信息權益，規范個人信息處理活動，促進個人信息合理利用，根據憲法，制定本法。

張新寶透露，在該法律起草過程中，一審稿和二審稿都沒有對立法依據進行規定。“根據憲法”四個字，是在三審稿中加入的。

我國憲法規定，國家尊重和保障人權；公民的人格尊嚴不受侵犯；公民的通信自由和通信秘密受法律保護。

“在個人信息處理活動中，自然人與個人信息處理者之間存在‘非對稱權力結構’或‘持續性不平等信息關系’。”張新寶表示，企業或國家機關在處理個人信息時，為了追求商業價值或公共管理價值的實現，容易忽視對其承載的人格尊嚴、人身和財產安全以及通信自由和通信秘密等個人利益的保護，進而導致自然人的個人信息權益遭受侵害。而通常情況下，自然人在保護或維護個人權益時，都處于弱勢地位。

“雖然只是四字之差，但這意味著個人信息保護法強調保護的權益不止停留在民事層面，而是提高到了憲法層面。”張新寶說。

從立法之初，個人信息保護法就將“告知-同意”原則作為個人信息保護的基本規則，是個人信息處理者處理用戶信息的前提。在共8章74條的法律全文中，“告知”一詞出現了16次，“同意”一詞出現了27次。

過去，個人信息處理者向用戶提供的大多是一攬子的同意協議條款。以至于一個經典笑話在網絡上長盛不衰：從小到大，撒過最多的謊，就是同意各種隱私條款。

針對這一現象，個人信息保護法明確規定了兩種同意機制，一是廣泛的同意，二是個人單獨同意。比如，該法律規定，處理敏感個人信息，或是將收集的個人圖像和身份識別信息用于維護公共安全外的目的的，都要取得個人單獨同意。

“個人信息對于主體的重要程度不同，有的是敏感信息，有的是隱私信息，有的屬于一般信息，因此告知的強度和同意的明確程度，以及同意的方式也是不盡相同的。”張新寶說，“對此，個人信息保護法都作了詳細的區分。”

對外經濟貿易大學數字經濟與法律創新研究中心主任許可注意到，個人信息保護法增加了相關罰則。根據該法第66條規定，在違法情形嚴重時，企業將面臨的頂格罰款額度為5000萬元或上一年度營業額的5%。

“這遠高于之前的分散性立法中的處罰規定。”許可說。

許可同時提到，根據此前相關法律規定，個人信息處理者主要限于私人主體。但在個人信息保護法中，這一范圍拓展到國家機關以及履行相應公共管理職能的事業單位，它們和私人主體遵循統一的個人信息保護原則和規則。

聯系到新冠肺炎疫情防控期間，個別地方政府擬通過收集市民電子病歷、體檢報告、生活方式等信息推出漸變色健康碼的做法所引起的官方侵犯個人隱私的討論，許可認為，“個人信息處理者范圍的調整是非常大的進步”。

用得越多，“殺熟”的刀越快？

“為了方便用戶快速發圖”“系統更新后頻繁喚醒APP ”“最新版本將進行優化”……被數碼博主掛網“示眾”后，微信和美團方面很快對讀取用戶相冊和頻繁定位行為作出了回應。不過，“似曾相識”的解釋和改進措施能在多大程度上讓網友感到滿意和放心，著實值得劃一個問號。

“說到底，類似事件通常都是APP開發者為了優化應用程序，未經用戶同意擅作主張使用了可能觸及用戶隱私或影響用戶安全感的權限，最后被用戶發現后反過來提出質問。”何延哲總結說。

最新數據顯示，我國互聯網用戶數量已達到10.11億，國內市場上監測到的APP數量為291萬款。APP普遍存在的強制索權、過度收集用戶信息等現象使得這一領域成為個人信息安全遭威脅的重災區。

在此前各方對個人信息保護法的解讀中，第24條法條被反復提及：個人信息處理者利用個人信息進行自動化決策，應當保證決策的透明度和結果公平、公正，不得對個人在交易價格等交易條件上實行不合理的差別待遇。

這一法規用公眾更熟悉的說法來表述就是：“大數據殺熟”將受到規制。

2021年初，復旦大學教授孫金云團隊發布了一份關于 “手機打車軟件打車”的調研報告。通過在國內5個城市收集的常規場景下的800多份打車樣本，該團隊得出結論：用戶手機越貴，越容易被更貴車型接單；同樣的行駛路線，常使用某一款網約車平臺的用戶打車費用比新用戶貴。

這樣的結論得到了不少網友的認可，還有網友“分享”了自己在購物、出行等平臺被“殺熟”的經歷。

2021年7月，國內“大數據殺熟第一案”在浙江省紹興市柯橋區法院開庭審理。該案中，原告胡女士是攜程APP的鉆石會員，可享受8.5折優惠價，但她通過該APP預訂酒店房間時，價格卻比普通用戶貴了一倍。胡女士遂以上海攜程商務有限公司采集其個人非必要信息，進行“大數據殺熟”等為由訴至法院，提出“退一賠三”等多項請求。

在市場經濟中，差異化定價一般來說并不違法。“但在數字經濟時代，互聯網企業利用收集到的用戶個人信息對其進行畫像，根據支付能力的不同設定不同的價格，就可能有損公平交易原則和個體的自由選擇權。”許可說。

個人信息保護法規定，個人信息處理者根據“算法”分析、評估個人的行為習慣、興趣愛好或者經濟、健康、信用狀況等進行自動化決策時，應當保證決策的透明度和結果公平、公正，不得對個人在交易價格等交易條件上實行不合理的差別待遇。

“當信息處理者僅通過自動化決策方式做出決定，就是完全排除了人的參與。”在許可看來，即使將個人置于“算法”中，也必須尊重人格權。

讓大廠成為“守門人”

在智能手機已向內異化為人體“新器官”的當下，但凡是與社會有一定程度聯結的個體，基本都躲不開要使用大型互聯網公司的產品。這意味著，無論是國內還是國外，互聯網企業的數據安全對個人信息保護至關重要。

“為大型互聯網企業設置個人信息保護義務，迫在眉睫。”張新寶表示。

據此，在個人信息保護法起草過程中，張新寶提出建議，在草案中增加大型互聯網平臺企業的個人信息保護特別義務的相關條文。在他看來，作為互聯網生態的“守門人”，頭部互聯網企業必須達到更高標準的信息合規處理要求。

張新寶的建議得到了立法部門的采納，形成了個人信息保護法草案二審稿第57條，經過修改完善后，成為三審稿和最終通過的法律第58條。

該條款規定，提供重要互聯網平臺服務、用戶數量巨大、業務類型復雜的個人信息處理者，應當建立個人信息保護合規制度，成立主要由外部成員組成的獨立機構來監督；制定平臺規則；嚴重違反法律、法規的個人信息處理者要停止服務；定期發布個人信息保護社會責任報告。

事實上，這一條款中關于制定平臺規則的內容，是在最后審議階段才加上去的。

據張新寶推測，二審稿之所以沒有寫入這一條，是考慮到“大型企業有可能將此義務濫用為壟斷或者不正當競爭操作的工具”。

“但是立法部門在最后審議階段給這一規定加上了‘遵循公開、公平、公正的原則’的‘帽子’，相當于作出了管束。”他補充道。

類似的碰撞還有。有觀點認為：該條款對企業，尤其是對大型互聯網企業提出了較高要求，這會不會增加它們的負擔？

然而，張新寶在調研中發現：幾乎沒有企業對此提出反對意見。

“企業之間相互競爭，如果履行相同的義務，那么起點就都是一樣的。”張新寶解釋。

何延哲也觀察到，越來越多的企業已經意識到，保護好用戶個人信息本身也是核心競爭力。

不過他同時也提出疑問：企業想做好個人信息保護，但又不能“虧本”，該怎么做？此外，哪些企業算得上“大型互聯網平臺”？怎樣的合規體系建設是被法律認可的？企業要履行哪些社會責任才能達到要求？“這些都還是困惑點。”

“消除困惑需要時間和實踐。只要企業轉變態度、開始行動，問題的解決就邁出了關鍵一步。”何延哲說。

法律的生命，在于實施

在“大數據殺熟第一案”中，法院最終依據消費者權益保護法判令攜程“退一賠三”，但并沒有對胡女士的“大數據殺熟”訴請予以判定。

與之類似，2021年4月，備受關注的“人臉識別第一案”終審落槌宣判。杭州市中級人民法院判決，被告杭州野生動物世界刪除原告郭兵辦理指紋年卡時提交的面部特征信息和指紋識別信息。

作為法學教師，郭兵認為，雖然法院認定動物園單方面變更入園方式構成違約，但回避了對“未注冊人臉識別的用戶將無法正常入園”這一格式條款的審查。而這正是他起訴動物園的關鍵訴求。

在許可看來，“人臉識別第一案”宣判于個人信息保護法出臺之前，當時最高人民法院關于人臉識別的司法解釋也尚未頒布，“法院未支持郭兵的關鍵訴求，也有缺乏明確法律依據的考量”。

根據個人信息保護法，人臉信息屬于敏感信息應強化保護，只有在具有特定的目的和充分的必要性、獲得用戶單獨同意并采取嚴格保護措施的情形下，方可處理。許可認為，如果該案發生在11月1日之后，判決結果可能就會有所不同。

更關鍵的是，耗費大量時間和精力后，郭兵的“臉”得以被刪除，那么個人信息保護法生效后，更多過往被采集的“臉”和其他信息刪不刪、怎么刪？

“個人信息保護法賦予了公民個人很多積極性的權利。”許可舉例說，當發現個人信息權益受到侵害，可以向信息處理者主張查閱和刪除信息，也可以通過監管部門進行投訴舉報。

“不過，行使權利要求個人主動作為，法律不保護‘沉睡’的人。”許可強調。

何延哲同樣關注了法律施行后的落地問題。以“信息收集”為例，填寫手機號、身份證號只是一種方式，用戶的大量信息是在交互過程中生成并被采集的。“這么多的信息，想刪就刪可行嗎？”何延哲拋出問題。

“一方面，精準刪除需要技術支持且要避免對使用同一系統或產品的其他人造成影響；另一方面，信息刪除的邊界在哪里，是否要為互聯網監管留痕作出考慮？”何延哲說。

“這部個人信息保護法，代表了價值取向、法律制度基本框架，具體到如何實施，需要大量的配套細則。”張新寶透露，網信部門正在加緊完成這項工作，目前已經公布了部分內容。

法律的生命在于實施，個人信息保護法也需要在實施中不斷調整，需要政府、企業、相關社會組織、公眾共同參與。

“從這個意義上來說，法律的出臺只是第一步。”張新寶說。（記者 盧越）