构建以“告知-同意”为核心的个人信息处理规则，合法性基础总体而言包含两类，一是告知并取得个人的同意，二是法定理由。

    明确规定目的限制原则和最小必要原则，不得过度收集个人信息；个人信息处理者保证自动化决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇。

    专节规定敏感个人信息的处理规则，将生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满14周岁未成年人的个人信息列为敏感个人信息，对处理敏感个人信息的活动作出更加严格的限制。

    大多数条款比较原则，有待进一步细化。网信部门须制定具体措施、规定来落实，大型平台企业要制定平台规则。

    ■ 中国妇女报全媒体记者 王春霞

    过度收集个人信息、“大数据杀熟”……这些困扰大家的难题，在个人信息保护法中得到了针对性解决。日前，十三届全国人大常委会第三十次会议表决通过了个人信息保护法，自2021年11月1日起施行。

    构建以“告知-同意”为核心的个人信息处理规则

    “个人信息保法的立法目的是多重的，既有保护个人信息权益，主要是人格权益和宪法规定的人权方面的权利，也有促进个人信息利用的目的。这两个目的通过规范个人信息的处理来实现。”中国人民大学法学院教授张新宝告诉中国妇女报全媒体记者。

    “个人信息保护法是我国第一部个人信息保护方面的专门法律，它的颁行将极大地加强我国个人信息保护的法治保障。” 在清华大学法学院助理研究员、博士王苑看来，个人信息保护法是回应大数据时代的一部法律，是坚持走中国特色社会主义法治道路的体现。个人信息保护法构建了一整套精密的个人信息处理规则，包括明确处理个人信息合法性基础，规范共同处理、委托处理，对“敏感个人信息保护”“公开个人信息的处理问题”“自动化决策”等都有所回应，具有鲜明的时代性。强化了个人信息处理者的义务。除了网安法已经规定的安全义务、防止泄露篡改等基本义务外，该法独创性地提出“个人信息保护负责人制度”“定期合规审计义务”“守门人义务”等，保障个人在信息处理活动中的权益。

    “个人信息保护法构建了以‘告知-同意’为核心的个人信息处理规则。”王苑告诉记者，个人信息处理的合法性基础总体而言包含两类，一是告知并取得个人的同意，处理行为的合法性来自个人的有效同意；二是法定理由，该法列举了5种情形，其中一种是“为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”。

    如何理解这一情形，在王苑看来，这一规定是对用人单位可以不经职工同意处理个人信息范围的限制，排除了企业依据自身制定的不合理劳动规章制度处理职工个人信息，也防止了企业随意扩大解释人力资源管理的范围，任意处理职工的个人信息。

    回应过度收集信息、“大数据杀熟”等热点问题

    个人信息处理者过度采集和占有公民个人信息是群众反映突出的问题。比如，一个天气预报APP，却要访问手机的通讯录。不同意的话，就不能使用。

    王苑告诉记者，个人信息保护法第6条明确规定了目的限制原则和最小必要原则，“处理个人信息应当具有明确、合理的目的”，同时“应当限于实现处理目的的最小范围，不得过度收集个人信息”。天气预报APP要访问通讯录，明显属于过度收集，信息主体有权利拒绝，如果未经信息主体同意收集了，不具备收集的合法性基础。

    对于不同意就不能使用APP的做法，王苑认为，实践中处理者的这种做法实际上是对个人决定权的限制，强制或胁迫个人同意个人信息处理。个人信息保护法第5条明确规定不得通过误导、欺诈、胁迫等方式处理个人信息。如果确有该行为，可以向履行个人信息保护职责的部门投诉或举报。第61条规定，履行个人信息保护职责的部门应履行接受、处理与个人信息保护有关的投诉、举报的职责。

    有网友提出，自己只在某猫的一家旗舰店搜过运动手表，在线下体验店试戴，结果一刷某瓣，就推送运动手表的广告。

    “个人信息保护法的目的限制原则就针对该种情况。”王苑说，消费者浏览网页的信息，是否可以被用以商业推送，需要经过消费者的同意。而该信息是否可以提供给其他处理者予以信息推送或商业营销，也需要经过消费者的同意，如果没有，则违反了该原则。个人信息保护法第24条规定“通过自动化决策方式进行信息推送、商业营销时，应当同时提供不针对其个人特征的选项，或者向个人提供拒绝的方式。”搜索过的东西出现在另一个APP的广告栏中，属于利用自动化决策进行的信息推送和商业营销。在这种情形下，为了实现个人自主决定的利益，消费者有权拒绝该广告推送，比如该广告有选择退出的方式，或者处理者应当在隐私政策或相关隐私设置中，提供一种不利用其个人特征或画像精准推送广告的方式。

    对于“信息茧房”“大数据杀熟”等问题，王苑介绍，个人信息保护法明确要求个人信息处理者保证自动化决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇。如果通过自动化决策方式作出对个人权益有重大影响的决定，个人有权要求个人信息处理者予以说明，并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。

    严格保护敏感个人信息

    个人信息保护法专节规定了敏感个人信息的处理规则，将生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满14周岁未成年人的个人信息列为敏感个人信息。

    “主要考虑是此类信息一旦泄露或者被非法使用，极易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害，对处理敏感个人信息的活动应当作出更加严格的限制。” 全国人大常委会法工委经济法室副主任杨合庆介绍，个人信息保护法要求处理敏感个人信息应当取得个人的单独同意，只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，方可处理敏感个人信息，同时应当事前进行影响评估，并向个人告知处理的必要性以及对个人权益的影响。

    王苑说，个体层面，对于收集敏感个人信息的场景要保持高度警惕，明确是否有明确的单独同意；在没有必要的场景下，能不交出敏感信息就不交出；要关注收集了敏感信息的信息处理者是否有信息泄露和信息滥用的行为，随时注意诈骗手段的更新，谨防犯罪分子利用敏感信息实施诈骗。

    杨合庆说，考虑到少年儿童在生理上和心理上尚不成熟，认知能力和控制自己行为的能力都较弱，容易受到信息推送和商业营销的诱导，在面对违法处理行为侵害其合法权益时缺乏必要的分辨能力和充分的自我保护能力，个人信息保护法特别将不满14周岁未成年人的个人信息确定为敏感个人信息予以严格保护。

    同时，个人信息保护法与未成年人保护法有关规定相衔接，要求处理不满14周岁未成年人个人信息应当取得未成年人的父母或者其他监护人的同意，并应当对此制定专门的个人信息处理规则。

    “将不满14周岁未成年人的个人信息纳入敏感个人信息的保护范围，体现了对未成年人特别是不满14周岁未成年人的特别保护。”张新宝说，个人信息处理者处理不满14周岁未成年人的个人信息，应当制定专门的处理规则。父母亲等监护人在决定“同意”的时候，应当从不满14周岁未成年人最大利益出发审慎为之。对于可能造成人身权益受到侵害的个人信息，父母或其他监护人原则上不得同意他人处理。“该规定的落地，还要与未成年人保护法相结合，网信部门可能还会制定一些专门落地的规则。”

    在王苑看来，将未成年人个人信息视为敏感信息体现了“儿童利益最大化”原则。“父母和其他监护人应当审慎行使这项权利，在综合考虑信息处理者的身份、处理目的、处理方式方法的基础上，作出同意与否的决定。”

    需尽快制定具体措施使法律落地

    自然人的个人信息权益遭受侵害时，该怎么办？王苑告诉记者，信息主体可以向履行个人信息保护职责的部门投诉、举报。按照个人信息保护法的规定，国家网信部门统筹协调有关部门完善个人信息保护投诉、举报工作机制。信息主体权利受到侵害的，有权直接向人民法院起诉。此外，个人信息保护法中还规定了公益诉讼路径。

    在张新宝看来，该法规定的法律责任“是比较严厉的，是一个综合的法律责任”，既包括刑事责任，也包括民事赔偿责任，还有更重要的行政处罚责任。个人信息保护法规定了对个人和企业的罚款，根据情节和企业类型，罚款可高达5000万元，甚至上一年度营业额的5%。此外，根据情节严重程度还可以暂停某些个人信息处理活动，直到吊销营业执照。

    “个人信息保护法与民法典、刑法等有关法律规定的衔接问题，需要学界与实务界继续共同探讨。”王苑认为，与个人信息保护有关的行政法规、规章以及标准需加快制定、修订及完善，细化、充实个人信息保护制度规则。个人信息保护需要行政机关特别是网信部门的行政执法，更需要信息处理者主动对个人信息处理行为进行风险评估和合规审计，停止有重大风险的信息处理行为，修正有一定风险的信息处理行为。

    “个人信息保护法是一部十分重要的法律，乃至是互联网时代最重要的一部法律。”张新宝说，个人信息保护法共74条，大多数比较原则，“法律要求网信部门制定具体措施、规定来落实该法规定的一些制度，明确大型平台企业要制定平台规则。这些都有待进一步细化。法律还规定了公众参与、公众监督等，体现了多方参与共治的理念。因此，个人信息保护组织、消费者权益保护组织、人民检察院、新闻媒体等对该法的实施都负有监督的权力或者职责。”