《中华人民共（gòng）和国个人信息保护法》（下（xià）文（wén）简称“个（gè）保法”）于（yú）2021年11月1日起正式实施。中国人民大学未来（lái）法（fǎ）治研究院副院长丁晓东对新（xīn）京报贝（bèi）壳（ké）财（cái）经记者表示，个保法为个人信息（xī）处理活动提供了明确的法律依据，为个人维（wéi）护其个人信息权益提供（gòng）了充分（fèn）保障，为企业合（hé）规（guī）处（chù）理提供了操作指引。

需要注意的（de）是，在（zài）个保法（fǎ）出台之前，我国并没有一部专门规范使用个（gè）人信息的法（fǎ）律，关于个（gè）人（rén）隐私保护（hù）的相关条款分散在不同的法律法规之中。而随着互联网经济（jì）和（hé）数字化发展，越来越多的应用场景涉及个人信息处理，因此（cǐ）个（gè）保法出台可谓是“众望所归”。

历（lì）经十八载（zǎi）终出台，构建完整个人信息保（bǎo）护框架

贝壳财经（jīng）记者了解到，2003年，专家起草（cǎo）了个（gè）保法建议稿。2018年，个保法正式进入（rù）立法流程（chéng），历经三次审议（yì）最终成（chéng）型。2021年8月20日，十三（sān）届全国（guó）人（rén）大常（cháng）委会第（dì）三十次会议表（biǎo）决通过了（le）《中华人民共和国（guó）个（gè）人信息保护（hù）法》，自2021年11月（yuè）1日（rì）起正式实施（shī）。此时距离个（gè）保法建议（yì）稿的起草（cǎo）已经过去18年。

《个（gè）人信息保护法（fǎ）》全文以（yǐ）总计8章74条的篇（piān）幅，在总则（zé）、个人信息处（chù）理规则（zé）、个（gè）人信息跨境提供（gòng）的规则、个人在（zài）个人（rén）信息处理活动中的权利、个人信息处理者（zhě）的义务、履行个（gè）人信息保（bǎo）护职责的部门、法律责任以及附则（zé）等多个（gè）层面（miàn）设计和建构个人（rén）信息（xī）保护的立（lì）法框架。

中国互联（lián）网协会（huì）研究中心副主任、北京师范大学网络法（fǎ）治国际（jì）中心执行主（zhǔ）任吴（wú）沈括参与了个保（bǎo）法的制定。据他介绍，个（gè）人信息（xī）保护源于宪法对于公民人格尊严的保护，个保法涉及的是个人权益保护，并不直（zhí）接解决个人信息相关的财（cái）产（chǎn）权。“立法者（zhě）给了各方利益平衡的空间（jiān）”。

丁晓（xiǎo）东认（rèn）为，从整体来看，个保法构建（jiàn）了完（wán）整的个人（rén）信息保护框架。其规定涵盖了个人信息（xī）的范围以及个人信息从收集、存储到（dào）使用、加工、传输、提供、公开、删（shān）除等所有处理过（guò）程；明确赋（fù）予了个人对其信息控制的（de）相（xiàng）关权利（lì），并确（què）认与个人权利（lì）相对应的（de）个人信息处理者的义务（wù）及法律责任；对个人信息出境问题、个人信息保护（hù）的部门职责、相关法律责任进行了规定。

吴沈括称，个保法以“告知-同（tóng）意”机制为（wéi）核心逻辑建构覆盖个人（rén）信息（xī）处理全生命周期的规则框架（jià），强化保障自（zì）然人的自主权利，同时注重与其他重（chóng）要利益包括国家安全以及公共利益等的平衡协调，例如针对各类不同的具体（tǐ）场景设定告知或者同意的（de）例外（wài）规则。

从具体问题来（lái）看，个保法（fǎ）明（míng）确不得过度收集（jí）个人信息（xī）、大数据杀（shā）熟，对人脸信息（xī）等敏感（gǎn）个人信息的处理作出规制（zhì），完善（shàn）个人信息保护投诉、举报（bào）工作机制等。

中（zhōng）国政（zhèng）法大学传播法研究中心副（fù）主任朱（zhū）巍告诉贝壳财经记者，个（gè）保法一经问世，就肩负起统领其他法律（lǜ）法规对个人（rén）信息（xī）保护的作用。该法所确立的对权（quán）利人“最小（xiǎo）伤害”“公开透明”“准确完整”“合理使用（yòng）”“合理目的”等原（yuán）则（zé），是对先前相关法律关于（yú）个人信（xìn）息（xī）使用“合法性（xìng）、正（zhèng）当性、必（bì）要性”原则（zé）的扩展和补强。未来后续新的立（lì）法中，凡是涉及个（gè）人信息保（bǎo）护问题的（de），都应遵守个人信（xìn）息保护法所（suǒ）确定的基本原则，任何（hé）规定都不得与之相冲突（tū）。

“个人（rén）信息保护法是个体权利在个（gè）人信（xìn）息保护领域的新旗帜，极大扩展和补充了（le）民法典、消（xiāo）费者权益保（bǎo）护法等民事法（fǎ）律关于个人信息权利的（de）范围。新法将个人权（quán）利单独成章，赋予了公民个（gè）体对（duì）自己个人信息的（de）‘自我决定权’和充分的‘知情权’。”朱巍表示。

向“大数据杀熟”“信息曝光（guāng）”说不，个（gè）性化（huà）推送可关（guān）闭

朱巍（wēi）认（rèn）为（wéi），“我的权利（lì）我做主”在个人信息保护法中得到了具体体现。老百姓依法享有对（duì）自（zì）己信（xìn）息的查询权、复制权、删除（chú）权、更正权、保持完整性和准确性权（quán）、投诉权、要求说（shuō）明权和诉（sù）讼权。这些新型权利基本构成了适应大数据时代个人信（xìn）息保护的权利保（bǎo）护体系。

例如（rú），在（zài）个保法出（chū）台前，用（yòng）户在（zài）接受互联网（wǎng）产品和服务时，仅（jǐn）享（xiǎng）有注（zhù）册权，很（hěn）少有人尝试过“注销权”。很多App或网络（luò）服（fú）务，当用户不再使用的时候，随手从手机中删除，却忘记了之前在平台的注（zhù）册信息（xī）、身份信息和行为（wéi）数据，这些信（xìn）息（xī）不会因（yīn）为（wéi）个人删除（chú）行为而自行（háng）消失。个保法（fǎ）出台后，用户一旦（dàn）停止（zhǐ）使（shǐ）用某款网络服务，在删除应用的同时，平台也（yě）应（yīng）依法对用（yòng）户现存信息进行删（shān）除，确保用户（hù）个人信息不会成为那些“睡（shuì）眠应用”的非法财产。

而对于用户（hù）在App平台中（zhōng）遇到同一（yī）款产（chǎn）品（pǐn），不同人显示的价（jià）格不一样，甚至在（zài）不同型号的手机上显示价（jià）格（gé）也不同的（de）“大数（shù）据杀熟”行（háng）为，个保法也有了明确的要求——个人信息保护法第二十（shí）四（sì）条规定，个（gè）人信息处理者利用个人信（xìn）息（xī）进（jìn）行自（zì）动化决策，应当保证决策的透明（míng）度和结果公平、公正，不得对个（gè）人在交易价格等交易条（tiáo）件上（shàng）实行不合理的差别待遇。丁晓东认为，这明确否（fǒu）定（dìng）了“大数据（jù）杀熟”等现象。

此（cǐ）外，个保法规（guī）定（dìng），通过自（zì）动化决策方式向个人进行（háng）信息推送、商业（yè）营销，应当（dāng）同时提供不针（zhēn）对其个人特征的选项，或者（zhě）向个人提供便捷（jié）的拒绝方式。

安恒信（xìn）息高级副总裁、首席科学家刘博告诉贝壳财经记者，上述条（tiáo）款限制（zhì）了平台对个人画像及针（zhēn）对性营销（xiāo）的能力。

中国（guó）电子技术标（biāo）准化研究（jiū）院网络安全研究（jiū）中心测评实验室副何（hé）延哲则表示，（自动化（huà）决策条（tiáo）款）肯定会对广告业（yè）产生影响，以前用户往往只（zhī）能被动接受个性化广告的（de）推（tuī）送，用户拥有主（zhǔ）动权（quán）后，可以自行选择是否开（kāi）启类似功（gōng）能。“以（yǐ）前许（xǔ）多广告商在无限度追求商业利益（yì）的过程中，经常忽略用户（hù）个人（rén）的（de）感受。如今出台了相（xiàng）关（guān）法规，他们便要承（chéng）担（dān）之前（qián）野蛮发展的后果——曾（céng）经（jīng）让多（duō）少用户（hù）反感（gǎn），以后可能就（jiù）要承担（dān）多少用（yòng）户关闭（bì）个（gè）性化推荐后的损失。”

同时，针对广泛存在的已公开个人信息的利用问（wèn）题，《个人信息（xī）保护法（fǎ）》也专门规定个（gè）人信息处理者可以在合理（lǐ）的范围内处理个人自行公开或者其他已经合法公开的个（gè）人（rén）信息，而个人对此有权明（míng）确拒绝，并且如（rú）果个人信息处理（lǐ）者处理已公开（kāi）的个人（rén）信息对个人（rén）权益有重大（dà）影响的，仍然应当依法取得个人同意（yì）。

“个（gè）保法从个人信息处理的一般规则到敏感个人信息处理的特殊规则（zé），乃至（zhì）个人信息跨境提（tí）供（gòng）的单（dān）独规则设定，无（wú）不反映了立法者对于个人权益的着重（chóng）保护，以（yǐ）及对于各利益相关方多样诉求的兼容权衡，并通过系统的个人权利内容以及个（gè）人信（xìn）息处理者义务相关规定予以全面（miàn）的细化落（luò）实，切实贯（guàn）彻保护个人信息权益与（yǔ）促（cù）进（jìn）个人信（xìn）息合理利用的双重立法目的。”吴沈括表示。

吸收接轨国（guó）际立法，探索开创中国路径

多位专家（jiā）认为，个保法吸纳了不（bú）少国际立法的成功经验，但同时也结合中（zhōng）国国情做出了创新。

吴（wú）沈括认为，个保（bǎo）法注（zhù）重发挥国家、社（shè）会、企业和个（gè）人等（děng）不同主（zhǔ）体的协（xié）同作用，打造个人（rén）信息保护领域的多方共享共治模式。个保（bǎo）法特别强调国（guó）家建立健全个（gè）人信息保护制度，预防和（hé）惩治侵（qīn）害个人信息权益的行为，加强（qiáng）个（gè）人信息保护宣传教育，推动形成政府、企（qǐ）业、相关行业组织和社会公众（zhòng）共同参与个人信息（xī）保护的良好环境（jìng），为促（cù）进个人信息合理利用（yòng）奠定坚实的、可持续的生态基础。“更进（jìn）一步而言，个保法还对当下我国民（mín）众（zhòng）的诸多现实关切（qiē）做出了及时（shí）、有效的（de）回应，提出了具有鲜明时代印记与中（zhōng）国特色的规则安排。”

例如（rú），针对目前（qián）多（duō）发的个（gè）人信息泄（xiè）露事件，个保法明确规（guī）定个人信（xìn）息处理者的义务规则（zé），要（yào）求（qiú）其（qí）立（lì）即采取补救措施，并且面向履行个（gè）人信息保护职（zhí）责的部门和（hé）个人通知个人信息泄露（lù）的（de）原因（yīn）、丢失（shī）的个人信息种类和（hé）可能造成的危害、已采（cǎi）取的补救措施以及个人可以采（cǎi）取的（de）减轻危害的措施等重要（yào）事（shì）项。

需要注意（yì）的是（shì），对（duì）于不（bú）同类型的个人信息（xī），个保法（fǎ）规定，个（gè）人信息处理者要针对不同类型的信息进行分类处（chù）理。

吴沈括认为，信息分类是立法的总体要求，包括数据安全法中提到数（shù）据分（fèn）类分级管（guǎn）理。落实到（dào）个人信息保护领（lǐng）域（yù），分为敏感信息和非（fēi）敏感信（xìn）息、未成年人信息和成年人信息等。企业也（yě）可（kě）基于（yú）自身（shēn）业务实践做进一步（bù）分类，“立法（fǎ）者也是希望企业能（néng）针对不同类型的数据有不同强度、不同形（xíng）式的（de）保护，体现（xiàn）个保法全面保护的（de）要求”。

但对（duì）比个保（bǎo）法二审稿，对个人（rén）信息进行分级（jí）的表（biǎo）述在（zài）正（zhèng）式稿中被删除。

吴（wú）沈括表示（shì），在（zài）不同场（chǎng）合中个人信息的敏感性质不相同（tóng），同一个信息在不同（tóng）应用场景（jǐng）中的价值属性也不相同，拿掉“分级（jí）”是为（wéi）了给予企业更（gèng）具弹性的（de）操作空间，但（dàn）不意味着（zhe）个人信（xìn）息分级不（bú）重要。

“可以期待，在个保法科学、系统（tǒng）、全面的顶层设计之下，后续随着监管（guǎn）执法（fǎ）举措的不懈推进、司法裁判规则的不断（duàn）丰富、多方参与共治的持续培育以及国（guó）际交流（liú）合作的深入（rù）开展，置身代（dài）码（mǎ）世界（jiè）的广大（dà）人民群众（zhòng）将（jiāng）长久拥抱（bào）个（gè）人信息合法（fǎ）权（quán）益受保护、个人信息处理活动受规范、个（gè）人信息合（hé）理利（lì）用受促进的（de）数（shù）字治理（lǐ）新生态。”吴沈括表示。

“综合而（ér）言，我国的个（gè）人信息保护（hù）法对（duì）相关制（zhì）度进行了（le）全方位的规定，体现（xiàn）了我国政（zhèng）府维（wéi）护公民基本权益的（de）决心，为（wéi）个人信（xìn）息的规范化收集（jí）与利（lì）用（yòng）提供了保障（zhàng）。随着几个月（yuè）后个（gè）人信息保护法的生效实（shí）施，这（zhè）一数字时代的基本（běn）法（fǎ）也必将为我（wǒ）国（guó）数（shù）字社会治理与数字经济（jì）发展注入更为强大的动力（lì）。”丁晓（xiǎo）东表示。