《中華人民共和國個人信息保護(hù)法》(下稱《個人信息保護(hù)法》)將在11月1日落地實施，這是中國首部針對個人信息權(quán)益進(jìn)行保護(hù)的法律。該法與已施行的《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》，共同構(gòu)成了中國網(wǎng)絡(luò)法律體系的“三駕馬車”，管控之嚴(yán)，堪比歐盟GDPR(《通用數(shù)據(jù)保護(hù)條例》)。

9月3日，記者專訪了中國人民大學(xué)法學(xué)院教授張新寶。張新寶專注民法領(lǐng)域，多年研究個人信息保護(hù)，全程參與了《個人信息保護(hù)法》的立法工作，同時，還參與民法典編纂工作，擔(dān)任中國法學(xué)會民法典起草領(lǐng)導(dǎo)小組成員和侵權(quán)責(zé)任編召集人。

張新寶表示，關(guān)于個人信息和隱私保護(hù)的法學(xué)研究，已經(jīng)在學(xué)術(shù)界醞釀多年，終于在2018年開始形成立法。中國的互聯(lián)網(wǎng)經(jīng)濟(jì)發(fā)展深入，智能硬件、算法技術(shù)已經(jīng)平民化，個人信息的收集和處理變得更為普遍，同時，數(shù)據(jù)處理者侵害個人權(quán)益的問題，變得越來越突出。

疫情期間，個人信息再一次被大面積采集和處理，令決策者看到了保護(hù)個人信息的必要性，加速推進(jìn)了立法。

該法主要針對個人信息的處理活動。個人信息，包括個人的身份、消費、金融信息等，以及人臉、語音等生物信息。個人信息的處理，包括收集、存儲、使用、加工、傳輸、提供、公開、刪除等。

該法落地后，個人因權(quán)益受害可去投訴個人信息處理的侵權(quán)者，不再是無法可依，還對人臉識別監(jiān)控、用戶畫像、算法歧視等行為特別進(jìn)行了規(guī)范?！秱€人信息保護(hù)法》的適用范圍，并非針對某一類特定企業(yè)，凡進(jìn)行個人信息處理的企事業(yè)單位、國家機(jī)關(guān)均在其中。

張新寶表示，新法落地后，信息處理者的責(zé)任和義務(wù)、合規(guī)成本必然會提高，但也是走向合理規(guī)范的一個過程。過去互聯(lián)網(wǎng)經(jīng)濟(jì)的野蠻生長，已經(jīng)給公眾帶來許多問題，國家必須要將其控制在一個正確、健康的范圍內(nèi)去發(fā)展，讓它不僅高速發(fā)展，還能健康發(fā)展，這也是立法的初衷。

經(jīng)濟(jì)觀察報：《個人信息保護(hù)法》醞釀多年，是什么契機(jī)推動了它的出臺?

張新寶：新冠肺炎疫情期間，公共場所大面積應(yīng)用人臉識別監(jiān)控設(shè)備，企業(yè)采用大數(shù)據(jù)決策，有的甚至是濫用這些技術(shù)，同時，政府通過健康寶、行程碼等手段采集個人行動信息。其中很多信息對個人是高度敏感、涉及人身安全的。在這個過程中，數(shù)據(jù)處理者侵害個人權(quán)益的問題，變得越來越突出，這讓決策者意識到及時保護(hù)個人信息的必要性。

經(jīng)濟(jì)觀察報：這是否也是立法的基本初衷?

張新寶：是的，個人信息保護(hù)在2018年之前處于基礎(chǔ)理論研究階段，到2018年開始形成法律框架，始終在關(guān)注數(shù)據(jù)處理者侵害個人權(quán)益的問題。在2018年，我們發(fā)現(xiàn)，互聯(lián)網(wǎng)經(jīng)濟(jì)開始深入到社會經(jīng)濟(jì)的每一個角落，智能硬件和算法技術(shù)正在變得平民化、普遍化，甚至變得廉價。這一過程中，國家機(jī)關(guān)和企業(yè)大量收集和處理個人信息，也成為了一個普遍現(xiàn)象。

市政運用監(jiān)控技術(shù)加強(qiáng)城市管理，一些頭部企業(yè)還承擔(dān)了信息基礎(chǔ)設(shè)施的角色。

從產(chǎn)業(yè)來看，互聯(lián)網(wǎng)經(jīng)濟(jì)中的頭部企業(yè)，掌握了個人的消費信息、信用信息、金融信息，甚至還將信息打包提供給第三方;它們運用數(shù)據(jù)進(jìn)行自動化決策，收集得信息越多、處理得層次越深、越有利于產(chǎn)品和服務(wù)。但是，這會對個人安全造成極大威脅。

經(jīng)濟(jì)觀察報：決策者的推動下，該法的出臺是早于業(yè)界預(yù)期的?

張新寶：并不是比原計劃要早，當(dāng)初并沒有規(guī)定出臺時間，只是疫情后推進(jìn)的速度更快。從2020年10月至2021年6月，國家僅用10個月時間完成了法案的一審到三審，原本可能于今年6月正式公布，考慮到時間點與《數(shù)據(jù)安全法》重合，以及該法修改的難度，就延后至8月公布。

經(jīng)濟(jì)觀察報：簡單來說，該法是如何保護(hù)公眾個人利益的?

張新寶：《個人信息保護(hù)法》對個人信息進(jìn)行分級分類，分為敏感和一般，成年人和未成年人，不同分類保護(hù)程度不一樣。簡單說，就是強(qiáng)化對敏感信息的保護(hù)，尤其是對不滿14周歲未成年人個人信息的保護(hù)。

不同信息對個人影響不同。例如“我叫張新寶，是人民大學(xué)教授”屬于一條標(biāo)準(zhǔn)的個人信息，法律生效后，數(shù)據(jù)處理者仍可長期保存和應(yīng)用。但是，我在哪個銀行賬戶有存款、資金往來，則屬于敏感信息，法律生效后，原則上數(shù)據(jù)處理者不能收集這些信息。如需處理需要經(jīng)本人單獨同意，而且只能用于特定目的，用完后不可用到別處或出現(xiàn)泄漏，否則就屬于違法行為。

經(jīng)濟(jì)觀察報：對人臉、聲音等個人生物信息的保護(hù)，法律也作出了什么規(guī)范嗎?

張新寶：人臉識別是本法規(guī)范的一個重要內(nèi)容，也是相對于歐盟GDPR法案的特色之處。法律規(guī)定，人臉等生物信息屬于敏感信息。簡單說，對于人臉信息的收集和處理，要有合法依據(jù)，目的必須是服務(wù)公共安全;同時，信息處理者還要提供替代措施，比如工作單位考勤，不能強(qiáng)制性要求員工進(jìn)行人臉圖像采集和比對，對拒絕者，要有提供身份證核對等一些替代措施。

之所以將人臉識別納入管控，是看到在人工智能技術(shù)的進(jìn)步下，人臉識別首先在中國實現(xiàn)了大規(guī)模應(yīng)用。以人臉識別為代表，法律傳達(dá)了對整個生物識別技術(shù)的規(guī)范，還包括虹膜識別、語音識別、指紋識別、血型識別等，只是沒有一一列入條文進(jìn)行列舉。

經(jīng)濟(jì)觀察報：若被機(jī)構(gòu)侵害權(quán)益，個人可以起訴嗎?

張新寶：原則上可以，但實際上一些情況下起訴對個人可能是不經(jīng)濟(jì)的。《個人信息保護(hù)法》最新規(guī)定，若侵權(quán)情況嚴(yán)重，可以提起公益訴訟。針對違法處理個人信息的行為、受害人人數(shù)眾多，個人可向三大類機(jī)構(gòu)進(jìn)行起訴，包括人民檢察院、法律規(guī)定的消費者組織、由國家網(wǎng)信部門確定的組織。這些機(jī)構(gòu)再針對性地提起個人信息保護(hù)公益訴訟。過去，個人通常也是采取投訴的辦法，但如今更做到了有法可依。

經(jīng)濟(jì)觀察報：作為數(shù)據(jù)處理者，該法會對企業(yè)產(chǎn)生哪些影響?

張新寶：最大的影響是企業(yè)合規(guī)成本會提高。要達(dá)到《個人信息保護(hù)法》合規(guī)標(biāo)準(zhǔn)，企業(yè)首先要具備相應(yīng)的能力，需要增加法務(wù)、安全方面的人員配置和相應(yīng)機(jī)制，還要接受網(wǎng)信部門定期或非定期的監(jiān)管，這些都會對企業(yè)生產(chǎn)經(jīng)營造成影響。

其中頭部企業(yè)承擔(dān)了更多責(zé)任和義務(wù)。法律在二審稿中又加入了一些條文。其中一項是在今年年初，我作為專家向立法部門提出的，簡單說，提供重要互聯(lián)網(wǎng)平臺服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的個人信息處理者，相比一般企業(yè)，要做到更高標(biāo)準(zhǔn)的信息合規(guī)處理，同時，還要明確平臺上商戶企業(yè)的合規(guī)。

例如，電子商務(wù)企業(yè)的平臺上，有成千上萬的小商戶，政府無法一一進(jìn)行管理，法律將管理義務(wù)交由平臺企業(yè)，大企業(yè)要制定相應(yīng)的平臺規(guī)則，且公正、公平、公開地對小商戶進(jìn)行規(guī)范。

經(jīng)濟(jì)觀察報：法律對政府和事業(yè)單位作出了哪些規(guī)范?

張新寶：對事業(yè)單位的規(guī)定和對企業(yè)一樣。對政府的規(guī)定有所區(qū)別，比如國家機(jī)關(guān)采集個人信息，需要有特別的法律依據(jù)，需要組織專門機(jī)構(gòu)處理信息，并保證信息的安全;另外，國家機(jī)關(guān)不適用公益訴訟。健康寶和行程碼是有法律法規(guī)依據(jù)的，政府的責(zé)任是要保證數(shù)據(jù)安全，待疫情過后停止使用這樣的個人信息，進(jìn)行后續(xù)的處理和銷毀。

經(jīng)濟(jì)觀察報：作為立法參與者，您如何回應(yīng)產(chǎn)業(yè)對該法的一些關(guān)切、甚至擔(dān)憂?

張新寶：其實立法前專家組就評估過法案的產(chǎn)業(yè)影響，也按照民主程序，征求頭部企業(yè)機(jī)構(gòu)的意見。我認(rèn)為，企業(yè)其實是沒有必要擔(dān)憂的。首先，法律的監(jiān)管，并非針對某個行業(yè)或者某個企業(yè)，所有企業(yè)的成本都在增加，是在平等基礎(chǔ)上進(jìn)行競爭的;其次，很多產(chǎn)品和服務(wù)都沒有統(tǒng)一定價，企業(yè)可以通過定價機(jī)制來化解成本。長遠(yuǎn)來看，合規(guī)對企業(yè)發(fā)展是有利的。做到合規(guī)，處理信息的質(zhì)量更高，也是一種信譽(yù)的保證，方便企業(yè)之間的交易，以及出海做國際生意。

經(jīng)濟(jì)觀察報：根本上說，這部法的價值導(dǎo)向是什么?

張新寶：立法的目的是多維的，首先是保護(hù)個人信息，但不單是保護(hù)，還是規(guī)范個人信息處理活動，促進(jìn)個人信息的合理利用。如果在數(shù)據(jù)的收集、處理過程中不會傷害公眾，那么經(jīng)過處理的個人信息數(shù)據(jù)仍然是科技創(chuàng)新、經(jīng)濟(jì)發(fā)展的“原料”，國家也對企業(yè)創(chuàng)造的財富予以保護(hù)。

之所以前幾年立法進(jìn)展稍慢，是和產(chǎn)業(yè)發(fā)展水平有關(guān)。法學(xué)家的認(rèn)識應(yīng)該超越他人走得更前，但法律永遠(yuǎn)是走在經(jīng)濟(jì)發(fā)展的后面，只有等到產(chǎn)業(yè)發(fā)展到一定程度，再運用法律加以規(guī)范。

這部《個人信息保護(hù)法》，代表了價值取向、法律制度基本框架，具體到如何實施，需要大量的配套細(xì)則。細(xì)則主要由網(wǎng)信管理部門制定，目前已經(jīng)公布了一些，但是還有內(nèi)容尚未處理完善的。即便到11月1日正式實施，配套細(xì)則也未必制定完全，其間也要向各方征求意見，工作還在持續(xù)中。

(沈怡然)

關(guān)鍵詞： 個人信息保護(hù)法 具體實施 需要 配套細(xì)則