□中国改革报记者 何玲

□实习记者 孟佳惠

随着信息化与经济社会持续深度融合，网络已成为生产生活的新空间、经济发展的新引擎、交流合作的新纽带。据统计，截至2020年年底，我国互联网用户已达9.89亿，互联网网站和应用程序数量分别超过440万个和340万个，个人信息的收集、使用更为广泛。

与此同时，个人信息利用与保护之间的矛盾也愈发突出，利用个人信息侵扰人民群众生活安宁、危害人民群众生命健康和财产安全等问题十分突出。个人信息保护已成为广大人民群众最关心最直接最现实的利益问题之一。

8月20日，十三届全国人大常委会第三十次会议表决通过《个人信息保护法》。该法律将于2021年11月1日起施行。“《个人信息保护法》坚持和贯彻以人民为中心的法治理念，牢牢把握保护人民群众个人信息权益的立法定位，聚焦个人信息保护领域的突出问题和人民群众的重大关切。”全国人大常委会法工委经济法室副主任杨合庆表示。

禁止App强制索权

为霸王条款划“红线”

去餐厅吃饭被要求扫码点餐，且必须填写姓名、出生年月、手机号码等与服务无关的个人信息；想下载使用一款App，需要和平台方达成“交易”，点选是否允许授权打开相册、是否允许授权打开通讯录、是否允许授权开启定位……近年来，诸如此类收集信息的方式，频频引发人们对个人信息泄露的担忧和质疑。

杨合庆指出，随着信息化与经济社会持续深度融合，现实生活中一些企业、机构甚至个人，从商业利益等出发，随意收集、违法获取、过度使用、非法买卖个人信息，利用个人信息侵扰人民群众生活安宁、危害人民群众生命健康和财产安全等问题十分突出。“‘告知-同意’是法律确立的个人信息保护核心规则，是保障个人对其个人信息处理知情权和决定权的重要手段。”

“个人信息安全立法过程中，最核心的问题就是信息收集，然后是信息收集后的保管不当和非法利用。”一位法学专家介绍，《个人信息保护法》规定，处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。收集个人信息，应当限于实现处理目的的最小范围。同时，处理个人信息应当在事先充分告知的前提下取得个人同意，个人信息处理的重要事项发生变更的应当重新向个人告知并取得同意。

同时，针对现实生活中网络用户质疑的“一揽子授权”“强制同意”等问题，《个人信息保护法》规定，个人信息处理者在处理敏感个人信息、向他人提供或公开个人信息、跨境转移个人信息等环节应取得个人的单独同意，明确个人信息处理者不得过度收集个人信息，不得以个人不同意为由拒绝提供产品或者服务，并赋予个人撤回同意的权利，在个人撤回同意后，个人信息处理者应当停止处理或及时删除其个人信息。

北京大学法学院教授薛军在解读这一基本规则时表示，这种同意必须是建立在告知的基础上的有效同意，包括“单独同意”“书面同意”，“同意”后还可“撤回”，这充分地体现了立法认可个人信息受到法律保护。

“个人信息处理者过度收集、使用用户个人信息的，严重侵害了自然人对于其个人信息的权利，特别是知情权或决定权等，也严重违反了以知情同意为基础的处理个人信息的基本要求。”北京航空航天大学法学院院长龙卫球认为，该法关注到了此乱象，以极其务实的方式做出立法解决。该法第十六条规定的内容为应对包括App在内的各种形式的强制收集或非必要的过度收集提供了明确法律依据。

谈及对个人信息处理者违法行为的处罚，龙卫球表示，该法第七章法律责任的若干规定都可能适用于包括利用应用程序等在内的过度收集或处理个人信息的违法活动。例如，该法第六十六条就规定了相应的处罚责任。这一法律责任规定有三个特别值得注意的新特点，一是出现许多新的行政处罚形式；二是罚款数额之高前所未有；三是对违法信息处理中的有关个人也规定了相应的责任。

杜绝“大数据杀熟”

为公平交易提供法律依据

用两款手机分别打开某旅行App订酒店，点选同样的酒店、同样的时段后发现，老用户比新用户要多花钱。拨打客服电话得到的回复是：确实存在会员价格比新客户贵的情况，原因是平台对新用户的优惠力度较大。“‘大数据杀熟’行为违反了诚实信用原则，侵犯了消费者权益保护法规定的消费者享有公平交易条件的权利，应当在法律上予以禁止。”杨合庆说。

“当前，社会各方面对于用户画像、算法推荐等新技术新应用高度关注，对相关产品和服务中存在的信息骚扰、‘大数据杀熟’等问题反映强烈。”全国人大常委会法工委发言人臧铁伟表示，《个人信息保护法》立足于维护广大人民群众的网络空间合法权益，对利用个人信息进行自动化决策作了有针对性规范。

根据《个人信息保护法》，个人信息处理者利用个人信息进行自动化决策，应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇。通过自动化决策方式向个人进行信息推送、商业营销，应当同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式。

对此，清华大学法学院副院长程啸表示，个人信息处理者根据算法做决策，但是算法由人来设计生成，在这一过程中，设计者仍然有可能会将不合理且带有歧视性的内容写进算法，所以本条款要求保障决策的透明度和结果的公平公正。

同时，程啸认为，市场上存在价格的差别待遇不一定就是“大数据杀熟”，不合理的差别待遇是商家完全通过获得个人隐私信息，掌握消费者消费能力和消费习惯，发现用户对交易价格的敏感程度不一，从而对其实行差异性定价，例如，给对价格敏感度低的用户定高价，给价格敏感度高的用户定价相对较低。由此可见，《个人信息保护法》增加了禁止“大数据杀熟”的有关条款，进一步丰富了对歧视性定价问题的规制路径，也为实现市场公平交易提供了法律依据。

强化“守门人”义务

健全机制加大惩戒力度

“在个人信息处理方面，互联网平台为平台内经营者处理个人信息提供基础技术服务、设定基本处理规则，是个人信息保护的关键环节。”杨合庆指出，提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者对平台内的交易和个人信息处理活动具有强大的控制力和支配力，因此在个人信息保护方面应当承担更多的法律义务。

《个人信息保护法》对大型互联网平台设定了特别的个人信息保护义务，包括：按照国家规定建立健全个人信息保护合规制度体系，成立主要由外部成员组成的独立机构对个人信息保护情况进行监督；遵循公开、公平、公正的原则，制定平台规则；对严重违法处理个人信息的平台内产品或者服务提供者，停止提供服务；定期发布个人信息保护社会责任报告，接受社会监督。这些条款被称为“个人信息守门人”规定。

“个人信息保护法的执法属多元执法、多头执法，就像‘九龙治水’，如何将不同的部门按照同样的标准执行个人信息保护法，显得尤为重要。”对外经贸大学数字经济与法律创新研究中心执行主任许可认为，个人信息保护要遵循协同共治理念，完成立法只是迈出了第一步，还应该包括行业内形成个人信息保护标准的共识、制定出个人信息保护技术标准和市场优胜劣汰多个环节。“特别是互联网平台要落实个人信息保护法的有关规定，监督平台内运营者遵循个人信息保护的基本要求。”

在监管部门方面，《个人信息保护法》明确，国家网信部门和国务院有关部门在各自职责范围内负责个人信息保护和监督管理工作，同时对个人信息保护和监管职责作出规定，其中包括指导监督个人信息保护工作、接受处理相关投诉举报、组织对应用程序等进行测评、调查处理违法个人信息处理活动等。

据杨合庆介绍，《个人信息保护法》根据个人信息处理的不同情况，对违法处理个人信息的行为设置了不同梯次的行政处罚。对未造成严重后果的轻微或一般违法行为，可由执法部门责令改正、给予警告、没收违法所得，对拒不改正的最高可处100万元罚款；对情节严重的违法行为，最高可处5000万元或上一年度营业额5%的罚款，并可以对相关责任人员作出相关从业禁止的处罚。

“网络空间是亿万民众共同的家园，以数据为新生产要素的数字经济是高质量发展的新动力。《个人信息保护法》以严密的制度、严格的标准、严厉的责任，构建了权责明确、保护有效、利用规范的个人信息处理和保护制度规则。社会各方面应当加强个人信息保护宣传教育，提升个人信息保护法治意识，推动个人信息保护法落地实施，助力网络强国、数字中国、智慧社会建设。”杨合庆说。