來源：中國經營報

本報記者 曲忠芳 李正豪 北京報道

十三屆全國人大常委會第三十次會議8月20日表決通過的《中華人民共和國個人信息保護法》（以下簡稱“《個人信息保護法》”）將於今年11月1日起施行。這意味着作爲個人信息保護領域的“基本法”——《個人信息保護法》，自2018年11月起加入立法規劃、於去年10月首次公開草案徵求社會意見，歷經三次審議後，終於落地。

《個人信息保護法》全文共八章七十四條，全面系統地對個人信息的定義與權利、處理原則、個人信息處理者的義務和法律責任進行立法。尤其是對近年來社會大衆高度關注的熱點問題及爭議，如“大數據殺熟”“人臉識別濫用”“算法推送”“個人信息跨境”“未成年人信息”等，都做了明確的界定和要求。

自《個人信息法》頒佈數日以來，《中國經營報》記者從包括外資品牌在內的多家企業處瞭解到，絕大多數企業內部尤其是法律部門或團隊都已經開始研究學習《個人信息保護法》，並對條文做一一拆解對照，再加上6月頒佈、將於9月1日起施行的《數據安全法》，企業在個人信息保護、數據安全等方面合規性的自查和調整，或將在未來幾個月裏逐步體現在自身的產品業務運營過程中。業界普遍認爲，《個人信息保護法》給個人信息保護上了法律“安全鎖”的同時，也大幅提升了企業處理個人信息安全合規的“門檻”，無疑將給處理個人信息的企業等市場參與者戴上最嚴“緊箍”。

基本法落地，告別“野蠻”時代

北京雲嘉律師事務所律師、中國政法大學知識產權研究中心特約研究員趙佔領指出，事實上，個人信息保護領域已有很多法律法規，比如《刑法》規定了“侵犯公民個人信息罪”，還有相關的司法解釋；針對網絡個人信息保護有《網絡安全法》，還有工信部、網信辦等制定的一系列部門規章；在消費者權益保護方面，新版《消費者權益保護法》規定了消費者對於個人信息擁有相關的權利，今年1月1日起施行的《民法典》專門將個人信息作爲公民的一項基本權利。除了互聯網領域之外，其他行業也有一些主管部門制訂的規章或規範性文件中有相關規定。但是，在《個人信息保護法》出臺之前，還缺少一部適用於各領域的個人信息收集處理規則的相關規定。從這一角度來看，《個人信息保護法》是個人信息保護的“基本法”，使用範圍廣泛，不限於互聯網領域，各行業領域涉及個人信息處理都必須遵守。

中關村大數據產業聯盟副祕書長顏陽指出，《個人信息保護法》的頒佈可以說是“及時雨”。儘管我國已有《網絡安全法》，但網絡安全屬於地域管轄，個人信息和數據擁有流動特性，則需要監管部門進行長臂管轄，因此有必要單獨立法，以適應這一特殊性。

“以互聯網企業爲例，以前往往是由平臺方提供免費形式的APP，讓用戶幾乎無條件交換自己的個人信息，雙方的權益是不對等的。《個人信息保護法》落地後，這個時代已經過去了。”顏陽如是說道。

另一位從事網絡安全業務多年的人士告訴記者：“APP服務運營企業常常通過各種手段‘恨不得’要到用戶越多的個人信息許可授權越好，但《個人信息保護法》出臺後，掌握的數據量多意味着更多的安全保護義務和責任，如果你本身沒有保護能力，就要遵循最小範圍、必要的原則。”

記者注意到，《個人信息保護法》第二章明確規定了“個人信息處理規則”。在“一般規定”中明確指出，“通過自動化決策方式向個人進行信息推送、商業營銷，應當同時提供不針對其個人特徵的選項，或者向個人提供便捷的拒絕方式”；“在公共場所安裝圖像採集、個人身份識別設備，應當爲維護公共安全所必需，遵守國家有關規定，並設置顯著的提示標識，所收集的個人圖像、身份識別信息只能用於維護公共安全的目的，不得用於其他目的。”

除了“一般規定”，《個人信息保護法》中還專門規定了“敏感個人信息的處理規則”。根據定義，“敏感個人信息是一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息。”“處理敏感個人信息應當取得個人的單獨同意。”

太琨律創始合夥人、太琨律（成都）四川琨爵律師事務所主任朱界平指出，《個人信息保護法》明確了處理個人信息的核心原則“告知-同意”，信息處理者應當提供便捷的撤回同意的方式；強調不得過度收集個人信息；禁止商家通過自動化決策“大數據殺熟”，更嚴格限制處理敏感個人信息，加大了對侵犯個人信息行爲的懲處力度等。其明確了市場運營主體的責任及加大了懲處力度，市場運營主體需要根據這些具體要求來規範對用戶個人信息的收集和利用等。