原标题：落实个人信息主体权益：亟待规则细化和一场“刀刃向内”的变革

21世纪经济报道 记者郭美婷 南方财经全媒体 记者李润泽子 实习生 陈安然 广州报道

编者按：

伴随着数字经济发展，对个人信息的采集和利用成为一种“刚需”。个人信息保护不断涌现出新问题，随意收集、违法获取、过度使用、非法买卖个人信息等情况“野火烧不尽”。数据的挖掘利用与个人信息保护之间张力扩大，急需专门法律对个人信息处理活动提供规范样本。

2021年11月1日，《个人信息保护法》正式施行，转眼间即将实施一周年。南财合规科技研究院长期关注个人信息保护议题，持续跟踪报道立法进程、监管动态，反映公众呼声。借此机会，将推出“南财个人信息保护月”系列活动，探讨《个人信息保护法》实施以来的落实情况以及对企业带来的影响。将围绕“守门人”条款的落实、用户个人信息权益的实现、数字广告行业的变革、数字经济发展与合规的平衡等多个维度推出20余篇系列稿件，刊出个人信息保护特刊，并且举办线下高峰论坛。

法律的生命力在于实施，在完成立法后，《个人信息保护法》需司法和执法接力，也需要企业恪守法律要求。我们希望能借助媒体的力量，持续追踪问效，推动个人信息权益的保障，提升全社会个人信息保护的水位线。

数字经济极大地改变了社会生活。人们享受着各类APP带来的便利，也为这些电子平台贡献了海量的数据资源。那么，用户能否获知APP收集了哪些个人信息？当不再使用某APP时，能否从该平台上完全清除掉自己的个人资料？又能否将原有的个人资料挪到另一个APP上？

去年11月正式落地的《个人信息保护法》（下称《个保法》）给出了答案。其中，第四章“个人在个人信息处理活动中的权利”以7个条文，对知情权、决定权、查阅复制权、可携带权等个人在信息处理活动中享有的权利作出了全面的规定，并赋予了可诉性。

《个保法》实施一年，纸面中的个人信息权益逐步走向执法、司法实践中。然而，针对个人的信息权益行使，目前在司法上尚未达成共识，有赖于进一步细化规则的制定和统一尺度的设置。对企业而言，这也意味着一改过去混沌的数据管理模式，全面梳理和厘清用户个人信息处理的全流程及其依据。未来，或将是一场“刀刃向内”的改革。

权利范围界定之难

2021年3月1日，电商平台唯品会一用户周女士拨通了客服电话，称其母亲接到陌生来电，对方对周女士购物留下来的个人信息有所了解，出于对个人信息泄露的担忧，周女士希望唯品会告知并披露其所收集的个人信息。

该要求遭到客服的拒绝，周女士同日向唯品会隐私专职部门邮箱发送相同请求的邮件亦未得到回复。周女士遂以侵犯个人信息查阅、复制权为由，将唯品会诉至法院。

今年5月，该案迎来了二审判决，法院支持了原告提出的大部分个人信息披露请求，并要求唯品会在30天内做出答复（以下简称“唯品会案”）。

“唯品会案”的重要法律依据正是《个保法》。该法于去年11月正式实施，历经一年，不少案件渐次进入司法程序。

保护个人信息权益是《个保法》的根本目的。第四章“个人在个人信息处理活动中的权利”以7个条文，对个人在信息处理活动中享有的各种针对信息处理者的权利作出了全面的规定，并赋予了可诉性。

其中，知情权、决定权、查阅复制权等，进一步细化和完善了此前《民法典》《网络安全法》等立法的规定；而可携带权等规定的创设性提出，在实现个体自决权、防止平台数据垄断等方面发挥了效用。

然而，如何落实这些权利并非易事。多位受访专家告诉21世纪经济报道记者，颇具争议的一点便是如何界定行使这些权利的范围。

以“唯品会案”为例，法院虽然支持披露了唯品会自认已实际收集且应当披露的个人信息（包括用户注册信息、订单信息、收货信息、设备信息、IP地址等），以及唯品会与第三方共享的个人信息（包括支付信息、第三方SDK从唯品会收集的个人信息、共享给其他第三方的信息）和浏览信息，但是却驳回了以下两类个人信息披露请求。

一类是平台《隐私政策》中包含但未实际收集的个人信息，另一类是用于用户画像的个人信息。针对后者，一审判决认为，如无法证明用户画像对个人权益产生重大影响，则相关披露要求不予支持。且由于原告没有上诉，二审法院并未对此作出分析。

“我认为该一审判决或存在可商榷之处。”中国人民大学法学院教授、民商事法律科学研究中心执行主任石佳友表示，根据《个保法》第24条第三款，通过自动化决策方式作出对个人权益有重大影响的决定，个人有权要求个人信息处理者予以说明，并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。该款强调的是个人信息主体的拒绝权，确保透明度原则的落实和打击算法黑箱，而非剥夺个人信息主体的查阅复制权。平台通过收集用户原始数据加工处理形成衍生数据，若仍具有身份识别功能，也应属于复制查阅权的范畴。

在上海财经大学法学院教授叶名怡看来，查阅复制权的客体包括个人信息本身和处理情况两方面，其中处理情况指的是存储、加工、向第三方披露或共享，以及自动化决策形成的数据画像等。

此外，针对一审法院驳回原告主张的删除权的做法，石佳友也持不同意见，因为原告在诉讼中提出了信息删除要求，这相当于《个保法》中撤回同意的情形。当然，遗憾的是，由于一审原告未上诉，二审法院未能对这些问题进行进一步审理。

“目前非常突出的问题是，查阅权、复制权、删除权等的具体范围在司法上都未完全达成共识。由于法律的细化规定尚未出台，导致实践中对相关问题的认识存在分歧。”石佳友说。

“刀刃向内”的改革 

司法把好了推进个人信息权益的落地的“事后”关口，但“事前”保障的重担还压在企业身上，企业亟需通过内部的数据合规整改，以符合《个保法》提出的相关要求。

在法律赋予个人在个人信息处理活动中的多项权利中，查阅复制权在技术实现和权利落地上相对简单。21世纪经济报道记者近日实测发现，如今大量APP都已设置了查阅复制权实现的渠道，包括在交互页面上直接设置按键、联系专人申请、提供书面请求等。

多位受访专家表示，考虑到不同企业信息处理实际情况的差异，上述措施本身并未有优劣之分，目前衡量其是否符合立法本意的一大标准是“便捷度”。

例如，身份验证作为其中关键而必要的一环，能够防止个人信息被泄露甚至盗取。叶名怡指出，在身份验证技术已相对成熟的今天，平台不宜以无法验证身份为由拒绝披露个人信息，或设置较高的身份验证门槛。

然而，在北京尚隐科技有限公司CEO张仁卓看来，APP可供个人查询和复制的范围也往往不能覆盖企业收集的全部个人信息。个人信息主体行权的实现，将成为企业内部信息管理能力的试金石。

过去，企业只需把住一进一出两道关口，合规收集个人信息并防止泄露即可。而响应用户请求的查阅复制权则要求企业在内部走过漫长的路径：首先进行身份或合法性验证；其次，发现相应的数据、生成数据地图，同时确定数据所有者、确定数据收集和使用的合法性、确定数据存留期限；然后，再确定该业务操作自动化能力，创建子任务、进行子任务跟踪；最终，汇总生成友好的个人信息主体权利报告，通知用户，并提供用户浏览和下载报告的途径。

只有全面厘清收集、交换、流转、处理、共享、存储等所有流程以及其依据，方可完美匹配到个人信息主体查询权利的行使。然而，目前大部分企业的内部数据管理都处于较为混沌的阶段。“这是一项‘刀刃向内’的变革。”张仁卓评价。

对比起查阅复制权，在隐私协议中落实数据可携带权的平台寥寥可数。“目前可携带权的实施细则还有待明确，企业优化相关的技术和安全保障能力存在一定成本压力，欠缺积极落实可携带权的动力。而社会公众对于可携带权比较陌生，普遍不了解其涵义和行使条件。”石佳友直言。

删除权则是另一项需企业花费更多精力、成本及技术实力实现的权利。中国社会科学院国际法研究所副研究员何晶晶认为，《个保法》第四十七条规定了删除权行使的五个条件，这要求企业作出持续监测和准确判断。

首先，处理目的的已实现、无法实现以及不再必要等标准的界定，需要企业梳理和盘点自身业务类型，明晰自身个人信息处理行为的目的，判断出个人信息的最小必要范围；其次，当前的相关法律法规对保存期限的规定并不统一，若其他法律法规规定的保存时限长于完成处理目的所需的最短时间，在面对用户的删除请求时，企业需投入较大的合规成本以全面梳理和判断；再次，个人撤回同意的情形有可能对企业与之相关的后续业务影响巨大，企业需考虑在必须满足个人要求的前提下保障自身利益；最后，由于数据的可复制性、无损性和流动性，一旦进入互联网则无处不在，大量原始数据与衍生数据交织重叠，导致追踪和删除个人信息在实现上有一定技术难度。

保障个人信息权益意味着巨大的成本，类似的阵痛也曾发生在《通用数据保护条例》（GDPR）出台后的欧盟企业身上。据Gartner2019年的调查数据显示，大多数企业每月要处理50到100个不同类别的权限请求，单个访问请求的处理成本超过1500美元。

如何化被动为主动

法律上的共识尚未达成，企业内部改革动力不足、举步维艰，《个保法》确立的“个人在个人信息处理活动中的权利”应如何真正落地？

“核心是配套规则的制定。”石佳友表示，除制定司法解释、行政法规或规章外，标准也极为关键，与个人信息相关的国家标准、行业标准等，都可能成为司法实践中重要的考虑因素；由行业协会或专业委员会出台具体标准，在现阶段是最具有现实可行性的路径。

叶名怡也认为，直接通过法律细致地规定和厘清相关权利义务如何落实并不现实，法律永远滞后于实践。更可能的路径是，在行政法规、行政规章或者示范性规则等方面率先形成共识，法院再以典型案例形成司法上统一的尺度，最后对个人在个人信息处理活动中的权利范围和落实做立法上的细化和明文规定。

以删除权为例，个人往往无法真正核验企业是否履行该义务，只能通过事后监管，以行政为主导，司法作为最后救济手段。如此各方发力，我国的个人信息保护水平才能逐步提高。

对于企业而言，张仁卓认为改变现状还应从内部数据梳理和管理入手，与法务部门联合，建立起相应的管理团队与技术团队。

何晶晶则提出，数字技术的快速发展要求企业能够与时俱进的更新合规手段与模式，全面高效的管理内部数据合规工作，“法律+科技”的智能合规模式能够取得良好效果。例如21世纪经济报道记者发现，腾讯游戏就通过上线AI问答助手的形式便捷响应用户查阅和复制个人信息。

事实上，落实个人信息权益行使对于企业合规工作也带来一些启示。

石佳友指出，虽然具体细则有待明确，但法律已经作出了要求，平台企业作为个人信息处理者，需要有社会责任意识和前瞻视野，将“被动配合”转变为“主动合规”。特别是头部互联网平台需要履行相应的社会责任，可以先行先试，推动行业自律，以主动的心态去拥抱法律和监管。在实践中可以先推进行业标准的建设，监管部门在此基础上逐渐制定成熟的国家标准。“这是一个非常有意义的探索过程。”

“健全的内外部合规监督机制可以激励企业不断改进产品，为用户提供更好的服务。”11月1日，百度集团资深副总裁、数据管理委员会主席梁志祥在“《个人信息保护法》实施一周年实践与展望”高峰论坛上表示，合规就是竞争力。做好个人信息保护，不仅不是制约企业发展的成本负担，还将助力提升企业综合竞争力。