2021年8月20日,广受中外关注的《中华人民共和国个人信息保护法》由十三届全国人大常委会第三十次会议正式通过,这翻开了我国个人信息立法保护的历史新篇章,也是全球个人信息法治发展的重大里程碑。

就个人信息保护法出台的时代背景而言,有着丰富的国际国内蕴涵:一方面,随着数字经济的蓬勃发展,世界各国日益重视个人信息的多重价值属性,纷纷出台个人信息保护的专门立法。从欧盟《一般数据保护条例》、美国《加州消费者隐私保护法案》到日本、韩国、巴西、印度乃至阿联酋等国新近出台的诸多法律文件,无不透射出个人信息保护的重要战略意义,可以说个人信息法律保护已经成为衡量一国法治文明和法治水平的重要指针。

另一方面,当下我国正处于全面数字化转型的高质量发展新阶段,在新技术新应用层出不穷的生态语境下,个人信息的处理已经成为社会进步和产业升级新的驱动力,而广大民众对于加大个人信息保护力度也有着空前的关切和期待,可以说个人信息保护法的制定颁布是保障公民个人信息权益、促进个人信息合理利用的必然举措。

个人信息保护法全文以总计8章74条的篇幅,在总则、个人信息处理规则、个人信息跨境提供的规则、个人在个人信息处理活动中的权利、个人信息处理者的义务、履行个人信息保护职责的部门、法律责任以及附则等多个层面设计和建构个人信息保护的立法框架,在条文内容上反映了立法者吸收接轨国际立法、探索开创中国路径的制度努力,特别是在规范设计上呈现了众多亮点:

第一,个人信息保护法以“告知—同意”机制为核心逻辑建构覆盖个人信息处理全生命周期的规则框架,强化保障自然人的自主权利,同时注重与其他重要利益包括国家安全以及公共利益等的平衡协调,例如针对各类不同的具体场景设定告知或者同意的例外规则。

尤其是个人信息保护法从个人信息处理的一般规则到敏感个人信息处理的特殊规则,乃至个人信息跨境提供的单独规则设定,无不反映了立法者对于个人权益的着重保护,以及对于各利益相关方多样诉求的兼容权衡,并通过系统的个人权利内容以及个人信息处理者义务相关规定予以全面的细化落实,切实贯彻保护个人信息权益与促进个人信息合理利用的双重立法目的。

第二,个人信息保护法通过明确规定履行个人信息保护职责的部门的权限分工进一步提升个人信息权益的保护水平。从国家网信部门、国务院有关部门到县级以上地方人民政府有关部门的职责内容与执法方式等细化规定都将有力推动个人信息处理活动监管机制的革新完善。

在职责内容上,个人信息保护法明确赋予履行个人信息保护职责的部门接受、处理与个人信息保护有关的投诉、举报以及调查、处理违法个人信息处理活动等执法权限,同时在执法方式上,个人信息保护法明文规定履行个人信息保护职责的部门可以采取询问、调查、查阅、复制、现场调查以及查封、扣押等措施,两者共同保障个人信息处理活动的法治化、机制化监管。

第三,个人信息保护法注重发挥国家、社会、企业和个人等不同主体的协同作用,打造个人信息保护领域的多方共享共治模式。个人信息保护法特别强调国家建立健全个人信息保护制度,预防和惩治侵害个人信息权益的行为,加强个人信息保护宣传教育,推动形成政府、企业、相关行业组织和社会公众共同参与个人信息保护的良好环境,为促进个人信息合理利用奠定坚实的、可持续的生态基础。

更进一步而言,个人信息保护法还对当下我国民众的诸多现实关切做出了及时、有效的回应,提出了具有鲜明时代印记与中国特色的规则安排:

其一,针对目前多发的个人信息泄露事件,个人信息保护法明确规定个人信息处理者的义务规则,要求其立即采取补救措施,并且面向履行个人信息保护职责的部门和个人通知个人信息泄露的原因、丢失的个人信息种类和可能造成的危害、已采取的补救措施以及个人可以采取的减轻危害的措施等重要事项。

其二,针对日益普遍的自动化决策应用,个人信息保护法明确要求保证决策的透明度和结果公平、公正,并赋予个人相关的知情权和拒绝权,特别是在通过自动化决策方式向个人进行信息推送、商业营销的应用场景中,有权同时获得不针对其个人特征的选项或者拒绝的途径。

其三,针对广泛存在的已公开个人信息的利用问题,个人信息保护法专门规定个人信息处理者可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息,而个人对此有权明确拒绝,并且如果个人信息处理者处理已公开的个人信息对个人权益有重大影响的,仍然应当依法取得个人同意。

“潮平两岸阔,风正一帆悬。”可以期待,在个人信息保护法科学、系统、全面的顶层设计之下,后续随着监管执法举措的不懈推进、司法裁判规则的不断丰富、多方参与共治的持续培育以及国际交流合作的深入开展,置身代码世界的广大人民群众将长久拥抱个人信息合法权益受保护、个人信息处理活动受规范、个人信息合理利用受促进的数字治理新生态。(作者:吴沈括 北京师范大学网络法治国际中心执行主任、博导,中国互联网协会研究中心副主任)