随（suí）着大数据（jù）、人（rén）工智（zhì）能等互（hù）联网新技术的广泛使用，数字化全面进入我（wǒ）们（men）的日常生活，个人信息数据焦虑成为普遍现象。大数据杀熟、人脸信息过（guò）度采集、应（yīng）用程序（APP）个人信息泄露，个人信（xìn）息（xī）安全究竟谁来守护？

《个人信（xìn）息保护法》完善了个（gè）人（rén）信息处理（lǐ）规则（zé），完善了个人（rén）信息相（xiàng）关投诉举报工（gōng）作机制及违法处（chù）理个人信息涉嫌犯罪案件的移送机制，在完（wán）善个人信息处理规则（zé）方面，特别对APP过度收集个人信息、大数据杀熟、平台（tái）责任等作出针对（duì）性规范，将使得人们在数字化社会生活中更（gèng）有安（ān）全感。

明（míng）确（què）个人信息处理合（hé）法基础

“《个人信息保（bǎo）护法》并（bìng）没有禁止收集个人信息（xī），而是反对（duì）过度收集、强（qiáng）制收集和违法收集（jí）。”中国社会科学院学部（bù）委员、全国（guó）人大宪法和法律委员会（huì）委员孙宪忠（zhōng）说。

孙（sūn）宪忠表示，社（shè）会（huì）上一度曾对个人信息泄露感到恐慌和担忧（yōu），但（dàn）在防控疫情的过程中，信息化手段提供了很大帮助，这使人们认识到（dào）个人信息的收集（jí）在社会管理过程中也大有裨益。在立（lì）法讨论中大家（jiā）认为，我（wǒ）国（guó）已经（jīng）进入信息化社（shè）会（huì），要积极利用信（xìn）息化的（de）利好方面，但也应认识到，在信息收集和后（hòu）续的信息加工（gōng）、管理、应用等环节确实出现（xiàn）了一些问题，因（yīn）此，《个人信息保（bǎo）护法》要（yào）着力解决这些问题。“《个人信（xìn）息（xī）保护法》进一步（bù）完善了处（chù）理个人（rén）信息（xī）的合法性基础，补充了个（gè）人有（yǒu）权撤回同意的内容。”中国信息通信研究院云计算与大（dà）数据研（yán）究所仵（wǔ）姣姣说，“总（zǒng）体而言，《个人信息保护法（fǎ）》采取了优先保（bǎo）护个人权利（lì）和社（shè）会公（gōng）共利益的路径。”

仵姣姣表示，《个人信息保护法》列举了个人信息处理的合法基础（chǔ），包括授权同意、为（wéi）订立或履行个人作为一方当事（shì）人的（de）合同所必需、履职必（bì）需、应对突（tū）发公共卫生事（shì）件、在合理（lǐ）的范（fàn）围内处理已（yǐ）公（gōng）开的（de）信息、公（gōng）益（yì）目的等。对信息收集者来说，主（zhǔ）要的数（shù）据处（chù）理合规基（jī）础是被收集对象的授权同意、合同必需和（hé）在（zài）合（hé）理范围内处理已公开的信息。

如果（guǒ）不授权就不能使用（yòng）互联网应用，这（zhè）一（yī）度是很（hěn）普遍（biàn）的现象（xiàng）。仵（wǔ）姣姣认为，尽管消费者授权同意，但（dàn）仍存（cún）在能否真正保障个（gè）人信息主体的知情权、授（shòu）权同意是否会流于（yú）形式、强势一手数（shù）据（jù）源为后续数据流转的参与方带来权利瑕疵等问（wèn）题（tí），但（dàn）实（shí）践中已逐渐（jiàn）形成一定程（chéng）度上的范例。例如采（cǎi）用（yòng）交（jiāo）互式弹窗的形式在用（yòng）户使用（yòng）特定功（gōng）能时，逐（zhú）一获取该功能必需的数（shù）据；明确列（liè）出数据（jù）共享的目的及合作方名单；在（zài）隐私协议条款前，简要介绍核心条款等。

过度（dù）索权也是一直为消费（fèi）者（zhě）诟病的行业（yè）痼疾。仵姣姣认为，合同（tóng）一定（dìng）要遵（zūn）循最小必要原（yuán）则，商家需要审（shěn）慎衡量获取的数据类型（xíng）是不是提供相关产品和服务的必要前提。

信息社会（huì）发展到今天，一般人都有几（jǐ）十、上（shàng）百条注册（cè）信息、授权同（tóng）意（yì）信息，其中（zhōng）很多都不再使（shǐ）用，但却普遍存在不（bú）支持注销（xiāo）账户、撤回同意投（tóu）诉无门（mén）等问题（tí）。仵姣姣表示（shì），《个（gè）人信息保护法》专门（mén）赋予个（gè）人（rén）撤回同意的（de）权利，明确要求商家（jiā）必须提供便捷的撤回同意方式。此外还明确（què），撤回同意不影（yǐng）响撤回前（qián）基（jī）于个人同意（yì）已进行（háng）的个人信息处理（lǐ）活（huó）动的效力。

“由于数据存在极强（qiáng）的可复制性，个人信息主体在给出首次授（shòu）权同意后，对于姓名、身份证号、手机号、地址等相（xiàng）对静态的（de）信息很容易失去（qù）控制权，即使在撤回同意后（hòu），个人及（jí）每一环（huán）节数据处理者（zhě）也很难控（kòng）制数（shù）据的后（hòu）续流转。”仵姣姣认为（wéi），商家要确保（bǎo）在用（yòng）户撤回同意后，相关数据被终止收集，必要时也需要对其进行删（shān）除（chú）或匿名化。

遏制大数（shù）据杀熟行为

大数据杀熟近年来被广泛讨论。在同一网站上，相同的（de）商品或服务不同的人购买价格却不一（yī）样，这就可能是被“杀熟”了（le）。大数据杀熟是（shì）指一种个（gè）性（xìng）化定价，商家通过分析消费者个人信息形成（chéng）画像，利用算法对（duì）每个消费者的支付（fù）意（yì）愿进行精准评估（gū）和预测，预测消费者（zhě）最（zuì）高保留价格，并以此就同一商品（pǐn）或服务向不同消费者设置不同价格。中国信息（xī）通信研究院互（hù）联网法律研（yán）究中（zhōng）心高级研究员（yuán）、个人信息保（bǎo）护立法研究团队负责人杨婕认为，这种歧视性定价策略，其（qí）实意味着商家可以过度（dù）、无限制、不合（hé）理地剥（bāo）夺消费者，损害消费者权（quán）益。

“《个人信息保护法（fǎ）》中的第（dì）二十四条，对（duì）于大数（shù）据杀熟问（wèn）题作出明确的规（guī）定。”杨婕说，《个人信息（xī）保（bǎo）护（hù）法》明确要求商家（jiā）保证自动化（huà）决策的透（tòu）明度（dù）和（hé）结果的公平、公正，在事前进（jìn）行个（gè）人信息保（bǎo）护影响评估，不得对个（gè）人在（zài）交易价格等交易条件上实行不合（hé）理的差别待遇（yù），并赋予个人（rén）包括选（xuǎn）择权、知情（qíng）权在（zài）内的更充（chōng）分的权利。

杨婕表（biǎo）示（shì），考虑到个（gè）人信息处理活动的多（duō）样性、算法运行机制的不透明性以及决策结果的不确定（dìng）性，《个人信息保护法》规定无论商家是否具有市场支（zhī）配地位，只要其利（lì）用个人信息（xī）进行自动化决策，对个人在交易价（jià）格等交易（yì）条件（jiàn）上实行不合理的差别（bié）待遇，就是法律所禁（jìn）止的行为。“所涉及（jí）的适用对象全面，辐射范围广泛，有助于彻（chè）底解决大数据杀熟问题。”杨婕说。

中国首（shǒu）席数据官（guān）联盟专家组（zǔ）成员、法律顾问，观韬（tāo）中茂（上（shàng）海）律师事务所合伙人王渝伟说，今（jīn）年2月（yuè）7日，《国务院反垄断委员会关于平台经济领域的反（fǎn）垄（lǒng）断指南（nán）》发布，遏制平（píng）台（tái）经营者利用其垄（lǒng）断地位进行大数据杀熟（shú）、强迫商家“二选一”等不公平竞争（zhēng）等行为。随着《个（gè）人信息保护（hù）法》的实施，数据可携带权等权益的（de）实现，将有力保（bǎo）障（zhàng）数据在不（bú）同经营者之间的流（liú）动，促进经营者公（gōng）平（píng）竞（jìng）争。

APP个人信息保（bǎo）护（hù）设专章

“你在家里住（zhù）得好好的，结果总有人打（dǎ）电话骚（sāo）扰你；刚生了孩子从医（yī）院回来，走在路（lù）上就有人（rén）向你（nǐ）推销纸尿裤等，很显然你的个人信息被泄露了。”孙（sūn）宪忠说。这（zhè）种情况不属（shǔ）于个人（rén）信息收（shōu）集环节，而属于信息（xī）收集之后（hòu）的“占有和（hé）加工（gōng）管理”环节。对此，《个（gè）人信息保护法》第五十二（èr）条明确（què）规定，个（gè）人信息收集者应该对收集来的信（xìn）息进（jìn）行（háng）妥善的监督和保（bǎo）管。

据工业（yè）和信息化部统计，截至2020年底，国内市场上监测到的APP数（shù）量为（wéi）345万款。海量的APP在带（dài）来生活便（biàn）利（lì）的同时，强制索权、过度收集、滥用（yòng）和泄漏个人信息（xī）等问题（tí）也（yě）层出（chū）不穷。

杨婕表示，小程序、快应用（yòng）、H5页面等新应用形态不断出现（xiàn），麦克风被窃听、通信录被（bèi）窃取、相（xiàng）册非授权被读写等问题不断曝出（chū），亟需从法律层面遏（è）制（zhì）APP滥用（yòng）个人信息（xī）的现象。《个人信息保（bǎo）护（hù）法（fǎ）》增加了（le）对于（yú）APP个（gè）人信息保护（hù）的专门性规定，其中（zhōng）第六十一条将“组织对应用程（chéng）序等（děng）个人（rén）信（xìn）息保（bǎo）护情况（kuàng）进行测（cè）评，并公布测评结果”新设为（wéi）履行（háng）个人（rén）信息保护（hù）职责的部（bù）门的职责；第（dì）六十六条将（jiāng）“对（duì）违（wéi）法处理个人信息的应用程序，责令暂停或者终止提供服务”，增加（jiā）为履行个人信息保护（hù）职责（zé）的部门对（duì）违法（fǎ）主体可（kě）采取的处（chù）罚手（shǒu）段（duàn）。

中国社会（huì）科学院法学研究所（suǒ）副所长周汉华说，从（cóng）适用（yòng）的对象上来看，《个人（rén）信（xìn）息保（bǎo）护法》把政府机（jī）关和市场主体一（yī）并纳入规范（fàn）的对象。

新（xīn）增了对具有（yǒu）管理公共（gòng）事务职能的组织的规（guī）范（fàn）要求。孙宪忠说，《个人信息保护法》影响最大（dà）的就是（shì）负责收集个人信息（xī）的（de）部门，包括政府部门（mén）、大型企业等（děng）。第（dì）五十（shí）七条明确（què）提出（chū），个（gè）人信息发生（shēng）泄露（lù），个人信息（xī）处理者即信息掌管者要立即采取补救措施。具（jù）体来说，是指网信部门（mén）或者是相（xiàng）关管理机构等，要设（shè）法采取补救性（xìng）措施。

孙宪忠说，就（jiù）个人而言，如果发现自己的（de）个人信息已经被泄露，可以依据《个人信息保护法》第六十（shí）一条第二（èr）项的规（guī）定，积（jī）极向网信部门、市（shì）场监督管理部门等相关（guān）管理机构投诉（sù）。

“明确个人信息侵权（quán）行为（wéi）的归责（zé）原则为（wéi）过错推定，是对用户权益的有（yǒu）力保护（hù）。”仵姣姣说（shuō）。《个（gè）人信息保（bǎo）护法》明（míng）确了当个人信息权益因个人信息处理（lǐ）活动受到（dào）侵害时，个人信（xìn）息处（chù）理者不能证明自（zì）己没有过错的，应当承担损害赔（péi）偿等侵权责（zé）任。换言之，个人信息处理者（zhě）如果不能证明自己在数据处理、数据保护中不存在过错，将在诉讼（sòng）中面临一定程度的（de）败诉风（fēng）险。

这在司法（fǎ）实践中实际上已有先例（lì）。如此前消费者庞（páng）理鹏（péng）诉中国东方航空股份有限公司、北京趣（qù）拿信息技术有限公司隐（yǐn）私权纠纷案（àn），被告企业被要（yào）求证（zhèng）明自己不存在过（guò）错、已履行的信息安全保护义务以（yǐ）及个人（rén）信息（xī）的具体泄（xiè）露方以及泄露的（de）具体环节，并最终由于（yú）难以提供（gòng）相关证据而败诉。

人脸识别条款（kuǎn）亮点多

“《个人信息保护法》对人脸（liǎn）信（xìn）息的保护亮点很多（duō）。”中国（guó）信息通（tōng）信研究院云（yún）计算与（yǔ）大（dà）数据研究所人工智能部呼娜英说。人脸作为人类社会相（xiàng）互（hù）识别和验证的通（tōng）用身份标识符，具有直接识别性、独特（tè）性、唯一性、易（yì）获取性等特点。在人工智（zhì）能赋（fù）能深度广（guǎng）度不（bú）断加强（qiáng）的（de）科技浪潮下，人脸识别技术商业化进（jìn）程（chéng）不断（duàn）加速。从此前的《最高（gāo）人民法（fǎ）院关（guān）于审理（lǐ）使用人脸识别技术（shù）处理个人信息相关民（mín）事案件适用法律若（ruò）干问题（tí）的（de）规定》到（dào）目（mù）前的《个信息保（bǎo）护（hù）法》，都规定人脸识别属于敏感个人信息，需要遵循（xún）特殊规则进行保（bǎo）护、处理。

人脸识别技术应用需满足“特定（dìng）目（mù）的（de）”及“充分必要”。呼娜英表示，此（cǐ）前的（de）最高人民（mín）法院对人脸识别的司法解释中已经明确，物业、建筑物管理人不得仅以人脸识别作为唯一门禁（jìn）方式，企业亦不得（dé）以捆绑、强迫形式（shì）获（huò）得消费者同意人脸信息处理。《个人信息保护法》明（míng）确要求，个人信息（xī）处理者在（zài）处理敏感个人信息前，需存在“特定的（de）目的”及“充分的（de）必要性”。呼娜英认为，该条款对处理敏感个人信息提出了更高的要求。目的（de）正当性和必要性（xìng）不仅仅是指合法合规（guī），还（hái）蕴（yùn）含着符合目的限制（zhì）、诚实信用和公（gōng）开透明（míng）的要求。“这（zhè）样（yàng）一来，零售（shòu）商要求刷脸进出或（huò）支付、小区（qū）要求刷脸进出、楼宇闸机要求刷脸登机等场景，将可（kě）能因缺乏（fá）目的正当性和必要性而遭受挑战（zhàn）。”呼娜英说（shuō）。

单独同意（yì）制（zhì）度。呼娜英说，《个人信息（xī）保护法》在“告知+同意”规则的基础上，引入了“单独同意”的要求，规定了需要（yào）用户（hù）“单独同（tóng）意”的（de）一些具体场景，包括：处理敏感个人信息、公开或向他人提（tí）供个人信息（包（bāo）括在公共（gòng）场（chǎng）所安装图像采集和个人（rén）身（shēn）份识别设备（bèi）收集的个人信息（xī）），以及向境外（wài）提（tí）供个（gè）人信息等。

扩张用（yòng）户（hù）知情权，确立有限制的解释权。《个人信息保护法》对包括人（rén）脸信（xìn）息在内的敏感个人（rén）信息保护（hù）提出了更高（gāo）的要求，即信息处理者（zhě）应当告知个人处理敏感个人信息（xī）的必（bì）要性以及对个人的（de）影（yǐng）响。“这就进一步切实地（dì）保障了用户（hù）的知情权。”呼（hū）娜（nà）英说。

加强限（xiàn）制图像采集、个人身份识信息（xī）的使用。“《个人信息保护法》在三次审议（yì）中不断强化针对公共（gòng）场所安装图（tú）像采集、个人身份识（shí）别设备的要求。”呼（hū）娜英（yīng）说。《个（gè）人信（xìn）息保护法》明确（què）规定，商家所收集的个（gè）人图像、身份识（shí）别信息“不得用于其（qí）他目的”，进一步限缩了（le）图像采集（jí）、个人身份识别的处理（lǐ）范围（wéi）。

孙宪（xiàn）忠说，考虑（lǜ）到现在的人脸（liǎn）识别采集方式，很多情（qíng）况下都在个（gè）体（tǐ）不知（zhī）情的情（qíng）况下进（jìn）行，因此，《个人信息保护法》第二十六条（tiáo）规定，在（zài）公共场所安装图像采（cǎi）集个人身份（fèn）识（shí）别（bié）设备的时（shí）候，其（qí）出发点必（bì）须（xū）是（shì）要维护社（shè）会公共安全（quán），而不能（néng）用于其他目的；要符（fú）合国家法律规定（dìng）；安装时要设（shè）置明显的提示性标识。

平台“守门人”条（tiáo）款尚有争议

对于APP的各种个人信息侵（qīn）权问题，平台责任是大家（jiā）关注的焦点。《个人信息保护（hù）法》第五十八条进一步完善了平台“守门人”条款。一是将（jiāng）提供基（jī）础（chǔ）性服（fú）务的互联网平台修改为提供重要互联网（wǎng）平台服（fú）务；二（èr）是在第一项中（zhōng）补（bǔ）充了按照国家规（guī）定建立（lì）健全个人信息保（bǎo）护合规制（zhì）度体系的义务；三是单独增（zēng）加了一项“守门（mén）人”义务，即（jí）遵循（xún）公开（kāi）、公（gōng）平、公正的原则（zé），制定平台规则，明确平台内（nèi）产品或者服务提供（gòng）者处理个人信息的规范和保护个人（rén）信息的义（yì）务。

杨婕认为（wéi），这一（yī）规定被认为是强（qiáng）化（huà）基础（chǔ）性（xìng）服务平台的个人信息保护责任（rèn）、促进（jìn）其积极展（zhǎn）开（kāi）基（jī）于个人信息保护治理的（de）制（zhì）度设（shè）置，并能一定程度上（shàng）为公权力保护个人（rén）信（xìn）息的实践提供（gòng）有益补充，是一个（gè）创（chuàng）新（xīn）性（xìng）制度设计。

据杨婕介（jiè）绍，“数字守（shǒu）门人”的概（gài）念（niàn），是2020年（nián）12月（yuè）欧盟委员（yuán）会公布的《数字市场法案》中提（tí）出的，被认定（dìng）为“守门人”的平台应承担一（yī）系列额外的具体义（yì）务。

中（zhōng）国（guó）人民大学（xué）法学院教授张新宝此前接受（shòu）媒（méi）体（tǐ）采（cǎi）访时表示，对300多万款APP一对一监管难免力不从（cóng）心（xīn），应将部（bù）分监（jiān）管职责（zé）前移，对实（shí）际上控制技术（shù）资（zī）源（yuán）、技术环境（jìng）和运营环境的信息处理者，比（bǐ）如应（yīng）用程序的分发平（píng）台、操作系统、大型APP平台等，设置关键环节“守门（mén）人”在个人信息处中的特（tè）别义务。他认（rèn）为，目前国内常用的应（yīng）用平台分发系（xì）统不超过（guò）80个，移动终端操作系统不（bú）超过10组，搭载小（xiǎo）程序的大型APP平台不（bú）超过5个（gè），将（jiāng）部（bù）分监管职（zhí）责（zé）前移到关键环节“守门人”，就（jiù）不用面（miàn）对（duì）海量的APP一对一进行监督管（guǎn）理（lǐ）。

中国社会科学（xué）院大学互联网法治研究中心执行（háng）主任（rèn）刘晓（xiǎo）春认为，在个人信息保护领域，设立通过平台实现治理（lǐ）的规则，即通常所说的“守门人（rén）”制度，一方（fāng）面是（shì）法律对于平台（tái）责任在个（gè）人信息保护（hù）领域（yù）的扩展；另一方面，也会构成法律对于负有此等（děng）责任平（píng）台的一种（zhǒng）赋（fù）权，进一步（bù）扩（kuò）大（dà）了大型基础性平台制定规则、展开治理、采（cǎi）取措施方面的实质性权力。若没有相应（yīng）的制约性配套制度（dù），则有可能会（huì）造成平（píng）台地位在个人信息保护领域的（de）强化，并且带来权力滥用的可能性（xìng），这也（yě）正是目（mù）前国内外针对平台的“守门人”地（dì）位（wèi）及其滥（làn）用行为（wéi）对（duì）于竞（jìng）争环境产生不良影（yǐng）响的担忧焦点所在（zài）。“如果赋予电商平（píng）台或社交平台上一些经营者个人信息审核（hé）义务，有（yǒu）可（kě）能会出现（xiàn）权力滥用，或通过审核权（quán）来进（jìn）行自我优待、差别（bié）待遇等。”刘晓春认为，极有可能（néng）出现（xiàn）平台（tái）利用（yòng）个人信息治理机（jī）制（zhì），进行反竞争投（tóu）机行为，从而损害平台（tái）内经营（yíng）者（zhě），特别是中小经营者的利益。

刘晓春认为（wéi），针对制度（dù）可能带（dài）来的消（xiāo）极影响进（jìn）行评估和预判，应（yīng）建构防范风险、降低成本的（de）配套措施，可以（yǐ）将（jiāng）个人信（xìn）息保（bǎo）护（hù）“守门人”制度可（kě）能带来的顾虑（lǜ）和风（fēng）险尽量降到最低。“以（yǐ）目前（qián）的平台内容治理和知识产权治理为类比（bǐ），这两项都需（xū）要投（tóu）入大量（liàng）人（rén）力物力，组建（jiàn）专（zhuān）门的管理（lǐ）、技术（shù）团队（duì），建立（lì）实体判断（duàn）标准、程序流程规则、争议解决渠道、纠错（cuò）救济机制（zhì）等复杂的规则和执行体系。经济成（chéng）本、专业能力、技术和管理（lǐ）、组织资源等方面，都会对平台提出相当（dāng）高（gāo）的要（yào）求。”刘晓春说，基础性服务平（píng）台是否具有能（néng）力对平台内（nèi）其他经营者的（de）个人信息合规情况展开审核？而且，平台内（nèi）经营（yíng）者运作和使用过程中的个人（rén）信息收集和处理（lǐ）过程，并不一定能够由（yóu）基础性服务平台直接监测（cè）和发现。这些都有待进一（yī）步（bù）探索和完善。

周汉华表示，《个人信息保护法》在第一条就明确了“根据（jù）宪法（fǎ）”，这几（jǐ）个字有非常重大（dà）的意义（yì）。这（zhè）表明《个人信息保（bǎo）护法》的立法依（yī）据（jù）是我（wǒ）国宪（xiàn）法规定的“公民（mín）的人格尊严与自由不受侵（qīn）犯（fàn）”，表明《个人（rén）信息保护法》也是个人（rén）信息保护领域（yù）的基本法。也就是说，如果出（chū）现和（hé）其（qí）他个人信息保（bǎo）护相关法（fǎ）律（lǜ）规（guī）定冲突（tū）的情况，应该优先适用《个人信息保护法（fǎ）》。

孙宪忠认为，《个人（rén）信息保护法》实施后（hòu），对老百姓（xìng）而言，最（zuì）直观的感（gǎn）受（shòu）就（jiù）是数字化的社（shè）会生活会更（gèng）加可靠、安（ān）全。总（zǒng）之，《个人信息保护法（fǎ）》对整个社（shè）会而（ér）言（yán）是一个很重要的利好。