摘 要：《個人信息保護法》是一部全面保護個人信息的專門性立法。作為公法和私法的混合，該法的私法部分作為《民法典》的特別法，進一步豐富和發(fā)展了《民法典》的個人信息保護規(guī)則。《個人信息保護法》在總結(jié)《民法典》等的立法經(jīng)驗基礎(chǔ)上，借鑒了歐盟《一般數(shù)據(jù)保護條例》等比較法的經(jīng)驗，形成了諸多的亮點和創(chuàng)新之處。包括進一步擴張了個人信息的保護范圍，構(gòu)建了以“告知同意”為核心的個人信息處理規(guī)則，對自動化決策的全面規(guī)范，嚴(yán)格保護敏感個人信息，確認(rèn)個人在個人信息處理活動中的各項權(quán)利，強化個人信息處理者義務(wù)，規(guī)范國家機關(guān)的個人信息處理行為以及個人信息跨境流動，完善了侵害個人信息的法律責(zé)任，這些內(nèi)容都充分彰顯了這部法律的時代性、國際性和本土性。

關(guān)鍵詞：個人信息;《個人信息保護法》;個人信息處理

中圖分類號：D923文獻標(biāo)識碼：A文章編號：1673-8268（2021）06-0001-13

《個人信息保護法》是我國第一部全面保護個人信息的專門性、綜合性法律。該法以保護個人信息權(quán)益、規(guī)范個人信息處理活動、促進個人信息合理利用等立法目的為中心，分別就個人信息處理規(guī)則、個人信息跨境提供的規(guī)則、個人在個人信息處理活動中的權(quán)利、個人信息處理者的義務(wù)、履行個人信息保護職責(zé)的部門以及法律責(zé)任等，作出了系統(tǒng)完備、科學(xué)嚴(yán)謹(jǐn)?shù)囊?guī)定。該法在性質(zhì)上屬于“領(lǐng)域法（field of law）”的范疇，也就是說，其既涉及私法規(guī)范，也涉及公法規(guī)范。就私法而言，其作為《民法典》的特別法，與《民法典》關(guān)于個人信息保護的規(guī)則相結(jié)合，共同構(gòu)成了完整的個人信息保護規(guī)則體系[1]?！秱€人信息保護法》在總結(jié)《民法典》等的立法經(jīng)驗基礎(chǔ)上，借鑒了歐盟《一般數(shù)據(jù)保護條例》（以下簡稱GDPR）等比較法的經(jīng)驗，形成了諸多的亮點和創(chuàng)新之處。本文擬對此談一點粗淺的看法。

一、進一步擴張了個人信息的保護范圍

在互聯(lián)網(wǎng)高科技大數(shù)據(jù)時代，各國法律對個人信息的規(guī)范都面臨著如何有效平衡權(quán)利保護和有效利用的關(guān)系，實現(xiàn)法律的公平正義與效率價值相統(tǒng)一的問題[2]5。我國《民法典》對個人信息實際上是采取了保護與利用并重的立場[3]，而《個人信息保護法》第1條就明確規(guī)定了該法的立法目的旨在保護個人信息與促進個人信息合理利用?？梢娫摲ㄅc《民法典》在對個人信息的立法宗旨上是一致的，但在保護個人信息方面又進一步擴張了個人信息的范圍，強化了對個人信息的保護。

第一，《個人信息保護法》對個人信息的界定采取了“識別+相關(guān)說”?！睹穹ǖ洹返?034條第2款對個人信息的定義囿于“識別說”，并區(qū)分為“直接識別”與“間接識別”;而《個人信息保護法》第4條第1款采取的是“識別+相關(guān)說”，所作區(qū)分則是“已識別”與“可識別”的信息，一般認(rèn)為，其在范圍上更為寬泛[4]57。《個人信息保護法》第4條規(guī)定，個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息。根據(jù)該條的規(guī)定，個人信息包括兩類：一是“已識別”特定自然人的信息，即根據(jù)一定的信息，特定自然人已經(jīng)被識別出來了;二是“可識別”特定自然人的信息，即“identifiable”，它是指根據(jù)一定的信息，特定自然人的身份雖然還沒有被識別出來，但是可以通過某種方式加以識別，至于是采取直接識別還是間接識別，則無關(guān)緊要[4]63。

在界定個人信息的范圍時，《個人信息保護法》之所以采取“識別+相關(guān)說”的標(biāo)準(zhǔn)，是因為識別說保護的范圍雖然并不狹窄，但可能將一些不能直接識別特定個人的信息碎片包括其中如歐盟《一般數(shù)據(jù)保護條例》導(dǎo)言第26條規(guī)定：“需要考慮所有可能使用的手段，比如利用控制者或其他人來直接或間接地確認(rèn)自然人的身份。為判斷所使用的手段是否可能用于識別自然人，需要考慮所有客觀因素，包括對身份進行確認(rèn)需要花費的金錢和時間，考慮現(xiàn)有處理技術(shù)以及科技發(fā)展。”。因此，《個人信息保護法》第4條的規(guī)定實質(zhì)上最大限度地擴張了個人信息的邊界，從而盡可能地擴張《個人信息保護法》以及《民法典》等有關(guān)個人信息保護的規(guī)定的適用范圍。例如，在很多情形下，網(wǎng)絡(luò)服務(wù)提供者處理的信息往往不包含個人的姓名、電話與地址，僅是用戶的IP地址、MAC地址、IMEI碼、瀏覽記錄、消費記錄、行蹤信息以及種種行為信息，僅憑這些信息可能無法識別特定自然人，但是這些信息可以結(jié)合其他信息，以某種方式識別出特定個人，因此依“識別+相關(guān)說”，也應(yīng)當(dāng)被納入個人信息的范圍，從而將網(wǎng)絡(luò)服務(wù)提供者的個性化推送等處理行為納入《個人信息保護法》等法律法規(guī)的規(guī)制范圍。

當(dāng)然，《個人信息保護法》明確規(guī)定對于個人或者家庭事務(wù)處理個人信息的，不適用本法。例如，夫妻之間互相告知有關(guān)家庭的存款賬務(wù)、存款記錄等信息時，不適用《個人信息保護法》的規(guī)定。

第二，《個人信息保護法》區(qū)分了匿名化信息與去標(biāo)識化信息。第4條還明確指出，經(jīng)過匿名化處理后的信息，不被歸類為其所定義的個人信息。許多學(xué)者認(rèn)為“匿名化”本身不能解決所有的個人信息風(fēng)險[5]，任何匿名化技術(shù)都無法完全避免“去匿名化”的風(fēng)險[6]

。因此，《個人信息保護法》第73條第4項規(guī)定，該法所稱的匿名化，是指“個人信息經(jīng)過處理無法識別特定自然人且不能復(fù)原的過程”?！秱€人信息保護法》第73條第3項第一次引入了“去標(biāo)識化”的概念，即個人信息經(jīng)過處理，使其在不借助額外信息的情況下無法識別特定自然人的過程。因此，去標(biāo)識化信息也屬于可識別的個人信息[2]2。例如，當(dāng)信息主體在網(wǎng)上購物過程中留下家庭住址或者手機號碼時，這些信息就是標(biāo)識化的個人信息。如果經(jīng)過信息處理刪除家庭住址、手機號碼等信息，購物記錄本身就是去標(biāo)識化的信息，但是這些信息與家庭住址、手機號碼等重新結(jié)合后，仍然可以識別出信息主體，因此其依然屬于個人信息。當(dāng)然，即便是采納“識別+相關(guān)說”，如果將某一信息與其他信息相結(jié)合，不能識別出特定自然人，則這些信息不屬于個人信息的范圍[4]64。

第三，《個人信息保護法》全面規(guī)范了個人信息處理活動，在《民法典》列舉的個人信息的收集、存儲、使用、加工、傳輸、提供、公開等處理活動類型的基礎(chǔ)上，《個人信息保護法》第4條新增了“刪除”這一處理個人信息的行為類型。此外，《個人信息保護法》對個人信息處理行為的規(guī)制是靈活、動態(tài)而全面的，在處理技術(shù)的維度上，從傳統(tǒng)的手工處理個人信息方式到現(xiàn)代的自動化電子網(wǎng)絡(luò)科技處理方式，都納入該法的適用范圍;在處理形式的維度上，包括刪除、跨境提供等個人信息處理行為都要受到《個人信息保護法》的調(diào)整[7]。

第四，《個人信息保護法》的適用范圍較為寬泛。既包括國家機關(guān)的個人信息處理行為，也包括法律法規(guī)授權(quán)的具有管理公共事務(wù)職能的組織抑或作為營利法人的公司企業(yè)的個人信息處理行為，還包括非法人組織以及自然人實施的個人信息處理活動，在法律沒有特別規(guī)定的情形下，都適用《個人信息保護法》。

二、構(gòu)建了以“告知同意”為核心的個人信息處理規(guī)則

我國《個人信息保護法》第1條明確規(guī)定了其立法目的是“規(guī)范個人信息處理活動”。該法始終以“告知同意”為核心構(gòu)建個人信息的處理規(guī)則，并對告知同意規(guī)則作出了詳細規(guī)定。嚴(yán)格地說，法律之所以保護個人信息，其目的是保護信息主體對個人信息的自主決定[8]，“數(shù)據(jù)保護是基于信息自決權(quán)的基本權(quán)利。除此之外，一個人有權(quán)知道何人、何時以及在何種基礎(chǔ)上處理他們的哪些數(shù)據(jù)”[9]。這就決定了，信息處理者處理個人信息時，原則上應(yīng)當(dāng)經(jīng)過信息主體的同意方可實施。《個人信息保護法》在《民法典》的基礎(chǔ)上，進一步完善了“告知同意”在實際操作層面的具體規(guī)則。

（一）進一步完善了信息處理者處理個人信息的合法性事由

個人信息處理活動在客觀上就是對個人信息權(quán)益的侵入或影響，如果沒有合法根據(jù)，該處理活動就屬于侵害個人信息權(quán)益的行為，構(gòu)成違法行為。個人信息處理的合法根據(jù)有以下兩大類。

第一，告知并取得個人的同意，《民法典》第1035條與第1036條都規(guī)定了告知同意規(guī)則，《個人信息保護法》第14至18條對“告知同意”規(guī)則設(shè)置了更具操作性的具體要求。一是為“告知”設(shè)定了方式顯著、語言清晰易懂、真實、準(zhǔn)確、完整的要求與標(biāo)準(zhǔn)。

二是為“同意”設(shè)定了充分知情的前提與自愿、明確、遵從法律要求的形式等要求與標(biāo)準(zhǔn)。三是在基于個人同意處理個人信息的情形中，如果個人信息的處理目的、處理方式和處理的個人信息種類以及保存期限等發(fā)生變更的，應(yīng)當(dāng)重新取得個人同意。四是為保護信息主體的真實、合理意愿提供了撤回等權(quán)益。五是規(guī)定個人信息處理者不得以信息主體的“同意”為產(chǎn)品或服務(wù)的對價或前提。例如，手機APP服務(wù)提供者不得在隱私條款中規(guī)定“如不提供相關(guān)信息就不得使用”等捆綁條款。六是個人信息處理者的處理行為即使有緊急情況作為合法事由的，也應(yīng)該在緊急情況消除后及時告知信息主體。

第二，法定理由，即法律、行政法規(guī)規(guī)定的情形或理由，此時無需個人的同意即可處理個人信息。關(guān)于法定理由的規(guī)定可以說是“告知同意”規(guī)則的例外?！秱€人信息保護法》第13條第1款第2項至第7項明確規(guī)定了六類無需取得個人同意即可處理個人信息的情形。該條是在《民法典》第1036條關(guān)于“個人信息處理行為的免責(zé)事由”規(guī)定的基礎(chǔ)上，針對更具體、現(xiàn)實的個人信息利用與保護的實踐需求，以非限定性列舉“個人信息處理的合法事由”的形式進一步完善了信息處理者處理個人信息的合法性基礎(chǔ)。具體而言，一方面，《民法典》采取的是責(zé)任豁免的進路，而《個人信息保護法》采取的是合法處理事由的進路，更重視信息處理行為本身的合理性、合法性與必要性;另一方面，《民法典》對免責(zé)事由的具體列舉與《個人信息保護法》對合法處理事由的列舉相比，更為概括、更加抽象，并對處理行為都作出“合理”的要求，而后者的規(guī)定更加具體，能夠更直接地適用于個人信息的社會實踐。

（二）進一步完善了個人信息的處理規(guī)則

第一，《個人信息保護法》第5條在《民法典》的基礎(chǔ)上，進一步增加了“誠信原則”。之所以明確增加誠信原則，是因為在實踐中，有一些APP開發(fā)商以提供產(chǎn)品誘導(dǎo)信息主體同意對其個人信息進行處理。還有部分網(wǎng)貸平臺在提供借款時，不僅要求借款人提供自己的個人信息，還要求提供親朋好友的個人信息，否則不予放貸。因此，《個人信息保護法》第5條確立誠信原則，禁止以誤導(dǎo)、欺詐、脅迫等方式處理個人信息，以保障“告知同意”規(guī)則的實現(xiàn)。

第二，《個人信息保護法》第6條規(guī)定了合目的性原則和比例原則。合目的性原則又稱為目的限制原則，目的限制原則被稱為個人信息保護的“帝王條款”。目的限制原則是個人資料處理的基石。GDPR第5（1）條要求收集個人數(shù)據(jù)的目的必須明確和合法，不得以與這些目的不兼容的方式進一步處理[10]18-23。目的限制原則要求：一是目的必須特定、明確，并且應(yīng)當(dāng)向信息主體告知處理目的;二是個人信息的處理應(yīng)當(dāng)與特定目的直接相關(guān)。尤其是在處理敏感個人信息的時候，必須以特定目的與充分必要性為前提;三是對個人信息的處理應(yīng)當(dāng)符合目的限制原則的要求，特別是對敏感個人信息的處理，必須具有“特定的目的”。為了符合處理目的，應(yīng)在最小范圍內(nèi)處理個人信息。信息處理者在收集個人信息時，應(yīng)當(dāng)在滿足處理目的的情況下，在最小范圍內(nèi)收集個人信息，這也被稱為最小化原則（minimisation principle）[10]19。

第三，《個人信息保護法》新增加了公開、透明原則。確立這一原則的目的，是為了進一步保護信息主體的知情決定權(quán)。該原則借鑒了GDPR的立法經(jīng)驗，即要求信息處理者采取公開、透明的方式，避免暗箱操作。公開、透明原則的具體要求為：一是信息處理者應(yīng)當(dāng)公開個人信息的處理規(guī)則（第7條），例如自然人在使用各種APP時，應(yīng)當(dāng)被告知該APP處理個人信息的隱私規(guī)則。二是信息處理者在處理個人信息時，應(yīng)當(dāng)清晰明確地向信息主體告知處理的目的、方式和范圍等事項（第7條）。例如收集信息主體的健康隱私時，應(yīng)當(dāng)告知具體用于何種目的。三是自動化決策應(yīng)該公開透明，避免因算法黑箱導(dǎo)致的算法歧視、大數(shù)據(jù)殺熟等現(xiàn)象（第24條）。四是在公共場所安裝圖像采集、個人身份識別設(shè)備時，應(yīng)當(dāng)遵守國家有關(guān)規(guī)定，并設(shè)置顯著的提示標(biāo)識（第26條）。五是一旦發(fā)生或者可能發(fā)生個人信息的泄露、丟失等安全隱患時，信息處理者應(yīng)當(dāng)及時通知信息主體（第57條）。

第四，《個人信息保護法》新增加了保障質(zhì)量原則。該法第8條借鑒了GDPR第5條第1款（d）項關(guān)于“準(zhǔn)確性”的規(guī)定，即個人信息處理者應(yīng)當(dāng)保障其處理的個人信息的質(zhì)量，避免因處理個人信息不準(zhǔn)確、不完整而對個人信息權(quán)益造成不利影響。歐洲一些法院的判例也要求所收集的數(shù)據(jù)必須是相關(guān)的、準(zhǔn)確的和最新的（relevant，accurate and up to date）[11]。在實踐中，征信行業(yè)經(jīng)常發(fā)生由于信息錯誤或者不完整而給信息主體造成不利影響的現(xiàn)象。所以，《個人信息保護法》要求信息處理者對自己處理的個人信息的質(zhì)量負(fù)責(zé)。除此之外，一旦個人信息的質(zhì)量出現(xiàn)瑕疵，《個人信息保護法》還賦予信息主體請求更正、刪除的權(quán)利。

三、全面規(guī)范對個人信息的自動化決策

所謂自動化決策，是指通過計算機程序自動分析、評估個人的行為習(xí)慣、興趣愛好或者經(jīng)濟、健康、信用狀況等，并進行決策的活動（《個人信息保護法》第73條）。自動化決策是建立在大數(shù)據(jù)、機器學(xué)習(xí)、人工智能和算法等基礎(chǔ)之上，通過大數(shù)據(jù)技術(shù)對海量用戶進行持續(xù)追蹤和信息采集，然后遵循特定的規(guī)則處理所收集的個人信息，或通過機器學(xué)習(xí)對用戶進行數(shù)字畫像和相應(yīng)的決策。在大數(shù)據(jù)與人工智能時代，自動化決策作為一種富有效率的信息處理方法已經(jīng)得到了廣泛運用[12]?！秱€人信息保護法》第24條對自動化決策作出了全面規(guī)范，有利于更加全面地保護個人信息，因為在信息時代，各行各業(yè)對個人信息的處理，很多是通過自動化方式實施的。在自動化的個人信息處理活動中，個人信息權(quán)益尤其容易遭受不利影響。例如，在實踐中，有一些企業(yè)通過自動化程序的方式篩選簡歷，通過計算機設(shè)定簡單的篩選條件，導(dǎo)致一些應(yīng)聘者雖然十分優(yōu)秀，但卻沒有機會獲得進一步的面試機會。再如，由于自動化決策的算法不公開，使信息主體很容易受到算法歧視。

（一）保證決策的透明度和決策的結(jié)果公平、公正

《個人信息保護法》第24條第1款規(guī)定了個人信息處理者利用個人信息進行自動化決策的基本要求，即應(yīng)當(dāng)保證決策的透明度和結(jié)果公正、公平。一方面，自動化決策是信息處理者采取一定的算法和系統(tǒng)處理信息主體的個人信息，并向信息主體提供產(chǎn)品或服務(wù)，但是，信息主體往往對這些算法和系統(tǒng)難以知悉。自動化決策可能帶來算法黑箱，侵害信息主體的知情權(quán)和自主決策，威脅個人的隱私和自由，并可能導(dǎo)致歧視和偏見。所以自動化決策帶來的最大挑戰(zhàn)，就是算法的不透明性[13]140。因此，《個人信息保護法》第24條第3款規(guī)定，只要自動化決策方式對個人權(quán)益有重大影響的，個人有權(quán)要求信息處理者予以說明，信息處理者有義務(wù)說明決策方式等情況。另一方面，自動化決策容易導(dǎo)致算法歧視，如人臉識別系統(tǒng)中的算法，如果數(shù)據(jù)采樣、分析限于某一人種的話，容易歧視其他人種，導(dǎo)致處理的結(jié)果不公平、不公正[13]149。因此，個人信息處理者利用個人信息進行自動化決策，應(yīng)當(dāng)保證結(jié)果的公平、公正，不得對個人在價格等交易條件上實行不合理的差別待遇。

（二）信息主體享有要求信息處理者作出說明的權(quán)利

《個人信息保護法》第24條第3款賦予了信息主體要求信息處理者予以說明的權(quán)利，即通過自動化決策方式作出對個人權(quán)益有重大影響的決定，個人有權(quán)要求個人信息處理者予以說明，這也是保證決策的透明度這一基本要求在自動化決策中的具體表現(xiàn)。

通過自動化決策進行信息推送和擴大商業(yè)影響，是信息時代的市場廣泛采用的商業(yè)模式，此種商業(yè)模式給消費者帶來了便利、快捷以及個性化服務(wù)的需求，但也容易造成價格歧視、信息繭房的后果，也會造成對消費者的歧視。在實踐中，有一些電商平臺提供競價排名服務(wù)，以廣告商支付價格的多少來決定向消費者進行推薦的優(yōu)先順序，容易侵害消費者的知情權(quán)[4]230。因此，賦予信息主體要求處理者對自動化決策進行說明的權(quán)利，有利于保障個人的知情權(quán)。

（三）信息主體享有拒絕權(quán)

一方面，《個人信息保護法》第24條第2款規(guī)定，信息處理者在通過自動化決策進行信息推送、商業(yè)營銷的同時，應(yīng)當(dāng)提供不針對個人特征的選項，并且允許個人以便捷的方式拒絕自動化決策。這一條款實質(zhì)上賦予了個人對自動化決策的拒絕權(quán)。換言之，《個人信息保護法》要求同時提供不針對其個人特征的選項，或者向個人提供便捷的拒絕方式，實際上就是不進行個性化推薦。所謂“便捷的拒絕方式”是指，信息處理者應(yīng)當(dāng)向信息主體提供便捷的拒絕自動化處理的渠道。例如，有些電商平臺根據(jù)消費者的消費記錄和習(xí)慣，進行相應(yīng)的產(chǎn)品推薦，此時，根據(jù)《個人信息保護法》第24條第2款的規(guī)定，這些電商平臺應(yīng)當(dāng)提供“便捷的拒絕方式”，例如向消費者提供“一鍵切換”至不包含個性化推送的界面，通過此種簡單便捷的操作，可防止自動化決策對消費者個人信息權(quán)益的侵害。

另一方面，《個人信息保護法》第24條第3款規(guī)定，個人有權(quán)拒絕個人信息處理者僅通過自動化決策的方式作出決定。這一規(guī)定來自GDPR第22條，該條第3款規(guī)定：在第2款所規(guī)定的（a）和（c）點的情形中，數(shù)據(jù)控制者應(yīng)當(dāng)采取適當(dāng)措施保障數(shù)據(jù)主體的權(quán)利、自由、正當(dāng)利益，以及數(shù)據(jù)主體對控制者進行人工干涉，以便表達其觀點和對決策進行異議的基本權(quán)利?！秱€人信息保護法》第24條第3款借鑒了GDPR的經(jīng)驗。

（四）禁止“大數(shù)據(jù)殺熟”，規(guī)范自動化決策

《個人信息保護法》第24條實際上包含對大數(shù)據(jù)殺熟的規(guī)制。大數(shù)據(jù)殺熟是指同樣的商品或服務(wù)，老客戶看到的價格反而比新客戶要貴出許多的現(xiàn)象。有一些企業(yè)通過掌握消費者的經(jīng)濟狀況、消費習(xí)慣、對價格的敏感程度等信息，對消費者在交易價格等方面實行歧視性的差別待遇，誤導(dǎo)、欺詐消費者。其中，最典型的就是社會反映突出的“大數(shù)據(jù)殺熟”。

例如，在大型網(wǎng)絡(luò)平臺上購物時，只要留下消費記錄和消費習(xí)慣，這些平臺據(jù)此推薦的產(chǎn)品價格可能會比向第三人推薦的同一產(chǎn)品的價格更貴。

“大數(shù)據(jù)殺熟”行為違反了誠實信用原則，侵犯了消費者權(quán)益保護法規(guī)定的消費者享有公平交易條件的權(quán)利[8]，也侵害了消費者知情權(quán)和公平交易權(quán)，其不僅是一種價格歧視行為，而且是一種價格欺詐行為[14]。因此，《個人信息保護法》第24條第1款明確規(guī)定，自動化決策“應(yīng)當(dāng)保證決策的透明度和結(jié)果公平、公正，不得對個人在交易價格等交易條件上實行不合理的差別待遇”。

四、嚴(yán)格保護敏感個人信息

所謂敏感個人信息，是指與個人的人格尊嚴(yán)和人身財產(chǎn)安全有密切關(guān)聯(lián)的個人信息。我國《民法典》第1034條第2款列舉了健康信息等若干敏感個人信息，但是并沒有對敏感個人信息的概念、處理等作出規(guī)定。《個人信息保護法》設(shè)專節(jié)規(guī)定了敏感個人信息的處理規(guī)則，依據(jù)該法第28條的規(guī)定，敏感個人信息的確定主要根據(jù)如下三個標(biāo)準(zhǔn)。

一是人格尊嚴(yán)標(biāo)準(zhǔn)。敏感個人信息與人格尊嚴(yán)的保護具有密切聯(lián)系，此類信息一旦被泄露或者非法使用，就極易導(dǎo)致信息主體的人格尊嚴(yán)受到侵害。由于敏感個人信息對于維護自然人的人身財產(chǎn)安全與人格尊嚴(yán)極為重要，故對于敏感個人信息的不當(dāng)處理，會損害自然人人格尊嚴(yán)，尤其會導(dǎo)致對自然人的歧視參見Spindler/Schuster/Spindler/Dalby DS-GVO Art.9 Rn.4。。例如，人體基因的泄露會造成個人在就業(yè)、保險等社會活動中遭受各種不公正的歧視[15]。因此嚴(yán)格保護敏感個人信息，有利于維護人格尊嚴(yán)。我國《憲法》第38條規(guī)定了維護人格尊嚴(yán)的原則，《個人信息保護法》第1條就規(guī)定了“根據(jù)憲法，制定本法”，這實際上就是要將《憲法》的原則通過《個人信息保護法》予以具體化，通過對個人信息的保護實現(xiàn)其立法宗旨。

二是人身、財產(chǎn)安全標(biāo)準(zhǔn)。法律保護個人信息，包括敏感個人信息，主要在于保護個人信息所包含的人格利益而非財產(chǎn)利益，但敏感個人信息的泄露或非法使用不僅會損害個人的人格尊嚴(yán)，而且可能導(dǎo)致個人的人身、財產(chǎn)安全遭受侵害。因此，基于對人身財產(chǎn)安全的保護目的，也應(yīng)當(dāng)嚴(yán)格保護敏感個人信息。例如，非法泄露他人的銀行賬戶，可能嚴(yán)重威脅個人的財產(chǎn)安全，因而，銀行賬戶信息應(yīng)當(dāng)納入敏感個人信息的范疇。在實踐中，因為金融賬戶等信息的泄露，導(dǎo)致各種電信詐騙活動不斷產(chǎn)生，給人民群眾造成巨大的財產(chǎn)損失[4]259。

三是未成年人標(biāo)準(zhǔn)。鑒于未成年人的信息一旦泄露，可能會被不法行為人利用，從事對未成年人實施侵害或?qū)议L進行詐騙等不法行為，嚴(yán)重侵害未成年人的合法權(quán)益。因此，《個人信息保護法》將不滿14周歲的未成年人的個人信息一概作為敏感個人信息，這就強化了對未成年人個人信息的保護[2]6。

根據(jù)《個人信息保護法》第28條第2款的規(guī)定，只有在具有特定的目的和充分的必要性，并采取嚴(yán)格保護措施的情形下，個人信息處理者才能處理敏感個人信息。這一條款規(guī)定了處理敏感個人信息的前提條件。具體包括：一是具有特定的目的，對一般個人信息的處理都應(yīng)當(dāng)出示特定目的，對敏感個人信息的處理就更應(yīng)當(dāng)具有特定的目的[10]19。例如，醫(yī)療研究機構(gòu)、藥品開發(fā)機構(gòu)在收集個人的基因信息時，不能籠統(tǒng)地以符合醫(yī)療健康的目的而收集他人的基因信息，而應(yīng)當(dāng)明確指明其收集他人基因信息的具體目的，如制造某種藥品防止基因突變，或者為了研究某種疫苗。二是具有充分的必要性，這就是說，處理相關(guān)敏感個人信息對于實現(xiàn)特定的目的而言是必要的、不可缺少的，如果不對敏感個人信息進行處理，就無法實現(xiàn)該目的[4]267。三是采取嚴(yán)格保護措施。例如，對敏感個人信息予以分類管理，采取一系列安全技術(shù)措施以去標(biāo)識化或加密，設(shè)定嚴(yán)格的操作權(quán)限等。在這幾個要件中，最核心是特定目的。也就是說，只有具有特定目的，才能依法處理敏感個人信息，而充分的必要性和采取嚴(yán)格保護措施都是特定目的的具體展開。強化特定目的要件的主要原因在于，對敏感個人信息而言，法律并不鼓勵對其利用，而重在保護。對敏感個人信息而言，原則上禁止處理，除非具有法律或約定的依據(jù)[16]。特定目的必須是特定化的、具體的、明確的目的，而不是泛泛的目的。信息處理者收集他人敏感個人信息的目的越具體，也就越有利于確定該目的是否具有充分的必要性。

五、確認(rèn)個人在個人信息處理活動中的各項權(quán)利

我國《個人信息保護法》第1條開宗明義，就規(guī)定了保護個人信息權(quán)益，該法第44條規(guī)定：“個人對其個人信息的處理享有知情權(quán)、決定權(quán)，有權(quán)限制或者拒絕他人對其個人信息進行處理;法律、行政法規(guī)另有規(guī)定的除外?！边@表明，個人信息保護的主要目的是保護個人對其個人信息的自主決定，并在自主決定的基礎(chǔ)上形成個人對其個人信息所享有的完整權(quán)利體系。法律具體規(guī)定信息主體所享有的各項權(quán)利，不僅有助于規(guī)范信息處理者的行為，防止其造成對信息主體權(quán)益的侵害，而且有助于使信息主體更好地對自己的信息權(quán)益進行自我管理、風(fēng)險預(yù)期與防范[17]?！秱€人信息保護法》在《民法典》關(guān)于個人信息保護的規(guī)定基礎(chǔ)上，細化和新增了如下幾項權(quán)利。

第一，細化了對知情權(quán)、決定權(quán)、查詢權(quán)、復(fù)制權(quán)、更正權(quán)等權(quán)利的規(guī)定。一是《個人信息保護法》規(guī)定了個人有權(quán)限制他人對其個人信息的處理，從而完善了《民法典》的規(guī)定，因為《民法典》確定了知情同意權(quán)和拒絕權(quán)，但是沒有具體規(guī)定限制處理權(quán)。所謂限制處理權(quán)，是指個人可以限制信息處理者只在一定目的、方式或范圍內(nèi)對其個人信息進行處理。二是《個人信息保護法》第45條第2款增加了個人信息處理者的及時提供義務(wù)規(guī)定。三是《個人信息保護法》第46條第2款規(guī)定，個人請求更正、補充的，個人信息處理者應(yīng)當(dāng)對其個人信息予以核實，并及時更正、補充。在此基礎(chǔ)上，豐富了刪除權(quán)的請求情形并作出了例外規(guī)定，同時要求個人信息處理者建立個人行使權(quán)利的申請受理和處理機制，進一步完善了個人在信息處理活動中的權(quán)利。

第二，增加信息攜帶權(quán)的規(guī)定?！秱€人信息保護法》第45條第3款規(guī)定：“個人請求將個人信息轉(zhuǎn)移至其指定的個人信息處理者，符合國家網(wǎng)信部門規(guī)定條件的，個人信息處理者應(yīng)當(dāng)提供轉(zhuǎn)移的途徑?！备鶕?jù)這一條款的規(guī)定，信息主體享有信息攜帶權(quán)。在實踐中，信息攜帶主要是指用戶將在某個平臺的數(shù)據(jù)移轉(zhuǎn)至另一個平臺，如將某個通訊公司中的通話信息移轉(zhuǎn)至另一家公司，又如將用戶在某一電商平臺上的消費信息轉(zhuǎn)移至另一電商平臺。依據(jù)《個人信息保護法》第45條第3款，信息攜帶權(quán)的行使應(yīng)當(dāng)滿足以下要件：一是個人應(yīng)當(dāng)提出請求;二是個人必須具體指明接收個人信息的信息處理者;三是個人信息的轉(zhuǎn)移，應(yīng)當(dāng)符合國家網(wǎng)信部門規(guī)定的條件或標(biāo)準(zhǔn)。《個人信息保護法》新增數(shù)據(jù)攜帶權(quán)規(guī)定具有重要意義，一方面，強化了對用戶信息自主決定權(quán)的保護，有利于強化信息主體對其數(shù)據(jù)的控制，并有助于打破鎖定效應(yīng)（lock-in effect）。例如，當(dāng)市場上出現(xiàn)了比信息主體正在使用的某個APP更加便捷的同類產(chǎn)品時，若不準(zhǔn)許數(shù)據(jù)攜帶，就會對新APP的利用帶來不便，變相地限制了消費者對市場產(chǎn)品的自由選擇權(quán)。如果不允許數(shù)據(jù)攜帶，則用戶在移轉(zhuǎn)到另一個平臺時，需要重新積累數(shù)據(jù)，這不僅成本較高，而且用戶前期積累的數(shù)據(jù)也無法利用，這顯然不利于用戶對數(shù)據(jù)的有效利用[18]。另一方面，也有利于打破數(shù)據(jù)壟斷，促進數(shù)據(jù)的流通和利用，促進市場的正當(dāng)競爭。

第三，增加個人主張刪除權(quán)的具體情形。《個人信息保護法》第47條規(guī)定了應(yīng)當(dāng)刪除個人信息的情形，《民法典》第1037條第2款規(guī)定的刪除情形主要是信息處理者違反法律、行政法規(guī)的規(guī)定或雙方約定處理信息。與《民法典》第1037條第2款相比較，《個人信息保護法》進一步擴張了刪除的事由，主要包括：處理目的已實現(xiàn)、無法實現(xiàn)或者為實現(xiàn)處理目的不再必要;個人信息處理者停止提供產(chǎn)品或者服務(wù)，或者保存期限已屆滿;個人撤回同意。在上述法定情形下，個人信息處理者應(yīng)當(dāng)主動刪除個人信息。如果個人信息處理者未主動刪除，信息主體則有權(quán)要求個人信息處理者刪除其個人信息。應(yīng)當(dāng)看到，針對刪除權(quán)《民法典》第1037條沒有規(guī)定兜底條款，而《個人信息保護法》第47條第1款第5項規(guī)定了“法律、行政法規(guī)規(guī)定的其他情形”，也可以刪除。這也保持了一定的開放性，可以適應(yīng)在個人信息刪除權(quán)方面的未來發(fā)展的需要。此外，依據(jù)《個人信息保護法》第47條第2款，法律、行政法規(guī)規(guī)定的保存期限未屆滿，或者刪除個人信息從技術(shù)上難以實現(xiàn)的，個人信息處理者應(yīng)當(dāng)停止除存儲和采取必要的安全保護措施之外的處理。在出現(xiàn)上述兩種不能刪除的情形下，法律規(guī)定個人信息處理者只能采取存儲及其他保護措施。

需要指出的是，我國《個人信息保護法》第47條所規(guī)定的刪除權(quán)不同于比較法上的被遺忘權(quán)（right to be forgotten）。所謂被遺忘權(quán)，是指當(dāng)出現(xiàn)法定或約定事由時，如果權(quán)利人不希望其個人數(shù)據(jù)繼續(xù)被數(shù)據(jù)控制者進行處理，則有權(quán)要求數(shù)據(jù)處理者刪除與其個人相關(guān)的信息。該權(quán)利最早是由歐盟法院在2014年就西班牙發(fā)生的“岡薩雷斯訴谷歌案”中所確立的[19]。GDPR第17條第1款規(guī)定了刪除權(quán)，第2款進一步規(guī)定了被遺忘權(quán)。GDPR所規(guī)定的刪除權(quán)又稱為“被遺忘權(quán)”，由于其落地成本極高受到了廣泛的質(zhì)疑[20]。我國《個人信息保護法》所規(guī)定的刪除權(quán)與域外法上的被遺忘權(quán)不同。一方面，刪除權(quán)是指信息主體有權(quán)要求信息處理者刪除相關(guān)的個人信息，本質(zhì)上是一對一的關(guān)系，而信息主體在行使被遺忘權(quán)時，不僅有權(quán)要求信息處理者刪除相關(guān)的個人信息，還要求信息處理者采取必要措施要求其他處理者刪除此類信息。另一方面，如果平臺是信息處理者，刪除權(quán)針對的是平臺，而如果平臺將這些信息公開，被搜索引擎所處理，信息主體是否可以要求授索引擎刪除，我國法律并沒有明確規(guī)定，而要求搜索引擎刪除，這屬于被遺忘權(quán)的范疇。因此，《個人信息保護法》第47條雖然對刪除的事由規(guī)定得較為寬泛，但并沒有采用被遺忘權(quán)。

第四，請求個人信息處理者對個人信息處理規(guī)則進行解釋說明等權(quán)利。該項權(quán)利也被稱為解釋說明權(quán)。所謂個人信息處理規(guī)則是指由個人信息處理者單方面制定的處理個人信息的相關(guān)規(guī)則，這些規(guī)則類似于格式條款，如果不加以規(guī)制，就會損害信息主體的權(quán)益。因此，依據(jù)《個人信息保護法》第48條，信息主體有權(quán)要求信息處理者就此作出說明。例如，有些個人信息提供者的隱私政策冗長、難以理解，個人有權(quán)請求該信息處理者對這些隱私政策進行解釋說明。

此外，為了保護死者近親屬自身合法、正當(dāng)?shù)睦妫瑫r也尊重死者的遺愿并保護死者本人及其交往者的隱私和通信秘密，《個人信息保護法》允許死者近親屬對死者的相關(guān)個人信息行使查閱、復(fù)制、更正、刪除等權(quán)利，但是，死者生前另有安排的除外。

六、強化個人信息處理者的義務(wù)

雖然我國《個人信息保護法》以保護個人信息權(quán)益為中心而展開其主要內(nèi)容，但為了保護個人信息處理活動中信息主體的個人權(quán)益，《個人信息保護法》又規(guī)定了個人信息處理者的義務(wù)，保障這些義務(wù)的履行也有助于進一步強化對個人信息的保護。該法之所以集中規(guī)定個人信息處理者的義務(wù)，也有利于實現(xiàn)規(guī)范個人信息處理活動的立法目的。因為一方面，個人信息處理者是個人信息保護的直接責(zé)任人，由于其對個人將采取各種處理行為，因此通過強化其在處理活動中所承擔(dān)的義務(wù)，才能夠使其對個人信息處理活動負(fù)責(zé)，并采取必要措施保障所處理的個人信息的安全;另一方面，個人信息權(quán)利的自主決定權(quán)能夠得到尊重與實現(xiàn)，很大程度上依賴于信息處理者對此種權(quán)利的尊重以及依法履行保護義務(wù)。因此，《個人信息保護法》第五章專門規(guī)定，個人信息處理者應(yīng)當(dāng)對其個人信息處理活動負(fù)責(zé)，并采取必要措施保障所處理的個人信息的安全。具體來說，表現(xiàn)在如下幾個方面：

第一，細化了信息處理者的安全保障義務(wù)，確保個人信息的處理活動符合法律、行政法規(guī)的規(guī)定?！睹穹ǖ洹返?038條規(guī)定了信息處理者的安全保障義務(wù)，以防止信息泄露、篡改、丟失。但《民法典》的上述規(guī)定還比較抽象，《個人信息保護法》第51條在《民法典》規(guī)定的基礎(chǔ)上，從六個方面進一步確認(rèn)了信息處理者的安全保障義務(wù)，該條具體列舉了個人信息處理中應(yīng)當(dāng)采取的六項舉措，只有切實采取這些舉措，才能保障個人信息處理活動的合法性。

第二，規(guī)定了個人信息保護人制度。依據(jù)《個人信息保護法》第52條規(guī)定，要區(qū)分大型和小型信息處理者，只有達到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者才有必要指定個人信息保護負(fù)責(zé)人，專門負(fù)責(zé)個人信息的保護。個人信息保護負(fù)責(zé)人制度與歐盟等國家和地區(qū)的數(shù)據(jù)保護官（data protection officer，DPO）制度具有一定相似性，設(shè)立這一制度的核心在于促進企業(yè)個人信息保護的專業(yè)性與獨立性，強化企業(yè)的內(nèi)部數(shù)據(jù)治理[21]。但對于許多小型企業(yè)而言，由于其信息處理量比較少，不一定要建立個人信息保護人機制。此外，依據(jù)《個人信息保護法》第53條規(guī)定，在中華人民共和國境外處理中華人民共和國境內(nèi)自然人個人信息活動的，也應(yīng)當(dāng)依法在我國境內(nèi)設(shè)立專門機構(gòu)或者指定代表，負(fù)責(zé)處理個人信息保護相關(guān)事務(wù)。

第三，建立個人信息保護影響評估制度。依據(jù)《個人信息保護法》第55條、56條，在處理敏感個人信息，利用個人信息進行自動化決策，委托處理個人信息、向其他個人信息處理者提供個人信息、公開個人信息，向境外提供個人信息以及其他對個人權(quán)益有重大影響的個人信息處理活動中，應(yīng)當(dāng)進行個人信息保護影響評估。此種評估是一種對風(fēng)險進行防范的預(yù)防性保護措施，個人信息處理者在作出風(fēng)險評估之后，就應(yīng)當(dāng)根據(jù)評估結(jié)果，考量其所采取的安全保護措施是否合法、有效并與風(fēng)險程度相適應(yīng)。如果對個人信息的處理可能會對個人信息權(quán)益產(chǎn)生較大影響，且產(chǎn)生的風(fēng)險較大，就應(yīng)當(dāng)及時調(diào)整其信息處理行為。第56條實際上是借鑒了GDPR第37條所規(guī)定的“數(shù)據(jù)保護影響評估（data protection impact assessment）”制度的經(jīng)驗[4]420。需要指出的是，保護影響評估與《個人信息保護法》第36條至40條所規(guī)定的安全評估制度并不相同，安全評估制度針對的是個人信息處理活動是否會損害國家安全、公共利益和國家利益，此種評估僅僅適用于向境外提供個人信息的情形，而保護影響評估主要涉及的是信息處理者對個人信息權(quán)益的影響，它涉及的是處理行為，不僅適用于向境外提供的個人信息，還適用于境內(nèi)的各種信息處理行為。

第四，規(guī)定了提供重要互聯(lián)網(wǎng)平臺服務(wù)信息處理者的特殊保護義務(wù)。大型網(wǎng)絡(luò)平臺與超大型網(wǎng)絡(luò)平臺的出現(xiàn)，使得用戶對其往往具有很強的依賴性[22]。由于重要互聯(lián)網(wǎng)平臺服務(wù)信息處理者（如騰訊、阿里等）不僅為成千上萬的用戶提供服務(wù)，而且還要處理大量的個人信息，故從防范風(fēng)險的角度出發(fā)，對這些信息處理者的活動予以規(guī)范，對于保護信息主體的合法權(quán)益、規(guī)范信息處理者的活動至關(guān)重要。因此，《個人信息保護法》第58條對提供重要互聯(lián)網(wǎng)平臺服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的個人信息處理者規(guī)定了特別義務(wù)，包括按照國家規(guī)定建立健全個人信息保護合規(guī)制度體系，成立主要由外部成員組成的獨立機構(gòu)對個人信息保護情況進行監(jiān)督;遵循公開、公平、公正的原則，制定平臺規(guī)則;對嚴(yán)重違法處理個人信息的平臺內(nèi)的產(chǎn)品或者服務(wù)提供者，停止提供服務(wù);定期發(fā)布個人信息保護社會責(zé)任報告，接受社會監(jiān)督。法律作出此種規(guī)定是為了提高大型互聯(lián)網(wǎng)平臺經(jīng)營業(yè)務(wù)的透明度，完善平臺治理，強化外部監(jiān)督，形成全社會共同參與的個人信息保護機制。

七、規(guī)范國家機關(guān)的個人信息處理行為

在我國，政府機關(guān)在行政管理過程中也會大量收集個人信息，如何有效規(guī)范政府機關(guān)處理個人信息的行為，也是保護個人信息的重要組成部分。從個人信息權(quán)益發(fā)展的歷程來看，個人信息作為一項人格權(quán)益，最初產(chǎn)生的目的之一，就是防止政府機關(guān)不當(dāng)處理個人信息例如，美國早在1974年就在《隱私法案》中將美國聯(lián)邦機構(gòu)納入其規(guī)制范圍（參見5 U.S.C.§552a〔2006〕）。，而法律之所以承認(rèn)個人信息作為一項權(quán)益，也有利于防范政府行為對個人信息的侵害。在我國，國家機關(guān)處理個人信息是行使行政權(quán)的活動，但是在處理個人信息的過程中，國家機關(guān)也會涉及信息主體在個人信息上的權(quán)益。為此，《個人信息保護法》單獨將國家機關(guān)對個人信息的處理行為作出明確規(guī)定。依據(jù)《個人信息保護法》第33條規(guī)定，國家機關(guān)處理個人信息的活動“適用本法”，這意味著國家機關(guān)作為個人信息處理者，也要遵守相關(guān)法律規(guī)定。規(guī)范國家機關(guān)的個人信息處理行為，一方面，有利于實現(xiàn)規(guī)范個人信息處理活動的立法目的，國家機關(guān)依據(jù)《個人信息保護法》從事各種個人信息處理活動，才能夠在全社會起到示范效應(yīng)，提升國家治理和社會治理水平。另一方面，有利于全面維護信息主體的合法權(quán)益，尤其是從實踐來看，政府機關(guān)已經(jīng)收集了大量的個人信息，一旦政府機關(guān)處理不當(dāng)，容易給信息主體造成嚴(yán)重不利影響。為此，也有必要嚴(yán)格規(guī)范國家機關(guān)的個人信息處理行為。

當(dāng)然，國家機關(guān)處理個人信息是為了公共利益，區(qū)別于商業(yè)機構(gòu)對于個人信息的收集和利用，因此《個人信息保護法》對國家機關(guān)處理個人信息作出了如下特別規(guī)定：

第一，必須依照法定的權(quán)限和程序處理個人信息。國家機關(guān)處理個人信息主要是為了履行法定職責(zé)、行使法定權(quán)限，但此種權(quán)力的行使必須具有法定的依據(jù)。依據(jù)《個人信息保護法》第34條，只有出于履行法定職責(zé)的需要，國家機關(guān)才能處理個人信息，而且國家機關(guān)處理個人信息的行為不得超出法定職責(zé)必需的范圍和限度;可以說在這方面也要嚴(yán)格按照“法無授權(quán)不可為”的原則來處理個人信息。同時，國家機關(guān)在處理個人信息時，還應(yīng)當(dāng)依照法律、行政法規(guī)規(guī)定的權(quán)限、程序進行，否則可能構(gòu)成非法處理個人信息的行為。

第二，必須依法履行告知義務(wù)。雖然國家機關(guān)處理個人信息是一種行使職責(zé)的行為，但依據(jù)《個人信息保護法》第35條規(guī)定，除了法律規(guī)定不需要告知的情形之外，國家機關(guān)為履行法定職責(zé)處理個人信息，應(yīng)當(dāng)依照本法規(guī)定履行告知義務(wù)，該條為國家機關(guān)處理個人信息設(shè)立了一般規(guī)則，區(qū)別于對一般處理者的“告知同意”要求，國家機關(guān)免除告知義務(wù)應(yīng)當(dāng)符合三種情形：一是具有法律、行政法規(guī)規(guī)定的應(yīng)當(dāng)保密的情形。二是法律、行政法規(guī)規(guī)定不需要告知的情形。例如，《國家情報法》第15條規(guī)定：“國家情報工作機構(gòu)根據(jù)工作需要，按照國家有關(guān)規(guī)定，經(jīng)過嚴(yán)格的批準(zhǔn)手續(xù)，可以采取技術(shù)偵察措施和身份保護措施?！比绻麌仪閳蠊ぷ鳈C構(gòu)在履行職責(zé)時，依法不需要告知，則可以免除告知義務(wù)。三是告知將妨礙國家機關(guān)履行法定職責(zé)的情形。例如，稅務(wù)機關(guān)為了征稅的需要而檢查納稅義務(wù)人的有關(guān)賬簿、報表等信息，如果事先告知，有可能會導(dǎo)致相關(guān)納稅義務(wù)人篡改、銷毀有關(guān)信息，妨礙稅務(wù)機關(guān)公共職能的行使，因此，不必要事先告知[4]295。

第三，國家機關(guān)處理的個人信息應(yīng)當(dāng)在國內(nèi)存儲。國家機關(guān)大規(guī)模收集的個人信息，不僅關(guān)系個人的信息權(quán)利保護，而且關(guān)系到國家安全，因此，《個人信息保護法》第36條對國家機關(guān)收集的個人信息的存儲規(guī)則作出了特別規(guī)定。所謂境內(nèi)存儲，是指個人信息（個人數(shù)據(jù)）的物理存儲設(shè)備，無論是用來存儲個人信息的硬盤，還是云存儲服務(wù)所對應(yīng)的遠端存儲設(shè)備，都應(yīng)當(dāng)存儲在我國境內(nèi)，以防止信息被竊取、泄露。法律作出這種規(guī)定的目的主要是維護國家安全和公共利益[4]297。如果確需向境外提供的，還應(yīng)當(dāng)進行安全評估。

八、規(guī)范個人信息跨境流動

所謂跨境流動，是指一國境內(nèi)的個人信息或數(shù)據(jù)流出了境內(nèi)，為他國信息處理者所收集、儲存、加工和使用等。隨著經(jīng)濟全球化、數(shù)字化的不斷推進，我國對外開放的不斷擴大以及互聯(lián)網(wǎng)在全球范圍內(nèi)的互聯(lián)互通，個人信息的跨境流動非常普遍，同時，貨物貿(mào)易往來頻繁，也必然會帶動數(shù)據(jù)的流動。但長期以來，由于個人信息跨境流動的法律規(guī)制面臨著保護規(guī)則缺失，產(chǎn)生了監(jiān)管難度較大、數(shù)據(jù)出境安全評估標(biāo)準(zhǔn)存在差異等諸多問題，從而對個人權(quán)益產(chǎn)生了重大影響[23]。為此，《個人信息保護法》對個人信息的跨境流動作出了專門規(guī)定，對個人信息的跨境流動進行了全面規(guī)范。

一是明確了因業(yè)務(wù)等需要，向境外提供個人信息的條件。依據(jù)《個人信息保護法》第38條規(guī)定，首先，必須是因業(yè)務(wù)等需要確需提供。個人信息處理者不得任意向境外提供個人信息，向境外提供個人信息，會涉及國家安全與公共利益，因此只有在“因業(yè)務(wù)等需要”而確需向境外提供時才能提供。換言之，如果不向境外提供就無法開展正常業(yè)務(wù)。例如，從事跨境購物業(yè)務(wù)的信息處理者，不向境外提供收貨人、收貨地址等信息，該跨境購物業(yè)務(wù)就無從開展，在此情形下，該信息處理者才可以按照法律規(guī)定向境外提供個人信息。其次，根據(jù)該條第3款的規(guī)定，個人信息處理者應(yīng)當(dāng)采取必要措施，保障境外接收方處理個人信息的活動達到本法規(guī)定的個人信息保護標(biāo)準(zhǔn)，即比較法上的“同等保護水平”。要達到同等保護水平，不僅要考察境外接收方所在國家的法律規(guī)定，還要依據(jù)網(wǎng)信部門的規(guī)定，經(jīng)專業(yè)機構(gòu)進行個人信息保護認(rèn)證，并與境外接收方訂立合同，約定雙方的權(quán)利和義務(wù)。

二是個人信息處理者的告知義務(wù)。《個人信息保護法》第39條對跨境提供個人信息的“告知同意”作出更嚴(yán)格的要求，切實保障個人的知情權(quán)、決定權(quán)等權(quán)利。也就是說，個人信息處理者向境外提供個人信息，要向信息主體明確告知境外接收方的名稱或者姓名、聯(lián)系方式、處理目的、處理方式等內(nèi)容，還要取得個人的同意。尤其需要指出的是，《個人信息保護法》規(guī)定的是單獨同意而非概括同意。即便根據(jù)《個人信息保護法》第13條第1款第2項至第7項的規(guī)定，不需要經(jīng)過信息主體同意就可以實施的處理行為，一旦涉及跨境流通，也需要取得信息主體的單獨同意。例如，跨國企業(yè)依照依法制定的勞動規(guī)章制度或者依法簽訂的集體合同實施人力資源管理所必需的個人信息，在中國境內(nèi)處理時，不需要取得信息主體的同意，一旦這些個人信息向境外提供時，按照《個人信息保護法》第39條的規(guī)定，就應(yīng)當(dāng)取得信息主體的單獨同意。

三是特定信息處理者應(yīng)當(dāng)將個人信息存儲在境內(nèi)。根據(jù)《個人信息保護法》第40條規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施運營者和處理個人信息達到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者，應(yīng)當(dāng)將個人信息存儲在境內(nèi)。例如，最近特斯拉宣布，特斯拉已在中國建立數(shù)據(jù)中心，所有中國業(yè)務(wù)所產(chǎn)生的所有數(shù)據(jù)，完全存儲在中國境內(nèi)[24]。如果確實需要向境外提供的，應(yīng)當(dāng)通過國家網(wǎng)信部門組織的安全評估。

四是確需向境外提供個人信息的，應(yīng)當(dāng)通過安全評估。在向境外提供時，需要通過網(wǎng)信部門組織的安全評估。由于不同國家法律制度、保護水平之間的差異，導(dǎo)致個人信息跨境流動風(fēng)險較大，因此，需要通過安全評估以確定個人信息跨境流動是否會造成對國家安全和公共利益的損害，是否會侵害個人信息權(quán)益。如果不能通過安全評估，則不能向境外提供個人信息。

五是針對個人信息跨境流動，規(guī)定了黑名單制度和對等反制措施。從比較法上來看，對于個人信息的跨境流動普遍采取了一定的限制。由于個人信息的跨境流動將直接關(guān)系到國家安全、經(jīng)濟安全[25]。因此，對于信息的跨境流動都設(shè)置了一定的限制措施。在我國，雖然個人信息跨境流動可能給國家安全和個人信息保護帶來威脅，但也不宜因噎廢食，一概禁止個人信息的跨境流動，否則將會導(dǎo)致我國數(shù)據(jù)市場環(huán)境的封閉[26]。在維護國家數(shù)據(jù)主權(quán)的基礎(chǔ)上，基于主權(quán)國家的平等互惠，《個人信息保護法》第三章對個人信息的跨境提供進行了專門的規(guī)制?！秱€人信息保護法》第42條特別規(guī)定，如果境外的組織、個人從事了侵害我國公民的信息權(quán)益或者危害了我國國家安全的行為，國家網(wǎng)信部門可以將其列入限制或禁止個人信息提供清單?！秱€人信息保護法》第43條對外國歧視性措施的對等反制措施作了規(guī)定。這些規(guī)定對于維護國家數(shù)據(jù)安全、保護信息主體的合法權(quán)益具有重要意義。

九、完善侵害個人信息的法律責(zé)任

依據(jù)我國《民法典》，對于侵害個人信息權(quán)益造成損害的可以適用侵權(quán)責(zé)任編關(guān)于損害賠償?shù)囊?guī)則，并可以適用人格權(quán)編995條關(guān)于人格權(quán)請求權(quán)的規(guī)則?！睹穹ǖ洹分兄T多保護個人信息的規(guī)則都可以適用于個人信息的保護，但《個人信息保護法》為強化對個人信息權(quán)利的保護，在《民法典》規(guī)定的基礎(chǔ)上，新增了一些特殊的個人信息保護措施。

一是確立了多層次的責(zé)任體系。因為個人信息保護涉及眾多不同的法益，侵害個人信息權(quán)益的行為既可能導(dǎo)致私主體的權(quán)利遭受侵害，也可能導(dǎo)致行政法和刑法所保護的公法益遭受侵害，因而同時涉及個人利益和公共利益。如何通過損害賠償?shù)姆绞絹砭葷朔N大規(guī)模且屬性復(fù)雜的權(quán)益侵害，是傳統(tǒng)民事司法救濟、行政與刑事救濟難以單獨解決的問題[27]。因此《個人信息保護法》采取了民事責(zé)任、行政責(zé)任與刑事相結(jié)合責(zé)任體系，多維度地規(guī)范個人信息處理行為?！秱€人信息保護法》第50條第2款明確規(guī)定在個人信息處理者拒絕個人行使權(quán)利的請求時，個人可以依法向人民法院提起訴訟，這也為個人信息權(quán)利的保護提供了新的救濟途徑。允許個人在其個人信息權(quán)益遭受侵害時提起訴訟，這對于個人信息權(quán)益的保護意義重大。

二是確立了侵害個人信息的過錯推定責(zé)任。過錯推定也稱過失推定，是指行為人因過錯侵害他人民事權(quán)益，依法應(yīng)推定行為人具有過錯，如果行為人不能證明自己沒有過錯的，則應(yīng)當(dāng)承擔(dān)侵權(quán)責(zé)任?！秱€人信息保護法》第69條第1款規(guī)定：“處理個人信息侵害個人信息權(quán)益造成損害，個人信息處理者不能證明自己沒有過錯的，應(yīng)當(dāng)承擔(dān)損害賠償?shù)惹謾?quán)責(zé)任?！敝圆扇〈朔N歸責(zé)原則，很大程度上是因為在實踐中，受害人舉證困難已經(jīng)成為個人信息保護所面臨的一大困境。在個人信息的處理中，個人信息處理者距證據(jù)較近，受害人則距離證據(jù)較遠。加之對于數(shù)據(jù)處理中過錯的證明專業(yè)性較強，尤其是對于算法等，只有處理者才具備判斷處理過程中是否存在過錯的專業(yè)知識和技能，而受害人舉證的成本十分高昂。在這些情況下，就會發(fā)生“證據(jù)分布不均衡”的現(xiàn)象，此時就有必要讓處于更易于適用必要證據(jù)的一方當(dāng)事人負(fù)擔(dān)證明責(zé)任[28]。因此，采用過錯推定原則有利于減輕受害人的舉證負(fù)擔(dān)，強化信息處理者的舉證義務(wù)，從而對受害人提供有效的救濟[29]。當(dāng)然，此處的過錯推定主要適用于造成損害進而請求損害賠償?shù)那樾?。而對于停止侵害、排除妨礙等責(zé)任形式，當(dāng)事人可以通過行使人格權(quán)請求權(quán)予以實現(xiàn)，而人格權(quán)請求權(quán)的行使不以過錯的存在為要件，因此并不存在過錯推定的問題。

三是確立了損害賠償責(zé)任。依據(jù)《個人信息保護法》第69條第2款的規(guī)定，侵害個人信息的“損害賠償責(zé)任按照個人因此受到的損失或者個人信息處理者因此獲得的利益確定;個人因此受到的損失和個人信息處理者因此獲得的利益難以確定的，根據(jù)實際情況確定賠償數(shù)額”。該條是在侵權(quán)責(zé)任編獲利返還規(guī)則的基礎(chǔ)上所作出的規(guī)定，也是對《民法典》第1182條的細化規(guī)定。從《民法典》第1182條規(guī)定來看，其使用了“侵害人身權(quán)益”的表述，立法者主要列舉了名譽權(quán)、肖像權(quán)等權(quán)益遭受侵害的情形[30]，而對于其能否適用于個人信息保護，一直存在爭議。在這一背景下，《個人信息保護法》第69條明確了獲利返還規(guī)則可以適用于侵害個人信息的情形，也進一步完善了《民法典》的相關(guān)規(guī)定。

四是引入了侵害個人信息的公益訴訟制度。《個人信息保護法》還引入了公益訴訟制度，從而對個人信息侵權(quán)救濟問題進行了重大創(chuàng)新。在侵害個人信息的案件中，往往受害人眾多，而單個受害人能力有限，可能面臨舉證困難等問題，甚至有的受害人可能并不知道其個人信息權(quán)利已經(jīng)遭受侵害。在面對不特定多數(shù)主體權(quán)利可能遭受侵害的場合，單個信息主體提起訴訟動力不足[31]，因此，就十分有必要引入公益訴訟制度。從制度安排上看，提起個人信息保護公益訴訟的訴權(quán)主體有人民檢察院、法律規(guī)定的消費者組織和由國家網(wǎng)信部門確定的組織（《個人信息保護法》第70條）。通過公益訴訟可以調(diào)動諸多手段，協(xié)同多個部門，使具有更強糾紛解決能力的組織和機關(guān)介入，對個人信息的保護更具專業(yè)性、權(quán)威性和便利性，有助于克服實踐中個人起訴存在的舉證困難、成本過高等問題，對于強化保護個人信息十分必要[32]。

十、結(jié) 語

在現(xiàn)代社會中，伴隨著互聯(lián)網(wǎng)的發(fā)展，個人信息的保護與利用問題已經(jīng)成為21世紀(jì)法律所面臨的重要挑戰(zhàn)，如何保護個人信息已經(jīng)成為時代之問。我國《個人信息保護法》在《民法典》等法律法規(guī)的基礎(chǔ)上，有效總結(jié)了我國個人信息處理的理論研究和實務(wù)經(jīng)驗，并積極吸收和借鑒歐盟《一般數(shù)據(jù)保護條例》等域外立法的經(jīng)驗，在多個方面進行了創(chuàng)新，形成了諸多制度亮點，充分彰顯了我國在個人信息保護領(lǐng)域立法的時代性、國際性和本土性。全面貫徹實施好《個人信息保護法》，才能切實保護人民群眾在數(shù)字化時代所享有的各項民事權(quán)益，從而促進數(shù)字經(jīng)濟的有序發(fā)展。

參考文獻：

[1]鄭維煒.個人信息權(quán)的權(quán)利屬性、法理基礎(chǔ)與保護路徑[J].法制與社會發(fā)展，2020（6）：136.

[2]龍衛(wèi)球.中華人民共和國個人信息保護法釋義[M].北京：中國法制出版社，2021.

[3]張新寶.論個人信息權(quán)益的構(gòu)造[J].中外法學(xué)，2021（5）：1146.

[4]程嘯.個人信息保護法理解與適用[M].北京：中國法制出版社，2021.

[5]呂炳斌.個人信息保護的同意困境及其出路[J].法商研究，2021（2）：94.

[6]DIX A.Datenschutz im Zeitalter von Big Data：wie steht es um den Schutz der Privatsphre？[J].Stadtforschung und Statistik，Zeitschrift des Verbandes Deutscher Stdtestatistiker，2016（1）：61.

[7]程嘯.論我國個人信息保護法中的個人信息處理規(guī)則[J].清華法學(xué)，2021（3）：59.

[8]楊合慶.論個人信息保護法十大亮點[N].法治日報，2021-08-22.

[9]PRLI K.Datenaustausch und Datenschutz in der Interinstitutionellen Zusammenarbeit （IIZ） （Data Exchange and Data Protection in Interinstitutional Cooperation （IIC））[J].Sozialpolitik，2013（6）：310.

[10]IGLEZAKIS I，TROKANAS T，KIORTSI P.Big Health and Genetic Data：Opportunites，Risks，and Legal Conundrume Regarding Application of GDPR[J].Journal of Internet Law，2021（10）.

[11]FRIESEN J.The Impossible Right to Be Forgotten[J].Rutgers Computer & Technology Law Journal，2020（1）：179.

[12]孫建麗.算法自動化決策風(fēng)險的法律規(guī)制研究[J].法治研究，2019（4）：108.

[13]丁曉東.論算法的法律規(guī)制[J].中國社會科學(xué)，2020（12）.

[14]劉佳明.大數(shù)據(jù)“殺熟”的定性及其法律規(guī)制[J].湖南農(nóng)業(yè)大學(xué)學(xué)報（社會科學(xué)版），2020（1）：56-61.

[15]田野，張晨輝.論敏感個人信息的法律保護[J].河南社會科學(xué)，2019（7）：44.

[16]IACOB N，SIMONELLI F.Towards a European Health Data Ecosystem[J].European Journal of Risk Regula-tioin，2020（4）：889.

[17]WALDMAN A E.Privacy as Trust：Sharing Personal Information in a Networked World[J].University of Miami Law Review，2015（3）：560-590.

[18]SWIRE P，LAGOS Y.Why the Right to Data Portability Likely Reduces Consumer Welfare：Antitrust and Privacy Critique[J].Maryland Law Review，2013（2）：335.

[19]于向花.被遺忘權(quán)研究[M].北京：中國社會科學(xué)出版社，2020：23-30.

[20]萬方.終將被遺忘的權(quán)利——我國引入被遺忘權(quán)的思考[J].法學(xué)評論，2016（6）：161.

[21]WP 243.Guidelines on Data Protection Officers （“DPOs”）[EB/OL].（2017-04-05）[2021-08-06].https：//ec.europa.eu/newsroom/article29/item-detail.cfm？item_id=612048.

[22]BOSTOEN F.Neutrality，F(xiàn)airness or Freedom？Principles for Platform Regulation[J].Internet Policy Review，2018（1）：1-19.

[23]鐘鳴.數(shù)字貿(mào)易時代個人信息跨境流動的法律保護路徑[J].人民論壇，2021（6）：109.

[24]馬斯克.特斯拉所有中國業(yè)務(wù)數(shù)據(jù)將完全存儲在中國境內(nèi)[N].重慶晨報，2021-09-26.

[25]楊合慶.中華人民共和國網(wǎng)絡(luò)安全法解讀[M].北京：中國法制出版社，2017：82.

[26]邵國松，黃琪.個人數(shù)據(jù)保護全球融合的趨勢與挑戰(zhàn)[J].上海交通大學(xué)學(xué)報（哲學(xué)社會科學(xué)版），2021（4）：157.

[27]COHEN J E.Information Privacy Litigation as Bellwether for Institutional Change[J].DePaul Law Review，2016（2）：548.

[28]新堂幸司.新民事訴訟法[M].林劍鋒，譯.北京：法律出版社，2008：399.

[29]周友軍.個人信息保護法來了：為數(shù)據(jù)利用、流通上把“鎖”[EB/OL].（2021-08-26）[2021-09-10].https：//m.thepaper.cn/newsDetail_forward_14222199.

[30]黃薇.中華人民共和國民法典侵權(quán)責(zé)任編釋義[M].北京：法律出版社，2020：56.

[31]王亞新，陳杭平，劉君博.中國民事訴訟法重點講義[M].北京：高等教育出版社，2021：206.

[32]胡立彪.用公益訴訟為個人信息保護助力[N].中國質(zhì)量報，2021-01-11.

Highlights and Innovation of Personal Information Protection Law

WANG Liming

（The Research Center of Civil and Commercial Jurisprudence， Renmin University of China， Beijing 100872， China）

Abstract：The Personal Information Protection Law is a special legislation for the comprehensive protection of personal information. As a mixture of public law and private law， its private law， as a special law of the Civil Code， further enriches and develops the personal information protection rules of the Civil Code. On the basis of summarizing the legislative experience of the Civil Code， the Personal Information Protection Law draws on the experience of comparative laws such as the EU General Data Protection Regulation， and has formed many highlights and innovative features， including further expanding the protection scope of personal information， constructing personal information processing rules with “informed consent” as the core， comprehensively standardizing automatic decision-making， strictly protecting sensitive personal information， confirming individual rights in personal information processing activities， strengthening the obligations of personal information processors， standardizing the personal information processing behavior of state organs and the cross-border flow of personal information， and improving the legal liability for infringement of personal information. These highlights and features fully demonstrate the timeliness， internationality and localization of this legislation.

Keywords：personal information; Personal Information Protection Law; personal information processing

（編輯：李春英）

收稿日期：2021-10-08

作者簡介：王利明（1960-），男，湖北仙桃人，中國人民大學(xué)民商事法律科學(xué)研究中心研究員，中國人民大學(xué)法學(xué)院教授。