王利明

(中國人民大學 民商事法律科學研究中心，北京 100872)

《個人信息保護法》是我國第一部全面保護個人信息的專門性、綜合性法律。該法以保護個人信息權益、規(guī)范個人信息處理活動、促進個人信息合理利用等立法目的為中心，分別就個人信息處理規(guī)則、個人信息跨境提供的規(guī)則、個人在個人信息處理活動中的權利、個人信息處理者的義務、履行個人信息保護職責的部門以及法律責任等，作出了系統(tǒng)完備、科學嚴謹?shù)囊?guī)定。該法在性質(zhì)上屬于“領域法(field of law)”的范疇，也就是說，其既涉及私法規(guī)范，也涉及公法規(guī)范。就私法而言，其作為《民法典》的特別法，與《民法典》關于個人信息保護的規(guī)則相結(jié)合，共同構成了完整的個人信息保護規(guī)則體系[1]?！秱€人信息保護法》在總結(jié)《民法典》等的立法經(jīng)驗基礎上，借鑒了歐盟《一般數(shù)據(jù)保護條例》(以下簡稱GDPR)等比較法的經(jīng)驗，形成了諸多的亮點和創(chuàng)新之處。本文擬對此談一點粗淺的看法。

一、進一步擴張了個人信息的保護范圍

在互聯(lián)網(wǎng)高科技大數(shù)據(jù)時代，各國法律對個人信息的規(guī)范都面臨著如何有效平衡權利保護和有效利用的關系，實現(xiàn)法律的公平正義與效率價值相統(tǒng)一的問題[2]5。我國《民法典》對個人信息實際上是采取了保護與利用并重的立場[3]，而《個人信息保護法》第1條就明確規(guī)定了該法的立法目的旨在保護個人信息與促進個人信息合理利用?？梢娫摲ㄅc《民法典》在對個人信息的立法宗旨上是一致的，但在保護個人信息方面又進一步擴張了個人信息的范圍，強化了對個人信息的保護。

第一，《個人信息保護法》對個人信息的界定采取了“識別+相關說”。《民法典》第1034條第2款對個人信息的定義囿于“識別說”，并區(qū)分為“直接識別”與“間接識別”；而《個人信息保護法》第4條第1款采取的是“識別+相關說”，所作區(qū)分則是“已識別”與“可識別”的信息，一般認為，其在范圍上更為寬泛[4]57?！秱€人信息保護法》第4條規(guī)定，個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理后的信息。根據(jù)該條的規(guī)定，個人信息包括兩類：一是“已識別”特定自然人的信息，即根據(jù)一定的信息，特定自然人已經(jīng)被識別出來了；二是“可識別”特定自然人的信息，即“identifiable”，它是指根據(jù)一定的信息，特定自然人的身份雖然還沒有被識別出來，但是可以通過某種方式加以識別，至于是采取直接識別還是間接識別，則無關緊要[4]63。

在界定個人信息的范圍時，《個人信息保護法》之所以采取“識別+相關說”的標準，是因為識別說保護的范圍雖然并不狹窄，但可能將一些不能直接識別特定個人的信息碎片包括其中(1)如歐盟《一般數(shù)據(jù)保護條例》導言第26條規(guī)定：“需要考慮所有可能使用的手段，比如利用控制者或其他人來直接或間接地確認自然人的身份。為判斷所使用的手段是否可能用于識別自然人，需要考慮所有客觀因素，包括對身份進行確認需要花費的金錢和時間，考慮現(xiàn)有處理技術以及科技發(fā)展?！薄Ｒ虼?，《個人信息保護法》第4條的規(guī)定實質(zhì)上最大限度地擴張了個人信息的邊界，從而盡可能地擴張《個人信息保護法》以及《民法典》等有關個人信息保護的規(guī)定的適用范圍。例如，在很多情形下，網(wǎng)絡服務提供者處理的信息往往不包含個人的姓名、電話與地址，僅是用戶的IP地址、MAC地址、IMEI碼、瀏覽記錄、消費記錄、行蹤信息以及種種行為信息，僅憑這些信息可能無法識別特定自然人，但是這些信息可以結(jié)合其他信息，以某種方式識別出特定個人，因此依“識別+相關說”，也應當被納入個人信息的范圍，從而將網(wǎng)絡服務提供者的個性化推送等處理行為納入《個人信息保護法》等法律法規(guī)的規(guī)制范圍。

當然，《個人信息保護法》明確規(guī)定對于個人或者家庭事務處理個人信息的，不適用本法。例如，夫妻之間互相告知有關家庭的存款賬務、存款記錄等信息時，不適用《個人信息保護法》的規(guī)定。

第二，《個人信息保護法》區(qū)分了匿名化信息與去標識化信息。第4條還明確指出，經(jīng)過匿名化處理后的信息，不被歸類為其所定義的個人信息。許多學者認為“匿名化”本身不能解決所有的個人信息風險[5]，任何匿名化技術都無法完全避免“去匿名化”的風險[6]。因此，《個人信息保護法》第73條第4項規(guī)定，該法所稱的匿名化，是指“個人信息經(jīng)過處理無法識別特定自然人且不能復原的過程”?！秱€人信息保護法》第73條第3項第一次引入了“去標識化”的概念，即個人信息經(jīng)過處理，使其在不借助額外信息的情況下無法識別特定自然人的過程。因此，去標識化信息也屬于可識別的個人信息[2]2。例如，當信息主體在網(wǎng)上購物過程中留下家庭住址或者手機號碼時，這些信息就是標識化的個人信息。如果經(jīng)過信息處理刪除家庭住址、手機號碼等信息，購物記錄本身就是去標識化的信息，但是這些信息與家庭住址、手機號碼等重新結(jié)合后，仍然可以識別出信息主體，因此其依然屬于個人信息。當然，即便是采納“識別+相關說”，如果將某一信息與其他信息相結(jié)合，不能識別出特定自然人，則這些信息不屬于個人信息的范圍[4]64。

第三，《個人信息保護法》全面規(guī)范了個人信息處理活動，在《民法典》列舉的個人信息的收集、存儲、使用、加工、傳輸、提供、公開等處理活動類型的基礎上，《個人信息保護法》第4條新增了“刪除”這一處理個人信息的行為類型。此外，《個人信息保護法》對個人信息處理行為的規(guī)制是靈活、動態(tài)而全面的，在處理技術的維度上，從傳統(tǒng)的手工處理個人信息方式到現(xiàn)代的自動化電子網(wǎng)絡科技處理方式，都納入該法的適用范圍；在處理形式的維度上，包括刪除、跨境提供等個人信息處理行為都要受到《個人信息保護法》的調(diào)整[7]。

第四，《個人信息保護法》的適用范圍較為寬泛。既包括國家機關的個人信息處理行為，也包括法律法規(guī)授權的具有管理公共事務職能的組織抑或作為營利法人的公司企業(yè)的個人信息處理行為，還包括非法人組織以及自然人實施的個人信息處理活動，在法律沒有特別規(guī)定的情形下，都適用《個人信息保護法》。

二、構建了以“告知-同意”為核心的個人信息處理規(guī)則

我國《個人信息保護法》第1條明確規(guī)定了其立法目的是“規(guī)范個人信息處理活動”。該法始終以“告知-同意”為核心構建個人信息的處理規(guī)則，并對告知-同意規(guī)則作出了詳細規(guī)定。嚴格地說，法律之所以保護個人信息，其目的是保護信息主體對個人信息的自主決定[8]，“數(shù)據(jù)保護是基于信息自決權的基本權利。除此之外，一個人有權知道何人、何時以及在何種基礎上處理他們的哪些數(shù)據(jù)”[9]。這就決定了，信息處理者處理個人信息時，原則上應當經(jīng)過信息主體的同意方可實施?！秱€人信息保護法》在《民法典》的基礎上，進一步完善了“告知-同意”在實際操作層面的具體規(guī)則。

(一)進一步完善了信息處理者處理個人信息的合法性事由

個人信息處理活動在客觀上就是對個人信息權益的侵入或影響，如果沒有合法根據(jù)，該處理活動就屬于侵害個人信息權益的行為，構成違法行為。個人信息處理的合法根據(jù)有以下兩大類。

第一，告知并取得個人的同意，《民法典》第1035條與第1036條都規(guī)定了告知-同意規(guī)則，《個人信息保護法》第14至18條對“告知-同意”規(guī)則設置了更具操作性的具體要求。一是為“告知”設定了方式顯著、語言清晰易懂、真實、準確、完整的要求與標準。二是為“同意”設定了充分知情的前提與自愿、明確、遵從法律要求的形式等要求與標準。三是在基于個人同意處理個人信息的情形中，如果個人信息的處理目的、處理方式和處理的個人信息種類以及保存期限等發(fā)生變更的，應當重新取得個人同意。四是為保護信息主體的真實、合理意愿提供了撤回等權益。五是規(guī)定個人信息處理者不得以信息主體的“同意”為產(chǎn)品或服務的對價或前提。例如，手機APP服務提供者不得在隱私條款中規(guī)定“如不提供相關信息就不得使用”等捆綁條款。六是個人信息處理者的處理行為即使有緊急情況作為合法事由的，也應該在緊急情況消除后及時告知信息主體。

第二，法定理由，即法律、行政法規(guī)規(guī)定的情形或理由，此時無需個人的同意即可處理個人信息。關于法定理由的規(guī)定可以說是“告知-同意”規(guī)則的例外。《個人信息保護法》第13條第1款第2項至第7項明確規(guī)定了六類無需取得個人同意即可處理個人信息的情形。該條是在《民法典》第1036條關于“個人信息處理行為的免責事由”規(guī)定的基礎上，針對更具體、現(xiàn)實的個人信息利用與保護的實踐需求，以非限定性列舉“個人信息處理的合法事由”的形式進一步完善了信息處理者處理個人信息的合法性基礎。具體而言，一方面，《民法典》采取的是責任豁免的進路，而《個人信息保護法》采取的是合法處理事由的進路，更重視信息處理行為本身的合理性、合法性與必要性；另一方面，《民法典》對免責事由的具體列舉與《個人信息保護法》對合法處理事由的列舉相比，更為概括、更加抽象，并對處理行為都作出“合理”的要求，而后者的規(guī)定更加具體，能夠更直接地適用于個人信息的社會實踐。

(二)進一步完善了個人信息的處理規(guī)則

第一，《個人信息保護法》第5條在《民法典》的基礎上，進一步增加了“誠信原則”。之所以明確增加誠信原則，是因為在實踐中，有一些APP開發(fā)商以提供產(chǎn)品誘導信息主體同意對其個人信息進行處理。還有部分網(wǎng)貸平臺在提供借款時，不僅要求借款人提供自己的個人信息，還要求提供親朋好友的個人信息，否則不予放貸。因此，《個人信息保護法》第5條確立誠信原則，禁止以誤導、欺詐、脅迫等方式處理個人信息，以保障“告知-同意”規(guī)則的實現(xiàn)。

第二，《個人信息保護法》第6條規(guī)定了合目的性原則和比例原則。合目的性原則又稱為目的限制原則，目的限制原則被稱為個人信息保護的“帝王條款”。目的限制原則是個人資料處理的基石。GDPR第5(1)條要求收集個人數(shù)據(jù)的目的必須明確和合法，不得以與這些目的不兼容的方式進一步處理[10]18-23。目的限制原則要求：一是目的必須特定、明確，并且應當向信息主體告知處理目的；二是個人信息的處理應當與特定目的直接相關。尤其是在處理敏感個人信息的時候，必須以特定目的與充分必要性為前提；三是對個人信息的處理應當符合目的限制原則的要求，特別是對敏感個人信息的處理，必須具有“特定的目的”。為了符合處理目的，應在最小范圍內(nèi)處理個人信息。信息處理者在收集個人信息時，應當在滿足處理目的的情況下，在最小范圍內(nèi)收集個人信息，這也被稱為最小化原則(minimisation principle)[10]19。

第三，《個人信息保護法》新增加了公開、透明原則。確立這一原則的目的，是為了進一步保護信息主體的知情決定權。該原則借鑒了GDPR的立法經(jīng)驗，即要求信息處理者采取公開、透明的方式，避免暗箱操作。公開、透明原則的具體要求為：一是信息處理者應當公開個人信息的處理規(guī)則(第7條)，例如自然人在使用各種APP時，應當被告知該APP處理個人信息的隱私規(guī)則。二是信息處理者在處理個人信息時，應當清晰明確地向信息主體告知處理的目的、方式和范圍等事項(第7條)。例如收集信息主體的健康隱私時，應當告知具體用于何種目的。三是自動化決策應該公開透明，避免因算法黑箱導致的算法歧視、大數(shù)據(jù)殺熟等現(xiàn)象(第24條)。四是在公共場所安裝圖像采集、個人身份識別設備時，應當遵守國家有關規(guī)定，并設置顯著的提示標識(第26條)。五是一旦發(fā)生或者可能發(fā)生個人信息的泄露、丟失等安全隱患時，信息處理者應當及時通知信息主體(第57條)。

第四，《個人信息保護法》新增加了保障質(zhì)量原則。該法第8條借鑒了GDPR第5條第1款(d)項關于“準確性”的規(guī)定，即個人信息處理者應當保障其處理的個人信息的質(zhì)量，避免因處理個人信息不準確、不完整而對個人信息權益造成不利影響。歐洲一些法院的判例也要求所收集的數(shù)據(jù)必須是相關的、準確的和最新的(relevant,accurate and up to date)[11]。在實踐中，征信行業(yè)經(jīng)常發(fā)生由于信息錯誤或者不完整而給信息主體造成不利影響的現(xiàn)象。所以，《個人信息保護法》要求信息處理者對自己處理的個人信息的質(zhì)量負責。除此之外，一旦個人信息的質(zhì)量出現(xiàn)瑕疵，《個人信息保護法》還賦予信息主體請求更正、刪除的權利。

三、全面規(guī)范對個人信息的自動化決策

所謂自動化決策，是指通過計算機程序自動分析、評估個人的行為習慣、興趣愛好或者經(jīng)濟、健康、信用狀況等，并進行決策的活動(《個人信息保護法》第73條)。自動化決策是建立在大數(shù)據(jù)、機器學習、人工智能和算法等基礎之上，通過大數(shù)據(jù)技術對海量用戶進行持續(xù)追蹤和信息采集，然后遵循特定的規(guī)則處理所收集的個人信息，或通過機器學習對用戶進行數(shù)字畫像和相應的決策。在大數(shù)據(jù)與人工智能時代，自動化決策作為一種富有效率的信息處理方法已經(jīng)得到了廣泛運用[12]?！秱€人信息保護法》第24條對自動化決策作出了全面規(guī)范，有利于更加全面地保護個人信息，因為在信息時代，各行各業(yè)對個人信息的處理，很多是通過自動化方式實施的。在自動化的個人信息處理活動中，個人信息權益尤其容易遭受不利影響。例如，在實踐中，有一些企業(yè)通過自動化程序的方式篩選簡歷，通過計算機設定簡單的篩選條件，導致一些應聘者雖然十分優(yōu)秀，但卻沒有機會獲得進一步的面試機會。再如，由于自動化決策的算法不公開，使信息主體很容易受到算法歧視。

(一)保證決策的透明度和決策的結(jié)果公平、公正

《個人信息保護法》第24條第1款規(guī)定了個人信息處理者利用個人信息進行自動化決策的基本要求，即應當保證決策的透明度和結(jié)果公正、公平。一方面，自動化決策是信息處理者采取一定的算法和系統(tǒng)處理信息主體的個人信息，并向信息主體提供產(chǎn)品或服務，但是，信息主體往往對這些算法和系統(tǒng)難以知悉。自動化決策可能帶來算法黑箱，侵害信息主體的知情權和自主決策，威脅個人的隱私和自由，并可能導致歧視和偏見。所以自動化決策帶來的最大挑戰(zhàn)，就是算法的不透明性[13]140。因此，《個人信息保護法》第24條第3款規(guī)定，只要自動化決策方式對個人權益有重大影響的，個人有權要求信息處理者予以說明，信息處理者有義務說明決策方式等情況。另一方面，自動化決策容易導致算法歧視，如人臉識別系統(tǒng)中的算法，如果數(shù)據(jù)采樣、分析限于某一人種的話，容易歧視其他人種，導致處理的結(jié)果不公平、不公正[13]149。因此，個人信息處理者利用個人信息進行自動化決策，應當保證結(jié)果的公平、公正，不得對個人在價格等交易條件上實行不合理的差別待遇。

(二)信息主體享有要求信息處理者作出說明的權利

《個人信息保護法》第24條第3款賦予了信息主體要求信息處理者予以說明的權利，即通過自動化決策方式作出對個人權益有重大影響的決定，個人有權要求個人信息處理者予以說明，這也是保證決策的透明度這一基本要求在自動化決策中的具體表現(xiàn)。

通過自動化決策進行信息推送和擴大商業(yè)影響，是信息時代的市場廣泛采用的商業(yè)模式，此種商業(yè)模式給消費者帶來了便利、快捷以及個性化服務的需求，但也容易造成價格歧視、信息繭房的后果，也會造成對消費者的歧視。在實踐中，有一些電商平臺提供競價排名服務，以廣告商支付價格的多少來決定向消費者進行推薦的優(yōu)先順序，容易侵害消費者的知情權[4]230。因此，賦予信息主體要求處理者對自動化決策進行說明的權利，有利于保障個人的知情權。

(三)信息主體享有拒絕權

一方面，《個人信息保護法》第24條第2款規(guī)定，信息處理者在通過自動化決策進行信息推送、商業(yè)營銷的同時，應當提供不針對個人特征的選項，并且允許個人以便捷的方式拒絕自動化決策。這一條款實質(zhì)上賦予了個人對自動化決策的拒絕權。換言之，《個人信息保護法》要求同時提供不針對其個人特征的選項，或者向個人提供便捷的拒絕方式，實際上就是不進行個性化推薦。所謂“便捷的拒絕方式”是指，信息處理者應當向信息主體提供便捷的拒絕自動化處理的渠道。例如，有些電商平臺根據(jù)消費者的消費記錄和習慣，進行相應的產(chǎn)品推薦，此時，根據(jù)《個人信息保護法》第24條第2款的規(guī)定，這些電商平臺應當提供“便捷的拒絕方式”，例如向消費者提供“一鍵切換”至不包含個性化推送的界面，通過此種簡單便捷的操作，可防止自動化決策對消費者個人信息權益的侵害。

另一方面，《個人信息保護法》第24條第3款規(guī)定，個人有權拒絕個人信息處理者僅通過自動化決策的方式作出決定。這一規(guī)定來自GDPR第22條，該條第3款規(guī)定：在第2款所規(guī)定的(a)和(c)點的情形中，數(shù)據(jù)控制者應當采取適當措施保障數(shù)據(jù)主體的權利、自由、正當利益，以及數(shù)據(jù)主體對控制者進行人工干涉，以便表達其觀點和對決策進行異議的基本權利?！秱€人信息保護法》第24條第3款借鑒了GDPR的經(jīng)驗。

(四)禁止“大數(shù)據(jù)殺熟”，規(guī)范自動化決策

《個人信息保護法》第24條實際上包含對大數(shù)據(jù)殺熟的規(guī)制。大數(shù)據(jù)殺熟是指同樣的商品或服務，老客戶看到的價格反而比新客戶要貴出許多的現(xiàn)象。有一些企業(yè)通過掌握消費者的經(jīng)濟狀況、消費習慣、對價格的敏感程度等信息，對消費者在交易價格等方面實行歧視性的差別待遇，誤導、欺詐消費者。其中，最典型的就是社會反映突出的“大數(shù)據(jù)殺熟”。例如，在大型網(wǎng)絡平臺上購物時，只要留下消費記錄和消費習慣，這些平臺據(jù)此推薦的產(chǎn)品價格可能會比向第三人推薦的同一產(chǎn)品的價格更貴?！按髷?shù)據(jù)殺熟”行為違反了誠實信用原則，侵犯了消費者權益保護法規(guī)定的消費者享有公平交易條件的權利[8]，也侵害了消費者知情權和公平交易權，其不僅是一種價格歧視行為，而且是一種價格欺詐行為[14]。因此，《個人信息保護法》第24條第1款明確規(guī)定，自動化決策“應當保證決策的透明度和結(jié)果公平、公正，不得對個人在交易價格等交易條件上實行不合理的差別待遇”。

四、嚴格保護敏感個人信息

所謂敏感個人信息，是指與個人的人格尊嚴和人身財產(chǎn)安全有密切關聯(lián)的個人信息。我國《民法典》第1034條第2款列舉了健康信息等若干敏感個人信息，但是并沒有對敏感個人信息的概念、處理等作出規(guī)定。《個人信息保護法》設專節(jié)規(guī)定了敏感個人信息的處理規(guī)則，依據(jù)該法第28條的規(guī)定，敏感個人信息的確定主要根據(jù)如下三個標準。

一是人格尊嚴標準。敏感個人信息與人格尊嚴的保護具有密切聯(lián)系，此類信息一旦被泄露或者非法使用，就極易導致信息主體的人格尊嚴受到侵害。由于敏感個人信息對于維護自然人的人身財產(chǎn)安全與人格尊嚴極為重要，故對于敏感個人信息的不當處理，會損害自然人人格尊嚴，尤其會導致對自然人的歧視(2)參見Spindler/Schuster/Spindler/Dalby DS-GVO Art.9 Rn.4。。例如，人體基因的泄露會造成個人在就業(yè)、保險等社會活動中遭受各種不公正的歧視[15]。因此嚴格保護敏感個人信息，有利于維護人格尊嚴。我國《憲法》第38條規(guī)定了維護人格尊嚴的原則，《個人信息保護法》第1條就規(guī)定了“根據(jù)憲法，制定本法”，這實際上就是要將《憲法》的原則通過《個人信息保護法》予以具體化，通過對個人信息的保護實現(xiàn)其立法宗旨。

二是人身、財產(chǎn)安全標準。法律保護個人信息，包括敏感個人信息，主要在于保護個人信息所包含的人格利益而非財產(chǎn)利益，但敏感個人信息的泄露或非法使用不僅會損害個人的人格尊嚴，而且可能導致個人的人身、財產(chǎn)安全遭受侵害。因此，基于對人身財產(chǎn)安全的保護目的，也應當嚴格保護敏感個人信息。例如，非法泄露他人的銀行賬戶，可能嚴重威脅個人的財產(chǎn)安全，因而，銀行賬戶信息應當納入敏感個人信息的范疇。在實踐中，因為金融賬戶等信息的泄露，導致各種電信詐騙活動不斷產(chǎn)生，給人民群眾造成巨大的財產(chǎn)損失[4]259。

三是未成年人標準。鑒于未成年人的信息一旦泄露，可能會被不法行為人利用，從事對未成年人實施侵害或?qū)议L進行詐騙等不法行為，嚴重侵害未成年人的合法權益。因此，《個人信息保護法》將不滿14周歲的未成年人的個人信息一概作為敏感個人信息，這就強化了對未成年人個人信息的保護[2]6。

根據(jù)《個人信息保護法》第28條第2款的規(guī)定，只有在具有特定的目的和充分的必要性，并采取嚴格保護措施的情形下，個人信息處理者才能處理敏感個人信息。這一條款規(guī)定了處理敏感個人信息的前提條件。具體包括：一是具有特定的目的，對一般個人信息的處理都應當出示特定目的，對敏感個人信息的處理就更應當具有特定的目的[10]19。例如，醫(yī)療研究機構、藥品開發(fā)機構在收集個人的基因信息時，不能籠統(tǒng)地以符合醫(yī)療健康的目的而收集他人的基因信息，而應當明確指明其收集他人基因信息的具體目的，如制造某種藥品防止基因突變，或者為了研究某種疫苗。二是具有充分的必要性，這就是說，處理相關敏感個人信息對于實現(xiàn)特定的目的而言是必要的、不可缺少的，如果不對敏感個人信息進行處理，就無法實現(xiàn)該目的[4]267。三是采取嚴格保護措施。例如，對敏感個人信息予以分類管理，采取一系列安全技術措施以去標識化或加密，設定嚴格的操作權限等。在這幾個要件中，最核心是特定目的。也就是說，只有具有特定目的，才能依法處理敏感個人信息，而充分的必要性和采取嚴格保護措施都是特定目的的具體展開。強化特定目的要件的主要原因在于，對敏感個人信息而言，法律并不鼓勵對其利用，而重在保護。對敏感個人信息而言，原則上禁止處理，除非具有法律或約定的依據(jù)[16]。特定目的必須是特定化的、具體的、明確的目的，而不是泛泛的目的。信息處理者收集他人敏感個人信息的目的越具體，也就越有利于確定該目的是否具有充分的必要性。

五、確認個人在個人信息處理活動中的各項權利

我國《個人信息保護法》第1條開宗明義，就規(guī)定了保護個人信息權益，該法第44條規(guī)定：“個人對其個人信息的處理享有知情權、決定權，有權限制或者拒絕他人對其個人信息進行處理；法律、行政法規(guī)另有規(guī)定的除外?！边@表明，個人信息保護的主要目的是保護個人對其個人信息的自主決定，并在自主決定的基礎上形成個人對其個人信息所享有的完整權利體系。法律具體規(guī)定信息主體所享有的各項權利，不僅有助于規(guī)范信息處理者的行為，防止其造成對信息主體權益的侵害，而且有助于使信息主體更好地對自己的信息權益進行自我管理、風險預期與防范[17]?！秱€人信息保護法》在《民法典》關于個人信息保護的規(guī)定基礎上，細化和新增了如下幾項權利。

第一，細化了對知情權、決定權、查詢權、復制權、更正權等權利的規(guī)定。一是《個人信息保護法》規(guī)定了個人有權限制他人對其個人信息的處理，從而完善了《民法典》的規(guī)定，因為《民法典》確定了知情同意權和拒絕權，但是沒有具體規(guī)定限制處理權。所謂限制處理權，是指個人可以限制信息處理者只在一定目的、方式或范圍內(nèi)對其個人信息進行處理。二是《個人信息保護法》第45條第2款增加了個人信息處理者的及時提供義務規(guī)定。三是《個人信息保護法》第46條第2款規(guī)定，個人請求更正、補充的，個人信息處理者應當對其個人信息予以核實，并及時更正、補充。在此基礎上，豐富了刪除權的請求情形并作出了例外規(guī)定，同時要求個人信息處理者建立個人行使權利的申請受理和處理機制，進一步完善了個人在信息處理活動中的權利。

第二，增加信息攜帶權的規(guī)定?！秱€人信息保護法》第45條第3款規(guī)定：“個人請求將個人信息轉(zhuǎn)移至其指定的個人信息處理者，符合國家網(wǎng)信部門規(guī)定條件的，個人信息處理者應當提供轉(zhuǎn)移的途徑。”根據(jù)這一條款的規(guī)定，信息主體享有信息攜帶權。在實踐中，信息攜帶主要是指用戶將在某個平臺的數(shù)據(jù)移轉(zhuǎn)至另一個平臺，如將某個通訊公司中的通話信息移轉(zhuǎn)至另一家公司，又如將用戶在某一電商平臺上的消費信息轉(zhuǎn)移至另一電商平臺。依據(jù)《個人信息保護法》第45條第3款，信息攜帶權的行使應當滿足以下要件：一是個人應當提出請求；二是個人必須具體指明接收個人信息的信息處理者；三是個人信息的轉(zhuǎn)移，應當符合國家網(wǎng)信部門規(guī)定的條件或標準?！秱€人信息保護法》新增數(shù)據(jù)攜帶權規(guī)定具有重要意義，一方面，強化了對用戶信息自主決定權的保護，有利于強化信息主體對其數(shù)據(jù)的控制，并有助于打破鎖定效應(lock-in effect)。例如，當市場上出現(xiàn)了比信息主體正在使用的某個APP更加便捷的同類產(chǎn)品時，若不準許數(shù)據(jù)攜帶，就會對新APP的利用帶來不便，變相地限制了消費者對市場產(chǎn)品的自由選擇權。如果不允許數(shù)據(jù)攜帶，則用戶在移轉(zhuǎn)到另一個平臺時，需要重新積累數(shù)據(jù)，這不僅成本較高，而且用戶前期積累的數(shù)據(jù)也無法利用，這顯然不利于用戶對數(shù)據(jù)的有效利用[18]。另一方面，也有利于打破數(shù)據(jù)壟斷，促進數(shù)據(jù)的流通和利用，促進市場的正當競爭。

第三，增加個人主張刪除權的具體情形?！秱€人信息保護法》第47條規(guī)定了應當刪除個人信息的情形，《民法典》第1037條第2款規(guī)定的刪除情形主要是信息處理者違反法律、行政法規(guī)的規(guī)定或雙方約定處理信息。與《民法典》第1037條第2款相比較，《個人信息保護法》進一步擴張了刪除的事由，主要包括：處理目的已實現(xiàn)、無法實現(xiàn)或者為實現(xiàn)處理目的不再必要；個人信息處理者停止提供產(chǎn)品或者服務，或者保存期限已屆滿；個人撤回同意。在上述法定情形下，個人信息處理者應當主動刪除個人信息。如果個人信息處理者未主動刪除，信息主體則有權要求個人信息處理者刪除其個人信息。應當看到，針對刪除權《民法典》第1037條沒有規(guī)定兜底條款，而《個人信息保護法》第47條第1款第5項規(guī)定了“法律、行政法規(guī)規(guī)定的其他情形”，也可以刪除。這也保持了一定的開放性，可以適應在個人信息刪除權方面的未來發(fā)展的需要。此外，依據(jù)《個人信息保護法》第47條第2款，法律、行政法規(guī)規(guī)定的保存期限未屆滿，或者刪除個人信息從技術上難以實現(xiàn)的，個人信息處理者應當停止除存儲和采取必要的安全保護措施之外的處理。在出現(xiàn)上述兩種不能刪除的情形下，法律規(guī)定個人信息處理者只能采取存儲及其他保護措施。

需要指出的是，我國《個人信息保護法》第47條所規(guī)定的刪除權不同于比較法上的被遺忘權(right to be forgotten)。所謂被遺忘權，是指當出現(xiàn)法定或約定事由時，如果權利人不希望其個人數(shù)據(jù)繼續(xù)被數(shù)據(jù)控制者進行處理，則有權要求數(shù)據(jù)處理者刪除與其個人相關的信息。該權利最早是由歐盟法院在2014年就西班牙發(fā)生的“岡薩雷斯訴谷歌案”中所確立的[19]。GDPR第17條第1款規(guī)定了刪除權，第2款進一步規(guī)定了被遺忘權。GDPR所規(guī)定的刪除權又稱為“被遺忘權”，由于其落地成本極高受到了廣泛的質(zhì)疑[20]。我國《個人信息保護法》所規(guī)定的刪除權與域外法上的被遺忘權不同。一方面，刪除權是指信息主體有權要求信息處理者刪除相關的個人信息，本質(zhì)上是一對一的關系，而信息主體在行使被遺忘權時，不僅有權要求信息處理者刪除相關的個人信息，還要求信息處理者采取必要措施要求其他處理者刪除此類信息。另一方面，如果平臺是信息處理者，刪除權針對的是平臺，而如果平臺將這些信息公開，被搜索引擎所處理，信息主體是否可以要求授索引擎刪除，我國法律并沒有明確規(guī)定，而要求搜索引擎刪除，這屬于被遺忘權的范疇。因此，《個人信息保護法》第47條雖然對刪除的事由規(guī)定得較為寬泛，但并沒有采用被遺忘權。

第四，請求個人信息處理者對個人信息處理規(guī)則進行解釋說明等權利。該項權利也被稱為解釋說明權。所謂個人信息處理規(guī)則是指由個人信息處理者單方面制定的處理個人信息的相關規(guī)則，這些規(guī)則類似于格式條款，如果不加以規(guī)制，就會損害信息主體的權益。因此，依據(jù)《個人信息保護法》第48條，信息主體有權要求信息處理者就此作出說明。例如，有些個人信息提供者的隱私政策冗長、難以理解，個人有權請求該信息處理者對這些隱私政策進行解釋說明。

此外，為了保護死者近親屬自身合法、正當?shù)睦?，同時也尊重死者的遺愿并保護死者本人及其交往者的隱私和通信秘密，《個人信息保護法》允許死者近親屬對死者的相關個人信息行使查閱、復制、更正、刪除等權利，但是，死者生前另有安排的除外。

六、強化個人信息處理者的義務

雖然我國《個人信息保護法》以保護個人信息權益為中心而展開其主要內(nèi)容，但為了保護個人信息處理活動中信息主體的個人權益，《個人信息保護法》又規(guī)定了個人信息處理者的義務，保障這些義務的履行也有助于進一步強化對個人信息的保護。該法之所以集中規(guī)定個人信息處理者的義務，也有利于實現(xiàn)規(guī)范個人信息處理活動的立法目的。因為一方面，個人信息處理者是個人信息保護的直接責任人，由于其對個人將采取各種處理行為，因此通過強化其在處理活動中所承擔的義務，才能夠使其對個人信息處理活動負責，并采取必要措施保障所處理的個人信息的安全；另一方面，個人信息權利的自主決定權能夠得到尊重與實現(xiàn)，很大程度上依賴于信息處理者對此種權利的尊重以及依法履行保護義務。因此，《個人信息保護法》第五章專門規(guī)定，個人信息處理者應當對其個人信息處理活動負責，并采取必要措施保障所處理的個人信息的安全。具體來說，表現(xiàn)在如下幾個方面：

第一，細化了信息處理者的安全保障義務，確保個人信息的處理活動符合法律、行政法規(guī)的規(guī)定?！睹穹ǖ洹返?038條規(guī)定了信息處理者的安全保障義務，以防止信息泄露、篡改、丟失。但《民法典》的上述規(guī)定還比較抽象，《個人信息保護法》第51條在《民法典》規(guī)定的基礎上，從六個方面進一步確認了信息處理者的安全保障義務，該條具體列舉了個人信息處理中應當采取的六項舉措，只有切實采取這些舉措，才能保障個人信息處理活動的合法性。

第二，規(guī)定了個人信息保護人制度。依據(jù)《個人信息保護法》第52條規(guī)定，要區(qū)分大型和小型信息處理者，只有達到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者才有必要指定個人信息保護負責人，專門負責個人信息的保護。個人信息保護負責人制度與歐盟等國家和地區(qū)的數(shù)據(jù)保護官(data protection officer,DPO)制度具有一定相似性，設立這一制度的核心在于促進企業(yè)個人信息保護的專業(yè)性與獨立性，強化企業(yè)的內(nèi)部數(shù)據(jù)治理[21]。但對于許多小型企業(yè)而言，由于其信息處理量比較少，不一定要建立個人信息保護人機制。此外，依據(jù)《個人信息保護法》第53條規(guī)定，在中華人民共和國境外處理中華人民共和國境內(nèi)自然人個人信息活動的，也應當依法在我國境內(nèi)設立專門機構或者指定代表，負責處理個人信息保護相關事務。

第三，建立個人信息保護影響評估制度。依據(jù)《個人信息保護法》第55條、56條，在處理敏感個人信息，利用個人信息進行自動化決策，委托處理個人信息、向其他個人信息處理者提供個人信息、公開個人信息，向境外提供個人信息以及其他對個人權益有重大影響的個人信息處理活動中，應當進行個人信息保護影響評估。此種評估是一種對風險進行防范的預防性保護措施，個人信息處理者在作出風險評估之后，就應當根據(jù)評估結(jié)果，考量其所采取的安全保護措施是否合法、有效并與風險程度相適應。如果對個人信息的處理可能會對個人信息權益產(chǎn)生較大影響，且產(chǎn)生的風險較大，就應當及時調(diào)整其信息處理行為。第56條實際上是借鑒了GDPR第37條所規(guī)定的“數(shù)據(jù)保護影響評估(data protection impact assessment)”制度的經(jīng)驗[4]420。需要指出的是，保護影響評估與《個人信息保護法》第36條至40條所規(guī)定的安全評估制度并不相同，安全評估制度針對的是個人信息處理活動是否會損害國家安全、公共利益和國家利益，此種評估僅僅適用于向境外提供個人信息的情形，而保護影響評估主要涉及的是信息處理者對個人信息權益的影響，它涉及的是處理行為，不僅適用于向境外提供的個人信息，還適用于境內(nèi)的各種信息處理行為。

第四，規(guī)定了提供重要互聯(lián)網(wǎng)平臺服務信息處理者的特殊保護義務。大型網(wǎng)絡平臺與超大型網(wǎng)絡平臺的出現(xiàn)，使得用戶對其往往具有很強的依賴性[22]。由于重要互聯(lián)網(wǎng)平臺服務信息處理者(如騰訊、阿里等)不僅為成千上萬的用戶提供服務，而且還要處理大量的個人信息，故從防范風險的角度出發(fā)，對這些信息處理者的活動予以規(guī)范，對于保護信息主體的合法權益、規(guī)范信息處理者的活動至關重要。因此，《個人信息保護法》第58條對提供重要互聯(lián)網(wǎng)平臺服務、用戶數(shù)量巨大、業(yè)務類型復雜的個人信息處理者規(guī)定了特別義務，包括按照國家規(guī)定建立健全個人信息保護合規(guī)制度體系，成立主要由外部成員組成的獨立機構對個人信息保護情況進行監(jiān)督；遵循公開、公平、公正的原則，制定平臺規(guī)則；對嚴重違法處理個人信息的平臺內(nèi)的產(chǎn)品或者服務提供者，停止提供服務；定期發(fā)布個人信息保護社會責任報告，接受社會監(jiān)督。法律作出此種規(guī)定是為了提高大型互聯(lián)網(wǎng)平臺經(jīng)營業(yè)務的透明度，完善平臺治理，強化外部監(jiān)督，形成全社會共同參與的個人信息保護機制。

七、規(guī)范國家機關的個人信息處理行為

在我國，政府機關在行政管理過程中也會大量收集個人信息，如何有效規(guī)范政府機關處理個人信息的行為，也是保護個人信息的重要組成部分。從個人信息權益發(fā)展的歷程來看，個人信息作為一項人格權益，最初產(chǎn)生的目的之一，就是防止政府機關不當處理個人信息(3)例如，美國早在1974年就在《隱私法案》中將美國聯(lián)邦機構納入其規(guī)制范圍(參見5 U.S.C.§552a〔2006〕)。，而法律之所以承認個人信息作為一項權益，也有利于防范政府行為對個人信息的侵害。在我國，國家機關處理個人信息是行使行政權的活動，但是在處理個人信息的過程中，國家機關也會涉及信息主體在個人信息上的權益。為此，《個人信息保護法》單獨將國家機關對個人信息的處理行為作出明確規(guī)定。依據(jù)《個人信息保護法》第33條規(guī)定，國家機關處理個人信息的活動“適用本法”，這意味著國家機關作為個人信息處理者，也要遵守相關法律規(guī)定。規(guī)范國家機關的個人信息處理行為，一方面，有利于實現(xiàn)規(guī)范個人信息處理活動的立法目的，國家機關依據(jù)《個人信息保護法》從事各種個人信息處理活動，才能夠在全社會起到示范效應，提升國家治理和社會治理水平。另一方面，有利于全面維護信息主體的合法權益，尤其是從實踐來看，政府機關已經(jīng)收集了大量的個人信息，一旦政府機關處理不當，容易給信息主體造成嚴重不利影響。為此，也有必要嚴格規(guī)范國家機關的個人信息處理行為。

當然，國家機關處理個人信息是為了公共利益，區(qū)別于商業(yè)機構對于個人信息的收集和利用，因此《個人信息保護法》對國家機關處理個人信息作出了如下特別規(guī)定：

第一，必須依照法定的權限和程序處理個人信息。國家機關處理個人信息主要是為了履行法定職責、行使法定權限，但此種權力的行使必須具有法定的依據(jù)。依據(jù)《個人信息保護法》第34條，只有出于履行法定職責的需要，國家機關才能處理個人信息，而且國家機關處理個人信息的行為不得超出法定職責必需的范圍和限度；可以說在這方面也要嚴格按照“法無授權不可為”的原則來處理個人信息。同時，國家機關在處理個人信息時，還應當依照法律、行政法規(guī)規(guī)定的權限、程序進行，否則可能構成非法處理個人信息的行為。

第二，必須依法履行告知義務。雖然國家機關處理個人信息是一種行使職責的行為，但依據(jù)《個人信息保護法》第35條規(guī)定，除了法律規(guī)定不需要告知的情形之外，國家機關為履行法定職責處理個人信息，應當依照本法規(guī)定履行告知義務，該條為國家機關處理個人信息設立了一般規(guī)則，區(qū)別于對一般處理者的“告知-同意”要求，國家機關免除告知義務應當符合三種情形：一是具有法律、行政法規(guī)規(guī)定的應當保密的情形。二是法律、行政法規(guī)規(guī)定不需要告知的情形。例如，《國家情報法》第15條規(guī)定：“國家情報工作機構根據(jù)工作需要，按照國家有關規(guī)定，經(jīng)過嚴格的批準手續(xù)，可以采取技術偵察措施和身份保護措施。”如果國家情報工作機構在履行職責時，依法不需要告知，則可以免除告知義務。三是告知將妨礙國家機關履行法定職責的情形。例如，稅務機關為了征稅的需要而檢查納稅義務人的有關賬簿、報表等信息，如果事先告知，有可能會導致相關納稅義務人篡改、銷毀有關信息，妨礙稅務機關公共職能的行使，因此，不必要事先告知[4]295。

第三，國家機關處理的個人信息應當在國內(nèi)存儲。國家機關大規(guī)模收集的個人信息，不僅關系個人的信息權利保護，而且關系到國家安全，因此，《個人信息保護法》第36條對國家機關收集的個人信息的存儲規(guī)則作出了特別規(guī)定。所謂境內(nèi)存儲，是指個人信息(個人數(shù)據(jù))的物理存儲設備，無論是用來存儲個人信息的硬盤，還是云存儲服務所對應的遠端存儲設備，都應當存儲在我國境內(nèi)，以防止信息被竊取、泄露。法律作出這種規(guī)定的目的主要是維護國家安全和公共利益[4]297。如果確需向境外提供的，還應當進行安全評估。

八、規(guī)范個人信息跨境流動

所謂跨境流動，是指一國境內(nèi)的個人信息或數(shù)據(jù)流出了境內(nèi)，為他國信息處理者所收集、儲存、加工和使用等。隨著經(jīng)濟全球化、數(shù)字化的不斷推進，我國對外開放的不斷擴大以及互聯(lián)網(wǎng)在全球范圍內(nèi)的互聯(lián)互通，個人信息的跨境流動非常普遍，同時，貨物貿(mào)易往來頻繁，也必然會帶動數(shù)據(jù)的流動。但長期以來，由于個人信息跨境流動的法律規(guī)制面臨著保護規(guī)則缺失，產(chǎn)生了監(jiān)管難度較大、數(shù)據(jù)出境安全評估標準存在差異等諸多問題，從而對個人權益產(chǎn)生了重大影響[23]。為此，《個人信息保護法》對個人信息的跨境流動作出了專門規(guī)定，對個人信息的跨境流動進行了全面規(guī)范。

一是明確了因業(yè)務等需要，向境外提供個人信息的條件。依據(jù)《個人信息保護法》第38條規(guī)定，首先，必須是因業(yè)務等需要確需提供。個人信息處理者不得任意向境外提供個人信息，向境外提供個人信息，會涉及國家安全與公共利益，因此只有在“因業(yè)務等需要”而確需向境外提供時才能提供。換言之，如果不向境外提供就無法開展正常業(yè)務。例如，從事跨境購物業(yè)務的信息處理者，不向境外提供收貨人、收貨地址等信息，該跨境購物業(yè)務就無從開展，在此情形下，該信息處理者才可以按照法律規(guī)定向境外提供個人信息。其次，根據(jù)該條第3款的規(guī)定，個人信息處理者應當采取必要措施，保障境外接收方處理個人信息的活動達到本法規(guī)定的個人信息保護標準，即比較法上的“同等保護水平”。要達到同等保護水平，不僅要考察境外接收方所在國家的法律規(guī)定，還要依據(jù)網(wǎng)信部門的規(guī)定，經(jīng)專業(yè)機構進行個人信息保護認證，并與境外接收方訂立合同，約定雙方的權利和義務。

二是個人信息處理者的告知義務。《個人信息保護法》第39條對跨境提供個人信息的“告知-同意”作出更嚴格的要求，切實保障個人的知情權、決定權等權利。也就是說，個人信息處理者向境外提供個人信息，要向信息主體明確告知境外接收方的名稱或者姓名、聯(lián)系方式、處理目的、處理方式等內(nèi)容，還要取得個人的同意。尤其需要指出的是，《個人信息保護法》規(guī)定的是單獨同意而非概括同意。即便根據(jù)《個人信息保護法》第13條第1款第2項至第7項的規(guī)定，不需要經(jīng)過信息主體同意就可以實施的處理行為，一旦涉及跨境流通，也需要取得信息主體的單獨同意。例如，跨國企業(yè)依照依法制定的勞動規(guī)章制度或者依法簽訂的集體合同實施人力資源管理所必需的個人信息，在中國境內(nèi)處理時，不需要取得信息主體的同意，一旦這些個人信息向境外提供時，按照《個人信息保護法》第39條的規(guī)定，就應當取得信息主體的單獨同意。

三是特定信息處理者應當將個人信息存儲在境內(nèi)。根據(jù)《個人信息保護法》第40條規(guī)定，關鍵信息基礎設施運營者和處理個人信息達到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者，應當將個人信息存儲在境內(nèi)。例如，最近特斯拉宣布，特斯拉已在中國建立數(shù)據(jù)中心，所有中國業(yè)務所產(chǎn)生的所有數(shù)據(jù)，完全存儲在中國境內(nèi)[24]。如果確實需要向境外提供的，應當通過國家網(wǎng)信部門組織的安全評估。

四是確需向境外提供個人信息的，應當通過安全評估。在向境外提供時，需要通過網(wǎng)信部門組織的安全評估。由于不同國家法律制度、保護水平之間的差異，導致個人信息跨境流動風險較大，因此，需要通過安全評估以確定個人信息跨境流動是否會造成對國家安全和公共利益的損害，是否會侵害個人信息權益。如果不能通過安全評估，則不能向境外提供個人信息。

五是針對個人信息跨境流動，規(guī)定了黑名單制度和對等反制措施。從比較法上來看，對于個人信息的跨境流動普遍采取了一定的限制。由于個人信息的跨境流動將直接關系到國家安全、經(jīng)濟安全[25]。因此，對于信息的跨境流動都設置了一定的限制措施。在我國，雖然個人信息跨境流動可能給國家安全和個人信息保護帶來威脅，但也不宜因噎廢食，一概禁止個人信息的跨境流動，否則將會導致我國數(shù)據(jù)市場環(huán)境的封閉[26]。在維護國家數(shù)據(jù)主權的基礎上，基于主權國家的平等互惠，《個人信息保護法》第三章對個人信息的跨境提供進行了專門的規(guī)制?！秱€人信息保護法》第42條特別規(guī)定，如果境外的組織、個人從事了侵害我國公民的信息權益或者危害了我國國家安全的行為，國家網(wǎng)信部門可以將其列入限制或禁止個人信息提供清單?！秱€人信息保護法》第43條對外國歧視性措施的對等反制措施作了規(guī)定。這些規(guī)定對于維護國家數(shù)據(jù)安全、保護信息主體的合法權益具有重要意義。

九、完善侵害個人信息的法律責任

依據(jù)我國《民法典》，對于侵害個人信息權益造成損害的可以適用侵權責任編關于損害賠償?shù)囊?guī)則，并可以適用人格權編995條關于人格權請求權的規(guī)則?！睹穹ǖ洹分兄T多保護個人信息的規(guī)則都可以適用于個人信息的保護，但《個人信息保護法》為強化對個人信息權利的保護，在《民法典》規(guī)定的基礎上，新增了一些特殊的個人信息保護措施。

一是確立了多層次的責任體系。因為個人信息保護涉及眾多不同的法益，侵害個人信息權益的行為既可能導致私主體的權利遭受侵害，也可能導致行政法和刑法所保護的公法益遭受侵害，因而同時涉及個人利益和公共利益。如何通過損害賠償?shù)姆绞絹砭葷朔N大規(guī)模且屬性復雜的權益侵害，是傳統(tǒng)民事司法救濟、行政與刑事救濟難以單獨解決的問題[27]。因此《個人信息保護法》采取了民事責任、行政責任與刑事相結(jié)合責任體系，多維度地規(guī)范個人信息處理行為?！秱€人信息保護法》第50條第2款明確規(guī)定在個人信息處理者拒絕個人行使權利的請求時，個人可以依法向人民法院提起訴訟，這也為個人信息權利的保護提供了新的救濟途徑。允許個人在其個人信息權益遭受侵害時提起訴訟，這對于個人信息權益的保護意義重大。

二是確立了侵害個人信息的過錯推定責任。過錯推定也稱過失推定，是指行為人因過錯侵害他人民事權益，依法應推定行為人具有過錯，如果行為人不能證明自己沒有過錯的，則應當承擔侵權責任?！秱€人信息保護法》第69條第1款規(guī)定：“處理個人信息侵害個人信息權益造成損害，個人信息處理者不能證明自己沒有過錯的，應當承擔損害賠償?shù)惹謾嘭熑巍！敝圆扇〈朔N歸責原則，很大程度上是因為在實踐中，受害人舉證困難已經(jīng)成為個人信息保護所面臨的一大困境。在個人信息的處理中，個人信息處理者距證據(jù)較近，受害人則距離證據(jù)較遠。加之對于數(shù)據(jù)處理中過錯的證明專業(yè)性較強，尤其是對于算法等，只有處理者才具備判斷處理過程中是否存在過錯的專業(yè)知識和技能，而受害人舉證的成本十分高昂。在這些情況下，就會發(fā)生“證據(jù)分布不均衡”的現(xiàn)象，此時就有必要讓處于更易于適用必要證據(jù)的一方當事人負擔證明責任[28]。因此，采用過錯推定原則有利于減輕受害人的舉證負擔，強化信息處理者的舉證義務，從而對受害人提供有效的救濟[29]。當然，此處的過錯推定主要適用于造成損害進而請求損害賠償?shù)那樾巍６鴮τ谕Ｖ骨趾?、排除妨礙等責任形式，當事人可以通過行使人格權請求權予以實現(xiàn)，而人格權請求權的行使不以過錯的存在為要件，因此并不存在過錯推定的問題。

三是確立了損害賠償責任。依據(jù)《個人信息保護法》第69條第2款的規(guī)定，侵害個人信息的“損害賠償責任按照個人因此受到的損失或者個人信息處理者因此獲得的利益確定；個人因此受到的損失和個人信息處理者因此獲得的利益難以確定的，根據(jù)實際情況確定賠償數(shù)額”。該條是在侵權責任編獲利返還規(guī)則的基礎上所作出的規(guī)定，也是對《民法典》第1182條的細化規(guī)定。從《民法典》第1182條規(guī)定來看，其使用了“侵害人身權益”的表述，立法者主要列舉了名譽權、肖像權等權益遭受侵害的情形[30]，而對于其能否適用于個人信息保護，一直存在爭議。在這一背景下，《個人信息保護法》第69條明確了獲利返還規(guī)則可以適用于侵害個人信息的情形，也進一步完善了《民法典》的相關規(guī)定。

四是引入了侵害個人信息的公益訴訟制度?！秱€人信息保護法》還引入了公益訴訟制度，從而對個人信息侵權救濟問題進行了重大創(chuàng)新。在侵害個人信息的案件中，往往受害人眾多，而單個受害人能力有限，可能面臨舉證困難等問題，甚至有的受害人可能并不知道其個人信息權利已經(jīng)遭受侵害。在面對不特定多數(shù)主體權利可能遭受侵害的場合，單個信息主體提起訴訟動力不足[31]，因此，就十分有必要引入公益訴訟制度。從制度安排上看，提起個人信息保護公益訴訟的訴權主體有人民檢察院、法律規(guī)定的消費者組織和由國家網(wǎng)信部門確定的組織(《個人信息保護法》第70條)。通過公益訴訟可以調(diào)動諸多手段，協(xié)同多個部門，使具有更強糾紛解決能力的組織和機關介入，對個人信息的保護更具專業(yè)性、權威性和便利性，有助于克服實踐中個人起訴存在的舉證困難、成本過高等問題，對于強化保護個人信息十分必要[32]。

十、結(jié) 語

在現(xiàn)代社會中，伴隨著互聯(lián)網(wǎng)的發(fā)展，個人信息的保護與利用問題已經(jīng)成為21世紀法律所面臨的重要挑戰(zhàn)，如何保護個人信息已經(jīng)成為時代之問。我國《個人信息保護法》在《民法典》等法律法規(guī)的基礎上，有效總結(jié)了我國個人信息處理的理論研究和實務經(jīng)驗，并積極吸收和借鑒歐盟《一般數(shù)據(jù)保護條例》等域外立法的經(jīng)驗，在多個方面進行了創(chuàng)新，形成了諸多制度亮點，充分彰顯了我國在個人信息保護領域立法的時代性、國際性和本土性。全面貫徹實施好《個人信息保護法》，才能切實保護人民群眾在數(shù)字化時代所享有的各項民事權益，從而促進數(shù)字經(jīng)濟的有序發(fā)展。