《个人信息保护法》的亮点与创新*

王利明

(中国人民大学 民商事法律科学研究中心，北京 100872)

《个人信息保护法》是我国第一部全面保护个人信息的专门性、综合性法律。该法以保护个人信息权益、规范个人信息处理活动、促进个人信息合理利用等立法目的为中心，分别就个人信息处理规则、个人信息跨境提供的规则、个人在个人信息处理活动中的权利、个人信息处理者的义务、履行个人信息保护职责的部门以及法律责任等，作出了系统完备、科学严谨的规定。该法在性质上属于“领域法(field of law)”的范畴，也就是说，其既涉及私法规范，也涉及公法规范。就私法而言，其作为《民法典》的特别法，与《民法典》关于个人信息保护的规则相结合，共同构成了完整的个人信息保护规则体系[1]。《个人信息保护法》在总结《民法典》等的立法经验基础上，借鉴了欧盟《一般数据保护条例》(以下简称GDPR)等比较法的经验，形成了诸多的亮点和创新之处。本文拟对此谈一点粗浅的看法。

一、进一步扩张了个人信息的保护范围

在互联网高科技大数据时代，各国法律对个人信息的规范都面临着如何有效平衡权利保护和有效利用的关系，实现法律的公平正义与效率价值相统一的问题[2]5。我国《民法典》对个人信息实际上是采取了保护与利用并重的立场[3]，而《个人信息保护法》第1条就明确规定了该法的立法目的旨在保护个人信息与促进个人信息合理利用。可见该法与《民法典》在对个人信息的立法宗旨上是一致的，但在保护个人信息方面又进一步扩张了个人信息的范围，强化了对个人信息的保护。

第一，《个人信息保护法》对个人信息的界定采取了“识别+相关说”。《民法典》第1034条第2款对个人信息的定义囿于“识别说”，并区分为“直接识别”与“间接识别”；而《个人信息保护法》第4条第1款采取的是“识别+相关说”，所作区分则是“已识别”与“可识别”的信息，一般认为，其在范围上更为宽泛[4]57。《个人信息保护法》第4条规定，个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。根据该条的规定，个人信息包括两类：一是“已识别”特定自然人的信息，即根据一定的信息，特定自然人已经被识别出来了；二是“可识别”特定自然人的信息，即“identifiable”，它是指根据一定的信息，特定自然人的身份虽然还没有被识别出来，但是可以通过某种方式加以识别，至于是采取直接识别还是间接识别，则无关紧要[4]63。

在界定个人信息的范围时，《个人信息保护法》之所以采取“识别+相关说”的标准，是因为识别说保护的范围虽然并不狭窄，但可能将一些不能直接识别特定个人的信息碎片包括其中(1)如欧盟《一般数据保护条例》导言第26条规定：“需要考虑所有可能使用的手段，比如利用控制者或其他人来直接或间接地确认自然人的身份。为判断所使用的手段是否可能用于识别自然人，需要考虑所有客观因素，包括对身份进行确认需要花费的金钱和时间，考虑现有处理技术以及科技发展。”。因此，《个人信息保护法》第4条的规定实质上最大限度地扩张了个人信息的边界，从而尽可能地扩张《个人信息保护法》以及《民法典》等有关个人信息保护的规定的适用范围。例如，在很多情形下，网络服务提供者处理的信息往往不包含个人的姓名、电话与地址，仅是用户的IP地址、MAC地址、IMEI码、浏览记录、消费记录、行踪信息以及种种行为信息，仅凭这些信息可能无法识别特定自然人，但是这些信息可以结合其他信息，以某种方式识别出特定个人，因此依“识别+相关说”，也应当被纳入个人信息的范围，从而将网络服务提供者的个性化推送等处理行为纳入《个人信息保护法》等法律法规的规制范围。

当然，《个人信息保护法》明确规定对于个人或者家庭事务处理个人信息的，不适用本法。例如，夫妻之间互相告知有关家庭的存款账务、存款记录等信息时，不适用《个人信息保护法》的规定。

第二，《个人信息保护法》区分了匿名化信息与去标识化信息。第4条还明确指出，经过匿名化处理后的信息，不被归类为其所定义的个人信息。许多学者认为“匿名化”本身不能解决所有的个人信息风险[5]，任何匿名化技术都无法完全避免“去匿名化”的风险[6]。因此，《个人信息保护法》第73条第4项规定，该法所称的匿名化，是指“个人信息经过处理无法识别特定自然人且不能复原的过程”。《个人信息保护法》第73条第3项第一次引入了“去标识化”的概念，即个人信息经过处理，使其在不借助额外信息的情况下无法识别特定自然人的过程。因此，去标识化信息也属于可识别的个人信息[2]2。例如，当信息主体在网上购物过程中留下家庭住址或者手机号码时，这些信息就是标识化的个人信息。如果经过信息处理删除家庭住址、手机号码等信息，购物记录本身就是去标识化的信息，但是这些信息与家庭住址、手机号码等重新结合后，仍然可以识别出信息主体，因此其依然属于个人信息。当然，即便是采纳“识别+相关说”，如果将某一信息与其他信息相结合，不能识别出特定自然人，则这些信息不属于个人信息的范围[4]64。

第三，《个人信息保护法》全面规范了个人信息处理活动，在《民法典》列举的个人信息的收集、存储、使用、加工、传输、提供、公开等处理活动类型的基础上，《个人信息保护法》第4条新增了“删除”这一处理个人信息的行为类型。此外，《个人信息保护法》对个人信息处理行为的规制是灵活、动态而全面的，在处理技术的维度上，从传统的手工处理个人信息方式到现代的自动化电子网络科技处理方式，都纳入该法的适用范围；在处理形式的维度上，包括删除、跨境提供等个人信息处理行为都要受到《个人信息保护法》的调整[7]。

第四，《个人信息保护法》的适用范围较为宽泛。既包括国家机关的个人信息处理行为，也包括法律法规授权的具有管理公共事务职能的组织抑或作为营利法人的公司企业的个人信息处理行为，还包括非法人组织以及自然人实施的个人信息处理活动，在法律没有特别规定的情形下，都适用《个人信息保护法》。

二、构建了以“告知-同意”为核心的个人信息处理规则

我国《个人信息保护法》第1条明确规定了其立法目的是“规范个人信息处理活动”。该法始终以“告知-同意”为核心构建个人信息的处理规则，并对告知-同意规则作出了详细规定。严格地说，法律之所以保护个人信息，其目的是保护信息主体对个人信息的自主决定[8]，“数据保护是基于信息自决权的基本权利。除此之外，一个人有权知道何人、何时以及在何种基础上处理他们的哪些数据”[9]。这就决定了，信息处理者处理个人信息时，原则上应当经过信息主体的同意方可实施。《个人信息保护法》在《民法典》的基础上，进一步完善了“告知-同意”在实际操作层面的具体规则。

(一)进一步完善了信息处理者处理个人信息的合法性事由

个人信息处理活动在客观上就是对个人信息权益的侵入或影响，如果没有合法根据，该处理活动就属于侵害个人信息权益的行为，构成违法行为。个人信息处理的合法根据有以下两大类。

第一，告知并取得个人的同意，《民法典》第1035条与第1036条都规定了告知-同意规则，《个人信息保护法》第14至18条对“告知-同意”规则设置了更具操作性的具体要求。一是为“告知”设定了方式显著、语言清晰易懂、真实、准确、完整的要求与标准。二是为“同意”设定了充分知情的前提与自愿、明确、遵从法律要求的形式等要求与标准。三是在基于个人同意处理个人信息的情形中，如果个人信息的处理目的、处理方式和处理的个人信息种类以及保存期限等发生变更的，应当重新取得个人同意。四是为保护信息主体的真实、合理意愿提供了撤回等权益。五是规定个人信息处理者不得以信息主体的“同意”为产品或服务的对价或前提。例如，手机APP服务提供者不得在隐私条款中规定“如不提供相关信息就不得使用”等捆绑条款。六是个人信息处理者的处理行为即使有紧急情况作为合法事由的，也应该在紧急情况消除后及时告知信息主体。

第二，法定理由，即法律、行政法规规定的情形或理由，此时无需个人的同意即可处理个人信息。关于法定理由的规定可以说是“告知-同意”规则的例外。《个人信息保护法》第13条第1款第2项至第7项明确规定了六类无需取得个人同意即可处理个人信息的情形。该条是在《民法典》第1036条关于“个人信息处理行为的免责事由”规定的基础上，针对更具体、现实的个人信息利用与保护的实践需求，以非限定性列举“个人信息处理的合法事由”的形式进一步完善了信息处理者处理个人信息的合法性基础。具体而言，一方面，《民法典》采取的是责任豁免的进路，而《个人信息保护法》采取的是合法处理事由的进路，更重视信息处理行为本身的合理性、合法性与必要性；另一方面，《民法典》对免责事由的具体列举与《个人信息保护法》对合法处理事由的列举相比，更为概括、更加抽象，并对处理行为都作出“合理”的要求，而后者的规定更加具体，能够更直接地适用于个人信息的社会实践。

(二)进一步完善了个人信息的处理规则

第一，《个人信息保护法》第5条在《民法典》的基础上，进一步增加了“诚信原则”。之所以明确增加诚信原则，是因为在实践中，有一些APP开发商以提供产品诱导信息主体同意对其个人信息进行处理。还有部分网贷平台在提供借款时，不仅要求借款人提供自己的个人信息，还要求提供亲朋好友的个人信息，否则不予放贷。因此，《个人信息保护法》第5条确立诚信原则，禁止以误导、欺诈、胁迫等方式处理个人信息，以保障“告知-同意”规则的实现。

第二，《个人信息保护法》第6条规定了合目的性原则和比例原则。合目的性原则又称为目的限制原则，目的限制原则被称为个人信息保护的“帝王条款”。目的限制原则是个人资料处理的基石。GDPR第5(1)条要求收集个人数据的目的必须明确和合法，不得以与这些目的不兼容的方式进一步处理[10]18-23。目的限制原则要求：一是目的必须特定、明确，并且应当向信息主体告知处理目的；二是个人信息的处理应当与特定目的直接相关。尤其是在处理敏感个人信息的时候，必须以特定目的与充分必要性为前提；三是对个人信息的处理应当符合目的限制原则的要求，特别是对敏感个人信息的处理，必须具有“特定的目的”。为了符合处理目的，应在最小范围内处理个人信息。信息处理者在收集个人信息时，应当在满足处理目的的情况下，在最小范围内收集个人信息，这也被称为最小化原则(minimisation principle)[10]19。

第三，《个人信息保护法》新增加了公开、透明原则。确立这一原则的目的，是为了进一步保护信息主体的知情决定权。该原则借鉴了GDPR的立法经验，即要求信息处理者采取公开、透明的方式，避免暗箱操作。公开、透明原则的具体要求为：一是信息处理者应当公开个人信息的处理规则(第7条)，例如自然人在使用各种APP时，应当被告知该APP处理个人信息的隐私规则。二是信息处理者在处理个人信息时，应当清晰明确地向信息主体告知处理的目的、方式和范围等事项(第7条)。例如收集信息主体的健康隐私时，应当告知具体用于何种目的。三是自动化决策应该公开透明，避免因算法黑箱导致的算法歧视、大数据杀熟等现象(第24条)。四是在公共场所安装图像采集、个人身份识别设备时，应当遵守国家有关规定，并设置显著的提示标识(第26条)。五是一旦发生或者可能发生个人信息的泄露、丢失等安全隐患时，信息处理者应当及时通知信息主体(第57条)。

第四，《个人信息保护法》新增加了保障质量原则。该法第8条借鉴了GDPR第5条第1款(d)项关于“准确性”的规定，即个人信息处理者应当保障其处理的个人信息的质量，避免因处理个人信息不准确、不完整而对个人信息权益造成不利影响。欧洲一些法院的判例也要求所收集的数据必须是相关的、准确的和最新的(relevant,accurate and up to date)[11]。在实践中，征信行业经常发生由于信息错误或者不完整而给信息主体造成不利影响的现象。所以，《个人信息保护法》要求信息处理者对自己处理的个人信息的质量负责。除此之外，一旦个人信息的质量出现瑕疵，《个人信息保护法》还赋予信息主体请求更正、删除的权利。

三、全面规范对个人信息的自动化决策

所谓自动化决策，是指通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等，并进行决策的活动(《个人信息保护法》第73条)。自动化决策是建立在大数据、机器学习、人工智能和算法等基础之上，通过大数据技术对海量用户进行持续追踪和信息采集，然后遵循特定的规则处理所收集的个人信息，或通过机器学习对用户进行数字画像和相应的决策。在大数据与人工智能时代，自动化决策作为一种富有效率的信息处理方法已经得到了广泛运用[12]。《个人信息保护法》第24条对自动化决策作出了全面规范，有利于更加全面地保护个人信息，因为在信息时代，各行各业对个人信息的处理，很多是通过自动化方式实施的。在自动化的个人信息处理活动中，个人信息权益尤其容易遭受不利影响。例如，在实践中，有一些企业通过自动化程序的方式筛选简历，通过计算机设定简单的筛选条件，导致一些应聘者虽然十分优秀，但却没有机会获得进一步的面试机会。再如，由于自动化决策的算法不公开，使信息主体很容易受到算法歧视。

(一)保证决策的透明度和决策的结果公平、公正

《个人信息保护法》第24条第1款规定了个人信息处理者利用个人信息进行自动化决策的基本要求，即应当保证决策的透明度和结果公正、公平。一方面，自动化决策是信息处理者采取一定的算法和系统处理信息主体的个人信息，并向信息主体提供产品或服务，但是，信息主体往往对这些算法和系统难以知悉。自动化决策可能带来算法黑箱，侵害信息主体的知情权和自主决策，威胁个人的隐私和自由，并可能导致歧视和偏见。所以自动化决策带来的最大挑战，就是算法的不透明性[13]140。因此，《个人信息保护法》第24条第3款规定，只要自动化决策方式对个人权益有重大影响的，个人有权要求信息处理者予以说明，信息处理者有义务说明决策方式等情况。另一方面，自动化决策容易导致算法歧视，如人脸识别系统中的算法，如果数据采样、分析限于某一人种的话，容易歧视其他人种，导致处理的结果不公平、不公正[13]149。因此，个人信息处理者利用个人信息进行自动化决策，应当保证结果的公平、公正，不得对个人在价格等交易条件上实行不合理的差别待遇。

(二)信息主体享有要求信息处理者作出说明的权利

《个人信息保护法》第24条第3款赋予了信息主体要求信息处理者予以说明的权利，即通过自动化决策方式作出对个人权益有重大影响的决定，个人有权要求个人信息处理者予以说明，这也是保证决策的透明度这一基本要求在自动化决策中的具体表现。

通过自动化决策进行信息推送和扩大商业影响，是信息时代的市场广泛采用的商业模式，此种商业模式给消费者带来了便利、快捷以及个性化服务的需求，但也容易造成价格歧视、信息茧房的后果，也会造成对消费者的歧视。在实践中，有一些电商平台提供竞价排名服务，以广告商支付价格的多少来决定向消费者进行推荐的优先顺序，容易侵害消费者的知情权[4]230。因此，赋予信息主体要求处理者对自动化决策进行说明的权利，有利于保障个人的知情权。

(三)信息主体享有拒绝权

一方面，《个人信息保护法》第24条第2款规定，信息处理者在通过自动化决策进行信息推送、商业营销的同时，应当提供不针对个人特征的选项，并且允许个人以便捷的方式拒绝自动化决策。这一条款实质上赋予了个人对自动化决策的拒绝权。换言之，《个人信息保护法》要求同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式，实际上就是不进行个性化推荐。所谓“便捷的拒绝方式”是指，信息处理者应当向信息主体提供便捷的拒绝自动化处理的渠道。例如，有些电商平台根据消费者的消费记录和习惯，进行相应的产品推荐，此时，根据《个人信息保护法》第24条第2款的规定，这些电商平台应当提供“便捷的拒绝方式”，例如向消费者提供“一键切换”至不包含个性化推送的界面，通过此种简单便捷的操作，可防止自动化决策对消费者个人信息权益的侵害。

另一方面，《个人信息保护法》第24条第3款规定，个人有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。这一规定来自GDPR第22条，该条第3款规定：在第2款所规定的(a)和(c)点的情形中，数据控制者应当采取适当措施保障数据主体的权利、自由、正当利益，以及数据主体对控制者进行人工干涉，以便表达其观点和对决策进行异议的基本权利。《个人信息保护法》第24条第3款借鉴了GDPR的经验。

(四)禁止“大数据杀熟”，规范自动化决策

《个人信息保护法》第24条实际上包含对大数据杀熟的规制。大数据杀熟是指同样的商品或服务，老客户看到的价格反而比新客户要贵出许多的现象。有一些企业通过掌握消费者的经济状况、消费习惯、对价格的敏感程度等信息，对消费者在交易价格等方面实行歧视性的差别待遇，误导、欺诈消费者。其中，最典型的就是社会反映突出的“大数据杀熟”。例如，在大型网络平台上购物时，只要留下消费记录和消费习惯，这些平台据此推荐的产品价格可能会比向第三人推荐的同一产品的价格更贵。“大数据杀熟”行为违反了诚实信用原则，侵犯了消费者权益保护法规定的消费者享有公平交易条件的权利[8]，也侵害了消费者知情权和公平交易权，其不仅是一种价格歧视行为，而且是一种价格欺诈行为[14]。因此，《个人信息保护法》第24条第1款明确规定，自动化决策“应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇”。

四、严格保护敏感个人信息

所谓敏感个人信息，是指与个人的人格尊严和人身财产安全有密切关联的个人信息。我国《民法典》第1034条第2款列举了健康信息等若干敏感个人信息，但是并没有对敏感个人信息的概念、处理等作出规定。《个人信息保护法》设专节规定了敏感个人信息的处理规则，依据该法第28条的规定，敏感个人信息的确定主要根据如下三个标准。

一是人格尊严标准。敏感个人信息与人格尊严的保护具有密切联系，此类信息一旦被泄露或者非法使用，就极易导致信息主体的人格尊严受到侵害。由于敏感个人信息对于维护自然人的人身财产安全与人格尊严极为重要，故对于敏感个人信息的不当处理，会损害自然人人格尊严，尤其会导致对自然人的歧视(2)参见Spindler/Schuster/Spindler/Dalby DS-GVO Art.9 Rn.4。。例如，人体基因的泄露会造成个人在就业、保险等社会活动中遭受各种不公正的歧视[15]。因此严格保护敏感个人信息，有利于维护人格尊严。我国《宪法》第38条规定了维护人格尊严的原则，《个人信息保护法》第1条就规定了“根据宪法，制定本法”，这实际上就是要将《宪法》的原则通过《个人信息保护法》予以具体化，通过对个人信息的保护实现其立法宗旨。

二是人身、财产安全标准。法律保护个人信息，包括敏感个人信息，主要在于保护个人信息所包含的人格利益而非财产利益，但敏感个人信息的泄露或非法使用不仅会损害个人的人格尊严，而且可能导致个人的人身、财产安全遭受侵害。因此，基于对人身财产安全的保护目的，也应当严格保护敏感个人信息。例如，非法泄露他人的银行账户，可能严重威胁个人的财产安全，因而，银行账户信息应当纳入敏感个人信息的范畴。在实践中，因为金融账户等信息的泄露，导致各种电信诈骗活动不断产生，给人民群众造成巨大的财产损失[4]259。

三是未成年人标准。鉴于未成年人的信息一旦泄露，可能会被不法行为人利用，从事对未成年人实施侵害或对家长进行诈骗等不法行为，严重侵害未成年人的合法权益。因此，《个人信息保护法》将不满14周岁的未成年人的个人信息一概作为敏感个人信息，这就强化了对未成年人个人信息的保护[2]6。

根据《个人信息保护法》第28条第2款的规定，只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，个人信息处理者才能处理敏感个人信息。这一条款规定了处理敏感个人信息的前提条件。具体包括：一是具有特定的目的，对一般个人信息的处理都应当出示特定目的，对敏感个人信息的处理就更应当具有特定的目的[10]19。例如，医疗研究机构、药品开发机构在收集个人的基因信息时，不能笼统地以符合医疗健康的目的而收集他人的基因信息，而应当明确指明其收集他人基因信息的具体目的，如制造某种药品防止基因突变，或者为了研究某种疫苗。二是具有充分的必要性，这就是说，处理相关敏感个人信息对于实现特定的目的而言是必要的、不可缺少的，如果不对敏感个人信息进行处理，就无法实现该目的[4]267。三是采取严格保护措施。例如，对敏感个人信息予以分类管理，采取一系列安全技术措施以去标识化或加密，设定严格的操作权限等。在这几个要件中，最核心是特定目的。也就是说，只有具有特定目的，才能依法处理敏感个人信息，而充分的必要性和采取严格保护措施都是特定目的的具体展开。强化特定目的要件的主要原因在于，对敏感个人信息而言，法律并不鼓励对其利用，而重在保护。对敏感个人信息而言，原则上禁止处理，除非具有法律或约定的依据[16]。特定目的必须是特定化的、具体的、明确的目的，而不是泛泛的目的。信息处理者收集他人敏感个人信息的目的越具体，也就越有利于确定该目的是否具有充分的必要性。

五、确认个人在个人信息处理活动中的各项权利

我国《个人信息保护法》第1条开宗明义，就规定了保护个人信息权益，该法第44条规定：“个人对其个人信息的处理享有知情权、决定权，有权限制或者拒绝他人对其个人信息进行处理；法律、行政法规另有规定的除外。”这表明，个人信息保护的主要目的是保护个人对其个人信息的自主决定，并在自主决定的基础上形成个人对其个人信息所享有的完整权利体系。法律具体规定信息主体所享有的各项权利，不仅有助于规范信息处理者的行为，防止其造成对信息主体权益的侵害，而且有助于使信息主体更好地对自己的信息权益进行自我管理、风险预期与防范[17]。《个人信息保护法》在《民法典》关于个人信息保护的规定基础上，细化和新增了如下几项权利。

第一，细化了对知情权、决定权、查询权、复制权、更正权等权利的规定。一是《个人信息保护法》规定了个人有权限制他人对其个人信息的处理，从而完善了《民法典》的规定，因为《民法典》确定了知情同意权和拒绝权，但是没有具体规定限制处理权。所谓限制处理权，是指个人可以限制信息处理者只在一定目的、方式或范围内对其个人信息进行处理。二是《个人信息保护法》第45条第2款增加了个人信息处理者的及时提供义务规定。三是《个人信息保护法》第46条第2款规定，个人请求更正、补充的，个人信息处理者应当对其个人信息予以核实，并及时更正、补充。在此基础上，丰富了删除权的请求情形并作出了例外规定，同时要求个人信息处理者建立个人行使权利的申请受理和处理机制，进一步完善了个人在信息处理活动中的权利。

第二，增加信息携带权的规定。《个人信息保护法》第45条第3款规定：“个人请求将个人信息转移至其指定的个人信息处理者，符合国家网信部门规定条件的，个人信息处理者应当提供转移的途径。”根据这一条款的规定，信息主体享有信息携带权。在实践中，信息携带主要是指用户将在某个平台的数据移转至另一个平台，如将某个通讯公司中的通话信息移转至另一家公司，又如将用户在某一电商平台上的消费信息转移至另一电商平台。依据《个人信息保护法》第45条第3款，信息携带权的行使应当满足以下要件：一是个人应当提出请求；二是个人必须具体指明接收个人信息的信息处理者；三是个人信息的转移，应当符合国家网信部门规定的条件或标准。《个人信息保护法》新增数据携带权规定具有重要意义，一方面，强化了对用户信息自主决定权的保护，有利于强化信息主体对其数据的控制，并有助于打破锁定效应(lock-in effect)。例如，当市场上出现了比信息主体正在使用的某个APP更加便捷的同类产品时，若不准许数据携带，就会对新APP的利用带来不便，变相地限制了消费者对市场产品的自由选择权。如果不允许数据携带，则用户在移转到另一个平台时，需要重新积累数据，这不仅成本较高，而且用户前期积累的数据也无法利用，这显然不利于用户对数据的有效利用[18]。另一方面，也有利于打破数据垄断，促进数据的流通和利用，促进市场的正当竞争。

第三，增加个人主张删除权的具体情形。《个人信息保护法》第47条规定了应当删除个人信息的情形，《民法典》第1037条第2款规定的删除情形主要是信息处理者违反法律、行政法规的规定或双方约定处理信息。与《民法典》第1037条第2款相比较，《个人信息保护法》进一步扩张了删除的事由，主要包括：处理目的已实现、无法实现或者为实现处理目的不再必要；个人信息处理者停止提供产品或者服务，或者保存期限已届满；个人撤回同意。在上述法定情形下，个人信息处理者应当主动删除个人信息。如果个人信息处理者未主动删除，信息主体则有权要求个人信息处理者删除其个人信息。应当看到，针对删除权《民法典》第1037条没有规定兜底条款，而《个人信息保护法》第47条第1款第5项规定了“法律、行政法规规定的其他情形”，也可以删除。这也保持了一定的开放性，可以适应在个人信息删除权方面的未来发展的需要。此外，依据《个人信息保护法》第47条第2款，法律、行政法规规定的保存期限未届满，或者删除个人信息从技术上难以实现的，个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。在出现上述两种不能删除的情形下，法律规定个人信息处理者只能采取存储及其他保护措施。

需要指出的是，我国《个人信息保护法》第47条所规定的删除权不同于比较法上的被遗忘权(right to be forgotten)。所谓被遗忘权，是指当出现法定或约定事由时，如果权利人不希望其个人数据继续被数据控制者进行处理，则有权要求数据处理者删除与其个人相关的信息。该权利最早是由欧盟法院在2014年就西班牙发生的“冈萨雷斯诉谷歌案”中所确立的[19]。GDPR第17条第1款规定了删除权，第2款进一步规定了被遗忘权。GDPR所规定的删除权又称为“被遗忘权”，由于其落地成本极高受到了广泛的质疑[20]。我国《个人信息保护法》所规定的删除权与域外法上的被遗忘权不同。一方面，删除权是指信息主体有权要求信息处理者删除相关的个人信息，本质上是一对一的关系，而信息主体在行使被遗忘权时，不仅有权要求信息处理者删除相关的个人信息，还要求信息处理者采取必要措施要求其他处理者删除此类信息。另一方面，如果平台是信息处理者，删除权针对的是平台，而如果平台将这些信息公开，被搜索引擎所处理，信息主体是否可以要求授索引擎删除，我国法律并没有明确规定，而要求搜索引擎删除，这属于被遗忘权的范畴。因此，《个人信息保护法》第47条虽然对删除的事由规定得较为宽泛，但并没有采用被遗忘权。

第四，请求个人信息处理者对个人信息处理规则进行解释说明等权利。该项权利也被称为解释说明权。所谓个人信息处理规则是指由个人信息处理者单方面制定的处理个人信息的相关规则，这些规则类似于格式条款，如果不加以规制，就会损害信息主体的权益。因此，依据《个人信息保护法》第48条，信息主体有权要求信息处理者就此作出说明。例如，有些个人信息提供者的隐私政策冗长、难以理解，个人有权请求该信息处理者对这些隐私政策进行解释说明。

此外，为了保护死者近亲属自身合法、正当的利益，同时也尊重死者的遗愿并保护死者本人及其交往者的隐私和通信秘密，《个人信息保护法》允许死者近亲属对死者的相关个人信息行使查阅、复制、更正、删除等权利，但是，死者生前另有安排的除外。

六、强化个人信息处理者的义务

虽然我国《个人信息保护法》以保护个人信息权益为中心而展开其主要内容，但为了保护个人信息处理活动中信息主体的个人权益，《个人信息保护法》又规定了个人信息处理者的义务，保障这些义务的履行也有助于进一步强化对个人信息的保护。该法之所以集中规定个人信息处理者的义务，也有利于实现规范个人信息处理活动的立法目的。因为一方面，个人信息处理者是个人信息保护的直接责任人，由于其对个人将采取各种处理行为，因此通过强化其在处理活动中所承担的义务，才能够使其对个人信息处理活动负责，并采取必要措施保障所处理的个人信息的安全；另一方面，个人信息权利的自主决定权能够得到尊重与实现，很大程度上依赖于信息处理者对此种权利的尊重以及依法履行保护义务。因此，《个人信息保护法》第五章专门规定，个人信息处理者应当对其个人信息处理活动负责，并采取必要措施保障所处理的个人信息的安全。具体来说，表现在如下几个方面：

第一，细化了信息处理者的安全保障义务，确保个人信息的处理活动符合法律、行政法规的规定。《民法典》第1038条规定了信息处理者的安全保障义务，以防止信息泄露、篡改、丢失。但《民法典》的上述规定还比较抽象，《个人信息保护法》第51条在《民法典》规定的基础上，从六个方面进一步确认了信息处理者的安全保障义务，该条具体列举了个人信息处理中应当采取的六项举措，只有切实采取这些举措，才能保障个人信息处理活动的合法性。

第二，规定了个人信息保护人制度。依据《个人信息保护法》第52条规定，要区分大型和小型信息处理者，只有达到国家网信部门规定数量的个人信息处理者才有必要指定个人信息保护负责人，专门负责个人信息的保护。个人信息保护负责人制度与欧盟等国家和地区的数据保护官(data protection officer,DPO)制度具有一定相似性，设立这一制度的核心在于促进企业个人信息保护的专业性与独立性，强化企业的内部数据治理[21]。但对于许多小型企业而言，由于其信息处理量比较少，不一定要建立个人信息保护人机制。此外，依据《个人信息保护法》第53条规定，在中华人民共和国境外处理中华人民共和国境内自然人个人信息活动的，也应当依法在我国境内设立专门机构或者指定代表，负责处理个人信息保护相关事务。

第三，建立个人信息保护影响评估制度。依据《个人信息保护法》第55条、56条，在处理敏感个人信息，利用个人信息进行自动化决策，委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息，向境外提供个人信息以及其他对个人权益有重大影响的个人信息处理活动中，应当进行个人信息保护影响评估。此种评估是一种对风险进行防范的预防性保护措施，个人信息处理者在作出风险评估之后，就应当根据评估结果，考量其所采取的安全保护措施是否合法、有效并与风险程度相适应。如果对个人信息的处理可能会对个人信息权益产生较大影响，且产生的风险较大，就应当及时调整其信息处理行为。第56条实际上是借鉴了GDPR第37条所规定的“数据保护影响评估(data protection impact assessment)”制度的经验[4]420。需要指出的是，保护影响评估与《个人信息保护法》第36条至40条所规定的安全评估制度并不相同，安全评估制度针对的是个人信息处理活动是否会损害国家安全、公共利益和国家利益，此种评估仅仅适用于向境外提供个人信息的情形，而保护影响评估主要涉及的是信息处理者对个人信息权益的影响，它涉及的是处理行为，不仅适用于向境外提供的个人信息，还适用于境内的各种信息处理行为。

第四，规定了提供重要互联网平台服务信息处理者的特殊保护义务。大型网络平台与超大型网络平台的出现，使得用户对其往往具有很强的依赖性[22]。由于重要互联网平台服务信息处理者(如腾讯、阿里等)不仅为成千上万的用户提供服务，而且还要处理大量的个人信息，故从防范风险的角度出发，对这些信息处理者的活动予以规范，对于保护信息主体的合法权益、规范信息处理者的活动至关重要。因此，《个人信息保护法》第58条对提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者规定了特别义务，包括按照国家规定建立健全个人信息保护合规制度体系，成立主要由外部成员组成的独立机构对个人信息保护情况进行监督；遵循公开、公平、公正的原则，制定平台规则；对严重违法处理个人信息的平台内的产品或者服务提供者，停止提供服务；定期发布个人信息保护社会责任报告，接受社会监督。法律作出此种规定是为了提高大型互联网平台经营业务的透明度，完善平台治理，强化外部监督，形成全社会共同参与的个人信息保护机制。

七、规范国家机关的个人信息处理行为

在我国，政府机关在行政管理过程中也会大量收集个人信息，如何有效规范政府机关处理个人信息的行为，也是保护个人信息的重要组成部分。从个人信息权益发展的历程来看，个人信息作为一项人格权益，最初产生的目的之一，就是防止政府机关不当处理个人信息(3)例如，美国早在1974年就在《隐私法案》中将美国联邦机构纳入其规制范围(参见5 U.S.C.§552a〔2006〕)。，而法律之所以承认个人信息作为一项权益，也有利于防范政府行为对个人信息的侵害。在我国，国家机关处理个人信息是行使行政权的活动，但是在处理个人信息的过程中，国家机关也会涉及信息主体在个人信息上的权益。为此，《个人信息保护法》单独将国家机关对个人信息的处理行为作出明确规定。依据《个人信息保护法》第33条规定，国家机关处理个人信息的活动“适用本法”，这意味着国家机关作为个人信息处理者，也要遵守相关法律规定。规范国家机关的个人信息处理行为，一方面，有利于实现规范个人信息处理活动的立法目的，国家机关依据《个人信息保护法》从事各种个人信息处理活动，才能够在全社会起到示范效应，提升国家治理和社会治理水平。另一方面，有利于全面维护信息主体的合法权益，尤其是从实践来看，政府机关已经收集了大量的个人信息，一旦政府机关处理不当，容易给信息主体造成严重不利影响。为此，也有必要严格规范国家机关的个人信息处理行为。

当然，国家机关处理个人信息是为了公共利益，区别于商业机构对于个人信息的收集和利用，因此《个人信息保护法》对国家机关处理个人信息作出了如下特别规定：

第一，必须依照法定的权限和程序处理个人信息。国家机关处理个人信息主要是为了履行法定职责、行使法定权限，但此种权力的行使必须具有法定的依据。依据《个人信息保护法》第34条，只有出于履行法定职责的需要，国家机关才能处理个人信息，而且国家机关处理个人信息的行为不得超出法定职责必需的范围和限度；可以说在这方面也要严格按照“法无授权不可为”的原则来处理个人信息。同时，国家机关在处理个人信息时，还应当依照法律、行政法规规定的权限、程序进行，否则可能构成非法处理个人信息的行为。

第二，必须依法履行告知义务。虽然国家机关处理个人信息是一种行使职责的行为，但依据《个人信息保护法》第35条规定，除了法律规定不需要告知的情形之外，国家机关为履行法定职责处理个人信息，应当依照本法规定履行告知义务，该条为国家机关处理个人信息设立了一般规则，区别于对一般处理者的“告知-同意”要求，国家机关免除告知义务应当符合三种情形：一是具有法律、行政法规规定的应当保密的情形。二是法律、行政法规规定不需要告知的情形。例如，《国家情报法》第15条规定：“国家情报工作机构根据工作需要，按照国家有关规定，经过严格的批准手续，可以采取技术侦察措施和身份保护措施。”如果国家情报工作机构在履行职责时，依法不需要告知，则可以免除告知义务。三是告知将妨碍国家机关履行法定职责的情形。例如，税务机关为了征税的需要而检查纳税义务人的有关账簿、报表等信息，如果事先告知，有可能会导致相关纳税义务人篡改、销毁有关信息，妨碍税务机关公共职能的行使，因此，不必要事先告知[4]295。

第三，国家机关处理的个人信息应当在国内存储。国家机关大规模收集的个人信息，不仅关系个人的信息权利保护，而且关系到国家安全，因此，《个人信息保护法》第36条对国家机关收集的个人信息的存储规则作出了特别规定。所谓境内存储，是指个人信息(个人数据)的物理存储设备，无论是用来存储个人信息的硬盘，还是云存储服务所对应的远端存储设备，都应当存储在我国境内，以防止信息被窃取、泄露。法律作出这种规定的目的主要是维护国家安全和公共利益[4]297。如果确需向境外提供的，还应当进行安全评估。

八、规范个人信息跨境流动

所谓跨境流动，是指一国境内的个人信息或数据流出了境内，为他国信息处理者所收集、储存、加工和使用等。随着经济全球化、数字化的不断推进，我国对外开放的不断扩大以及互联网在全球范围内的互联互通，个人信息的跨境流动非常普遍，同时，货物贸易往来频繁，也必然会带动数据的流动。但长期以来，由于个人信息跨境流动的法律规制面临着保护规则缺失，产生了监管难度较大、数据出境安全评估标准存在差异等诸多问题，从而对个人权益产生了重大影响[23]。为此，《个人信息保护法》对个人信息的跨境流动作出了专门规定，对个人信息的跨境流动进行了全面规范。

一是明确了因业务等需要，向境外提供个人信息的条件。依据《个人信息保护法》第38条规定，首先，必须是因业务等需要确需提供。个人信息处理者不得任意向境外提供个人信息，向境外提供个人信息，会涉及国家安全与公共利益，因此只有在“因业务等需要”而确需向境外提供时才能提供。换言之，如果不向境外提供就无法开展正常业务。例如，从事跨境购物业务的信息处理者，不向境外提供收货人、收货地址等信息，该跨境购物业务就无从开展，在此情形下，该信息处理者才可以按照法律规定向境外提供个人信息。其次，根据该条第3款的规定，个人信息处理者应当采取必要措施，保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准，即比较法上的“同等保护水平”。要达到同等保护水平，不仅要考察境外接收方所在国家的法律规定，还要依据网信部门的规定，经专业机构进行个人信息保护认证，并与境外接收方订立合同，约定双方的权利和义务。

二是个人信息处理者的告知义务。《个人信息保护法》第39条对跨境提供个人信息的“告知-同意”作出更严格的要求，切实保障个人的知情权、决定权等权利。也就是说，个人信息处理者向境外提供个人信息，要向信息主体明确告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式等内容，还要取得个人的同意。尤其需要指出的是，《个人信息保护法》规定的是单独同意而非概括同意。即便根据《个人信息保护法》第13条第1款第2项至第7项的规定，不需要经过信息主体同意就可以实施的处理行为，一旦涉及跨境流通，也需要取得信息主体的单独同意。例如，跨国企业依照依法制定的劳动规章制度或者依法签订的集体合同实施人力资源管理所必需的个人信息，在中国境内处理时，不需要取得信息主体的同意，一旦这些个人信息向境外提供时，按照《个人信息保护法》第39条的规定，就应当取得信息主体的单独同意。

三是特定信息处理者应当将个人信息存储在境内。根据《个人信息保护法》第40条规定，关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者，应当将个人信息存储在境内。例如，最近特斯拉宣布，特斯拉已在中国建立数据中心，所有中国业务所产生的所有数据，完全存储在中国境内[24]。如果确实需要向境外提供的，应当通过国家网信部门组织的安全评估。

四是确需向境外提供个人信息的，应当通过安全评估。在向境外提供时，需要通过网信部门组织的安全评估。由于不同国家法律制度、保护水平之间的差异，导致个人信息跨境流动风险较大，因此，需要通过安全评估以确定个人信息跨境流动是否会造成对国家安全和公共利益的损害，是否会侵害个人信息权益。如果不能通过安全评估，则不能向境外提供个人信息。

五是针对个人信息跨境流动，规定了黑名单制度和对等反制措施。从比较法上来看，对于个人信息的跨境流动普遍采取了一定的限制。由于个人信息的跨境流动将直接关系到国家安全、经济安全[25]。因此，对于信息的跨境流动都设置了一定的限制措施。在我国，虽然个人信息跨境流动可能给国家安全和个人信息保护带来威胁，但也不宜因噎废食，一概禁止个人信息的跨境流动，否则将会导致我国数据市场环境的封闭[26]。在维护国家数据主权的基础上，基于主权国家的平等互惠，《个人信息保护法》第三章对个人信息的跨境提供进行了专门的规制。《个人信息保护法》第42条特别规定，如果境外的组织、个人从事了侵害我国公民的信息权益或者危害了我国国家安全的行为，国家网信部门可以将其列入限制或禁止个人信息提供清单。《个人信息保护法》第43条对外国歧视性措施的对等反制措施作了规定。这些规定对于维护国家数据安全、保护信息主体的合法权益具有重要意义。

九、完善侵害个人信息的法律责任

依据我国《民法典》，对于侵害个人信息权益造成损害的可以适用侵权责任编关于损害赔偿的规则，并可以适用人格权编995条关于人格权请求权的规则。《民法典》中诸多保护个人信息的规则都可以适用于个人信息的保护，但《个人信息保护法》为强化对个人信息权利的保护，在《民法典》规定的基础上，新增了一些特殊的个人信息保护措施。

一是确立了多层次的责任体系。因为个人信息保护涉及众多不同的法益，侵害个人信息权益的行为既可能导致私主体的权利遭受侵害，也可能导致行政法和刑法所保护的公法益遭受侵害，因而同时涉及个人利益和公共利益。如何通过损害赔偿的方式来救济此种大规模且属性复杂的权益侵害，是传统民事司法救济、行政与刑事救济难以单独解决的问题[27]。因此《个人信息保护法》采取了民事责任、行政责任与刑事相结合责任体系，多维度地规范个人信息处理行为。《个人信息保护法》第50条第2款明确规定在个人信息处理者拒绝个人行使权利的请求时，个人可以依法向人民法院提起诉讼，这也为个人信息权利的保护提供了新的救济途径。允许个人在其个人信息权益遭受侵害时提起诉讼，这对于个人信息权益的保护意义重大。

二是确立了侵害个人信息的过错推定责任。过错推定也称过失推定，是指行为人因过错侵害他人民事权益，依法应推定行为人具有过错，如果行为人不能证明自己没有过错的，则应当承担侵权责任。《个人信息保护法》第69条第1款规定：“处理个人信息侵害个人信息权益造成损害，个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任。”之所以采取此种归责原则，很大程度上是因为在实践中，受害人举证困难已经成为个人信息保护所面临的一大困境。在个人信息的处理中，个人信息处理者距证据较近，受害人则距离证据较远。加之对于数据处理中过错的证明专业性较强，尤其是对于算法等，只有处理者才具备判断处理过程中是否存在过错的专业知识和技能，而受害人举证的成本十分高昂。在这些情况下，就会发生“证据分布不均衡”的现象，此时就有必要让处于更易于适用必要证据的一方当事人负担证明责任[28]。因此，采用过错推定原则有利于减轻受害人的举证负担，强化信息处理者的举证义务，从而对受害人提供有效的救济[29]。当然，此处的过错推定主要适用于造成损害进而请求损害赔偿的情形。而对于停止侵害、排除妨碍等责任形式，当事人可以通过行使人格权请求权予以实现，而人格权请求权的行使不以过错的存在为要件，因此并不存在过错推定的问题。

三是确立了损害赔偿责任。依据《个人信息保护法》第69条第2款的规定，侵害个人信息的“损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定；个人因此受到的损失和个人信息处理者因此获得的利益难以确定的，根据实际情况确定赔偿数额”。该条是在侵权责任编获利返还规则的基础上所作出的规定，也是对《民法典》第1182条的细化规定。从《民法典》第1182条规定来看，其使用了“侵害人身权益”的表述，立法者主要列举了名誉权、肖像权等权益遭受侵害的情形[30]，而对于其能否适用于个人信息保护，一直存在争议。在这一背景下，《个人信息保护法》第69条明确了获利返还规则可以适用于侵害个人信息的情形，也进一步完善了《民法典》的相关规定。

四是引入了侵害个人信息的公益诉讼制度。《个人信息保护法》还引入了公益诉讼制度，从而对个人信息侵权救济问题进行了重大创新。在侵害个人信息的案件中，往往受害人众多，而单个受害人能力有限，可能面临举证困难等问题，甚至有的受害人可能并不知道其个人信息权利已经遭受侵害。在面对不特定多数主体权利可能遭受侵害的场合，单个信息主体提起诉讼动力不足[31]，因此，就十分有必要引入公益诉讼制度。从制度安排上看，提起个人信息保护公益诉讼的诉权主体有人民检察院、法律规定的消费者组织和由国家网信部门确定的组织(《个人信息保护法》第70条)。通过公益诉讼可以调动诸多手段，协同多个部门，使具有更强纠纷解决能力的组织和机关介入，对个人信息的保护更具专业性、权威性和便利性，有助于克服实践中个人起诉存在的举证困难、成本过高等问题，对于强化保护个人信息十分必要[32]。

十、结 语

在现代社会中，伴随着互联网的发展，个人信息的保护与利用问题已经成为21世纪法律所面临的重要挑战，如何保护个人信息已经成为时代之问。我国《个人信息保护法》在《民法典》等法律法规的基础上，有效总结了我国个人信息处理的理论研究和实务经验，并积极吸收和借鉴欧盟《一般数据保护条例》等域外立法的经验，在多个方面进行了创新，形成了诸多制度亮点，充分彰显了我国在个人信息保护领域立法的时代性、国际性和本土性。全面贯彻实施好《个人信息保护法》，才能切实保护人民群众在数字化时代所享有的各项民事权益，从而促进数字经济的有序发展。