随着大（dà）数据（jù）、人工智能等互联网（wǎng）新技术的广（guǎng）泛使用，数字化全面进（jìn）入我们的日（rì）常生活，个人信息数（shù）据焦虑（lǜ）成为普遍现象。大数（shù）据杀熟（shú）、人（rén）脸（liǎn）信息过（guò）度采集、应用程（chéng）序（APP）个人信息泄露，个人信息安全究竟谁（shuí）来守护（hù）？

《个人信息保护（hù）法》完善了个人信息（xī）处理规则（zé），完善（shàn）了个人（rén）信息相（xiàng）关（guān）投诉（sù）举报工作（zuò）机制及违法处理个人（rén）信（xìn）息涉嫌犯（fàn）罪案件的移送机制，在（zài）完善个人信息处理（lǐ）规则方面，特（tè）别对APP过度（dù）收集个人信息、大数（shù）据杀（shā）熟、平台（tái）责任等（děng）作出（chū）针对性规范，将使得人们在数字化（huà）社会生活（huó）中更有安全感。

明确个人信息处理合法基础

“《个（gè）人信息保护法》并没（méi）有禁止收集个人（rén）信息，而（ér）是（shì）反（fǎn）对过度收集、强制收集（jí）和（hé）违法（fǎ）收集。”中国社会科学（xué）院学（xué）部委员、全国人大宪法（fǎ）和法（fǎ）律委员会委员（yuán）孙宪忠说。

孙宪忠表示，社会上一度曾对个人信息泄露感到恐慌和担忧，但（dàn）在（zài）防控疫情的过程中（zhōng），信息化（huà）手段提供了很大（dà）帮助，这使（shǐ）人们认（rèn）识到（dào）个人（rén）信息的收集在社会管（guǎn）理过程（chéng）中也（yě）大有裨益。在立法（fǎ）讨（tǎo）论中大家认为，我国已经进入（rù）信息化社（shè）会，要积（jī）极利用信息化的利好方面（miàn），但也应认识到（dào），在信息（xī）收集和后续的（de）信息加工（gōng）、管理、应用等环（huán）节确实（shí）出现了一（yī）些问题，因此，《个人信息（xī）保护法（fǎ）》要着力解决这些问题（tí）。“《个人（rén）信（xìn）息保护法》进一步完善了处理个人信息（xī）的合（hé）法性基础，补充了个人有权撤回同意（yì）的内容。”中国信息通信研究院云计算与大数据（jù）研究所仵姣姣说，“总体而言，《个（gè）人信息保护法》采取了优先（xiān）保护（hù）个人权利和社会公共（gòng）利益（yì）的路径（jìng）。”

仵姣（jiāo）姣表示（shì），《个人信息保护法》列举了个（gè）人（rén）信息处理（lǐ）的合法基（jī）础，包括（kuò）授（shòu）权同（tóng）意、为订立或履行个人作为（wéi）一方当事人的合同所必需、履职必需、应对突发公共（gòng）卫（wèi）生事件、在合理的范围内处理已公开的信（xìn）息（xī）、公益目的等。对信息收集者来说，主（zhǔ）要（yào）的数据处理合规基础是被收集（jí）对象的授（shòu）权同（tóng）意、合同必需和在合理范围内处理已（yǐ）公（gōng）开的信息。

如（rú）果不授（shòu）权就不（bú）能使（shǐ）用（yòng）互（hù）联（lián）网应用，这一（yī）度是（shì）很普遍的现象。仵（wǔ）姣姣（jiāo）认为，尽管消费者授（shòu）权（quán）同（tóng）意，但仍存在能否（fǒu）真正保障个人信息主体的知情权、授权（quán）同意是否会流于（yú）形式、强势一手（shǒu）数据（jù）源为（wéi）后续（xù）数（shù）据流转的参与方带来权利（lì）瑕疵等问题，但实践中已（yǐ）逐渐形成一定程度（dù）上的范例。例如采用交互式弹窗的形式在用（yòng）户（hù）使用特定功能时，逐一获取该功能必需的数据（jù）；明确列出数据共享（xiǎng）的目的及（jí）合作方名单；在隐私（sī）协议条款前，简要介绍（shào）核心条款等。

过（guò）度索权也（yě）是一直为消费（fèi）者诟病的行业痼疾。仵（wǔ）姣姣认为，合同一定要遵（zūn）循最小必要原则，商家（jiā）需要审慎衡量（liàng）获（huò）取的数据类型是不是提供相关产品（pǐn）和服（fú）务的必（bì）要前提。

信息社会发展到今天，一（yī）般（bān）人都有（yǒu）几十（shí）、上百条注册信息（xī）、授权（quán）同（tóng）意（yì）信息（xī），其中很多都（dōu）不再（zài）使（shǐ）用，但却普（pǔ）遍存（cún）在（zài）不支持注销账户、撤回同意投诉无门等问题。仵姣（jiāo）姣表（biǎo）示，《个人信息保护法》专（zhuān）门赋予个（gè）人撤回同意的权利（lì），明确（què）要求商家必须（xū）提供便捷的撤（chè）回同意方式。此外（wài）还（hái）明确，撤回同意不影响（xiǎng）撤回前基（jī）于个人同（tóng）意已进行的（de）个（gè）人信（xìn）息处理（lǐ）活（huó）动的（de）效力。

“由于数据存在极强的可复制性，个人信（xìn）息主体在给（gěi）出首次授权（quán）同（tóng）意（yì）后（hòu），对于（yú）姓名、身（shēn）份证号、手机号、地址（zhǐ）等相（xiàng）对（duì）静态（tài）的信息很（hěn）容易失去控制权，即使在撤回（huí）同（tóng）意后，个人及每一（yī）环节数（shù）据处理者也很难（nán）控制数据（jù）的后续流转。”仵姣姣（jiāo）认为，商家（jiā）要确保在用户撤回同（tóng）意后（hòu），相关数（shù）据被终止收集（jí），必要时也需要对其进行（háng）删除或匿名化。

遏制大数据杀熟行为

大数据杀熟近（jìn）年来被（bèi）广（guǎng）泛讨论。在同（tóng）一网站上，相同的（de）商品或服务不同的人购买价（jià）格却不一样（yàng），这就可能（néng）是被“杀熟”了。大数据杀熟（shú）是指一种（zhǒng）个（gè）性化定价，商（shāng）家通过分（fèn）析消费者（zhě）个人（rén）信息形成画像（xiàng），利用算法对每个消费者（zhě）的支付意愿进行精（jīng）准评估和预测，预（yù）测消费者最高保留（liú）价格，并以（yǐ）此（cǐ）就同一（yī）商品或服务向（xiàng）不同消费者设置不（bú）同价（jià）格。中国信息（xī）通信研究院互联网法律研（yán）究（jiū）中心高级研究员、个人信息保护立（lì）法研究团队负责人杨婕认为，这（zhè）种歧视性定价策略，其实意味着商家（jiā）可以过度、无限制、不合理地剥夺消费者，损害消费者（zhě）权益（yì）。

“《个人（rén）信息保护法》中的第（dì）二（èr）十四条（tiáo），对于大数据杀熟问题作出（chū）明确（què）的规（guī）定。”杨婕说，《个人信息保护法》明确要（yào）求商家保证自动化决（jué）策的（de）透明度和结果的公平、公正，在事（shì）前（qián）进行个人信息（xī）保护影响评估，不得对（duì）个人在（zài）交易价格等交易条（tiáo）件上实行不合（hé）理的差（chà）别待遇，并赋予个人包括选（xuǎn）择权、知情（qíng）权在内的（de）更充分的（de）权（quán）利。

杨婕表（biǎo）示，考虑到个人信息处理（lǐ）活（huó）动的多样性、算法运行机制的不透明性以及决策结果的不确定性，《个（gè）人信息保护（hù）法》规定无论商家是否具有市场支配地位，只（zhī）要其利用（yòng）个（gè）人（rén）信（xìn）息（xī）进行自（zì）动化决策（cè），对个人在交易价格等交易（yì）条件上实（shí）行不（bú）合理（lǐ）的差别待遇，就是法律所禁止（zhǐ）的行为。“所涉及的适用对象全面，辐射范围广泛，有助于（yú）彻底（dǐ）解决大数据杀熟问题（tí）。”杨（yáng）婕说。

中（zhōng）国首席数据官联盟专家组成员、法律（lǜ）顾（gù）问，观韬（tāo）中茂（上海）律师事务所合伙人王渝伟说（shuō），今年2月（yuè）7日，《国务院反垄（lǒng）断委员（yuán）会关于平台（tái）经济领域的反（fǎn）垄断指南》发布（bù），遏制平台经营者利用其垄断地位进（jìn）行大数据杀熟、强迫商家“二选一”等不公平（píng）竞争等行为。随着（zhe）《个人信（xìn）息（xī）保护法》的实施，数据可携带权等权益（yì）的实现，将有力保障数据在不（bú）同（tóng）经营者之间的流动，促进（jìn）经（jīng）营者（zhě）公平竞（jìng）争。

APP个（gè）人信息保护设（shè）专章

“你在家里住得好好的，结果（guǒ）总有人（rén）打电话骚扰你；刚生了（le）孩子（zǐ）从医院（yuàn）回来，走在路上就有人向（xiàng）你推销（xiāo）纸尿裤等（děng），很显然你（nǐ）的个人信息被泄露了（le）。”孙（sūn）宪忠说（shuō）。这种（zhǒng）情（qíng）况不属于个人信息收集环（huán）节，而属于信息收集（jí）之（zhī）后（hòu）的“占有（yǒu）和加工（gōng）管（guǎn）理”环节。对此，《个人信息保护法》第五十（shí）二条明确（què）规定（dìng），个人信息收集者（zhě）应该对收集来的信（xìn）息进行妥善（shàn）的监督和保管。

据工业和信息（xī）化部统计，截至（zhì）2020年（nián）底，国内市场上监测到的APP数量为（wéi）345万（wàn）款。海（hǎi）量的APP在带来（lái）生活便利的同时，强（qiáng）制索权、过度收集、滥（làn）用（yòng）和（hé）泄漏个人信息等（děng）问题也（yě）层出不穷。

杨（yáng）婕表示，小程序、快应用（yòng）、H5页面等新应（yīng）用（yòng）形（xíng）态不断（duàn）出（chū）现，麦克风被窃听、通信录被窃取、相（xiàng）册非授权被（bèi）读写等问题不断曝出，亟（jí）需从法律层面（miàn）遏制APP滥用个人信息的现象。《个人信息保护法》增加了对于APP个人信息保护（hù）的专门性规定（dìng），其中第（dì）六（liù）十一条（tiáo）将“组织对应（yīng）用程序（xù）等（děng）个人信息（xī）保护情况进行（háng）测评，并公布测评结果”新设为（wéi）履行个（gè）人信（xìn）息保护职责的部门的职责；第六十六条（tiáo）将“对违（wéi）法处理个人信息的（de）应用程序，责（zé）令（lìng）暂（zàn）停或者（zhě）终（zhōng）止提供服务”，增加（jiā）为履行个人信息保护职责的部（bù）门对违法主体可采取的（de）处罚手（shǒu）段（duàn）。

中国社会科学（xué）院（yuàn）法学研究所副所长周汉华说，从适（shì）用的对象上来看，《个（gè）人信息保护（hù）法（fǎ）》把政（zhèng）府机关和市场主体一并纳入规（guī）范的对（duì）象（xiàng）。

新增了对具有（yǒu）管理公共事务职能的组织的规（guī）范要求。孙宪忠说，《个人信息保护法（fǎ）》影响最大的就是负责（zé）收集个人信（xìn）息（xī）的部门，包括（kuò）政府部门、大型企业等。第（dì）五十七条明确提出，个人（rén）信息发生泄露，个人信（xìn）息处理者即信（xìn）息掌管者要立即采取补救措施。具体来说，是指网信部（bù）门或者是相关管理机构等，要设法采（cǎi）取补救性措施。

孙（sūn）宪忠说，就个人而言（yán），如果发现自己的个人信息已经被泄露，可以（yǐ）依（yī）据《个（gè）人（rén）信息保护法》第六十一条（tiáo）第二项的（de）规（guī）定，积极向网信部门（mén）、市（shì）场监（jiān）督管理（lǐ）部门等相关管理机构投诉。

“明确个人信息侵权行为的归责（zé）原（yuán）则为过错推定（dìng），是对用户权益（yì）的有力保护。”仵姣姣（jiāo）说。《个人信息保护法》明确了（le）当个人信（xìn）息权益因个人信息处理活（huó）动受到侵害时，个人信（xìn）息处理者（zhě）不能证（zhèng）明自己没有过错的，应当承担损害赔偿等（děng）侵权责任。换言（yán）之，个（gè）人（rén）信息处理者如果不能证明（míng）自己在（zài）数据处理、数据（jù）保护（hù）中不存在过错，将（jiāng）在诉讼中面临一定程度的败诉风险（xiǎn）。

这在司法实践中（zhōng）实际上已有先例。如（rú）此前消（xiāo）费者（zhě）庞（páng）理鹏诉（sù）中国东（dōng）方航（háng）空股份有限公司、北京趣拿信息技术有限公司（sī）隐私（sī）权（quán）纠（jiū）纷案（àn），被告企业被（bèi）要求证明自己不存（cún）在过错、已（yǐ）履行的信息安全保护（hù）义务（wù）以及个人信息的具体泄露方以及（jí）泄露的具体环（huán）节，并（bìng）最终（zhōng）由于难以提供相（xiàng）关证据而败诉。

人脸识别（bié）条款亮点（diǎn）多

“《个人（rén）信息保护（hù）法》对（duì）人脸信息（xī）的保护亮点很多。”中国信息通（tōng）信研究院云计算与大数据（jù）研究所人工智能部呼娜英说（shuō）。人脸（liǎn）作为人类社会相互（hù）识（shí）别（bié）和验证（zhèng）的（de）通用（yòng）身份（fèn）标识（shí）符，具有直接识别性（xìng）、独特性、唯一性、易获取（qǔ）性（xìng）等特点。在人工智（zhì）能赋能深度广度不断加强（qiáng）的科技浪潮下，人脸识别技术（shù）商业化进（jìn）程不断加速。从此前的（de）《最高人民法院关于审理使用（yòng）人脸（liǎn）识（shí）别（bié）技术处理个人信息相关民事案件适用法律若干问题的规定》到目前的《个信息保护法》，都规定（dìng）人脸识别属（shǔ）于敏感个人信息，需要遵（zūn）循特殊规（guī）则（zé）进（jìn）行（háng）保护、处理（lǐ）。

人脸识别（bié）技术应（yīng）用需（xū）满（mǎn）足“特（tè）定目的”及“充分必（bì）要”。呼娜英（yīng）表示（shì），此前的最（zuì）高人（rén）民法院对人（rén）脸识别的司法解释中已经明确（què），物业、建（jiàn）筑物管理人（rén）不得仅以（yǐ）人脸识别作为唯一门禁方式（shì），企（qǐ）业亦不得以（yǐ）捆绑（bǎng）、强迫形（xíng）式获得消（xiāo）费者（zhě）同意人脸（liǎn）信息处理（lǐ）。《个人信息保护法（fǎ）》明（míng）确要求，个人（rén）信息（xī）处理者（zhě）在处理敏感个人（rén）信息前，需存（cún）在“特定的目（mù）的”及“充分（fèn）的（de）必要（yào）性”。呼（hū）娜（nà）英认为，该条款对处理敏感个人信息提出了更高的（de）要求（qiú）。目的（de）正当性和必要性不仅（jǐn）仅是指合法合规，还蕴含着符（fú）合目的限制、诚实（shí）信（xìn）用和（hé）公开透明的要（yào）求。“这样一（yī）来，零售商要（yào）求刷脸（liǎn）进出或支付、小区（qū）要（yào）求刷脸进出（chū）、楼（lóu）宇（yǔ）闸（zhá）机要（yào）求刷脸登机等场景，将可能因缺乏目的正当性和必要性而遭受挑战（zhàn）。”呼娜英说。

单独同意制（zhì）度。呼娜英说（shuō），《个人信（xìn）息保护法》在“告知+同意”规（guī）则的基础上，引入了“单独同（tóng）意”的要求，规定了需要用（yòng）户“单独同意”的（de）一些具体场（chǎng）景（jǐng），包括：处理（lǐ）敏感个（gè）人信息、公开或向他人提供个（gè）人信息（包括在公共（gòng）场所安装（zhuāng）图像采（cǎi）集和个人身份识别设备收集的个人（rén）信息），以及向境外（wài）提供个人信（xìn）息等。

扩张用户知情权，确（què）立有限制的解释权。《个人信息保护法》对包括人脸信息（xī）在内的敏感个人信息（xī）保护提出了（le）更高的要求，即信息（xī）处理者应当告知个人（rén）处理敏感个（gè）人信息的必要性以及对个（gè）人的（de）影响。“这（zhè）就进一步切实地保（bǎo）障了用户的知情权（quán）。”呼娜英说。

加强限制图像（xiàng）采集、个人身份识信息的使用。“《个人信息（xī）保护法》在三（sān）次审（shěn）议中不断强化（huà）针（zhēn）对（duì）公共场所安装图像采集、个人身份（fèn）识别设备的要求。”呼娜英说（shuō）。《个人（rén）信息保（bǎo）护法（fǎ）》明确规定，商家所收（shōu）集的个人图像（xiàng）、身份识别信息“不（bú）得用于其他目的”，进一步限缩了图像（xiàng）采集、个人身份识别的处理范围。

孙宪忠说，考虑到现在的人脸识别（bié）采（cǎi）集方式，很多情况（kuàng）下（xià）都在个体（tǐ）不知情的情况（kuàng）下（xià）进行，因此（cǐ），《个人信息保护法》第二十六（liù）条（tiáo）规定，在公共场（chǎng）所安装图像采集个人（rén）身份识别（bié）设备的时候（hòu），其（qí）出发点必（bì）须是（shì）要维护（hù）社（shè）会公共（gòng）安（ān）全，而不（bú）能（néng）用于其他目的；要符合国家（jiā）法律规（guī）定；安装时（shí）要设置明显的（de）提示性标识。

平台“守门人（rén）”条款（kuǎn）尚有争议

对于APP的各（gè）种个（gè）人信息侵权问题，平台责任（rèn）是大家关注的焦点。《个人信息保护法》第五（wǔ）十八条（tiáo）进一步（bù）完善了平台“守门人”条款。一（yī）是将提（tí）供基础性服务的（de）互联（lián）网平（píng）台修改为提供重（chóng）要互联网（wǎng）平台服务；二是在第一项中（zhōng）补充（chōng）了按照国家规定建立健全个人信息保护（hù）合规（guī）制（zhì）度体（tǐ）系的义务；三是单独增加了一（yī）项“守门人”义（yì）务，即（jí）遵（zūn）循公开、公平（píng）、公正的原则，制定平台规则（zé），明（míng）确（què）平台内产品或者服务提供者处理个人信息的规（guī）范和保护个人信息的义务。

杨婕认为（wéi），这一规定（dìng）被（bèi）认为是（shì）强化基础性服（fú）务平台（tái）的（de）个人信息保护责（zé）任、促进其积极（jí）展开基于个（gè）人信息保护治理的制度设置，并（bìng）能（néng）一定程（chéng）度上为公权力保（bǎo）护（hù）个（gè）人（rén）信息（xī）的实践提供（gòng）有（yǒu）益补充，是一个创新性制度设计（jì）。

据（jù）杨婕（jié）介绍，“数字守门人”的概念，是2020年12月欧盟（méng）委员会（huì）公布的《数字市场法案》中提出的，被认定为“守门人”的（de）平台应承（chéng）担一系列额外的具体义务。

中国人民大学法学院教授张新宝此前接受媒体采访时（shí）表示，对300多万款APP一（yī）对一监管难免力不从心，应（yīng）将部（bù）分监管职责前（qián）移，对实际上控制技术（shù）资源、技术环境（jìng）和（hé）运营环境的信息处理者，比如应（yīng）用（yòng）程序的分发平台、操作系（xì）统、大型APP平台等，设置关键环节“守门（mén）人”在个人信（xìn）息处中（zhōng）的特别义（yì）务。他认为，目前国内（nèi）常用的应用平台分发系统不超过80个，移（yí）动终端操作系统不超过10组，搭载小程（chéng）序的大型（xíng）APP平台不超过5个，将部分监管职责前移（yí）到关键环（huán）节“守门人”，就不用面对海量的APP一对一进行监督管理（lǐ）。

中国社会科学院大（dà）学互联（lián）网法治研究中（zhōng）心执行主（zhǔ）任刘晓（xiǎo）春认为（wéi），在个（gè）人（rén）信息保（bǎo）护领（lǐng）域，设立通过平台实现治理的（de）规（guī）则，即通（tōng）常所说的“守门人”制度，一方面是（shì）法律对于（yú）平台责（zé）任在个人信息保护领域（yù）的扩展；另一方（fāng）面，也会构成法律对于负有此等责（zé）任平台的一种赋权（quán），进一步扩大了大型基础性平台（tái）制定规则、展开治理、采取措施（shī）方面的实质性权力。若没有相应的（de）制约性配（pèi）套制（zhì）度，则有可能会（huì）造成平（píng）台地位在个人信息保护领域的强化，并且带来权力（lì）滥用的可能（néng）性（xìng），这也（yě）正（zhèng）是目前（qián）国（guó）内外针对平台的“守门（mén）人”地位及其（qí）滥用行为对于竞争环境（jìng）产生不良影响的（de）担忧（yōu）焦点所（suǒ）在。“如（rú）果赋予（yǔ）电（diàn）商平台或社（shè）交平台上一些经营者个（gè）人信息（xī）审（shěn）核义务，有可能会出现（xiàn）权力滥用，或通过审核权来进（jìn）行自（zì）我优（yōu）待、差别待遇等。”刘晓（xiǎo）春认为，极（jí）有可能出现平台利用个人信息治理机制，进行反竞争投机行（háng）为，从而损害平台内经营者，特别是中小经营者的利益。

刘晓春认为，针对（duì）制度可能（néng）带来的（de）消极影响进行评估和预判，应建（jiàn）构防范风险、降（jiàng）低（dī）成本的配套措（cuò）施，可以（yǐ）将个（gè）人（rén）信息（xī）保护“守门人”制（zhì）度可能带（dài）来的顾虑（lǜ）和风险尽量降到最低。“以目前的平（píng）台（tái）内容治理和知识产（chǎn）权（quán）治（zhì）理为类比，这两（liǎng）项都需要投入大（dà）量人（rén）力物力，组（zǔ）建专门的（de）管理、技术（shù）团（tuán）队（duì），建立实体判断（duàn）标准、程（chéng）序流程规则、争议解决（jué）渠道（dào）、纠（jiū）错救济机（jī）制等复杂（zá）的规则和执（zhí）行（háng）体系。经济（jì）成本、专（zhuān）业能（néng）力、技（jì）术和管理、组织（zhī）资源等（děng）方面（miàn），都会（huì）对平（píng）台提出相当高的（de）要求。”刘晓春说，基础性服（fú）务平台是（shì）否（fǒu）具有能力对（duì）平（píng）台内其他经营者的个人信息合规情（qíng）况展开（kāi）审核？而且，平台内经营者运作和使用过（guò）程中的（de）个人信（xìn）息收集和（hé）处理过程，并不一定能够由基（jī）础性服务平台直（zhí）接监测（cè）和发现。这些都有（yǒu）待进一步探索和完善（shàn）。

周汉（hàn）华表（biǎo）示，《个人信（xìn）息（xī）保护法》在第一条就明（míng）确了“根据宪法”，这几个字（zì）有非（fēi）常重大的意义。这表明《个人（rén）信息保护法》的立法（fǎ）依据是我国宪法规定的“公民的人格尊（zūn）严与自由（yóu）不受侵犯”，表（biǎo）明《个人（rén）信息保护（hù）法（fǎ）》也是个人（rén）信（xìn）息保护领域的基本法。也就是（shì）说，如果出现和其他个人信息保护相关法律规定冲突的情况，应（yīng）该优先（xiān）适（shì）用《个人信（xìn）息保护法》。

孙宪忠认为，《个人信息保护法》实施后，对老百姓而言，最直观的（de）感受（shòu）就（jiù）是数字化的社会生活会更加（jiā）可靠、安（ān）全（quán）。总之，《个人信息保护（hù）法》对整个社会而言是一个很重要的利好。