2021年8月20日，《中華人民共和國個人信息保護法》（以下簡稱“個人信息保護法”）經十三屆全國人大常委會第三十次會議表決通過并正式發布，將于2021年11月1日起施行。

與將個人信息作為公民基本人權加以保護，相對嚴格的“歐盟模式”，以及積極利用個人信息，相對寬松的“美國模式”不同，我國個人信息保護法采取“寬嚴相濟”的立法模式，探索出了第三條個人信息保護路徑。

例如，在立法理念上，從“個人本位”進階到“社會本位”，展現出深遠的戰略思維。個人信息保護法在規則安排上既保護了個人信息權益，又拓展了個人信息處理者利用個人信息的合理空間，也回應了國家機關為履行法定職責或者法定義務處理個人信息的訴求，從而最大化實現社會利益。

在保護路徑上，從單一賦權模式轉變為多元保護模式，回應了個人信息保護的復雜情形。既明確了個人在個人信息處理活動中的權利，又采取行政干預的方式，對涵蓋國家機關的個人信息處理者進行行為規制，明確個人信息收集、存儲、使用、加工、傳輸、提供、公開、刪除等處理環節的規則。

其中，在信息通信領域有以下亮點值得關注：

一、 新設個人信息可攜權，增強個人對個人信息移轉與再利用行為的控制

個人信息保護法第四十五條新設了個人信息可攜權，規定個人請求將個人信息轉移至其指定的個人信息處理者，符合國家網信部門規定條件的，個人信息處理者應當提供轉移的途徑。

可攜權的設立不但能夠體現立法的前瞻性，還能夠有效回應大型平臺“數據壟斷”現象。當前，具有先發市場地位的大型平臺通過在市場早期積累的大量用戶個人信息，逐步形成了不可撼動的行業地位。大型平臺能夠肆意調整隱私政策，迫使用戶接受不公平的隱私政策。可攜權的設立，強化了用戶自主權，能夠有效破除個人信息流通障礙，以用戶權益為出發點，形成“用戶主導型”個人信息跨平臺流通，起到防止個人信息鎖定、降低市場準入門檻以及增強平臺之間競爭的效果。

二、 針對“大數據殺熟” 規定不得實行不合理差別待遇

“大數據殺熟”是近年來熱議的問題。“大數據殺熟”，又稱個性化定價，是指個人信息處理者通過分析消費者個人信息形成畫像，利用算法對每個消費者的支付意愿進行精準評估和預測，預測消費者最高保留價格，并以此就同一商品或服務向不同消費者設置不同價格的行為。這種歧視性定價策略意味著個人信息處理者可以過度、無限制、不合理地剝奪消費者，減損消費者權益。

此前，我國已從反壟斷的制度框架下對歧視性定價問題進行了規范，規定禁止具有市場支配地位的經營者沒有正當理由，對條件相同的交易相對人在交易價格等交易條件上實行差別待遇。

考慮到個人信息處理活動的多樣性、算法運行機制的不透明性以及決策結果的不確定性，個人信息保護法增加了針對“大數據殺熟”的條款，進一步豐富了對歧視性定價問題的規制路徑。規定只要個人信息處理者利用個人信息進行自動化決策，對個人在交易價格等交易條件上實行不合理的差別待遇，就是法律所禁止的行為。

三、 規制移動應用程序（App）濫用個人信息現象

以移動互聯網為代表的現代信息技術日新月異，不斷推動各類應用程序蓬勃發展，App在架數量和用戶規模持續擴大，截至2020年底，我國國內市場上監測到的App數量為345萬款，已經成為個人信息保護的關鍵領域。但相比其他領域，麥克風竊聽、通信錄竊取、相冊非授權讀寫等新問題不斷曝出。

行業持續快速發展帶來了監管問題和監管對象的動態性變化。自2019年開始，中央網信辦、工業和信息化部、公安部和國家市場監管總局在全國范圍內組織開展App違法違規收集使用個人信息專項治理工作，加大個人信息保護力度。隨后，工信部等部委充分利用技術檢測優勢，開展App用戶權益保護測評工作，各類主體積極配合整改，取得積極成效。

為從法律層面規制App濫用個人信息現象，個人信息保護法增加了對于App個人信息保護的專門性規定。其中，將“組織對應用程序等個人信息保護情況進行測評，并公布測評結果”新設為履行個人信息保護職責的部門的職責；將“對違法處理個人信息的應用程序，責令暫停或者終止提供服務”增加為履行個人信息保護職責的部門對違法主體可采取的處罰手段。

四、 對大、小型個人信息處理者進行區分，體現差異化和匹配性的制度設計

不同規模的個人信息處理者，在處理個人信息的技術水平、風險和模式上存在差異，因此制度設計需要“因人而異”。

強化對于大型個人信息處理者的監管，配置與其控制力和影響力相適應的個人信息保護特別義務，已基本形成共識。2020年12月，歐盟委員會公布了《數字市場法案》，提出了數字守門人的概念，被認定為守門人的平臺應承擔一系列額外的具體義務。

我國個人信息保護法（二審稿）也創設性規定了中國版的數字守門人條款，明確提供基礎性互聯網平臺服務、用戶數量巨大、業務類型復雜的個人信息處理者，應當承擔額外的個人信息保護義務。

個人信息保護法第五十八條進一步完善了守門人條款。一是將提供基礎性互聯網平臺服務修改為提供重要互聯網平臺服務；二是在第一項中補充了按照國家規定建立健全個人信息保護合規制度體系的義務；三是單獨增加了一項守門人義務，即遵循公開、公平、公正的原則，制定平臺規則，明確平臺內產品或者服務提供者處理個人信息的規范和保護個人信息的義務。

然而，對于小型個人信息處理者，是否應進行部分義務的豁免，全球范圍內還處于探索階段。我國個人信息保護法同樣回應了小型個人信息處理者問題，明確由國家網信部門針對小型個人信息處理者制定專門個人信息保護規則、標準的規定。這一規定留出了針對小型個人信息處理者的立法空間，下一步國家網信部門可以在降低要求、責任豁免等方面對小型個人信息處理者作出專門規則設計。

（楊婕，作者系中國信息通信研究院互聯網法律研究中心高級研究員，個人信息保護立法研究團隊負責人）