2021年8月20日，《中華人民共和國個人信息保護法》（以下簡稱“個人信息保護法”）經(jīng)十三屆全國人大常委會第三十次會議表決通過并正式發(fā)布，將于2021年11月1日起施行。

與將個人信息作為公民基本人權加以保護，相對嚴格的“歐盟模式”，以及積極利用個人信息，相對寬松的“美國模式”不同，我國個人信息保護法采取“寬嚴相濟”的立法模式，探索出了第三條個人信息保護路徑。

例如，在立法理念上，從“個人本位”進階到“社會本位”，展現(xiàn)出深遠的戰(zhàn)略思維。個人信息保護法在規(guī)則安排上既保護了個人信息權益，又拓展了個人信息處理者利用個人信息的合理空間，也回應了國家機關為履行法定職責或者法定義務處理個人信息的訴求，從而最大化實現(xiàn)社會利益。

在保護路徑上，從單一賦權模式轉變?yōu)槎嘣Ｗo模式，回應了個人信息保護的復雜情形。既明確了個人在個人信息處理活動中的權利，又采取行政干預的方式，對涵蓋國家機關的個人信息處理者進行行為規(guī)制，明確個人信息收集、存儲、使用、加工、傳輸、提供、公開、刪除等處理環(huán)節(jié)的規(guī)則。

其中，在信息通信領域有以下亮點值得關注：

一、 新設個人信息可攜權，增強個人對個人信息移轉與再利用行為的控制

個人信息保護法第四十五條新設了個人信息可攜權，規(guī)定個人請求將個人信息轉移至其指定的個人信息處理者，符合國家網(wǎng)信部門規(guī)定條件的，個人信息處理者應當提供轉移的途徑。

可攜權的設立不但能夠體現(xiàn)立法的前瞻性，還能夠有效回應大型平臺“數(shù)據(jù)壟斷”現(xiàn)象。當前，具有先發(fā)市場地位的大型平臺通過在市場早期積累的大量用戶個人信息，逐步形成了不可撼動的行業(yè)地位。大型平臺能夠肆意調整隱私政策，迫使用戶接受不公平的隱私政策。可攜權的設立，強化了用戶自主權，能夠有效破除個人信息流通障礙，以用戶權益為出發(fā)點，形成“用戶主導型”個人信息跨平臺流通，起到防止個人信息鎖定、降低市場準入門檻以及增強平臺之間競爭的效果。

二、 針對“大數(shù)據(jù)殺熟” 規(guī)定不得實行不合理差別待遇

“大數(shù)據(jù)殺熟”是近年來熱議的問題。“大數(shù)據(jù)殺熟”，又稱個性化定價，是指個人信息處理者通過分析消費者個人信息形成畫像，利用算法對每個消費者的支付意愿進行精準評估和預測，預測消費者最高保留價格，并以此就同一商品或服務向不同消費者設置不同價格的行為。這種歧視性定價策略意味著個人信息處理者可以過度、無限制、不合理地剝奪消費者，減損消費者權益。

此前，我國已從反壟斷的制度框架下對歧視性定價問題進行了規(guī)范，規(guī)定禁止具有市場支配地位的經(jīng)營者沒有正當理由，對條件相同的交易相對人在交易價格等交易條件上實行差別待遇。

考慮到個人信息處理活動的多樣性、算法運行機制的不透明性以及決策結果的不確定性，個人信息保護法增加了針對“大數(shù)據(jù)殺熟”的條款，進一步豐富了對歧視性定價問題的規(guī)制路徑。規(guī)定只要個人信息處理者利用個人信息進行自動化決策，對個人在交易價格等交易條件上實行不合理的差別待遇，就是法律所禁止的行為。

三、 規(guī)制移動應用程序（App）濫用個人信息現(xiàn)象

以移動互聯(lián)網(wǎng)為代表的現(xiàn)代信息技術日新月異，不斷推動各類應用程序蓬勃發(fā)展，App在架數(shù)量和用戶規(guī)模持續(xù)擴大，截至2020年底，我國國內(nèi)市場上監(jiān)測到的App數(shù)量為345萬款，已經(jīng)成為個人信息保護的關鍵領域。但相比其他領域，麥克風竊聽、通信錄竊取、相冊非授權讀寫等新問題不斷曝出。

行業(yè)持續(xù)快速發(fā)展帶來了監(jiān)管問題和監(jiān)管對象的動態(tài)性變化。自2019年開始，中央網(wǎng)信辦、工業(yè)和信息化部、公安部和國家市場監(jiān)管總局在全國范圍內(nèi)組織開展App違法違規(guī)收集使用個人信息專項治理工作，加大個人信息保護力度。隨后，工信部等部委充分利用技術檢測優(yōu)勢，開展App用戶權益保護測評工作，各類主體積極配合整改，取得積極成效。

為從法律層面規(guī)制App濫用個人信息現(xiàn)象，個人信息保護法增加了對于App個人信息保護的專門性規(guī)定。其中，將“組織對應用程序等個人信息保護情況進行測評，并公布測評結果”新設為履行個人信息保護職責的部門的職責；將“對違法處理個人信息的應用程序，責令暫停或者終止提供服務”增加為履行個人信息保護職責的部門對違法主體可采取的處罰手段。

四、 對大、小型個人信息處理者進行區(qū)分，體現(xiàn)差異化和匹配性的制度設計

不同規(guī)模的個人信息處理者，在處理個人信息的技術水平、風險和模式上存在差異，因此制度設計需要“因人而異”。

強化對于大型個人信息處理者的監(jiān)管，配置與其控制力和影響力相適應的個人信息保護特別義務，已基本形成共識。2020年12月，歐盟委員會公布了《數(shù)字市場法案》，提出了數(shù)字守門人的概念，被認定為守門人的平臺應承擔一系列額外的具體義務。

我國個人信息保護法（二審稿）也創(chuàng)設性規(guī)定了中國版的數(shù)字守門人條款，明確提供基礎性互聯(lián)網(wǎng)平臺服務、用戶數(shù)量巨大、業(yè)務類型復雜的個人信息處理者，應當承擔額外的個人信息保護義務。

個人信息保護法第五十八條進一步完善了守門人條款。一是將提供基礎性互聯(lián)網(wǎng)平臺服務修改為提供重要互聯(lián)網(wǎng)平臺服務；二是在第一項中補充了按照國家規(guī)定建立健全個人信息保護合規(guī)制度體系的義務；三是單獨增加了一項守門人義務，即遵循公開、公平、公正的原則，制定平臺規(guī)則，明確平臺內(nèi)產(chǎn)品或者服務提供者處理個人信息的規(guī)范和保護個人信息的義務。

然而，對于小型個人信息處理者，是否應進行部分義務的豁免，全球范圍內(nèi)還處于探索階段。我國個人信息保護法同樣回應了小型個人信息處理者問題，明確由國家網(wǎng)信部門針對小型個人信息處理者制定專門個人信息保護規(guī)則、標準的規(guī)定。這一規(guī)定留出了針對小型個人信息處理者的立法空間，下一步國家網(wǎng)信部門可以在降低要求、責任豁免等方面對小型個人信息處理者作出專門規(guī)則設計。

（楊婕，作者系中國信息通信研究院互聯(lián)網(wǎng)法律研究中心高級研究員，個人信息保護立法研究團隊負責人）