随着大（dà）数据、人工智能（néng）等互联网（wǎng）新技术的广（guǎng）泛使用，数字化全面（miàn）进（jìn）入我们的日常（cháng）生活（huó），个人信息数（shù）据焦虑（lǜ）成为普遍现象。大数据（jù）杀熟（shú）、人（rén）脸信息过度采（cǎi）集、应用程序（xù）（APP）个人信息泄露，个人信息（xī）安全究竟谁来守护？

《个人信息保护法（fǎ）》完善了个人信息处理规（guī）则，完（wán）善了个（gè）人信息相关投诉举报工作机制（zhì）及违法处理个人信息涉嫌犯罪案件的移送机制，在完善个（gè）人（rén）信息处理（lǐ）规则方面，特别（bié）对APP过度收集个（gè）人（rén）信息、大（dà）数据（jù）杀熟、平台（tái）责（zé）任等作出针对（duì）性（xìng）规（guī）范，将使得（dé）人（rén）们在数字化社会生活（huó）中更（gèng）有安（ān）全（quán）感（gǎn）。

明确个人信息处理（lǐ）合法基础

“《个人信息保护法》并没有禁（jìn）止收集（jí）个人信息，而是反对（duì）过（guò）度收集、强制（zhì）收集和（hé）违法收集。”中国（guó）社会科学（xué）院学部委（wěi）员（yuán）、全国人大（dà）宪法（fǎ）和法律委员会委员孙宪（xiàn）忠说。

孙宪忠表示，社（shè）会上一（yī）度曾对个人（rén）信息泄露感到恐慌和担（dān）忧，但在防控（kòng）疫情的过程中（zhōng），信息化手段提供了很大帮助，这使人们认识到个人信息（xī）的收集在社会管理过程中（zhōng）也大有裨益。在立（lì）法（fǎ）讨论（lùn）中（zhōng）大家（jiā）认为（wéi），我（wǒ）国已经进入信息（xī）化（huà）社会，要积极利用信息（xī）化（huà）的利好方面，但也应认（rèn）识（shí）到，在信息收集和后续的（de）信息加工、管理、应用等环节确实出现了一些问题，因此，《个（gè）人信息保护法》要着力解决这些（xiē）问题（tí）。“《个人信息保护法》进一步完善了处理个人信息的（de）合法性基础，补充了个（gè）人有权（quán）撤回（huí）同意的内容。”中国（guó）信息通信研究院云计算与大（dà）数据（jù）研究所仵（wǔ）姣姣说，“总体而言，《个（gè）人信息保护法》采取（qǔ）了优先保护个（gè）人（rén）权利和社（shè）会公共利益的路径。”

仵姣姣表示，《个（gè）人信息保护法》列（liè）举了个人信息处理的合法基础，包（bāo）括授（shòu）权同意、为订立（lì）或履行个人作为一方当事人的合同所必需、履职必需、应对突发公（gōng）共卫生（shēng）事（shì）件（jiàn）、在（zài）合理的范围内处理（lǐ）已公（gōng）开的（de）信息、公益（yì）目的等（děng）。对信息收集（jí）者（zhě）来说，主要（yào）的数据处理合规基础是被（bèi）收集对象（xiàng）的授权同（tóng）意、合（hé）同必（bì）需和在合理范围（wéi）内处理已公开（kāi）的信息。

如果不授权（quán）就不能使用互联（lián）网（wǎng）应用，这（zhè）一度（dù）是很普（pǔ）遍的现象。仵姣姣认为，尽管（guǎn）消费（fèi）者授权同意，但（dàn）仍存（cún）在能否真正（zhèng）保障（zhàng）个人信息主体的知情（qíng）权、授权同（tóng）意（yì）是否会流于形式、强势（shì）一手数（shù）据源为（wéi）后续（xù）数据流转的参与方带来（lái）权利瑕疵（cī）等问题，但（dàn）实践中已逐渐形（xíng）成一定程度上的范例。例如采用交互式弹窗（chuāng）的形式在用户使用特定功（gōng）能时（shí），逐一获取该功能必需的数据；明确列出数据共（gòng）享的目的（de）及合（hé）作方名单（dān）；在隐私（sī）协议（yì）条款前，简要介绍核心条款（kuǎn）等。

过度索权也是一（yī）直为消费者诟病的（de）行业痼疾。仵姣（jiāo）姣认为，合同（tóng）一（yī）定要（yào）遵循最小必（bì）要原则（zé），商家需（xū）要审慎衡量获（huò）取的数据类型是（shì）不是提供相关产（chǎn）品和服务（wù）的必要前（qián）提。

信息（xī）社会发（fā）展到今天，一般（bān）人都有几十、上百条注（zhù）册信息（xī）、授权同意信息，其中很多都不再使用，但却普（pǔ）遍存在不支（zhī）持注销账户、撤回同意投诉无门等问题。仵（wǔ）姣姣表示，《个人信（xìn）息保护法》专门赋予个人撤回同意的权（quán）利，明（míng）确要求商家必须提（tí）供便（biàn）捷的撤回同（tóng）意方式。此外还明确，撤回同意不（bú）影响撤（chè）回前基于个（gè）人（rén）同意已进行的个人信息处（chù）理活动的效力（lì）。

“由（yóu）于数据存在极强（qiáng）的可复制性，个人信息主体在给出首次授权同意后，对于姓名、身份证号、手机号、地址等相对（duì）静态（tài）的信（xìn）息很容易失（shī）去控制权，即（jí）使在撤回同意后（hòu），个（gè）人及（jí）每（měi）一环节数据处理者也很（hěn）难（nán）控制数据的（de）后续（xù）流转。”仵姣姣认为，商家（jiā）要确保在用户撤回同意后，相关（guān）数据被终止收集（jí），必要时也需要对其（qí）进行删除或匿名化。

遏制大（dà）数（shù）据（jù）杀熟行为（wéi）

大数（shù）据杀熟近年来被广泛讨论（lùn）。在同一网站上，相同（tóng）的商品或服务（wù）不同的人购买（mǎi）价格（gé）却不一样，这（zhè）就可（kě）能是被“杀熟”了。大（dà）数据（jù）杀熟是指一种（zhǒng）个性化定（dìng）价，商家通过分析消（xiāo）费者个人信息形成画像，利（lì）用算法对（duì）每个消费者（zhě）的支付意愿进行精（jīng）准评估和预测，预（yù）测消费者（zhě）最高保留价格，并以此就同（tóng）一商品或（huò）服务向不同消费者设置（zhì）不同价（jià）格。中国信息通（tōng）信研究院互联网法律研究中（zhōng）心高级研究员、个人信息保护立法研究团（tuán）队负（fù）责人杨（yáng）婕认为，这种（zhǒng）歧视性（xìng）定价策略，其实意味着（zhe）商家（jiā）可以过（guò）度（dù）、无限（xiàn）制、不合理（lǐ）地（dì）剥夺消费者，损害消（xiāo）费者权益。

“《个人（rén）信息保护法》中的第二十四（sì）条（tiáo），对于（yú）大数据杀熟（shú）问题作出明确的规（guī）定。”杨婕说，《个人信（xìn）息保护法》明确要（yào）求商家（jiā）保（bǎo）证自动化决策的（de）透明（míng）度和（hé）结果的公（gōng）平、公正，在事（shì）前进行个人信息保（bǎo）护影响（xiǎng）评估（gū），不得对（duì）个人（rén）在交易（yì）价格等交易条件上（shàng）实行不合（hé）理（lǐ）的（de）差别待遇，并赋予（yǔ）个人（rén）包括选择权（quán）、知情权在（zài）内的更充分的权利。

杨婕表示，考（kǎo）虑到个人信息处理活动的多样性、算法运行机制的不透（tòu）明性以及决（jué）策（cè）结果的（de）不确定性，《个（gè）人信息保护法（fǎ）》规定无（wú）论（lùn）商家是否具有市场支配地位（wèi），只要其利用个（gè）人信（xìn）息进（jìn）行自动化决（jué）策，对个（gè）人在交易价格等交易（yì）条件上实行不合理（lǐ）的差别待遇（yù），就是法律所禁止的（de）行为。“所涉及的（de）适用对象全面，辐射范围广泛，有助（zhù）于（yú）彻底解（jiě）决大数（shù）据杀熟问题。”杨婕说。

中（zhōng）国首席数据（jù）官联盟专家组成员、法律顾问，观韬（tāo）中茂（上海）律师（shī）事务所合伙人王渝伟说，今年2月7日，《国务院（yuàn）反（fǎn）垄断委员会（huì）关于平台经（jīng）济领域的反垄断指南（nán）》发布，遏（è）制平台经营者利用其垄断地位进行大数据杀熟、强（qiáng）迫商家“二选一”等不公平竞争等（děng）行为。随着《个人信息保护法》的实施，数据（jù）可携带（dài）权等权益的实现，将有力保障（zhàng）数据在不（bú）同经营者之间的（de）流动，促（cù）进经营者公平竞争。

APP个（gè）人（rén）信息保护设专章

“你（nǐ）在家里住得好好的，结（jié）果总有人（rén）打电话骚扰你；刚生了（le）孩子（zǐ）从医院回来，走在路上（shàng）就（jiù）有人向你（nǐ）推销（xiāo）纸尿裤等，很显（xiǎn）然你的个人信息被泄露了。”孙（sūn）宪（xiàn）忠说。这种情况（kuàng）不属于个人信息收集环（huán）节（jiē），而属于信息收（shōu）集之后的“占有和加（jiā）工管理”环（huán）节。对此，《个人信息保护法》第五十二条（tiáo）明确（què）规定，个人信息收（shōu）集者应该对收（shōu）集来的信息进行妥善（shàn）的监督和保管（guǎn）。

据（jù）工业和信息化部统计，截至2020年底，国内市场上（shàng）监测（cè）到的APP数量（liàng）为345万款。海（hǎi）量（liàng）的APP在（zài）带来生活便利的同时，强制（zhì）索权、过度收集、滥用（yòng）和（hé）泄漏个人信息等（děng）问题也层出不穷。

杨婕表示，小程序、快应用（yòng）、H5页面等新应（yīng）用形态不（bú）断出现，麦克（kè）风被窃听、通（tōng）信录被（bèi）窃取、相（xiàng）册非授权（quán）被读写等（děng）问题不断曝出，亟需从法（fǎ）律层面遏制（zhì）APP滥用个人信息的现象。《个人信（xìn）息保护（hù）法》增（zēng）加（jiā）了对于APP个（gè）人信息（xī）保护的专门（mén）性规定，其（qí）中第六十一（yī）条将（jiāng）“组织对应用程序等个人信息保护情（qíng）况进行测评，并公布（bù）测评结果”新设为履行（háng）个人（rén）信息（xī）保护职责的部门的职（zhí）责；第六十六条将“对违法（fǎ）处（chù）理个人信（xìn）息的应用程序，责令（lìng）暂停或者终止提供服务”，增加为履行个人信（xìn）息保护职（zhí）责的（de）部门对违法（fǎ）主体可（kě）采（cǎi）取的处罚手段。

中国社会科学（xué）院法学研究所副所长周汉华说（shuō），从（cóng）适（shì）用的对象上来看，《个（gè）人信息保护法》把（bǎ）政府机关和市（shì）场主（zhǔ）体一并纳入规范的（de）对象。

新增了对具有管理公共事务职能的组（zǔ）织的规范要求。孙宪忠说，《个（gè）人信息保护法》影（yǐng）响最大的就是负责收集（jí）个人（rén）信息的部门，包括政府部（bù）门、大型企业等。第五十七条明确提出，个人信息发生泄（xiè）露，个人信息处理者即信息掌管（guǎn）者要立即（jí）采取补救措（cuò）施。具体来说（shuō），是指网信部（bù）门或者是（shì）相关管理机构等，要设法（fǎ）采取补救性措施（shī）。

孙宪忠说，就（jiù）个人而言，如（rú）果发现自己的个（gè）人信息（xī）已经被泄露，可（kě）以（yǐ）依（yī）据《个人信息保（bǎo）护法》第（dì）六十一条（tiáo）第（dì）二项的规定，积极（jí）向网信部门、市场监督管（guǎn）理部门（mén）等相关管理（lǐ）机构投诉（sù）。

“明确（què）个（gè）人信息侵权（quán）行为的归责（zé）原则（zé）为（wéi）过错（cuò）推定，是对（duì）用户权益的有力保护。”仵姣姣（jiāo）说。《个（gè）人信息保护法》明确了当个人信息权益因个人信息处理活动受到侵害时，个人信息处理者不能证明自己没有（yǒu）过错的，应当（dāng）承担损害（hài）赔（péi）偿等侵权（quán）责任。换言之，个人（rén）信息处理（lǐ）者如果（guǒ）不能证（zhèng）明自己在数（shù）据处（chù）理、数（shù）据保护中不（bú）存在（zài）过（guò）错，将在诉（sù）讼中（zhōng）面临一定程（chéng）度的败诉风（fēng）险。

这在司法实践中实际上已（yǐ）有先例。如此前消费者庞理鹏（péng）诉中国（guó）东方（fāng）航空股份有（yǒu）限公（gōng）司、北（běi）京趣拿信息技术有限公司隐私权纠纷案，被告（gào）企业被要求证（zhèng）明自（zì）己不存在过（guò）错、已履行（háng）的信息安全保护义务（wù）以及个人（rén）信（xìn）息的具体（tǐ）泄（xiè）露方以（yǐ）及泄露（lù）的具体（tǐ）环（huán）节，并最终由于难以提供相关证据（jù）而败诉。

人（rén）脸识别（bié）条款亮点多（duō）

“《个人信息（xī）保护法（fǎ）》对人脸信息的保护（hù）亮点很多。”中国（guó）信息通信（xìn）研究院云计（jì）算与大数（shù）据研究（jiū）所人工智能（néng）部呼娜英说（shuō）。人脸作（zuò）为人类社会相互识（shí）别和验证的（de）通用身份标识（shí）符，具有（yǒu）直接（jiē）识别性、独（dú）特性、唯一性、易获取（qǔ）性等特点（diǎn）。在（zài）人工智能赋能深度广度（dù）不断加强的科技浪潮下，人（rén）脸识别技（jì）术商业化进程不断加速。从（cóng）此前的《最高人民法院关于审理使（shǐ）用人脸识别技术（shù）处理个人信息（xī）相关民事案件适用法律若干问题（tí）的规定》到（dào）目前的《个（gè）信息保护法》，都规定人脸识别（bié）属于敏感个（gè）人信（xìn）息，需（xū）要（yào）遵循特殊规则进行保护（hù）、处理。

人脸识别（bié）技（jì）术应用需（xū）满足“特定（dìng）目（mù）的”及（jí）“充分（fèn）必要”。呼娜英表示，此前的最高（gāo）人民法院（yuàn）对人脸识别的司（sī）法解释中已经明确，物业、建（jiàn）筑（zhù）物管理人不得仅以人脸识别作为唯一门禁方式，企业亦（yì）不得以（yǐ）捆绑、强迫形式获得消费者（zhě）同意人脸信息处理。《个（gè）人（rén）信息保（bǎo）护（hù）法》明（míng）确要求（qiú），个（gè）人信息处理者在处理敏感（gǎn）个人信（xìn）息前，需存在“特定的目的”及“充分（fèn）的（de）必要（yào）性”。呼娜英认为（wéi），该条款对处理敏感（gǎn）个人信息提（tí）出（chū）了更高的要求。目的正当性（xìng）和必（bì）要性不仅仅是指合法合规（guī），还蕴含着符合目的限制、诚实信用和公开透明（míng）的要求。“这样（yàng）一来，零售商（shāng）要求刷脸进出（chū）或支付、小区要求刷（shuā）脸进（jìn）出、楼（lóu）宇闸机要（yào）求刷脸登机等场景，将可（kě）能因缺（quē）乏目的正当（dāng）性和必要性而遭受挑战。”呼娜英说。

单独同意制度。呼娜英说，《个人信息保护法》在“告知+同（tóng）意”规则的基础上，引入了“单独（dú）同意”的要求，规定了需要用（yòng）户“单（dān）独同意”的一（yī）些（xiē）具体场景，包括：处理敏感个人信息、公开或向他人提供个人（rén）信息（xī）（包括在公（gōng）共场所（suǒ）安装图像采集（jí）和个人身份（fèn）识别设备收集的（de）个人（rén）信（xìn）息），以（yǐ）及（jí）向（xiàng）境外提供个人信息等（děng）。

扩张用户（hù）知情（qíng）权（quán），确立（lì）有限（xiàn）制的解释权。《个人信息保护（hù）法（fǎ）》对包括人脸信（xìn）息在内的敏（mǐn）感个人信息保护提出了更高（gāo）的要求，即（jí）信息处（chù）理（lǐ）者应当告知个人（rén）处理敏感个人信息的必要性（xìng）以及对个人（rén）的影响（xiǎng）。“这就进一步切实地保障了用户的知情权。”呼娜英说（shuō）。

加强（qiáng）限制图像采集（jí）、个人身（shēn）份识信息的使用。“《个人信息保护法》在三次审议中不断强化针对（duì）公共（gòng）场所安装（zhuāng）图（tú）像采（cǎi）集、个人（rén）身（shēn）份识别设备的要求。”呼娜（nà）英说。《个人信息保护法》明确规定，商家所（suǒ）收集的个人图像（xiàng）、身份识（shí）别信息“不得用于其他目的（de）”，进一步限缩了图像采集、个人（rén）身份识别的（de）处（chù）理范围。

孙宪忠说，考虑到现在的（de）人脸（liǎn）识别采集方式，很（hěn）多情况下都（dōu）在个体不知情的情（qíng）况下进（jìn）行，因此，《个（gè）人信息保护法》第二十六条规定，在公共场（chǎng）所安装图像采集个人身份识别（bié）设备的时候，其（qí）出发点必（bì）须是要（yào）维护社会公共（gòng）安全，而不能用于其他目的（de）；要符合国家法律规定；安装时要（yào）设（shè）置明（míng）显的提示性标识。

平台“守门人”条款（kuǎn）尚有（yǒu）争议（yì）

对于APP的（de）各种个（gè）人信息（xī）侵权问题，平（píng）台责任是（shì）大家（jiā）关注的（de）焦点。《个人信息保护法》第五十八条进一步完善了（le）平（píng）台“守门人”条款。一是将提供基础性服务的互联网平台修改为提供重要互联网平台服（fú）务；二是在第（dì）一项中补充了按照国家规定建立健（jiàn）全个（gè）人信息保（bǎo）护合规制度体系的义务（wù）；三是单独增加了一项“守门人”义（yì）务，即遵循公开、公（gōng）平、公正的原（yuán）则（zé），制定平台规则，明确平（píng）台（tái）内产品或者（zhě）服务提供者处理（lǐ）个人信息的规范和保护个人信（xìn）息（xī）的义务。

杨婕（jié）认为（wéi），这一规定被认为是强化基础（chǔ）性服务平台的（de）个人信息保护责任、促进其积极展开基（jī）于个人信息保护治（zhì）理的制度设（shè）置（zhì），并能一定程度上为公权力（lì）保护个人信息的实践提供有益补充，是一（yī）个创新性制度设计。

据（jù）杨婕介绍，“数字守门人”的概念（niàn），是2020年12月（yuè）欧盟委员会（huì）公布的《数（shù）字市场（chǎng）法案》中提出的，被认定（dìng）为“守门人（rén）”的平台应（yīng）承担一系列（liè）额外的具体义（yì）务。

中国（guó）人民（mín）大学法学院教授张新宝（bǎo）此前接受媒体采（cǎi）访时表示，对300多万款APP一对一监管难（nán）免力不从心，应（yīng）将部分监（jiān）管职责前移，对实（shí）际上控（kòng）制（zhì）技（jì）术资（zī）源、技术环境（jìng）和运营环境（jìng）的信（xìn）息处理者（zhě），比如（rú）应用程（chéng）序的分发平台（tái）、操（cāo）作系统（tǒng）、大型APP平台等，设置关（guān）键环（huán）节“守门人”在个人信息处中的特别（bié）义务。他认为，目前国内常用的（de）应用平台分发（fā）系统不超过80个，移动终端操作系统不超过10组，搭载小程序（xù）的大型APP平台不超过（guò）5个，将部分监管职责前移到关（guān）键环节“守门人（rén）”，就不用面对海（hǎi）量的（de）APP一（yī）对一进行监督管理。

中（zhōng）国社会科学院（yuàn）大学互联网法治研究中（zhōng）心执行主任（rèn）刘晓春认为，在个人信息保护（hù）领（lǐng）域（yù），设立通过平台实（shí）现治（zhì）理的规则，即通常所说的“守门人”制度，一方面是法律对于平台（tái）责（zé）任在个人信息（xī）保护领域的（de）扩（kuò）展；另一方面（miàn），也会构成法律对于负有此等责任（rèn）平台的一（yī）种赋权，进一步扩大（dà）了（le）大型基础性平（píng）台制定规则、展（zhǎn）开治理（lǐ）、采（cǎi）取措施方面的实质性权力。若没有相应（yīng）的制（zhì）约性（xìng）配套制（zhì）度，则有可能会造成平台地位在个人（rén）信息保护领域的强化，并且带（dài）来权力滥用的可（kě）能性，这也正是目前国内外针对（duì）平（píng）台的“守门人”地位及其（qí）滥用（yòng）行为对（duì）于（yú）竞争环（huán）境产生不良影响（xiǎng）的担忧焦点（diǎn）所在。“如果赋予电商平（píng）台或社交平（píng）台上（shàng）一（yī）些经营者个（gè）人信（xìn）息审核义务，有可能（néng）会出现权力（lì）滥用，或通过审核（hé）权来进行自我（wǒ）优待、差别待（dài）遇（yù）等。”刘（liú）晓春（chūn）认为，极有可能（néng）出现平台利用个（gè）人（rén）信息治理（lǐ）机制（zhì），进行反竞争投机行为，从而损害平（píng）台（tái）内经营者（zhě），特（tè）别是中小经营（yíng）者的利益。

刘晓春认为，针对制度（dù）可能带来的消极影响进行评估和预判，应建构防范风险、降低成本（běn）的配套措施，可以将个人信（xìn）息保（bǎo）护“守门人”制度可能带来的顾虑（lǜ）和风（fēng）险尽量降到最低。“以目前的平台内（nèi）容治理和知识产权治理为类（lèi）比，这两项都（dōu）需要投入大量人力物力，组建专（zhuān）门（mén）的管理、技（jì）术团队，建（jiàn）立实体判断标准、程序（xù）流程规则、争议（yì）解决渠道、纠错（cuò）救济机制等复（fù）杂（zá）的规则和执行体系。经济成本、专业（yè）能力、技（jì）术（shù）和管理（lǐ）、组（zǔ）织资源等方面，都会对平台提（tí）出相当高的要求（qiú）。”刘晓春（chūn）说（shuō），基础性服务平台是否具有能力对平（píng）台内（nèi）其他经营者的个人信息合规情况展开审核？而且，平台内经营者（zhě）运作和使用过程中的个人信息（xī）收集（jí）和（hé）处（chù）理过程，并不一定能够由基（jī）础性（xìng）服务平（píng）台直接监测和发现（xiàn）。这些都有待进一步探索和（hé）完善。

周（zhōu）汉华表示，《个人信息保（bǎo）护（hù）法》在第一（yī）条就明确了“根据宪法”，这几个字（zì）有非常重大的意义。这（zhè）表明《个人信息保护法》的立（lì）法（fǎ）依（yī）据是我国宪法规定的“公（gōng）民的（de）人格尊（zūn）严与（yǔ）自由不受侵（qīn）犯”，表（biǎo）明《个人信息保护法》也是个人信息保护领域的基本法。也就是说，如（rú）果出（chū）现和其他个人信（xìn）息保护相关法律（lǜ）规定冲突的情况，应该优先适用《个人信息保护法》。

孙宪忠（zhōng）认（rèn）为，《个人信（xìn）息保（bǎo）护法》实施后（hòu），对老百姓而言，最直观的感受就是（shì）数字化的（de）社会生活会更（gèng）加（jiā）可靠、安（ān）全。总之（zhī），《个（gè）人信息保护法》对整个社会（huì）而言是一个（gè）很重（chóng）要的利好（hǎo）。