醞釀多年的《中華人民共和國個(gè)人信息保護(hù)法》終于在2021年8月20日出臺(tái)，作為“百年未有之大變局”的制度回應(yīng)，個(gè)人信息保護(hù)法外引域外立法智慧，內(nèi)接本土實(shí)務(wù)經(jīng)驗(yàn)，熔“個(gè)人信息權(quán)益”的私權(quán)保護(hù)與“個(gè)人信息處理”的公法監(jiān)管于一爐，統(tǒng)合私主體和公權(quán)力機(jī)關(guān)的義務(wù)與責(zé)任，兼顧個(gè)人信息保護(hù)與利用，奠定了我國網(wǎng)絡(luò)社會(huì)和數(shù)字經(jīng)濟(jì)的法律之基。為了充分理解個(gè)人信息保護(hù)法的內(nèi)涵，我們不妨從世界維度與中國維度著眼，以展現(xiàn)其深遠(yuǎn)意義。

順應(yīng)世界潮流

個(gè)人信息保護(hù)的立法可追溯至德國黑森州1970年《資料保護(hù)法》。此后，瑞士（1973）、法國（1978）、挪威（1978）、芬蘭（1978）、冰島（1978）、奧地利（1978）、冰島（1981）、愛爾蘭（1988）、葡萄牙（1991）、比利時(shí)（1992）等國的個(gè)人信息保護(hù)法亦景從云集。在大西洋彼岸，1973年美國發(fā)布“公平信息實(shí)踐準(zhǔn)則”報(bào)告，確立了處理個(gè)人信息處理的五項(xiàng)原則：（1）禁止所有秘密的個(gè)人信息檔案保存系統(tǒng)；（2）確保個(gè)人了解其被收集的檔案信息是什么，以及信息如何被使用；（3）確保個(gè)人能夠阻止未經(jīng)同意而將其信息用于個(gè)人授權(quán)使用之外的目的，或者將其信息提供給他人，用作個(gè)人授權(quán)之外的目的；（4）確保個(gè)人能夠改正或修改關(guān)于個(gè)人可識(shí)別信息的檔案；（5）確保任何組織在計(jì)劃使用信息檔案中的個(gè)人信息都必須是可靠的，并且必須采取預(yù)防措施防止濫用。在“公平信息實(shí)踐準(zhǔn)則”所奠定的個(gè)人信息保護(hù)基本框架之上，美國《消費(fèi)者網(wǎng)上隱私法》《兒童網(wǎng)上隱私保護(hù)法》《電子通訊隱私法案》《金融服務(wù)現(xiàn)代化法》（GLB）《健康保險(xiǎn)流通與責(zé)任法》（HIPAA）《公平信用報(bào)告法》相繼出臺(tái)。

進(jìn)入21世紀(jì)，在數(shù)字化浪潮的推動(dòng)下，個(gè)人信息保護(hù)的立法陡然加速。2000到2010年，共有40個(gè)國家頒布了個(gè)人信息保護(hù)法，是前10年的兩倍，而2010年到2019年，又新增了62部個(gè)人信息保護(hù)法，比以往任何10年都要多。延續(xù)這一趨勢，截至2029年將會(huì)有超過200個(gè)國家或地區(qū)擁有個(gè)人信息保護(hù)法。

我國個(gè)人信息保護(hù)法正是此歷史進(jìn)程中的重要一環(huán)?；仡欉^往，世界個(gè)人信息保護(hù)法迄今已經(jīng)歷了三代。第一代以經(jīng)合組織1980年《關(guān)于隱私保護(hù)與個(gè)人數(shù)據(jù)跨境流通指引》和1981年歐洲理事會(huì)《有關(guān)個(gè)人數(shù)據(jù)自動(dòng)化處理之個(gè)人保護(hù)公約》為起點(diǎn)。第二代以歐盟1995年《個(gè)人數(shù)據(jù)保護(hù)指令》為代表，其在第一代原則的基礎(chǔ)上加入了包括“數(shù)據(jù)最少夠用”“刪除”“敏感信息”“獨(dú)立的個(gè)人信息保護(hù)機(jī)構(gòu)”等要素。第三代即為2018年生效的歐盟《通用數(shù)據(jù)保護(hù)條例》（GDPR）。與第二代相比，GDPR大大拓展了信息主體權(quán)利，并確立了一系列新的保護(hù)制度。我國個(gè)人信息保護(hù)法采取“拿來主義、兼容并包”的方法，會(huì)通各國立法，借鑒世界第三代個(gè)人信息保護(hù)法的先進(jìn)制度，鑄就熨帖我國國情的規(guī)則設(shè)計(jì)。這主要體現(xiàn)在：

其一，在體例結(jié)構(gòu)上，將私營部門處理個(gè)人信息和國家機(jī)關(guān)處理個(gè)人信息一體規(guī)制，除明確例外規(guī)則外，確保遵循個(gè)人信息保護(hù)的同一標(biāo)準(zhǔn)?；诖耍瑐€(gè)人信息保護(hù)法兩線作戰(zhàn)，即直面企業(yè)超采、濫用用戶個(gè)人信息的痼疾，又防范行政部門違法違規(guī)處理個(gè)人信息的問題，最大限度地保護(hù)個(gè)人信息權(quán)益。其二，在管轄范圍上，個(gè)人信息保護(hù)法統(tǒng)籌境內(nèi)和境外，賦予必要的域外適用效力，以充分保護(hù)我國境內(nèi)個(gè)人的權(quán)益。其三，在“個(gè)人信息”認(rèn)定上，采取“關(guān)聯(lián)說”，將“與已識(shí)別或者可識(shí)別的自然人有關(guān)的各種信息”均囊括在內(nèi)。其四，在個(gè)人信息權(quán)益上，不僅賦予個(gè)人查詢權(quán)、更正權(quán)、刪除權(quán)、自動(dòng)化決策的解釋權(quán)和拒絕權(quán)以及有條件的可攜帶權(quán)等“具體權(quán)利”，而且從中升華為“個(gè)人對(duì)其個(gè)人信息處理的知情權(quán)、決定權(quán)，限制或者拒絕他人對(duì)其個(gè)人信息進(jìn)行處理”的“抽象權(quán)利”，由此形成法定性和開放性兼?zhèn)涞膫€(gè)人信息權(quán)益體系。其五，在個(gè)人信息跨境上，采取安全評(píng)估、保護(hù)認(rèn)證、標(biāo)準(zhǔn)合同等多元化的出境條件。其六，在大型平臺(tái)監(jiān)管上，對(duì)“重要互聯(lián)網(wǎng)平臺(tái)服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的個(gè)人信息處理者”苛以“看門人”義務(wù)，完善個(gè)人信息治理。

貢獻(xiàn)中國智慧

我國個(gè)人信息保護(hù)法決不只是回應(yīng)世界潮流之舉，事實(shí)上，它也是我國法律體系自我完善、自我發(fā)展的必然結(jié)果。從2018年9月個(gè)人信息保護(hù)法被納入“十三屆全國人大常委會(huì)立法規(guī)劃”，位列“條件比較成熟、任期內(nèi)擬提請(qǐng)審議”的69部法律草案之中，到如今個(gè)人信息保護(hù)法正式頒行，看起來不過歷時(shí)三載，但追根溯源，距離2012年《全國人大常委會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》已有10年，距離2003年國務(wù)院信息化辦公室部署個(gè)人信息保護(hù)法立法研究工作已有18年。在近20年的進(jìn)程中，我國個(gè)人信息保護(hù)規(guī)范日漸豐茂，網(wǎng)絡(luò)安全法、新修訂的消費(fèi)者權(quán)益保護(hù)法、電子商務(wù)法、刑法修正案九、民法典等對(duì)個(gè)人信息保護(hù)作出了相應(yīng)規(guī)定，及時(shí)回應(yīng)了國家、社會(huì)、個(gè)人對(duì)個(gè)人信息保護(hù)的關(guān)切。然而，這種分散式的立法，也面臨著體系性和操作性欠缺、權(quán)利救濟(jì)和監(jiān)管措施不足的困境，正因如此，一部統(tǒng)一的個(gè)人信息保護(hù)法正當(dāng)其時(shí)。

任何法律都是特定時(shí)空下社會(huì)生活和國家秩序的規(guī)則，個(gè)人信息保護(hù)法概莫能外。我國個(gè)人信息保護(hù)法以現(xiàn)實(shí)問題為導(dǎo)向，以法律體系為根基，統(tǒng)籌既有法律法規(guī)，體察民眾訴求和時(shí)代需求，將之挖掘、提煉、表達(dá)為具體可感、周密詳實(shí)的法律規(guī)則，以維護(hù)網(wǎng)絡(luò)良好生態(tài)，促進(jìn)數(shù)字經(jīng)濟(jì)發(fā)展。我國個(gè)人信息保護(hù)法的中國智慧和中國方案包括但不限于：

其一，在法律淵源上，將個(gè)人信息保護(hù)上溯至憲法，經(jīng)由憲法第33條第三款“國家尊重和保障人權(quán)”、第38條“中華人民共和國公民的人格尊嚴(yán)不受侵犯”、第40條“中華人民共和國公民的通信自由和通信秘密受法律的保護(hù)”，宣誓、夯實(shí)、提升了個(gè)人信息權(quán)益的法律位階。其二，在立法目的上，將“保護(hù)個(gè)人信息權(quán)益”和“促進(jìn)個(gè)人信息合理利用”作為并行的規(guī)范目標(biāo)，秉持“執(zhí)其兩端，用其中于民”的理念，滿足人們對(duì)美好生活的向往。為此，個(gè)人信息保護(hù)法拓展了民法典“知情同意+免責(zé)事由”的規(guī)則設(shè)計(jì)，采取了包括個(gè)人同意、訂立和履行合同、履行法定職責(zé)和法定義務(wù)、人力資源管理、突發(fā)公共衛(wèi)生事件應(yīng)對(duì)、公開信息處理、新聞報(bào)道、輿論監(jiān)督等多元正當(dāng)性基礎(chǔ)。其三，在規(guī)范主體上，將“個(gè)人信息處理者”作為主要義務(wù)人，將“接受委托處理個(gè)人信息的受托人”作為輔助人，承擔(dān)一定范圍內(nèi)的個(gè)人信息安全保障義務(wù)。其四，在保護(hù)程度上，對(duì)于未成年人的個(gè)人信息、特定身份、行蹤軌跡、生物識(shí)別等信息予以更高力度的保護(hù)。其五，在適用場景上，對(duì)于“差別化定價(jià)”“個(gè)性化推送”“公共場所圖像采集識(shí)別”等社會(huì)反映強(qiáng)烈的問題，予以專門規(guī)制；開展公開或向第三方提供個(gè)人信息、處理敏感個(gè)人信息、個(gè)人信息出境等高風(fēng)險(xiǎn)處理活動(dòng)的，應(yīng)當(dāng)取得個(gè)人的“單獨(dú)同意”。其六，在監(jiān)管體制上，個(gè)人信息保護(hù)法采取了“規(guī)則制定權(quán)相對(duì)集中，執(zhí)法權(quán)相對(duì)分散”的架構(gòu)，由國家網(wǎng)信部門統(tǒng)籌協(xié)調(diào)有關(guān)部門制定個(gè)人信息保護(hù)具體規(guī)則、標(biāo)準(zhǔn)，國務(wù)院有關(guān)部門在各自職責(zé)范圍內(nèi)負(fù)責(zé)個(gè)人信息保護(hù)和監(jiān)督管理工作。

“十年辛苦不尋常”，我國個(gè)人信息保護(hù)法是過往世界經(jīng)驗(yàn)和中國智慧的結(jié)晶。但同時(shí)，“徒法不足以自行”，在立法大功告成之后，個(gè)人信息保護(hù)法還有待司法和執(zhí)法的后續(xù)接力，才能真正落地生根，最終成為護(hù)持個(gè)人權(quán)益、激勵(lì)穩(wěn)健發(fā)展、連接國家命運(yùn)的數(shù)字時(shí)代基本法。從出臺(tái)到實(shí)施，個(gè)人信息保護(hù)法依然任重而道遠(yuǎn)。（作者：許可，對(duì)外經(jīng)濟(jì)貿(mào)易大學(xué)數(shù)字經(jīng)濟(jì)與法律創(chuàng)新研究中心執(zhí)行主任）