2021年8月20日，十三届全国人大常委会第三十次会议表决通过《中华人民共和国个人信息保护法》，自11月1日起施行。值得注意的是，这是我国首部针对个人信息保护的专门性立法。我们已经全面进入信息化时代，个人信息保护已成为广大人民群众最关心最直接最现实的利益问题之一。《个人信息保护法》共8章74条，聚焦个人信息保护领域的突出问题和人民群众的重大关切。

在原法律体系的基础上，《个人信息保护法》进一步细化、完善了个人信息保护应遵循的原则和个人信息处理规则，明确个人信息处理活动中的权利义务边界，健全了个人信息保护工作体制机制。上一期我们向大家介绍了八个亮点问题，今天我们继续来聊聊老百姓关心的几个话题。

数字时代的《个人信息保护法》，是保障个人信息权益乃至宪法性权利的基本法。现如今，在一切皆可被数据测量，皆可以被数字评判的今天，因此，《个人信息保护法》并不止步于保障个体对个人信息的处分，而是以人为核心，以人为本位的数字社会的权利界碑，这是党和国家“以人民为中心”的切实体现。

近年来我们可以很明显地看到国家关于个人信息保护相关立法的两条主线。从个人信息角度，传统法律的制定、修订工作，给予了高度的关注：《消费者权益保护法（修订）》（2013）、《刑法修正案》（九）（2015）、《民法总则》（2017）、《民法典《人格权编》（2020）都补充了个人信息保护相关条款。

同时，我国网络数据立法整体加快。以2012年《全国人大关于加强网络信息保护的决定》为开端，《网络安全法》（2016）、《电子商务法》（2017）以及前不久的《数据安全法》（2021）陆续出台。

这些散落在各个法律中的条款一定程度上回应了公众的关切，但尚未全面建立起个人信息保护法律体系。直至2018年9月，《个人信息保护法》正式纳入人大立法规划，在历经三年起草制定工作后，于2021年8月20日正式出台。自此，我国终于形成了以《网络安全法》《数据安全法》《个人信息保护法》三法为核心的网络法律体系，为数字时代的网络安全、数据安全、个人信息权益保护提供了基础制度保障。

生活中大部分网上购物应该都会有这样的体验，在搜索一类产品后，平台会针对这类产品集中推送，仿佛把我们的视野局限，这样导致的结果，就仿佛我们的生活被数据算法禁锢，我们看到的商品价格都是算法基于我们的个人信息自动化得出，必然就存在个体之间的差异，平台就会对我们进行差异化定价。前一段时间的“携程大数据案”就是一个典型的例子。“大数据杀熟”行为违反了诚实信用原则，侵犯了消费者权益保护法规定的消费者享有公平交易条件的权利，应当在法律上予以禁止。

对此，个人信息保护法第二十四条就明确规定：“个人信息处理者利用个人信息进行自动化决策，应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇。”

那么相关互联网平台的APP，在后续肯定是需要重新调整与用户之间的协议，达到《个保法》所要求的透明公开，这是企业必须要做出调整的。对于我们老百姓来说，我们可以根据我们自己的喜好与生活习惯来决定，是否需要授权给这些APP过多的个人信息，我们完全可以拒绝我们认为不合理的信息收集，同时呢APP还不能拒绝对我们提供服务。之前如果说还只是趋势，现在《个保法》出台，其明确的规定，可以说是给我们老百姓一个肯定的回复了。

全球化是不可逆的潮流，我们的《个保法》对此是有充分准备的。正如全国人大常委会法工委经济法室副主任杨合庆说的一样：“个人信息保护法构建了一套清晰、系统的个人信息跨境流动规则，以满足保障个人信息权益和安全的客观要求，适应国际经贸往来的现实需要。”

怎么理解呢，其实个人信息保护的核心命题始终都绕不开如何平衡好个人权益保护与促进数据利用的关系，这是两个价值之间的冲突与调和，我们既要保证老百姓的个人信息得到充分保护，但同时也要在合理适度范围内充分发掘运用我们的数据资源，以适应数字化经济的发展，否则就是矫枉过正，固步自封。其实国外已有前车之鉴，欧盟通用数据保护条例（GDPR）以“权利保护”而闻名于世，但也始终无法摆脱阻碍欧盟数字经济发展的质疑。

所以我们来具体看我们的《个保法》如何搭建这样一个平衡的体系的。

首先，明确以向境内自然人提供产品或者服务为目的，或者分析、评估境内自然人的行为等，在我国境外处理境内自然人个人信息的活动适用本法，并要求符合上述情形的境外个人信息处理者在我国境内设立专门机构或者指定代表，负责个人信息保护相关事务；我们基本是沿用国际上的通用做法，也是情理之中的，对于要来我们国家开展相关工作需要处理我们境内个人信息的企业等主体肯定是需要适用我们的个保法的；但是目前来看我们在限度上并没有完全参照欧美等国，我国应当说仍然秉承着友好开放的态度，尽管仍然有一些基础审查上的要求，但可以看出我国对于“境外入境内”处理个人信息是友好开放的态度。

而我们“境内出境外”对于个人信息保护则是相对严格的，同时和《数据安全法》有一定的衔接。一是，明确向境外提供个人信息的途径，包括通过国家网信部门组织的安全评估、经专业机构认证、订立标准合同、按照我国缔结或参加的国际条约和协定等；二是，要求个人信息处理者采取必要措施保障境外接收方的处理活动达到本法规定的保护标准；三是，对跨境提供个人信息的“告知-同意”作出更严格的要求，切实保障个人的知情权、决定权等权利；四是，为维护国家主权、安全和发展利益，对跨境提供个人信息的安全评估、向境外司法或执法机构提供个人信息、限制跨境提供个人信息的措施、对外国歧视性措施的反制等作了规定。

概而言之，就是国家网信部门要统筹相关部门对向境外提供境内个人信息的行为进行充分的监管，要切实保证在维护我们百姓的个人信息安全和维护国家整体数据安全和国家安全的前提下进行国际合作和交流。这是我们对个人权利保护，数字创新发展和国家数据安全的综合平衡，也是中国在当前全球数字治理中的制度贡献。

行政责任方面，根据《个保法》第六十三条的规定、第六十四条的规定，以及第六十六条的规定，“违反本法规定处理个人信息，或者处理个人信息未履行本法规定的个人信息保护义务的，…有前款规定的违法行为，情节严重的，由省级以上履行个人信息保护职责的部门责令改正，没收违法所得，并处五千万元以下或者上一年度营业额百分之五以下罚款…”从上述规定，可以看出，我国针对数据安全，未来可以采取的行政执法措施中，比较有威慑力的是现场检查、对相关设备进行查封或者扣押。而在处罚上，5000万元或者上一年度营业额百分之五以下罚款，是本法最有威慑力的行政处罚措施。值得所有企业关注和重视。虽然情节严重的标准虽然并不清楚，但是未来相关执法措施、自由裁量标准会越来越明确。

民事责任方面，本法中还有条款从民事角度对个人信息处理者进行了特殊规定，个人信息处理者如果不能证明自己没有过错的，应当承担损害赔偿等侵权责任。这也就是我们平常民法上所说的“过错推定”，举个例子，我们简单理解，我们老百姓仅仅需要说明我们在使用这款APP时，有我们认为的不合理的信息收集要求，我们权利因此受到了损害。这些信息处理者必须拿出很明确的证据来予以否认，而我们百姓仅仅需要对我们的受侵害情况进行描述即可。这大大加强了对用户的保护，加重了处理者的责任，个保法通过责任分配，向用户倾斜，加大力度严格规范处理者的行为。

刑事责任方面，则明确提出相关组织可以提起公益诉讼，明显加强了对人民的保护，对人民个人信息安全的高度重视。