視頻|華楠直播間第29期：十問個保法

8月20日，十三屆全國人大常委會第三十次會議表決通過中華人民共和國個人信息保護法，《個保法》將從今年的11月1號起正式施行。

《個保法》共8章，其中明確了個人信息泄露和濫用的邊界，也進一步強化了相關部門的監管職責，這也意味著今后一旦出現個人信息泄露的問題，將會有法可依。

鈦媒體APP華楠直播間第29期連線了多位《個保法》立法代表、數據合規律師等專家，共同解讀《個保法》。

以下為直播文字實錄，經鈦媒體APP編輯

?

華楠：本次直播間我們連線到《個保法》立法的專家代表、學者代表、數據合規律師代表以及企業的數據合規代表，一起解讀《個保法》。先給大家介紹一下本期嘉賓：

邢會強：《個保法》立法學者代表，中央財經大學法學院教授

楊婕：《個保法》立法專家代表，中國信息通信研究院互聯網法律研究中心研究員

龐理鵬：北京策略律師事務所律師、DPO數據合規律師代表、國內隱私權糾紛第一案當事人

向麗：企業DPO數據合規代表

本期直播就《個保法》三審稿的修改要點、對不滿十四周歲未成年人規則設定、如何界定“大數據殺熟”、個人信息被泄露后的維權方式、對于企業有何影響等內容進行深度解讀。

Q1:《個保法》出臺有怎樣的背景和意義？

立法學者代表 邢會強：從國際背景來講，我將個人信息保護法的發展過程分為三個階段，第一個階段是上世紀七八十年代，個人計算機開始出現，對個人信息的處理速度大大加快，第一代的個保法是德國在1976年出臺的個人信息保護法。

第二個階段，是上世紀90年代，互聯網出現之后，對于個人信息的收集更加地便捷，所以就有了以95年歐盟關于個人信息處理的指令為代表的個人信息保護法。

第三個階段，是在大數據的技術和產業出現之后，2016年后，以歐盟GDPR為代表的個人信息保護法，屬于第三代的個人信息保護法。

從國內背景來講，我們在2003年提出要制定個人信息保護法，2005年拿出了專家的建議稿，但是遺憾的是那時候我們的互聯網剛興起，新浪等門戶網站也剛在美國上市，大家對于個人保護的意識還不是很強烈，因此，雖然個人信息保護法被提出，但基本上處于擱置狀態。

隨著2010年以來，個人信息保護法的研究所和相關機構的呼吁，所以2018年開始列入了立法規劃。到2019年開始起草草案，2020年開始一審，2021年4月份是二審，今年8月份是三審并且通過。

《個保法》的大背景是數字經濟的蓬勃發展，數據作為生產要素寫入了黨的文件，我們要發揮大數據的紅利，又要切實保護個人的權益。所以制定一個個人信息保護法是非常必要，也是非常迫切的。

從全球來講，目前已經有130多個國家都有了個人信息保護法，雖然中國的個人信息保護法算是姍姍來遲，但作為個人信息保護法的3.0的版本，它可以說是國際目前最先進的個人信息保護法之一。

它很好地兼顧了個人信息的保護與大數據發展的平衡，從個人信息保護這個角度來講，它賦予了個人更多的權利。

Q2:如何理解本次《個保法》新增設的個人信息可攜權？

立法專家代表 楊婕：可攜權它是一個具有很強法律專業性，而且強技術性的概念，簡單地說，可攜權，就是我們可以請求將自己的個人信息從a平臺轉移至b、或者d平臺，這樣一個過程。

一直以來，社會各界普遍認為應當在個人信息保護法中設定可攜權，這樣可以有效減少大型平臺數據壟斷的現象。

很多大型平臺利用它先發市場的地位，逐步積累大量的用戶個人信息，形成了不可撼動的行業地位。因為不可撼動，所以往往他們會采取一些手段排擠競爭對手，迫使用戶接受一些不公平的隱私政策。

舉個例子，以往打開一些APP，它會提示開放權限否則無法使用，或者在很多不具有必要性的場景下，向我們索取通訊錄、麥克風的權限等等。那么有了可攜權后，它強化了用戶的自主權，用戶可以決定自己個人信息的轉移和再利用行為，有助于形成用戶主導型的個人信息跨平臺流通機制，能夠起到促進市場競爭，防止個人信息被鎖定的一個效果。

同時我們也應該注意到，個人信息保護法對于可攜權也做了一個原則性的規定，要求個人行使可攜權時需要符合國家網信部門規定的條件。

我認為這是為了，后續能進一步研究如何落實可攜權，以及為國家網信部門制定配套性立法留足一個空間。

所以接下來，我認為可以從個人信息類型處理的方式、處理的目的、還有平臺的規模、以及對于第三方權益影響這些方面，對可攜權進行進一步的限制。防止這種普遍性的個人信息可攜帶業務，對個人信息處理者造成不合理的成本。

Q3:《個保法》對不滿十四周歲未成年人有哪些保護？

立法專家代表 楊婕：本次立法將不滿十四周歲未成年人的個人信息納入到了敏感個人信息的范疇。為什么將保護年齡設置在不滿十四周歲呢？

一方面十四周歲以下的未成年人身心發育其實是非常不成熟的，思想體系也是在形成過程中，所以自我保護意識可能相對薄弱，個人信息一旦泄露，可能會被不法者利用導致極為嚴重的后果，所以需要立法給予一個特別的保護。

另一方面十四周歲到十八周歲的未成年人，雖然在認知能力和行為能力上與成年人存在一定的差距，但其實他們的身心已經趨于成熟，所以如果完全將十八周歲以下的未成年人都納入個人信息保護的話，可能會增加個人信息處理者的負擔。

還要注意一點，就是對于兒童及其監護人身份的識別也是一個難題。

個人信息處理者首先需要對于兒童身份進行一個識別，它才能認定這個用戶是需要進行一個特殊保護的，在這個過程中，其實會額外收集一些個人信息。所以考慮到這樣一個實踐情形，為了防止過度收集兒童個人信息的情況出現，本次個人信息保護法特別將兒童個人信息納入到敏感個人信息的范疇，進行一個升級保護。

我認為這樣一個升級保護可以有效杜絕個人信息處理者以身份識別為理由，去過度和超范圍收集個人信息的情況出現。

Q4:《個保法》如何回應大數據殺熟的問題？

立法專家代表 楊婕：其實在《個保法》二審稿自動化決策的條款上已經加入對于大數據殺熟問題的一個規則制定，明確個人信息處理者利用個人信息進行自動化決策時，應當保證決策的透明度和結果的公平公正，不能對個人在交易價格等交易條件上實行一個不合理的差別待遇。

大數據殺熟是近年熱議的一個問題，應該如何理解大數據殺熟呢？其實從定義上解釋，它又稱為個性化定價，是指個人信息處理者通過分析消費者的個人信息，形成用戶畫像，利用算法對于每個消費者支付意愿進行精準的評估。通過這樣一個過程可以預測消費者的一個最高保留價格，并以此就同一商品向不同消費者設置不同價格的一個行為。

所以可以看出這種歧視性的定價策略意味著個人信息處理者可能會過度、無限制、不合理地剝奪消費者剩余，損害消費者的權益。

其實此前我們國家已經從反壟斷的制度框架下，對于歧視性定價問題進行了一個規范，《反壟斷法》第十七條規定，禁止具有市場支配地位的經營者沒有正當理由，對條件相同的交易相對人在交易價格等交易條件上實行差別待遇。

所以這次的個人信息保護法特別增設了大數據殺熟這樣一個條款，進一步豐富了限制歧視性定價問題的路徑。

按照個人信息保護法的規定，無論個人信息處理者是否具有市場支配地位，只要他利用個人信息進行了一個自動化決策，對個人在交易價格等交易條件上實行不合理的差別待遇的話，都屬于法律禁止的行為，要受到法律的限制。

Q5：《個保法》對移動程序APP濫用個人信息有哪些約束？

立法專家代表 楊婕：截至2020年底，我們國內市場上可以監測到的APP數量已經將近超過300多萬款了，成為個人信息保護的一個非常重要的領域。

但相比其他領域，移動互聯網有創新能力強、迭代周期短、形態變化多樣等特征，小程序、快應用、H5頁面等新應用形態不斷出現，SDK、加固殼等新對象不斷增加，麥克風竊聽、通信錄竊取、相冊非授權讀寫等新問題不斷曝出。

舉個例子，很多用戶都有這樣一個體驗，就是我們剛剛聊到某個話題，很快就會在各種APP中被推薦相關的一些廣告。為此從19年開始，網信辦、工信部、公安部還有市場監管總局，其實已經在全國范圍內組織開展一項對于APP違法違規收集使用個人信息的整治活動，加大了個人信息保護的力度。

而此次個人信息保護法是從法律的層面，增加了對于APP個人信息保護的專門規定。

比如第六十一條將“組織對應用程序等個人信息保護情況進行測評，并公布測評結果”新設為履行個人信息保護職責的部門的職責。

第六十六條將“對違法處理個人信息的應用程序，責令暫停或者終止提供服務”增加為履行個人信息保護職責的部門對違法主體可采取的處罰手段。

Q6：怎么判斷用戶信息是否是被企業惡意的泄露？

立法專家代表 楊婕：這次個人信息保護法有一個非常大的突破，它從單一式地復權模式變成一個多元治理的機制。

一般情況，當我們信息被泄露，作為客戶端，我們很難了解到底是被哪個主體拿去濫用。如果僅僅通過個人去主張申述或者向法院提起訴訟是非常困難的，而且成本也會非常高。

所以這次的個人信息保護法，它對個人信息處理者在收集、使用、加工、轉移、刪除個人信息等等行為都設置了一個行為規制。

Q7：《個保法》中，公眾擁有了哪些個人信息保護權利？

立法學者代表 邢會強：關于個人信息的保護權利，在第四章用了比較大的篇幅來規定。

對于大眾來說，當我們信息被泄露，其實是一個無感、無助的狀態，所以了解這些權力將有助于我們更好的保護自身權益。當然這些權力能否真正落地還需要借助于監管機構、借助于公益組織提起的公益訴訟。

其中有幾個權力可以說一下，比如更正權、修改權。當我們發現網上出現自己的個人信息時，想要對它進行修改或者刪除，就可以使用更正權、修改權。而在這之前時沒有相關法律規定的，想要進行個人權益維護也缺少相關法律支持，所以我們行使權利的時候經常受到很大的障礙。尤其是相關平臺不會積極反饋，這也是未來需要我們通過法律來逐步落實的部分。

在第四章四十四條還設立了知情權、決定權。當用戶意識到自己個人信息泄露后，應該擁有拒絕權和刪除權。但同時，如果拒絕可能會失去一些新技術的便利，如何取舍，這個知情權和決定權應該交到用戶手里。

第四十五條設立了查詢權、復制權。個人應當意識到他具有查詢的權力，至于復制權還要看未來如何落地，是否要收取一定的成本費用等，像在歐盟復制是有一定成本收費的。

第四十六條是更正權、補充權，第四十七條是錯誤信息的刪除權。有些錯誤的信息或者是信息已經過期，信息主覺得應當予以刪除，但具體如何實施還是有待于細則的落實。因為有一些負面信息，可能是公眾有必要知道的信息，但是對信息主體來講，他認為應當刪除，這就是一個公眾利益與個人利益需要平衡的問題。

第四十九條是自然人死亡之后，他的親屬的去行使該信息權利的問題。

我認為這些權力，我們每個人都應該了解并且去使用。這次法律也規定了相關的主管部門，具有負責信息方面教育的職責。

每個人應該認真思考，信息泄露對于我們個人有什么樣的影響。我舉一個例子，當你的身份證丟失的時候，會對你個人有什么樣的影響呢？

當你丟失后，才發現原來有人可以拿身份證去注冊一家企業，然后做違法的事，這個公司的股東是你，法定代表人是你，然后拿你的身份證去稅務局備案，領取發票，開得假發票最終也是你來責任承擔。如果最后企業被注銷，進了黑名單的還是你。

除了身份證丟失，我們還經常會提供身份證信息，通過身份證復印件，別人會不會用它來辦一張信用卡？

當我們使用人臉識別后，犯罪分子可以盜取你的資料，利用照片或者視頻去攻破一些低版本的人臉識別技術，從而會導致你賬戶里的錢被劃走。

現在是一個信息變化非常快的時代，也是一個犯罪手法不斷迭代升級的時代，更是一個需要我們不斷學習來保護自身權益的時代。

Q8:《個保法》對普通人生活有哪些影響？

DPO數據合規律師代表?龐理鵬律師：這次的法律全稱叫做“個人信息保護法”，首先我先給大家普及一個概念是，個人信息和隱私還是存在一定區別的。

根據民法典里的規定，私密信息應該屬于受到隱私權的保護，或者簡單來說，個人信息中的一部分私密信息它屬于隱私權的管理范圍。

其實對于個人信息保護法，大眾更關心的更多是自己的隱私保護，以及找誰來負責。基本上無時無刻都會發生因為信息泄露，對用戶財產甚至生命造成危害的事件出現。

我曾經做過一個實驗，比如我去麥當勞，我就會把我的名字改成龐麥，去海底撈就把名字改成龐海等等，后來有騷擾電話或者各種人打電話過來，首先會跟我核實我的姓名，我大概知道泄露的一個來源。

但說實話，我這個實驗就是個黑色幽默，讓人非常無奈，所以在這種情況下，我認為《個保法》的出臺，確實是給我們每個人的信息加了一把法律鎖。

同時《個保法》也賦予了我們普通公民很多的權利。我們可以向相關部門進行投訴，而且要求相關的主管部門建立通暢的舉報渠道，并且提出訴訟也有了法律的保障。

還有很重要的一點，我的個人信息怎么證明被泄露了或者被不當利用了？

比如我之前起訴航空公司，在一審的時候訴敗，因為法律要求誰主張誰舉證，但我無法證明我的信息是被對方泄露，我只能證明是他掌握我的信息，除了我之外，也只有他能夠泄露。

而有了《個保法》后，舉證的責任就落到平臺身上，以前是用戶證明平臺泄露，而現在是平臺需要證明不是我泄露的，證明平臺沒有責任，無形中增加了平臺方的責任，將這種責任分配的方式落到了實處。

Q9:《個保法》對于企業有哪些影響？

企業DPO數據合規代表?向麗?：我是2003年開始從事個人信息保護從業者，主要是在金融行業處理敏感數據，包括個人數據和銀行卡數據，那個時候銀行卡數據是可以拿去換錢的。而現在出臺一部相關的法律，讓我們從業數據合規的企業挺直了腰板，同時對于其他企業影響也是非常大。

首先對于國內企業，我認為第一個影響是文化價值觀的變化。尤其是針對我國一些大型互聯網企業和平臺，他們本身是有足夠的技術和人力物力去實現數據的合規，但在之前沒有法律的約束，他們在數據合規和企業利益的選擇上，肯定會更傾向利益導向。而現在有了法律，在權衡上就會顧慮更多。

當然，如果企業沒有做到合規，也會有一個處罰機制。

本次《個保法》在這方面接軌了國際，單從罰款來看，歐盟的GDPR是1000萬歐元或2000萬歐元以及全球營業額的2%和4%。我們國家是5000萬人民幣，以及年營業額的5%，這是數額是非常大的。

甚至可以說，我們的《個保法》會比歐盟的更嚴格。因為歐盟還沒有對企業主和相關責任人進行懲罰。而我們國家的法律不僅是對企業進行罰款、吊銷執照，還會對相關責任人進行競業限制，我覺得這是一個非常重要的約束，

以上是對于國內企業的影響，還有對于境內設立的外資企業，同樣也要受到很大的影響。《個保法》規定，如果外資企業沒有在境內開設企業，但業務過程中收集了中國境內自然人的個人信息，同樣是要受到《個保法》的約束，這點是跟歐盟一致的。

另外，對于企業來說，需要建立一套數據合規體系，比如企業在處理個人數據的時候，應該要考慮，怎么在合法的基礎上去處理這個數據，以及相應的處理規則，確保數據是有加密并且有分級的。

因此，建立一套管理體系來保障數據的合規，以及建立一套對消費者、使用者公開可查詢的個人信息數據機制，應該是當下企業首先需要考慮的事情。

當我們的公民需要行使訪問權和查閱權的時候，像淘寶這樣的大型平臺可以提供一個入口，讓公民了解到自己的信息被應用到什么地方。以及當公民需要平臺刪除個人信息的時候，可以清楚的看見清理的過程。

我覺得這對企業來說也將會是一個非常大的挑戰。

以上內容來自鈦媒體直播欄目【華楠直播間】第29期，內容經過編輯，未經許可不得轉載。本文首發鈦媒體APP 編輯/棉簽（華楠直播間 主理人：張華楠；編導：棉簽；技術：羽赫；包裝制作：羽赫）

更多精彩內容，關注鈦媒體微信號（ID：taimeiti），或者下載鈦媒體App