《个保法》将如何影响你的生活 | 华直播间第29期

视频|华楠直播间第29期：十问个保法

8月20日，十三届全国人大常委会第三十次会议表决通过中华人民共和国个人信息保护法，《个保法》将从今年的11月1号起正式施行。

《个保法》共8章，其中明确了个人信息泄露和滥用的边界，也进一步强化了相关部门的监管职责，这也意味着今后一旦出现个人信息泄露的问题，将会有法可依。

钛媒体APP华楠直播间第29期连线了多位《个保法》立法代表、数据合规律师等专家，共同解读《个保法》。

以下为直播文字实录，经钛媒体APP编辑

华楠：本次直播间我们连线到《个保法》立法的专家代表、学者代表、数据合规律师代表以及企业的数据合规代表，一起解读《个保法》。先给大家介绍一下本期嘉宾：

邢会强：《个保法》立法学者代表，中央财经大学法学院教授

杨婕：《个保法》立法专家代表，中国信息通信研究院互联网法律研究中心研究员

庞理鹏：北京策略律师事务所律师、DPO数据合规律师代表、国内隐私权纠纷第一案当事人

向丽：企业DPO数据合规代表

本期直播就《个保法》三审稿的修改要点、对不满十四周岁未成年人规则设定、如何界定“大数据杀熟”、个人信息被泄露后的维权方式、对于企业有何影响等内容进行深度解读。

Q1:《个保法》出台有怎样的背景和意义？

立法学者代表 邢会强：从国际背景来讲，我将个人信息保护法的发展过程分为三个阶段，第一个阶段是上世纪七八十年代，个人计算机开始出现，对个人信息的处理速度大大加快，第一代的个保法是德国在1976年出台的个人信息保护法。

第二个阶段，是上世纪90年代，互联网出现之后，对于个人信息的收集更加地便捷，所以就有了以95年欧盟关于个人信息处理的指令为代表的个人信息保护法。

第三个阶段，是在大数据的技术和产业出现之后，2016年后，以欧盟GDPR为代表的个人信息保护法，属于第三代的个人信息保护法。

从国内背景来讲，我们在2003年提出要制定个人信息保护法，2005年拿出了专家的建议稿，但是遗憾的是那时候我们的互联网刚兴起，新浪等门户网站也刚在美国上市，大家对于个人保护的意识还不是很强烈，因此，虽然个人信息保护法被提出，但基本上处于搁置状态。

随着2010年以来，个人信息保护法的研究所和相关机构的呼吁，所以2018年开始列入了立法规划。到2019年开始起草草案，2020年开始一审，2021年4月份是二审，今年8月份是三审并且通过。

《个保法》的大背景是数字经济的蓬勃发展，数据作为生产要素写入了党的文件，我们要发挥大数据的红利，又要切实保护个人的权益。所以制定一个个人信息保护法是非常必要，也是非常迫切的。

从全球来讲，目前已经有130多个国家都有了个人信息保护法，虽然中国的个人信息保护法算是姗姗来迟，但作为个人信息保护法的3.0的版本，它可以说是国际目前最先进的个人信息保护法之一。

它很好地兼顾了个人信息的保护与大数据发展的平衡，从个人信息保护这个角度来讲，它赋予了个人更多的权利。

Q2:如何理解本次《个保法》新增设的个人信息可携权？

立法专家代表 杨婕：可携权它是一个具有很强法律专业性，而且强技术性的概念，简单地说，可携权，就是我们可以请求将自己的个人信息从a平台转移至b、或者d平台，这样一个过程。

一直以来，社会各界普遍认为应当在个人信息保护法中设定可携权，这样可以有效减少大型平台数据垄断的现象。

很多大型平台利用它先发市场的地位，逐步积累大量的用户个人信息，形成了不可撼动的行业地位。因为不可撼动，所以往往他们会采取一些手段排挤竞争对手，迫使用户接受一些不公平的隐私政策。

举个例子，以往打开一些APP，它会提示开放权限否则无法使用，或者在很多不具有必要性的场景下，向我们索取通讯录、麦克风的权限等等。那么有了可携权后，它强化了用户的自主权，用户可以决定自己个人信息的转移和再利用行为，有助于形成用户主导型的个人信息跨平台流通机制，能够起到促进市场竞争，防止个人信息被锁定的一个效果。

同时我们也应该注意到，个人信息保护法对于可携权也做了一个原则性的规定，要求个人行使可携权时需要符合国家网信部门规定的条件。

我认为这是为了，后续能进一步研究如何落实可携权，以及为国家网信部门制定配套性立法留足一个空间。

所以接下来，我认为可以从个人信息类型处理的方式、处理的目的、还有平台的规模、以及对于第三方权益影响这些方面，对可携权进行进一步的限制。防止这种普遍性的个人信息可携带业务，对个人信息处理者造成不合理的成本。

Q3:《个保法》对不满十四周岁未成年人有哪些保护？

立法专家代表 杨婕：本次立法将不满十四周岁未成年人的个人信息纳入到了敏感个人信息的范畴。为什么将保护年龄设置在不满十四周岁呢？

一方面十四周岁以下的未成年人身心发育其实是非常不成熟的，思想体系也是在形成过程中，所以自我保护意识可能相对薄弱，个人信息一旦泄露，可能会被不法者利用导致极为严重的后果，所以需要立法给予一个特别的保护。

另一方面十四周岁到十八周岁的未成年人，虽然在认知能力和行为能力上与成年人存在一定的差距，但其实他们的身心已经趋于成熟，所以如果完全将十八周岁以下的未成年人都纳入个人信息保护的话，可能会增加个人信息处理者的负担。

还要注意一点，就是对于儿童及其监护人身份的识别也是一个难题。

个人信息处理者首先需要对于儿童身份进行一个识别，它才能认定这个用户是需要进行一个特殊保护的，在这个过程中，其实会额外收集一些个人信息。所以考虑到这样一个实践情形，为了防止过度收集儿童个人信息的情况出现，本次个人信息保护法特别将儿童个人信息纳入到敏感个人信息的范畴，进行一个升级保护。

我认为这样一个升级保护可以有效杜绝个人信息处理者以身份识别为理由，去过度和超范围收集个人信息的情况出现。

Q4:《个保法》如何回应大数据杀熟的问题？

立法专家代表 杨婕：其实在《个保法》二审稿自动化决策的条款上已经加入对于大数据杀熟问题的一个规则制定，明确个人信息处理者利用个人信息进行自动化决策时，应当保证决策的透明度和结果的公平公正，不能对个人在交易价格等交易条件上实行一个不合理的差别待遇。

大数据杀熟是近年热议的一个问题，应该如何理解大数据杀熟呢？其实从定义上解释，它又称为个性化定价，是指个人信息处理者通过分析消费者的个人信息，形成用户画像，利用算法对于每个消费者支付意愿进行精准的评估。通过这样一个过程可以预测消费者的一个最高保留价格，并以此就同一商品向不同消费者设置不同价格的一个行为。

所以可以看出这种歧视性的定价策略意味着个人信息处理者可能会过度、无限制、不合理地剥夺消费者剩余，损害消费者的权益。

其实此前我们国家已经从反垄断的制度框架下，对于歧视性定价问题进行了一个规范，《反垄断法》第十七条规定，禁止具有市场支配地位的经营者没有正当理由，对条件相同的交易相对人在交易价格等交易条件上实行差别待遇。

所以这次的个人信息保护法特别增设了大数据杀熟这样一个条款，进一步丰富了限制歧视性定价问题的路径。

按照个人信息保护法的规定，无论个人信息处理者是否具有市场支配地位，只要他利用个人信息进行了一个自动化决策，对个人在交易价格等交易条件上实行不合理的差别待遇的话，都属于法律禁止的行为，要受到法律的限制。

Q5：《个保法》对移动程序APP滥用个人信息有哪些约束？

立法专家代表 杨婕：截至2020年底，我们国内市场上可以监测到的APP数量已经将近超过300多万款了，成为个人信息保护的一个非常重要的领域。

但相比其他领域，移动互联网有创新能力强、迭代周期短、形态变化多样等特征，小程序、快应用、H5页面等新应用形态不断出现，SDK、加固壳等新对象不断增加，麦克风窃听、通信录窃取、相册非授权读写等新问题不断曝出。

举个例子，很多用户都有这样一个体验，就是我们刚刚聊到某个话题，很快就会在各种APP中被推荐相关的一些广告。为此从19年开始，网信办、工信部、公安部还有市场监管总局，其实已经在全国范围内组织开展一项对于APP违法违规收集使用个人信息的整治活动，加大了个人信息保护的力度。

而此次个人信息保护法是从法律的层面，增加了对于APP个人信息保护的专门规定。

比如第六十一条将“组织对应用程序等个人信息保护情况进行测评，并公布测评结果”新设为履行个人信息保护职责的部门的职责。

第六十六条将“对违法处理个人信息的应用程序，责令暂停或者终止提供服务”增加为履行个人信息保护职责的部门对违法主体可采取的处罚手段。

Q6：怎么判断用户信息是否是被企业恶意的泄露？

立法专家代表 杨婕：这次个人信息保护法有一个非常大的突破，它从单一式地复权模式变成一个多元治理的机制。

一般情况，当我们信息被泄露，作为客户端，我们很难了解到底是被哪个主体拿去滥用。如果仅仅通过个人去主张申述或者向法院提起诉讼是非常困难的，而且成本也会非常高。

所以这次的个人信息保护法，它对个人信息处理者在收集、使用、加工、转移、删除个人信息等等行为都设置了一个行为规制。

Q7：《个保法》中，公众拥有了哪些个人信息保护权利？

立法学者代表 邢会强：关于个人信息的保护权利，在第四章用了比较大的篇幅来规定。

对于大众来说，当我们信息被泄露，其实是一个无感、无助的状态，所以了解这些权力将有助于我们更好的保护自身权益。当然这些权力能否真正落地还需要借助于监管机构、借助于公益组织提起的公益诉讼。

其中有几个权力可以说一下，比如更正权、修改权。当我们发现网上出现自己的个人信息时，想要对它进行修改或者删除，就可以使用更正权、修改权。而在这之前时没有相关法律规定的，想要进行个人权益维护也缺少相关法律支持，所以我们行使权利的时候经常受到很大的障碍。尤其是相关平台不会积极反馈，这也是未来需要我们通过法律来逐步落实的部分。

在第四章四十四条还设立了知情权、决定权。当用户意识到自己个人信息泄露后，应该拥有拒绝权和删除权。但同时，如果拒绝可能会失去一些新技术的便利，如何取舍，这个知情权和决定权应该交到用户手里。

第四十五条设立了查询权、复制权。个人应当意识到他具有查询的权力，至于复制权还要看未来如何落地，是否要收取一定的成本费用等，像在欧盟复制是有一定成本收费的。

第四十六条是更正权、补充权，第四十七条是错误信息的删除权。有些错误的信息或者是信息已经过期，信息主觉得应当予以删除，但具体如何实施还是有待于细则的落实。因为有一些负面信息，可能是公众有必要知道的信息，但是对信息主体来讲，他认为应当删除，这就是一个公众利益与个人利益需要平衡的问题。

第四十九条是自然人死亡之后，他的亲属的去行使该信息权利的问题。

我认为这些权力，我们每个人都应该了解并且去使用。这次法律也规定了相关的主管部门，具有负责信息方面教育的职责。

每个人应该认真思考，信息泄露对于我们个人有什么样的影响。我举一个例子，当你的身份证丢失的时候，会对你个人有什么样的影响呢？

当你丢失后，才发现原来有人可以拿身份证去注册一家企业，然后做违法的事，这个公司的股东是你，法定代表人是你，然后拿你的身份证去税务局备案，领取发票，开得假发票最终也是你来责任承担。如果最后企业被注销，进了黑名单的还是你。

除了身份证丢失，我们还经常会提供身份证信息，通过身份证复印件，别人会不会用它来办一张信用卡？

当我们使用人脸识别后，犯罪分子可以盗取你的资料，利用照片或者视频去攻破一些低版本的人脸识别技术，从而会导致你账户里的钱被划走。

现在是一个信息变化非常快的时代，也是一个犯罪手法不断迭代升级的时代，更是一个需要我们不断学习来保护自身权益的时代。

Q8:《个保法》对普通人生活有哪些影响？

DPO数据合规律师代表 庞理鹏律师：这次的法律全称叫做“个人信息保护法”，首先我先给大家普及一个概念是，个人信息和隐私还是存在一定区别的。

根据民法典里的规定，私密信息应该属于受到隐私权的保护，或者简单来说，个人信息中的一部分私密信息它属于隐私权的管理范围。

其实对于个人信息保护法，大众更关心的更多是自己的隐私保护，以及找谁来负责。基本上无时无刻都会发生因为信息泄露，对用户财产甚至生命造成危害的事件出现。

我曾经做过一个实验，比如我去麦当劳，我就会把我的名字改成庞麦，去海底捞就把名字改成庞海等等，后来有骚扰电话或者各种人打电话过来，首先会跟我核实我的姓名，我大概知道泄露的一个来源。

但说实话，我这个实验就是个黑色幽默，让人非常无奈，所以在这种情况下，我认为《个保法》的出台，确实是给我们每个人的信息加了一把法律锁。

同时《个保法》也赋予了我们普通公民很多的权利。我们可以向相关部门进行投诉，而且要求相关的主管部门建立通畅的举报渠道，并且提出诉讼也有了法律的保障。

还有很重要的一点，我的个人信息怎么证明被泄露了或者被不当利用了？

比如我之前起诉航空公司，在一审的时候诉败，因为法律要求谁主张谁举证，但我无法证明我的信息是被对方泄露，我只能证明是他掌握我的信息，除了我之外，也只有他能够泄露。

而有了《个保法》后，举证的责任就落到平台身上，以前是用户证明平台泄露，而现在是平台需要证明不是我泄露的，证明平台没有责任，无形中增加了平台方的责任，将这种责任分配的方式落到了实处。

Q9:《个保法》对于企业有哪些影响？

企业DPO数据合规代表 向丽 ：我是2003年开始从事个人信息保护从业者，主要是在金融行业处理敏感数据，包括个人数据和银行卡数据，那个时候银行卡数据是可以拿去换钱的。而现在出台一部相关的法律，让我们从业数据合规的企业挺直了腰板，同时对于其他企业影响也是非常大。

首先对于国内企业，我认为第一个影响是文化价值观的变化。尤其是针对我国一些大型互联网企业和平台，他们本身是有足够的技术和人力物力去实现数据的合规，但在之前没有法律的约束，他们在数据合规和企业利益的选择上，肯定会更倾向利益导向。而现在有了法律，在权衡上就会顾虑更多。

当然，如果企业没有做到合规，也会有一个处罚机制。

本次《个保法》在这方面接轨了国际，单从罚款来看，欧盟的GDPR是1000万欧元或2000万欧元以及全球营业额的2%和4%。我们国家是5000万人民币，以及年营业额的5%，这是数额是非常大的。

甚至可以说，我们的《个保法》会比欧盟的更严格。因为欧盟还没有对企业主和相关责任人进行惩罚。而我们国家的法律不仅是对企业进行罚款、吊销执照，还会对相关责任人进行竞业限制，我觉得这是一个非常重要的约束，

以上是对于国内企业的影响，还有对于境内设立的外资企业，同样也要受到很大的影响。《个保法》规定，如果外资企业没有在境内开设企业，但业务过程中收集了中国境内自然人的个人信息，同样是要受到《个保法》的约束，这点是跟欧盟一致的。

另外，对于企业来说，需要建立一套数据合规体系，比如企业在处理个人数据的时候，应该要考虑，怎么在合法的基础上去处理这个数据，以及相应的处理规则，确保数据是有加密并且有分级的。

因此，建立一套管理体系来保障数据的合规，以及建立一套对消费者、使用者公开可查询的个人信息数据机制，应该是当下企业首先需要考虑的事情。

当我们的公民需要行使访问权和查阅权的时候，像淘宝这样的大型平台可以提供一个入口，让公民了解到自己的信息被应用到什么地方。以及当公民需要平台删除个人信息的时候，可以清楚的看见清理的过程。

我觉得这对企业来说也将会是一个非常大的挑战。

以上内容来自钛媒体直播栏目【华楠直播间】第29期，内容经过编辑，未经许可不得转载。本文首发钛媒体APP 编辑/棉签（华楠直播间 主理人：张华楠；编导：棉签；技术：羽赫；包装制作：羽赫）

更多精彩内容，关注钛媒体微信号（ID：taimeiti），或者下载钛媒体App