• 酝酿18年，《个人信息保护法》出台

    在信息化时代，个人信息保护已经成为一个重大课题。自上世纪70年代起，个人信息保护立法逐渐发展成全球行动，到目前至少有140多个国家和地区制定了相关法律。例如，2018年5月施行的欧盟《通用数据保护条例》（GDPR）尤其注重保护私权，被认为代表了一种立法模式。

    中国此前采用分散立法的方式保护个人信息，相关条款先后写入《刑法》《侵权责任法》《消费者权益保护法》《网络安全法》和《民法典》等法律，以及公安、工信、金融等领域的行政法规、部门规章、国家标准和司法解释之中。

    2021年8月20日，十三届全国人大常委会第三十次会议表决通过了《个人信息保护法》。这是中国首部个人信息保护的专门性法律，定于2021年11月1日起施行。

• 我们为什么需要《个人信息保护法》？

    我们每天的衣食住行，都是通过诸多的移动互联网App实现的，在享受便利的同时，也会遭遇大数据杀熟的问题，比如，一些经常出差的朋友，他的订票、订酒店软件就会把他的价格抬高很多，甚至价格是新注册用户的2倍之多。

    还有，在私人聚会上聊到的东西，随后就会出现在购物App、新闻类App的页面中。再有，有的人注册成立公司，刚递交资料，营业执照还没拿到，一堆贷款、商标注册、税务代理的电话就都打来了。

    这样的例子数不胜数，有些是互联网企业做的，有些不是。而一旦个人信息被侵犯，99%的人是毫无招架之力的，因为大部分人并不懂其中的技术细节。就算本人是高级程序员、高级工程师，因为一切信息滥用行为的证据都掌握在对方手里，于是也很难维权成功。

• 《个人信息保护法》有哪些重要规定？

    首先就是，今天我们一点开软件，就会弹出一个授权协议，往往非常长，用词也很晦涩，不是法律专业的人可能很难理解通过这份授权你被拿走了什么东西、对方可以如何利用你的个人信息。

    但现在，《信息保护法》第十六条和第十七条要求，这份对个人信息的处理授权必须清晰易懂，真实完整。而且个人可以随时要求撤回这份授权，并且那个App不得因为个人没有给授权或者撤回了授权就拒绝提供产品和服务。

    这一项规定和苹果当前对软件的审核要求是一样的。在这项法律实施以后，中国广大的Android手机用户也能依法享有这项权利。

    还有，第二十四条明确规定，个人信息处理者利用个人信息进行自动化决策时，应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇。这就是针对大数据杀熟做的限制。

    最近传出，有人戴着头盔去看房，目的就是为了避免房企安装在销售大厅的摄像头通过人脸识别出他后恶意加价。尽管这样的新闻一再被曝出，但很多出行软件都紧盯风声，风头稍过马上又把杀熟规则上线。今后，这些现象将被彻底遏止。

    在疫情期间，很多人都遇到过小区为了配合街道的防控指示，在大门口和楼门口都装了人脸识别系统监控居民进出的情况。这个行为在之后就很难实施了。因为《信息保护法》第二十六条规定，在公共场所安装图像采集、个人身份识别设备，应当为维护公共安全所必须。在小区已经实施了出入证、门卡、门卫、登记等措施后，这项采集明显就不是必须的。

    退一步说，其他防范措施都没有，只有这一步的话，那么这一步就成了必须。但即便这样，物业公司也不能自行安装，因为它很难达到这项法律对个人信息的存储、传输、删除的要求。比如在第三十一条就规定了，对不满十四周岁未成年人的个人信息采集，除了要征得父母或监护人的同意，还对数据有专门的要求。可以说，公共场所对个人生物信息的处理，今后只可能是政府部门做，而不是物业能操作的。

    此外，《信息保护法》第五十七条规定，发生或者可能发生个人信息泄露、篡改、丢失的，个人信息处理者应当立即采取补救措施，并通知履行个人信息保护职责的部门和个人。

    个人信息泄露的事，在之前其实发生过无数次，要不就是公司内部有人倒卖，要不就是黑客的恶意盗取，有些甚至涉及用户上亿。但我们即便听说，也都是类似于内部人士透露的，没有官方自己承认的。这是因为没有法律约束。现在第五十七条的出现也就意味着，如果对数据保护不到位，除了自己公司承担损失之外，还很可能会因为后续补救措施不到位而被用户起诉。

• 没保护好个人信息，怎么处罚？

    关于处罚的规定，在《个人信息保护法》出台之后，就不再是“罚酒三杯”式的惩罚了。

    第六十六条规定，情节严重的，由省级以上履行个人信息保护职责的部门责令改正，没收违法所得，并处五千万元以下或者上一年度营业额百分之五以下罚款，并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照。

    比如一个巨头企业，年营业额5000多亿，如果罚款按营业额的5%计算，就是250亿。这就很沉重了。

    相比较而言，欧美的数据保护法或者个人隐私保护法在这种情况下的描述往往是，“罚款为五千万元，或上一年度营业额的百分之五（择其高者）”，也就是说，五千万元和百分之五的营业额这两个数值，哪个高就按哪个罚，相对来说是更加严格的。

• 法律能带来什么改变？

    这个法规实施后会有什么效果呢？我们可以参考欧洲的情况。

    欧洲对应的法律叫作《通用数据保护规则》，它是2018年5月份实施的。实施之后，餐厅、旅行社、电商平台、医疗、金融、航空运输这些行业全都涉及到重新规划用户数据库结构，其中涉及到存储、加密、权限的各种调整。而且即便从前不存在信息滥用的环节，也掣肘颇多，就更不要提灰色产业、黑色产业了。

    对这项法律的适应过程，其实也是互联网企业洗牌的过程。对它们来说，从前几乎免费的资源以后不能再伸手拿了。

    具体中国的《个人信息保护法》会给互联网等行业带来多大的影响，一是要看执行的力度如何，二是要看那些企业之前的营收盘子里有多大比例是依赖于滥用个人信息的。

    总之，之前的天平太过于倾斜，用户毫无还手之力，而之后在法律的保障下，用户和信息处理者站在了下一轮公平博弈的起跑线。

-------------------------

【版权声明】

本网站文章版权归原作者及“粤湾商盟”所有，内容为作者个人观点仅供参考。如需转载或引用该等文章的任何内容，请私信或邮件沟通授权事宜，并于转载时在文章开头处注明来源于 “粤湾商盟官网”。未经本司书面授权，不得转载或使用该文章中的任何内容。

本网站发布的文章及图片，已尽可能对作者来源进行注明，若因故疏漏，造成漏注，请及时联系我们，我们将根据著作权人的要求，处理相关内容。本网站有对此声明的最终解释权。