《个人信息保护法》到底意味着什么？

今天，2021年11月1日，是《个人信息保护法》（下简称《个保法》）正式实施的日子。

这部法案从起草初稿至今历经了18年之久，在2020年10月13日、2021年4月26日及8月13日三次审查通过后，以雷厉风行的姿态迅速落地。这部保护公民个人信息的专门法律，与此前已经落地实施的《民法典》《网络安全法》《数据安全法》《电子商务法》《消费者权益保护法》等法律共同协作，使消费者的个人信息真正有法可依，有规可循；为监管机构和司法机关提供了明确的执法抓手，也为企业做好个人信息治理和管理工作提供了指引。

对于经营者和个人而言

《个保法》意味着什么？

数字经济时代的正常运作离不开数据要素的合理流通，科技在进步，各方的需求也会随之转变，数据的重要性更加凸显了此前法律法规在此块缺失所造成的影响之严重——所幸《个保法》提出了一系列具体措施来填补这一块空白：譬如“告知-同意”原则、数据分类处理、采取严格保护额措施、禁止大数据杀熟、禁止不提供个人信息就拒绝服务等，在《个保法》成为行动指南的当下，经营者与个人都应注意些什么？中国消费者协会率先提出了自己的要求。

中国消费者协会近日特别强调督促经营者，要切实落实《个保法》的相关规定，深入学法、尊法守法，依法完善个人信息处理规则，履行公示告知义务，规范个人信息处理程序，采取必要措施保障消费者个人信息安全。

个人信息保护法实施后，经营者应做到：收集消费者个人信息，应在事先充分告知的前提下，保证消费者知情，并征得消费者本人同意；未经消费者同意，不得向消费者推送商业信息；收集使用个人信息应当具有明确、合理的目的，并限制在对个人权益影响最小的方式和实现处理目的的最小范围，不得过度收集消费者个人信息；严格限制对敏感个人信息的处理，小区、经营场所不能强制业主或者消费者进行人脸识别；利用个人信息进行自动化决策要合法，杜绝大数据杀熟等行为；大型互联网平台还要注意履行特殊义务，当好个人信息保护“守门人”。

同时，广大消费者也要积极学习个人信息保护法等法律，养成“非必要不提供个人信息”的良好习惯。当自身个人信息权益受到侵害或者发现经营者存在违法处理消费者个人信息行为的，要主动向个人信息保护管理部门或者消费者协会进行投诉、举报，提供案件线索和相关凭证，维护自身合法权益。

某外资合规官钱四爷（化名）告诉笔者，通常一部法律的实施会带来一定影响，但影响有限，因为立法多为滞后的，而实践中法律无法超出社会发展的需求，并且在实施过程中也会受实际条件与环境制约，所以还需要更多的细化规范，甚至需要付出惨痛的教训。《个保法》的实施在关于个人信息保护的规制上提供了更为集中明确的标准，但目前看来各企业的注意点更多是因义务性的责任承担而被动作为，缺少就《个保法》对发展的指导价值类的主动分析。

对于企业来说，还需收缰绳，归初心，信息时代在制定商业策略时很容易因为太多的资源诱惑而迷失，也会因为越来越多的规范制约而迷茫，能否恪守择善从善扬善的积极价值，将是非常考验的任务。而从业者需要注意的是这些举措会增加企业成本投入，但回报未必立显；但反之代价则会很惨重：一部法律并不能直接或完全解决问题，面临着实际工作开展，为了满足法律规定的要件，有时还会需要增加一定的工作量。所以定定心心做好专业的事是基础。不过，个保法倒是可以作为达摩克利斯之剑用来提醒决策者。

个人在范围上则是受到最大影响的群体，《个保法》的实施，相当于个人信息安全的全民启智时代来临。程度上则还不明显，毕竟目前没有切身的利益受损，能引起足够的安全意识的可能性不高，而真正面临利益受损的时候，能否有效进行救济，这便又是另一个双刃剑问题了。

360集团创始人、董事长周鸿祎也持类似的观点，他认为“个保法”的确会引发企业提升相应的成本，但企业必须要遵从，这是开展业务时必须要承担的责任。企业如果不提升成本去应对这些要求，可能面临的处罚成本会更大。所以，从成本提升上来说，这是相对的，要看跟哪个比，它可能比上年成本提升了，但是比下年的成本会节省更多。

另外，很多数据包括个人信息更规范地处理后，其实能够给企业业务赋能。企业为了符合“个保法”，就要对现有个人信息做盘点，包括对个人信息做管控，这就将间接提升企业的数据保护能力。从战略宏观角度来看，合规成本会有提升，但是它带来的收益会更大。

企业的各番试水

面对“来势汹汹”又“严格堪比GDPR”的《个保法》，企业也想出了自己的应对方法。比如在行业中数一数二的苹果，在10月29日就向所有用户发送了一条消息，表示已为《个保法》做好准备。

苹果表示，保护用户隐私、让用户掌控个人信息是苹果设计产品和服务时一贯坚持的理念，仅在有合法的法律依据的情况下才会使用用户的个人数据。苹果也尊重中国消费者在《中华人民共和国个人信息保护法》下享有的知情、查阅、更正、转移、限制处理和删除其个人数据的权利。中国消费者还有权要求苹果提供其个人数据的副本，并解释 Apple《隐私政策》和本说明以及其他相关的个人数据处理规则。

也有的企业学着“原汤化原食”，从《个保法》中寻求答案——《个保法》第58条专门规定：提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，应成立主要由外部成员组成的独立机构对个人信息保护情况进行监督。

反应够快的企业已经开始了行动：10月15日，腾讯发布招募公告称，将于近期成立“个人信息保护外部监督委员会”并公开招募委员会成员。携程也于10月25日发布了“个人信息保护外部监督专家团”的招募公告。

企业成立外部独立监督机构是一项法律义务要求，个人信息保护外部监督员在形式上也是一次常识，但这将成为一剂良药，还是合规要求下的对付？钱四爷表示要分两方面去看：“一方面这种法律义务要求是一种必然，会在未来一段时间对平台企业自身发挥一定的制约提醒作用，但另一方面这种监督员的形式则未必，毕竟监督员的权限及监督后果还会受到聘请方的关系制约。这里面涉及到互联网平台企业在法律上的身份梳理、独立监督机构的权力来源与合法性基础、监督员的资质及权力界定以及相关法律上的规制等。这个问题相当复杂，目前宜观望。”

北京德和衡上海律师事务所高级联席合伙人娄鹤同样深以为然，他认为这种安排能否产生预期效果还是会沦为一种作秀，仍然有待观察和不断改进。重要的考虑因素是监督员的专业性、独立性、强制力。毕竟个人信息保护工作是一项非常艰巨的工作，仅聘请外部人员参与几场讨论，没有足够的时间和精力的投入，是不足以发现潜在问题的，其制度设计还需要近一步的细化。