《個人信息保護法》的亮點與創新

摘 要：《個人信息保護法》是一部全面保護個人信息的專門性立法。作為公法和私法的混合，該法的私法部分作為《民法典》的特別法，進一步豐富和發展了《民法典》的個人信息保護規則。《個人信息保護法》在總結《民法典》等的立法經驗基礎上，借鑒了歐盟《一般數據保護條例》等比較法的經驗，形成了諸多的亮點和創新之處。包括進一步擴張了個人信息的保護范圍，構建了以“告知同意”為核心的個人信息處理規則，對自動化決策的全面規范，嚴格保護敏感個人信息，確認個人在個人信息處理活動中的各項權利，強化個人信息處理者義務，規范國家機關的個人信息處理行為以及個人信息跨境流動，完善了侵害個人信息的法律責任，這些內容都充分彰顯了這部法律的時代性、國際性和本土性。

關鍵詞：個人信息;《個人信息保護法》;個人信息處理

中圖分類號：D923文獻標識碼：A文章編號：1673-8268（2021）06-0001-13

《個人信息保護法》是我國第一部全面保護個人信息的專門性、綜合性法律。該法以保護個人信息權益、規范個人信息處理活動、促進個人信息合理利用等立法目的為中心，分別就個人信息處理規則、個人信息跨境提供的規則、個人在個人信息處理活動中的權利、個人信息處理者的義務、履行個人信息保護職責的部門以及法律責任等，作出了系統完備、科學嚴謹的規定。該法在性質上屬于“領域法（field of law）”的范疇，也就是說，其既涉及私法規范，也涉及公法規范。就私法而言，其作為《民法典》的特別法，與《民法典》關于個人信息保護的規則相結合，共同構成了完整的個人信息保護規則體系[1]。《個人信息保護法》在總結《民法典》等的立法經驗基礎上，借鑒了歐盟《一般數據保護條例》（以下簡稱GDPR）等比較法的經驗，形成了諸多的亮點和創新之處。本文擬對此談一點粗淺的看法。

一、進一步擴張了個人信息的保護范圍

在互聯網高科技大數據時代，各國法律對個人信息的規范都面臨著如何有效平衡權利保護和有效利用的關系，實現法律的公平正義與效率價值相統一的問題[2]5。我國《民法典》對個人信息實際上是采取了保護與利用并重的立場[3]，而《個人信息保護法》第1條就明確規定了該法的立法目的旨在保護個人信息與促進個人信息合理利用。可見該法與《民法典》在對個人信息的立法宗旨上是一致的，但在保護個人信息方面又進一步擴張了個人信息的范圍，強化了對個人信息的保護。

第一，《個人信息保護法》對個人信息的界定采取了“識別+相關說”。《民法典》第1034條第2款對個人信息的定義囿于“識別說”，并區分為“直接識別”與“間接識別”;而《個人信息保護法》第4條第1款采取的是“識別+相關說”，所作區分則是“已識別”與“可識別”的信息，一般認為，其在范圍上更為寬泛[4]57。《個人信息保護法》第4條規定，個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理后的信息。根據該條的規定，個人信息包括兩類：一是“已識別”特定自然人的信息，即根據一定的信息，特定自然人已經被識別出來了;二是“可識別”特定自然人的信息，即“identifiable”，它是指根據一定的信息，特定自然人的身份雖然還沒有被識別出來，但是可以通過某種方式加以識別，至于是采取直接識別還是間接識別，則無關緊要[4]63。

在界定個人信息的范圍時，《個人信息保護法》之所以采取“識別+相關說”的標準，是因為識別說保護的范圍雖然并不狹窄，但可能將一些不能直接識別特定個人的信息碎片包括其中如歐盟《一般數據保護條例》導言第26條規定：“需要考慮所有可能使用的手段，比如利用控制者或其他人來直接或間接地確認自然人的身份。為判斷所使用的手段是否可能用于識別自然人，需要考慮所有客觀因素，包括對身份進行確認需要花費的金錢和時間，考慮現有處理技術以及科技發展。”。因此，《個人信息保護法》第4條的規定實質上最大限度地擴張了個人信息的邊界，從而盡可能地擴張《個人信息保護法》以及《民法典》等有關個人信息保護的規定的適用范圍。例如，在很多情形下，網絡服務提供者處理的信息往往不包含個人的姓名、電話與地址，僅是用戶的IP地址、MAC地址、IMEI碼、瀏覽記錄、消費記錄、行蹤信息以及種種行為信息，僅憑這些信息可能無法識別特定自然人，但是這些信息可以結合其他信息，以某種方式識別出特定個人，因此依“識別+相關說”，也應當被納入個人信息的范圍，從而將網絡服務提供者的個性化推送等處理行為納入《個人信息保護法》等法律法規的規制范圍。

當然，《個人信息保護法》明確規定對于個人或者家庭事務處理個人信息的，不適用本法。例如，夫妻之間互相告知有關家庭的存款賬務、存款記錄等信息時，不適用《個人信息保護法》的規定。

第二，《個人信息保護法》區分了匿名化信息與去標識化信息。第4條還明確指出，經過匿名化處理后的信息，不被歸類為其所定義的個人信息。許多學者認為“匿名化”本身不能解決所有的個人信息風險[5]，任何匿名化技術都無法完全避免“去匿名化”的風險[6]

。因此，《個人信息保護法》第73條第4項規定，該法所稱的匿名化，是指“個人信息經過處理無法識別特定自然人且不能復原的過程”。《個人信息保護法》第73條第3項第一次引入了“去標識化”的概念，即個人信息經過處理，使其在不借助額外信息的情況下無法識別特定自然人的過程。因此，去標識化信息也屬于可識別的個人信息[2]2。例如，當信息主體在網上購物過程中留下家庭住址或者手機號碼時，這些信息就是標識化的個人信息。如果經過信息處理刪除家庭住址、手機號碼等信息，購物記錄本身就是去標識化的信息，但是這些信息與家庭住址、手機號碼等重新結合后，仍然可以識別出信息主體，因此其依然屬于個人信息。當然，即便是采納“識別+相關說”，如果將某一信息與其他信息相結合，不能識別出特定自然人，則這些信息不屬于個人信息的范圍[4]64。

第三，《個人信息保護法》全面規范了個人信息處理活動，在《民法典》列舉的個人信息的收集、存儲、使用、加工、傳輸、提供、公開等處理活動類型的基礎上，《個人信息保護法》第4條新增了“刪除”這一處理個人信息的行為類型。此外，《個人信息保護法》對個人信息處理行為的規制是靈活、動態而全面的，在處理技術的維度上，從傳統的手工處理個人信息方式到現代的自動化電子網絡科技處理方式，都納入該法的適用范圍;在處理形式的維度上，包括刪除、跨境提供等個人信息處理行為都要受到《個人信息保護法》的調整[7]。

第四，《個人信息保護法》的適用范圍較為寬泛。既包括國家機關的個人信息處理行為，也包括法律法規授權的具有管理公共事務職能的組織抑或作為營利法人的公司企業的個人信息處理行為，還包括非法人組織以及自然人實施的個人信息處理活動，在法律沒有特別規定的情形下，都適用《個人信息保護法》。

二、構建了以“告知同意”為核心的個人信息處理規則

我國《個人信息保護法》第1條明確規定了其立法目的是“規范個人信息處理活動”。該法始終以“告知同意”為核心構建個人信息的處理規則，并對告知同意規則作出了詳細規定。嚴格地說，法律之所以保護個人信息，其目的是保護信息主體對個人信息的自主決定[8]，“數據保護是基于信息自決權的基本權利。除此之外，一個人有權知道何人、何時以及在何種基礎上處理他們的哪些數據”[9]。這就決定了，信息處理者處理個人信息時，原則上應當經過信息主體的同意方可實施。《個人信息保護法》在《民法典》的基礎上，進一步完善了“告知同意”在實際操作層面的具體規則。

（一）進一步完善了信息處理者處理個人信息的合法性事由

個人信息處理活動在客觀上就是對個人信息權益的侵入或影響，如果沒有合法根據，該處理活動就屬于侵害個人信息權益的行為，構成違法行為。個人信息處理的合法根據有以下兩大類。

第一，告知并取得個人的同意，《民法典》第1035條與第1036條都規定了告知同意規則，《個人信息保護法》第14至18條對“告知同意”規則設置了更具操作性的具體要求。一是為“告知”設定了方式顯著、語言清晰易懂、真實、準確、完整的要求與標準。

二是為“同意”設定了充分知情的前提與自愿、明確、遵從法律要求的形式等要求與標準。三是在基于個人同意處理個人信息的情形中，如果個人信息的處理目的、處理方式和處理的個人信息種類以及保存期限等發生變更的，應當重新取得個人同意。四是為保護信息主體的真實、合理意愿提供了撤回等權益。五是規定個人信息處理者不得以信息主體的“同意”為產品或服務的對價或前提。例如，手機APP服務提供者不得在隱私條款中規定“如不提供相關信息就不得使用”等捆綁條款。六是個人信息處理者的處理行為即使有緊急情況作為合法事由的，也應該在緊急情況消除后及時告知信息主體。

第二，法定理由，即法律、行政法規規定的情形或理由，此時無需個人的同意即可處理個人信息。關于法定理由的規定可以說是“告知同意”規則的例外。《個人信息保護法》第13條第1款第2項至第7項明確規定了六類無需取得個人同意即可處理個人信息的情形。該條是在《民法典》第1036條關于“個人信息處理行為的免責事由”規定的基礎上，針對更具體、現實的個人信息利用與保護的實踐需求，以非限定性列舉“個人信息處理的合法事由”的形式進一步完善了信息處理者處理個人信息的合法性基礎。具體而言，一方面，《民法典》采取的是責任豁免的進路，而《個人信息保護法》采取的是合法處理事由的進路，更重視信息處理行為本身的合理性、合法性與必要性;另一方面，《民法典》對免責事由的具體列舉與《個人信息保護法》對合法處理事由的列舉相比，更為概括、更加抽象，并對處理行為都作出“合理”的要求，而后者的規定更加具體，能夠更直接地適用于個人信息的社會實踐。

（二）進一步完善了個人信息的處理規則

第一，《個人信息保護法》第5條在《民法典》的基礎上，進一步增加了“誠信原則”。之所以明確增加誠信原則，是因為在實踐中，有一些APP開發商以提供產品誘導信息主體同意對其個人信息進行處理。還有部分網貸平臺在提供借款時，不僅要求借款人提供自己的個人信息，還要求提供親朋好友的個人信息，否則不予放貸。因此，《個人信息保護法》第5條確立誠信原則，禁止以誤導、欺詐、脅迫等方式處理個人信息，以保障“告知同意”規則的實現。

第二，《個人信息保護法》第6條規定了合目的性原則和比例原則。合目的性原則又稱為目的限制原則，目的限制原則被稱為個人信息保護的“帝王條款”。目的限制原則是個人資料處理的基石。GDPR第5（1）條要求收集個人數據的目的必須明確和合法，不得以與這些目的不兼容的方式進一步處理[10]18-23。目的限制原則要求：一是目的必須特定、明確，并且應當向信息主體告知處理目的;二是個人信息的處理應當與特定目的直接相關。尤其是在處理敏感個人信息的時候，必須以特定目的與充分必要性為前提;三是對個人信息的處理應當符合目的限制原則的要求，特別是對敏感個人信息的處理，必須具有“特定的目的”。為了符合處理目的，應在最小范圍內處理個人信息。信息處理者在收集個人信息時，應當在滿足處理目的的情況下，在最小范圍內收集個人信息，這也被稱為最小化原則（minimisation principle）[10]19。

第三，《個人信息保護法》新增加了公開、透明原則。確立這一原則的目的，是為了進一步保護信息主體的知情決定權。該原則借鑒了GDPR的立法經驗，即要求信息處理者采取公開、透明的方式，避免暗箱操作。公開、透明原則的具體要求為：一是信息處理者應當公開個人信息的處理規則（第7條），例如自然人在使用各種APP時，應當被告知該APP處理個人信息的隱私規則。二是信息處理者在處理個人信息時，應當清晰明確地向信息主體告知處理的目的、方式和范圍等事項（第7條）。例如收集信息主體的健康隱私時，應當告知具體用于何種目的。三是自動化決策應該公開透明，避免因算法黑箱導致的算法歧視、大數據殺熟等現象（第24條）。四是在公共場所安裝圖像采集、個人身份識別設備時，應當遵守國家有關規定，并設置顯著的提示標識（第26條）。五是一旦發生或者可能發生個人信息的泄露、丟失等安全隱患時，信息處理者應當及時通知信息主體（第57條）。

第四，《個人信息保護法》新增加了保障質量原則。該法第8條借鑒了GDPR第5條第1款（d）項關于“準確性”的規定，即個人信息處理者應當保障其處理的個人信息的質量，避免因處理個人信息不準確、不完整而對個人信息權益造成不利影響。歐洲一些法院的判例也要求所收集的數據必須是相關的、準確的和最新的（relevant，accurate and up to date）[11]。在實踐中，征信行業經常發生由于信息錯誤或者不完整而給信息主體造成不利影響的現象。所以，《個人信息保護法》要求信息處理者對自己處理的個人信息的質量負責。除此之外，一旦個人信息的質量出現瑕疵，《個人信息保護法》還賦予信息主體請求更正、刪除的權利。

三、全面規范對個人信息的自動化決策

所謂自動化決策，是指通過計算機程序自動分析、評估個人的行為習慣、興趣愛好或者經濟、健康、信用狀況等，并進行決策的活動（《個人信息保護法》第73條）。自動化決策是建立在大數據、機器學習、人工智能和算法等基礎之上，通過大數據技術對海量用戶進行持續追蹤和信息采集，然后遵循特定的規則處理所收集的個人信息，或通過機器學習對用戶進行數字畫像和相應的決策。在大數據與人工智能時代，自動化決策作為一種富有效率的信息處理方法已經得到了廣泛運用[12]。《個人信息保護法》第24條對自動化決策作出了全面規范，有利于更加全面地保護個人信息，因為在信息時代，各行各業對個人信息的處理，很多是通過自動化方式實施的。在自動化的個人信息處理活動中，個人信息權益尤其容易遭受不利影響。例如，在實踐中，有一些企業通過自動化程序的方式篩選簡歷，通過計算機設定簡單的篩選條件，導致一些應聘者雖然十分優秀，但卻沒有機會獲得進一步的面試機會。再如，由于自動化決策的算法不公開，使信息主體很容易受到算法歧視。

（一）保證決策的透明度和決策的結果公平、公正

《個人信息保護法》第24條第1款規定了個人信息處理者利用個人信息進行自動化決策的基本要求，即應當保證決策的透明度和結果公正、公平。一方面，自動化決策是信息處理者采取一定的算法和系統處理信息主體的個人信息，并向信息主體提供產品或服務，但是，信息主體往往對這些算法和系統難以知悉。自動化決策可能帶來算法黑箱，侵害信息主體的知情權和自主決策，威脅個人的隱私和自由，并可能導致歧視和偏見。所以自動化決策帶來的最大挑戰，就是算法的不透明性[13]140。因此，《個人信息保護法》第24條第3款規定，只要自動化決策方式對個人權益有重大影響的，個人有權要求信息處理者予以說明，信息處理者有義務說明決策方式等情況。另一方面，自動化決策容易導致算法歧視，如人臉識別系統中的算法，如果數據采樣、分析限于某一人種的話，容易歧視其他人種，導致處理的結果不公平、不公正[13]149。因此，個人信息處理者利用個人信息進行自動化決策，應當保證結果的公平、公正，不得對個人在價格等交易條件上實行不合理的差別待遇。

（二）信息主體享有要求信息處理者作出說明的權利

《個人信息保護法》第24條第3款賦予了信息主體要求信息處理者予以說明的權利，即通過自動化決策方式作出對個人權益有重大影響的決定，個人有權要求個人信息處理者予以說明，這也是保證決策的透明度這一基本要求在自動化決策中的具體表現。

通過自動化決策進行信息推送和擴大商業影響，是信息時代的市場廣泛采用的商業模式，此種商業模式給消費者帶來了便利、快捷以及個性化服務的需求，但也容易造成價格歧視、信息繭房的后果，也會造成對消費者的歧視。在實踐中，有一些電商平臺提供競價排名服務，以廣告商支付價格的多少來決定向消費者進行推薦的優先順序，容易侵害消費者的知情權[4]230。因此，賦予信息主體要求處理者對自動化決策進行說明的權利，有利于保障個人的知情權。

（三）信息主體享有拒絕權

一方面，《個人信息保護法》第24條第2款規定，信息處理者在通過自動化決策進行信息推送、商業營銷的同時，應當提供不針對個人特征的選項，并且允許個人以便捷的方式拒絕自動化決策。這一條款實質上賦予了個人對自動化決策的拒絕權。換言之，《個人信息保護法》要求同時提供不針對其個人特征的選項，或者向個人提供便捷的拒絕方式，實際上就是不進行個性化推薦。所謂“便捷的拒絕方式”是指，信息處理者應當向信息主體提供便捷的拒絕自動化處理的渠道。例如，有些電商平臺根據消費者的消費記錄和習慣，進行相應的產品推薦，此時，根據《個人信息保護法》第24條第2款的規定，這些電商平臺應當提供“便捷的拒絕方式”，例如向消費者提供“一鍵切換”至不包含個性化推送的界面，通過此種簡單便捷的操作，可防止自動化決策對消費者個人信息權益的侵害。

另一方面，《個人信息保護法》第24條第3款規定，個人有權拒絕個人信息處理者僅通過自動化決策的方式作出決定。這一規定來自GDPR第22條，該條第3款規定：在第2款所規定的（a）和（c）點的情形中，數據控制者應當采取適當措施保障數據主體的權利、自由、正當利益，以及數據主體對控制者進行人工干涉，以便表達其觀點和對決策進行異議的基本權利。《個人信息保護法》第24條第3款借鑒了GDPR的經驗。

（四）禁止“大數據殺熟”，規范自動化決策

《個人信息保護法》第24條實際上包含對大數據殺熟的規制。大數據殺熟是指同樣的商品或服務，老客戶看到的價格反而比新客戶要貴出許多的現象。有一些企業通過掌握消費者的經濟狀況、消費習慣、對價格的敏感程度等信息，對消費者在交易價格等方面實行歧視性的差別待遇，誤導、欺詐消費者。其中，最典型的就是社會反映突出的“大數據殺熟”。

例如，在大型網絡平臺上購物時，只要留下消費記錄和消費習慣，這些平臺據此推薦的產品價格可能會比向第三人推薦的同一產品的價格更貴。

“大數據殺熟”行為違反了誠實信用原則，侵犯了消費者權益保護法規定的消費者享有公平交易條件的權利[8]，也侵害了消費者知情權和公平交易權，其不僅是一種價格歧視行為，而且是一種價格欺詐行為[14]。因此，《個人信息保護法》第24條第1款明確規定，自動化決策“應當保證決策的透明度和結果公平、公正，不得對個人在交易價格等交易條件上實行不合理的差別待遇”。

四、嚴格保護敏感個人信息

所謂敏感個人信息，是指與個人的人格尊嚴和人身財產安全有密切關聯的個人信息。我國《民法典》第1034條第2款列舉了健康信息等若干敏感個人信息，但是并沒有對敏感個人信息的概念、處理等作出規定。《個人信息保護法》設專節規定了敏感個人信息的處理規則，依據該法第28條的規定，敏感個人信息的確定主要根據如下三個標準。

一是人格尊嚴標準。敏感個人信息與人格尊嚴的保護具有密切聯系，此類信息一旦被泄露或者非法使用，就極易導致信息主體的人格尊嚴受到侵害。由于敏感個人信息對于維護自然人的人身財產安全與人格尊嚴極為重要，故對于敏感個人信息的不當處理，會損害自然人人格尊嚴，尤其會導致對自然人的歧視參見Spindler/Schuster/Spindler/Dalby DS-GVO Art.9 Rn.4。。例如，人體基因的泄露會造成個人在就業、保險等社會活動中遭受各種不公正的歧視[15]。因此嚴格保護敏感個人信息，有利于維護人格尊嚴。我國《憲法》第38條規定了維護人格尊嚴的原則，《個人信息保護法》第1條就規定了“根據憲法，制定本法”，這實際上就是要將《憲法》的原則通過《個人信息保護法》予以具體化，通過對個人信息的保護實現其立法宗旨。

二是人身、財產安全標準。法律保護個人信息，包括敏感個人信息，主要在于保護個人信息所包含的人格利益而非財產利益，但敏感個人信息的泄露或非法使用不僅會損害個人的人格尊嚴，而且可能導致個人的人身、財產安全遭受侵害。因此，基于對人身財產安全的保護目的，也應當嚴格保護敏感個人信息。例如，非法泄露他人的銀行賬戶，可能嚴重威脅個人的財產安全，因而，銀行賬戶信息應當納入敏感個人信息的范疇。在實踐中，因為金融賬戶等信息的泄露，導致各種電信詐騙活動不斷產生，給人民群眾造成巨大的財產損失[4]259。

三是未成年人標準。鑒于未成年人的信息一旦泄露，可能會被不法行為人利用，從事對未成年人實施侵害或對家長進行詐騙等不法行為，嚴重侵害未成年人的合法權益。因此，《個人信息保護法》將不滿14周歲的未成年人的個人信息一概作為敏感個人信息，這就強化了對未成年人個人信息的保護[2]6。

根據《個人信息保護法》第28條第2款的規定，只有在具有特定的目的和充分的必要性，并采取嚴格保護措施的情形下，個人信息處理者才能處理敏感個人信息。這一條款規定了處理敏感個人信息的前提條件。具體包括：一是具有特定的目的，對一般個人信息的處理都應當出示特定目的，對敏感個人信息的處理就更應當具有特定的目的[10]19。例如，醫療研究機構、藥品開發機構在收集個人的基因信息時，不能籠統地以符合醫療健康的目的而收集他人的基因信息，而應當明確指明其收集他人基因信息的具體目的，如制造某種藥品防止基因突變，或者為了研究某種疫苗。二是具有充分的必要性，這就是說，處理相關敏感個人信息對于實現特定的目的而言是必要的、不可缺少的，如果不對敏感個人信息進行處理，就無法實現該目的[4]267。三是采取嚴格保護措施。例如，對敏感個人信息予以分類管理，采取一系列安全技術措施以去標識化或加密，設定嚴格的操作權限等。在這幾個要件中，最核心是特定目的。也就是說，只有具有特定目的，才能依法處理敏感個人信息，而充分的必要性和采取嚴格保護措施都是特定目的的具體展開。強化特定目的要件的主要原因在于，對敏感個人信息而言，法律并不鼓勵對其利用，而重在保護。對敏感個人信息而言，原則上禁止處理，除非具有法律或約定的依據[16]。特定目的必須是特定化的、具體的、明確的目的，而不是泛泛的目的。信息處理者收集他人敏感個人信息的目的越具體，也就越有利于確定該目的是否具有充分的必要性。

五、確認個人在個人信息處理活動中的各項權利

我國《個人信息保護法》第1條開宗明義，就規定了保護個人信息權益，該法第44條規定：“個人對其個人信息的處理享有知情權、決定權，有權限制或者拒絕他人對其個人信息進行處理;法律、行政法規另有規定的除外。”這表明，個人信息保護的主要目的是保護個人對其個人信息的自主決定，并在自主決定的基礎上形成個人對其個人信息所享有的完整權利體系。法律具體規定信息主體所享有的各項權利，不僅有助于規范信息處理者的行為，防止其造成對信息主體權益的侵害，而且有助于使信息主體更好地對自己的信息權益進行自我管理、風險預期與防范[17]。《個人信息保護法》在《民法典》關于個人信息保護的規定基礎上，細化和新增了如下幾項權利。

第一，細化了對知情權、決定權、查詢權、復制權、更正權等權利的規定。一是《個人信息保護法》規定了個人有權限制他人對其個人信息的處理，從而完善了《民法典》的規定，因為《民法典》確定了知情同意權和拒絕權，但是沒有具體規定限制處理權。所謂限制處理權，是指個人可以限制信息處理者只在一定目的、方式或范圍內對其個人信息進行處理。二是《個人信息保護法》第45條第2款增加了個人信息處理者的及時提供義務規定。三是《個人信息保護法》第46條第2款規定，個人請求更正、補充的，個人信息處理者應當對其個人信息予以核實，并及時更正、補充。在此基礎上，豐富了刪除權的請求情形并作出了例外規定，同時要求個人信息處理者建立個人行使權利的申請受理和處理機制，進一步完善了個人在信息處理活動中的權利。

第二，增加信息攜帶權的規定。《個人信息保護法》第45條第3款規定：“個人請求將個人信息轉移至其指定的個人信息處理者，符合國家網信部門規定條件的，個人信息處理者應當提供轉移的途徑。”根據這一條款的規定，信息主體享有信息攜帶權。在實踐中，信息攜帶主要是指用戶將在某個平臺的數據移轉至另一個平臺，如將某個通訊公司中的通話信息移轉至另一家公司，又如將用戶在某一電商平臺上的消費信息轉移至另一電商平臺。依據《個人信息保護法》第45條第3款，信息攜帶權的行使應當滿足以下要件：一是個人應當提出請求;二是個人必須具體指明接收個人信息的信息處理者;三是個人信息的轉移，應當符合國家網信部門規定的條件或標準。《個人信息保護法》新增數據攜帶權規定具有重要意義，一方面，強化了對用戶信息自主決定權的保護，有利于強化信息主體對其數據的控制，并有助于打破鎖定效應（lock-in effect）。例如，當市場上出現了比信息主體正在使用的某個APP更加便捷的同類產品時，若不準許數據攜帶，就會對新APP的利用帶來不便，變相地限制了消費者對市場產品的自由選擇權。如果不允許數據攜帶，則用戶在移轉到另一個平臺時，需要重新積累數據，這不僅成本較高，而且用戶前期積累的數據也無法利用，這顯然不利于用戶對數據的有效利用[18]。另一方面，也有利于打破數據壟斷，促進數據的流通和利用，促進市場的正當競爭。

第三，增加個人主張刪除權的具體情形。《個人信息保護法》第47條規定了應當刪除個人信息的情形，《民法典》第1037條第2款規定的刪除情形主要是信息處理者違反法律、行政法規的規定或雙方約定處理信息。與《民法典》第1037條第2款相比較，《個人信息保護法》進一步擴張了刪除的事由，主要包括：處理目的已實現、無法實現或者為實現處理目的不再必要;個人信息處理者停止提供產品或者服務，或者保存期限已屆滿;個人撤回同意。在上述法定情形下，個人信息處理者應當主動刪除個人信息。如果個人信息處理者未主動刪除，信息主體則有權要求個人信息處理者刪除其個人信息。應當看到，針對刪除權《民法典》第1037條沒有規定兜底條款，而《個人信息保護法》第47條第1款第5項規定了“法律、行政法規規定的其他情形”，也可以刪除。這也保持了一定的開放性，可以適應在個人信息刪除權方面的未來發展的需要。此外，依據《個人信息保護法》第47條第2款，法律、行政法規規定的保存期限未屆滿，或者刪除個人信息從技術上難以實現的，個人信息處理者應當停止除存儲和采取必要的安全保護措施之外的處理。在出現上述兩種不能刪除的情形下，法律規定個人信息處理者只能采取存儲及其他保護措施。

需要指出的是，我國《個人信息保護法》第47條所規定的刪除權不同于比較法上的被遺忘權（right to be forgotten）。所謂被遺忘權，是指當出現法定或約定事由時，如果權利人不希望其個人數據繼續被數據控制者進行處理，則有權要求數據處理者刪除與其個人相關的信息。該權利最早是由歐盟法院在2014年就西班牙發生的“岡薩雷斯訴谷歌案”中所確立的[19]。GDPR第17條第1款規定了刪除權，第2款進一步規定了被遺忘權。GDPR所規定的刪除權又稱為“被遺忘權”，由于其落地成本極高受到了廣泛的質疑[20]。我國《個人信息保護法》所規定的刪除權與域外法上的被遺忘權不同。一方面，刪除權是指信息主體有權要求信息處理者刪除相關的個人信息，本質上是一對一的關系，而信息主體在行使被遺忘權時，不僅有權要求信息處理者刪除相關的個人信息，還要求信息處理者采取必要措施要求其他處理者刪除此類信息。另一方面，如果平臺是信息處理者，刪除權針對的是平臺，而如果平臺將這些信息公開，被搜索引擎所處理，信息主體是否可以要求授索引擎刪除，我國法律并沒有明確規定，而要求搜索引擎刪除，這屬于被遺忘權的范疇。因此，《個人信息保護法》第47條雖然對刪除的事由規定得較為寬泛，但并沒有采用被遺忘權。

第四，請求個人信息處理者對個人信息處理規則進行解釋說明等權利。該項權利也被稱為解釋說明權。所謂個人信息處理規則是指由個人信息處理者單方面制定的處理個人信息的相關規則，這些規則類似于格式條款，如果不加以規制，就會損害信息主體的權益。因此，依據《個人信息保護法》第48條，信息主體有權要求信息處理者就此作出說明。例如，有些個人信息提供者的隱私政策冗長、難以理解，個人有權請求該信息處理者對這些隱私政策進行解釋說明。

此外，為了保護死者近親屬自身合法、正當的利益，同時也尊重死者的遺愿并保護死者本人及其交往者的隱私和通信秘密，《個人信息保護法》允許死者近親屬對死者的相關個人信息行使查閱、復制、更正、刪除等權利，但是，死者生前另有安排的除外。

六、強化個人信息處理者的義務

雖然我國《個人信息保護法》以保護個人信息權益為中心而展開其主要內容，但為了保護個人信息處理活動中信息主體的個人權益，《個人信息保護法》又規定了個人信息處理者的義務，保障這些義務的履行也有助于進一步強化對個人信息的保護。該法之所以集中規定個人信息處理者的義務，也有利于實現規范個人信息處理活動的立法目的。因為一方面，個人信息處理者是個人信息保護的直接責任人，由于其對個人將采取各種處理行為，因此通過強化其在處理活動中所承擔的義務，才能夠使其對個人信息處理活動負責，并采取必要措施保障所處理的個人信息的安全;另一方面，個人信息權利的自主決定權能夠得到尊重與實現，很大程度上依賴于信息處理者對此種權利的尊重以及依法履行保護義務。因此，《個人信息保護法》第五章專門規定，個人信息處理者應當對其個人信息處理活動負責，并采取必要措施保障所處理的個人信息的安全。具體來說，表現在如下幾個方面：

第一，細化了信息處理者的安全保障義務，確保個人信息的處理活動符合法律、行政法規的規定。《民法典》第1038條規定了信息處理者的安全保障義務，以防止信息泄露、篡改、丟失。但《民法典》的上述規定還比較抽象，《個人信息保護法》第51條在《民法典》規定的基礎上，從六個方面進一步確認了信息處理者的安全保障義務，該條具體列舉了個人信息處理中應當采取的六項舉措，只有切實采取這些舉措，才能保障個人信息處理活動的合法性。

第二，規定了個人信息保護人制度。依據《個人信息保護法》第52條規定，要區分大型和小型信息處理者，只有達到國家網信部門規定數量的個人信息處理者才有必要指定個人信息保護負責人，專門負責個人信息的保護。個人信息保護負責人制度與歐盟等國家和地區的數據保護官（data protection officer，DPO）制度具有一定相似性，設立這一制度的核心在于促進企業個人信息保護的專業性與獨立性，強化企業的內部數據治理[21]。但對于許多小型企業而言，由于其信息處理量比較少，不一定要建立個人信息保護人機制。此外，依據《個人信息保護法》第53條規定，在中華人民共和國境外處理中華人民共和國境內自然人個人信息活動的，也應當依法在我國境內設立專門機構或者指定代表，負責處理個人信息保護相關事務。

第三，建立個人信息保護影響評估制度。依據《個人信息保護法》第55條、56條，在處理敏感個人信息，利用個人信息進行自動化決策，委托處理個人信息、向其他個人信息處理者提供個人信息、公開個人信息，向境外提供個人信息以及其他對個人權益有重大影響的個人信息處理活動中，應當進行個人信息保護影響評估。此種評估是一種對風險進行防范的預防性保護措施，個人信息處理者在作出風險評估之后，就應當根據評估結果，考量其所采取的安全保護措施是否合法、有效并與風險程度相適應。如果對個人信息的處理可能會對個人信息權益產生較大影響，且產生的風險較大，就應當及時調整其信息處理行為。第56條實際上是借鑒了GDPR第37條所規定的“數據保護影響評估（data protection impact assessment）”制度的經驗[4]420。需要指出的是，保護影響評估與《個人信息保護法》第36條至40條所規定的安全評估制度并不相同，安全評估制度針對的是個人信息處理活動是否會損害國家安全、公共利益和國家利益，此種評估僅僅適用于向境外提供個人信息的情形，而保護影響評估主要涉及的是信息處理者對個人信息權益的影響，它涉及的是處理行為，不僅適用于向境外提供的個人信息，還適用于境內的各種信息處理行為。

第四，規定了提供重要互聯網平臺服務信息處理者的特殊保護義務。大型網絡平臺與超大型網絡平臺的出現，使得用戶對其往往具有很強的依賴性[22]。由于重要互聯網平臺服務信息處理者（如騰訊、阿里等）不僅為成千上萬的用戶提供服務，而且還要處理大量的個人信息，故從防范風險的角度出發，對這些信息處理者的活動予以規范，對于保護信息主體的合法權益、規范信息處理者的活動至關重要。因此，《個人信息保護法》第58條對提供重要互聯網平臺服務、用戶數量巨大、業務類型復雜的個人信息處理者規定了特別義務，包括按照國家規定建立健全個人信息保護合規制度體系，成立主要由外部成員組成的獨立機構對個人信息保護情況進行監督;遵循公開、公平、公正的原則，制定平臺規則;對嚴重違法處理個人信息的平臺內的產品或者服務提供者，停止提供服務;定期發布個人信息保護社會責任報告，接受社會監督。法律作出此種規定是為了提高大型互聯網平臺經營業務的透明度，完善平臺治理，強化外部監督，形成全社會共同參與的個人信息保護機制。

七、規范國家機關的個人信息處理行為

在我國，政府機關在行政管理過程中也會大量收集個人信息，如何有效規范政府機關處理個人信息的行為，也是保護個人信息的重要組成部分。從個人信息權益發展的歷程來看，個人信息作為一項人格權益，最初產生的目的之一，就是防止政府機關不當處理個人信息例如，美國早在1974年就在《隱私法案》中將美國聯邦機構納入其規制范圍（參見5 U.S.C.§552a〔2006〕）。，而法律之所以承認個人信息作為一項權益，也有利于防范政府行為對個人信息的侵害。在我國，國家機關處理個人信息是行使行政權的活動，但是在處理個人信息的過程中，國家機關也會涉及信息主體在個人信息上的權益。為此，《個人信息保護法》單獨將國家機關對個人信息的處理行為作出明確規定。依據《個人信息保護法》第33條規定，國家機關處理個人信息的活動“適用本法”，這意味著國家機關作為個人信息處理者，也要遵守相關法律規定。規范國家機關的個人信息處理行為，一方面，有利于實現規范個人信息處理活動的立法目的，國家機關依據《個人信息保護法》從事各種個人信息處理活動，才能夠在全社會起到示范效應，提升國家治理和社會治理水平。另一方面，有利于全面維護信息主體的合法權益，尤其是從實踐來看，政府機關已經收集了大量的個人信息，一旦政府機關處理不當，容易給信息主體造成嚴重不利影響。為此，也有必要嚴格規范國家機關的個人信息處理行為。

當然，國家機關處理個人信息是為了公共利益，區別于商業機構對于個人信息的收集和利用，因此《個人信息保護法》對國家機關處理個人信息作出了如下特別規定：

第一，必須依照法定的權限和程序處理個人信息。國家機關處理個人信息主要是為了履行法定職責、行使法定權限，但此種權力的行使必須具有法定的依據。依據《個人信息保護法》第34條，只有出于履行法定職責的需要，國家機關才能處理個人信息，而且國家機關處理個人信息的行為不得超出法定職責必需的范圍和限度;可以說在這方面也要嚴格按照“法無授權不可為”的原則來處理個人信息。同時，國家機關在處理個人信息時，還應當依照法律、行政法規規定的權限、程序進行，否則可能構成非法處理個人信息的行為。

第二，必須依法履行告知義務。雖然國家機關處理個人信息是一種行使職責的行為，但依據《個人信息保護法》第35條規定，除了法律規定不需要告知的情形之外，國家機關為履行法定職責處理個人信息，應當依照本法規定履行告知義務，該條為國家機關處理個人信息設立了一般規則，區別于對一般處理者的“告知同意”要求，國家機關免除告知義務應當符合三種情形：一是具有法律、行政法規規定的應當保密的情形。二是法律、行政法規規定不需要告知的情形。例如，《國家情報法》第15條規定：“國家情報工作機構根據工作需要，按照國家有關規定，經過嚴格的批準手續，可以采取技術偵察措施和身份保護措施。”如果國家情報工作機構在履行職責時，依法不需要告知，則可以免除告知義務。三是告知將妨礙國家機關履行法定職責的情形。例如，稅務機關為了征稅的需要而檢查納稅義務人的有關賬簿、報表等信息，如果事先告知，有可能會導致相關納稅義務人篡改、銷毀有關信息，妨礙稅務機關公共職能的行使，因此，不必要事先告知[4]295。

第三，國家機關處理的個人信息應當在國內存儲。國家機關大規模收集的個人信息，不僅關系個人的信息權利保護，而且關系到國家安全，因此，《個人信息保護法》第36條對國家機關收集的個人信息的存儲規則作出了特別規定。所謂境內存儲，是指個人信息（個人數據）的物理存儲設備，無論是用來存儲個人信息的硬盤，還是云存儲服務所對應的遠端存儲設備，都應當存儲在我國境內，以防止信息被竊取、泄露。法律作出這種規定的目的主要是維護國家安全和公共利益[4]297。如果確需向境外提供的，還應當進行安全評估。

八、規范個人信息跨境流動

所謂跨境流動，是指一國境內的個人信息或數據流出了境內，為他國信息處理者所收集、儲存、加工和使用等。隨著經濟全球化、數字化的不斷推進，我國對外開放的不斷擴大以及互聯網在全球范圍內的互聯互通，個人信息的跨境流動非常普遍，同時，貨物貿易往來頻繁，也必然會帶動數據的流動。但長期以來，由于個人信息跨境流動的法律規制面臨著保護規則缺失，產生了監管難度較大、數據出境安全評估標準存在差異等諸多問題，從而對個人權益產生了重大影響[23]。為此，《個人信息保護法》對個人信息的跨境流動作出了專門規定，對個人信息的跨境流動進行了全面規范。

一是明確了因業務等需要，向境外提供個人信息的條件。依據《個人信息保護法》第38條規定，首先，必須是因業務等需要確需提供。個人信息處理者不得任意向境外提供個人信息，向境外提供個人信息，會涉及國家安全與公共利益，因此只有在“因業務等需要”而確需向境外提供時才能提供。換言之，如果不向境外提供就無法開展正常業務。例如，從事跨境購物業務的信息處理者，不向境外提供收貨人、收貨地址等信息，該跨境購物業務就無從開展，在此情形下，該信息處理者才可以按照法律規定向境外提供個人信息。其次，根據該條第3款的規定，個人信息處理者應當采取必要措施，保障境外接收方處理個人信息的活動達到本法規定的個人信息保護標準，即比較法上的“同等保護水平”。要達到同等保護水平，不僅要考察境外接收方所在國家的法律規定，還要依據網信部門的規定，經專業機構進行個人信息保護認證，并與境外接收方訂立合同，約定雙方的權利和義務。

二是個人信息處理者的告知義務。《個人信息保護法》第39條對跨境提供個人信息的“告知同意”作出更嚴格的要求，切實保障個人的知情權、決定權等權利。也就是說，個人信息處理者向境外提供個人信息，要向信息主體明確告知境外接收方的名稱或者姓名、聯系方式、處理目的、處理方式等內容，還要取得個人的同意。尤其需要指出的是，《個人信息保護法》規定的是單獨同意而非概括同意。即便根據《個人信息保護法》第13條第1款第2項至第7項的規定，不需要經過信息主體同意就可以實施的處理行為，一旦涉及跨境流通，也需要取得信息主體的單獨同意。例如，跨國企業依照依法制定的勞動規章制度或者依法簽訂的集體合同實施人力資源管理所必需的個人信息，在中國境內處理時，不需要取得信息主體的同意，一旦這些個人信息向境外提供時，按照《個人信息保護法》第39條的規定，就應當取得信息主體的單獨同意。

三是特定信息處理者應當將個人信息存儲在境內。根據《個人信息保護法》第40條規定，關鍵信息基礎設施運營者和處理個人信息達到國家網信部門規定數量的個人信息處理者，應當將個人信息存儲在境內。例如，最近特斯拉宣布，特斯拉已在中國建立數據中心，所有中國業務所產生的所有數據，完全存儲在中國境內[24]。如果確實需要向境外提供的，應當通過國家網信部門組織的安全評估。

四是確需向境外提供個人信息的，應當通過安全評估。在向境外提供時，需要通過網信部門組織的安全評估。由于不同國家法律制度、保護水平之間的差異，導致個人信息跨境流動風險較大，因此，需要通過安全評估以確定個人信息跨境流動是否會造成對國家安全和公共利益的損害，是否會侵害個人信息權益。如果不能通過安全評估，則不能向境外提供個人信息。

五是針對個人信息跨境流動，規定了黑名單制度和對等反制措施。從比較法上來看，對于個人信息的跨境流動普遍采取了一定的限制。由于個人信息的跨境流動將直接關系到國家安全、經濟安全[25]。因此，對于信息的跨境流動都設置了一定的限制措施。在我國，雖然個人信息跨境流動可能給國家安全和個人信息保護帶來威脅，但也不宜因噎廢食，一概禁止個人信息的跨境流動，否則將會導致我國數據市場環境的封閉[26]。在維護國家數據主權的基礎上，基于主權國家的平等互惠，《個人信息保護法》第三章對個人信息的跨境提供進行了專門的規制。《個人信息保護法》第42條特別規定，如果境外的組織、個人從事了侵害我國公民的信息權益或者危害了我國國家安全的行為，國家網信部門可以將其列入限制或禁止個人信息提供清單。《個人信息保護法》第43條對外國歧視性措施的對等反制措施作了規定。這些規定對于維護國家數據安全、保護信息主體的合法權益具有重要意義。

九、完善侵害個人信息的法律責任

依據我國《民法典》，對于侵害個人信息權益造成損害的可以適用侵權責任編關于損害賠償的規則，并可以適用人格權編995條關于人格權請求權的規則。《民法典》中諸多保護個人信息的規則都可以適用于個人信息的保護，但《個人信息保護法》為強化對個人信息權利的保護，在《民法典》規定的基礎上，新增了一些特殊的個人信息保護措施。

一是確立了多層次的責任體系。因為個人信息保護涉及眾多不同的法益，侵害個人信息權益的行為既可能導致私主體的權利遭受侵害，也可能導致行政法和刑法所保護的公法益遭受侵害，因而同時涉及個人利益和公共利益。如何通過損害賠償的方式來救濟此種大規模且屬性復雜的權益侵害，是傳統民事司法救濟、行政與刑事救濟難以單獨解決的問題[27]。因此《個人信息保護法》采取了民事責任、行政責任與刑事相結合責任體系，多維度地規范個人信息處理行為。《個人信息保護法》第50條第2款明確規定在個人信息處理者拒絕個人行使權利的請求時，個人可以依法向人民法院提起訴訟，這也為個人信息權利的保護提供了新的救濟途徑。允許個人在其個人信息權益遭受侵害時提起訴訟，這對于個人信息權益的保護意義重大。

二是確立了侵害個人信息的過錯推定責任。過錯推定也稱過失推定，是指行為人因過錯侵害他人民事權益，依法應推定行為人具有過錯，如果行為人不能證明自己沒有過錯的，則應當承擔侵權責任。《個人信息保護法》第69條第1款規定：“處理個人信息侵害個人信息權益造成損害，個人信息處理者不能證明自己沒有過錯的，應當承擔損害賠償等侵權責任。”之所以采取此種歸責原則，很大程度上是因為在實踐中，受害人舉證困難已經成為個人信息保護所面臨的一大困境。在個人信息的處理中，個人信息處理者距證據較近，受害人則距離證據較遠。加之對于數據處理中過錯的證明專業性較強，尤其是對于算法等，只有處理者才具備判斷處理過程中是否存在過錯的專業知識和技能，而受害人舉證的成本十分高昂。在這些情況下，就會發生“證據分布不均衡”的現象，此時就有必要讓處于更易于適用必要證據的一方當事人負擔證明責任[28]。因此，采用過錯推定原則有利于減輕受害人的舉證負擔，強化信息處理者的舉證義務，從而對受害人提供有效的救濟[29]。當然，此處的過錯推定主要適用于造成損害進而請求損害賠償的情形。而對于停止侵害、排除妨礙等責任形式，當事人可以通過行使人格權請求權予以實現，而人格權請求權的行使不以過錯的存在為要件，因此并不存在過錯推定的問題。

三是確立了損害賠償責任。依據《個人信息保護法》第69條第2款的規定，侵害個人信息的“損害賠償責任按照個人因此受到的損失或者個人信息處理者因此獲得的利益確定;個人因此受到的損失和個人信息處理者因此獲得的利益難以確定的，根據實際情況確定賠償數額”。該條是在侵權責任編獲利返還規則的基礎上所作出的規定，也是對《民法典》第1182條的細化規定。從《民法典》第1182條規定來看，其使用了“侵害人身權益”的表述，立法者主要列舉了名譽權、肖像權等權益遭受侵害的情形[30]，而對于其能否適用于個人信息保護，一直存在爭議。在這一背景下，《個人信息保護法》第69條明確了獲利返還規則可以適用于侵害個人信息的情形，也進一步完善了《民法典》的相關規定。

四是引入了侵害個人信息的公益訴訟制度。《個人信息保護法》還引入了公益訴訟制度，從而對個人信息侵權救濟問題進行了重大創新。在侵害個人信息的案件中，往往受害人眾多，而單個受害人能力有限，可能面臨舉證困難等問題，甚至有的受害人可能并不知道其個人信息權利已經遭受侵害。在面對不特定多數主體權利可能遭受侵害的場合，單個信息主體提起訴訟動力不足[31]，因此，就十分有必要引入公益訴訟制度。從制度安排上看，提起個人信息保護公益訴訟的訴權主體有人民檢察院、法律規定的消費者組織和由國家網信部門確定的組織（《個人信息保護法》第70條）。通過公益訴訟可以調動諸多手段，協同多個部門，使具有更強糾紛解決能力的組織和機關介入，對個人信息的保護更具專業性、權威性和便利性，有助于克服實踐中個人起訴存在的舉證困難、成本過高等問題，對于強化保護個人信息十分必要[32]。

十、結 語

在現代社會中，伴隨著互聯網的發展，個人信息的保護與利用問題已經成為21世紀法律所面臨的重要挑戰，如何保護個人信息已經成為時代之問。我國《個人信息保護法》在《民法典》等法律法規的基礎上，有效總結了我國個人信息處理的理論研究和實務經驗，并積極吸收和借鑒歐盟《一般數據保護條例》等域外立法的經驗，在多個方面進行了創新，形成了諸多制度亮點，充分彰顯了我國在個人信息保護領域立法的時代性、國際性和本土性。全面貫徹實施好《個人信息保護法》，才能切實保護人民群眾在數字化時代所享有的各項民事權益，從而促進數字經濟的有序發展。

參考文獻：

[1]鄭維煒.個人信息權的權利屬性、法理基礎與保護路徑[J].法制與社會發展，2020（6）：136.

[2]龍衛球.中華人民共和國個人信息保護法釋義[M].北京：中國法制出版社，2021.

[3]張新寶.論個人信息權益的構造[J].中外法學，2021（5）：1146.

[4]程嘯.個人信息保護法理解與適用[M].北京：中國法制出版社，2021.

[5]呂炳斌.個人信息保護的同意困境及其出路[J].法商研究，2021（2）：94.

[6]DIX A.Datenschutz im Zeitalter von Big Data：wie steht es um den Schutz der Privatsphre？[J].Stadtforschung und Statistik，Zeitschrift des Verbandes Deutscher Stdtestatistiker，2016（1）：61.

[7]程嘯.論我國個人信息保護法中的個人信息處理規則[J].清華法學，2021（3）：59.

[8]楊合慶.論個人信息保護法十大亮點[N].法治日報，2021-08-22.

[9]PRLI K.Datenaustausch und Datenschutz in der Interinstitutionellen Zusammenarbeit （IIZ） （Data Exchange and Data Protection in Interinstitutional Cooperation （IIC））[J].Sozialpolitik，2013（6）：310.

[10]IGLEZAKIS I，TROKANAS T，KIORTSI P.Big Health and Genetic Data：Opportunites，Risks，and Legal Conundrume Regarding Application of GDPR[J].Journal of Internet Law，2021（10）.

[11]FRIESEN J.The Impossible Right to Be Forgotten[J].Rutgers Computer & Technology Law Journal，2020（1）：179.

[12]孫建麗.算法自動化決策風險的法律規制研究[J].法治研究，2019（4）：108.

[13]丁曉東.論算法的法律規制[J].中國社會科學，2020（12）.

[14]劉佳明.大數據“殺熟”的定性及其法律規制[J].湖南農業大學學報（社會科學版），2020（1）：56-61.

[15]田野，張晨輝.論敏感個人信息的法律保護[J].河南社會科學，2019（7）：44.

[16]IACOB N，SIMONELLI F.Towards a European Health Data Ecosystem[J].European Journal of Risk Regula-tioin，2020（4）：889.

[17]WALDMAN A E.Privacy as Trust：Sharing Personal Information in a Networked World[J].University of Miami Law Review，2015（3）：560-590.

[18]SWIRE P，LAGOS Y.Why the Right to Data Portability Likely Reduces Consumer Welfare：Antitrust and Privacy Critique[J].Maryland Law Review，2013（2）：335.

[19]于向花.被遺忘權研究[M].北京：中國社會科學出版社，2020：23-30.

[20]萬方.終將被遺忘的權利——我國引入被遺忘權的思考[J].法學評論，2016（6）：161.

[21]WP 243.Guidelines on Data Protection Officers （“DPOs”）[EB/OL].（2017-04-05）[2021-08-06].https：//ec.europa.eu/newsroom/article29/item-detail.cfm？item_id=612048.

[22]BOSTOEN F.Neutrality，Fairness or Freedom？Principles for Platform Regulation[J].Internet Policy Review，2018（1）：1-19.

[23]鐘鳴.數字貿易時代個人信息跨境流動的法律保護路徑[J].人民論壇，2021（6）：109.

[24]馬斯克.特斯拉所有中國業務數據將完全存儲在中國境內[N].重慶晨報，2021-09-26.

[25]楊合慶.中華人民共和國網絡安全法解讀[M].北京：中國法制出版社，2017：82.

[26]邵國松，黃琪.個人數據保護全球融合的趨勢與挑戰[J].上海交通大學學報（哲學社會科學版），2021（4）：157.

[27]COHEN J E.Information Privacy Litigation as Bellwether for Institutional Change[J].DePaul Law Review，2016（2）：548.

[28]新堂幸司.新民事訴訟法[M].林劍鋒，譯.北京：法律出版社，2008：399.

[29]周友軍.個人信息保護法來了：為數據利用、流通上把“鎖”[EB/OL].（2021-08-26）[2021-09-10].https：//m.thepaper.cn/newsDetail_forward_14222199.

[30]黃薇.中華人民共和國民法典侵權責任編釋義[M].北京：法律出版社，2020：56.

[31]王亞新，陳杭平，劉君博.中國民事訴訟法重點講義[M].北京：高等教育出版社，2021：206.

[32]胡立彪.用公益訴訟為個人信息保護助力[N].中國質量報，2021-01-11.

Highlights and Innovation of Personal Information Protection Law

WANG Liming

（The Research Center of Civil and Commercial Jurisprudence， Renmin University of China， Beijing 100872， China）

Abstract：The Personal Information Protection Law is a special legislation for the comprehensive protection of personal information. As a mixture of public law and private law， its private law， as a special law of the Civil Code， further enriches and develops the personal information protection rules of the Civil Code. On the basis of summarizing the legislative experience of the Civil Code， the Personal Information Protection Law draws on the experience of comparative laws such as the EU General Data Protection Regulation， and has formed many highlights and innovative features， including further expanding the protection scope of personal information， constructing personal information processing rules with “informed consent” as the core， comprehensively standardizing automatic decision-making， strictly protecting sensitive personal information， confirming individual rights in personal information processing activities， strengthening the obligations of personal information processors， standardizing the personal information processing behavior of state organs and the cross-border flow of personal information， and improving the legal liability for infringement of personal information. These highlights and features fully demonstrate the timeliness， internationality and localization of this legislation.

Keywords：personal information; Personal Information Protection Law; personal information processing

（編輯：李春英）

收稿日期：2021-10-08

作者簡介：王利明（1960-），男，湖北仙桃人，中國人民大學民商事法律科學研究中心研究員，中國人民大學法學院教授。