2023年11月1日，《个人信息保护法》正式施行满两周年。《个人信息保护法》为个人信息保护与利用提供了有效的法律保障，与《网络安全法》和《数据安全法》等法律共同构建起个人 信息保护的法律体系。该法的施行标志着我国个人信息保护立法体系进入新的发展阶段，是国家在个人信息保护立法层面的重大里程碑。在《个人信息保护法》施行两周年之际，让我们回顾《个人信息保护法》的深刻内涵与通用规则，在有效保障个人信息权益的基础上，进一步促进信息数据依法合理有效利用，推动数字经济的健康发展。

个人信息保护法的立法目的与法律体系

个人信息保护法的立法目的

《个人信息保护法》的立法目的，一方面是为了保护个人信息的权益，规范个人信息处理活动；另一方面是为了促进个人信息的合理利用，即个人信息的“保护”与“利用”是同步推进的。《个人信息保护法》出台后，个人信息由“不得出售”演变为“不得非法出售或提供”。“规范个人信息的处理活动”这一原则始终处于《个人信息保护法》的核心地位，只有夯实这一关键环节才能达到个人信息权益保护和促进个人信息合理利用的目的。

个人信息保护法的法律体系

回顾一下关于个人信息保护方面的法律法规发展脉络。2012年，全国人大常委会颁布了《关于加强网络信息保护的决定》，首次确立了“保护能够识别公民个人身份和涉及公民稳私的电子信息”的制度；2015年，《刑法修正案 ( 九 )》出台，增加了“侵犯公民个人信息罪”，首次将侵犯个人信息罪列为独立的罪名；2017年，最高人民法院、最高人民检察院颁布了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》，强调了个人信息为“已识别或者可识别的自然人信息”，进一步细化了侵犯个人信息类案件的法律适用原则；2020年，《民法典》颁布，进一步明确规定了个人信息的保护原则；2021年，《个人信息保护法》颁布，该法对“个人信息”增加了“不包括匿名化处理后的信息”，明确了个人信息经匿名化处理后不再属于“个人信息”，不适用《个人信息保护法》的相关规定。由此可见，关于个人信息保护方面的立法是与时俱进、不断完善的配套法律体系。

个人信息保护法的通用规则

目前，《个人信息保护法》明确了个人信息保护的五项通用规则：一是遵循“合法、正当、必要和诚信原则”；二是“两个最小原则”，即对个人权益影响最小原则与限于实现处理目的最小范围原则；三是处理个人信息应当遵循公开、透明原则；四是处理个人信息应当保证个人信息质量原则；五是采取必要措施确保个人信息安全原则。

这五项通用规则在《网络安全法》《民法典》及个人信息保护相关的司法解释中均有所规定，成为我国个人信息处理必须遵守的通用规则。笔者认为，在五项规则中，个人信息处理最核心的规则是“两个最小原则”，这是禁止“过度收集个人信息”的关键要点，即“非必要不收集原则”。当前，在数字经济新形势下，一些新型个人信息保护案件较难找出具体适用的法律条款，需要适用个人信息处理的通用规则去协调处理。

个人信息保护法的新要求与新规则 

“个人信息”的范围有所增减并明确了全流程处理的规则

《个人信息保护法》中关于个人信息的范围增加了敏感个人信息，但不包括匿名化处理后的信息。“匿名化信息”指个人信息经过处理无法识别到特定自然人且不能复原的信息。“不能复原”一般有两个标准：一是删除个人信息包含的个人描述部分；二是删除所述个人信息中所包含的全部标识符，包括将标识符替换为其他描述部分，或使用具有不可恢复的方法等。为此，我们要巧用个人信息保护的二大例外原则：匿名化原则与去标识化原则。

《个人信息保护法》明确了如下处理规则：一是明确“合法、正当、必要、诚信”原则。即处理目的“最小范围”，禁止过度收集个人信息。二是构建了以“告知—知情—同意—撤回同意”为核心的个人信息全流程处理规则。该规则明确要求应当在事先充分告知的前提下取得个人同意，并且个人有权撤回“同意”。个人信息处理者“告知”的目的是确保个人充分的“知情”。三是明确了个人信息处理者处理个人信息的合法性基础。主要包括：取得个人的同意；为订立、履行个人作为一方当事人的合同所必需；为履行法定职责或者法定义务所必需；为应对突发公共卫生事件等；为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息等。在此，需特别注意并合理利用的是，以上合法性基础同时也是“告知—知情—同意—撤回同意”原则的例外情形。

明确了“敏感个人信息”的范围与保护规则

《个人信息保护法》将个人信息分为敏感信息与非敏感信息。“敏感个人信息”为一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括行踪轨迹、金融账户、生物识别、宗教信仰、特定身份、医疗健康等信息，以及不满十四周岁未成年人的个人信息。同时，该法对处理“敏感个人信息”做出更严格的限制性规定，只有在具有特定目的和取得个人单独的同意，且采取严格保护措施的情形下，方可处理敏感个人信息。

用好自动化决策下的个人信息处理规则

《个人信息保护法》针对“大数据杀熟”“用户画像”“算法推荐”“精准营销”等自动化决策的热点问题，明确了三大规则：一是针对“大数据杀熟”现象的非歧视化规则。该法要求个人信息处理者利用个人信息进行自动化决策，应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇。二是精准营销行为的非侵扰性规则。如通过自动化决策方式向个人进行信息推送、商业营销，应当同时提供不针对其个人特征的选项。三是明确了可拒绝的处理规则。如通过自动化决策方式做出对个人权益有重大影响的决定，个人有权要求个人信息处理者予以说明，并有权拒绝。该法确立了一项义务性规范和一项禁止性规定，即应当保证决策的透明度和结果的公平、公正。

规定了趋于严格的行政法律责任

《个人信息保护法》对违法处理个人信息、处理个人信息未履行法定保护义务等规定了三项行政法律责任，一是责令整改、给予警告、没收违法所得、对应用程序责令暂停或终止提供服务；二是对拒不改正的，并处100万元以下的罚款；三是对直接负责的主管人员和责任人员可处1万元以上10万元以下罚款。对于有上述违法行为且情节严重的，规定了更为严格的法律责任：责令暂停相关业务或者停业整顿、吊销业务许可或营业执照，并处5000万元以下或上一年度营业额5% 以下罚款。与《数据安全法》相比，《个人信息保护法》将处罚的上限提升了5倍。如：2022年7月，国家互联网信息办公室对滴滴公司做出网络安全审查相关行政处罚，因滴滴公司严重违反《个人信息保护法》《网络安全法》《数据安全法》等法律法规，社会责任严重缺失，被处以80.26亿元罚款，并对董事长、总经理各处以100万元罚款。

严格落实《个人信息保护法》的具体举措

进一步完善个人信息保护的合规管理制度

健全个人信息保护的合规制度与操作规程。运营商对个人信息要实行分类管理，合理确定个人信息处理的操作权限。要制定并组织实施个人信息安全事件的应急预案，如发生个人信息泄露、篡改、丢失等情形，应立即采取补救措施，并通知履行个人信息保护职责的部门。此外，根据《个人信息保护法》相关规定，还应当定期对处理个人信息遵守法律、行政法规的情况进行合规审计。

切实履行个人信息保护法定义务与社会责任。运营商作为提供基础性互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，需承担法律规定的特定义务。主要包括遵循公开、公平、公正的原则，制定平台规则，明确平台处理个人信息的规范和保护个人信息的义务；强化对个人信息处理活动的监督，提升保护个人信息的透明度等；定期发布个人信息保护社会责任报告、接受社会监督等。

进一步健全个人信息保护影响评估机制。对于涉及处理敏感个人信息，利用个人信息进行自动化决策，委托处理个人信息等情形，应将个人信息保护影响评估纳入产品及服务设计流程，在信息收集的全过程对相关信息收集的必要性、对个人权益的影响、安全风险以及安全保护措施的合法有效性进行评估，不断完善个人信息及数据合规机制。

多措并举开展《个人信息保护法》的普法活动。各单位要以国家网络安全宣传周活动为契机，综合运用普法竞赛、法治讲堂、新法讲座、法治视频等多种方式，开展形式生动的普法活动，让一线员工准确把握法律的核心要义和重点规定，增强对《个人信息保护法》的理解与认知，确保公司经营合法合规。

在业务管理流程中落实个人信息保护新要求

在渠道管理方面，定期更新APP等隐私政策。一方面，要及时更新 网站、APP等隐私保护政策，政策的内容应当表述准确、逻辑清晰。涉及敏感信息时需增加对用户的单独同意要求，如增加用户手写签字确认等；同时还应以显著的方式提示用户，如对涉及敏感信息的内容加粗加黑、在显著的位置做出必要的解释说明等。另一方面，应建立隐私政策审核机制，定期对公司网站、APP等开展评估，确保符合隐私政策相关要求。要进一步落实中央网信办、华体官方网页版和信息化部、公安部、国家市场监管总局联合开展的APP违规收集使用用户个人信息专项治理工作，加强公司APP收集使用用户个人信息的管理，切实维护用户个人权益。

在业务经营方面，夯实最小限度保存个人信息制度。运营商应进一步明确需要主动删除个人信息的五种情形，主要包括处理目的已实现、无法实现或者为实现处理目的不再必要；停止提供产品或者服务的，或者存化者期限已届满；个人撤回同意；违法或违约处理个人信息以及法律法规规定的其他情形。如果法律法规规定的存化者期限未届满，或者删除个人信息从技术上难以实现的，应当停止除存储及采取必要的安全保护措施之外的处理。定期对个人信息存储情况进行评估，减少非必要的个人信息存储，确保个人信息最小限度保存。

在自动化决策方面，落实用户撤回机制、禁止数据歧视等。运营商应采取加密、去标识化等安全技术措施，结合个人信息处理活动的具体情况，采取严格措施充分保障个人信息安全。如通过自动化决策方式向个人进行信息推送、商业营销时，不得实行不合理的差别待遇，应当同时提供不针对其个人特征的选项，或者向个人提供便捷拒绝的方式。同时，在对外经营中向个人信息主体明示撤回同意的方法，确保该方法便捷易操作且能及时响应，建立撤回的内部处理流程机制，明确撤回操作涉及的环节，确保个人信息撤回有效、准确、完整。

作者单位：中国电信股份有限公司扬州分公司