互聯(lián)網(wǎng)與大數(shù)據(jù)時(shí)代，個(gè)人信息保護(hù)構(gòu)成了數(shù)字社會治理與數(shù)字經(jīng)濟(jì)發(fā)展的基本法，牽動著萬千公眾的切身利益，也關(guān)涉企業(yè)對于個(gè)人信息的合理利用與規(guī)范發(fā)展。個(gè)人信息保護(hù)法自啟動立法以來，也因此受到了社會的廣泛關(guān)注。如今，個(gè)人信息保護(hù)法正式頒布，為個(gè)人信息處理活動提供了明確的法律依據(jù)，為個(gè)人維護(hù)其個(gè)人信息權(quán)益提供了充分保障，為企業(yè)合規(guī)處理提供了操作指引。

　　整體來看，個(gè)人信息保護(hù)法構(gòu)建了完整的個(gè)人信息保護(hù)框架。其規(guī)定涵蓋了個(gè)人信息的范圍以及個(gè)人信息從收集、存儲到使用、加工、傳輸、提供、公開、刪除等所有處理過程；明確賦予了個(gè)人對其信息控制的相關(guān)權(quán)利，并確認(rèn)與個(gè)人權(quán)利相對應(yīng)的個(gè)人信息處理者的義務(wù)及法律責(zé)任；對個(gè)人信息出境問題、個(gè)人信息保護(hù)的部門職責(zé)、相關(guān)法律責(zé)任進(jìn)行了規(guī)定。

　　首先，個(gè)人信息保護(hù)法確認(rèn)了廣義的個(gè)人信息范圍，包括以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息，這意味著絕大多數(shù)與自然人相關(guān)的信息都可以納入保護(hù)范圍，體現(xiàn)了個(gè)人信息保護(hù)法廣泛的保護(hù)范圍。同時(shí)區(qū)分了敏感個(gè)人信息，包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個(gè)人信息。將不滿十四周歲的未成年人的個(gè)人信息納入敏感個(gè)人信息范疇，加強(qiáng)了對未成年人個(gè)人信息保護(hù)的力度。此外，明確將匿名化處理后的信息排除在外，這表明在大力保護(hù)個(gè)人信息權(quán)益的同時(shí)，也希望個(gè)人信息處理者能夠采用匿名化等技術(shù)，以保障正常的信息處理活動。

　　第二，個(gè)人信息保護(hù)法提出了處理個(gè)人信息需要遵循的原則和要求。處理個(gè)人信息不僅要滿足合法、正當(dāng)、必要，還要有明確、合理的目的，同時(shí)必須采取對個(gè)人權(quán)益影響最小的方式，限于實(shí)現(xiàn)處理目的的最小范圍，遵循公開、透明的原則，保證個(gè)人信息的準(zhǔn)確、完整性，并采取必要措施保障個(gè)人信息的安全。作為個(gè)人信息處理活動最基本的要求，這些原則貫穿于個(gè)人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等各個(gè)處理環(huán)節(jié)，在疑難情況或沒有具體規(guī)定時(shí)也都應(yīng)當(dāng)符合原則的要求，任何組織、個(gè)人都不得非法買賣、提供或者公開他人個(gè)人信息；不得從事危害國家安全、公共利益的個(gè)人信息處理活動。

　　第三，個(gè)人信息保護(hù)法制定了個(gè)人信息處理的規(guī)則。原則為個(gè)人信息的處理活動提供了方向，規(guī)則則讓個(gè)人信息的具體處理活動有更具體的依據(jù)。

　　首先是處理個(gè)人信息的合法性基礎(chǔ)。個(gè)人信息保護(hù)法對“知情—同意規(guī)則”提出了明確要求。必須要保證個(gè)人的知情權(quán)，明確在處理個(gè)人信息前，個(gè)人信息處理者應(yīng)當(dāng)以顯著方式、清晰易懂的語言真實(shí)、準(zhǔn)確、完整地將個(gè)人信息處理的目的、處理方式等相關(guān)事項(xiàng)告知個(gè)人，個(gè)人在充分知情的前提下自愿、明確作出同意。個(gè)人還有權(quán)隨時(shí)撤回其同意，并且不影響撤回前基于個(gè)人同意已進(jìn)行的個(gè)人信息處理活動的效力，個(gè)人信息處理者不得以個(gè)人不同意或者撤回同意為由拒絕提供產(chǎn)品或者服務(wù)，處理個(gè)人信息屬于提供產(chǎn)品或者服務(wù)所必需的除外。而基于“知情—同意規(guī)則”處理敏感個(gè)人信息的，除了需要個(gè)人的單獨(dú)同意，在告知環(huán)節(jié)還應(yīng)當(dāng)向個(gè)人告知處理敏感個(gè)人信息的必要性以及對個(gè)人權(quán)益的影響。

　　處理個(gè)人信息的合法基礎(chǔ)除了個(gè)人的同意外，還有可能是其他原因，個(gè)人信息保護(hù)法第十三條規(guī)定：符合下列情形之一的，個(gè)人信息處理者方可處理個(gè)人信息：（一）取得個(gè)人的同意；（二）為訂立、履行個(gè)人作為一方當(dāng)事人的合同所必需，或者按照依法制定的勞動規(guī)章制度和依法簽訂的集體合同實(shí)施人力資源管理所必需；（三）為履行法定職責(zé)或者法定義務(wù)所必需；（四）為應(yīng)對突發(fā)公共衛(wèi)生事件，或者緊急情況下為保護(hù)自然人的生命健康和財(cái)產(chǎn)安全所必需；（五）為公共利益實(shí)施新聞報(bào)道、輿論監(jiān)督等行為，在合理的范圍內(nèi)處理個(gè)人信息；（六）依照本法規(guī)定在合理的范圍內(nèi)處理個(gè)人自行公開或者其他已經(jīng)合法公開的個(gè)人信息；（七）法律、行政法規(guī)規(guī)定的其他情形。除同意以外的其他合法性基礎(chǔ)還需要考慮特定情形，符合處理個(gè)人信息的基本原則，并采取對個(gè)人權(quán)益影響最小的方式，嚴(yán)格限制對個(gè)人信息的濫用。其中，以“按照依法制定的勞動規(guī)章制度和依法簽訂的集體合同實(shí)施人力資源管理所必需”為企業(yè)需要處理員工的個(gè)人信息的情形提供了法律依據(jù)。因?yàn)閯趧雨P(guān)系中從屬性的存在，員工的“同意”往往難以被認(rèn)定為是自由作出，使得企業(yè)處理員工個(gè)人信息困難重重，以“按照依法制定的勞動規(guī)章制度和依法簽訂的集體合同實(shí)施人力資源管理所必需”作為合法基礎(chǔ)為企業(yè)處理信息預(yù)留空間的同時(shí)又有著較強(qiáng)的限定，可以避免企業(yè)對正當(dāng)利益合法基礎(chǔ)的濫用，也體現(xiàn)了個(gè)人信息保護(hù)法嚴(yán)格的規(guī)制目標(biāo)。

　　其次，個(gè)人信息保護(hù)法規(guī)定利用個(gè)人信息進(jìn)行自動化決策，不僅要保證決策的透明度和結(jié)果的公平、公正，還要求不得對個(gè)人在交易價(jià)格等交易條件上實(shí)行不合理的差別待遇，明確否定了“大數(shù)據(jù)殺熟”等現(xiàn)象。通過自動化決策方式作出對個(gè)人權(quán)益有重大影響的決定，個(gè)人有權(quán)要求個(gè)人信息處理者予以說明，并有權(quán)拒絕個(gè)人信息處理者僅通過自動化決策的方式作出決定。如果利用自動化決策方式進(jìn)行信息推送、商業(yè)營銷，還應(yīng)當(dāng)同時(shí)提供不針對其個(gè)人特征的選項(xiàng)，或者向個(gè)人提供拒絕的方式，比如提供關(guān)閉個(gè)性化推薦的選項(xiàng)。

　　個(gè)人信息保護(hù)法還規(guī)定了個(gè)人信息跨境提供的合法性基礎(chǔ)，包括通過國家網(wǎng)信部門組織的安全評估、按照國家網(wǎng)信部門的規(guī)定經(jīng)專業(yè)機(jī)構(gòu)進(jìn)行個(gè)人信息保護(hù)認(rèn)證、按照國家網(wǎng)信部門制定的標(biāo)準(zhǔn)合同與境外接收方訂立合同并約定雙方的權(quán)利和義務(wù)等，并且規(guī)定了中華人民共和國締結(jié)或者參加的國際條約、協(xié)定也可以作為合法基礎(chǔ)。但同時(shí)還需要注意個(gè)人信息跨境提供，個(gè)人信息處理者應(yīng)當(dāng)保障境外接收方處理個(gè)人信息的活動達(dá)到本法規(guī)定的個(gè)人信息保護(hù)標(biāo)準(zhǔn)。

　　第四，個(gè)人信息保護(hù)法明確了個(gè)人信息處理活動過程中的權(quán)利和義務(wù)。賦予了個(gè)人在個(gè)人信息處理活動中的權(quán)利，包括查閱復(fù)制權(quán)、可攜帶權(quán)、更正補(bǔ)充權(quán)、刪除權(quán)、解釋說明權(quán)等權(quán)利。其中，可攜帶權(quán)是指當(dāng)個(gè)人請求將個(gè)人信息轉(zhuǎn)移至其指定的個(gè)人信息處理者，符合國家網(wǎng)信部門規(guī)定條件的，個(gè)人信息處理者應(yīng)當(dāng)提供轉(zhuǎn)移的途徑。刪除權(quán)的行使則需要在保存期限屆滿、出現(xiàn)違法違約等情況且個(gè)人信息處理者沒有主動刪除的情況下，個(gè)人才有權(quán)請求刪除。

　　與個(gè)人權(quán)利相對應(yīng)的是個(gè)人信息處理者的義務(wù)，個(gè)人信息保護(hù)法中對個(gè)人信息處理者的職責(zé)和義務(wù)提出了嚴(yán)格的要求，應(yīng)當(dāng)根據(jù)具體的處理情形采取必要的措施，并在涉及敏感個(gè)人信息、自動化決策等情形時(shí)還需在事前進(jìn)行個(gè)人信息保護(hù)影響評估，如果處理個(gè)人信息數(shù)量達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量的，還應(yīng)當(dāng)指定個(gè)人信息保護(hù)負(fù)責(zé)人。發(fā)生或可能發(fā)生個(gè)人信息泄露、篡改、丟失時(shí)，個(gè)人信息處理者應(yīng)當(dāng)立即采取補(bǔ)救措施，并將相關(guān)情況通知履行個(gè)人信息保護(hù)職責(zé)的部門和個(gè)人。同時(shí)，提供重要互聯(lián)網(wǎng)平臺服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的個(gè)人信息處理者還應(yīng)履行更高水平的保護(hù)義務(wù)。

　　第五，個(gè)人信息保護(hù)法規(guī)定了履行個(gè)人信息保護(hù)職責(zé)部門的職責(zé)。國家網(wǎng)信部門負(fù)責(zé)統(tǒng)籌協(xié)調(diào)個(gè)人信息保護(hù)工作和相關(guān)監(jiān)督管理工作。履行個(gè)人信息保護(hù)職責(zé)的部門需要接受、處理與個(gè)人信息保護(hù)有關(guān)的投訴、舉報(bào)，并調(diào)查、處理違法個(gè)人信息處理活動。對于個(gè)人信息處理活動有任何疑問的任何組織、個(gè)人都有權(quán)向履行個(gè)人信息保護(hù)職責(zé)的部門進(jìn)行投訴、舉報(bào)。收到投訴、舉報(bào)的部門應(yīng)當(dāng)依法及時(shí)處理，并將處理結(jié)果告知投訴、舉報(bào)人。

　　第六，個(gè)人信息保護(hù)法規(guī)定了相關(guān)法律責(zé)任。個(gè)人信息保護(hù)法第五十四條規(guī)定，個(gè)人信息處理者應(yīng)當(dāng)定期對其個(gè)人信息處理活動遵守法律、行政法規(guī)的情況進(jìn)行合規(guī)審計(jì)。這表明在未來對企業(yè)的合規(guī)審計(jì)將會成為常態(tài)，不僅是事后對違法的個(gè)人信息處理活動進(jìn)行調(diào)查處理，更重要的是事前的預(yù)防機(jī)制，從源頭阻止個(gè)人信息被侵害的情形發(fā)生。而一旦發(fā)生侵害個(gè)人信息的行為，將對個(gè)人信息處理者實(shí)行過錯(cuò)推定原則，不能證明自己沒有過錯(cuò)的就應(yīng)當(dāng)承擔(dān)損害賠償?shù)惹謾?quán)責(zé)任，這在很大程度上減輕了個(gè)人維權(quán)的難度，也給個(gè)人信息處理者的合規(guī)審計(jì)帶來了壓力和動力。如果侵害眾多個(gè)人的權(quán)益的，人民檢察院、法律規(guī)定的消費(fèi)者組織和由國家網(wǎng)信部門確定的組織還可以依法向人民法院提起公益訴訟。

　　綜合而言，我國的個(gè)人信息保護(hù)法對相關(guān)制度進(jìn)行了全方位的規(guī)定，體現(xiàn)了我國政府維護(hù)公民基本權(quán)益的決心，為個(gè)人信息的規(guī)范化收集與利用提供了保障。隨著幾個(gè)月后個(gè)人信息保護(hù)法的生效實(shí)施，這一數(shù)字時(shí)代的基本法也必將為我國數(shù)字社會治理與數(shù)字經(jīng)濟(jì)發(fā)展注入更為強(qiáng)大的動力。