8月20日，十三屆全國人大常委會第三十次會議表決通過《中華人民共和國個人信息保護法》。該法自2021年11月1日起施行。

個人信息保護法系統全面地對個人信息的定義和權利、處理規則、處理者義務、法律責任進行立法，是我國第一部針對個人信息保護的法律。特別是對社會反映強烈的過度收集個人信息、“大數據殺熟”、未成年人個人信息、個人信息跨境提供等方面進行了嚴格規定。

千呼萬喚中，我國首部專門針對個人信息保護的系統性、綜合性法律終于正式落地。

在此之前，國內沒有一部專門規范使用個人信息的法律，相關條款散見于不同的法律法規。隨著互聯網經濟和數字化發展，越來越多的應用場景涉及個人信息處理；同時，隨著經濟全球化，國際數據交換需求旺盛，有必要盡快出臺與個人信息保護有關的法律。

“當前，信息泄露比較嚴重，如騷擾信息和詐騙電話等行為猖獗，雖然相關部門長期打擊這些不法行為，但信息泄露源頭不堵上，則不能從根本上解決問題，所以在信息保護方面產生了更高的需求?！秱€人信息保護法》以立法的方式，明確信息定義，限制信息濫用，保護隱私信息，一方面為查處信息違法行為提供了法律依據；另一方面為未來合法使用信息權益提供了法律依據?！敝心县斀浾ù髮W數字經濟研究院執行院長、教授盤和林在接受《金融時報》記者采訪時表示。

劍指“大數據殺熟”等問題回應社會關切

北京市京師（深圳）律師事務所聯合創始人、京師深圳法律研究院院長王巖飛告訴《金融時報》記者，歷經多次修改審閱，本次《個人信息保護法》系統全面地對個人信息的定義和權利、處理規則、處理者義務、法律責任進行立法，是我國第一部針對個人信息保護的法律。特別是對社會反映強烈的過度收集個人信息、“大數據殺熟”、未成年人個人信息、個人信息跨境提供等方面進行了嚴格規定。

其中，“大數據殺熟”正是消費者最為關心的問題之一。所謂“大數據殺熟”，一般指平臺針對具有購買記錄的“熟客”、通過大數據分析判定為價格不敏感的用戶以及其他特定人群，采取不同定價策略的行為，且往往導致“熟客”的價格比“新客”更高。對此，王巖飛表示：“在此次《個人信息保護法》出臺之前，也有網絡安全法、民法典、消費者權益保護法以及部分文件規制，從具體執行層面看，也有部分國家標準和文件的參考使用，部分地區如深圳也出臺了相關規定，但一直未有針對性且具有高級別強制力的法律?！?/p>

王巖飛表示，《個人信息保護法》對于“大數據殺熟”、過度收集個人信息會進行有效規制，比如最高五千萬元以下或者上一年度營業額百分之五以下罰款、責令暫停相關業務或者停業整頓、吊銷相關業務許可或者吊銷營業執照等對于信息處理者具有震懾力。另外，對于處理者和主管人員和其他直接責任人員雙罰制，也能有效對上述問題進行防控。

盤和林也認為，數據安全法和《個人信息保護法》結合起來，將對“大數據殺熟”和過度收集個人信息提供執行規范。

漢坤律師事務所合伙人段志超表示，相關規定并非絕對禁止企業利用用戶畫像進行差異化定價（例如對一些新客、不活躍客戶提供更便宜價格或進行優惠補貼），而是強調這些技術的應用不應導致不公平的結果。但差異化的銷售策略與侵害個人權益的“大數據殺熟”之間的界限究竟在哪里，這一問題值得行業進一步探討。

新法之下互聯網企業須加強合規體系建設

《個人信息保護法》的頒布，對企業如何利用數據會產生一定影響。盤和林解釋，個人信息被定義為一種權益，在使用信息相關資料的時候，該法提出了授權和脫敏的要求，這在保護個人信息的同時兼顧了科技發展。

此前被很多互聯網平臺視為“利器”的“千人千面推送”“個性化展示”也面臨新的調整。根據《個人信息保護法》，如通過自動化決策方式向個人進行信息推送、商業營銷，應當同時提供不針對其個人特征的選項，或者向個人提供便捷的拒絕方式。

“過去一年多來，‘定向推送’‘個性化展示’已經逐步成為監管機構執法重點，關注要點由是否向用戶提供不針對個人特征的選項或是否提供關閉或拒絕機制，逐步深入到關閉、拒絕機制的真實有效性。企業在利用用戶個人信息開展個性化展示、定向推送時，應注意尊重個人信息主體知情權?！倍沃境硎?。

盤和林表示：“脫敏后企業可以使用數據，但是因為數據必須脫敏，大數據對個人的精準性將降低。不過，與此同時，數據收集使用方面進一步規范，未來，企業需要考慮在信息數據使用規范上進一步完善企業內部控制?！?/p>

具體來看，互聯網平臺企業需要強化企業內信息的數據保護機制，建立內控機制，以體系來保證數據信息安全，同時以體系有效性來保證信息利用合法合規?！霸谛袠I整體對數據和信息的使用限制增多的情況下成本會上升，但為了安全，這些成本是必要的代價?！北P和林表示。

在王巖飛看來，近年來，互聯網平臺企業發展迅速，收集和應用了大量個人信息，有些還是敏感信息，大型互聯網企業掌握了大量個人信息，中小型互聯網企業合規體系不健全是普遍存在的問題。他表示，《個人信息保護法》出臺后，能夠有效規制互聯網平臺企業規范經營，合法處理個人信息，尤其是短期內應該可以預見大量企業均會在本法正式實施前進行合規整改。

王巖飛認為，未來，加強監管和頻繁維權是互聯網企業必須要面對的問題?！昂弦幈厝怀蔀槠髽I基業長青的基石，也要求任何企業均應該具有合規意識，建立數據合規體系，達到信息處理和合規保護的均衡?！蓖鯉r飛表示，在今后的發展中，企業建立數據和信息保護部門是必選項，沒有合規意識和體系構建的企業將被社會淘汰。

金融科技專家蘇筱芮認為，隨著《個人信息保護法》的落地，一方面將提升互聯網平臺企業的合規意識，部分合規意識低下、合規水平不足的機構難以適應大環境，從而逐步退出市場；另一方面也能夠規范互聯網業務中的信息保護規范，多方處理個人信息數據的權責分配、隱私計算等圍繞個人信息保護的技術產業將加速崛起，科技的工具屬性將被更多地引導和運用于良性方面。

金融賬戶被列為敏感個人信息

在《個人信息保護法》中“金融賬戶”與生物識別、宗教信仰、特定身份、醫療健康、行蹤軌跡等信息以及不滿十四周歲未成年人的個人信息被列為敏感個人信息。

“《個人信息保護法》在第28條中將金融機構所掌握的客戶個人信息歸類為‘敏感個人信息’這一特別類型?！鄙虾H經濟貿易仲裁委員會仲裁員汪靈罡表示，金融機構所掌握的個人信息，依據其獲取途徑和發揮作用地不同，在《個人信息保護法》之下可歸于不同的類型，相應地由金融機構進行不同程度的保護。如員工個人信息屬于《個人信息保護法》下“個人信息”類型，客戶相關信息、業務合作方相關個人信息屬于“敏感個人信息”?？傮w而言，《個人信息保護法》為如何保護以及在什么程度上保護個人信息提供了一個法律框架。

汪靈罡表示，金融機構對于其掌握的個人信息尤其是“敏感個人信息”，往往會進行深度挖掘?！坝绕涫窃诋斍盎ヂ摼W財富管理、互聯網保險、互聯網消費金融、指紋支付、視頻刷臉支付等互聯網業務風起云涌的市場背景下，交易習慣、消費偏好等客戶個人信息就是‘金礦’。通過對這些與交易相關‘敏感個人信息’總結歸納、演繹后得到的‘衍生個人信息’，對金融機構的風險管理和業務拓展都具有很高的價值?！彼M一步表示，“衍生個人信息”是通過對客戶“敏感個人信息”的挖掘而獲得的，其本身的性質仍然是“敏感個人信息”，因此，機構有義務對其進行更好的保護。

不過，汪靈罡認為，《個人信息保護法》第4條規定“個人信息不包括匿名化處理后的信息”，這意味著，如果“衍生個人信息”已經脫離了具體化的自然人，且其信息源是來自于某個自然人群體，能夠實現不指向具體某個自然人而“匿名化”，那么這一類的“衍生個人信息”就不再是《個人信息保護法》所定義和適用的“個人信息”，而是轉化為金融機構自有的商業信息、商業秘密、知識產權。

“《個人信息保護法》的出臺不僅為個人信息保護工作的順利開展奠定基礎，而且，作為信息保護領域的上位法，后續將加速推動征信業務管理、個人金融信息保護相關法規條例出臺?！碧K筱芮對《金融時報》記者表示。

責任編輯：陳愛