2021年8月20日，《中华人民共和国个人信息保护法》（以下简称“个人信息保护法”）经十三届全国人大常委会第三十次会议表决通过并正式发布，将于2021年11月1日起施行。

与将个人信息作为公民基本人权加以保护，相对严格的“欧盟模式”，以及积极利用个人信息，相对宽松的“美国模式”不同，我国个人信息保护法采取“宽严相济”的立法模式，探索出了第三条个人信息保护路径。

例如，在立法理念上，从“个人本位”进阶到“社会本位”，展现出深远的战略思维。个人信息保护法在规则安排上既保护了个人信息权益，又拓展了个人信息处理者利用个人信息的合理空间，也回应了国家机关为履行法定职责或者法定义务处理个人信息的诉求，从而最大化实现社会利益。

在保护路径上，从单一赋权模式转变为多元保护模式，回应了个人信息保护的复杂情形。既明确了个人在个人信息处理活动中的权利，又采取行政干预的方式，对涵盖国家机关的个人信息处理者进行行为规制，明确个人信息收集、存储、使用、加工、传输、提供、公开、删除等处理环节的规则。

其中，在信息通信领域有以下亮点值得关注：

一、 新设个人信息可携权，增强个人对个人信息移转与再利用行为的控制

个人信息保护法第四十五条新设了个人信息可携权，规定个人请求将个人信息转移至其指定的个人信息处理者，符合国家网信部门规定条件的，个人信息处理者应当提供转移的途径。

可携权的设立不但能够体现立法的前瞻性，还能够有效回应大型平台“数据垄断”现象。当前，具有先发市场地位的大型平台通过在市场早期积累的大量用户个人信息，逐步形成了不可撼动的行业地位。大型平台能够肆意调整隐私政策，迫使用户接受不公平的隐私政策。可携权的设立，强化了用户自主权，能够有效破除个人信息流通障碍，以用户权益为出发点，形成“用户主导型”个人信息跨平台流通，起到防止个人信息锁定、降低市场准入门槛以及增强平台之间竞争的效果。

二、 针对“大数据杀熟” 规定不得实行不合理差别待遇

“大数据杀熟”是近年来热议的问题。“大数据杀熟”，又称个性化定价，是指个人信息处理者通过分析消费者个人信息形成画像，利用算法对每个消费者的支付意愿进行精准评估和预测，预测消费者最高保留价格，并以此就同一商品或服务向不同消费者设置不同价格的行为。这种歧视性定价策略意味着个人信息处理者可以过度、无限制、不合理地剥夺消费者，减损消费者权益。

此前，我国已从反垄断的制度框架下对歧视性定价问题进行了规范，规定禁止具有市场支配地位的经营者没有正当理由，对条件相同的交易相对人在交易价格等交易条件上实行差别待遇。

考虑到个人信息处理活动的多样性、算法运行机制的不透明性以及决策结果的不确定性，个人信息保护法增加了针对“大数据杀熟”的条款，进一步丰富了对歧视性定价问题的规制路径。规定只要个人信息处理者利用个人信息进行自动化决策，对个人在交易价格等交易条件上实行不合理的差别待遇，就是法律所禁止的行为。

三、 规制移动应用程序（App）滥用个人信息现象

以移动互联网为代表的现代信息技术日新月异，不断推动各类应用程序蓬勃发展，App在架数量和用户规模持续扩大，截至2020年底，我国国内市场上监测到的App数量为345万款，已经成为个人信息保护的关键领域。但相比其他领域，麦克风窃听、通信录窃取、相册非授权读写等新问题不断曝出。

行业持续快速发展带来了监管问题和监管对象的动态性变化。自2019年开始，中央网信办、工业和信息化部、公安部和国家市场监管总局在全国范围内组织开展App违法违规收集使用个人信息专项治理工作，加大个人信息保护力度。随后，工信部等部委充分利用技术检测优势，开展App用户权益保护测评工作，各类主体积极配合整改，取得积极成效。

为从法律层面规制App滥用个人信息现象，个人信息保护法增加了对于App个人信息保护的专门性规定。其中，将“组织对应用程序等个人信息保护情况进行测评，并公布测评结果”新设为履行个人信息保护职责的部门的职责；将“对违法处理个人信息的应用程序，责令暂停或者终止提供服务”增加为履行个人信息保护职责的部门对违法主体可采取的处罚手段。

四、 对大、小型个人信息处理者进行区分，体现差异化和匹配性的制度设计

不同规模的个人信息处理者，在处理个人信息的技术水平、风险和模式上存在差异，因此制度设计需要“因人而异”。

强化对于大型个人信息处理者的监管，配置与其控制力和影响力相适应的个人信息保护特别义务，已基本形成共识。2020年12月，欧盟委员会公布了《数字市场法案》，提出了数字守门人的概念，被认定为守门人的平台应承担一系列额外的具体义务。

我国个人信息保护法（二审稿）也创设性规定了中国版的数字守门人条款，明确提供基础性互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，应当承担额外的个人信息保护义务。

个人信息保护法第五十八条进一步完善了守门人条款。一是将提供基础性互联网平台服务修改为提供重要互联网平台服务；二是在第一项中补充了按照国家规定建立健全个人信息保护合规制度体系的义务；三是单独增加了一项守门人义务，即遵循公开、公平、公正的原则，制定平台规则，明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务。

然而，对于小型个人信息处理者，是否应进行部分义务的豁免，全球范围内还处于探索阶段。我国个人信息保护法同样回应了小型个人信息处理者问题，明确由国家网信部门针对小型个人信息处理者制定专门个人信息保护规则、标准的规定。这一规定留出了针对小型个人信息处理者的立法空间，下一步国家网信部门可以在降低要求、责任豁免等方面对小型个人信息处理者作出专门规则设计。

（杨婕，作者系中国信息通信研究院互联网法律研究中心高级研究员，个人信息保护立法研究团队负责人）