十三屆全國人大常委會第三十次會議日前通過了《中華人民共和國個人信息保護法》（以下簡稱《個信法》），在《民法典》《網絡安全法》《消費者權益保護法》等法律基礎上，為個人信息保護提供了更具系統性、針對性和可操作性的法律遵循。作為信息化時代的標志性立法成果，《個信法》既注重保護個人信息權益，規范個人信息處理活動，也充分體現發展理念，促進個人信息合理利用，集中展示了個人信息保護法治的中國方案，必將對信息經濟社會生活和國家治理產生深遠影響。

進入信息化社會，人們在體驗各種便利的同時，面臨的信息過度采集、非法買賣、擅自公開、盜取泄露的風險也不斷凸顯。濫用人臉識別等信息技術、不合理應用自動化決策等新情況屢屢成為輿論焦點。在信息數據已經成為資本、技術以外的新型戰略資源和競爭優勢的背景下，數字經濟活動急需系統的法律規則指引。隨著信息產業應用全球化發展，個人信息跨境流動日益成為各國政府監管的重點。加強個人信息保護法治建設，既是尊重和保護人權，維護和實現人民群眾個人信息權益的必然要求，也是明確信息處理邊界和合規預期，實現數字經濟健康長遠發展的現實需要。

《個信法》堅持問題導向，充分吸收國際成功立法經驗，立足中國國情，對個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等處理活動全流程作出制度設計；針對關鍵基礎設施運營者、處理個人信息達到國家網信部門規定數量的個人信息處理者，提供重要互聯網平臺服務、用戶數量巨大、業務類型復雜的個人信息處理者，以及國家機關等特殊主體規定了專門的管理要求。

《個信法》規定和發展了個人信息權益內容，在進一步確認個人信息知情權、決定權、查閱權、復制權、更正權、補充權的同時，還豐富了刪除權的場景和創設了個人信息的可攜帶權。如果個人撤回同意，或者個人處理目的已實現、無法實現或者為實現處理目的不再必要，停止提供產品或者服務，或者保存期限已屆滿，以及違反法律、行政法規或者違反約定處理個人信息，個人信息處理者應當主動刪除個人信息。個人請求將個人信息轉移至其指定的個人信息處理者，符合國家網信部門規定條件的，個人信息處理者應當提供轉移的途徑。

《個信法》細化了個人信息處理的基本要求，拓展了包括同意規則在內的合法性基礎場景?；趥€人同意處理個人信息的，該同意應當由個人在充分知情的前提下自愿、明確作出。對于自動化決策、公共場所等特殊場景下的信息處理活動，進一步嚴格了管理要求。利用個人信息進行自動化決策，應當保證決策的透明度和結果公平、公正，不得對個人在交易價格等交易條件上實行不合理的差別待遇。在公共場所安裝圖像采集、個人身份識別設備，應當為維護公共安全所必需，遵守國家有關規定，并設置顯著的提示標識。

《個信法》加強了敏感個人信息的保護，對包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息，規定了更嚴格的處理要求。這些信息一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害。只有在具有特定的目的和充分的必要性，并采取嚴格保護措施的情形下，個人信息處理者方可處理敏感個人信息。而且，處理敏感個人信息應當取得個人的單獨同意。

《個信法》對個人信息向中國境外提供的條件作了嚴格規定，并從不得降低個人信息保護標準的角度，要求個人信息處理者應當采取必要措施，保障境外接收方處理個人信息的活動達到該法規定的個人信息保護標準。此外，也結合當前國際形勢，就雙邊多邊便利性安排作了銜接性規定，對境外侵害性活動、歧視性措施宣示和授權了反制措施。

除了權利、義務規則的設計，《個信法》也對法律責任作出嚴格規定，規定了嚴重違法的巨額罰款制度、損害賠償的過錯責任推定原則，并為公益訴訟提供了法律依據。

法律的生命在于實施?！秱€信法》的出臺，只是個人信息保護法治建設的新起點?？茖W的立法，還需要未來嚴格的執法、公正的司法、積極的合規共同作用，才能讓真正把廣大人民群眾個人信息權益實現好、維護好。

（作者為中國社會科學院文化法制研究中心研究員）