2021年网络法治盘点与回顾：个人信息保护篇

近年来，新一轮科技革命和产业变革蓬勃发展，数字化、网络化、智能化加速推进，个人信息处理活动多发、处理场景多元、处理类型多样。加强个人信息保护早已成为国际社会的普遍共识，过去一年，通过开展立法、执法以及司法活动，规范个人信息处理活动，防范个人信息滥用，已成为各国网络法治领域的重要着力点。

一、国内个人信息保护法治动态

（一）出台《个人信息保护法》，制定相关配套规定

个人信息作为最有价值的数据类型，需要对个人信息处理规则以及个人信息权益保护问题进行专门性规定。特别是，随着信息通信技术快速发展迭代，个人信息保护问题的复杂性、紧迫性、专业性进一步凸显，有必要制定统一的个人信息保护立法。酝酿多年的《个人信息保护法》于2021年8月20日出台，成为我国个人信息保护领域的基础性立法。《个人信息保护法》将“保护个人信息权益”和“促进个人信息合理利用”作为并行的立法目标，兼具私法保护及行政监管等多元保护模式，统合私主体和公权力机关的义务与责任，从国家层面对个人信息保护问题作出整体性制度安排。《个人信息保护法》的出台不仅昭示着我国的个人信息保护法治进程迈入全新阶段，也彰显着个人信息保护的中国特色和鲜明的创新精神。《个人信息保护法》在深入总结我国《网络安全法》等法律、法规、标准的实施经验的基础上，进一步细化、完善个人信息保护应遵循的原则和个人信息处理规则，明确个人信息处理活动中的权利义务边界，健全个人信息保护工作体制机制。此外，《个人信息保护法》在具体制度内容上也呈现了众多亮点与创新点，包括禁止“大数据杀熟”规范自动化决策，将不满十四周岁未成年人个人信息纳入敏感个人信息范畴进行升级保护，赋予大型网络平台守门人义务，新设个人信息可携权，增强个人对个人信息移转与再利用行为的控制，明确近亲属对于死者个人信息行使权利的要求，规定高额罚款以及从业禁止等严厉的法律责任。

为落实《个人信息保护法》相关要求，有关部门也先后发布了一些配套规定。2021年10月29日，国家互联网信息办公室发布《数据出境安全评估办法（征求意见稿）》，全面和系统地提出了涵盖个人信息的我国数据出境安全评估的具体要求。2021年11月14日，国家互联网信息办公室发布《网络数据安全管理条例（征求意见稿）》，规范网络数据处理活动，进一步细化了《个人信息保护法》有关制度规定。

（二）纵深推进APP个人信息保护治理工作

当前，我国APP在架数量和用户规模持续扩大，已经成为个人信息保护的关键领域。移动互联网发展焕发新活力的同时，也带来了一系列侵害用户个人信息权益等问题。过去一年，我国纵深推进APP个人信息保护治理工作，切实维护用户合法权益。

一方面，逐步完善APP个人信息保护相关法律法规建设，为开展APP治理提供了可靠的法律保障。2021年3月12日，国家互联网信息办公室等四部门联合印发《常见类型移动互联网应用程序必要个人信息范围规定》，明确39类APP必要个人信息范围。与此同时，为规范APP个人信息处理活动，工业和信息化部还会同相关部门起草制定了《移动互联网应用程序个人信息保护管理暂行规定（征求意见稿）》，并于4月26日向社会公开征求意见。11月1日，工业和信息化部再次印发《关于开展信息通信服务感知提升行动的通知》，聚焦影响用户感知的信息通信服务环节，要求相关企业建立已收集个人信息清单和与第三方共享个人信息清单，并在APP二级菜单中展示，方便用户查询。另一方面，聚焦人民群众反映强烈、社会关注度高的APP侵害用户权益行为，深入开展专项整治行动。截止2021年10月，APP专项整治行动共开展19批，对4176款APP发出整改通知，公开通报1174款整改不到位的APP，下架309款仍存在问题的APP。其中，违规收集个人信息、强制频繁过度索取权限、违规使用个人信息和定向推送问题最为突出。检测范围覆盖实用工具、教育学习、网上购物、即时通信、餐饮外卖、旅游服务等39个应用类型。

（三）不断提升个人信息司法保护力度

全国各级人民法院历来重视个人信息保护工作，最高人民法院也通过司法解释、典型案例、案件审判、加强对地方法院的审判指导等举措，严惩各种侵犯个人信息的违法犯罪行为。2021年7月28日，最高人民法院发布了《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》，从人格权和侵权责任角度，明确了滥用人脸识别技术处理人脸信息行为的性质和责任，将线下门店在经营场所滥用人脸识别技术进行人脸辨识、人脸分析，违反单独同意，或者强迫、变相强迫自然人同意处理其人脸信息等社会反映强烈的几类行为，界定为侵害自然人人格权益的行为。此外，检察机关也在探索个人信息保护领域公益诉讼检察工作，促进全方位的个人信息司法保护。2021年4月22日，最高人民检察院发布检察机关个人信息保护公益诉讼典型案例，涉及行政机关个人信息监管、政府信息公开、互联网企业违法违规收集个人信息等方面。2021年8月21日，最高人民检察院下发《关于贯彻执行个人信息保护法推进个人信息保护公益诉讼检察工作的通知》，指出要深刻领会个人信息保护法设置公益诉讼条款的重要意义，进一步增强检察履职的责任感和紧迫感，切实加大办案力度，推动公益诉讼条款落地落实。

二、国际个人信息保护法治动态

（一）全球持续推进个人信息保护立法

数字经济时代，制定个人信息保护法已经成为国际社会通行做法。目前，发达经济体已经全部出台个人信息保护相关立法，并且结合个人信息保护的新需求不断修订完善法律规定。美国统一的个人信息保护立法出台还有众多需要协调的问题，但州层面的个人信息保护立法提速，2021年3月2日，弗吉尼亚州发布了《消费者数据保护法》；7月7日，科罗拉多州颁布了《隐私法》；此外，纽约州、明尼苏达州、华盛顿州、俄克拉荷马州、罗德岛州、内华达州、阿拉斯加州等也都正在推进州层面隐私保护立法。2021年，澳大利亚提出了多项《隐私法》修正案，涉及疫情防控、消费、教育、信贷、卫生、国家安全、电信等众多领域的个人信息保护问题。其中，《在线隐私保护法案》要求增强域外效力，强化“长臂管辖”，同时对隐私政策、个人信息的定义、删除权的设置、儿童个人信息进行了制度设计。2021年2月1日，新加坡修订后的《个人数据保护法》正式生效，扩大了个人信息处理的合法性基础，引入了数据可携义务，提高了罚款金额，并规定了强制性数据泄露通知义务。2021年9月28日，韩国迎来《个人信息保护法》颁布以来的首次全面修订，修正案具有以下的亮点：引入个人信息可携权及对自动化决策的拒绝权；设置弹性化的规则，防止知情同意制度僵化；整合信息通信领域的特殊规定，从二元化迈向一元化规制；建立移动型影像仪器处理个人信息的相关规则；实现个人信息跨境流动方式的多样化；从以刑罚为中心向转变为处罚为中心。

与此同时，越来越多具备一定网络基础的发展中国家也开始积极制定个人信息保护法，并且取得显著成效。发展中国家希望融入全球数字经济发展浪潮以助力本国的经济发展，就必须考虑如何解决在数字经济中的个人信息保护的问题。过去一年，萨尔瓦多、乌干达和白俄罗斯等国出台了个人信息保护法。

（二）加强对于个人信息保护的动态指导

个人信息保护具有跨行业、跨领域的特点，实践管理中往往会发生动态变化，不同场景下个人信息保护的需求都存在差异。过去一年，各国监管机构不断对个人信息保护法律规定进行动态化解释和指导。

一是Cookies和其他追踪程序对于个人信息的不当使用问题引发监管机构关注各国重视。Cookies和其他追踪程序的发展，引发了其可能泄露或不正当使用个人信息的普遍担忧，因而各国越发重视对cookies等追踪程序的法律规制。早在2020年10月1日，法国国家信息与自由委员会（CNIL）发布《关于“Cookies和其他追踪程序”的修订指南及建议》，对Cookies和其他追踪程序的监管做出了较为全面的规定。2021年4月2日，CNIL发布《Cookies和其他追踪程序的新规则：CNIL的支持和未来行动的评估》，指出当需要用户做出选择时，应将与追踪程序相关的所有用途呈现给用户，并且在与“全部接受”按钮相同的级别和格式上集成“全部拒绝”按钮，可以让互联网用户有一个明确而简单的选择。

二是个人信息匿名化问题引发立法机构关切，防范匿名化数据被重新识别。部分国家补充完善相关规则的制订，应对匿名化数据再识别风险。2021年3月，俄罗斯联邦数字发展、通信和大众传媒部提出了《俄罗斯联邦个人数据法》修正案草案，要求个人信息的匿名化处理只能在用户同意或有其他法律规定的情况下进行。2021年4月，西班牙数据保护机构（AEPD）和欧盟数据保护主管机构（EDPS）联合发布了《涉及与匿名化有关的10个误解》，针对匿名化与假名化的区分、加密数据是否属于匿名化技术、匿名化是否可以衡量等问题进行了阐述，为相关各方提供指引。2021年5月，英国信息专员办公室（ICO）发布了《匿名、假名和隐私增强技术指引》，围绕匿名化应用的法律、政策和治理问题，以及如何在可识别性的背景下评估匿名化等内容进行规定。2021年9月，日本个人信息保护委员会（PPC）宣布更新关于《个人信息保护法‣指南的问答（Q&A）》，详细解答了“假名化处理信息”与“匿名化处理信息”两者之间的区别。

三是个人信息共享成为立法关注重点，各国开始考虑降低中小企业参与成本。在现阶段，绝大部分国家均已认识到个人信息共享过程中关于个人信息安全保护的价值，将个人信息共享作为立法重点观察领域之一。2021年5月，英国信息专员办公室(ICO)制定的《数据共享行为准则》已经提交给英国议会。但考虑到较小规模企业参与个人信息共享的难度较大，部分国家正在考虑放宽个人信息共享规则。2021年5月3日，澳大利亚财政部正在考虑更新个人信息共享规则，使得较小规模企业可以通过作为已获得分享认证企业的代理人或接受已获得分享认证企业的“赞助”参与到个人信息共享过程之中。需要强调的是，这项规则的修改旨在“降低规模较小参与者和初创公司的认证成本，而不会降低该制度下的整体安全和个人信息保护水平”。

四是个人数字身份管理备受关注，各国出台相关规则规范防范个人信息安全风险。个人数字身份，是指通过数字化信息将个体可识别地刻画出来，亦理解为将真实的身份信息浓缩为数字代码形式的公/私钥，以便对个人的实时行为信息进行绑定、查询和验证。目前关于个人数字身份立法的完善，逐步成为各国关注的焦点之一。2021年5月20日，印度唯一的身份认证机构UIDAI发布了新版《认证和离线验证条例（草案）》（Aadhaar Authentication Regulations），并向公众征求意见。该草案主要为通过Aadhaar这一国家身份识别系统认证核实个人身份建立了一个框架。与2016版《认证和离线验证条例》不同，该草案设置了新的认证模式，能够有效应对在个人数字身份识别过程中个人信息泄露的风险，即使遭遇黑客攻击，也能够通过个人锁定Aadhaar号码的操作，规避损失的进一步扩大。此外，6月11日，澳大利亚数字转型机构就《数字身份证扩展计划》开始征求意见重点解决个人数字身份识别过程中的隐私保护问题，具体包括要求“身份提供者和凭证服务提供者在提供信息的目的完成后删除个人生物识别信息”等要求。

（三）各国司法机关不断丰富裁判规则

一是如何处理死者个人信息已有判例可循，死者个人信息可作为“数字遗产”转移给死者亲属持有。当自然人死亡、民事主体的资格消灭，遗留在互联网中涉及自己的数据或者自己存放在云空间中的信息资料、存放在网络账户中的数字资产、信用账户，应当如何处理？数字遗产的处理问题也被越来越多地关注。2021年2月10日，意大利米兰地区一家法院裁定，美国苹果公司应向一名车祸遇难者父母提供死者手机中存储的资料。这是意大利首次作出此类判决。在诉诸法院前，死者父母曾要求苹果公司提供资料，但遭拒绝。苹果公司称，向死者父母提供手机资料会形成“先例”，最终损害苹果公司设备的安全性。意大利法官在判决中说，苹果公司这一主张“完全非法”。

二是Facebook同意支付6.5亿和解金以结束史上最大规模隐私侵权集体诉讼，法院判定用户无需证明自身受到实质损害。2021年2月26日，美国联邦法院正式批准通过Facebook侵犯用户隐私案的和解协议。长达6年的审理过程中，Facebook一直试图中止诉讼，曾辩称用户缺乏起诉资格，因为他们没有因所谓的违规行为而受到“具体伤害”，比如金钱损失。但申辩的理由都被法官驳回，法官认为失去对个人隐私的控制权即是一种现实的伤害，因而用户无需额外证明自身受到实质损害。这一立场充分体现了美国法院对互联网用户个人信息保护的标准不断提升。