文：馬梅若 

來源：金融時報 

千呼萬喚中，我國(guó)首部專門針對(duì)個人信息保護的系統性、綜合性法律終于正式落地。8月20日，十三屆全國(guó)人大常委會(huì)第三十次會(huì)議表決通過(guò)《中華人民共和國(guó)個人信息保護法》（以下簡稱《個人信息保護法》）。該法自2021年11月1日起(qǐ)施行。

在此之前，國(guó)内沒(méi)有一部專門規範使用個人信息的法律，相關條款散見于不同的法律法規。随著(zhe)互聯網經(jīng)濟和數字化發(fā)展，越來越多的應用場景涉及個人信息處理；同時，随著(zhe)經(jīng)濟全球化，國(guó)際數據交換需求旺盛，有必要盡快出台與個人信息保護有關的法律。

“當前，信息洩露比較嚴重，如騷擾信息和詐騙電話等行爲猖獗，雖然相關部門長(cháng)期打擊這(zhè)些不法行爲，但信息洩露源頭不堵上，則不能(néng)從根本上解決問題，所以在信息保護方面(miàn)産生了更高的需求，《個人信息保護法》以立法的方式，明确信息定義，限制信息濫用，保護隐私信息，一方面(miàn)爲查處信息違法行爲提供了法律依據；另一方面(miàn)爲未來合法使用信息權益提供了法律依據。”中南财經(jīng)政法大學(xué)數字經(jīng)濟研究院執行院長(cháng)、教授盤和林在接受《金融時報》記者采訪時表示。

劍指“大數據殺熟”等問題回應社會(huì)關切

北京市京師（深圳）律師事(shì)務所聯合創始人、京師深圳法律研究院院長(cháng)王岩飛告訴《金融時報》記者，曆經(jīng)多次修改審閱，本次《個人信息保護法》系統全面(miàn)地對(duì)個人信息的定義和權利、處理規則、處理者義務、法律責任進(jìn)行立法，是我國(guó)第一部針對(duì)個人信息保護的法律。特别是對(duì)社會(huì)反映強烈的過(guò)度收集個人信息、“大數據殺熟”、未成(chéng)年人個人信息、個人信息跨境提供等方面(miàn)進(jìn)行了嚴格規定。

其中，“大數據殺熟”正是消費者最爲關心的問題之一。所謂“大數據殺熟”，一般指平台針對(duì)具有購買記錄的“熟客”、通過(guò)大數據分析判定爲價格不敏感的用戶以及其他特定人群，采取不同定價策略的行爲，且往往導緻“熟客”的價格比“新客”更高。對(duì)此，王岩飛表示：“在此次《個人信息保護法》出台之前，也有網絡安全法、民法典、消費者權益保護法以及部分文件規制，從具體執行層面(miàn)看，也有部分國(guó)家标準和文件的參考使用，部分地區如深圳也出台了相關規定，但一直未有針對(duì)性且具有高級别強制力的法律。”

王岩飛表示，《個人信息保護法》對(duì)于“大數據殺熟”、過(guò)度收集個人信息會(huì)進(jìn)行有效規制，比如最高五千萬元以下或者上一年度營業額百分之五以下罰款、責令暫停相關業務或者停業整頓、吊銷相關業務許可或者吊銷營業執照等對(duì)于信息處理者具有震懾力。另外，對(duì)于處理者和主管人員和其他直接責任人員雙罰制，也能(néng)有效對(duì)上述問題進(jìn)行防控。

盤和林也認爲，數據安全法和《個人信息保護法》結合起(qǐ)來，將(jiāng)對(duì)“大數據殺熟”和過(guò)度收集個人信息提供執行規範。

漢坤律師事(shì)務所合夥人段志超表示，相關規定并非絕對(duì)禁止企業利用用戶畫像進(jìn)行差異化定價（例如對(duì)一些新客、不活躍客戶提供更便宜價格或進(jìn)行優惠補貼），而是強調這(zhè)些技術的應用不應導緻不公平的結果。但差異化的銷售策略與侵害個人權益的“大數據殺熟”之間的界限究竟在哪裡(lǐ)，這(zhè)一問題值得行業進(jìn)一步探讨。

新法之下互聯網企業須加強合規體系建設

《個人信息保護法》的頒布，對(duì)企業如何利用數據會(huì)産生一定影響。盤和林解釋，個人信息被(bèi)定義爲一種(zhǒng)權益，在使用信息相關資料的時候，該法提出了授權和脫敏的要求，這(zhè)在保護個人信息的同時兼顧了科技發(fā)展。

此前被(bèi)很多互聯網平台視爲“利器”的“千人千面(miàn)推送”“個性化展示”也面(miàn)臨新的調整。根據《個人信息保護法》，如通過(guò)自動化決策方式向(xiàng)個人進(jìn)行信息推送、商業營銷，應當同時提供不針對(duì)其個人特征的選項，或者向(xiàng)個人提供便捷的拒絕方式。

“過(guò)去一年多來，‘定向(xiàng)推送’‘個性化展示’已經(jīng)逐步成(chéng)爲監管機構執法重點，關注要點由是否向(xiàng)用戶提供不針對(duì)個人特征的選項或是否提供關閉或拒絕機制，逐步深入到關閉、拒絕機制的真實有效性。企業在利用用戶個人信息開(kāi)展個性化展示、定向(xiàng)推送時，應注意尊重個人信息主體知情權。”段志超表示。

盤和林表示：“脫敏後(hòu)企業可以使用數據，但是因爲數據必須脫敏，大數據對(duì)個人的精準性將(jiāng)降低。不過(guò)，與此同時，數據收集使用方面(miàn)進(jìn)一步規範，未來，企業需要考慮在信息數據使用規範上進(jìn)一步完善企業内部控制。”

具體來看，互聯網平台企業需要強化企業内信息的數據保護機制，建立内控機制，以體系來保證數據信息安全，同時以體系有效性來保證信息利用合法合規。“在行業整體對(duì)數據和信息的使用限制增多的情況下成(chéng)本會(huì)上升，但爲了安全，這(zhè)些成(chéng)本是必要的代價。”盤和林表示。

在王岩飛看來，近年來，互聯網平台企業發(fā)展迅速，收集和應用了大量個人信息，有些還(hái)是敏感信息，大型互聯網企業掌握了大量個人信息，中小型互聯網企業合規體系不健全是普遍存在的問題。他表示，《個人信息保護法》出台後(hòu)，能(néng)夠有效規制互聯網平台企業規範經(jīng)營，合法處理個人信息，尤其是短期内應該可以預見大量企業均會(huì)在本法正式實施前進(jìn)行合規整改。

王岩飛認爲，未來，加強監管和頻繁維權是互聯網企業必須要面(miàn)對(duì)的問題。“合規必然成(chéng)爲企業基業長(cháng)青的基石，也要求任何企業均應該具有合規意識，建立數據合規體系，達到信息處理和合規保護的均衡。”王岩飛表示，在今後(hòu)的發(fā)展中，企業建立數據和信息保護部門是必選項，沒(méi)有合規意識和體系構建的企業將(jiāng)被(bèi)社會(huì)淘汰。

金融科技專家蘇筱芮認爲，随著(zhe)《個人信息保護法》的落地，一方面(miàn)將(jiāng)提升互聯網平台企業的合規意識，部分合規意識低下、合規水平不足的機構難以适應大環境，從而逐步退出市場；另一方面(miàn)也能(néng)夠規範互聯網業務中的信息保護規範，多方處理個人信息數據的權責分配、隐私計算等圍繞個人信息保護的技術産業將(jiāng)加速崛起(qǐ)，科技的工具屬性將(jiāng)被(bèi)更多地引導和運用于良性方面(miàn)。

金融賬戶被(bèi)列爲敏感個人信息

在《個人信息保護法》中“金融賬戶”與生物識别、宗教信仰、特定身份、醫療健康、行蹤軌迹等信息以及不滿十四周歲未成(chéng)年人的個人信息被(bèi)列爲敏感個人信息。

“《個人信息保護法》在第28條中將(jiāng)金融機構所掌握的客戶個人信息歸類爲‘敏感個人信息’這(zhè)一特别類型。”上海國(guó)際經(jīng)濟貿易仲裁委員會(huì)仲裁員汪靈罡表示，金融機構所掌握的個人信息，依據其獲取途徑和發(fā)揮作用地不同，在《個人信息保護法》之下可歸于不同的類型，相應地由金融機構進(jìn)行不同程度的保護。如員工個人信息屬于《個人信息保護法》下“個人信息”類型，客戶相關信息、業務合作方相關個人信息屬于“敏感個人信息”。總體而言，《個人信息保護法》爲如何保護以及在什麼(me)程度上保護個人信息提供了一個法律框架。

汪靈罡表示，金融機構對(duì)于其掌握的個人信息尤其是“敏感個人信息”，往往會(huì)進(jìn)行深度挖掘。“尤其是在當前互聯網财富管理、互聯網保險、互聯網消費金融、指紋支付、視頻刷臉支付等互聯網業務風起(qǐ)雲湧的市場背景下，交易習慣、消費偏好(hǎo)等客戶個人信息就是‘金礦’。通過(guò)對(duì)這(zhè)些與交易相關‘敏感個人信息’總結歸納、演繹後(hòu)得到的‘衍生個人信息’，對(duì)金融機構的風險管理和業務拓展都(dōu)具有很高的價值。”他進(jìn)一步表示，“衍生個人信息”是通過(guò)對(duì)客戶“敏感個人信息”的挖掘而獲得的，其本身的性質仍然是“敏感個人信息”，因此，機構有義務對(duì)其進(jìn)行更好(hǎo)的保護。

不過(guò)，汪靈罡認爲，《個人信息保護法》第4條規定“個人信息不包括匿名化處理後(hòu)的信息”，這(zhè)意味著(zhe)，如果“衍生個人信息”已經(jīng)脫離了具體化的自然人，且其信息源是來自于某個自然人群體，能(néng)夠實現不指向(xiàng)具體某個自然人而“匿名化”，那麼(me)這(zhè)一類的“衍生個人信息”就不再是《個人信息保護法》所定義和适用的“個人信息”，而是轉化爲金融機構自有的商業信息、商業秘密、知識産權。

“《個人信息保護法》的出台不僅爲個人信息保護工作的順利開(kāi)展奠定基礎，而且，作爲信息保護領域的上位法，後(hòu)續將(jiāng)加速推動征信業務管理、個人金融信息保護相關法規條例出台。”蘇筱芮對(duì)《金融時報》記者表示。