文章插图
撰文 | 李信马
编辑 | 包校千
题图 | IC Photo
11月1日，和所有人切身利益密切相关的《中华人民共和国个人信息保护法》正式施行了。
该法案在今年8月20日由十三届全国人大常委会第三十次会议表决通过，与之前施行的《网络安全法》和《数据安全法》略有不同，《个人信息保护法》更关注个人而非关键基础设施的信息安全，也填补了我国在该领域长期以来的空白。
我国自2000年前后进入互联网快速发展的阶段，用户的个人信息安全问题也随之而来成为相关部门和行业高度关注的议题，例如个人信息过度收集、“大数据杀熟”等，这其中固然有相应制度缺失的原因，但互联网企业对用户信息的渴望，也是欲壑难填，这一点，巨头们也不能免俗。
2018 年 1 月 3 日，《中国消费者报》曾报道，在支付宝的年度账单下方，以浅色调小字号出现了一行“我同意《芝麻服务协议》”，并已经默认勾选同意，如果用户没有注意到，就会允许支付宝收集和授权使用用户个人和在第三方保存的信息，而此前在芝麻信用上这些信息都可以付费查询到。
不久之后的3月26日，在北京举行的中国高层发展论坛上，百度董事长李彦宏也表示“我想中国人可以更加开放，对隐私问题没有那么敏感，如果他们愿意用隐私交换便捷性，很多情况下他们是愿意的，那我们就可以用数据做一些事情“。令人欣慰的是，李彦宏还是提到了，要保证用户自愿的原则，然后实际上，少有人有耐心在使用APP前一条条细看冗长的用户须知，这也让所谓的用户知情权经常沦为形式主义。

文章插图
图片来源：网络
对此，加强对个人信息的保护已经成为了世界各国的共识。2018 年 5 月 25 日欧盟正式施行的《通用数据保护条例》（GDPR），就被认为是最严格，也最受到关注的有关信息保护的法律。
我国在 2017 年 6 月 1 日正式实施《网络安全法》，其中有 11 条条款定义个人信息保护的保护规定，并颁布了像《个人信息安全规范》这样的国家标准。2018年，全国人大法工委、国家网信办开始对《个人信息保护法》立法进行文本起草工作，就部分参考了欧盟《通用数据保护条例》（GDPR）、美国加州消费者隐私保护法案（CCPA）、《德国联邦数据保护法》等国外法律，最终共计8章74条，在既有的法律基础上，进一步细化和完善了对个人信息的保护。
具体来看，今日起施行的《个人信息保护法》，有以下几点值得我们注意，除了保障了用户的合法权益外，也一定程度上调整和改变了我国互联网商业的规则：
第一章 总则
第六条 处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。
收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息。
换而言之，用户无需提供超出服务所需之外的信息，而企业收集用户信息也不应超过这个范畴——现实中，超出的现象屡见不鲜，许多APP频繁要求访问和所提供服务无关的通讯录、相册、地理位置等信息，这也是用户个人信息受到侵犯的重要来源。
第二章 个人信息处理规则
第十四条 基于个人同意处理个人信息的，该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的，从其规定。
个人信息的处理目的、处理方式和处理的个人信息种类发生变更的，应当重新取得个人同意。
这一条重点强调了要保障用户的知情权，不能用“一揽子授权”、强制同意的方式来糊弄用户。
第十九条 除法律、行政法规另有规定外，个人信息的保存期限应当为实现处理目的所必要的最短时间。
这一条其实可以看做是对第六条的补充——个人信息不能多拿，达到处理目的后，也不得继续保存，不过具体监管如何实现还有待观察。
第二十四条 个人信息处理者利用个人信息进行自动化决策，应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇。
通过自动化决策方式向个人进行信息推送、商业营销，应当同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式。
通过自动化决策方式作出对个人权益有重大影响的决定，个人有权要求个人信息处理者予以说明，并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。