2021年8月20日，十三届全国人大常委会第三十次会议表决通过《个人信息保护法》,该法于2021年11月1日起施行。《个人信息保护法》是我国第一部系统、全面保护个人信息的专门性法律。习近平总书记指出：“网信事业发展必须贯彻以人民为中心的发展思想，把增进人民福祉作为信息化发展的出发点和落脚点，让人民群众在信息化发展中有更多获得感、幸福感、安全感。”1正是在这一背景下，《个人信息保护法》应运而生。《个人信息保护法》对《民法典》总则编、人格权编中有关个人信息保护的规定进行了更为细化和系统的规定，完善了个人信息保护制度，丰富了个人信息保护的规则，将为人民群众维护其合法权益提供保障，为企业规范利用个人信息提供指引，也为数字经济在法治轨道上健康发展提供了法治保障。可以说，《个人信息保护法》将切实把广大人民群众的网络空间合法权益维护好、保障好、发展好，使广大人民群众在数字经济发展中享受更多的获得感、幸福感、安全感。2本文拟对该法的亮点、特色与适用作初步探讨。

一、个人信息保护法的亮点

(一)进一步扩张了个人信息的保护范围

《个人信息保护法》在与《民法典》等法律规定保持实质一致性的基础上，进一步扩张了个人信息的范围。与《网络安全法》第76条关于个人信息的规定相比，《民法典》第1034条不再采用《网络安全法》所规定的识别自然人个人身份的标准，3而采用了识别自然人说，即以单独或结合其他信息可识别特定自然人作为判断个人信息的标准，4这也符合个人信息界定的通行做法。5从《个人信息保护法》第4条规定来看，其对于个人信息的界定仍然采纳了识别说，与《民法典》的规定具有实质上的一致性。需要指出的是，“识别说”对于个人信息范围的界定其实并不狭隘，识别既包括对个人姓名、地址的直接识别，也包括对个人其他身份的识别。6需要指出的是，《民法典》采用“识别说”的标准界定个人信息的范围，这虽然扩张了个人信息的保护范围，但在实践中，有的企业对识别说仍然存在一定的误解。例如，有的企业认为，由于个人信息的碎片不能直接识别特定的个人，因此，仅仅抓取个人信息的碎片并不构成对个人信息的侵害，这显然不利于个人信息的保护。

正因为如此，为了进一步强化对个人信息的保护，《个人信息保护法》在概念界定上进一步借鉴了欧盟《一般数据保护条例》的规定，在“识别说”的基础上，又加上了“关联说”的标准。《个人信息保护法》第4条规定：“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。”该法第73条进一步明确，所谓匿名化，“是指个人信息经过处理无法识别特定自然人且不能复原的过程”。由此可见，《个人信息保护法》在一定程度上扩张了个人信息的范围。在个人信息的界定标准方面，《个人信息保护法》之所以增加关联说标准，主要是因为，在互联网与大数据时代，很多信息不能直接识别个人姓名、地址或电话，但却给个人带来极大影响。7也就是说，相关信息只需要与个人具有关联性，就可以对个人产生重要影响。以互联网的信息收集与个性化推送为例，很多情形下，从互联网上收集的个人信息并不包含个人的姓名、电话与地址，仅仅是收集用户的IP地址、MAC地址、IMEI码、浏览记录、消费记录以及种种行为信息，但这类信息收集与推送行为都对个人权益造成了重要影响。8同样，在剑桥分析丑闻案中，Facebook所收集的信息也不包含个人的真实姓名，但却可以利用用户的画像对个人进行精准推送，甚至干预政治活动。9对于此类信息，如果都将其视为非个人信息，甚至促进其无限制的流动，那将对个人信息权益造成重大影响。10因此，《个人信息保护法》第4条在“识别”之外添加“有关”的表述，实质上是以扩张解释的方法理解“识别”概念。如果狭隘地甚至僵化地理解“可识别”标准，11企业很可能对个人信息保护范围产生认识上的误差，认为只要关注身份信息，并证明其所处理的用户信息并不能用于识别特定个人身份，即可规避个人信息法的规定。如此，大量用户画像和个性化推荐行为即不受个人信息法约束，用户知情权也将难以获得保护。12未经用户同意、法律规制的用户画像与个性化推荐还可能导致“寒蝉效应”,用户会感到自己对自身信息如何被收集与利用丧失了控制与预期，对网络产生不信任情绪，有违我国建立健康清朗网络环境的网信工作部署。因此，《个人信息保护法》第4条在界定个人信息的范围时增加了“有关”二字，虽没有实质性改变识别说，但一定程度上扩张了个人信息的范围。

除在概念上扩张个人信息的内涵外，《个人信息保护法》还在如下方面扩张了个人信息的范围：一方面，在列举敏感个人信息时扩张了个人信息的范围。关于敏感个人信息，《个人信息保护法》第28条与《民法典》第1034条相比，增加了宗教信仰、特定身份、金融账户等个人信息类型，并且明确了不满14周岁未成年人的个人信息均属于敏感个人信息。另一方面，依据《个人信息保护法》第73条的规定，去标识化信息“是指个人信息经过处理，使其在不借助额外信息的情况下无法识别特定自然人”的信息；匿名化信息“是指个人信息经过处理无法识别特定自然人且不能复原的”信息。该法将匿名化信息排除在个人信息之外，但仍然将去标识化信息认定为个人信息。因此综合而言，《个人信息保护法》对个人信息的范围进行了扩张和更为全面的规定。

还应当看到，《个人信息保护法》对死者个人信息的保护规则作出了规定，这也扩张了个人信息的保护范围。《个人信息保护法》第49条正面回应了大数据时代自然人死亡后在互联网遗留的一系列相关信息的处理问题，该条规定：“自然人死亡的，其近亲属为了自身的合法、正当利益，可以对死者的相关个人信息行使本章规定的查阅、复制、更正、删除等权利。”该条具有几个重要亮点：一是完善了《民法典》的相关规定。因为在当前数字时代，自然人在网络上常常会有许多数字账号，其中通常会包含大量的个人信息、隐私以及涉及他人的信息。该条进一步完善了《民法典》第994条关于死者人格利益保护的规定，《民法典》第994条在列举死者人格利益时虽然采用了“等”这一兜底表述，但其是否包含个人信息，存在一定的争议。《个人信息保护法》对死者个人信息保护作出规定，丰富和完善了死者人格保护规则。二是新增了近亲属可以对死者相关个人信息行使查阅、复制、更正、删除等权利的规定。例如，为了继承死者的遗产，近亲属有必要查询死者的银行账户信息。三是尊重死者的生前安排。《个人信息保护法》第49条还规定：“死者生前另有安排的除外。”这一例外规定与民法中意思自治、遗嘱自由的理念是一致的。例如，死者生前通过遗嘱禁止他人查询、复制其微信信息，此时，应当尊重其意愿。同时，个人信息的处理本质上也是要保障个人的自主决定，因此，死者个人信息保护应当优先考虑死者生前的自我安排。

(二)全面规定了个人在信息处理中的权利

比较法上普遍认为，对个人信息保护的目的旨在保护个人对其个人信息的自决。在大陆法系国家，该权利最早起源于德国。1976年，德国学者Christoph Mallmann率先提出“个人信息自决权(das Recht auf informationelle Selbstbestimmung)”,认为个人信息对于个人人格的发展具有重大的意义，是个人自我表现(Selbstdarstellung)和与社会环境交流的媒介。因此，基于自决权，权利人应当享有对个人信息的知情同意等权利。13个人信息自决权也为两大法系所普遍接受，该权利也是个人信息保护的理论基础，其他有关个人信息保护的权利都是从该权利中派生出来的。我国《个人信息保护法》第1条开宗明义，就规定了保护个人信息权益；而第44条的规定表明，个人信息保护的主要目的在于保护个人对其个人信息的自主决定，并在自主决定的基础上形成个人对其个人信息所享有的完整权利体系。在《民法典》关于个人信息保护的基础上，《个人信息保护法》细化和新增了如下几项权利：

第一，《个人信息保护法》在《民法典》个人信息相关条文的基础上，细化了对查询权、复制权、更正权、删除权等权利的规定，帮助个体更好地对自己的信息权益进行自我管理以及风险预期和防范。14《民法典》规定了自然人个人信息受法律保护，并且具体规定了个人在信息处理中的查阅、复制、更正等权利。《个人信息保护法》在《民法典》第1037条的基础上，丰富了删除权的请求情形并补充了例外规定，同时要求个人信息处理者建立个人行使权利的申请受理和处理机制，进一步完善了个人在信息处理中的权利。

第二，增加了数据携带权的规定。依据《个人信息保护法》第45条第3款规定，“个人请求将个人信息转移至其指定的个人信息处理者，符合国家网信部门规定条件的，个人信息处理者应当提供转移的途径”。在实践中，数据携带主要是指用户在某个平台的数据移转至另一个平台，如将某个通讯公司中的通话信息移转至另一家公司。数据携带权在欧洲被首先提出，2012年，欧盟在《一般数据保护条例》草案中首次纳入了“用户数据可携权”,并于2016年发布的《一般数据保护条例》正式版本中将“用户数据可携权”单独列为第20条，予以规范。正如欧盟第29工作组所言，数据携带权赋予了个体以一种“整理的、普遍使用的和机器可读的”方式来获取与下载个人数据的权利，15数据携带权使个人能够在不同的网站与设备上自由地转移个人数据，公民对于个人数据的控制能力将达到前所未有的高度。此次《个人信息保护法》增加携带权的规定，显示了我国立法机关对于个人信息受保护权的开放与强化立场。

《个人信息保护法》新增规定数据携带权具有重要意义。一是其强化了对用户信息自主决定权的保护。对数据的下载、携带、介入、复制等一系列过程，都是个人对其数据自主决定的组成部分。《个人信息保护法》新增规定数据携带权，目的在于实现个人对其数据的自主决定权，因此，其本质上也是用户自主决定权的重要内容。二是便利用户对数据的控制和利用。数据携带允许用户将其数据移转至其他平台，强化了用户对其数据的控制，16这也为用户利用其数据提供了便利。因为如果不允许数据携带，则用户在移转到另一个平台时，需要重新积累数据，这不仅成本较高，而且用户前期积累的数据也无法利用，这显然不利于用户对数据的有效利用。三是打破数据垄断，促进数据的流通和利用。数据携带权对促进数据自由流通、增加互信和促进创新具有正面效应。就数字经济发展而言，通过赋予个人数据携带权，有利于消除个人数据自由传输中不必要的障碍，增强互联网的互操作性，部分消除“锁定效应”。17当然，这一权利也面临一些争议与可能被滥用的情形，18数据携带权所涉及的数据也可能涉及他人数据，甚至他人隐私。19为了预防这一权利可能带来的某些问题，如可能带来技术性的难题，20给企业附加过多的责任，以及可能导致的竞争问题等，《个人信息保护法》为数据携带权行使规定了适用前提，要求符合国家网信部门规定条件的情形下个人才能行使数据携带权，以实现个人与数据处理者的双赢。21

第三，细化了个人信息主体在算法与自动化决策中的相关权利。自动化决策的技术核心是算法应用。以往，算法更多是数学家或程序员所关注的对象，算法主要在数学运算或实验室的场景下发生作用。但在大数据与人工智能时代，算法开始在越来越多的应用场景中被用于决策或辅助决策。特别是当算法与个人信息结合，算法的黑箱属性或不透明性使得算法解释权等权利成为核心议题。22企业等信息处理者有可能利用算法对不同身份的个体进行差别对待，还有可能利用算法对个体进行个性化定价。在有的情形下，此类差别对待属于正常的商业行为，例如给不同消费能力的群体提供不同价位的推荐和服务；23但其也可能导致算法歧视与“大数据杀熟”,有些企业甚至利用其支配地位和算法对个体进行支配甚至欺诈。24需要指出的是，算法的复杂性不应成为其不可解释或难以解释的理由。25欧盟《一般数据保护法》针对算法解释权与脱离自动化算法决策权作出了规定，平衡了算法应用与个人信息风险之间的关系。26我国《个人信息保护法》对此作出了明确回应，规定利用个人信息进行自动化决策，应当保证决策的透明度和结果公平、公正，并且进一步明确，禁止对个人在交易价格等交易条件上实行不合理的差别待遇。27

(三)强化了个人信息处理者的保护义务

个人信息权利的自主决定权能够得到尊重与实现，很大程度上依赖于信息处理者对此种权利的尊重以及依法履行保护义务。因此，《个人信息保护法》第五章专章规定，个人信息处理者应当对其个人信息处理活动负责，并采取必要措施保障所处理的个人信息的安全。《个人信息保护法》还对大型和小型个人信息处理者进行了区分，细化落实了个人信息处理者的保护义务。具体来说：

第一，细化了信息处理者合法处理个人信息的义务，确保个人信息的处理活动符合法律、行政法规的规定。依据《民法典》第111条的规定，个人信息处理活动应当依法进行，信息处理者不得非法处理个人信息，但何为合法处理个人信息，何为非法处理个人信息，该条并没有作出明确规定。《个人信息保护法》第51条具体列举了个人信息处理中应当采取的六项举措，只有切实采取这些举措，才能保障个人信息处理活动的合法性。

第二，规定了个人信息保护人制度。依据《个人信息保护法》第52条规定，处理个人信息达到国家网信部门规定数量的个人信息处理者，应当指定个人信息保护负责人，负责对个人信息处理活动以及采取的保护措施等进行监督。28个人信息保护负责人制度与欧盟等国家和地区的数据保护官(Data Protection Officer, DPO)制度具有一定相似性，设立这一制度的核心在于促进企业个人信息保护的专业性与独立性，强化企业的内部数据治理。29目前，我国很多企业都在内部设立了专门的数据保护职位或人员。有的政府部门也已经进行了试点，例如，广东省已出台《广东省首席数据官制度试点工作方案》,试点建立首席数据官制度，创新数据共享开放和开发利用模式，提高数据治理和数据运营能力。深圳市也发布了《深圳市首席数据官制度试点实施方案》,将在该市本级政府、福田等4个区政府、市公安局等8个市直单位试点设立首席数据官，提高数据治理和数据运营能力，助力深圳智慧城市和数字政府建设。此外，依据《个人信息保护法》第53条规定，在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动的，也应当依法在我国境内设立专门机构或者指定代表，负责处理个人信息保护相关事务。

第三，建立了个人信息保护影响评估制度。依据《个人信息保护法》第55、56条，在处理敏感个人信息、利用个人信息进行自动化决策、委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息、向境外提供个人信息以及对个人权益有重大影响的个人信息处理活动中，应当进行个人信息保护影响评估。这一规定与欧盟《一般数据保护条例》所规定的“数据保护影响评估”(data protection impact assessment)具有一定的相似性。《一般数据保护条例》规定：“当某种类型的处理——特别是适用新技术进行的处理——很可能会对自然人的权利与自由带来高风险时，在考虑了处理的性质、范围、语境与目的后，控制者应当在处理之前评估计划的处理进程对个人数据保护的影响”。30从治理模式上说，这种制度确立了企业自我规制和风险自我管理模式。相比其他制度，个人信息保护影响评估制度更为动态，这种制度要求企业时时掌握个人信息保护的风险，并采取对个体影响最低的方式处理个人信息。

第四，规定了提供重要互联网平台服务信息处理者的特殊保护义务。大型网络平台与超大型网络平台的出现，使得用户对其往往具有很强的依赖性。31在个人信息处理方面，互联网平台为平台内经营者处理个人信息提供基础技术服务、设定基本处理规则，是个人信息保护的关键环节。从防范风险的角度出发，大型互联网平台对平台内发生的个人信息处理活动具有较强的风险防范能力，是控制平台内违法处理个人信息风险与预防危险的适格主体，32在个人信息保护方面应承担更多的法律义务。因此，《个人信息保护法》第58条对提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者(如腾讯、阿里等)规定了特别义务，包括成立主要由外部成员组成的独立机构对个人信息保护情况进行监督；对严重违反法律法规的平台内主体停止提供服务；定期发布

个人信息保护社会责任报告等。33而对于信息量较少、处理活动简单、技术水平较低的小型企业则要求其遵守个人信息处理者的一般性义务，包括遵守内部管理制度和操作规程，对个人信息实行分类管理、去标识化等安全技术措施，明确操作权限与应急预案等。《个人信息保护法》落实了信息处理者的保护责任，强化了其风险防范，并使其为不符合法律规定的保护措施承担法律责任，如强制执行、罚款甚至刑事处罚。34

(四)构建了敏感个人信息的严格保护规则

敏感个人信息(Sensitive Personal Information),在欧盟《一般数据保护条例》(GDPR)中被称为“特殊类型的个人数据”(Special Categories of Personal Data)。《日本个人信息保护法》第2条将敏感的个人信息称为“需注意的个人信息”,美国联邦《消费者数据隐私与安全法令》以及有关州称其为“敏感个人信息”或“敏感数据”。敏感个人信息由于直接关系到个人人格尊严和人身、财产安全等重大权益，因此需要特殊保护。我国《民法典》虽然规定了私密信息的保护规则，但并没有对敏感个人信息作出明确规定。我国《个人信息保护法》在借鉴比较法经验的基础上，立足中国实践，设立专章规定了敏感个人信息的处理规则，弥补了《民法典》个人信息保护规则的不足。《个人信息保护法》在敏感个人信息保护方面具有如下几个特点。

首先，明确列举了敏感个人信息的概念和具体类型。从比较法上来看，对敏感个人信息存在法律具体列举模式和综合考量模式。35《个人信息保护法》第28条对敏感个人信息的界定采“概括+列举”的立法例。一方面，其明确界定了敏感个人信息的概念为“一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息”。该概念为实践中出现的各种新型的敏感个人信息的认定提供了明确判断标准。另一方面，该条具体列举了敏感个人信息的类别，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。概括型定义的立法例具有足够的弹性和开放性，能够应对互联网时代更迭迅速、层出不穷的信息类型，列举型定义则保证了界定范围的可操作性，即除第28条所列举的类别之外，只要符合敏感个人信息的概括定义，亦应适用敏感个人信息的处理规则。

其次，强化了对未成年人个人信息的保护。从比较法上来看，《一般数据保护条例》虽然规定了需要特殊保护的特殊类型的信息，但没有将未成年人信息纳入此类信息。36美国有关未成年人个人信息的保护规定则集中于《儿童在线隐私保护法》(COPPA),并未采取特别严厉的个人信息保护规则。37我国《个人信息保护法》将不满14周岁的未成年人的个人信息均纳入敏感个人信息的范畴，将保护的对象由儿童扩张到了未满14周岁的未成年人，提供了更为全面的对未成年人群体的保护规则。同时，依据《个人信息保护法》第31条，个人信息处理者处理不满14周岁未成年人的个人信息应当取得其父母或者其他监护人的同意，并且应当制定专门的个人信息处理规则。

最后，构建了严格的敏感个人信息处理规则。对敏感个人信息的保护很大程度上不是采取特殊的法律责任的方式，而主要是在个人信息处理环节规定特殊的个人信息处理方式。在敏感个人信息处理过程中，对信息处理者的要求越严格，越有利于保护敏感个人信息。《个人信息保护法》建立了如下敏感个人信息保护特殊的处理规则：一是增加了更严格的处理前提。《个人信息保护法》第28条升级了处理个人信息的“必要”原则和保障个人信息安全的“必要措施”。如果处理个人信息仅仅是为了一般服务或产品功能必要，将无法满足处理个人敏感信息的必要前提。二是单独同意和依法取得书面同意。所有的敏感个人信息都应当采取单独同意的方式，而不能采取概括同意、授权捆绑等方式，或者强迫、变相强迫自然人同意处理其人脸信息。这种同意也应当是明示的同意，而不应当是默示的方式。例如，小区门禁对居民出入采用人脸识别的方式进行限制，必须取得个人的明示同意。三是规定了特殊的告知义务。依据《个人信息保护法》第30条，处理敏感个人信息不仅要履行基本的告知义务，而且还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响。例如，小区在收集个人的人脸识别信息时，应当明确告知收集该信息的用途、收集的必要性以及收集人脸信息可能对个人产生的不利影响。如果在进行告知后，个人拒绝的，则信息处理者不得收集此类敏感个人信息。只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，个人信息处理者方可处理敏感个人信息。

(五)规范了国家机关的个人信息处理行为

在我国，政府机关在行政管理过程中也会大量收集个人的信息，如何有效规范政府机关处理个人信息的行为，也是个人信息保护制度的重要组成部分。实际上，个人信息作为一项人格权益，最初产生的目的之一，就是防止政府机关不当处理个人信息。38从比较法视角看，将公权力机关纳入信息隐私法规范范畴已成为共识和趋势。39在我国，政府机关收集个人信息，很大程度上也是为了国家治理和社会治理的需要。习近平总书记强调，“要运用大数据提升国家治理现代化水平”,40数字政府作为数字中国的有机组成部分，不仅是推动数字中国建设、实现经济高质量发展的重要支撑，更是推动政府治理现代化的重要动能。在此背景下，国家机关是个人信息最大的处理者和持有者，在工作中必然涉及对公民个人信息的处理活动。然而一些个人信息泄露事件也暴露出有些国家机关存在个人信息保护意识不强、处理流程不规范、安全保护措施不到位等问题，从而可能造成对个人信息的侵害。据此，《个人信息保护法》规定，国家机关处理个人信息的活动，适用本法，这意味着国家机关作为个人信息处理者也要遵守相关法律规定。国家机关遵循《个人信息保护法》开展个人信息处理活动，有助于在全社会起到示范效应，形成数字法治的良好氛围。

当然，国家机关处理个人信息是为了公共利益，区别于商业机构对于个人信息的收集和利用，因此《个人信息保护法》对国家机关处理个人信息制定了特别规定。41一是要求国家机关必须为履行法定职责处理个人信息。也就是说，只有出于履行法定职责的需要，国家机关才能处理个人信息，而且国家机关处理个人信息的行为不得超出法定职责的范围和限度；同时，国家机关在处理个人信息时，还应当依照法律、行政法规规定的权限、程序进行，否则可能构成非法处理个人信息的行为。二是依据《个人信息保护法》第35条规定，国家机关为履行法定职责处理个人信息，应当依照本法规定履行告知义务，该条就国家机关处理个人信息的一般规则区别于对一般处理者的“告知—同意”要求。由于国家机关是基于公共利益的目的处理公民个人信息，如果个人对相关信息具有同意权、决定权等权利，则将从根本上破坏公权力部门公共职能的行使。三是《个人信息保护法》第35条对告知义务还作了例外规定，免除保密情形和不需要告知的情形的义务，较好平衡了公民个人权利与国家行政权力之间的冲突。四是国家机关处理个人信息应当在国内储存。国家机关大规模收集的个人信息，不仅关系个人的信息权利保护，而且关系到国家安全，因此，《个人信息保护法》第36条对国家机关收集的个人信息的储存规则作出了特别规定。

需要指出的是，国家机关处理个人信息活动适用《个人信息保护法》,也应限于《个人信息保护法》规定的处理行为。如果国家机关对于个人的信息并不存在自动化或半自动化的处理行为，也不存在大规模的手动存档行为，则此类行为并不构成处理。42例如国家执法机关的工作人员在日常执法中进行的偶发性的查证、问询，但不对信息进行系统化存储与处理，则此类行为不受《个人信息保护法》调整，而只受《民法典》隐私权规则和其他法律的调整。43

(六)完善了个人信息的法律救济途径

“权利的存在和得到保护的程度，只有诉诸民法和刑法的一般规则才能得到保障。”44非法倒卖个人信息、非法泄露个人信息已经成为一种社会公害。在实践中，诸如大学生徐玉玉因个人信息泄露被诈骗而死亡案，对个人信息保护立法的加速起了重要作用。广受社会关注的“微信读书案”“抖音案”“人脸识别第一案”等，充分说明了全面保护个人信息的重要性。《个人信息保护法》为了强化对个人信息权利的保护，在《民法典》规定的基础上，新增了一些特殊的个人信息保护措施。

一是建立了多元化的救济机制。个人信息权益兼具人格利益和财产利益，并存个人利益和公共利益，45如何通过损害赔偿的方式来救济此种大规模且属性复杂的权益侵害，是传统民事司法救济、行政与刑事难以单独解决的问题。46《个人信息保护法》采取了行政责任、刑事责任和民事责任的结合，为受害人提供保护。同时，依据《个人信息保护法》第50条，个人信息处理者应当建立便捷的个人行使权利的申请受理和处理机制，在个人信息处理者拒绝个人行使权利的请求时，个人可以依法向人民法院提起诉讼。这也为个人信息权利的保护提供了新的救济途径。

二是确立了侵害个人信息的过错推定责任。过错推定也称过失推定，它是指行为人因过错侵害他人民事权益，依据法律的规定，推定行为人具有过错。如行为人不能证明自己没有过错的，应当承担侵权责任。根据《个人信息保护法》第69条的规定，“处理个人信息侵害个人信息权益造成损害，个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任”。《民法典》中的个人信息侵权也采取了过错推定原则。之所以采取此种归责原则，很大程度上是因为在实践中，受害人举证困难已经成为个人信息保护所面临的一大困境；同时，个人信息处理者距证据较近，且专业性较强，受害人举证的成本较高。因此，采用过错推定有利于减轻受害人的举证负担，强化信息处理者的举证义务，从而对受害人提供有效的救济。47

三是确立了损害赔偿责任。依据《个人信息保护法》第69条的规定，侵害个人信息的“损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定；个人因此受到的损失和个人信息处理者因此获得的利益难以确定的，根据实际情况确定赔偿数额”。该条规定是对《民法典》第1182条的细化规定，因为从《民法典》第1182条规定来看，其仅适用于侵害人身权益的情形，其能否适用于个人信息保护，存在一定的争议。《个人信息保护法》第69条则进一步明确了其可以适用于侵害个人信息的情形。

四是引入了侵害个人信息的公益诉讼制度。《个人信息保护法》还引入了公益诉讼制度，对个人信息侵权救济问题进行了重大创新。公益诉讼具有延伸性的制度张力，可以调动诸多手段，协同多个部门，通过具有更强纠纷解决能力的组织和机关介入，对个人信息的保护更具专业性、权威性和便利性，有助于克服实践中个人起诉存在的举证困难以及成本过高等问题。从制度安排上看，提起个人信息保护公益诉讼的诉权主体有人民检察院、法律规定的消费者组织和由国家网信部门确定的组织。48此前，最高人民检察院出台《关于积极稳妥拓展公益诉讼案件范围的指导意见》,已明确将个人信息保护纳入公益诉讼检察工作新领域。对于涉公民个人信息的案件，检察机关在决定是否提起公益诉讼时，需考虑公民个人信息被侵犯的程度以及对整个社会造成的影响等因素。在《个人信息保护法》通过后，最高人民检察院又下发了《关于贯彻执行个人信息保护法推进个人信息保护公益诉讼检察工作的通知》,对个人信息公益诉讼的若干制度进行了进一步规定。公益诉讼制度的确立，有利于有效破解互联网个人信息侵害的治理难题，进一步提升我国个人信息的保护力度。

二、《个人信息保护法》的特色

(一)时代性

进入互联网、大数据时代，个人信息保护比以往任何时候都凸显其意义，保护个人信息也是保护人民群众在数字化时代所享有的合法权益。自1967年美国学者阿兰·威斯丁(Alan Westin)首次提出了个人信息的概念与个人对于自身信息控制的权利以来，49各国普遍重视个人信息保护。我国立法积极回应个人信息保护的重大时代问题，2012年，全国人大常委会审议通过了《全国人民代表大会常务委员会关于加强网络信息保护的决定》,开启了个人信息的法律保护之路。2016年《网络安全法》通过，规定网络运营者收集个人信息应当遵循合法、正当、必要的原则，而且应当获得个人的知情同意。502020年通过的《民法典》人格权编对个人信息进行了较大篇幅和较为全面的规定，不仅在总则编第五章规定了个人信息保护的基本规则，还在人格权编中设置专章，明确规定了个人信息的保护规则。可见，我国的《个人信息保护法》是在总结我国立法和司法实践保护个人信息的基础上，积极回应了个人信息保护的现实需求。

《个人信息保护法》的时代性首先表现在，其形成与《民法典》个人信息保护规则有机结合。一方面，《民法典》确定了个人信息保护的基本框架、原则和理念、价值，界分了个人信息与隐私权等其他人格权的关系，进一步为个人信息保护法确立了最基础的规则。《民法典》所确立的保护人格尊严、保障民事权利等价值，也是解释《个人信息保护法》的基础。另一方面，从价值层面上看，《民法典》确认个人信息受保护本质上彰显的就是个人尊严。学者大多认为，侵害个人信息实际上都侵害了个人的自由，因而需要法律的保护。51通过保护个人信息不受信息数据处理等技术的侵害，就可以发挥保护个人人格尊严和人格自由的效果。52《个人信息保护法》第28条关于敏感个人信息的规定，就以人格尊严为基本标准。还应当看到，《民法典》确认私法自治，个人信息自决就是私法自治的具体体现，在民事权利体系中，其应当属于人格权的范畴。《民法典》是民事单行法解释的基础。在《个人信息保护法》的相关规定存在不明确、不清晰、不仔细的情形下，应当依据《民法典》进行解释。如果无特殊的正当理由，其应当尽可能与《民法典》保持一致。例如，《个人信息保护法》增加了“诚信”原则，但对于“诚信”的内涵，应当依据《民法典》第7条进行解释。再如，《个人信息保护法》第69条虽然规定了获利返还规则，但显然不如《民法典》第1182条全面，因此，应当根据《民法典》进行解释。习近平总书记强调，《民法典》彰显了时代性，53而《个人信息保护法》正是在与《民法典》的结合过程中充分彰显了其时代性。

《个人信息保护法》自身的制度和规则也体现了时代性。习近平总书记指出：“问题是时代的声音”。54《个人信息保护法》针对当今时代所提出的问题，在法律上作出了制度回应，为破解社会问题、强化个人信息保护提供了法律方案，也为解决世界各国普遍面临的个人信息保护问题提供了中国经验和中国方案。总体结构上，该法采用的是总分结构，第一章规定的总则，第二章至第七章是关于个人信息保护分则的规定。在制度设计上，该法从中国实际出发，积极借鉴域外的制度，回应了时代的需求。例如，规定数据携带权，确立安全评估制度，规定个人信息跨境提供的规则，规定有关信息处理的合法性规则，规定敏感个人信息的处理规则，规定国家机关处理个人信息的规则等，都具有鲜明的时代特征。尤其应当看到，《个人信息保护法》还对与个人信息相关的新兴问题进行了规定。例如关于人脸识别与人工智能技术，《个人信息保护法》第62条规定，国家网信部门统筹协调人脸识别、人工智能等新技术、新应用。再如，关于社会广泛关注的“大数据杀熟”“算法茧房”等问题，《个人信息保护法》第24条规定，利用个人信息进行自动化决策，不得对个人在交易价格等交易条件上实行不合理的差别待遇；通过自动化决策方式向个人进行信息推送、商业营销，应当同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式。

可以预见，随着互联网与大数据的发展，《个人信息保护法》的时代意义将得到进一步彰显。科技产品与信息技术不断普及，企业、政府机关以及各类信息处理者收集与利用个人信息的需求将越来越大、途径将越来越多，范围将越来越广、处理将越来越快。在这个意义上，《个人信息保护法》将为个人信息处理活动提供更明确的法律依据，为个人维护其个人信息权益提供充分保障，为企业合规处理提供操作指引。

(二)本土性

从个人信息保护制度的起源与发展来看，“公平信息实践”制度对于各国的个人信息保护制度具有较大影响。这一制度一方面对个体进行赋权，赋予个体以查询复制权、纠正权、删除权、脱离自动化处理权、携带权等权利；另一方面对信息处理者施加责任，赋予信息处理者目的限制、信息最小化、限期储存、信息安全、信息质量等义务。55经过几十年的发展，“公平信息实践”制度经过演进与发展，如今已经比较成熟。我国的《个人信息保护法》也采用了这种制度设计，与全球通行的个人信息保护制度具有相似性。但在基本框架之外，我国的《个人信息保护法》立足于中国实践，许多规则彰显了中国元素，体现了中国特色，具体可以从如下几个方面来观察。

第一，确立了个人信息保护的基本原则。《个人信息保护法》在总则中集中规定了个人信息保护的基本原则，此种立法模式在比较法上较为少见。例如，《个人信息保护法》第5条规定的处理个人信息的诚信原则，确实是我国《个人信息保护法》的特色。

第二，关于个人信息和敏感个人信息的概念表述，都采取了“概括+具体列举”的模式，且通过附则的规定对其作出了更为具体的阐述。我国《个人信息保护法》中的敏感信息既包括“生物识别、宗教信仰、特定身份”等身份性信息，也包括“医疗健康、金融账户、行踪轨迹”“不满十四周岁未成年人的个人信息”,这一规定从实际风险出发，以威胁人格尊严和危害个人人身、财产安全作为界定敏感信息的范围。56同时，这一规定最终没有明确将“民族、种族”纳入敏感信息范畴，因为在中国，大多数情况下“民族、种族”都被认为是公开信息，并不会导致重大风险。

第三，通过敏感个人信息的处理规则保护未成年人的个人信息。从比较法上看，国外关于个人信息保护最显著的立法成果——欧盟《一般数据保护条例》虽然规定了需要特殊保护的信息类型，但没有将未成年人信息作为特殊类型对待。美国《弗吉尼亚州消费者数据保护法令》(Virginia Consumer Data Protection Act, VCDPA)规定，从“已知儿童”处收集的数据属于敏感数据。57我国在借鉴他国立法经验的基础上，将保护的对象由儿童扩张到了未满14周岁的未成年人，使得对未成年人的保护规定更加具体、明确。并且，为了与《民法典》保持一致，《个人信息保护法》第31条规定：“个人信息处理者处理不满十四周岁未成年人个人信息的，应当取得未成年人的父母或者其他监护人的同意。个人信息处理者处理不满十四周岁未成年人个人信息的，应当制定专门的个人信息处理规则。”

第四，构建了中国特色的综合法律保护机制。首先，《个人信息保护法》确立了“国家网信部门”作为负责统筹协调个人信息保护工作和相关监督管理工作的机关。“国家网信部门”和“县级以上地方人民政府有关部门”履行“开展个人信息保护宣传教育，指导、监督”“接受、处理与个人信息保护有关的投诉、举报”“组织对应用程序等个人信息保护情况进行测评”“调查、处理违法个人信息处理活动”等工作。与欧盟相比，我国并未确立完全独立的个人信息监管机关。作为个人信息保护标准较为严格的地区，欧盟在《一般数据保护条例》中明确要求各成员国成立独立监管机构，并在欧盟层面成立数据保护委员会。我国由于多种原因并未进行此类机构设置。

第五，《个人信息保护法》确立了个人信息权利的司法保护机制。从比较法上看，不同国家采取了不同的法律保护方式。例如欧盟要求个人在一般情况下先向监管机构提起申诉，但赋予个人向法院提起诉讼的最终救济机制。美国则采取了准司法的民事救济制度，利用美国联邦贸易委员会(FTC)对消费者个人信息进行“普通法”保护，58但对于个人信息权利的直接可诉性则较为谨慎。59美国法院在若干案件中认定，个人信息保护中的一般违规行为不存在“具体伤害(concrete harm)”,且原告在此类案件中往往缺乏诉权。60美国加州则允许用户在数据泄露的情形下提起诉讼，以及加州总检察长在企业违规且30天后不改正的情形下以加州人民的名义提起民事诉讼。61我国《个人信息保护法》第50条规定：“个人信息处理者拒绝个人行使权利的请求的，个人可以依法向人民法院提起诉讼”。该法实际上采取由权利人自行选择救济机制的方式，即其既可以选择采取行政救济方式，也可以采取司法救济方式，这也是我国《个人信息保护法》独具特色之处。

第六，明确规定了侵害个人信息的损害赔偿规则。在传统民法中，长期以来关于个人信息保护的损害赔偿责任一直是个争议比较大的问题。个人信息就损害赔偿而言既有财产属性又有人格属性，对个人信息的侵害大多数实施的是一个大规模的侵权，其损害具有范围广、程度深的特点，尤其在侵害个人信息的情况下，有可能构成大规模侵权。但对单个的受害人来说，损害又可能是轻微的。所以，它会形成一种集合性的、针对众多人的大规模损害。瓦格纳将此种行为称为“大规模的微型侵害”。62对于此种损害，由于其侵害的轻微性，单个的受害人往往势单力薄，也不愿意要求加害人承担责任。对此，需要由国家公权力机关作为公共利益的代理人去追究侵害人的责任，保护公共利益。所以如何通过损害赔偿的方式来救济的确是一个在法律上没有解决的重大难题。

(三)实践性

《个人信息保护法》的出台，是我国多年在个人信息保护领域立法、司法与执法实践成果的结晶，回应了国家与社会对于个人信息保护的需求。从立法来看，2012年，全国人大常委会通过《关于加强网络信息保护的决定》,明确“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息”,首次从国家最高立法机关层面对个人信息提供保护，并确定了收集与处理个人信息的“合法、正当、必要”原则，这一原则在后来的个人信息立法中一直被延续。此后，2016年通过的《网络安全法》对网络运营者收集与处理个人信息进行了专门规定。2020年通过的《民法典》对个人信息保护规则作出了详细规定。《消费者权益保护法》《电子商务法》《刑法修正案(九)》等法律也从不同角度与层面对个人信息保护规则作出了规定。《个人信息保护法》的颁行与上述立法实践密切相关。从司法与执法层面看，一系列案件与事件也在其中起到了重要作用。

《个人信息保护法》植根于社会实践与现实需求，具有较为鲜明的实践性。在《个人信息保护法》制定过程中，发生了一系列与个人信息保护相关的重大社会事件，如对于违法收集人脸信息的行为，相关法律法规不健全、监管措施缺位等。对此，最高人民法院也作出了一系列司法解释，如《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》等。在总结我国有关个人信息保护的立法和司法实践经验的基础上，我国《个人信息保护法》对上述个人信息保护的实践困境都予以了回应，并就上述问题的解决提出了中国方案，具体而言：

一是我国《个人信息保护法》采取了符合中国国情的个人信息保护机制。例如，我国《个人信息保护法》从我国实际出发，将国家网信部门规定为履行个人信息保护职责的部门。63从实践来看，国家网信部门由于其专业性，可以在很大程度上扮演独立监管机构的职责，发挥监管机构教育、宣传、执法、受理申诉等多种职能。因此，《个人信息保护法》对国家网信部门的职能定位，可以说是对实践经验的总结。

二是规制“大数据杀熟”行为。在实践中，一些企业利用数据与算法优势，通过掌握消费者的经济状况、消费习惯、对价格的敏感程度等信息对消费者进行误导与欺诈，即所谓的“大数据杀熟”现象。64“大数据杀熟”行为违反了诚实信用原则，侵犯了《消费者权益保护法》规定的消费者享有公平交易条件的权利。65《个人信息保护法》从自动化决策的角度进行了回应，其第24规定：“个人信息处理者利用个人信息进行自动化决策，应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇。通过自动化决策方式向个人进行信息推送、商业营销，应当同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式。通过自动化决策方式作出对个人权益有重大影响的决定，个人有权要求个人信息处理者予以说明，并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。”该条为规制“大数据杀熟”行为提供了法律依据。

三是防止人脸识别滥用。《个人信息保护法》第62条规定：“国家网信部门统筹协调有关部门依据本法推进下列个人信息保护工作：(一)制定个人信息保护具体规则、标准；(二)针对小型个人信息处理者、处理敏感个人信息以及人脸识别、人工智能等新技术、新应用，制定专门的个人信息保护规则、标准……”该条对人脸识别技术的运用作出了原则性规定，为相关立法细化调整人脸识别技术规则提供了依据。

四是系统回应个人信息保护的国内与国际实践需求。随着全球大多数国家完成个人信息保护立法，我国个人信息保护法的缺位，将使得我国成为全球个人信息保护的洼地，并导致我国在参与国际数据规则制定时丧失话语权。在此背景下，我国企业与跨国企业在进行个人信息跨境传输时，将面临个人信息只能从中国传到有关国家，而很难从有关国家传回中国的窘困局面。我国《个人信息保护法》的制定，系统性地回应个人信息保护的国内与国际实践需求，有力提升了我国的个人信息保护水平。

五是引入公益诉讼制度。在我国，个人信息泄露等侵害个人信息的现象已经成为一种“公害”,其侵害的不仅是个人的信息权利，而且对海量个人信息的侵害也构成对社会公共秩序和公共利益的侵害。《个人信息保护法》第70条对侵害个人信息的公益诉讼制度作出了规定，在很大程度上解决了个人信息保护中个体维权积极性不高、维权难度大等难题。

三、《个人信息保护法》的适用

(一)《个人信息保护法》与《民法典》的适用衔接

《个人信息保护法》是配套实施《民法典》的重要法律。在《民法典》颁布后，就推动《民法典》实施的问题，习近平总书记指出，《民法典》颁布实施并不意味着一劳永逸解决了民事法治建设的所有问题，仍然有许多问题需要在实践中检验、探索，还需要不断配套、补充、细化。需要加强同《民法典》相关联、相配套的法律法规制度建设。66而《个人信息保护法》的制定实际上就是配合《民法典》实施的配套法律。应当看到，《个人信息保护法》是一个领域法(field of law),是一部全面保护个人信息的法律，性质上属于公法、私法的混合。但就《个人信息保护法》的内容而言，大多是关于民事权利和义务的规定。从比较法来看，承认个人信息为一种人格权实际上已经成为一种立法趋势。在欧洲，比较流行的观点仍然是将保护个人信息作为一项独立的权利对待。67在美国，也有学者认为保护个人信息可以作为一项个人基本权利而存在。68可以说，将保护个人信息作为一种独立的权利是现代社会发展的一种趋势。我国《民法典》已经将保护个人信息作为人格权益予以确认，因此，就民事规范而言，《个人信息保护法》和《民法典》之间的关系就是特别法与基础法的关系，或者说是特别法与普通法的关系。

《民法典》和《个人信息保护法》之间的关系是基本法与单行法的关系，《民法典》是基础性法律，是私法的基本法。有学者将其比喻为，《民法典》是“太阳”,而单行法则构成围绕“太阳”公转的“行星”;“行星”根据“太阳”所投射的“光芒”来进行解释。69《民法典》确定了个人信息保护的基本框架、原则和理念、价值，界分了个人信息与隐私权等其他人格权的关系，进一步为《个人信息保护法》确立了最基础的规则。《民法典》所确立的保护人格尊严、保障民事权利等价值，也是解释《个人信息保护法》的基础。

《个人信息保护法》作为《民法典》的特别法也丰富了《民法典》的有关规则，将《民法典》的相关保护规定更加细化与具体化，进一步强化了对个人信息的保护。

第一，单独适用。

这又要区分两种情形：一是在《民法典》有规定而《个人信息保护法》中没有规定的，在此情形下就要适用《民法典》的规定。《民法典》所确立的关于人格权的请求权、禁令制度、精神损害赔偿等都为个人信息保护确立了基本的救济方法。这些规则在《个人信息保护法》中并没有规定，因此，《民法典》的规定具有兜底作用。二是《个人信息保护法》有规定而《民法典》没有规定，需要单独援引《个人信息保护法》的规定。例如，有关可携带权、关于过错推定责任等规定。《民法典》第11条规定：“其他法律对民事关系有特别规定的，依照其规定。”从性质上看，《民法典》第11条属于引致规范，其有效衔接了《民法典》与《个人信息保护法》之间的关系，从而形成调整民事关系的法律整体。70

第二，结合适用。

在《个人信息保护法》和《民法典》都有规定个人信息，只是细化《民法典》的规定的情形下，可以将个人信息保护的规则与《民法典》结合起来使用。例如，关于对个人信息处理的“告知—同意”规则，这是保障个人对其个人信息自主决定权的基本规则，虽然在《民法典》第1035条作出了明确规定，但该条规定仍然是简略的。针对现实生活中社会反响强烈的一揽子授权、强制同意等问题，且考虑到经济社会生活的复杂性，个人信息处理的场景日益多样化，《个人信息保护法》还对取得个人同意以外可以合法处理个人信息的特定情形作了规定。71在适用《个人信息保护法》的规则时，应当注重其与《民法典》的结合。

第三，消除矛盾。

法律解释的重要目的之一是通过解释使法律规范相互之间形成一种有机的、和谐的整体，形成逻辑的体系。“这意味着在法条可能的文义范围内和意义脉络范围内进行解释时应尽可能避免评价矛盾。”72应以《民法典》的规定为基础，协调其与《个人信息保护法》之间的关系。例如，关于个人信息的概念，《民法典》第1034条第2款和《个人信息保护法》第4条表面上看似乎存在矛盾，但通过法律解释可知，两者都采纳了“可识别说”,这就可以消除矛盾。

(二)《个人信息保护法》适用的其他问题

《个人信息保护法》还需要处理好与《网络安全法》《数据安全法》的关系。在网络信息法治体系中，这三部法律具有基础性作用，构成了数字社会治理与数字经济发展的基本法。其中，《网络安全法》的宗旨是为了保障网络安全，维护网络空间主权和国家安全、各方合法权益，其重点是对网络运营者进行规范，因此在其中也对网络运营者收集与处理个人信息进行了若干规定。《数据安全法》的宗旨是为了规范数据处理活动，保障数据安全，维护国家主权、安全和发展利益，其重点是国家数据安全与数据跨境流通等问题。而《个人信息保护法》的宗旨是为了保护个人信息权益，规范个人信息处理活动，促进个人信息合理利用。由此可见，三部法律是从不同角度与层面维护我国的网络信息法治。在适用《个人信息保护法》时，除了本法条文适用，在涉及网络运营者特别是网络关键信息基础设施时要注意和《网络安全法》进行衔接，在涉及数据跨境流通等问题时要注重和《数据安全法》进行衔接。

《个人信息保护法》还需注意其多种保护机制的衔接。《个人信息保护法》规定了行政执法、个人投诉举报、司法诉讼、公益诉讼等多种保护机制，赋予了个体投诉举报和司法救济的任意选择权。第50条规定了个体可以对其信息权利直接提起诉讼，而不必以行政监管作为前置性程序。从法律适用的角度来看，这一规定也对法院与“履行个人信息保护职责的部门”提出了挑战。73因为从各国的实践来看，很多国家都并未直接赋予个体以直接起诉的权利。例如欧盟的《一般数据保护条例》规定，只有“有权监管机构不处置申诉”,或者个体在向监管机构进行申诉后，但在三个月内没有向个人告知申诉的进展或结果，则“任何自然人或法人都有权获得有效的司法救济。”74我国关于个人可直接起诉的规定拓宽了公民保护其信息权利的途径，但也同时对法院的司法救济能力提出了挑战，对法院与“履行个人信息保护职责的部门”之间的协调提出了更高要求。

《个人信息保护法》出台后，还需要通过制定配套规章、条例、司法解释等形式进行适用。《个人信息保护法》已经对此进行了部分规定。例如，要求国家网信部门统筹协调有关部门“制定个人信息保护具体规则、标准”“针对小型个人信息处理者、处理敏感个人信息以及人脸识别、人工智能等新技术、新应用，制定专门的个人信息保护规则、标准”。75未来，在个人信息跨境流通以及新技术新应用等领域，网信办需要制定一系列个人信息保护的规章与条例；在其他较有行业特殊性的领域，例如金融、医疗卫生、教育、未成年保护、劳动者保护等领域，有关部门也需要根据行业特征，制定相关个人信息保护规章与条例，以配合《个人信息保护法》的落地。76此外，法院是个人信息权利救济的重要机关，最高人民法院也需要出台相应的《个人信息保护法》司法解释，为个人信息保护的相关诉讼提供司法指引。

结 语

《个人信息保护法》的出台，细化和完善了《民法典》关于个人信息保护的相关条款。正确把握《个人信息保护法》,需要深刻理解《个人信息保护法》的亮点、特色以及与《民法典》的关系，从而为个人信息保护与数据治理提供中国方案。《个人信息保护法》的制定，对保护人民群众的切身利益，贯彻落实以人民为中心的发展思想具有重要意义。当然，随着互联网、高科技的发展，还会出现更多的新情况、新问题，需要法律及时作出回应而不断完善。《个人信息保护法》的颁行并不是个人信息法律保护的终结，而是个人信息保护新的起点。

（本文为文章摘录版，如需引用，参阅原文）

文章来源：法学家 2021,(06)