8 月 20 日，《個人資訊保護法》表決通過，將於今年 11 月正式施行，大資料殺熟、人臉識別、演算法推薦、App 資訊收集、大型網際網路平臺監管、資訊資料跨境使用等大家關心的議題，均在這部法律中有涉及，通俗講，它都會管到。隨著這部法律的出臺，業界有觀點認為數字經濟野蠻生長的時代將被終結。

人人享有個人資訊保護權，這是第一次被法律明確界，隨著法律的施行，權責邊界的廓清，圍繞資訊保安的監管，正在步入一個新的軌道。

在《個人資訊保護法》出臺之際，就大眾關注的相關問題，網易科技採訪了中國人民大學法學院教授、中國法學會網路與資訊法學研究會副會長張新寶。

張教授是國內資深的侵權法、資訊法專家，全程參與了《個人資訊保護法》的立法工作

個保法出臺後，住宅小區門禁出入還能強制人臉識別嗎？掌握海量使用者資訊資料的大企業平臺怎麼監管？App 可以隨意收集使用者資訊嗎？針對這些問題，張新寶教授分別進行了專業解讀。

以下是採訪：

網易科技：《個人資訊保護法》中有任何機構和個人均不得過度收集個人資訊的表述，“過度”一詞，怎麼界定？

張新寶：通常被理解為超出處理個人資訊的目的以及違反“最小化”原則。

《個人資訊保護法》規定收集個人資訊，應當限於實現處理目的的最小範圍：一方面是指資訊處理者不得超出所聲稱的個人資訊處理目的收集個人資訊，比如隱祕收集；另一方面也要求資訊處理者收集個人資訊應當限於實現處理目的的最小範圍，不得超出實現個人資訊處理目的的必要，比如超出實現業務功能的必要，強制使用者提供個人資訊。

另外，針對常見型別的 App 所需必要個人資訊範圍，中央網信辦等四部門已經發布《常見型別移動網際網路應用程式必要個人資訊範圍規定》，未來也會持續推進該工作。

網易科技：《個人資訊保護法》出臺後，住宅小區的門禁還能不能強制使用人臉識別？

張新寶：這要看人臉識別是否用於公共安全目的。一般說來小區門禁不能強制使用人臉識別，需要有替代措施。

《個人資訊保護法》規定，公共場所安裝影象採集、個人身份識別裝置，應當為維護公共安全所必需，否則應當取得個人單獨同意。

因此，小區安裝門禁，首先需要判斷是否用於公共安全目的；其次，非公共安全目的使用人臉識別門禁，應當徵得個人的單獨同意後方可使用；另外，即便使用人臉識別門禁，也應當同時提供替代性的門禁方式，從而確保業主作出的同意是自願而非被迫作出的。

網易科技：法律出臺後，App 索取使用者個人資訊遭到限制，最直接的影響有哪些？

張新寶：法律規定對於敏感個人資訊的收集需要特別告知，個人的同意也是“單獨同意”，加強了敏感個人資訊的保護。

相較於此前國內相關法律法規，《個人資訊保護法》明確提出了敏感個人資訊的概念和處理規則，對敏感個人資訊實行強化保護，包括特定的目的、充分的必要性、嚴格保護措施、特別告知、單獨同意等。質言之，App 索取個人資訊比過去會難一些，而且不得因為個人不同意就拒絕服務。

網易科技：對網際網路企業的影響是什麼樣的，比如滴滴等這種大平臺，他們掌握了大量的資料，這個怎麼處理和管理？

張新寶：法律規定了個人資訊處理者的義務，特別是規定了大型平臺企業的特別義務。這些企業未來在個人資訊保護方面會做得更好一些，同時合規成本也會高一些。

法律規定了處理者對處理的個人資訊的安全保護義務，規定了洩露等情況下的法律責任。

網易科技：掌握大量使用者資料的公司如果想要海外上市，如何滿足資料保護的要求？

張新寶：《個人資訊保護法》明確規定，處理個人資訊達到國家網信部門規定數量的個人資訊處理者，如確需向境外提供個人資訊的，應當通過國家網信部門組織的安全評估。

另外，國家網信部門在近期啟動了《網路安全審查辦法》的修訂工作，在《網路安全審查辦法（修訂草案徵求意見稿）》中新增了“掌握超過 100 萬用戶個人資訊的運營者赴國外上市，必須申報網路安全審查”的規定，同時也將大量個人資訊被竊取、洩露、毀損以及非法利用或出境的風險，大量個人資訊被國外政府影響、控制、惡意利用的風險，納入網路安全審查的重點考慮因素，這類公司也應當遵守網路安全審查的相關要求。

網易科技：對網際網路大平臺的第三方監督（或個人監督），怎麼實現？怎麼更具操作性？

張新寶：一是個人資訊保護主管部門和其他政府部門的日常監管，二是內部合規制度，三是建立有外部人員參與的獨立機構的監督。

網易科技：軟體服務商經常用很長的條款來說明他們使用了我（個人）的資訊，但不同意則無法使用他們的 app。很多場景下，使用者並不能把條款內容全部看完，構成了一種事實上的“被迫同意”。這種現象在《個人資訊保護法》頒佈後能否改善？

張新寶：法律對此等行為進行了規範，基本意思是不得拒絕交易，即使個人不同意其處理個人資訊，也要提供相應的基本服務。

網易科技：《個人資訊保護法》出臺後，大資料殺熟需要承擔什麼樣的法律責任？

張新寶：第一，個人資訊處理者利用個人資訊進行自動化決策，應當保證決策的透明度和結果公平、公正，不得對個人在交易價格等交易條件上實行不合理的差別待遇。

通過自動化決策方式向個人進行資訊推送、商業營銷，應當同時提供不針對其個人特徵的選項，或者向個人提供便捷的拒絕方式。

第二，通過自動化決策方式作出對個人權益有重大影響的決定，個人有權要求個人資訊處理者予以說明，並有權拒絕個人資訊處理者僅通過自動化決策的方式作出決定。

第三，利用大資料殺熟，造成個人損害的，需要承擔《個人資訊保護法》、《消費者權益保護法》以及《民法典》等法律規定的法律責任。

網易科技：有人提到，《個人資訊保護法》對個人資訊的可攜帶權設立，強化了使用者自主權，能夠有效破除個人資訊流通障礙，以使用者權益為出發點，形成“使用者主導型”個人資訊跨平臺流通，起到防止個人資訊鎖定、降低市場準入門檻以及增強平臺之間競爭的效果，您怎麼看？通俗來講，什麼叫可攜帶權？

張新寶：這個看法和預期基本上是正確的。所謂“攜帶權”是指個人將其個人資訊從一個儲存地點轉移到另一個儲存地點的權利，比如你將自己的個人資訊從“阿里雲”攜帶轉移到“百度雲”。

網易科技：為什麼人臉識別、人工智慧技術和自動化決策需要特別引起重視？如果不重視不規範不加約束，會有什麼後果？

張新寶：這裡面涉及到科技發展和倫理邊界的問題，科技越往後發展，它所涉及的倫理層面的問題，權益層面的問題也會凸顯，所以需要重視。立法說明中對此有充分的說明，也是人民群眾的迫切要求。全國人大法工委之前在立法說明中提出：雖然近年來我國個人資訊保護力度不斷加大，但在現實生活中，一些企業、機構甚至個人，從商業利益等出發，隨意收集、違法獲取、過度使用、非法買賣個人資訊，利用個人資訊侵擾人民群眾生活安寧、危害人民群眾生命健康和財產安全等問題仍十分突出。在資訊化時代，個人資訊保護已成為廣大人民群眾最關心最直接最現實的利益問題之一。社會各方面廣泛呼籲出臺專門的個人資訊保護法，本屆以來，全國人大代表共有 340 人次提出 39 件相關議案、建議，全國政協委員共提出相關提案 32 件。

網易科技：個人資訊保護的標準和規則，誰來確定？

張新寶： 法律規定了基本標準和規則，細則和技術標準等，由國家網信部門統籌協調有關部門制定個人資訊保護具體規則、標準，以及適用於敏感個人資訊、人臉識別等專門的個人資訊保護規則、標準，相較於此前各主管部門各自推出個人資訊保護規則、標準，《個人資訊保護法》強調了國家網信部門的統籌協調職能，有利於規則、標準的統一。

網易科技：很多時候個人是沒有能力知道自己的個人資訊被平臺或裝置商收集的，比如使用手機廠商或者某些服務平臺提供的產品和服務過程中，沒辦法知道資訊有沒有被收集，這種情況，能怎麼化解？

張新寶：法律規定了告知同意的基本規則，收集個人資訊應當告知並取得個人同意，除非法律另有規定。

這些平臺和裝置收集個人資訊也是需要告知同意的，如果違反相關規定，主管部門會追究其法律責任，個人也可以起訴，甚至檢察院等可以提起公益訴訟。

另外，《個人資訊保護法》也構建了多方參與的機制，包括社會化服務機構，如支援有關機構開展個人資訊保護評估，通過專業機構開展個人資訊保護評估，能夠對個人資訊處理者起到監督約束作用。

《個人資訊保護法》也明確，國家網信部門完善個人資訊保護投訴、舉報工作機制，通過具備專業知識的民眾，作為“吹哨人”，為主管部門提供違法違規處理個人資訊的線索，強化公民參與和監督。