8月20日，《个人信息保护法》经十三届全国人大常委会第三十次会议表决通过，将自今年11月1日起施行。当天，中国人大网全文发布。

对社会关切的过度收集个人信息、大数据杀熟，对人脸信息等敏感个人信息的处理等，《个人信息保护法》均明确了规制措施。专家认为，诱导性、欺骗性的个人信息收集仍然存在，给用户的知情权和选择权仍不足，应继续增加个人信息处理的透明度，帮助用户明确、方便地感知和选择自己的信息处理服务。

《个人信息保护法》明确，死者个人信息的处置权由其近亲属行使，死者生前另有安排的除外。专家认为，未来“死者生前另有安排”很可能变成一个常规安排，“就跟我们生前要做好遗嘱一样，在生前做好个人信息的安排”。

诱导性收集仍存在，应扩大用户知情权选择权

新通过的《个人信息保护法》回应了社会高度关切的热点难点问题。针对过度收集信息、大数据杀熟的问题，明确处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式；个人信息处理者利用个人信息进行自动化决策，不得对个人在交易价格等交易条件上实行不合理的差别待遇。

针对滥用人脸识别技术问题，《个人信息保护法》要求，在公共场所安装图像采集、个人身份识别设备，应设置显著的提示标识；所收集的个人图像、身份识别信息只能用于维护公共安全的目的。

中国互联网协会研究中心副主任、北京师范大学网络法治国际中心执行主任吴沈括提出，关于个人信息推送有一个需要注意的地方，就是信息的真实性和信息的中立性，相关规范还应进一步完善。他举例说，曾经有某平台在课程直播当中向学员推送异性交友信息，这显然是有问题的。

吴沈括还提出，在个人信息搜集方面，虽然强迫少了，但诱导性、欺骗性收集仍然存在，这是违背法律精神的。

目前，公众主要关注个人信息收集、信息内容推送等方面，实际上个人信息的处置还包括存储、使用、提供及删除等环节。

对外经济贸易大学数字经济与法律创新研究中心执行主任许可认为，在立法回应公众关切之后，要注意到个人信息处理的最大问题是透明度欠缺，给用户的知情权和选择权不足。这要求互联网服务提供者通过技术工具、服务平台来帮助用户行使权益，建立一个用户友好型的界面，帮助用户很好地感知和选择自己的个人信息处理服务，方便地进行个人信息查询、复制、更正、删除等。

重视“网络遗嘱”，提前做好网上个人信息安排

如今，人们可以在网上办事、社交、购物、娱乐等等，其间会留下众多文字、图片、视频及账户密码等信息。一个人去世后，网上遗留的个人信息该如何处理？

《个人信息保护法》第四十九条规定，自然人死亡的，其近亲属为了自身的合法、正当利益，可以对死者的相关个人信息行使本章规定的查阅、复制、更正、删除等权利；死者生前另有安排的除外。

吴沈括介绍，“死者生前另有安排的除外”的规定，比起草案二审稿，对死者个人信息保护范围做了一定程度的限缩。因为死者自身的意志表达已经受到了限制，如果给予他与生者一样的权益范围，可能会对目前的互联网生态造成非常大的影响。

许可进一步提出，对死者的人格损害，会间接地伤害死者的近亲属。所以，《个人信息保护法》在审议过程中，把对死者的网络个人信息，从直接保护修改为间接保护。即，死者的近亲属可以去行使查询、复制、更正、删除等权利。

对于“死者生前另有安排的除外”的规定，许可认为，首先要尊重死者的愿望和安排。因为，由近亲属在当事人去世后去主张，会产生一些问题，比如优先次序、意见不同等。“死者生前另有安排的除外”虽然看起来是个例外条款，但未来这一条款很可能变成一个常规安排，“就跟我们生前要做好遗嘱一样，在生前做好个人信息的安排，也就是’网络遗嘱’”。

“除了个人要做好安排，还应该鼓励互联网服务提供者提供相应渠道，帮助死者做好这类安排。”许可介绍，在美国有网络遗产的概念，很多第三方参与自然人网络遗产安排，有相关的信托和技术，帮助人们保存、处理网上个人信息。

将未成年人信息列为敏感个人信息

《个人信息保护法》将未成年人的个人信息列为“敏感个人信息”，第二十八条明确：敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。

对于未成年人的个人信息处理，第三十一条规定：个人信息处理者处理不满十四周岁未成年人个人信息的，应当取得未成年人的父母或者其他监护人的同意。个人信息处理者处理不满十四周岁未成年人个人信息的，应当制定专门的个人信息处理规则。

将未成年人信息列为敏感信息，意味着未成年人将获得更高等级的保护。要保护未成年人，首先要能识别未成年人。实践中，怎么去判断这个上网者是不是未成年人？许可提出，除了落实实名制，还要进一步采取技术手段来判断。

吴沈括提出，目前多数服务未成年人的互联网产品，是从成年人思维出发设计的，这可能会造成有的保护措施无法落实到位，甚至出现以保护未成年人之名决策侵害了未成年人的利益的情况。他建议，改进“一言堂”式的未成年人保护状况，发挥学校和家长的主观能动性，更真实和全面地了解未成年人的特点和需求。

为地方大数据立法提供顶层设计

近几年，中国相继出台的《网络安全法》、《数据安全法》、《个人信息保护法》等三部法。吴沈括指出，这奠定了个人信息保护的法律基础。《个人信息保护法》出台之后，后续会有一系列配套制度，比如关于数据安全的行政法规，关于关键信息基础设施安全保护的行政法规，关于个人信息跨境流动的治理规范，等等。

许可介绍，个人信息保护涉及面很广，监管部门除了网信办、工信部、市场监管总局、公安部等，还涉及一些行业主管部门，比如人民银行涉及个人金融信息保护，卫健委涉及医疗信息保护，交通部涉及交通领域个人信息保护，教育部涉及大量教育数据等。《个人信息保护法》的实施，将在广泛的方面影响人们的生活。

近年来，大数据的应用和潜力越来越受到重视，多个地方探索大数据立法，内容涵盖个人信息保护。今年7月，《深圳经济特区数据条例》公布。作为国内数据领域首部基础性、综合性立法，《条例》对大数据“杀熟”、个人信息收集任性、强制个性化广告推荐等问题说“不”均做出了规定。

许可提出，个人信息权属于公民基本权利，可以上溯到宪法中的人格尊严和人权保护条款、通信自由条款，地方无法立法规定。个人信息保护方面涉及行政监管的，可以由各地方立法予以补充和完善。

吴沈括表示，部分地方存在“数据山头主义”，希望把数据资源留在自己的辖区范围，这与“全国一盘棋”的思路相违背。个人信息保护必须坚持全国一盘棋，不能自行其是。个人信息保护法作为全国层面的一个顶层设计，地方立法必须遵循该法基本精神。

“徒法不足以自行。”许可认为，要保护好互联网时代的个人数据安全，在制定《个人信息保护法》的同时，还要注重技术、行业规范、市场竞争等因素，多方协同共治，这将是一个任重道远的过程。

吴沈括认为，在个人信息保护生态中，数字平台企业具有非常重要的角色和地位，要通过互联网生态的开放融合来实现更大范围、更高水平的个人信息保护。在这方面，既要按《个人信息保护法》规定对违法企业严格查处，也要对积极自律合规的企业予以鼓励和褒奖。

新京报记者 沙雪良

编辑 王景曦 校对 吴兴发