近年來，新一輪科技革命和産業變革蓬勃發展，數字化、網絡化、智能化加速推進，個人信息處理活動多發、處理場景多元、處理類型多樣。加強個人信息保護早已成爲國際社會的普遍共識，過去一年，通過開展立法、執法以及司法活動，規範個人信息處理活動，防範個人信息濫用，已成爲各國網絡法治領域的重要著力點。

一、國內個人信息保護法治動態

（一）出台《個人信息保護法》，制定相關配套規定

個人信息作爲最有價值的數據類型，需要對個人信息處理規則以及個人信息權益保護問題進行專門性規定。特別是，隨著信息通信技術快速發展叠代，個人信息保護問題的複雜性、緊迫性、專業性進一步凸顯，有必要制定統一的個人信息保護立法。醞釀多年的《個人信息保護法》于2021年8月20日出台，成爲我國個人信息保護領域的基礎性立法。《個人信息保護法》將“保護個人信息權益”和“促進個人信息合理利用”作爲並行的立法目標，兼具私法保護及行政監管等多元保護模式，統合私主體和公權力機關的義務與責任，從國家層面對個人信息保護問題作出整體性制度安排。《個人信息保護法》的出台不僅昭示著我國的個人信息保護法治進程邁入全新階段，也彰顯著個人信息保護的中國特色和鮮明的創新精神。《個人信息保護法》在深入總結我國《網絡安全法》等法律、法規、標准的實施經驗的基礎上，進一步細化、完善個人信息保護應遵循的原則和個人信息處理規則，明確個人信息處理活動中的權利義務邊界，健全個人信息保護工作體制機制。此外，《個人信息保護法》在具體制度內容上也呈現了衆多亮點與創新點，包括禁止“大數據殺熟”規範自動化決策，將不滿十四周歲未成年人個人信息納入敏感個人信息範疇進行升級保護，賦予大型網絡平台守門人義務，新設個人信息可攜權，增強個人對個人信息移轉與再利用行爲的控制，明確近親屬對于死者個人信息行使權利的要求，規定高額罰款以及從業禁止等嚴厲的法律責任。

爲落實《個人信息保護法》相關要求，有關部門也先後發布了一些配套規定。2021年10月29日，國家互聯網信息辦公室發布《數據出境安全評估辦法（征求意見稿）》，全面和系統地提出了涵蓋個人信息的我國數據出境安全評估的具體要求。2021年11月14日，國家互聯網信息辦公室發布《網絡數據安全管理條例（征求意見稿）》，規範網絡數據處理活動，進一步細化了《個人信息保護法》有關制度規定。

（二）縱深推進APP個人信息保護治理工作

當前，我國APP在架數量和用戶規模持續擴大，已經成爲個人信息保護的關鍵領域。移動互聯網發展煥發新活力的同時，也帶來了一系列侵害用戶個人信息權益等問題。過去一年，我國縱深推進APP個人信息保護治理工作，切實維護用戶合法權益。

一方面，逐步完善APP個人信息保護相關法律法規建設，爲開展APP治理提供了可靠的法律保障。2021年3月12日，國家互聯網信息辦公室等四部門聯合印發《常見類型移動互聯網應用程序必要個人信息範圍規定》，明確39類APP必要個人信息範圍。與此同時，爲規範APP個人信息處理活動，工業和信息化部還會同相關部門起草制定了《移動互聯網應用程序個人信息保護管理暫行規定（征求意見稿）》，並于4月26日向社會公開征求意見。11月1日，工業和信息化部再次印發《關于開展信息通信服務感知提升行動的通知》，聚焦影響用戶感知的信息通信服務環節，要求相關企業建立已收集個人信息清單和與第三方共享個人信息清單，並在APP二級菜單中展示，方便用戶查詢。另一方面，聚焦人民群衆反映強烈、社會關注度高的APP侵害用戶權益行爲，深入開展專項整治行動。截止2021年10月，APP專項整治行動共開展19批，對4176款APP發出整改通知，公開通報1174款整改不到位的APP，下架309款仍存在問題的APP。其中，違規收集個人信息、強制頻繁過度索取權限、違規使用個人信息和定向推送問題最爲突出。檢測範圍覆蓋實用工具、教育學習、網上購物、即時通信、餐飲外賣、旅遊服務等39個應用類型。

（三）不斷提升個人信息司法保護力度

全國各級人民法院曆來重視個人信息保護工作，最高人民法院也通過司法解釋、典型案例、案件審判、加強對地方法院的審判指導等舉措，嚴懲各種侵犯個人信息的違法犯罪行爲。2021年7月28日，最高人民法院發布了《關于審理使用人臉識別技術處理個人信息相關民事案件適用法律若幹問題的規定》，從人格權和侵權責任角度，明確了濫用人臉識別技術處理人臉信息行爲的性質和責任，將線下門店在經營場所濫用人臉識別技術進行人臉辨識、人臉分析，違反單獨同意，或者強迫、變相強迫自然人同意處理其人臉信息等社會反映強烈的幾類行爲，界定爲侵害自然人人格權益的行爲。此外，檢察機關也在探索個人信息保護領域公益訴訟檢察工作，促進全方位的個人信息司法保護。2021年4月22日，最高人民檢察院發布檢察機關個人信息保護公益訴訟典型案例，涉及行政機關個人信息監管、政府信息公開、互聯網企業違法違規收集個人信息等方面。2021年8月21日，最高人民檢察院下發《關于貫徹執行個人信息保護法推進個人信息保護公益訴訟檢察工作的通知》，指出要深刻領會個人信息保護法設置公益訴訟條款的重要意義，進一步增強檢察履職的責任感和緊迫感，切實加大辦案力度，推動公益訴訟條款落地落實。

二、國際個人信息保護法治動態

（一）全球持續推進個人信息保護立法

數字經濟時代，制定個人信息保護法已經成爲國際社會通行做法。目前，發達經濟體已經全部出台個人信息保護相關立法，並且結合個人信息保護的新需求不斷修訂完善法律規定。美國統一的個人信息保護立法出台還有衆多需要協調的問題，但州層面的個人信息保護立法提速，2021年3月2日，弗吉尼亞州發布了《消費者數據保護法》；7月7日，科羅拉多州頒布了《隱私法》；此外，紐約州、明尼蘇達州、華盛頓州、俄克拉荷馬州、羅德島州、內華達州、阿拉斯加州等也都正在推進州層面隱私保護立法。2021年，澳大利亞提出了多項《隱私法》修正案，涉及疫情防控、消費、教育、信貸、衛生、國家安全、電信等衆多領域的個人信息保護問題。其中，《在線隱私保護法案》要求增強域外效力，強化“長臂管轄”，同時對隱私政策、個人信息的定義、刪除權的設置、兒童個人信息進行了制度設計。2021年2月1日，新加坡修訂後的《個人數據保護法》正式生效，擴大了個人信息處理的合法性基礎，引入了數據可攜義務，提高了罰款金額，並規定了強制性數據泄露通知義務。2021年9月28日，韓國迎來《個人信息保護法》頒布以來的首次全面修訂，修正案具有以下的亮點：引入個人信息可攜權及對自動化決策的拒絕權；設置彈性化的規則，防止知情同意制度僵化；整合信息通信領域的特殊規定，從二元化邁向一元化規制；建立移動型影像儀器處理個人信息的相關規則；實現個人信息跨境流動方式的多樣化；從以刑罰爲中心向轉變爲處罰爲中心。

與此同時，越來越多具備一定網絡基礎的發展中國家也開始積極制定個人信息保護法，並且取得顯著成效。發展中國家希望融入全球數字經濟發展浪潮以助力本國的經濟發展，就必須考慮如何解決在數字經濟中的個人信息保護的問題。過去一年，薩爾瓦多、烏幹達和白俄羅斯等國出台了個人信息保護法。

（二）加強對于個人信息保護的動態指導

個人信息保護具有跨行業、跨領域的特點，實踐管理中往往會發生動態變化，不同場景下個人信息保護的需求都存在差異。過去一年，各國監管機構不斷對個人信息保護法律規定進行動態化解釋和指導。

一是Cookies和其他追蹤程序對于個人信息的不當使用問題引發監管機構關注各國重視。Cookies和其他追蹤程序的發展，引發了其可能泄露或不正當使用個人信息的普遍擔憂，因而各國越發重視對cookies等追蹤程序的法律規制。早在2020年10月1日，法國國家信息與自由委員會（CNIL）發布《關于“Cookies和其他追蹤程序”的修訂指南及建議》，對Cookies和其他追蹤程序的監管做出了較爲全面的規定。2021年4月2日，CNIL發布《Cookies和其他追蹤程序的新規則：CNIL的支持和未來行動的評估》，指出當需要用戶做出選擇時，應將與追蹤程序相關的所有用途呈現給用戶，並且在與“全部接受”按鈕相同的級別和格式上集成“全部拒絕”按鈕，可以讓互聯網用戶有一個明確而簡單的選擇。

二是個人信息匿名化問題引發立法機構關切，防範匿名化數據被重新識別。部分國家補充完善相關規則的制訂，應對匿名化數據再識別風險。2021年3月，俄羅斯聯邦數字發展、通信和大衆傳媒部提出了《俄羅斯聯邦個人數據法》修正案草案，要求個人信息的匿名化處理只能在用戶同意或有其他法律規定的情況下進行。2021年4月，西班牙數據保護機構（AEPD）和歐盟數據保護主管機構（EDPS）聯合發布了《涉及與匿名化有關的10個誤解》，針對匿名化與假名化的區分、加密數據是否屬于匿名化技術、匿名化是否可以衡量等問題進行了闡述，爲相關各方提供指引。2021年5月，英國信息專員辦公室（ICO）發布了《匿名、假名和隱私增強技術指引》，圍繞匿名化應用的法律、政策和治理問題，以及如何在可識別性的背景下評估匿名化等內容進行規定。2021年9月，日本個人信息保護委員會（PPC）宣布更新關于《個人信息保護法‣指南的問答（Q&A）》，詳細解答了“假名化處理信息”與“匿名化處理信息”兩者之間的區別。

三是個人信息共享成爲立法關注重點，各國開始考慮降低中小企業參與成本。在現階段，絕大部分國家均已認識到個人信息共享過程中關于個人信息安全保護的價值，將個人信息共享作爲立法重點觀察領域之一。2021年5月，英國信息專員辦公室(ICO)制定的《數據共享行爲准則》已經提交給英國議會。但考慮到較小規模企業參與個人信息共享的難度較大，部分國家正在考慮放寬個人信息共享規則。2021年5月3日，澳大利亞財政部正在考慮更新個人信息共享規則，使得較小規模企業可以通過作爲已獲得分享認證企業的代理人或接受已獲得分享認證企業的“贊助”參與到個人信息共享過程之中。需要強調的是，這項規則的修改旨在“降低規模較小參與者和初創公司的認證成本，而不會降低該制度下的整體安全和個人信息保護水平”。

四是個人數字身份管理備受關注，各國出台相關規則規範防範個人信息安全風險。個人數字身份，是指通過數字化信息將個體可識別地刻畫出來，亦理解爲將真實的身份信息濃縮爲數字代碼形式的公/私鑰，以便對個人的實時行爲信息進行綁定、查詢和驗證。目前關于個人數字身份立法的完善，逐步成爲各國關注的焦點之一。2021年5月20日，印度唯一的身份認證機構UIDAI發布了新版《認證和離線驗證條例（草案）》（Aadhaar Authentication Regulations），並向公衆征求意見。該草案主要爲通過Aadhaar這一國家身份識別系統認證核實個人身份建立了一個框架。與2016版《認證和離線驗證條例》不同，該草案設置了新的認證模式，能夠有效應對在個人數字身份識別過程中個人信息泄露的風險，即使遭遇黑客攻擊，也能夠通過個人鎖定Aadhaar號碼的操作，規避損失的進一步擴大。此外，6月11日，澳大利亞數字轉型機構就《數字身份證擴展計劃》開始征求意見重點解決個人數字身份識別過程中的隱私保護問題，具體包括要求“身份提供者和憑證服務提供者在提供信息的目的完成後刪除個人生物識別信息”等要求。

（三）各國司法機關不斷豐富裁判規則

一是如何處理死者個人信息已有判例可循，死者個人信息可作爲“數字遺産”轉移給死者親屬持有。當自然人死亡、民事主體的資格消滅，遺留在互聯網中涉及自己的數據或者自己存放在雲空間中的信息資料、存放在網絡賬戶中的數字資産、信用賬戶，應當如何處理？數字遺産的處理問題也被越來越多地關注。2021年2月10日，意大利米蘭地區一家法院裁定，美國蘋果公司應向一名車禍遇難者父母提供死者手機中存儲的資料。這是意大利首次作出此類判決。在訴諸法院前，死者父母曾要求蘋果公司提供資料，但遭拒絕。蘋果公司稱，向死者父母提供手機資料會形成“先例”，最終損害蘋果公司設備的安全性。意大利法官在判決中說，蘋果公司這一主張“完全非法”。

二是Facebook同意支付6.5億和解金以結束史上最大規模隱私侵權集體訴訟，法院判定用戶無需證明自身受到實質損害。2021年2月26日，美國聯邦法院正式批准通過Facebook侵犯用戶隱私案的和解協議。長達6年的審理過程中，Facebook一直試圖中止訴訟，曾辯稱用戶缺乏起訴資格，因爲他們沒有因所謂的違規行爲而受到“具體傷害”，比如金錢損失。但申辯的理由都被法官駁回，法官認爲失去對個人隱私的控制權即是一種現實的傷害，因而用戶無需額外證明自身受到實質損害。這一立場充分體現了美國法院對互聯網用戶個人信息保護的標准不斷提升。

來源：信通院互聯網法律研究中心