个人信息保护：大数据时代，中国方案｜澎湃社论

       这是以立法的形式引导方兴未艾的“大数据”向上向善

千呼万唤始出来，终于等来了《个人信息保护法》。

中国在《电子商务法》《网络安全法》《数据安全法》之后，又出台了一部重要互联网法律，而且这是与民生联系最紧密的法律。《个人信息保护法》在大数据时代，在互联网成为基础设施的当下，为个人信息，乃至为我们的“脸”上了一把安全锁。

中国的互联网发展实现了“弯道超车”，发达的互联网+、大数据应用，远远走到了传统法律的规范前头，也走到了全世界的前头。这意味着，中国的个人信息保护立法要走中国自己的道路，解决中国当下的问题，提供“中国式”解决方案，做到个人信息保护和信息化发展双赢。

10多年前，《个人信息保护法》被提上议事日程时，大家关注的是个人信息被贩卖、骚扰电话，而当下人脸识别、“大数据杀熟”、公民个人信息跨界流动等新型问题，横空出世，亟待法律予以规范、调整。

当下这部《个人信息保护法》在信息化发展的高速路口及时树立了路标，明确了信息产业未来的发展方向。

首先，法律明确，处理生物识别、医疗健康、金融账户、行踪轨迹等敏感个人信息，应取得个人的“单独同意”。这意味着商家如果要想动公众的“脸”，触动公众的“钱包”，需要取得单独性的许可，而不是把授权打包在冗长的文件当中，搞“爱用不用，不用不行”的信息勒索。这种“单独同意”也是给消费者提了一个醒——商家要用你的“脸”了，避免“脸”被拿走了还不知晓，以立法的形式绷紧了保护公民生物信息的敏感神经。

其次，法律明确禁止“大数据杀熟”，信息处理者利用个人信息进行自动化决策，不得对个人在交易价格等交易条件上实行不合理的差别待遇。这是以立法的形式引导方兴未艾的“大数据”向上向善，避免在大数据博弈中，个体沦为商家面前“小透明”的尴尬局面。

第三，对于日益广泛被应用的“刷脸”，法律也作出“事前提醒”+限制使用目的的规范：在公共场所安装图像采集、个人身份识别设备，应设置显著的提示标识；所收集的个人图像、身份识别信息只能用于维护公共安全的目的。

第四，《个人信息安全法》还明确了“合规审计”机制，个人信息处理不再被藏在所谓算法的“黑箱”里面，而是要接受可验证的审计。职能部门发现个人信息处理活动存在较大风险或者发生个人信息安全事件的，可以对企业和负责人进行约谈，或者要求其委托专业机构对其个人信息处理活动进行合规审计。

公民个人的信息终于有了专门的立法保护，这具有里程碑的意义，既是对公民个人权利的完善，也是中国在为世界提供个人信息保护解决方案。

编辑｜沈彬

排版｜甘琼芳

澎湃评论独家稿件，未经授权不得转载

推荐阅读

点击下方名片，关注我们