从未如此认真读过的法律，《中国人民共和国信息保护法》

2018年~2021年，在不少人经历了半夜起床发现智能音箱处于“唤醒录音状态”，为N个app、门禁和闸门贡献了自己的人脸与身份证数据，在某夕刚下单晒衣架就被某宝和某东推送晾晒三件套，被打车和外卖软件杀过熟，以及被小区强行要求刷脸进门的一系列“奇幻之旅”后……

这是我们第一次从头到尾、如此认真地阅读这一部中国法律。

8月20日，十三届全国人大常委会第三十次会议，最终表决通过了《中华人民共和国个人信息保护法》（下面简称《保护法》）。2021年11月1日起，这部法律将正式生效。

这不仅仅是中国在个人信息保护方面的里程碑事件，也是一个与时俱进的，紧跟时代与地理特点、技术和思想发展脚步的法律范本。

《保护法》就用了大篇幅，“圈”出了消费者需要重点关注的部分，很多条例都是站在普通人这一边，在努力保护个人隐私权益。

譬如，在《保护法》未颁布前，所有相关文件对“需要保护的个人信息”定义非常模糊，这会给很多数据采集者可乘之机，因为“个人信息”这个概念实在太大了。

而第28条，就对个人敏感信息做出了明确定义——生物识别、宗教信仰、特定身份、医疗健康以及金融账户和行踪轨迹，都隶属于不得侵犯和非法使用范围内。

条例还特别提到了对14岁以下未成年人实行更为严苛的信息保护，这体现了立法者对未成年人的关注。

此外，第69条，也蕴含了值得推敲的信息——在一起涉及个人信息侵权的纠纷中，如果数据处理者（通常为被告）不能证明自己没过错，那么，就必须承担责任。

“这便是过错推定原则。当你的个人信息权益受到侵害时，在信息处理者不能证明其没有过错的情况下，就会被推定有过错，应承担赔偿损害责任。这对处理信息的一方是不利的。”

《保护法》第70条，正式将个人信息保护列入了公益诉讼的范围。这很有意义。

以前如果个人去提起“个人信息被滥用”的诉讼，时间和金钱成本很高，很多事情总是不了了之。而现在引入了公益诉讼机制，个人在其权利受损后就应当勇敢发声。

当这些信息被汇总后，相关组织经过判断并掌握一定证据后，就有权去发起诉讼。这就相当于给很多愿意通过法律渠道来维护个人信息权益的人，开辟了一个相对便捷的通道。

个人数据收集乱象，该结束了

从很多人的经历来看，我们心里很清楚，一方面，其实不可避免很多个人数据已被拿走，譬如人脸特征和身份证信息等等；另一方面，我们仍然在不知不觉被很多APP实时收集个人网络行踪数据。

前者，重点是要放在对数据滥用行为的打击上；后者，则涉及到对数据采集的规范。

而这部法律的一个特点，就是从存在数据滥用现象的“商业公司”端入手，对他们未来的数据采集方法进行严格约束与监控。

举个例子，我们都会在不知不觉中允许手机和app打开我们的麦克风和摄像头，或者默许app收集自己的定位和信息浏览踪迹。这才会出现越来越多的可疑数据偷窃痕迹：

在某夕下单，某宝可能会立刻“惊觉”你的行为，马上推送并给予优惠券；家里智能音箱播放一首歌，手机上的音乐app竟然会很快推荐同一首歌，同样的情况屡次发生；在机场的唱吧里唱歌，回家后某品牌智能音箱竟然能够推荐大量相同的歌曲……

这里面一定涉及到企业对我们个人行踪信息“无孔不入”的采集策略。

2021年5月，苹果公司上线了针对手机用户的隐私保护策略——更新iOS 14.5后，你会发现其中新增了“App跟踪透明度”功能。每打开一个app，它会提示你“是否同意追踪”。只有用户主动授权，App才能收集属于你在这个设备上的活动数据，也叫做“获取你的IDFA”。

你可以把IDFA看做一个记录了用户网络行为习惯的手机ID：你每天用了哪些app，搜索了什么，浏览了什么网页，都在IDFA里，而app开发者以前是可以读取IDFA的。

这也是为何，我今天在百度上搜索了“网盾安全学院”相关内容，知乎竟然在当天给我推送了关于网盾安全学院的提问，而我此前从未在知乎上搜索过相关内容。

苹果手机“设置”里对跟踪功能的说明，追踪app使用信息，以便精准投放广告

实际上，直到苹果在上线这个功能之后，很多人才惊觉，原来“各个app以前几乎像是打通的，共享我们很多个人行为信息”。

所以，我们才是商场展示橱窗里的那个商品，而很多app背后的企业才是站在橱窗前“欣赏”你各种行为，利用你的网络踪迹来赚取大量广告费用的赢家。

《保护法》的第14~17条，以及第44条（下图）。商业公司对个人信息的采集与处理，必须详细告知用户处理目的和保存期限。而用户对自己的个人信息应用状态，从头到尾都必须享有知情权和决定权。

几年前，甚至在今天，大家在用一些app时会出现这样一种情况：你如果不打开某种权限，那么app就无法继续正常使用，所以不得不点击“同意”。而这种做法，从11月1日起，都是违法的，你有权对这些要求说“不”。

“很多公司滥用优势地位，把需要用到的、用不到的信息全部收集起来，试图把包括声音、脸、虹膜等生物信息，以及个人定位、偏好习惯都统统拿走，而现在包括第6条也明确指出，收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息。”

当然，除了手机，还有一个过去两年大家讨论最多的个人隐私保护争议点，就在于“人脸识别”。

从银行与各类支付程序，再到小区和便利店，甚至是之前闹的沸沸扬扬的“戴头盔看房”事件，人脸识别作为一种身份鉴定手段，过去两年来，在越来越多的地方不仅被强制采集，甚至在采集后还被非法出售和滥用。

“之前看到一些案例，有些饭店或商场在安装摄像头后录入了大量用户面部特征，之后又对这些面部数据做了非法交易。除了能获取人脸信息，很多地方其实还能同时获取登记的家庭地址和电话，综合使用这些数据，危害极大。

因此，重点是在‘防滥用’。

所以，法律规定除了公共安全目的，第26条规定在公共场所采集的个人信息，除维护公共安全目的之外，不得用于其他目的，当然，取得个人单独同意属于例外情形。”

但是，上面提到的“戴头盔看房”，是一个特殊案例。

这在某种程度上不仅是一种偏离了公共安全目的的侵权，其实也是一种“杀熟”。

而外卖app的“会员加价”，打车app老客户页面相同路段显示的车费更高，某宝上同一件衣服老客户页面价格更高……早已屡见不鲜，也都是我们常说的“大数据杀熟”现象。

但是，现在我们终于有了对付“大数据杀熟”的法律武器。《保护法》第24条对此有了明确规定：

“这一条紧贴当下现实情况。这是从法律角度，明确禁止了涉及‘大数据杀熟’的所有行为，再加上相应的处罚手段，是对以后类似不公平商业营销的一种有效遏制。”

监管严，处罚重

如果说法律对信息采集端的约束是一种“警告”，那么强有力的监管过程与处罚措施，才是对商业公司停止滥用数据最有效的威慑。

《保护法》明确提到，对企业进行监督的一方，必须是来自外部的第三方机构，这某种程度也体现了一种公信力。

但是，落实到具体执行，譬如机构到底由哪些成员组成，它的权限有哪些，需要审查到多深的程度，都是需要在未来做进一步明确。

《保护法》的进步和国家决心，也体现在对惩罚金额的措辞上”。以前，很多法律条款的罚款金额都是明确的，但在《保护法》里，出现了一个百分比——

“情节严重的，没收违法所得，并处于5000万以下，或者上一年度营业额5%以下的罚款。”

对于很多巨头公司来说，5000万并不是一个大数字。但是营业额的5%，按照阿里2020财年5057亿元的营收，5%就是254亿。他认为，这的确是一种进步，大大增加了对很多过度收集和滥用数据企业的威慑力，因为付出的代价很大。

“有了明确采集规定和滥用处罚条例，很多企业就不得不按照透明原则公布自己的追踪细则。

即便是现在，很多偷数据和滥用数据的现象你只是在怀疑，感觉‘模棱两可’没有证据，但一旦有人知道了内幕，或者员工爆料，或者竞争对手有了感知，外加对个人用户更友好的‘举证责任倒置’以及公益诉讼，那么他们就会认识到，如果违法，最终一定会付出相应的代价。”

最后

其实保护个人隐私信息，防止信息被泄露和滥用的方法，远远不止非要“法律约束”来解决。

譬如在企业软件安全市场，“隐私计算”已经成为一种很受欢迎的数据安全保护技术；越来越多的普法大V出现在B站等社交平台上；而这一代年轻人的思想觉醒和对自我隐私保护的重视，似乎有了高于“对便捷性过度依赖”的迹象……

以上，都是普通人防范被企业与网络犯罪者继续挖坑的重要路径。

当然，未来很多具体案例在审理和执行中，也会因为现实复杂条件的干预产生更多变数。甚至可能会出现千奇百怪的，不符合上述任何法律条例的奇葩案例。如上面所说，这部法律并非没有持续修正的空间。

但是，这部个人信息保护法的尘埃落定，将会是人工智能与大数据时代人人变得愈加赤裸状态下，我们维护个人数据权益的第一块盾牌。

所以，“反杀熟”，“反泄露”，“反滥用”，你准备好了吗？