第一章 总则

第一条 【立法目的】[1]

【条文主旨】

本条是关于本法立法目的的规定。

【条文理解】

本条阐述了个人信息保护法的立法目的，包括三个方面：保护权益、规范活动、促进利用，建立了我国个人信息保护工作的根本原则和框架。

一、保护个人信息权益

作为一部以“个人信息保护”命名的个人信息领域基础性法律，保护个人信息的相关权益是应有之义，且应当成为本法制定的首要目的。

截至2021年6月，中国网民规模达10.11亿人，手机网民规模为10.07亿人，网民中使用手机上网的比例为99.6%，中国市场上监测到的App数量为302万款。[2]大量的个人信息被“生产”并进入到互联网空间的每一个角落，其上蕴含着无尽的价值，能够与人工智能技术相结合释放出巨大的能量，这也使得个人信息成为数字时代宝贵的资源之一。我们在日常生活中可以发现，一些企业、机构甚至个人从商业利益等出发，任意收集、违法获取、过度使用、非法买卖个人信息，为电信诈骗、“大数据杀熟”、“垃圾短信轰炸”等人民群众深恶痛绝的违法犯罪活动提供了温床，严重侵扰了人民群众的生活安宁，危害人民群众生命健康和财产安全。但是，从实践情况来看，作为重要个人信息主体的自然人在整个个人信息处理活动链条中却处于最弱势的地位，他们面临的个人信息处理者多为具有强大人力、物力、财力以及技术能力的平台企业或超大平台企业（当然，除平台等商业型个人信息处理者外的其他类型个人信息处理者也可能会对自然人形成悬殊的优势），不平等的地位使得个人在个人信息处理活动中极易受到侵害却又难以反抗和寻求救济，个人信息保护已成为广大人民群众最关心、最直接、最现实的利益问题之一。如果不能有效保护个人信息，必将会对公民的基本权益、产业健康发展以及社会和谐稳定产生巨大损害。

为及时回应广大人民群众的呼声，贯彻落实党中央要求和部署，我国法治工作者倾尽心血，历时近18年[3]起草酝酿，历经三次审议，终于在2021年8月20日，经第十三届全国人民代表大会常务委员会第三十次会议通过并正式发布《中华人民共和国个人信息保护法》，奠定了我国个人信息保护领域的基本法，为个人信息权益的保障提供了坚强有力支撑。

值得注意的是，在表述上本法使用的是“权益”而非“权利”，可见个人信息确权尚需更多的讨论。个人信息确权涉及的是数据确权问题，有些理论将数据确权置于现有的制度框架中，如物权法、合同法、知识产权法、竞争法、个人信息保护法；有些理论则为其创设了新的权利类型，如数据权等。但是，上述理论都存在较大争议，其确权的利弊都十分突出，世界范围内也缺乏相关法律对数据权利归属作出合理且准确的界定。为了协调自然人的个人信息保护与信息的自由流动与利用的关系，当前理论与实务界倾向于根据对象所体现的价值给予不同属性的权益保护与规范，例如我国民法典即未规定个人信息权，而是使用了“个人信息保护”的表述。[4]

总体来看，数据上承载着相关主体的财产性权益与人格性权益，其财产性权益首先体现并最为凸显，相关数据持有者可以基于数据的控制程度实现占有、使用、收益、处分等类似所有权的权能。由于数据可以被无限复制、无限共享，数据的流通和使用也不会减少其价值，这使得数据权益的关注点不再局限于数据的实际控制和占有，而扩展至数据的流通与使用。漫长的数据处理链条产生了较多的参与主体，且大数据环境下数据主体认定的难度更大。与传统的“自采自用”不同，数据交易、共享等流通更加活跃，其中涉及的主体复杂多样，许多主体都为之付出了劳动，并使数据的价值不断释放，带来更多效益，数据最初创造者的价值和作用被弱化。不同的主体对数据所付出的劳动强度不同、类型不同、成本不同、影响力不同、创新能力不同，在划分权属时其诉求自然也随之不同，如何兼顾各方主体合法利益、如何平衡个人信息权利保护与产业发展等问题都给数据确权带来了很大的阻力，需要在未来的发展中不断完善。

二、规范个人信息处理活动

本法重点规范的是行为，即个人信息处理活动。根据本法第四条第二款规定，个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。该界定采用了“列举+兜底”的立法技术，将目前已知且常见的个人信息处理行为予以了法律上的确认，同时通过“包括”“等”定义方式为将来进一步通过司法或行政解释的方式予以补充和完善预留了空间。

本法采用了以行为规制为代表的“实质主义”范式，着重突出行为约束法的法律特征。[5]行为规制着眼于对个人信息处理的行为予以有效规范，放弃争议不休的数据确权，搁置产权争议，从国际数据主权、国家安全、产业发展、公民利益等角度出发，建构我国个人信息保护与发展利用的行为准则。通过行为规制，所有涉及个人信息处理活动的主体均需要满足或者履行本法规定的义务，适用主体的范围就变得灵活且广泛，不再需要通过文字予以列举，避免了专门解释和划定主体所可能面临的立法空白。同时，本条与第三条相互衔接，对本法的域外适用提供了依据，与数据安全法相类似，在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动，存在以下情形的，亦需履行中国法下的个人信息保护义务，包括：（1）以向境内自然人提供产品或者服务为目的；（2）分析、评估境内自然人的行为；（3）法律行政法规规定的其他情形。这一规定为跨国企业面向中国提供服务、在境外开展个人信息处理活动提供了管辖连接点。

三、促进个人信息合理利用

本法草案一审稿中将本条规定为“为了保护个人信息权益，规范个人信息处理活动，保障个人信息依法有序自由流动，促进个人信息合理利用，制定本法”。可以看出，“保障个人信息依法有序自由流动”最终被删去，仅保留了“促进个人信息合理利用”。因此从总体来看，本法还是更加倾向于对个人信息权益加以保护，对个人信息的流动加以限制，对个人信息的利用也较为谨慎，以避免出现个人信息滥用现象。正是基于这一考虑，本法在后面的条文中也作出多项规定以严格规范多种个人信息处理场景，如禁止“大数据杀熟”、规范人脸识别、处理敏感个人信息须单独同意等。

然而本法没有限制或者抑制个人信息的利用，而是要促进个人信息的合理利用，即在“保护个人信息权益，规范个人信息处理活动”的前提下促进个人信息的合理利用。从经济增长和产业发展的角度来看，互联网产业仍然是我国乃至世界经济增长的重要组成部分，人民的日常生活已经深深地与互联网相融合。因此，完全抑制或者完全放任互联网发展都不可取，通过法律与政策有效引导和规制互联网的发展，平衡个人信息保护与产业健康发展才是提升我国综合国力的有效路径。基于这一目的，本法第十三条规定不再将知情同意作为处理个人信息的唯一合法性基础，而是新增了一些场景，符合场景要求的个人信息处理活动不需要征得个人的同意，包括：为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需；为履行法定职责或者法定义务所必需；为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需；为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息；依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息；法律、行政法规规定的其他情形。“制定个人信息保护法是促进数字经济健康发展的重要举措。当前，以数据为新生产要素的数字经济蓬勃发展，数据的竞争已成为国际竞争的重要领域，而个人信息数据是大数据的核心和基础。党的十九大报告提出要建设网络强国、数字中国、智慧社会。按照这一要求，应当统筹个人信息保护与利用，通过立法建立权责明确、保护有效、利用规范的制度规则，在保障个人信息权益的基础上，促进信息数据依法合理有效利用，推动数字经济持续健康发展。”[6]简言之，平衡个人信息保护与数字经济创新发展应当是个人信息保护法立法考虑的重要因素。

四、以宪法为依据

相较于草案二审稿，本条增加了“根据宪法”，将个人信息权益提升至更高高度，与宪法第三十三条（“……国家尊重和保障人权……”）、第三十八条（“中华人民共和国公民的人格尊严不受侵犯……”）、第四十条（“中华人民共和国公民的通信自由和通信秘密受法律的保护……”）相衔接。在2021年8月13日全国人大常委会法制工作委员会举行的记者会上，发言人指出：“我国宪法规定，国家尊重和保障人权，公民的人格尊严不受侵犯，公民的通信自由和通信秘密受法律保护。制定实施本法对于保障公民的人格尊严和其他权益具有重要意义。”[7]

由于个人信息保护法是在民法典制定之后而出台，因而在此前的立法过程中有人认为个人信息保护法是民法典的实施法，“根据宪法”的规定能够使得人身自由、人格尊严和通信秘密与通信自由等公民的权利进一步落实到对个人信息的保护当中，使个人信息保护法不局限于民法范畴，避免个人信息保护权的私法化，通过纳入公权力手段和综合公法层面的法律关系调整，制衡个人信息处理者，同时发挥统筹作用，平衡个人信息和个人利益、社会利益和公共利益，促进个人信息保护与数据产业发展。

【适用指南】

企业开展业务活动时，应严守底线和红线，梳理并评估自身所开展业务属于个人信息产业链条的哪一环节，是否属于个人信息处理活动，如果属于个人信息处理活动，则应严格按照本法及其他相关规定履行义务，主动合规，以保障个人信息权益为首要出发点和落脚点，规范自身的个人信息处理活动，探索合理完善的个人信息利用手段。

【相关规定】

《中华人民共和国民法典》第一千零三十五条、第一千零三十六条；《中华人民共和国宪法》第三十三条、第三十八条、第四十条。