中国信息通信研究院互联网法律研究中心是中国信息通信研究院设立的专业法律研究机构。中心挂靠中国信息通信研究院政策与经济研究所，秉承中国信息通信研究院“国家高端专业智库、产业创新发展平台”的宗旨，主要围绕电信互联网产业发展的法律和政策问题进行深入研究，为政府提供高质量的法律研究支撑，与行业共建有成效的沟通交流平台。

中国信息通信研究院互联网法律研究中心团队建自2000年，中心充分发挥研究院和政经所专业融合优势，在信息通信法律法规、数据安全和个人信息保护、市场开放和体制改革等方面开展基础性和前瞻性研究，并为相关政府部门提供了有力的立法和政策建议。中心密切关注国内外、产业界的重大战略、政策和发展实践，结合行业特点和国际趋势，研究信息通信业的法律问题。中心致力于构建政府、行业、企业沟通协作与研究探讨的平台，同国际组织、国内外学术团体和企业开展深入的交流与合作。

我国《个人信息保护法》的出台，从起草到颁布，都有中国信息通信研究院互联网法律研究中心团队的一份力量和贡献。本书由中国信息通信研究院互联网法律研究中心对我国新颁布的《个人信息保护法》立法背景进行全面梳理编著而成，阐述了我国《个人信息保护法》条文背后的法理与逻辑。全书以专题形式展开，结合实践案例，是广大个人信息研究人员深入理解《个人信息保护法》的有益资料。

第一篇 

导论：个人信息保护的缘起

随着信息化与经济社会持续深度融合，网络已成为生产生活的新空间、经济发展的新引擎、交流合作的新纽带。据报道，截至2021年1月，全球手机用户数量为52.2亿，互联网用户数量为46.6亿。中国互联网络信息中心发布的第48次《中国互联网络发展状况统计报告》显示，截至2021年6月，我国网民规模为10.11亿，较2020年12月增长了2175万，互联网普及率达71.6%，形成了全球最为庞大、生机勃勃的数字社会。互联网的发展改变了人们的生活方式，个人信息保护问题凸显。本篇将厘清个人信息的概念与内涵，溯源个人信息的发展与个人信息保护的制度发展历程，探究个人信息保护的现实与法治需求。

专题一　什么是个人信息？

个人信息并非互联网时代的新事物，随着人工智能、大数据等信息技术的发展，个人信息被规模化开发利用导致了矛盾的产生和激化，对个人、社会乃至国家安全都产生了威胁，从而突出了个人信息保护问题。首先，本专题探析个人信息的内涵，包括其发展历程、定义方式、形式要素、个人信息的分类以及法人、胎儿、死者等特殊主体的个人信息问题。其次，厘清个人信息与个人数据、隐私、私密信息等概念的联系与区别。最后，讨论学界和实务界有关“个人信息权”的误解以及“个人信息受保护权”的引入。

案例引入

“微信读书”App在未经用户有效同意的情况下获取用户的微信好友关系，为其自动关注微信好友，并向共同使用微信读书的微信好友默认开放其读书信息。其中涉及的微信好友列表是否属于个人信息？

用户在其手机通讯录中除本人外没有任何联系人的情况下，注册登录抖音App，在“关注”列表中发现大量好友被推荐为“可能认识的人”，大部分是其微信好友，还有多年未联系的朋友等。手机通讯录是否属于个人信息？

一、个人信息的内涵是什么？

个人信息经历了漫长的发展过程，在该过程中其定义方式、构成要素、具体类型等逐渐明晰。从法律视角看，个人信息基于其内涵，主要有“隐私说”“关联说”“识别说”三种定义模式。从构成要素上看，个人信息的构成要素分为实质要素和形式要素。从个人信息类型上看，基于不同的标准又可以将其分为法律规定中的具体分类和学理研究中的抽象分类。

（一）个人信息是如何发展的？

个人信息并非当代产生的新事物，个人记录如人类文明本身一样古老，只是之前个人信息的概念尚未明确。为何直到20世纪60年代，个人信息保护才成为备受西方发达国家关注的个人和社会问题呢？可以说，认清个人信息保护问题产生的原因，是界定个人信息的本质、属性和价值，构建合理、适当、高效的个人信息保护制度的前提。纵观人类的发展史，个人信息的记录、保存、使用和流转都发生了巨大的变化。例如，从个人信息的流转上看，其大致经历了三个阶段：农业社会中面对面“短距离”的直接信息传递、工业社会中纸面“长距离”的信息转移以及信息社会中数字化“无距离”的信息流转。

在农业时代，人与人之间主要是通过当面的接触直接传递信息，具体而言，就是可以通过语言、行动和文字传递自己的想法、感受和喜好。这种当面的直接信息传递呈现如下特点：（1）信息数量和流转方式具有有限性；（2）个人对信息及其传递具有较强的控制力；（3）个人信息的功能中基本不具备管理和商业用途。此外，通过符号和文字记录个人信息，个人信息记录活动也逐步由分散走向系统化。例如早期中国宗族体系的家谱、西方宗教制度的教会记录以及封建社会赋税和人口管理制度对家庭和个人信息的依赖等。

工业社会中，随着电话等通信技术的普及，非当面的信息传递兴起。政府机关为了管理和执行繁重的公共事务，通过人口普查、信息登记和审批等方式越来越多地记录、保存和使用越来越精细的个人信息。企业为了更有效地推广产品和服务，也开始发掘个人信息的商业价值。该阶段的个人信息传递具有如下特点：（1）个人信息主要通过纸张等物质性的媒介保存和散播，信息的数量和流转范围仍然有限；（2）政府和企业主要在同个人的管理和服务关系中直接收集和使用个人信息，公众仍知晓具体的机构收集和使用个人信息的方式；（3）公众仍能够参与到信息流转过程中，对自己的信息具有较强的控制力。

自20世纪中叶以来，随着计算机和通信等信息技术的飞速发展，人类逐步迈入信息社会。政府和企业大量收集个人信息，设立众多个人信息库，创建有关个人各方面情况的电子档案，并以之为据规划和管理与个人之间的业务。随着信息处理的专业化，个人信息持有者与个人之间往往并不存在直接的交往或交易关系，数字化的个人信息流转具有如下特点：（1）从数量上看，公私机构能够收集并无限期保存大量的个人信息。（2）从质量上看，信息关涉个人生活的方方面面。信息的量和质足以描绘出个人特征，公私机构也可以在管理和业务关系中以信息为依据作出针对个人的决定。（3）个人同信息使用者之间的关系淡化，个人被置于信息流转过程之外，对信息及其流转缺乏必要、合理、适当的控制。（4）个人同公私机构之间在信息流转关系上出现严重的力量失衡，公私机构掌控了个人信息及其流转的全过程。

总之，随着人类社会政治、经济和文化的全面进步，在科技的推动下，个人信息的流转方式由面对面的直接传递演化为数字化的间接流转。个人信息的流转越来越便捷和规模化，个人信息的管理效用与商业价值不断增长，公私机构也收集、使用和散播更多、更细致、更全面的个人信息。个人信息被规模化的开发利用导致冲突产生和激化，从而产生了个人信息保护问题。

第一篇 导论：个人信息保护的缘起

专题一　什么是个人信息？

一、个人信息的内涵是什么？

二、如何区分与个人信息相关的各类概念？

三、学界和实务界有关“个人信息权”的误解

四、“个人信息受保护权”的引入

专题二　为什么要保护个人信息？

一、现实需求：信息技术发展及其应用的迫切需要

二、法治需求：实现人民利益的《个人信息保护法》

专题三　个人信息保护制度的渊源在何方？

一、早期探索：美欧的两种模式

二、制度成型：个人信息保护制度发展出了哪些内容？

第二篇 共治：由谁保护个人信息？

专题一　政府层面——成立个人信息保护机构

一、以欧盟为例的统一行政监管模式

二、以美国为例的分散监管模式

三、我国选择统筹协调加分行业监管模式

专题二　行业层面——形成行业自律规范

一、行业自律的动机与原因

二、行业自律的类型与模式

三、行业自律的优势及局限性

四、行业自律实践

专题三　个人层面——自发开展私力救济

一、《民法典》规定“自然人的个人信息受法律保护”

二、归责方式的偏向保护

三、程序上的偏向保护

四、损害的证明及赔偿数额计算方式

专题四　群体性纠纷的司法解决路径

一、集体诉讼的起源

二、集体诉讼的概念和特征

三、集体诉讼与传统诉讼理论的冲突与衡平

四、集体诉讼适用要件及救济制度

五、我国代表人诉讼制度及其与集体诉讼的区别

六、我国《个人信息保护法》中的公益诉讼制度

七、我国个人信息保护群体性纠纷解决制度尚待改进的几点

第三篇 利用：如何使用个人信息？

专题一　个人信息处理原则

一、“处理”的内涵

二、个人信息处理原则的国际探索

三、个人信息处理原则的具体规定

专题二　知情同意——主要合法性基础

一、知情同意规则的起源

二、知情同意规则现在还适用吗？

三、知情同意规则的具体细节

专题三　个人信息处理的其他合法性基础

一、其他合法性基础有哪些？

二、我国《个人信息保护法》对其他合法性基础的规定

专题四　个人信息跨境流动

一、个人信息跨境流动的内涵

二、个人信息跨境流动规则

三、个人信息跨境流动的发展趋势

四、我国个人信息跨境流动之路

第四篇 强化：个人信息有哪些特殊保护规则？

专题一　敏感个人信息的保护规则

一、敏感个人信息的内涵

二、敏感个人信息区分保护的必要性与可行性

三、敏感个人信息的特殊保护规则——以生物识别信息为例

专题二　国家机关处理个人信息规则

一、个人信息处理主体的划分

二、我国关于国家机关处理个人信息的规则建构

专题三　未成年人个人信息保护规则

一、未成年人个人信息保护的制度背景与相关概念

二、未成年人个人信息保护的域外观察与核心规则

三、我国对未成年人个人信息的保护现状

专题四　利用个人信息进行自动化决策

一、自动化决策的概念厘清

二、自动化决策引发的个人信息安全风险分析

三、关于自动化决策的立法规定

四、自动化决策规制的核心问题

第五篇 保障：如何保护个人信息？

专题一　从“登记注册制”转向“问责制”

一、登记注册制——一种事前监管的手段

二、问责制——对产业发展更友好的事中和事后监管手段

专题二　基础性保护要求：安全保障原则

一、安全保障原则的内涵

二、技术性安全保障措施

三、组织性安全保障措施

专题三　事前的数据保护影响评估制度

一、隐私影响评估（PIA）的兴起

二、数据保护影响评估制度的理论基础和主要内容

三、如何适用数据保护影响评估制度？

四、DPIA制度对我国的启示

专题四　事后的数据泄露通知制度

一、数据泄露通知制度的内涵及法理基础

二、欧盟数据泄露通知制度

三、美国数据泄露通知制度

四、我国个人信息泄露通知制度

专题五　设计和默认的数据保护

一、设计和默认的方式进行数据保护理念的内涵

二、八项基本原则

三、我国的个人信息安全工程

四、合规建议：八项隐私设计策略（Privacy Design Strategies）

附录：解读《个人信息保护法》30问

问题1：《个人信息保护法》的立法目的和立法依据是什么？

问题2：《个人信息保护法》的保护对象和管辖原则是什么？

问题3：如何界定个人信息？

问题4：《个人信息保护法》为什么采用“个人信息处理者”的表述？

问题5：《个人信息保护法》规定了哪些个人信息保护基本原则？

问题6：处理个人信息有哪些合法性基础？

问题7：《个人信息保护法》对同意有什么要求？哪些情形下需要单独同意？

问题8：个人是否可以撤回同意？

问题9：《个人信息保护法》规定了哪些告知个人的要求？

问题10：如何理解《个人信息保护法》规定的共同处理情形？

问题11：如何理解《个人信息保护法》规定的个人信息委托处理情形？

问题12：《个人信息保护法》对通过自动化决策方式处理个人信息的行为作出了哪些限制性要求？

问题13：《个人信息保护法》对于个人信息公开以及处理已公开个人信息作出了哪些规定？

问题14：《个人信息保护法》对公共场所安装图像采集、个人身份识别设备有哪些限制性要求？

问题15：什么是敏感个人信息？

问题16：处理敏感个人信息有哪些特殊要求？

问题17：处理不满14周岁未成年人个人信息有哪些特殊要求？

问题18：《个人信息保护法》是否适用于国家机关的个人信息处理活动？

问题19：国家机关处理个人信息有哪些特殊要求？

问题20：个人在个人信息处理活动中享有哪些权利？

问题21：《个人信息保护法》对于死者的个人信息作了哪些规定？

问题22：个人信息处理者应当承担哪些个人信息安全保障义务？

问题23：哪些个人信息处理者应当设立个人信息保护负责人？

问题24：如何理解个人信息保护影响评估制度？

问题25：如何履行个人信息泄露通知义务？

问题26：《个人信息保护法》赋予大型互联网平台哪些特别义务？

问题27：履行个人信息保护职责的部门有哪些？

问题28：《个人信息保护法》规定了哪些法律责任？

问题29：提起个人信息保护公益诉讼有哪些要求？

问题30：个人信息去标识化和匿名化有什么区别？