个保法一周年丨专访石佳友：尽快细化标准以促进可携带权落地

21世纪经济报道见习记者 钟雨欣 郑雪 北京报道

编者按：

伴随着数字经济发展，对个人信息的采集和利用成为一种“刚需”。个人信息保护不断涌现出新问题，随意收集、违法获取、过度使用、非法买卖个人信息等情况“野火烧不尽”。数据的挖掘利用与个人信息保护之间张力扩大，急需专门法律对个人信息处理活动提供规范样本。

2021年11月1日，《个人信息保护法》正式施行，转眼间即将实施一周年。南财合规科技研究院长期关注个人信息保护议题，持续跟踪报道立法进程、监管动态，反映公众呼声。借此机会，将推出“南财个人信息保护月”系列活动，探讨《个人信息保护法》实施以来的落实情况以及对企业带来的影响。将围绕“守门人”条款的落实、用户个人信息权益的实现、数字广告行业的变革、数字经济发展与合规的平衡等多个维度推出20余篇系列稿件，刊出个人信息保护特刊，并且举办线下高峰论坛。

法律的生命力在于实施，在完成立法后，《个人信息保护法》需司法和执法接力，也需要企业恪守法律要求。我们希望能借助媒体的力量，持续追踪问效，推动个人信息权益的保障，提升全社会个人信息保护的水位线。

2021年8月20日，我国《个人信息保护法》（下称《个保法》）正式颁布，并于同年11月1日起施行。为数字时代的个人信息保护上了一把安全“锁”，具有里程碑式的意义。中国人民大学法学院教授、民商事法律科学研究中心执行主任石佳友见证并组织参与了个人信息保护立法的论证研讨工作。在他看来，《个保法》实施近一年以来，个人信息保护的观念更深入人心，但相关配套措施亟需完善。

（中国人民大学法学院教授、民商事法律科学研究中心执行主任石佳友｜受访者供图）

《个保法》首次明确了数据可携带权，作为早期呼吁立法明确数据可携带权的专家，石佳友认为赋予个人可携带权具有重要意义，能够保障个人信息自决权，承认信息本身的价值，促进信息流通与共享。

他认为，目前法律对可携带权仅作了原则性规定，未来监管部门仍需出台具体细化的标准规范。企业作为个人信息处理者，可以在实践中先行先试，提高前瞻意识，将被动配合转变为主动合规。

携号转网、健康码互认都涉及数据可携带权

21世纪：《个保法》明确了数据可携带权，可携带权的内涵和外延有哪些？如何判定其权利性质？

石佳友：个人信息可携带权是在三审稿中新增的规定，内容包括数据主体获取个人信息副本权，以及请求数据控制者直接将与数据主体有关的个人信息传输给另一数据控制者的权利。有利于促进信息流通与共享，打破数据垄断。

与查阅、复制、更正、删除等权利相比，可携带权的复杂程度更高，因为涉及到第三方，且有一定的限制，信息转移需要符合国家网信部门规定条件，各平台间转移数据的互通性、互操作性也是需要考虑的问题。

21世纪：《个保法》颁布以来，对于数据可携带权适用的数据范围、数据传输形式、数据安全风险和平台数据兼容性等问题仍存在一定争议。对此您如何看？

石佳友：其实在早期我就曾呼吁立法明确数据可携带权，因为我一直认为，可携带权的落实具有重要的现实意义和实践价值，跟公众的日常息息相关，并不是一种跟老百姓生活关系不大的倡导性远景目标。比方说，移动通信领域的携号转网就是可携带权很典型的例子，个人不需要改变手机号码就可以转为另一家电信运营商的用户。在实名制背景下，手机号码与个人身份是存在对应关系的，很多平台的账号注册都需要手机号。把手机号从一个运营商转到另一个运营商，实际就是个人信息的携带。

再比如，疫情期间各地都有自己的健康码系统，去出差、旅行需要重新申领当地的健康码。还有核酸检测记录、疫苗接种情况等等，要做到各地健康防疫信息互认，也涉及到可携带权的问题。

在法律层面明确可携带权是具有重要意义的，强化了个人对于其个人信息的自主决定权，但目前对于可携带权仅作了原则性规定，关于数据可携带权适用的数据范围、数据传输形式尚不明确，需要未来具体细化的标准规范出台。

行使数据可携带权，核心是可识别的个人信息。个人对于其提交给个人信息处理者的原生数据具有自决权，这部分的数据具有可识别性，属于可携带的范围。至于经过个人信息处理者监测、加工、计算而成的衍生数据是否属于可携带的范围，则需要具体区分。至于数据传输形式的问题，可以参考欧盟GDPR的规定，以结构化、通用的、机器可读的形式向数据主体或者经指定的数据接收方传输个人信息。

进一步落实数据可携带权，最重要的是主管部门要尽快地制定信息转移的具体条件，根据不同行业、不同的个人信息类型细化标准，增强各平台间数据转移的可操作性。

将“被动配合”转变为“主动合规”

21世纪：数据可携带权有助于破除数据垄断、促进市场竞争，但若实施不当可能会引起反面效果，同时给中小企业带来较大的合规压力。在您看来，如何避免这种困境？

石佳友：在信息流动的过程中，由于企业服务水平、安全保障能力等有所差异，确实可能出现个人将其个人信息从中小企业转移至大型企业的情况。按市场机制的角度来说，可携带权给了个人筛选企业的权利，某种意义上而言是市场配置资源的一种方式。如果可携带权确实导致信息过分集中于大平台的情形，引发了不正当竞争或垄断等问题，则可以通过反不正当竞争法、反垄断法等进行规制。

数据可携带权对企业提出了更高的技术要求，特别是对于中小企业而言，增加了一定的合规成本。考虑到法律基本的公平精神，可以考虑设置合理的成本补偿机制。市场竞争是优胜劣汰的，如果企业的技术能力比较弱，在竞争中需要考虑迭代相应机制，加大技术投入，这也有利于提高市场整体的信息安全保障水平。

21世纪：我们关注到仍有较多平台尚未在隐私协议中落实数据可携带权相关规定，为用户提供个人信息副本获取和转移的服务。您认为原因何在？数据可携带权在落实过程中存在哪些核心难点？

石佳友：目前可携带权的实施细则还有待明确，企业优化相关的技术和安全保障能力存在一定成本压力，欠缺积极落实可携带权的动力。

数据可携带权对于企业合规工作也带来一些启示。虽然具体细则有待明确，但法律已经作出了要求，平台企业作为个人信息处理者，需要有前瞻意识，将“被动配合”转变为“主动合规”。特别是头部互联网平台需要履行相应的社会责任，可以先行先试，推动行业自律，以主动的心态去拥抱法律和监管。在实践中可以先推进行业标准的建设，监管部门在此基础上逐渐制定成熟的国家标准。这是一个非常有意义的探索过程。

规制人脸识别不可照搬欧美模式

21世纪：人脸识别对于个人信息保护带来了哪些挑战？《个保法》对于人脸识别技术的运用作出了相关规定，目前落地情况如何？面临哪些主要难点？

石佳友：近几年，人脸识别对个人信息保护带来的挑战逐渐被公众和监管部门重视。在认可人脸识别技术带来的便利性时，也应注意其背后的风险和隐患。在拉网式人脸信息收集的过程中可能严重威胁个人隐私，造成人身、财产以及心理上的安全隐忧。

强调“科技向善”非常重要，人脸识别就是一个很典型的场域。去年发布的《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》对滥用人脸识别问题作出了司法统一规定。《个保法》也强化了对人脸信息的保护。另外，今年3月，两办发布了《关于加强科技伦理治理的意见》，明确提出强化底线思维和风险意识，塑造科技向善的文化理念和保障机制；这些要求对于人脸识别治理具有重要指导作用。

我觉得从法律的角度来讲，要求是明确具体的，落地难点在于相关个人信息处理者的合规问题。比如曾经引起热议的小区物业使用人脸识别设备的问题，采集人脸信息必须依法征得业主或物业使用人同意，并且不能以人脸识别作为唯一的验证方式。

法律已经作出了明确规定，个人信息处理者需要强化合规观念，在实践中不能流于形式，对于人脸信息处理活动需要落实单独同意规则，这部分是有待改善的。

21世纪：学界有声音认为对于包括人脸信息在内的生物识别信息应进行专项立法，对此您如何看？

石佳友：专门立法有一定的意义，并且也有国际上的先例，比如美国伊利诺伊州、得克萨斯州等地颁布了关于生物隐私信息的监管法规。

但如果要专门立法，就不仅是针对人脸识别，而是包括各类生物识别信息，如指纹、虹膜、步态等，都应该纳入到规制范围。但是考虑到现状，专门立法在立法技术上应该难度不小。

不同生物识别技术发展程度和应用范围不一样，带来的风险也不一样，在此情况下是否能够制定一部统一的法律还有待观察。目前对于人脸识别已形成基本的法律框架，在个人信息保护法和相关司法解释已经出台的情况下，对短期内是否有必要再另行制定专门立法，可能也会有不同认知。

21世纪：欧洲对于人脸识别采取审慎态度，2021年“人工智能法”草案，表示将禁止在公共场合使用人脸识别技术，并提出了其他限制性条件。对于中国未来人脸保护有哪些借鉴意义？

石佳友：鉴于中国经济与社会发展的实际情况，不能照搬欧美的做法，“一刀切”的完全禁止是不现实的，不如讨论如何更有效地进行规制。

第一，人脸识别信息的处理原则上须获得个人的单独同意。

第二，关于人脸识别技术应用中所遵循的具体规则，必须对政府机构和非政府机构作出区分，因为二者处理个人信息的合法性基础不同。

第三，如果采取人脸识别作为身份识别的方式，应该同时提供非人脸识别的身份识别方式，由信息主体自主选择。关于地铁等公共服务部门是否可以应用人脸识别的问题之前颇有争议。就我国而言，地铁公司如果使用人脸识别应用，应遵循《个保法》相关规定，事先取得个人的单独同意。例如，开发专门的App，让乘客安装后点击单独同意，并自行上传人脸照片。此外应单独设置不采用人脸识别技术的普通通道，确保其他旅客享有选择权，且不得额外增加这些旅客的成本。不能在开通人脸识别的特别通道后，大幅减少普通通道的数量和人员配置，导致其他旅客的身份验证时间明显增加。另外，人脸识别通道与普通通道要分开设置，避免人脸识别设备附带采集那些未选择此技术旅客的人脸图像。

第四，必须采取严格保护措施，如采取特别的加密技术手段等。

第五，对于未成年人要慎用人脸识别技术。如今很多中小学和教育机构越来越多地使用人脸识别技术，鉴于未成年人的身心发育特点，这种做法是不宜倡导的。

企业需重视“主动合规”

21世纪：实施近一年，个人信息保护法落实情况如何？对整体社会环境带来哪些影响？

石佳友：最大的影响是让个人信息保护的观念深入人心，让公众意识到个人信息权益是受保护的，不能随意由他人收集处理，另一方面也明显提升了企业和政府机关的合规意识。

《个保法》回应了过去在实践中备受关注的热点问题，如自动化处理、公益诉讼、过错推定责任等，坚持问题导向，对公共视频信息、个人信息出境、监管体制等广受关注的问题也作出了符合中国实际的规定，同时给未来配套文件的出台提供了法律依据，具有重要的意义。

当然，目前《个保法》实施才一年左右，很多配套措施还需完善，要完全彰显成效确实还需要一定的时间。

21世纪：您认为接下来有哪些重要抓手推动这部法律的落地？

石佳友：首先是相关监管部门进一步细化配套措施，更好地让法律落地，因为个保法中的大量条文都依赖于配套措施的出台。譬如，行政机关应加快公共场所图像采集管理法规的起草工作，司法机关应尽快就个人信息民事纠纷出台相应的司法解释。

企业方面则需要重视“主动合规”，根据“合法、正当、必要”原则来规制日常商业实践，全面梳理既有做法，推进行业自律，头部企业充分履行社会责任，就某些问题先形成行业公约或最佳实践，为日后的立法总结和推广积累经验，都具有十分积极的意义。另外，建议行政机关出台一些个人信息合规方面的示范文本，司法机关定期颁布典型案例判决，为于企业的合规工作提供具体和明确的指引。

策划：曹金良、陈磊

统筹：王俊

记者：钟雨欣 郑雪