《个人信息保护法》重大产业影响条款深度解析及条文对比解读

作者丨熊定中 张宇涵

来源丨中国法律评论

《中华人民共和国个人信息保护法》（以下简称“《个人信息保护法》”）经过三次审议已于2021年8月20正式颁布，并将于2021年11月1日起正式生效实施。 该法的出台是我国个人信息保护领域具有重大意义的里程碑，其三次审议修订过程都吸引了广泛的社会关注与探讨研究。作为长期深耕个人信息保护相关领域的实务工作者，笔者及团队自然也始终密切跟踪着其发展，过程中亦曾接受了数次相关采访，分享了自己的部分观点。本次，乘着《个人信息保护法》正式颁布的东风，笔者进一步将自己的见解做系统性梳理，形成了如下成果，以资各方共鉴。

本文主要分为两部分：

第一部分 《个人信息保护法》重大产业影响条款深度解析

一、自动化决策（大数据杀熟）规定内容解析

二、可携带权规定内容解析

三、看门人制度规定内容解析

四、连带责任及过错推定责任规定内容解析

第二部分 《个人信息保护法》正式出台文本中部分条文的对比解读 （与二审稿相对比，三审稿与最终出台文本差异较小）

第一

部分

《个人信息保护法》重大产业影响条款深度解析

01

自动化决策（大数据杀熟）规定内容解析

在《个人信息保护法》第三次审议的过程中，自动化决策（大数据杀熟）问题就受到了各方的广泛关注，并且产生了一定争议。立法机关也专门针对该社会关切问题作出了回应，例如全国人大常委会法工委发言人臧铁伟就曾在记者会上指出，“当前，社会各方面对于用户画像、算法推荐等新技术新应用高度关注，对相关产品和服务中存在的信息骚扰、‘大数据杀熟’等问题反映强烈”。

本次正式出台的《个人信息保护法》第二十四条即是针对该问题进行回应的规范内容：

“个人信息处理者利用个人信息进行自动化决策，应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇。 通过自动化决策方式向个人进行信息推送、商业营销，应当同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式。 通过自动化决策方式作出对个人权益有重大影响的决定，个人有权要求个人信息处理者予以说明，并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。”

首先，笔者认为，对于“大数据杀熟”概念的认知要尽可能避免媒体借助极端事件报道所带来的放大效应，避免过度妖魔化基于大数据分析技术的自动化决策过程。实际上，其不过就是服务企业通过一个智能的算法来识别特定的消费者，然后去给这个特定的消费者呈现经过筛选的内容或附加一些不同的交易条件。这其实并非互联网时代的独特创造，这种行为早在很多传统行业场合、经济业态里已经很常见了。比如，当一个带有湖南口音的消费者，进到一个湘菜馆进行点菜的时候，可能餐厅的服务员就会给他推荐一些更具有本地特色但口味较重的特色菜式。这种推荐在菜单公开透明的情况下，其结果只是便利消费者尽快找到自己可能更喜欢的商品，而毫无负面道德可言。

因此，笔者想要表达的是：在目前的社会认知中，对于“大数据杀熟”问题的讨论其实是在一种相对失真的、因媒体集中选择性报道所塑造的惶恐与焦虑之下进行的，它不是足够理性的。

消费者往往想到的场景是：我今天打字输入搜索了一下汽车的相关内容，此后刷抖音的时候，我就能看到汽车营销的推送，立刻就觉得特别可怕，认为自己受到了来自网络的监视，因而陷入了持续的焦虑与惶恐之中，并在广泛的社会范围内凝聚成了共同感受。诚然，每个人都害怕也不应该被监视，但换一个角度思考，如果服务企业不进行任何的数据分析，这位消费者看到的可能不再是汽车相关信息，而是一个钻戒信息，这对消费者毫无意义。

在互联网经济如此发达的今天，商业营销行为无处不在，消费者几乎不可能将自己隔绝于营销活动之外，总归要看到某种营销推送信息。既然企业投放广告进行商业营销的行为是合法的，那法律不仅不应该禁止企业更有效率地去向大众传递商品信息，甚至应该鼓励这种行为。或许放在过去，这还算是常态——在门户网站时代，信息并不经过自动化决策的筛选而直接呈现给消费者，消费者需要自己去寻找自己感兴趣的信息，信息本身不会主动寻找消费者，但这相对于当下的互联网经济效率而言，只能算是原始的初级阶段，故而其已经归于历史，被如今更具有效率的经济模式所取代。

因此，笔者认为并倡导的是，要客观辩证地看待大数据分析技术的运用与自动化决策过程在当今互联网经济形态中的基础性、广泛性，不能枉顾经济发展的底层逻辑去强求单一法益的保护，这可能不仅难以实现立法的初衷，还会损害立法出台的经济基础。

鉴于此，笔者在考察《个人信息保护法》第二十四条后认为，这一规范内容的设置是相对理性、克制且公允的，有必要对其进行细致的分析，以准确呈现其规范意义及价值。

第一，第二十四条第一款规定“……进行自动化决策，应当保证决策的透明度和结果公平、公正”。针对该款的规定，笔者认为，立法首先着眼于“决策过程的透明度”具有科学性与积极意义。

在互联网经济模式下，过程透明可以极大地消除信息不对称，这也是消费者权益保护法中“知情权”的体现。消费者可以基于充分的认知后自主作出决策，将交易托付给合理的市场规则，便能够最大程度体发挥市场活性。将“透明度”作为判断自动化决策合法合规性的重要标准，是理性且尊重市场规律的体现。

而“结果的公平、公正”，落实于判断标准，大概率指代的是“是否存在明显的歧视性待遇”，使得部分消费者处于与其他消费者有明显差异且不利的交易地位，这才是社会大众所关注的“大数据杀熟”问题范畴，也即大数据杀熟问题仅是自动化决策过程中的消极的异化结果，并不能代表全部自动化决策的样态。

应当被禁止的并非个性化推送与营销，而是基于数据处理后所施加的歧视性交易条件。而严格要求决策过程的透明性，不仅有利于消费者提升认知服务的水平，也可以促进消费者自觉选择在更公平、公正的条件下与良善的服务方进行交易，柔性的倒逼服务提供企业合理化设置决策过程并时刻保障其透明度。相较于第二款中规定的“应当同时提供不针对其个人特征的选项”这类过于刚性的规范而言，透明度的规范要求或许更有构建良性生态的深远意义。

第二，关于最受争议的第二款规定：“应当同时提供不针对其个人特征的选项，或者向个人提供拒绝的方式”。笔者认为，这是一条对实践足够具有影响力的条文。最直接的影响来源便是要求服务企业“应当同时提供不针对其个人特征的选项”，这对于一些业务完全架构在个性推送自动化决策过程上的企业，可能意味着巨大的障碍。例如，以今日头条为代表的主打算法推送的新闻资讯服务行业，将面临必须执行同时提供不经过算法筛选的内容的要求，使得其业务运营的底层逻辑生长出新的平行分支。客户拒绝个性化推送的效果亦是需为其呈现不经过个性化算法筛选的内容。

这也就意味着，这些基于个性推送自动化决策过程而获得竞争优势的主体必须主动向客户提供使其不再具有竞争优势或特色的服务方式，某种程度上，还必须承担自己完成了这种设计与安排的证明义务。这对于相关行业的服务企业而言，或许将会是较为困难的。最重要的是，除非市场上已经不存在或者极少存在非算法推荐的平台时，否则消费者用脚投票的权利始终还能得以保障。

此外，笔者从实务合规的角度考虑，还有许多技术细节上的问题需要落实，否则规范内容将难以落实。例如：企业要以怎样的形式去呈现和区分基于个性化推送的内容呈现与非基于个性化推送的内容呈现？是否也需参照执法实践中青少年模式的“开关”逻辑执行（本质也就是两个页面）？还是在一个页面中同时呈现个推内容与非个推内容？等等，都有后续进一步的解释与实践探索的空间与必要。商业实践如何承接这一规范要求，执法与司法认定的尺度把握是值得各方审慎考虑的问题。

第三，第二十四条第三款的规定实际是对第二款规定的承接与延伸，该款的主要问题集中在如何明确“对个人权益有重大影响的决定”，以及如何准确理解“有权拒绝个人信息处理者仅通过自动化决策的方式作出决定”的含义。对于前一问题，目前尚无任何明文作出规定，有待进一步的解释与实践经验总结。而针对后一问题，其实是第二款规定内容的延伸，若企业有效遵循了第二款的规定，也就意味着个人信息主体已然有权且有切实途径通过选择无个性推送筛选内容的方式来拒绝“信息处理者仅通过自动化决策的方式作出决定”。

总结来看，第二十四条第一款与第二款的规范内容的在后续执法、司法实践中的把握尺度将直接决定第二十四条的规范效果。目前，但从其文义层面来审视，笔者仍然认为，其是相对理性、克制且公允的，商业实践仍然有空间能够在执法与司法不过分从严把握的认定尺度的情况下找到合适的实现形式，使得相关业务在符合规范要求的同时，亦不至于损害商业模式的核心机理与竞争优势。这种使得监管者足以通过尺度把握来调节市场的立法规范内容，亦是立法智慧的体现。

02

可携带权规定内容解析

本次正式出台的《个人信息保护法》第四十五条第三款即是关于可携带权的规范内容：

“个人有权向个人信息处理者查阅、复制其个人信息；有本法第十八条第一款、第三十五条规定情形的除外。 个人请求查阅、复制其个人信息的，个人信息处理者应当及时提供。 个人请求将个人信息转移至其指定的个人信息处理者，符合国家网信部门规定条件的，个人信息处理者应当提供转移的途径。”

这一规范内容是三次审议稿中的新增内容，在此前的一审、二审稿中均未曾出现，因此也引起了各方的广泛关注与讨论，同时亦存在较大争议。

笔者对此内容的增设持积极态度，理由在于：可携带权的增设能够助力于市场经济保持活力。这需要我们站在反垄断的视角上去看待问题。可携带权的设立，其实意味着那些新加入市场的竞争者能够基于自身提供给用户的优质服务，来换取用户的同意，以获得用户个人在其余数据服务企业内存储的个人信息（典型如社交关系链）以提升其服务能力与竞争优势。这非常有利于我国互联网与数据产业内的反垄断工作。

当下，我们时常可以看到有一些处于头部垄断地位的大型企业，利用其绝对的数据优势去排除竞争，通过拒绝开放数据接口、进行恶性对抗，甚至是利用数据优势变相强迫收购等方式，来逐个排除潜在竞争者。

例如，在2019年，美国美国联邦贸易委员会（FTC）就已经在着手调查Facebook过往的收购交易，以此来判定这些收购是否属于吞并潜在竞争对手；根据标普全球（S&P Global）提供的数据显示，自2003年以来，Facebook在过去大约15年里共计收购了近90家公司，当中就包括社交与即时通讯服务行业的巨头Instagram和WhatsApp，这无疑印证了企业通过数据优势迈向垄断的过程。

而一旦形成了这种数据垄断地位，新的市场参与者在数据垄断企业的压制下，几乎没有可能追赶这种竞争优势上的差距，整个市场中永远只有“大鱼永远吃小鱼”的场景存在，中小竞争者难以实质成长、发展，不利于市场内技术的创新与服务质量的持续提升。即便是体量相当的两个企业，一旦通过相互关停数据接口的方式来进行恶性的对抗，最终受损的也将是广大用户的权益。据笔者了解，这也正是此条规定产生了较大争议的原因，可见背后利益博弈的剧烈。

但也正因如此，笔者更坚持认为，个人信息可携带权能在立法中得到确立，具有非常重大且积极的意义，受众不应仅局限于条文内容本身来认知与理解它，而要站在反垄断的视角上去理解它的深远意义。本次《个人信息保护法》确立可携带权，是与我国监管部门近来着力推进的反垄断工作之间极好的呼应。

可以预见，在未来关于个人信息可携带权的该款规范将会频繁出现在个案、执法动态中，不仅作为个人维护自身合法权益的有效依据，更是作为企业间维护基本竞争公平的工具。更进一步来看，该条款足以成为国家调控互联网、数据行业，塑造培养良性市场环境的重要抓手，非常值得我们拭目以待。笔者也期待，相关部门能够尽可能地重视该权利配套细则的制定，以为其规范意图的切实落地保驾护航。

03

看门人制度规定内容解析

本次正式出台的《个人信息保护法》第五十八条即是关于看门人制度的规范内容：

“提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，应当履行下列义务： （一）按照国家规定建立健全个人信息保护合规制度体系，成立主要由外部成员组成的独立机构对个人信息保护情况进行监督； （二）遵循公开、公平、公正的原则，制定平台规则，明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务； （三）对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者，停止提供服务； （四）定期发布个人信息保护社会责任报告，接受社会监督。”

关于看门人制度的规定，最早出现于二审稿中，彼时便引起了广泛关注与讨论。尤其是针对其义务内容的第（一）项，讨论与争议的声音最多。关于“成立主要由外部成员组成的独立机构”，从二次审议开始就一直被认为是最具实质性的规范内容，也正是因为该项规范，才有了“看门人制度”之称。

不少学者与实务界人士都对此做出了评价，例如清华大学程啸教授在评析二审稿时就认为“基础性（正式出台文本中改为了“重要”）互联网平台服务提供的产品被认为具有公共产品的性质，因此需要履行更多的社会责任，在平台治理和个人信息保护上要有更多的外部的、独立的监督。这次二审稿规定的‘独立机构’，类似于上市公司设立独立董事。同时，个人信息保护执法部门要严格依法履行职责，加大监管力度。而不应该把政府该做的事情推给企业、社会”。

笔者同样也认为，真正能让个人信息保护监管理念落地的只有国家监管部门。对于个人信息保护的监管，理应是国家监管部门投入资源而不是把责任交给社会，由于监管资源有限，可以分重点、分行业、分企业，比如着力监管占据市场垄断地位的企业、涉及医疗健康、公共安全等行业。

虽然笔者认为，该条的规定在短时间内有质量地去落实到实处还有很多细节处理，但对其条文本身的法律分析依然具有意义，以回应社会的广泛关注。

该条的立法意图相对清晰，系拟将部分范围内的大型企业、有一定规模的企业企业，尤其是各行业的巨头企业作为重点对象，对其进行程序要求更高且态度更为严格的个人信息保护监管。而该立法意图的落实还需以其自身规定的细化作为支撑，需对其进行必要的分析。

第五十八条规定的适用对象为“提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”。由此，可针对其中蕴含的三个认定要素（“重要”“用户数量巨大”“业务类型复杂”）作如下的追问：

第一，如何准确定义“提供重要互联网平台服务”中的“重要”？ 第二，“用户数量巨大”的具体量化标准？ 第三，以怎样的标准认定“业务类型复杂”？ 第四，列举的三个认定要素之间是采取交集关系还是并集关系？即是需满足全部三个认定要素的主体才被本条规制，还是满足其一即可被规制？

针对第一个追问，可结合二审稿的文本内容加以分析，二审稿对应内容的规定是“提供基础性互联网平台服务”。则回应的落脚点在于如何对“基础性”做出认定，且这种基础性需是“互联网平台服务”范围内的基础性。平台服务本身的性质就决定了其天然具备一定的基础性，而要进一步判断什么是“具有基础性的互联网平台服务”，则可能意味着更高水平的要求。或许，该认定要素旨在将主体限定于那些在各行业内创造了独特基础生态的巨头企业，唯有这些有足够能量定义一定范围内经营生态、影响营商环境的领头羊，可能才最符合此认定要素中的“基础性”要求，尤其是那些已经发展为“平台之平台”的企业，更能清晰地体现出“互联网平台服务中的基础性”。

而三审稿及本次正式出台的文本中，“基础性”被改为了“重要”，对比便可直观感受到，立法机关意在扩大受此条规范调整主体的范围，使其不仅只局限于行业巨头企业，还可能包括其他具有一定规模的企业；毕竟基础往往意味着重要，而重要并不一定基础，两个存在充要逻辑关系的词语的替换，较好地体现出了此种法意图的调整。

针对第二个追问，回应的落脚点应在于找到“用户数量巨大”相对具体的量化标准，例如，是以用户绝对数量为依据，还是以相关市场内的用户相对数量或用户占比为依据。由于我国互联网用户基数庞大，即便是在比较而言相对较小的相关市场内，其用户数量也可能达到一般公众认知中的“数量巨大”，故而不得不对本认定要素进行如上考虑。诚然，就文义解释而言，“巨大”一词在当前社会的用语与理解习惯下，更倾向于指代“绝对数量大”的含义，而更疏离于“相关市场范围内数量或占比大”的含义。

但考虑到互联网与信息数据产业的蓬勃发展趋势，在未来，可能即便是相对较小的相关市场内的用户体量也足以达到绝对数量“巨大”的标准，立法或许不宜将该条的主体适用门槛设置得过高，仅针对顶级巨头企业适用，而应尽量将那些在相关市场内占有大部分用户的具有一定规模的企业也纳入适用范围，或至少作为未来立法发展的潜在规制对象。这一思路也与前述 “基础性”修改为“重要”所体现的立法意图调整相吻合。当然，不能排除后续制定的相关细则参照《网络安全审查办法》的规定，以用户绝对数量作为判断标准，以顾及规范的体系效益。

针对第三个追问，回应的落脚点同样应在于厘清其是以绝对标准还是以相对标准来判断“业务类型复杂”，同理也面临着：若以绝对标准判断，标准的门槛如何合理设置的问题，以及若以相对标准判断，如何判断相关市场的体量是否足够的问题。但无论采哪种标准，对于“类型复杂”的判定恐很难在具体案例发生前，仅凭借立法者单纯的理性预估加以明确，故该认定要素的具体化，还需依赖于未来司法解释或个案判例中的具体说理作出回应。

针对第四个追问，回应的落脚点在于尝试厘清以上三个认定要素之间的逻辑联系，以求达到最佳立法效益。单以文义解释，以顿号连接的三个认定要素间应是交集的关系，即需同时满足三个认定要素的主体才属于第五十八条的规制对象。若是顶级巨头企业，同时满足三个认定要素不存在太大障碍，而若仅是一定范围相关市场内的具有一定规模的企业，则还需审慎考虑。若按文义解释采取交集关系理解，则这些具有一定规模的企业可能仍然较难能被认定为第五十八条的适用对象。

基于前述讨论我们可知，“重要”认定要素与“数量巨大”认定要素的明确都需以细化解释立法意图为根据，即该项立法到底旨在将哪些主体纳入规制范围，仅是顶级巨头企业，还是包括特定相关市场内的具有一定规模的企业。立法应当考虑我国互联网发展现状与未来持续向好的趋势，尽可能将特定相关市场内的具有一定规模企业纳入第五十八条的规制适用范围，若如此，就应该对该三个认定要素的逻辑关系进行更宽阔的解释，以承接未来立法走向的变化。以此为思路，就需要超越文义解释进行实质解释的尝试。

笔者认为，“重要”与“数量巨大”两认定要素间采取并集关系连接更有利于扩展第五十八条的适用主体范围，此二者均实质体现了所需规制主体所承载的较大体量的法益内容与监管必要性，满足其一即应以五十八条进行规制。而至于第三个认定要素，即服务类型是否复杂，实则难以单独作为判断规制主体所涉法益体量的标准，市场中存在服务类型简单明确，但提供的平台服务足以被认定为“重要”，且用户数量巨大的实例，如外卖平台。

由此可见，在该三认定要素中，“重要”与“用户数量巨大”系实质认定要素，而“服务类型复杂”系形式认定要素，后者难以与前二者采取并集关系，只能作为辅助性的认定要素，在未来个案说理中进行明确或等待司法解释回应。

立法之所以暂时将三者并列，或许是由于此三个认定要素之间本就具有一定牵连性，且在他们取交集的时候，并不需要十分细致地进行辨析与区分。但这对于未来立法适用范围的扩展与再调整还需要做进一步的阐释，故笔者作上述评析，以期未来能有有权机关回应此处问题。三审稿及正式出台文本修改了二审稿的“基础性”，而使用“重要”作为认定要素，已经说明立法机关意识到了用语对于规范适用范围的影响。

04

连带责任及过错推定责任规定内容解析

首先，关于连带责任。本次正式出台的《个人信息保护法》第二十条即是关于信息处理者承担连带责任的规范内容：

“两个以上的个人信息处理者共同决定个人信息的处理目的和处理方式的，应当约定各自的权利和义务。但是，该约定不影响个人向其中任何一个个人信息处理者要求行使本法规定的权利。 个人信息处理者共同处理个人信息，侵害个人信息权益造成损害的，应当依法承担连带责任。”

早在第二次审议中，处理者承担连带责任的议题就已受到了广泛关注。笔者彼时在接受相关采访时就已经对此表达过自己的基本观点：二审稿第二十一条（对应现正式出台文本第二十条）中对共同信息处理者侵害个人信息权益，从“依法”承担连带责任，修改为“应当”承担连带责任，虽然只有两个字的修改，但影响是极为巨大的。

从“依法”到“应当”，意味着该条款可以作为单独的请求权基础。也意味着国家已然通过立法的方式确定了新的连带责任体系。规定为“依法”，则该条款还不是独立的请求权基础，不能作为独立承担法律责任的依据。公民如果起诉两个侵权的信息处理者时，若按照一审稿，需要到民法典等法律中寻求依据。而本次正式出台文本沿用了二审稿的修改，切实实现了《个人信息保护法》的规范内容从需要参考民法典，到直接作为规范基础适用的重大转变。在未来个人信息保护相关的诉讼中，也将优先适用《个人信息保护法》第二十条的规定，使得共同信息处理者承担连带责任成为常态。可以想见，在不久的将来，个人信息保护相关的诉讼活动将日益活跃，高效补足个人信息保护在司法层面的保护水平，扭转监管先行、司法滞后的局面。

而在实操层面，这也使得共同信息处理者在被起诉时，必须直面连带责任带来的法律效果——即个人得以向共同处理者中的任一或全部处理者主体提出全部主张，且被提出主张的该信息处理者需合理应诉，不予理会或败诉都会使得被主张的处理者主体面临承担全部个人主张对应责任的不利后果。这使得个人维权无门、不被理睬或被不合理回绝的可能大大降低，在诉讼层面，个人有了更为直接、坚实、有利的责任制度基础。

此外，还值得一提的是，本次正式出台文本中的第二十条，较之二审稿，还加入了“造成损害的”这一描述。同样是细微用语的调整，却也使得其规范内容更加贴合侵权责任的构成要件，发挥了规范的体系效应。如此调整，意在明确，只有在造成切实损害后果时，个人才有权主张信息处理者承担责任，能够有效避免滥诉。这一调整，无疑体现出了《个人信息保护法》较高的立法水准。

其次，关于过错推定责任。本次正式出台的《个人信息保护法》第六十九条即是关于信息处理者承担连带责任的规范内容：

“处理个人信息侵害个人信息权益造成损害，个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任。 前款规定的损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定；个人因此受到的损失和个人信息处理者因此获得的利益难以确定的，根据实际情况确定赔偿数额。”

与前述连带责任相同，过错推定责任的规定也早在第二次审议中就已受到了广泛关注，彼时热议的“组合拳”便是用来形容连带责任与过错推定责任的共同效果。相比起连带责任的，过错推定责任更具有专业属性，其对应的是诉讼中举证责任的分配原则。

过错推定责任意味着，承担此责任的主体——《个人信息保护法》的语境下即指信息处理者——在举证态势上天然处于不利地位，必须提出证据自证清白，否则将被认定为具有过错而承担对应的不利后果。这无疑加大了信息处理者的应诉难度，但相反也使得个人提起诉讼及主张的阻力大大减小，对个人的保护效果非常显著。

在以往的实践中，作为普通用户的个人很难有效承担起举证责任，典型的案例就如2017年庞某诉东航案：庞某委托鲁某通过“去哪儿网”订购了一张东航机票，两日后，庞某收到了诈骗短信。庞某认为，其在趣拿公司下辖网站“去哪儿网”购买东航机票，导致个人信息被泄露，个人隐私权遭到严重侵犯，东航及趣拿公司应承担相应侵权责任。一审法院以“无法推论趣拿公司和东航存在泄露上述信息的行为”为由驳回庞某诉讼请求。一审判决后，庞某不服，上诉至北京一中院。庞某认为一审法院适用的举证证明责任分配，严重超出自己证明能力。最后，北京一中院认定，东航和“去哪儿网”应当承担侵犯隐私权的相应侵权责任。可见，案件的审理关键就在于如何合理分配举证责任，以妥善平衡个体与信息处理者之间的权利义务关系，对此，《个人信息保护法》无疑已经给出了明确答案。

并且，由于法定连带责任的确立，信息共同处理主体也须承担上述“自证清白”的责任，这就是所谓“组合拳”的意义：连带责任的规定拓宽了个人维权的面积；而过错推定责任的规定使得每一次维权的主张都能得到合理的“助力”，让其足以更加深入，走得更远。如此，点面结合，横纵相依的构成了个人信息权益保护的坚固屏障。

而站在处理者的角度，倒逼合规的效果同样明显。上述规定无疑将带来不小的冲击与挑战，使得处理者每一次对用户权益的处置都需更加谨慎而规范，相关应诉活动也更加需要以专业性作为保障，也必须不断完善相应的举报、投诉处理机制与内部工作规范，以完成对用户需求的有效回应与压力分流。合规压力也将促进企业焕发新的竞争力，挑战之下亦有机遇。

笔者预估，在未来，对于企业在个人信息保护领域的发展状况评价与对应形成的监管结果的记录，将成为对企业价值评判的重要标准之一。市场中广大的信息处企业，将因此踏上一条新的赛道，而那些拥抱挑战与压力，积极筹划合规体系与机制建设，率先培育信息保护工作意识、氛围、传统的企业，必将取得优势。

总结而言，笔者拟通过对上述三个在各方重点关切问题的评析表达这样一个观点：《个人信息保护法》的立法水平较高，整体体现出了理性、克制、审慎与尊重现状、规律的优良立法态度。虽然其实质内容大多来源于早已付诸实践的部门规章、监管经验、国家标准，具有突破性、开创性的新内容较少，但其将这些规范汇总并科学编排，使其上升成为法律，获得了法律层级的规范效力，其里程碑意义与积极价值是非常值得认同的。未来很长一段时间里，它都将成为相关领域商业实践、审判、执法监管、合规业务开展的核心规范依据，也会同时扮演着国家个人信息乃至数据安全保护水平的风向标。

在互联网及数据行业长足发展、数据安全与国家安全深度绑定、信息数据成为不可否认的基本生产要素的当今社会里，《个人信息保护法》无疑值得每一个社会成员的持续关注与学习。

第二

部分

《个人信息保护法》重大产业影响条款深度解析

对比二审稿与正式出台文本整理下表。下表中单元格同一表示两稿内容一致，分列则表示两稿内容有别，红色标注为具体差异部分。

责任编辑丨Mars

版面编辑丨Cathy