《个人信息保护法(草案)》全文逐条解读
来源:中国人大网 更新时间:2020-11-02

2020年10月21日,中国人大网公布《中华人民共和国个人信息保护法(草案)》(以下简称“《个人信息保护法(草案)》”)全文,并对其公开征求意见。《个人信息保护法(草案)》于2020年10月13日经第十三届全国人大常委会第二十二次会议进行了初次审议。

作为首部专门规定个人信息保护的法律,《个人信息保护法(草案)》在正式出台后,将成为个人信息保护领域的“基本法”。《个人信息保护法(草案)》全文共八章,内容包括总则、个人信息处理规则、个人信息跨境提供的规则、个人在个人信息处理活动中的权利、个人信息处理者的义务、履行个人信息保护职责的部门、法律责任和附则。为了帮助大家更好地理解条文内容,接下来将对《个人信息保护法(草案)》全文进行逐条解读,供大家参考。

《中华人民共和国个人信息保护法(草案)》

第一章 总则

第一条 为了保护个人信息权益,规范个人信息处理活动,保障个人信息依法有序自由流动,促进个人信息合法利用,制定本法。

【解读】

本条明确了《个人信息保护法(草案)》的立法目的。

《个人信息保护法(草案)》旨在实现个人信息保护与利用二者的平衡。在保护个人信息的基础上合法利用个人信息,在合法利用个人信息的过程中持续保护个人信息,方为良策。

第二条 自然人的个人信息受法律保护,任何组织、个人不得侵害自然人的个人信息权益。

【解读】

本条明确了自然人依法享有个人信息权益。

相较于《中华人民共和国民法总则》和即将生效的《中华人民共和国民法典》(以下简称“《民法典》”),《个人信息保护法(草案)》首次提出自然人享有“个人信息权益”,意味着在法律层面,虽然因为争议较大未定性为“个人信息权”,但若个人信息被侵犯将能够得到更多的救济。而在司法实践中,凌某某诉抖音隐私权、个人信息权益网络侵犯责任纠纷案(案号:(2019)京0491民初6694号)和黄某诉微信读书隐私权、个人信息权益网络侵犯责任纠纷案(案号:(2019)京0491民初16142号)两个案件中,法院已经实质探讨和认定涉案企业和App是否侵犯自然人的个人信息权益以及侵犯个人信息权益情况下需要承担的法律责任。对于个人信息保护而言,无疑是利好消息。

第三条 组织、个人在中华人民共和国境内处理自然人个人信息的活动,适用本法。

在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,有下列情形之一的,也适用本法:

(一)以向境内自然人提供产品或者服务为目的;

(二)为分析、评估境内自然人的行为;

(三)法律、行政法规规定的其他情形。

【解读】

本条明确了《个人信息保护法(草案)》的适用范围。

与世界各国和地区对个人信息控制的主流实践相类似,《个人信息保护法(草案)》采取了地域范围+公民和/或居民相结合的适用范围,赋予了必要的域外适用效力,能够更好地维护我国境内自然人的个人信息权益。对于在中国境外处理中境内自然人个人信息,《个人信息保护法(草案)》第五十二条提出了在中国境内设立专门机构或指定代表负责处理个人信息保护相关事务的要求,此举有助于有效实现本条第二款的立法目的,切实达到对境外主体实施监管的效果。

第四条 个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。

个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等活动。

【解读】

本条明确了“个人信息”和“个人信息的处理”的定义。

从“个人信息”的定义看,与《中华人民共和国网络安全法》第七十六条第一款第五项(以下简称“《网络安全法》”)和《民法典》第一千零三十四条第二款规定的“能够单独或者与其他信息结合识别特定(注:《网络安全法》未规定此处的‘特定’)自然人的各种信息”不同,《个人信息保护法(草案)》采取了与欧盟《通用数据保护条例》(General Data Protection Regulation,以下简称“GDPR”)第4条相类似的界定标准,即“与已识别或者可识别的自然人有关的各种信息”。换句话说,《网络安全法》和《民法典》采取了“识别”的路径,《个人信息保护法(草案)》采取了“识别+关联”的路径,一定程度上拓宽了个人信息的范围。此外,本条将“匿名化处理后的信息”排除在“个人信息”的范围之外,也就意味着匿名化信息不需要受到本法的规制。需要强调的是,《个人信息保护法(草案)》第六十九条第一款第四项对“匿名化”进行了定义,满足“无法识别且无法复原”标准的信息才不属于个人信息,否则还是需要受到本法的规制。

可能有些人会问,对于“已识别”和“可识别”,该如何理解?我们以身份证上的信息为例,身份证反面包含身份证号、姓名、出生年月日、民族、家庭地址等信息。这些信息里面,身份证号码具有唯一性,单独的身份证号码就是特定自然人的个人信息,这就属于“已识别”的自然人的个人信息;对于“可识别”,只有姓名或者只有家庭住址都无法识别到指定的自然人,因为单独来看,姓名有重名的,一个家庭住址一般来说会有一家好几口人,但是这二者都能够在一定程度上将某些人与其他人区分开,对于识别到特定自然人来说都发挥着一定的作用而非毫无关联。因此,单独来看,姓名和家庭住址均属于“与可识别自然人有关的”个人信息,二者一旦结合就指向了特定的自然人,也就转化成了“已识别”自然人的个人信息。

从“个人信息的处理”的定义看,不同于《网络安全法》对个人信息不同环节提出分散要求,《个人信息保护法(草案)》基本沿用了《民法典》第一千零三十五条第二款的规定,将个人信息全生命周期的活动纳入到个人信息的处理范围,意味着个人信息全生命周期的处理活动均受到本法的规制。

第五条 处理个人信息应当采用合法、正当的方式,遵循诚信原则,不得通过欺诈、误导等方式处理个人信息。

【解读】

本条明确了处理个人信息的合法、正当要求。

在《网络安全法》第四十一条第一款要求收集使用个人信息应遵循合法、正当原则的基础上,《个人信息保护法(草案)》与《民法典》第一千零三十五条第一款的规定相类似,要求包括收集、使用个人信息等在内的个人信息处理活动均需要采用合法、正当的方式,不得通过欺诈、误导等方式处理个人信息。实践中常见的“欺诈、误导”行为,比如,以添加联系人为由申请用户的通讯录权限,用户打开权限后上传整个通讯录,并将该类信息用于发送商业广告或其它目的;再比如,通过积分、奖励、优惠等方式欺骗误导用户提供身份证号码以及人脸信息、指纹信息等个人生物特征信息。

第六条 处理个人信息应当具有明确、合理的目的,并应当限于实现处理目的的最小范围,不得进行与处理目的无关的个人信息处理。

【解读】

本条明确了处理个人信息的必要性要求。

在《网络安全法》第四十一条第一款要求收集使用个人信息应遵循必要性原则的基础上,《个人信息保护法(草案)》与《民法典》第一千零三十五条第一款的规定相类似,要求包括收集、使用个人信息等在内的个人信息处理活动均需要遵循必要性的要求,不得超出处理目的所必须的范围处理个人信息。

第七条 处理个人信息应当遵循公开、透明的原则,明示个人信息处理规则。

【解读】

本条明确了明示个人信息处理规则的要求。

与《民法典》第一千零三十五条第一款第二项相类似,《个人信息保护法(草案)》要求明示个人信息处理规则。这就意味着,个人信息处理者要让个人信息处理在阳光下进行,不得隐瞒个人信息处理规则,不得“挂羊头卖狗肉”,规则说是一套,实际上处理个人信息是另外一套。

第八条 为实现处理目的,所处理的个人信息应当准确,并及时更新。

【解读】

本条明确了个人信息的准确和及时更新要求。

与GDPR第5条第(1)款(d)项的规定相类似,《个人信息保护法(草案)》提出了个人信息的准确和及时更新要求。大数据时代,海量的信息产生、流动和使用,这之中不乏过期的信息、存在疏漏和偏差的信息。要想更好地挖掘个人信息的利用价值,需要确保个人信息的准确和及时更新,否则错误、过时的信息将直接影响个人信息的价值,甚至可能导致处理结果的错误。《银行业金融机构数据治理指引》第四章专章规定了“数据质量控制”的要求,大家感兴趣的话可以查阅相关内容。

第九条 个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。

【解读】

本条明确了个人信息处理者承担保障个人信息安全责任的要求。

在《网络安全法》第四十二条第二款要求网络运营者确保其收集的个人信息安全的基础上,《个人信息保护法(草案)》进一步强化了个人信息处理者对个人信息处理活动的责任承担,这就意味着“谁处理谁负责”。同时,要求包括收集个人信息的主体在内的个人信息处理者均应采取必要措施保障所处理的个人信息安全。从理解的角度,这里的“必要措施”包括技术措施、管理措施等。

第十条 任何组织、个人不得违反法律、行政法规的规定处理个人信息,不得从事危害国家安全、公共利益的个人信息处理活动。

【解读】

本条明确了处理个人信息的红线要求。

在《民法典》第一千零三十五条第一款第四项要求的基础上,《个人信息保护法(草案)》新增处理个人信息不得危害国家安全、公共利益的要求,划定了处理个人信息的红线。

第十一条 国家建立健全个人信息保护制度,预防和惩治侵害个人信息权益的行为,加强个人信息保护宣传教育,推动形成政府、企业、相关行业组织、社会公众共同参与个人信息保护的良好环境。

【解读】

本条明确了国家开展个人信息保护工作的基本原则。

以个人信息保护制度为基础,预防和惩治侵害行为,加强宣传教育,积极推动社会公众参与个人信息保护,如此多措并举,能够有效提高我国个人信息保护的整体水平。

第十二条 国家积极参与个人信息保护国际规则的制定,促进个人信息保护方面的国际交流与合作,推动与其他国家、地区、国际组织之间的个人信息保护规则、标准等的互认。

【解读】

本条明确了个人信息保护领域的国际合作机制。

积极参与国际交流与合作,参与国际规则的制定,成为“游戏规则”的制定者,推动规则、标准等的互认,能够在推动国际合作的同时更好地维护我国的国家利益和公民的个人信息权益。

第二章 个人信息处理规则

第一节 一般规定

第十三条 符合下列情形之一的,个人信息处理者方可处理个人信息:

(一)取得个人的同意;

(二)为订立或者履行个人作为一方当事人的合同所必需;

(三)为履行法定职责或者法定义务所必需;

(四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;

(五)为公共利益实施新闻报道、舆论监督等行为在合理的范围内处理个人信息;

(六)法律、行政法规规定的其他情形。

【解读】

本条明确了处理个人信息的合法性基础。

作为《个人信息保护法(草案)》最核心、最重要的改动之一,本条大范围扩充了处理个人信息的合法性基础。从处理个人信息合法性基础的演变看,《网络安全法》第四十一条第一款明确了收集使用个人信息的合法性基础为“被收集者同意”,使得《网络安全法》生效以来长时间内,同意成为收集使用个人信息的唯一的合法性基础。《民法典》第一千零三十五条第一款第一项沿用了“同意”的合法性基础,但也留下了“法律、行政法规另有规定的除外”的例外规定。随着《个人信息保护法(草案)》的面世,前述《民法典》指向的例外规定浮出水面,实现了法律之间的有效衔接。从内容看,本条第一款第一项到第五项的规定,与GDPR第6条第(1)款的(a)-(e)项相类似,又存在一定区别。

第一款规定的情形为“同意”,无需过多探讨,《个人信息保护法(草案)》后面的条文中也对“同意”做了具体的要求,此处不再赘述。

第二款规定的情形为“订立或履行个人作为一方当事人的合同所必需”,如何理解?举个例子,员工与公司建立劳动关系时需要签订劳动合同,为了识别员工身份,公司要求员工提供姓名、身份证号,这就属于订立和履行劳动合同所必需收集个人信息的情形。需要指出的是,如果想要单独适用该条处理个人信息,需要有合同关系支撑而且要有充分的依据来论证“必需”,如果缺少依据或者依据不充分,建议审慎将该种情形作为处理个人信息的合法性基础,而是考虑作为若接受调查、遭受个人起诉侵犯个人信息权益时的抗辩选项(如适用)。《信息安全技术 移动互联网应用程序(App)收集个人信息基本规范(征求意见稿)》划定了三十种常用服务类型的最小必要信息范围,一定程度上可以参考作为三十种常用服务类型下为向用户提供服务所必需的信息范围。

第三款规定的情形为“为履行法定职责或者法定义务所必需”,意味着要想单独适用该情形处理个人信息,背后需要有明确的法律依据进行支撑。举个例子,《中华人民共和国反洗钱法》(以下简称“《反洗钱法》”)第三章专章规定了金融机构的反洗钱义务,并在第三章第十六条第二款规定了“金融机构在与客户建立业务关系或者为客户提供规定金额以上的现金汇款、现钞兑换、票据兑付等一次性金融服务时,应当要求客户出示真实有效的身份证件或者其他身份证明文件,进行核对并登记”,基于此,在该等场景下,金融机构要求用户提供身份证件信息就是属于履行法定职责或者法定义务所必需。此外,需要强调的是,如果没有法律依据或者法律依据比较模糊,建议审慎将该种情形作为处理个人信息的合法性基础,而是考虑作为若接受调查、遭受个人起诉侵犯个人信息权益时的抗辩选项(如适用)。

第四款规定的情形为“为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需”。本款的立法背景与新冠肺炎疫情有一定关联。在应对新冠肺炎疫情中,大数据应用为联防联控提供了有力支持,特别是在进行流行病学调查和查找密切接触者时需要收集、使用和分析大量的个人信息。需要指出的是,如果适用“紧急情况下为保护自然人的生命健康和财产安全所必需”的情形处理个人信息,虽然个人信息处理者可以不经个人同意处理个人信息,但《个人信息保护法(草案)》第十九条第二款规定了向个人告知的要求。

第五款规定的情形为“为公共利益实施新闻报道、舆论监督等行为在合理的范围内处理个人信息”。本款规定的限制还是比较多的,目的是“为公共利益”,行为是“实施新闻报道、舆论监督等”,限度是“合理范围内”。举例来说,为了报道某官员的腐败事迹,收集并通过新闻向社会公众传递其腐败事迹相关的个人信息,一般来说可以适用本情形。什么情况下会超出“合理范围”呢?在报道官员腐败事迹时,收集并对外披露了官员的详细家庭住址,这就很难说明是在合理范围内了。另外,实践中常见的对某新闻报道中涉及的人员进行的“人肉搜索”行为,一般来说都超出了必要的限度,基本难以适用本款规定。

第六款进行了兜底规定,为“法律、行政法规规定的其他情形”留下了口子,保留了一定的弹性。当然,如果要适用本款的兜底规定,必须要有明确的法律或行政法规的规定作为依据。

最后,可能会有很多人会有一个疑问,看完这条,可能每一款的规定都大概理解了,但是,把这条整体来看的话,该如何把握呢?可能通过举例子,能够帮助大家更好地整体把握本条的适用。比如,我们去银行存款,根据《个人存款账户实名制规定》,银行需要收集我们的身份证件并登记身份证件上的姓名和号码,这就属于第三款规定的履行法定义务所必需而处理个人信息的情形;我们如果想要知道我们银行账户的款项变动情况,需要开通短信通知,银行为了向我们提供短信通知的服务就需要收集我们的手机号码,这就属于第二款规定的为订立和履行合同所必需而处理个人信息的情形;而如果银行想要使用我们的个人身份信息、理财信息、贷款信息等进行分析用于后续对我们进行个性化营销,这既不属于履行法定职责或法定义务,也不属于为了订立或履行合同所必需,本条规定的其他情形更难适用,因此若银行想要在该场景下处理我们的信息,就需要获得我们的同意。

第十四条 处理个人信息的同意,应当由个人在充分知情的前提下,自愿、明确作出意思表示。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。

个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。

【解读】

本条明确了处理个人信息的一般同意和特殊同意以及重新取得同意的情形。

从处理个人信息的一般同意看,是在《个人信息保护法(草案)》第十三条第一款“同意”的情形下,也就是需要获得个人同意才能处理个人信息的情形下,需要依据《个人信息保护法(草案)》第七条的规定向个人明示个人信息处理规则,在确保个人充分知情的基础上,由个人自主作出明确的意思表示。从实践角度,对于需要用户同意才能处理用户个人信息的情形,需要通过《个人信息保护政策》等个人信息授权文本,向用户充分说明处理个人信息的规则,并由用户手动点击确认、手动勾选同意等自主同意的方式获得用户的同意。

从处理个人信息的特殊同意看,其来源于法律或行政法规的规定,具体要求为“单独同意或者书面同意”。可能大家会有疑问,什么情形需要“单独同意或者书面同意”呢?《个人信息保护法(草案)》在其第二十四条、第三十条、第三十九条规定了需要单独同意的三种情形,分别是“向第三方提供其处理的个人信息”、“基于个人同意处理敏感个人信息的”以及“向中国境外提供个人信息”。前述情形如何理解,我们在后续相应条文解读时再行展开,此处不再赘述。

从重新取得同意的情形看,在“处理目的、处理方式和处理的个人信息种类发生变更”的情形下,需要重新取得同意。鉴于原始同意时区分一般同意的情况和特殊同意的情况,重新取得同意时,需要与原始同意相对应,需要获得特殊同意的仍需获得特殊同意。

第十五条 个人信息处理者知道或者应当知道其处理的个人信息为不满十四周岁未成年人个人信息的,应当取得其监护人的同意。

【解读】

本条规定了处理不满十四周岁未成年人个人信息的特殊同意要求。

《儿童个人信息网络保护规定》第九条规定“网络运营者收集、使用、转移、披露儿童个人信息的,应当以显著、清晰的方式告知儿童监护人,并应当征得儿童监护人的同意”,在此基础上,《个人信息保护法(草案)》增加了“知道或者应当知道”的情形要求,一定程度上减轻了个人信息处理者的责任,但要论证确实不知道其处理的个人信息未不满十四周岁未成年人(以下简称“儿童”)个人信息,存在一定难度。可能在对个人的身份、年龄等进行了充分认证的前提下,基于技术限制、个人恶意隐瞒等原因确实未发现为儿童的情况下,能够豁免未取得儿童监护人同意的责任,但具体适用,有待立法机关的进一步解释和细化。

需要指出的是,结合《个人信息保护法(草案)》第十三条的规定来看,本条的适用与第十三条可能存在冲突。本条与GDPR第8条第(1)款内容相近,但又缺少了“在适用‘取得个人的同意’的情形下”(注:GDPR原文大意为“在向儿童直接提供信息社会服务的情形中适用本条例第6条第(1)款(a)项的规定时”)的限制,这就直接导致如果不是适用第十三条第一款第一项“取得个人的同意”而是适用第十三条第一款的其他项处理个人信息,比如“为履行法定职责或者法定义务所必需”而处理个人信息,按说是无需获得个人同意的,无论个人是否是儿童。但本条直接要求需要获得儿童的监护人同意,是否意味着即使是“为履行法定职责或法定义务所必需”处理儿童个人信息也需要获得儿童监护人的同意?如果是这样,那条文之间已经存在冲突,可能需要参照GDPR第8条第(1)款的规定增加“在适用本法第十三条第一款第一项的情况下”的适用限制。

第十六条 基于个人同意而进行的个人信息处理活动,个人有权撤回其同意。

【解读】

本条明确了个人有权撤回同意的情形。

相较于《网络安全法》和《民法典》,《个人信息保护法(草案)》首次专门从法律层面规定了个人有权撤回同意的要求,当然,本条也划定了适用的范围限制,即“基于个人同意”情形下,也就意味着,如果不是基于个人同意而是依据《个人信息保护法(草案)》第十三条第一款的其他情形处理个人信息,个人是无法撤回同意的。从实践角度,如果通过《个人信息保护政策》等授权文本获得个人同意而处理个人信息,应该在App等业务开展渠道或者个人可以通过联系客服的方式撤回对授权文本的同意。

第十七条 个人信息处理者不得以个人不同意处理其个人信息或者撤回其对个人信息处理的同意为由,拒绝提供产品或者服务;处理个人信息属于提供产品或者服务所必需的除外。

【解读】

本条明确了不得拒绝提供产品或者服务的情形。

如果个人不同意处理其个人信息或者撤回其对个人信息处理的同意,而相对应的个人信息是属于提供产品或服务所必需的,个人信息处理者可以拒绝提供产品或服务。但如果不是提供产品或服务所必需的,个人信息处理者不得拒绝提供产品或服务。举例来说,在金融借贷场景下,收集使用用户的通讯录信息一般来说不属于提供金融借贷服务所必需的信息,用户不同意提供通讯录信息或者之前同意提供通讯录信息现在想要撤回处理通讯录信息的同意,金融机构不得以此拒绝提供金融借贷服务。

第十八条 个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言向个人告知下列事项:

(一)个人信息处理者的身份和联系方式;

(二)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;

(三)个人行使本法规定权利的方式和程序;

(四)法律、行政法规规定应当告知的其他事项。

前款规定事项发生变更的,应当将变更部分告知个人。

个人信息处理者通过制定个人信息处理规则的方式告知第一款规定事项的,处理规则应当公开,并且便于查阅和保存。

【解读】

本条明确了处理个人信息前的告知要求。

第一款规定的告知要求,包含以下几个要点:(1)告知时间,处理个人信息前;(2)告知语言要求,以显著方式、清晰易懂的语言告知,即不得使用有歧义、容易引起误解或者大量使用晦涩难懂的专业术语进行告知;(3)告知内容要求,具体包括:1)第一项,“身份和联系方式”,对于联系方式,可以是客服电话、个人信息保护专用客服电话、个人信息保护部门联系电话/邮箱等;2)第二项,“处理目的、处理方式、处理的个人信息种类、保存期限”,一定程度上可以理解为《个人信息保护法(草案)》第七条规定的“个人信息处理规则”的范围。举例来说,收集个人信息时,需要告知收集个人信息的目的、收集方式(直接收集、间接收集等)、收集的个人信息种类和保存期限;3)第三项,“个人行使本法规定权利的方式和程序”,《个人信息保护法(草案)》第四章专章规定了“个人在个人信息处理活动中的权利”,从告知角度,需要告知行使这些权利的方式和程序。对于方式,从理解的角度,包括自主通过App等业务渠道行使权利、联系客服提出行使权利的主张等;对于程序,以自助通过App行使权利为例,需要告知个人在App上的具体操作路径和响应时间等;4)第四项,“法律、行政法规规定应当告知的其他事项”,本项为兜底规定。

第二款规定了变更情况下的告知要求,这里没有对告知作出详细的限制,从理解的角度,可以通过网站公告、App内通知、App弹窗、短信等方式对变更的部分进行告知。

第三款规定了通过制定个人信息处理规则的方式告知的特殊要求,要求规则应该公开、便于查阅和保存,也就是需要方便个人查询到规则全文和保存规则全文。对于查询到规则全文的要求,随着App的专项整治不断深入开展和《App违法违规收集使用个人信息行为认定方法》的实施,基本上很多App都能够在进入首页后四次点击范围内查询到《个人信息保护政策》全文;但便于保存的要求,系《个人信息安全法(草案)》首次提出,实践中相当一部分App的《个人信息保护政策》无法直接保存甚至采取技术措施专门实现无法复制粘贴的效果,后续需要进行相应调整。当然,实践中不乏部分App可以直接下载《个人信息保护政策》的PDF全文,值得其他App借鉴和学习。

最后,需要特别强调的是,本条规定的告知要求并未限制在经个人同意而处理个人信息的情形,而是对所有处理个人信息的情形提出了告知要求。从主体角度,也未进行限制,意味着无论是国家机关、事业单位还是普通的法人、非法人组织,抑或是其他类型的个人信息处理者处理个人信息之前,均要依据本条的规定进行相应的告知。当然,《个人信息保护法(草案)》第十九条规定了处理前告知的例外情形,对于例外情形可以适用第十九条的规定而不需要告知或者事后告知。

第十九条 个人信息处理者处理个人信息,有法律、行政法规规定应当保密或者不需要告知的情形的,可以不向个人告知前条规定的事项。

紧急情况下为保护自然人的生命健康和财产安全无法及时向个人告知的,个人信息处理者应当在紧急情况消除后予以告知。

【解读】

本条明确了处理个人信息前需要告知的例外情形。

从不需要向个人告知的例外情形看,其适用限制在“有法律、行政法规规定应当保密或者不需要告知”的范围内。比如,《中华人民共和国反恐怖主义法》第五十一条规定,“公安机关调查恐怖活动嫌疑,有权向有关单位和个人收集、调取相关信息和材料。有关单位和个人应当如实提供”,根据该条规定,如果公安机关向某恐怖活动嫌疑人的工作单位或者亲属收集调取嫌疑人的个人信息,是无需向嫌疑人进行告知的。

从不需要提前向个人告知的例外情形看,与《个人信息保护法(草案)》第十三条第一款第(四)项规定相关,该种紧急情况下无法及时向个人告知的,紧急情况消除后需要进行告知,而非不需要告知。

第二十条 个人信息的保存期限应当为实现处理目的所必要的最短时间。法律、行政法规对个人信息的保存期限另有规定的,从其规定。

【解读】

本条明确了个人信息保存期限最小化的要求和例外情形。

一般来说,应当在实现处理目的所必要的最短时间内保存个人信息。但如果法律、行政法规另有规定,比如《反洗钱法》第十九条第三款规定“客户身份资料在业务关系结束后、客户交易信息在交易结束后,应当至少保存五年”,据此,金融机构需要将该等信息至少保存五年。

第二十一条 两个或者两个以上的个人信息处理者共同决定个人信息的处理目的和处理方式的,应当约定各自的权利和义务。但是,该约定不影响个人向其中任何一个个人信息处理者要求行使本法规定的权利。

个人信息处理者共同处理个人信息,侵害个人信息权益的,依法承担连带责任。

【解读】

本条明确了个人信息处理者共同处理个人信息的要求。

从内部权利义务划分与个人权利主张主体看,本条第一款的规定与GDPR第26条相类似,要求共同处理个人信息的处理者内部划分权利和义务,但不得影响个人向任一处理者要求行使个人权利,这就要求处理者在内部划分权利和义务时,需要就响应个人权利主张作出相应约定。《信息安全技术 个人信息安全规范》(GB/T 35273-2020,以下简称“《个人信息安全规范》”)第9.6条对共同个人信息控制者的要求更加详细,可执行性更高,可以作为个人信息处理者内部划分权利义务的参考。

从责任承担看,本条第二款对共同处理个人信息的处理者提出了严格的责任承担要求,即“依法承担连带责任”,这就意味着个人信息处理者在选择共同处理个人信息的其他处理者时,最好对其进行必要的尽调,了解其个人信息安全能力、制度制定与实施情况、是否存在侵犯个人信息权益的黑历史等,不能选择“猪队友”,否则容易被牵连。

第二十二条 个人信息处理者委托处理个人信息的,应当与受托方约定委托处理的目的、处理方式、个人信息的种类、保护措施以及双方的权利和义务等,并对受托方的个人信息处理活动进行监督。

受托方应当按照约定处理个人信息,不得超出约定的处理目的、处理方式等处理个人信息,并应当在合同履行完毕或者委托关系解除后,将个人信息返还个人信息处理者或者予以删除。

未经个人信息处理者同意,受托方不得转委托他人处理个人信息。

【解读】

本条明确了委托处理个人信息的要求。

与GDPR第28条相类似,《个人信息保护法(草案)》规定了委托处理个人信息的情况下委托方的义务以及受托方的义务。《个人信息安全规范》第9.1条对委托处理做了更详细的规定,一定程度上可以作为适用本条的参考。

从委托方的义务看,主要在于通过合同文本约束受托方和进行监督,意味着需要定期或不定期的检查受托方是否根据合同约定处理个人信息。《个人信息保护法(草案)》并未明确受托方违法违约处理个人信息情况下的责任承担,但从加强约束和威慑的角度,建议委托方在合同文本中加重受托方违法违约处理个人信息的违约责任。

从受托方的义务看,主要在于按约处理个人信息、及时返还个人信息或删除个人信息以及未经同意不得转委托。按约处理个人信息,无需多言。及时返还个人信息或删除个人信息,意味着不得再行存储个人信息,也不得通过匿名化的方式来规避本条的规定。未经同意,不得转委托,意思也比较好理解,补充强调一点,对于受托方,即使将个人信息交由母公司、子公司等关联公司处理,也属于转委托,也需要获得委托方的同意方可转委托。

第二十三条 个人信息处理者因合并、分立等原因需要转移个人信息的,应当向个人告知接收方的身份、联系方式。接收方应当继续履行个人信息处理者的义务。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新向个人告知并取得其同意。

【解读】

本条明确了合并、分立等需要转移个人信息情形下的要求。

与《个人信息安全规范》第9.3条相类似,《个人信息保护法(草案)》提出了合并、分立等需要转移个人信息情形下个人信息处理者和接收方的义务。

从个人信息处理者的义务看,需要向个人告知接收方的身份、联系方式,这里的“身份”、“联系方式”可以和《个人信息保护法(草案)》第十八条第一款第一项中“身份”、“联系方式”作同样理解,不再赘述。

从接收方的义务看,应当继续履行个人信息处理者的义务,变更处理目的和处理方式的情况下还需要重新向个人告知并取得同意。需要指出的是,与《个人信息保护法(草案)》第十五条可能与《个人信息保护法(草案)》第十三条的规定存在冲突相类似,本条的适用与本法第十三条也可能存在冲突。如果不是适用第十三条第一款第一项“取得个人的同意”而是适用第十三条第一款的其他项处理个人信息,比如“为履行法定职责或者法定义务所必需”而处理个人信息,按说是无需获得个人同意的,如果接收方基于履行法定职责或者法定义务所必需而变更处理目的和处理方式,从理解的角度,仍然无需获得个人的同意,而仅仅进行告知即可。因此,可能需要将本条最后一句调整为“接收方变更原先的处理目的、处理方式的,应当依照本法规定重新向个人告知,依据本法第十三条第一款第一项处理个人信息的还需要取得其同意”。

第二十四条 个人信息处理者向第三方提供其处理的个人信息的,应当向个人告知第三方的身份、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。接收个人信息的第三方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。第三方变更原先的处理目的、处理方式的,应当依照本法规定重新向个人告知并取得其同意。

个人信息处理者向第三方提供匿名化信息的,第三方不得利用技术等手段重新识别个人身份。

【解读】

本条明确了向第三方提供个人信息的要求。

与《网络安全法》第四十二条第一款和《民法典》第一千零三十八条第一款相类似,《个人信息保护法(草案)》对于向第三方提供个人信息,向个人信息处理者和接收个人信息的第三方提出了要求。

从个人信息处理者的义务看,应当向个人告知“第三方的身份、联系方式、处理目的、处理方式和个人信息的种类”,并“取得个人的单独同意”。这里出现了《个人信息保护法(草案)》第十四条提到的“另有规定”的第一个“单独同意”情形。但与《个人信息保护法(草案)》第十五条、第二十三条可能和第十三条存在冲突相类似,本条可能也与本法第十三条存在冲突,比如我们在电商平台购物,为了依照合同约定向我们配送商品,在没有或者不通过自有物流的情况下,电商平台必须将我们的收件信息提供给第三方物流公司,这种情况下,是否属于“为履行合同所必需”而无需获得我们的同意?或者说,即便不是“为履行合同所必需”,如果我们不同意将我们的收件信息提供给第三方物流公司,电商平台无法完整提供购物服务,那么电商平台是否可以适用本法第十七条依据处理个人信息属于提供服务所必需而拒绝提供服务呢?如果是这样,我们不同意提供收件信息,又有何意义?对此,有待进一步探讨。

从接收个人信息的第三方的义务看,变更处理目的、处理方式情况下,需要重新向个人告知并取得其同意。这里存在与本法第二十三条接收方义务相类似的问题,不再重复。另外,本条第二款的规定存在明显立法冲突,根据本法第六十九条第一款第四项“匿名化”的定义,匿名化信息就是无法复原的信息,如果向第三方提供的确实是匿名化信息,第三方不可能复原识别个人身份。反之,第三方若能够复原识别个人信息,则说明提供的也不是匿名化信息。因此,可能需要对本条第二款进行删减或者调整。

第二十五条 利用个人信息进行自动化决策,应当保证决策的透明度和处理结果的公平合理。个人认为自动化决策对其权益造成重大影响的,有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。

通过自动化决策方式进行商业营销、信息推送,应当同时提供不针对其个人特征的选项。

【解读】

本条明确了利用个人信息进行自动化决策的要求。

从自动化决策的过程和结果要求看,与GDPR第22条相类似,《个人信息安全法(草案)》强调自动化决策的透明和处理结果的公平合理,并为个人提供了救济途径。举例来说,在金融借贷场景下,如果依据数据模型自动决定个人贷款额度的,个人可以要求个人信息处理者作出说明并有权拒绝仅以数据模型自动决策的方式作出决定,相对应的,在个人依据本条提出权利主张的情况下,个人信息处理者可能需要对个人的贷款额度进行人工复核。当然,为了防止个人滥用本条的规定,本条对适用情形进行了限制,即“对其(个人)权益造成重大影响的”,防止个人随意拒绝自动化决策的处理后果或者提出异议而加重企业的负担。

从对自动化决策进行商业营销、信息推送的要求看,与《中华人民共和国电子商务法》第十八条第一款规定相类似,要求同时提供不针对其个人特征的选项。《个人信息安全规范》第7.5条b)项也有类似规定。

第二十六条 个人信息处理者不得公开其处理的个人信息;取得个人单独同意或者法律、行政法规另有规定的除外。

【解读】

本条明确了个人信息公开的原则要求和例外情形。

从原则要求看,以不公开为原则,因为一般来说,公开个人信息可能加大个人信息权益受侵犯的风险;从例外情形看,取得个人单独同意或者法律、行政法规另有规定的情况下可以公开个人信息。对于取得个人同意公开个人信息的情况下,需要遵循《个人信息保护法(草案)》的一般要求,即向个人告知并确有必要公开。

第二十七条 在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、个人身份特征信息只能用于维护公共安全的目的,不得公开或者向他人提供;取得个人单独同意或者法律、行政法规另有规定的除外。

【解读】

本条明确了公共场所安装图像采集、个人身份识别设备的要求。

实践中已经大量存在公共场所安装图像采集、个人身份识别设备的情况,比如商场安装人脸识别摄像头,用于统计人流量和识别VIP客户等。根据《个人信息保护法(草案)》的规定,前述场景下很难满足“维护公共安全所必需”的要求,“法律、行政法规另有规定”基本也难以适用,而“取得个人单独同意”同样存在很大难度。如果本条在正式稿出台时未作调整而直接落地执行,前述场景下继续采集图像或进行个人身份识别,存在较大可能违反本条的规定。

第二十八条 个人信息处理者处理已公开的个人信息,应当符合该个人信息被公开时的用途;超出与该用途相关的合理范围的,应当依照本法规定向个人告知并取得其同意。

个人信息被公开时的用途不明确的,个人信息处理者应当合理、谨慎地处理已公开的个人信息;利用已公开的个人信息从事对个人有重大影响的活动,应当依照本法规定向个人告知并取得其同意。

【解读】

本条明确了处理已公开的个人信息的要求。

在《民法典》第一千零三十六条第一款第二项的基础上,《个人信息保护法(草案)》对于处理已公开的个人信息提出了更严格的要求。举例来说,小明想要出售房子,自行在网络上发布了房子的信息和自己的联系方式。某汽车销售商看到了小明的联系方式,与小明进行联系,但是是为了销售汽车而不是为了购买房子。在该例子中,汽车销售商的个人信息处理行为就很难被论证为是在小明公开信息用途相关的合理范围内进行的处理。从审慎的角度,在无法确定个人信息被公开时的用途或者无法准确说明是在公开时用途相关的合理范围,建议先告知并获得个人同意后再利用已公开的个人信息。

第二节 敏感个人信息的处理规则

第二十九条 个人信息处理者具有特定的目的和充分的必要性,方可处理敏感个人信息。

敏感个人信息是一旦泄露或者非法使用,可能导致个人受到歧视或者人身、财产安全受到严重危害的个人信息,包括种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等信息。

【解读】

本条明确了处理敏感个人信息的条件和敏感个人信息的定义。

从处理敏感个人信息的条件看,“特定的目的”和“充分的必要性”,条件比较严苛。实践中大量出现收集人脸照片的场景,比如取快递要刷脸,再比如被称为“中国人脸识别第一案”中进入动物园需要刷脸,其能否满足“充分的必要性”,可能存在较大争议。

从敏感个人信息的定义看,相较于《个人信息安全规范》第3.2条对于“个人敏感信息”的定义,《个人信息保护法(草案)》对敏感个人信息的定义划分似乎更为严格、范围有所限缩。本条对“危害”增加了“严重”的限定,而且对“敏感个人信息”的举例中未列举“身份证件号码、通信记录和内容、财产信息、征信信息、住所信息、交易信息”,也未强调对“个人名誉”的影响。当然,这可能与《个人信息保护法(草案)》对于处理敏感个人信息规定了更严格的规范要求也有关系。

第三十条 基于个人同意处理敏感个人信息的,个人信息处理者应当取得个人的单独同意。法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。

【解读】

本条明确了基于个人同意处理敏感个人信息的要求。

从一般要求看,基于个人同意处理敏感个人信息,应当取得个人的单独同意。对于基于个人同意情形下的“单独同意”,按照现有App通过《个人信息保护政策》获得处理个人信息和敏感个人信息的同意,很难说明是获得了“单独同意”,可能需要在实际触发处理敏感个人信息之前,通过单独弹窗等方式获得个人的同意。近期发布的《网络交易监督管理办法(征求意见稿)》第十一条要求“网络交易经营者收集、使用生物识别信息、健康信息、财产信息、社交信息等敏感信息的,应当逐项取得被收集者授权同意”,同此处的“单独同意”相近似,亦反映了敏感个人信息处理方面愈发严格的监管趋势。

从特殊要求看,“法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定”,留下了例外情形要求,后续有相应书面同意要求的,需要遵守其要求。

第三十一条 个人信息处理者处理敏感个人信息的,除本法第十八条规定的事项外,还应当向个人告知处理敏感个人信息的必要性以及对个人的影响。

【解读】

本条明确了处理敏感个人信息的特殊告知要求。

处理敏感个人信息,除了需要根据《个人信息保护法(草案)》第十八条向用户告知相应的事项外,还需要告知必要性以及对个人的影响,告知的要求更加严格。对于“对个人的影响”,举例来说,投保人身保险时,保险公司收集了投保人的病例等医疗健康信息,对个人的影响在于如果存在特殊疾病史等情况,可能影响是否承保以及保费的测算。

第三十二条 法律、行政法规规定处理敏感个人信息应当取得相关行政许可或者作出更严格限制的,从其规定。

【解读】

本条明确了处理敏感个人信息的特殊限制情形。

《个人信息保护法(草案)》并未直接明确处理敏感个人信息的特殊限制情形,而是留下了适用规定,不排除后续可能有其他相关法律或者配套行政法规作出严格限制,需要加以关注。

第三节 国家机关处理个人信息的特别规定

第三十三条 国家机关处理个人信息的活动适用本法;本节有特别规定的,适用本节规定。

【解读】

本条明确了国家机关处理个人信息的适用规则。

从一般规则看,国家机关处理个人信息需要适用《个人信息保护法(草案)》的一般规定;从特殊规则看,如果本节对国家机关处理个人信息进行了特殊规定,需要适用本节的特殊规定。

第三十四条 国家机关为履行法定职责处理个人信息,应当依照法律、行政法规规定的权限、程序进行,不得超出履行法定职责所必需的范围和限度。

【解读】

本条明确了国家机关为履行法定职责处理个人信息的规范化要求。

从规范化要求看,主要包括以下三点:(1)需要基于履行法定职责的需要,避免在法定职责之外随意收集、使用个人信息;(2)需要依照法律、行政法规规定的条件和程序进行,也就是说如未经法定条件和程序,即使在法定职责范围内国家机关也不得处理个人信息。举个例子,根据《网络安全法》等法律规定,公安机关有权依法对互联网服务提供者和联网使用单位履行法律、行政法规规定的网络安全义务情况进行安全监督检查,监督检查过程中很可能涉及用户的个人信息,《公安机关互联网安全监督检查规定》第三章对于公安机关进行互联网监督检查的程序进行了专章的规定,实践中公安机关开展涉个人信息的安全监督检查需要遵守该等规定;(3)不得超出履行法定职责所必需的范围和限度。对于国家机关的个人信息处理行为,实践中存在较多争议,以《计算机信息网络国际联网安全保护管理办法(2011修订)》第八条为例,该条规定,“从事国际联网业务的单位和个人应当接受公安机关的安全监督、检查和指导,如实向公安机关提供有关安全保护的信息、资料及数据文件,协助公安机关查处通过国际联网的计算机信息网络的违法犯罪行为”,该办法在2011年修订以后,对于“有关安全保护的信息、资料及数据文件”未进行明确限制,原有1997版本虽加以限制但仍留下了较大空白,导致实践中部分公安部门要求企业提供用户的详细注册信息和登录日志信息的情形,该等情形是否属于必需的范围和限度,可能有待进一步探讨。

第三十五条 国家机关为履行法定职责处理个人信息,应当依照本法规定向个人告知并取得其同意;法律、行政法规规定应当保密,或者告知、取得同意将妨碍国家机关履行法定职责的除外。

【解读】

本条明确了国家机关为履行法定职责处理个人信息的要求。

从一般要求看,国家机关为履行法定职责处理个人信息,需要“告知+同意”,一定程度上能够提高国家机关处理个人信息的透明度;从例外情形看,“法律、行政法规规定应当保密,或者告知、取得同意将妨碍国家机关履行法定职责的除外”,比如为了犯罪侦查收集使用个人信息的,可以不向个人告知也无需获得其同意。

第三十六条 国家机关不得公开或者向他人提供其处理的个人信息,法律、行政法规另有规定或者取得个人同意的除外。

【解读】

本条明确了国家机关不得公开或向他人提供处理的个人信息要求和例外情形。

从原则性要求看,不得公开或向他人提供处理的个人信息为基本原则。如果需要公开或者向他人提供,需要有法律、行政法规的规定或者取得个人的同意。对于经个人同意公开或者向他人提供个人信息的情形,应该适用本法的一般性规定,告知规则并限于必要限度。

第三十七条 国家机关处理的个人信息应当在中华人民共和国境内存储;确需向境外提供的,应当进行风险评估。风险评估可以要求有关部门提供支持与协助。

【解读】

本条明确了国家机关存储个人信息的一般要求和向境外提供个人信息的特殊要求。

从一般要求看,国家机关一般应将处理的个人信息存储在境内;确需向境外提供的,应当进行风险评估。这里可以提供支持与协助的有关部门,从理解的角度,主要包括网信部门、公安部门等。

第三章 个人信息跨境提供的规则

第三十八条 个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当至少具备下列一项条件:

(一)依照本法第四十条的规定通过国家网信部门组织的安全评估;

(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;

(三)与境外接收方订立合同,约定双方的权利和义务,并监督其个人信息处理活动达到本法规定的个人信息保护标准;

(四)法律、行政法规或者国家网信部门规定的其他条件。

【解读】

本条明确了个人信息处理者向境外传输个人信息的条件。

《个人信息出境安全评估办法(征求意见稿)》规定个人信息出境应当报请安全评估。相较于前述征求意见稿的规定,《个人信息保护法(草案)》并未要求个人信息处理者向境外传输个人信息的所有情形下均应进行安全评估,对于个人信息处理者向境外传输个人信息的要求有所放宽。

根据本条规定,个人信息出境的前提是因业务需要所必需。在满足因业务需要所必需的情形下,对于符合《个人信息保护法(草案)》第四十条规定的个人信息出境情形,即个人信息处理者为关键信息基础设施运营者或个人信息处理者处理的个人信息达到国家网信部门规定数量的,应当按照本条第一项的规定通过国家网信部门组织的安全评估;对于符合国家网信部门规定的需经专业机构进行个人信息保护认证的情形,应当根据相关规定通过专业机构的个人信息保护认证。而对于非属于本条第(1)(2)项情形的其他个人信息出境情形,个人信息处理者可以在采用同境外接收方订立合同的方式或在符合法律、行政法规、国家网信部门规定的其他条件的情形下向境外传输个人信息。若采用同境外接收方订立合同的方式向境外传输个人信息的,合同应当约定双方的权利和义务,并监督促使接收方的个人信息处理活动达到《个人信息保护法(草案)》规定的个人信息保护标准。

对于何种个人信息出境场景属于符合国家网信部门规定的需经专业机构进行个人信息保护认证的情形,鉴于现有的相关规定并未明确,可能有待后续网信部门的进一步立法加以明确。

第三十九条 个人信息处理者向中华人民共和国境外提供个人信息的,应当向个人告知境外接收方的身份、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式等事项,并取得个人的单独同意。

【解读】

本条明确了个人信息处理者就向境外传输个人信息的“告知-同意”要求。

本条要求个人信息处理者向境外传输个人信息应当向个人进行充分告知,并取得个人的单独同意。告知的内容采取了“列举+兜底”的方式,包括“境外接收方的身份、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式”等事项。只有在满足了第三十八条的监管要求,并根据本条的规定取得个人的单独同意的情况下,个人信息处理者方可向境外传输个人信息。值得讨论的是,就告知的内容上,除了本条列明的几项外,是否考虑增加列示境外接收方的数据安全能力作为披露项。近年来,境外网络安全事件频发,在境外接收方发生过重大网络安全事件的情形下,是否向个人披露境外接收方的数据安全能力,可能对个人是否同意个人信息出境产生影响。

此外,需要注意的是,尽管相较于《民法典》,《个人信息保护法(草案)》第十三条增加了“为订立或者履行个人作为一方当事人的合同所必需”等情形作为处理个人信息的一般情形下的合法性基础,但《个人信息保护法(草案)》并未借鉴GDPR等境外立法,允许在“为订立或者履行个人作为一方当事人的合同所必需”等情形下的个人信息出境。从条文文义理解的角度,本法第十三条似乎并不能直接适用于个人信息出境的场景下,个人信息处理者可能仅能够基于个人的同意向境外传输个人信息。这也体现了立法对于个人信息出境的审慎态度。

第四十条 关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估;法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定。

【解读】

本条明确了部分特殊个人信息处理者向境外提供个人信息的专门要求。

从主体上看,本条规制的个人信息处理者包括关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者。对于数量标准,可供参考的是《个人信息和重要数据出境安全评估办法(征求意见稿)》第九条的相关规定,其要求出境信息中含有或累计含有50万人以上的个人信息应报请行业主管或监管部门组织安全评估。但就《个人信息保护法(草案)》下的该等数量标准,尚有待网信部门后续出台进一步的细化规定。

从行为要求来看,原则上前述个人信息处理者在境内收集和产生的个人信息应进行本地化存储。仅在确需向境外提供的情形下,且通过国家网信部门组织的安全评估后,个人信息处理者方可向境外提供个人信息。

从评估的组织主体来看,《个人信息出境安全评估办法(征求意见稿)》第三条要求网络运营者应当向所在地省级网信部门申报个人信息出境安全评估,而本条则规定安全评估由国家网信部门组织,将安全评估的组织权限统一由国家网信部门行使,有利于统一国家对个人信息出境的监管尺度。

此外,本条还规定了法律、行政法规和国家网信部门规定可以不进行安全评估的例外情形,为后续立法规定例外情形留下了口子。

第四十一条 因国际司法协助或者行政执法协助,需要向中华人民共和国境外提供个人信息的,应当依法申请有关主管部门批准。

中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息有规定的,从其规定。

【解读】

本条明确了国际司法协助或行政执法协助情形下向境外提供个人信息需报批的原则性要求。

本条承袭了《数据安全法(草案)》第三十三条的立法精神,旨在一定程度上封堵境外机构的长臂管辖,维护国家主权和安全及境内个人的权益。同时,本条明确规定了例外情形,即“我国缔结或参加的国际条约、协定对此有规定的,依照其规定”,妥善解决了法律与国际条约、协定的适用问题。

不同于《数据安全法(草案)》第三十三条,本条规定的需报批情形包括国际司法协助或行政执法协助,目的是从行政执法和司法两个层面阻却境外机构对境内机构或个人实施的长臂管辖。

第四十二条 境外的组织、个人从事损害中华人民共和国公民的个人信息权益,或者危害中华人民共和国国家安全、公共利益的个人信息处理活动的,国家网信部门可以将其列入限制或者禁止个人信息提供清单,子以公告,并采取限制或者禁止向其提供个人信息等措施。

【解读】

本条明确了限制或者禁止个人信息提供清单制度。

个人信息出境往往意味着境内监管机构的监管难度及个人维权难度的改变。确立限制或者禁止个人信息提供清单制度,限制、禁止向境外从事损害我国公民的个人信息权益,或者危害我国国家安全、公共利益的个人信息处理活动的组织、个人提供个人信息,有助于一定程度上降低个人信息出境环节中危害国家安全、公共利益或损害个人信息权益的风险,亦可以起到一定的威慑和警示作用。

从实施主体来看,限制或者禁止个人信息提供清单制度的实施主体为国家网信部门,针对被列入清单的组织或个人可以采取的措施包括限制或者禁止向其提供个人信息。参照近期出台的《不可靠实体清单规定》,对于限制或者禁止个人信息提供清单制度的具体组织实施、将组织、企业列入清单的相关程序、具体的限制措施等,或可能由国家网信部门牵头另行制订相应的规定。

第四十三条 任何国家和地区在个人信息保护方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的,中华人民共和国可以根据实际情况对该国家或者该地区采取相应措施。

【解读】

本条明确了个人信息保护领域的对等反制措施。

近年来,个别国家在政治、经济、外交等领域对我国采取了歧视性的禁止、限制或者其他类似措施,对我国国家利益和我国“出海”企业的利益造成了较大影响。

采取正当且必要的对等反制措施,是维护我国国家利益的重要手段。就个人信息保护领域而言,本条规定的对等反制措施基于国际法上的“对等原则”,亦同《出口管制法》第四十八条、《数据安全法(草案)》第二十四条所体现的立法精神相协同,有助于维护我国国家利益、公共利益及我国个人的合法权益。

第四章 个人在个人信息处理活动中的权利

第四十四条 个人对其个人信息的处理享有知情权、决定权,有权限制或者拒绝他人对其个人信息进行处理;法律、行政法规另有规定的除外。

【解读】

本条明确了个人的知情权和决定权。

或是为了保障立法的弹性,本条并未如GDPR第十三条、十四条一般,对知情权的内容进行详尽的说明,一般来说“知情权”指向个人有权知晓其个人信息被处理的情况;就“决定权”的内容而言,从条文文本本身来看,主要表现为“限制或拒绝他人的处理”,更多表现为一种被动的防御。就两者的关系上,知情权系行使决定权的前提。明确个人的知情权和决定权,有利于个人更好地实现对其个人信息的控制。

此外,本条留下了但书规定,即“法律、行政法规另有规定的除外”,比如基于犯罪侦查收集个人信息,出于保密等原因,可以拒绝个人行使其知情权和决定权。

第四十五条 个人有权向个人信息处理者查阅、复制其个人信息;有本法第十九条第一款规定情形的除外。

个人请求查阅、复制其个人信息的,个人信息处理者应当及时提供。

【解读】

本条明确了个人的查阅、复制权。

个人的查阅、复制权首次见于《民法典》第一千零三十七条。查阅、复制个人信息便于个人有效行使更正、删除个人信息的权利,有助于加强个人对个人信息的控制。区别于《民法典》规定的是,本条增加了查阅、复制权行使的例外,即“有法律、行政法规规定应当保密或者不需要告知的情形”。在该等情形下,个人信息处理者有权拒绝个人查阅、复制个人信息的请求。在《民法典》及《个人信息保护法(草案)》均明确了个人享有查阅、复制权的情形下,如无法适用例外情形,个人信息处理者应当采取适当的方式对个人查阅、复制其个人信息的请求及时予以回应,确保其查阅、复制权的行使。

同时,有许多拥有大量用户的平台企业担忧在《民法典》生效后,可能同时面临大量用户查阅、复制个人信息的请求。《个人信息保护法(草案)》并未回应这一种实践中的担忧,作为个人信息处理者的企业应如何应对,可能还有待后续实践的探索。

第四十六条 个人发现其个人信息不准确或者不完整的,有权请求个人信息处理者更正、补充。

个人请求更正、补充其个人信息的,个人信息处理者应当对其个人信息予以核实,并及时更正、补充。

【解读】

本条明确了个人的更正、补充权。

《网络安全法》第四十三条、《民法典》第一千零三十七条均规定了个人的更正权,《个人信息保护法(草案)》在对个人的更正权予以重申的同时,区分了个人信息不准确或者不完整的情形,并针对个人信息不完整的情形规定了个人的补充权,旨在针对实践中用户无法更正、补充其个人信息的问题。

实践中,涉及更正个人信用情况的纠纷较为常见,不少企业因不愿意配合更正错误记载的个人信息而遭到起诉,面临相应的诉累和舆情压力的情形。对于企业而言,建议在个人行使更正、补充权时进行核查并在核查无误的情况下及时予以配合。

第四十七条 有下列情形之一的,个人信息处理者应当主动或者根据个人的请求,删除个人信息:

(一)约定的保存期限已届满或者处理目的已实现;

(二)个人信息处理者停止提供产品或者服务;

(三)个人撤回同意;

(四)个人信息处理者违反法律、行政法规或者违反约定处理个人信息;

(五)法律、行政法规规定的其他情形。

法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的,个人信息处理者应当停止处理个人信息。

【解读】

本条明确了个人的删除权。

《网络安全法》第四十三条、《民法典》第一千零三十七条均规定了在个人信息处理者违法或违约处理个人信息的情形下个人的删除权,《个人信息保护法(草案)》第四十七条对于删除权适用的情形予以了扩张,增加了本条第一款第(一)(二)(三)(五)项作为个人有权行使删除权的情形。

若约定的保存期限已届满,则个人信息处理者继续保存个人信息可能违反同个人之间的约定;而在处理目的已实现、个人信息处理者停止提供产品或者服务以及个人撤回同意的情形下,个人信息处理者不再收集、使用用户个人信息,其继续保存用户个人信息可能缺乏相应的合法性基础。

值得讨论的是,不同于《个人信息安全规范》第6.1b)条和第6.4c)条,《个人信息保护法(草案)》并未在本条规定的情形下,为个人信息处理者留下匿名化处理个人信息的口子。基于此,若本条款正式落地,可能对当前企业的个人信息利用方式产生一定的影响。

第四十八条 个人有权要求个人信息处理者对其个人信息处理规则进行解释说明。

【解读】

本条明确了个人有权要求个人信息处理者释明其个人信息处理规则。

《个人信息保护法(草案)》第十八条要求个人信息处理者制定并公开个人信息处理规则。个人信息处理规则同个人的个人信息相关权利密切相关,但实践中,如果缺少相应的知识积累或者存在少量专业术语,普通个人理解个人信息处理规则可能存在一定困难,故本条规定个人有权要求个人信息处理者向其解释说明,有助于保障个人的知情权,方便个人更好地理解个人信息处理规则。

第四十九条 个人信息处理者应当建立个人行使权利的申请受理和处理机制。拒绝个人行使权利的请求的,应当说明理由。

【解读】

本条明确了建立个人行权申请受理和处理机制的要求。

《网络安全法》第四十九条规定,网络运营者应当建立网络信息安全投诉、举报制度,公布投诉、举报方式等信息,及时受理并处理有关网络信息安全的投诉和举报。网络运营者对网信部门和有关部门依法实施的监督检查,应当予以配合。《个人信息安全规范》第8.8条规定,“个人信息控制者应建立投诉管理机制和投诉跟踪流程,并在合理的时间内对投诉进行响应”。《个人信息保护法(草案)》亦要求个人信息处理者应建立申请受理和处理机制,以保障个人行使其相关权利,并要求个人信息处理者就拒绝个人行权请求的情形下,应说明理由。

值得讨论的是,本条似乎更多系规定个人信息处理者之义务而非个人之权利,可能规定在《个人信息保护法(草案)》第五章“个人信息处理者的义务”中更为合适。

第五章 个人信息处理者的义务

第五十条 个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人的影响、可能存在的安全风险等,采取必要措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露或者被窃取、篡改、删除:

(一)制定内部管理制度和操作规程;

(二)对个人信息实行分级分类管理;

(三)采取相应的加密、去标识化等安全技术措施;

(四)合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;

(五)制定并组织实施个人信息安全事件应急预案;

(六)法律、行政法规规定的其他措施。

【解读】

本条明确了个人信息处理者的安全保护义务。

就内部管理制度和操作规程而言,结合《个人信息保护法(草案)》第四条,管理制度和操作规程至少应覆盖个人信息收集、存储、使用、加工、传输、提供、公开等个人信息全生命周期流程。

就个人信息分级分类管理而言,参照《电信和互联网服务 用户个人信息保护分级指南》(YD∕T 2782-2014)、《个人金融信息保护技术规范》(JR/T 0171-2020)和《个人信息安全规范》的规定,实践中常见的方式是对用户个人信息按照内容进行分类,再依照个人信息的敏感程度,即相关个人信息遭到未经授权的查看或未经授权的变更后产生的影响和危害,对个人信息进行分级。

就应采取的安全措施而言,建议企业根据个人信息分级分类的结果,采取不同的安全技术措施,对于敏感程度较高的个人信息,建议采取更为严格的安全技术措施,以降低个人信息可能面临的风险。

就内部操作权限配置而言,参照《个人信息安全规范》第7.1a)条,合理的内部操作权限配置应符合最小授权的访问控制策略,使被授权访问个人信息的人员只能访问职责所需的最小必要的个人信息,且仅具备完成职责所需的最少的数据操作权限。

就从业人员管理而言,《个人信息保护法(草案)》明确要求个人信息处理者应定期对从业人员进行安全教育和培训,从教育和培训时间点看,宜进行新员工入职培训时,将个人信息安全作为教育和培训内容之一,在入职阶段就强化个人信息安全意识,后续定期开展个人信息安全教育和培训;从培训内容看,个人信息保护的相关法律法规规定、内部制度、操作流程等,特别是最新出台的规定和内部制度流程等的重要修订,应该纳入培训的内容;从培训对象看,这里的员工不应限于基层员工,而应是包含高层员工在内的全体员工,领导层高度重视、基层员工严格践行,方能更好地开展个人信息安全工作。

就制定并组织实施个人信息安全事件应急预案而言,《个人信息保护法(草案)》明确将“制定并组织实施个人信息安全事件应急预案”上升为个人信息处理者的义务。除制定并组织实施应急预案外,建议个人信息处理者参照《个人信息安全规范》第10条的要求,定期组织内部人员开展相关应急响应培训和应急演练,促使相关人员更好地掌握在应急处置时其岗位职责和应急处置策略、规程。

此外,本条第一款第六项留下了弹性空间,即“法律、行政法规规定的其他措施”,意味着如果法律、行政法规对个人信息保护者提出其他保护措施要求的,应依照其规定。

第五十一条 处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督。

个人信息处理者应当公开个人信息保护负责人的姓名、联系方式等,并报送履行个人信息保护职责的部门。

【解读】

本条明确了设置个人信息保护负责人的条件和履职信息公开要求。

《个人信息保护法(草案)》下的个人信息保护负责人同GDPR的数据保护专员(DPO)存在一定的区别。就本条而言,《个人信息保护法(草案)》以个人信息处理者处理个人信息的数量作为划分门槛,仅有处理个人信息达到国家网信部门规定数量的个人信息处理者才负有指定个人信息保护负责人的义务。

就职责来看,个人信息保护负责人的职责在于对个人信息处理活动以及采取的保护措施等进行监督。同时,个人信息处理者应当公开其姓名与联系方式等,并将相关信息报送相关监管部门。

仅从本条来看,《个人信息保护法(草案)》仅对个人信息保护负责人的设置提出了框架性的要求,而对于个人信息保护负责人的具体职责划分、任职要求、条件以及责任承担等问题,或有待网信部门后续制定详细的实施细则以进一步规范。从参考角度,《个人信息安全规范》第11.1条可以为个人信息保护负责人的设置提供详细参考。

第五十二条 本法第三条第二款规定的中华人民共和国境外的个人信息处理者,应当在中华人民共和国境内设立专门机构或者指定代表,负责处理个人信息保护相关事务,并将有关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门。

【解读】

本条明确要求在我国境外处理境内自然人个人信息的境外个人信息处理者应设立专门机构或指定代表负责个人信息保护相关事务并报送相关监管部门。

由境外机构于境内设立的专门机构或指定代表承担个人信息保护责任的规定曾见于《个人信息出境安全评估办法(征求意见稿)》第二十条,目的在于通过对境外个人信息处理者于境内设立的专门机构或指定代表的管辖而间接实现对境外个人信息处理者的管辖。可能有待需要进一步明确的是,此处的专门机构所指向的对象范围,即境外个人信息处理者的境内主体、子公司、关联公司等机构是否均可以作为此处的专门机构。

第五十三条 个人信息处理者应当定期对其个人信息处理活动、采取的保护措施等是否符合法律、行政法规的规定进行审计。履行个人信息保护职责的部门有权要求个人信息处理者委托专业机构进行审计。

【解读】

本条明确了个人信息处理者的个人信息安全审计要求。

相较于《个人信息安全规范》第11.7条规定的较为详尽的安全审计要求,《个人信息保护法(草案)》第五十三条仅对个人信息处理者的安全审计要求进行了原则性规定,要求个人信息处理者确保在日常运营和业务开展过程中的个人信息处理行为符合法律法规规定。

此外,从确保有效履职出发,本条规定了个人信息保护有权要求个人信息处理者委托专业机构进行审计,有助于推动审计工作的有效开展和提高审计工作的专业性。直白来说,有助于个人信息保护部门向公司申请委托专业机构进行审计的预算。这里的“专业机构”,从理解的角度,包括信息安全测评机构、律师事务所、会计师事务所等。

第五十四条 个人信息处理者应当对下列个人信息处理活动在事前进行风险评估,并对处理情况进行记录:

(一)处理敏感个人信息;

(二)利用个人信息进行自动化决策;

(三)委托处理个人信息、向第三方提供个人信息、公开个人信息;

(四)向境外提供个人信息;

(五)其他对个人有重大影响的个人信息处理活动。

风险评估的内容应当包括:

(一)个人信息的处理目的、处理方式等是否合法、正当、必要;

(二)对个人的影响及风险程度;

(三)所采取的安全保护措施是否合法、有效并与风险程度相适应。

风险评估报告和处理情况记录应当至少保存三年。

【解读】

本条明确了个人信息处理者的事前风险评估义务。

《个人信息保护法(草案)》规定的事前风险评估义务同《个人信息安全规范》第11.4条规定的个人信息安全影响评估较为相似,相较于《个人信息安全规范》,本条明确规定了需要进行事前风险评估的个人信息处理活动类别,并提出了风险评估报告和处理情况记录应当至少保存三年的具体要求,为个人信息处理者开展个人信息事前风险评估指明了方向。

第五十五条 个人信息处理者发现个人信息泄露的,应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人。通知应当包括下列事项:

(一)个人信息泄露的原因;

(二)泄露的个人信息种类和可能造成的危害;

(三)已采取的补救措施;

(四)个人可以采取的减轻危害的措施;

(五)个人信息处理者的联系方式。

个人信息处理者采取措施能够有效避免信息泄露造成损害的,个人信息处理者可以不通知个人;但是,履行个人信息保护职责的部门认为个人信息泄露可能对个人造成损害的,有权要求个人信息处理者通知个人。

【解读】

本条明确了发现个人信息泄露时个人信息处理者的补救和通知义务。

就补救义务的触发时点而言,只要个人信息处理者发现了该等信息泄露的情形,便应当立即采取补救措施;就义务的内容而言,主要表现为通知履行个人信息保护职责的部门和个人;就通知的内容而看,本条列举了泄露的原因、涉及的信息种类和可能造成的危害、已采取的补救措施、个人可以采取的减轻危害的措施以及联系方式。同时,《个人信息保护法(草案)》亦规定了可以不通知个人的例外情形,即个人信息处理者采取措施能够有效避免信息泄露造成损害的,以及例外情形的例外,即履行个人信息保护职责的部门认为个人信息泄露可能对个人造成损害的,个人信息保护部门有权要求个人信息处理者通知个人。

需要探讨的一个问题是,本条似乎无法规制个人信息处理者应当发现而没有发现个人信息泄露的,将“应当发现”纳入本条的规制范围,似乎能够更好地约束个人信息处理者。

第六章 履行个人信息保护职责的部门

第五十六条 国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。国务院有关部门依照本法和有关法律、行政法规的规定,在各自职责范围内负责个人信息保护和监督管理工作。

县级以上地方人民政府有关部门的个人信息保护和监督管理职责,按照国家有关规定确定。

前两款规定的部门统称为履行个人信息保护职责的部门。

【解读】

本条明确了履行个人信息保护职责的具体部门。

在中央层面,《个人信息保护法(草案)》明确了国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。网信部门在个人信息保护和相关监督管理方面已经积累了相当的实践经验,通过本条进一步明确其职能有助于建立集中统一高效的个人信息保护监管体系。同时,国务院各有关部门,包括工业和信息化部、公安部、中国人民银行等在各自职权范围内负责个人信息保护和监管工作,亦兼顾了各部门和各行业的差异性。在地方层面,《个人信息保护法(草案)》明确了由县级以上地方人民政府有关部门履行个人信息保护和监督管理职责。但实践过程中,如何厘清各部门之间的职责界限,有待进一步探索和明确。

第五十七条 履行个人信息保护职责的部门履行下列个人信息保护职责:

(一)开展个人信息保护宣传教育,指导、监督个人信息处理者开展个人信息保护工作;

(二)接受、处理与个人信息保护有关的投诉、举报;

(三)调查、处理违法个人信息处理活动;

(四)法律、行政法规规定的其他职责。

【解读】

本条规定了履行个人信息保护职责的部门的基本职责。

履行个人信息保护职责的部门包括开展宣传教育,指导监督个人信息保护工作,接受处理个人信息相关投诉举报,调查处理违法个人信息处理活动等。明确职责有利于后续个人信息保护工作的有序开展。

第五十八条 国家网信部门和国务院有关部门按照职责权限组织制定个人信息保护相关规则、标准,推进个人信息保护社会化服务体系建设,支持有关机构开展个人信息保护评估、认证服务。

【解读】

本条明确了中央层面履行个人信息保护职责的部门的特殊职责。

除履行第五十七条规定的基本职责外,国家网信部门和国务院有关部门等于中央层面履行个人信息保护职责的部门还应组织制定个人信息保护的相关规则和标准,推进个人信息保护社会化服务体系建设,并承担支持有关机构开展相关评估、认证服务的责任。

第五十九条 履行个人信息保护职责的部门履行个人信息保护职责,可以采取下列措施:

(一)询问有关当事人,调查与个人信息处理活动有关的情况;

(二)查阅、复制当事人与个人信息处理活动有关的合同、记录、账簿以及其他有关资料;

(三)实施现场检查,对涉嫌违法个人信息处理活动进行调查;

(四)检查与个人信息处理活动有关的设备、物品;对有证据证明是违法个人信息处理活动的设备、物品,可以查封或者扣押。

履行个人信息保护职责的部门依法履行职责,当事人应当予以协助、配合,不得拒绝、阻挠。

【解读】

本条规定了履行个人信息保护职责的部门履职时可以采取的措施。

明确相关部门可以采取的措施,一方面为相关部门实施的履职行为提供法律依据,使其在履职时有法可依,另一方面也有助于其履职过程中的行政相对人了解相关部门的职责范围,实现对相关部门履职行为的有效监督。

第六十条 履行个人信息保护职责的部门在履行职责中,发现个人信息处理活动存在较大风险或者发生个人信息安全事件的,可以按照规定的权限和程序对该个人信息处理者的法定代表人或者主要负责人进行约谈。个人信息处理者应当按照要求采取措施,进行整改,消除隐患。

【解读】

本条规定了个人信息保护监管的约谈制度。

与《网络安全法》第五十六条及《数据安全法(草案)》第四十一条类似,个人信息保护监管也将约谈制度法定化。实践中,在发现个人信息处理活动存在较大风险或发生个人信息安全事件的情形下,对涉事个人信息处理者进行约谈已经较为常见。但过往该等约谈的主要依据为《网络安全法》第五十六条,而该条文仅适用于通过网络开展的个人信息处理活动,无法触及线下个人信息处理活动所造成的风险或个人信息安全事件。《个人信息保护法(草案)》将约谈制度法定化,有针对个人信息处理活动的约谈提供了相应的法律依据。

但区别于《网络安全法》要求约谈主体为“省级以上人民政府有关部门”,本条同《数据安全法(草案)》第四十一条的规定相似,未明确主管部门的层级要求,如不加以必要限制可能会造成约谈制度的滥用。

第六十一条 任何组织、个人有权对违法个人信息处理活动向履行个人信息保护职责的部门进行投诉、举报。收到投诉、举报的部门应当依法及时处理,并将处理结果告知投诉、举报人。

履行个人信息保护职责的部门应当公布接受投诉、举报的联系方式。

【解读】

本条明确了个人信息保护相关的投诉、举报机制。

从举报主体看,任何组织和个人都可以进行举报,意味着用户、非用户、竞争对手、第三方测评机构、自媒体等都可以作为举报主体,有助于推动形成本法第十一条所称的“共同参与个人信息保护的良好环境”。

从受理部门来看,无论中央或是地方,只要是履行个人信息保护职责的部门都可以受理举报。

从举报处理来看,收到投诉、举报的部门应当依法及时处理并将处理结果告知投诉、举报人。若相应部门未能及时处理或未能将处理结果进行告知,可能需要承担相应的责任。

同时,本条亦强调履行个人信息保护职责的部门应履行行政公开义务,公开接受投诉、举报的联系方式。

同《数据安全法(草案)》第十一条类似,可能有待进一步完善的是,参照《网络安全法》第十四条,本条缺少了“不属于本部门职责的,应当及时移送有权处理的部门。有关部门应当对举报人的相关信息予以保密,保护举报人的合法权益”的规定。建议增加该等规定,以更好地推动投诉、举报处理流程的有序进行,保护投诉、举报人的合法权益。

第七章 法律责任

第六十二条 违反本法规定处理个人信息,或者处理个人信息未按照规定采取必要的安全保护措施的,由履行个人信息保护职责的部门责令改正,没收违法所得,给予警告;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

有前款规定的违法行为,情节严重的,由履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务、停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。

【解读】

本条明确了个人信息违法的法律责任。

《个人信息保护法(草案)》的一大亮点即在于借鉴了GDPR第83条的监管思路,通过较为严厉的处罚,大幅提高个人信息违法成本,体现了我国打击个人信息违法行为的决心。

尽管《网络安全法》第六十四条规定了针对个人信息违法行为的相关行政处罚,但就一般的个人信息侵权行为,其罚款金额上限为一百万元,对于企业而言,违法成本相对较低,惩治力度相对有限,对企业的威慑也比较小。本条在第1款延续了《网络安全法》第六十四条的规定的基础上,于第2款大幅提高了罚款上限金额,对于情节严重的个人信息违法行为,规定了五千万元以下或上一年度营业额百分之五以下罚款的罚款上限,并可以责令暂停相关业务、停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照,且可对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。

需要注意的是,计算罚金上限金额的基数是企业的上一年度营业额而非利润。违法成本的大幅提高,有利于更好地对企业起到警示作用,督促企业切实履行个人信息安全保护义务。

第六十三条 有本法规定的违法行为的,依照有关法律、行政法规的规定记入信用档案,并予以公示。

【解读】

本条明确了对个人信息违法行为人的信用惩戒制度。

类似条文可见《网络安全法》第七十一条及《电子商务法》第八十六条。对于企业而言,这意味着一旦发生个人信息违法行为,企业不仅将面临相应的索赔,可能亦将面临对其声誉的不利影响及潜在的舆情压力。这无形中提高了个人信息违法成本,有利于在社会层面起到普遍的警示作用。

第六十四条 国家机关不履行本法规定的个人信息保护义务的,由其上级机关或者履行个人信息保护职责的部门责令改正;对直接负责的主管人员和其他直接责任人员依法给予处分。

【解读】

本条规定了国家机关不履行个人信息保护义务的法律责任。

尽管《个人信息保护法(草案)》第二章第三节对国家机关处理个人信息时应履行的义务作出了特别规定,但本条并未将所指的个人信息保护义务限定于第三节中的相关条文。从文义理解,若国家机关作为个人信息处理者违反了本法第二章第三节和该节之外的其他条文规定的个人信息保护义务,均需要承担本条规定的法律责任。

第六十五条 因个人信息处理活动侵害个人信息权益的,按照个人因此受到的损失或者个人信息处理者因此获得的利益承担赔偿责任;个人因此受到的损失和个人信息处理者因此获得的利益难以确定的,由人民法院根据实际情况确定赔偿数额。个人信息处理者能够证明自己没有过错的,可以减轻或者免除责任。

【解读】

本条规定了个人信息侵权行为的民事责任。

就侵权损害赔偿的计算方式而言,本条与《民法典》第一千一百八十二条规定的侵害人身权益情形下的侵权损害赔偿计算方式基本一致,但删去了“被侵权人和侵权人就赔偿数额协商不一致,向人民法院提起诉讼的”的表述。

就归责原则来看,在《个人信息保护法(草案)》出台前,由于《侵权责任法》并未对个人信息侵权行为的归责原则进行特殊规定,实践中个人信息侵权案件只能依一般侵权适用过错责任,导致个人在诉讼中承担了过高的举证责任。虽然部分案件中法院对举证责任进行了一定的调整和突破,但此类突破尚缺乏充分的上位法依据。本条在归责原则的表述上,同《民法典》第一千一百九十九条、第一千二百三十八条、一千八百三十九条有一定相似性,似有明确个人信息侵权行为适用推定过错责任的意图。

可能引起争议的是,按照本条文义理解,即使个人信息处理者能够证明自己不存在过错,仍可能被要求承担相应的赔偿责任,对于个人信息处理者而言,所承担的义务要求可能相对过高。

第六十六条 个人信息处理者违反本法规定处理个人信息,侵害众多个人的权益的,人民检察院、履行个人信息保护职责的部门和国家网信部门确定的组织可以依法向人民法院提起诉讼。

【解读】

本条规定了个人信息公益诉讼制度。

公益诉讼制度见于《中华人民共和国民事诉讼法》(以下简称“《民事诉讼法》”)第五十五条,其规定,“对污染环境、侵害众多消费者合法权益等损害社会公共利益的行为,法律规定的机关和有关组织可以向人民法院提起诉讼。”

从违法行为看,对于违反本法规定处理个人信息,侵害众多个人的个人信息权益的行为,可以提起公益诉讼。该等行为属于《民事诉讼法》规定的“损害社会公共利益的行为”,属于可以提起个人信息公益诉讼的情形。

从个人信息公益诉讼的提起主体看,《个人信息保护法(草案)》规定人民检察院、履行个人信息保护职责的部门和国家网信部门确定的组织可以作为公益诉讼的提起主体。实践中,人民检察院提起个人信息公益诉讼已较为普遍,但该等个人信息公益诉讼多系基于《关于检察公益诉讼案件适用法律若干问题的解释》提起的刑事附带民事公益诉讼。若《个人信息保护法(草案)》落地,以法律的形式对个人信息公益诉讼的形式予以确认,或将扩大个人信息公益诉讼的适用范围,更好地保护公民的个人信息权益。对于“履行个人信息保护职责的部门”和“国家网信部门确定的组织”,有待进一步明确。

第六十七条 违反本法规定,构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。

【解读】

本条明确了个人信息违法行为的治安管理处罚和刑事责任。

本条与《网络安全法》第七十四条第二款、《数据安全法(草案)》第四十八条基本一致,明确划分了个人信息违法行为可能引发的刑事责任及治安管理处罚。

第八章 附则

第六十八条 自然人因个人或者家庭事务而处理个人信息的,不适用本法。

法律对各级人民政府及其有关部门组织实施的统计、档案管理活动中的个人信息处理有规定的,适用其规定。

【解读】

本条明确了特殊个人信息处理场景的法律适用。

本条第一款明确,“自然人因个人或家庭事务而处理个人信息的,不适用本法规定”,举例来说,小明为父母找了一个保姆(个人提供服务,未与任何公司建立劳动关系或劳务关系),为了保姆能够去到父母家,小明把父母的家庭住址提供给了保姆,应该不适用本法的规定。

本条第二款明确了各级人民政府及其部门因组织实施统计、档案管理活动而处理个人信息的,不适用《个人信息保护法(草案)》,而适用同统计、档案管理相关的法律规定。需要注意的是,这里的“规定”仅限于法律,不包括行政法规、规章和其他规范性文件。

第六十九条 本法下列用语的含义:

(一)个人信息处理者,是指自主决定处理目的、处理方式等个人信息处理事项的组织、个人。

(二)自动化决策,是指利用个人信息对个人的行为习惯、兴趣爱好或者经济、健康、信用状况等,通过计算机程序自动分析、评估并进行决策的活动。

(三)去标识化,是指个人信息经过处理,使其在不借助额外信息的情况下无法识别特定自然人的过程。

(四)匿名化,是指个人信息经过处理无法识别特定自然人且不能复原的过程。

【解读】

本条规定了《个人信息保护法(草案)》中的重要定义。

《个人信息保护法(草案)》中“个人信息处理者”的表述同《民法典》保持了一致,而从“个人信息处理者”的定义来看,基本同《个人信息安全规范》第3.6条“个人信息控制者”的定义一致,强调对个人信息处理目的、方式的“决定”。对于受托处理而无法决定处理方式和处理目的的主体,其不属于本法规定的个人信息处理者。

从“自动化决策”的定义看,《个人信息保护法(草案)》强调了其系“通过计算机程序开展的自动化活动”,并列举了具体的评估场景,包括对个人行为习惯、兴趣爱好或者经济、健康、信用状况的评估,均可纳入自动化决策的范围。

从“去标识化”和“匿名化”的定义看,均基本沿用了《个人信息安全规范》第3.14、3.15条对“匿名化”和“去标识化”的定义,仅删除了“或者关联”的表述。删除“或关联”的表述可能系基于同本法下“个人信息”定义的统一,并不必然意味着对“去标识化”和“匿名化”概念的放宽。

第七十条 本法自 年 月 日起施行。

【解读】

本条规定了法律的施行时间。

鉴于《个人信息保护法(草案)》尚处于征求意见阶段,正式施行日期有待立法正式通过后确定。

在各方的翘首企盼下,《个人信息保护法(草案)》可谓是“千呼万唤始出来”。整体而言,在借鉴GDPR等域外立法经验的基础上,《个人信息保护法(草案)》立足我国个人信息保护实践,深入总结了《民法典》《网络安全法》《电子商务法》等法律法规和《个人信息安全规范》等国家标准的实施经验,将个人信息保护实践中行之有效的做法和措施上升为法律规范。同时,《个人信息保护法(草案)》做好了与《民法典》《数据安全法(草案)》等法律法规的衔接,也就实践中出现的个人信息保护新问题、新场景进行了必要的规制和留下弹性的空间,可谓是一部水平较高的立法。虽有部分条文有待进一步探讨和调整,但瑕不掩瑜,可以预见的是,后续《个人信息保护法》正式出台后,能够将我国个人信息保护工作推向前所未有的高度。让我们共同期待《个人信息保护法(草案)》的完善和正式出台!返回搜狐,查看更多