498科技訊：2020年10月13日，十三屆全國人大常委會第二十二次會議首次審議了《個人信息保護法(草案)》。2020年10月21日，中國人大網(wǎng)公布《個人信息保護法(草案)》(以下簡稱“《草案》”)，向社會公開征求意見，意見反饋時間截至2020年11月19日。

《草案》吸收了《網(wǎng)絡(luò)安全法》《消費者權(quán)益保護法》《廣告法》《電子商務(wù)法》《關(guān)于加強網(wǎng)絡(luò)信息保護的決定》《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》《信息技術(shù)安全個人信息安全規(guī)范》等法律文件對個人信息保護的相關(guān)規(guī)定，并結(jié)合實踐經(jīng)驗，同時吸收GDPR等國際經(jīng)驗，形成了一部相對完善的立法草案?？傮w而言，《草案》主要有六大亮點。

一、適用范圍：明確域外適用效力

《草案》第三條指出，該法適用于組織、個人在中國境內(nèi)處理自然人個人信息的活動。該條明確域外適用效力，當中國境外處理中國境內(nèi)自然人個人信息的活動，具備下列情形之一的，也適用《草案》：

“(一)以向境內(nèi)自然人提供產(chǎn)品或者服務(wù)為目的;

(二)為分析、評估境內(nèi)自然人的行為;

(三)法律、行政法規(guī)規(guī)定的其他情形?！?/p>

上述規(guī)定與歐盟的GDPR有著相似之處，GDPR第三條規(guī)定：

“2.本條例適用于在歐盟領(lǐng)域內(nèi)沒有設(shè)立機構(gòu)的數(shù)據(jù)控制者或數(shù)據(jù)處理者對歐盟內(nèi)的數(shù)據(jù)主體的個人數(shù)據(jù)進行的與以下事項相關(guān)的處理活動。

(a)向歐盟內(nèi)的數(shù)據(jù)主體提供商品或服務(wù)，無論是否需要該數(shù)據(jù)主體支付對價;或

(b)監(jiān)控數(shù)據(jù)主體的行為，只要其行為發(fā)生在歐盟領(lǐng)域內(nèi)?！?/p>

同時，《草案》借鑒GDPR第二條排除了自然人因個人或家庭事務(wù)而處理個人信息的法律適用。當法律對各級人民政府及其有關(guān)部門組織實施的統(tǒng)計、檔案管理活動中的個人信息處理有規(guī)定時，應(yīng)當優(yōu)先適用該特殊規(guī)定。

二、激發(fā)活力：增加個人信息處理合法性基礎(chǔ)

“告知-同意”仍是個人信息處理的重要規(guī)則，《草案》第二章“個人信息處理規(guī)則”的大部分規(guī)定可以說都是“告知-同意”規(guī)則的細化或延伸。“告知-同意”規(guī)則要求處理個人信息的同意，應(yīng)當由個人在充分知情的前提下，自愿、明確作出意思表示。法律、行政法規(guī)規(guī)定處理個人信息應(yīng)當取得個人單獨同意或者書面同意的，從其規(guī)定?！恫莅浮费永m(xù)了《信息安全技術(shù)個人信息安全規(guī)范》(GB/T35273-2020)(以下簡稱“《個人信息安全規(guī)范》”)的很多要求，具體可參考下列對比表格，在此不再贅述。

但《草案》對已公開的個人信息的處理規(guī)則，相較《個人信息保護規(guī)范》將個人信息已公開視為獲取同意的豁免條件不同，其第二十八條規(guī)定，個人信息處理者處理已公開的個人信息，應(yīng)當符合該個人信息被公開時的用途;超出與該用途相關(guān)的合理范圍的，應(yīng)當依照本法規(guī)定向個人告知并取得其同意。個人信息被公開時的用途不明確的，個人信息處理者應(yīng)當合理、謹慎地處理已公開的個人信息;利用已公開的個人信息從事對個人有重大影響的活動，應(yīng)當依照本法規(guī)定向個人告知并取得其同意。

立法者亦已逐漸意識到“告知-同意”規(guī)則的不足，《民法典》第一千零三十六條在“自然人或者其監(jiān)護人同意”上增加了“合理處理該自然人自行公開的或者其他已經(jīng)合法公開的信息”與“為維護公共利益或者該自然人合法權(quán)益”兩種個人信息處理合法性基礎(chǔ)，首次在法律層面上對未經(jīng)同意合法處理個人信息的情形作出規(guī)定。

《草案》在此基礎(chǔ)上，吸收《個人信息安全規(guī)范》等規(guī)范內(nèi)容，對“告知-同意”規(guī)則進行一定程度的弱化，其第十三條增加了數(shù)項合法性基礎(chǔ)，一定程度上放寬了個人信息的處理限制，有利于平衡個人信息保護和利用間的利益沖突，激發(fā)數(shù)字經(jīng)濟創(chuàng)新活力。

三、有序流動：構(gòu)建個人信息跨境流動制度

《草案》首次在法律層面構(gòu)建了相對全面的個人信息跨境流動制度。與國家互聯(lián)網(wǎng)信息辦公室2019年發(fā)布的《個人信息出境安全評估辦法(征求意見稿)》不同，《草案》沒有要求所有個人信息跨境流動活動均需經(jīng)過安全評估。《草案》以分級分類管理思想設(shè)計了一個相對寬松的個人信息跨境流動制度。

《草案》原則上要求國家機關(guān)處理的個人信息以及關(guān)鍵信息基礎(chǔ)設(shè)施運營者和處理個人信息達到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者在中國境內(nèi)收集和產(chǎn)生的個人信息存儲在境內(nèi)。但在確需向境外提供的情況下，國家機關(guān)處理的個人信息應(yīng)當進行風(fēng)險評估;而關(guān)鍵信息基礎(chǔ)設(shè)施運營者和處理個人信息達到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者在中國境內(nèi)收集和產(chǎn)生的個人信息則需先通過國家網(wǎng)信部門組織的安全評估。此處的“風(fēng)險評估”應(yīng)與《草案》第五十四條的“風(fēng)險評估”涵義相同。但“風(fēng)險評估”和“安全評估”的具體操作流程和標準如何，兩者是否需一并進行還有待后續(xù)規(guī)定的進一步明確。

其他個人信息處理者在至少滿足以下一項條件的情況下，可向中國境外提供個人信息：

(一)按照國家網(wǎng)信部門的規(guī)定經(jīng)專業(yè)機構(gòu)進行個人信息保護認證;

(二)與境外接收方訂立合同，約定雙方的權(quán)利和義務(wù)，并監(jiān)督其個人信息處理活動達到本法規(guī)定的個人信息保護標準;

(三)符合中國締結(jié)或者參加的國際條約、協(xié)定中對向中國境外提供個人信息規(guī)定的;

(四)因國際司法協(xié)助或者行政執(zhí)法協(xié)助，需要向中國境外提供個人信息，經(jīng)有關(guān)主管部門批準的;

(五)法律、行政法規(guī)或者國家網(wǎng)信部門規(guī)定的其他條件。

此外，《草案》明確了個人信息跨境數(shù)據(jù)流動的限制情形：

(一)境外的組織、個人從事?lián)p害中國公民的個人信息權(quán)益，或者危害中國國家安全、公共利益的個人信息處理活動的，國家網(wǎng)信部門可以將其列入限制或者禁止個人信息提供清單，予以公告，并采取限制或者禁止向其提供個人信息等措施;

(二)任何國家和地區(qū)在個人信息保護方面對中國采取歧視性的禁止、限制或者其他類似措施的，中國可以根據(jù)實際情況對該國家或者該地區(qū)采取相應(yīng)措施。

四、保障權(quán)利：明確個人信息主體權(quán)利

上述權(quán)利在《民法典》《電子商務(wù)法》《網(wǎng)絡(luò)安全法》等法律中均有部分體現(xiàn)，《草案》在前述規(guī)定基礎(chǔ)上，進一步構(gòu)筑更為全面的個人信息主體權(quán)利體系，有利于個人信息主體主張權(quán)利，并在遭受侵害時捍衛(wèi)自身權(quán)益。《草案》第六十五條規(guī)定，因個人信息處理活動侵害個人信息權(quán)益的，按照個人因此受到的損失或者個人信息處理者因此獲得的利益承擔賠償責(zé)任;個人因此受到的損失和個人信息處理者因此獲得的利益難以確定的，由人民法院根據(jù)實際情況確定賠償數(shù)額。個人信息處理者能夠證明自己沒有過錯的，可以減輕或者免除責(zé)任。

個人信息處理者應(yīng)當針對個人信息主體的各項權(quán)利，建立相應(yīng)的申請受理和處理機制。拒絕個人行使權(quán)利的請求的，應(yīng)當說明理由。

五、促進合規(guī)：增強個人信息處理者責(zé)任

《草案》增加了數(shù)項個人信息處理的合法性基礎(chǔ)，其中，“為訂立或者履行個人作為一方當事人的合同所必需”一項提高了個人信息處理者處理個人信息的自由度，與之相對地，個人信息處理者亦需承擔更為嚴格的個人信息保護責(zé)任。

六、加強監(jiān)管：國家機關(guān)的權(quán)力與義務(wù)

不同行業(yè)的個人信息保護有著不同的特點和需求，《草案》沒有一刀切地將個人信息保護職責(zé)單獨賦予某一部門，而是由國家網(wǎng)信部門負責(zé)統(tǒng)籌協(xié)調(diào)個人信息保護工作和相關(guān)監(jiān)督管理工作。國務(wù)院有關(guān)部門依照本法和有關(guān)法律、行政法規(guī)的規(guī)定，在各自職責(zé)范圍內(nèi)負責(zé)個人信息保護和監(jiān)督管理工作。同時，按照國家有關(guān)規(guī)定，確定縣級以上地方人民政府有關(guān)部門的個人信息保護和監(jiān)督管理職責(zé)，從而形成了一個以行業(yè)為橫軸的，從中央到地方的個人信息保護監(jiān)管體系。在要求個人信息處理者加強內(nèi)部個人信息保護制度建設(shè)的基礎(chǔ)上，從外部施加監(jiān)管壓力，促進個人信息處理者落實個人信息保護要求。

《草案》也設(shè)置了較為嚴格的法律責(zé)任條款。根據(jù)《草案》第六十二條，違反規(guī)定處理個人信息，或者處理個人信息未按照規(guī)定采取必要的安全保護措施的，由履行個人信息保護職責(zé)的部門責(zé)令改正，沒收違法所得，給予警告;拒不改正的，并處一百萬元以下罰款;對直接負責(zé)的主管人員和其他直接責(zé)任人員處一萬元以上十萬元以下罰款。而情節(jié)嚴重的，由履行個人信息保護職責(zé)的部門責(zé)令改正，沒收違法所得，并處五千萬元以下或者上一年度營業(yè)額百分之五以下罰款，并可以責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、通報有關(guān)主管部門吊銷相關(guān)業(yè)務(wù)許可或者吊銷營業(yè)執(zhí)照;對直接負責(zé)的主管人員和其他直接責(zé)任人員處十萬元以上一百萬元以下罰款。有前述違法行為的，將依照有關(guān)法律、行政法規(guī)的規(guī)定記入信用檔案，并予以公示。

《草案》還明確了可以提起公益訴訟的主體，個人信息處理者違反本法規(guī)定處理個人信息，侵害眾多個人的權(quán)益的，人民檢察院、履行個人信息保護職責(zé)的部門和國家網(wǎng)信部門確定的組織可以依法向人民法院提起訴訟。個人信息保護公益訴訟在實踐中已有案例，比如2020年3月12日，虹口檢察院針對兩起教育培訓(xùn)行業(yè)從業(yè)人員侵犯公民個人信息案件提起刑事附帶民事公益訴訟，為個人信息保護的公益訴訟作出有益探索。在信息主體和企業(yè)的場景中，個人信息主體往往作為消費者使用企業(yè)提供的產(chǎn)品或服務(wù)，在此過程中也面臨著個人信息侵害風(fēng)險。將各級消費者權(quán)益保護協(xié)會亦可成為消費者集體的代言人，針對企業(yè)在個人信息保護方面存在的不當行為提起公益訴訟，彌補個人信息主體的弱勢地位結(jié)語。

《個人信息保護法(草案)》從源頭上賦予了自然人各項個人信息權(quán)利，明確個人信息處理者義務(wù)，并加強國家機關(guān)監(jiān)管，我國個人信息保護立法已經(jīng)走出了重要一步。

我們建議個人信息處理者不僅應(yīng)密切關(guān)注《草案》制定的后續(xù)動態(tài)，還應(yīng)積極投入到《草案》的意見征求環(huán)節(jié)之中。同時早作準備，參照《草案》目前的要求對本個人信息處理者內(nèi)部的個人信息保護情況進行摸底和前期評估，以有效應(yīng)對《個人信息保護法》及各項配套措施的出臺及實施。