《個(gè)人信息保護(hù)法》重點(diǎn)制度解析：聚焦數(shù)字經(jīng)濟(jì)發(fā)展新挑戰(zhàn)，開啟個(gè)人信息保護(hù)新篇章

2021年8月20日，《中華人民共和國個(gè)人信息保護(hù)法》（以下簡稱“《個(gè)人信息保護(hù)法》”）由第十三屆全國人大常委會(huì)第三十次會(huì)議通過，自2021年11月1日起施行。《個(gè)人信息保護(hù)法》聚焦個(gè)人信息保護(hù)領(lǐng)域的突出問題和人民群眾的重大關(guān)切，尤其關(guān)注隨著數(shù)字經(jīng)濟(jì)發(fā)展出現(xiàn)的隨意收集、違法獲取、過度使用、非法買賣個(gè)人信息等突出問題，在《網(wǎng)絡(luò)安全法》《民法典》等現(xiàn)行有關(guān)法律的基礎(chǔ)上，進(jìn)一步完善了個(gè)人信息保護(hù)制度規(guī)則，全面規(guī)范了個(gè)人信息處理活動(dòng)，為我國個(gè)人信息保護(hù)和數(shù)字經(jīng)濟(jì)發(fā)展提供了更加完備、更加有力的法律保障。

《個(gè)人信息保護(hù)法（草案）》（以下簡稱“《草案》”），經(jīng)過第十三屆全國人大常委會(huì)2020年10月、2021年4月和2021年8月的三次審議，最終獲得通過。前兩次審議的《草案》文本（以下簡稱為“一審稿”和“二審稿”）都曾公開征求意見，引起了各界的廣泛關(guān)注和討論。以下結(jié)合《草案》歷次審議的討論完善情況，對(duì)《個(gè)人信息保護(hù)法》的重點(diǎn)制度設(shè)計(jì)做一簡要解析。

01

《個(gè)人信息保護(hù)法》規(guī)定了個(gè)人信息處理應(yīng)遵循的基本原則，包括合法正當(dāng)原則、誠信原則、目的明確合理原則、最小必要原則、公開透明原則、保證質(zhì)量原則、主體負(fù)責(zé)原則、安全保障原則，并將這些原則要求貫穿于個(gè)人信息處理的全過程、各環(huán)節(jié)。

針對(duì)《草案》審議中比較關(guān)注的個(gè)人信息收集、使用規(guī)則不透明及過度收集、使用等突出問題，《個(gè)人信息保護(hù)法》對(duì)《草案》相關(guān)規(guī)定進(jìn)行了相應(yīng)的修改完善：

對(duì)于合法正當(dāng)原則，增加規(guī)定不得通過“脅迫”方式處理個(gè)人信息；對(duì)于目的明確合理原則，明確處理個(gè)人信息“應(yīng)當(dāng)與處理目的直接相關(guān)”；

對(duì)于最小必要原則，增加規(guī)定處理個(gè)人信息應(yīng)當(dāng)“采取對(duì)個(gè)人權(quán)益影響最小的方式”，“收集個(gè)人信息，應(yīng)當(dāng)限于實(shí)現(xiàn)處理目的的最小范圍，不得過度收集個(gè)人信息”；

對(duì)于公開透明原則，明確公開個(gè)人信息處理規(guī)則，應(yīng)當(dāng)明示處理目的、方式和范圍；對(duì)于保證質(zhì)量原則，明確應(yīng)當(dāng)保證個(gè)人信息的質(zhì)量，避免因個(gè)人信息不準(zhǔn)確、不完整對(duì)個(gè)人權(quán)益造成不利影響。

這些修改完善，既有利于進(jìn)一步與《網(wǎng)絡(luò)安全法》等既有法律規(guī)定做好銜接，也有利于充分維護(hù)個(gè)人信息主體的合法權(quán)益，彰顯該法保護(hù)個(gè)人信息的價(jià)值取向。

02

為保護(hù)個(gè)人信息主體的合法權(quán)益，《個(gè)人信息保護(hù)法》確立了以“告知—同意”為核心的個(gè)人信息處理規(guī)則。但考慮到經(jīng)濟(jì)社會(huì)生活的復(fù)雜性和個(gè)人信息處理的不同情況，不同于《網(wǎng)絡(luò)安全法》將同意作為處理個(gè)人信息的唯一合法基礎(chǔ)，《個(gè)人信息保護(hù)法》還規(guī)定了基于個(gè)人同意以外合法處理個(gè)人信息的情形。

《草案》一審稿最初規(guī)定了同意以外的五種合法基礎(chǔ)，包括：為訂立、履行合同所必需、為履行法定職責(zé)或者法定義務(wù)所必需、應(yīng)對(duì)突發(fā)公共衛(wèi)生事件或者緊急情況下保護(hù)自然人生命健康和財(cái)產(chǎn)安全所必需、為公共利益實(shí)施新聞報(bào)道等行為在合理范圍內(nèi)處理個(gè)人信息以及法律、行政法規(guī)規(guī)定的其他情形。二審稿新增了“依照本法規(guī)定在合理的范圍內(nèi)處理已公開的個(gè)人信息”這一合法基礎(chǔ)。

《個(gè)人信息保護(hù)》在此基礎(chǔ)上進(jìn)一步進(jìn)行了完善：一是完善了合理利用已公開的個(gè)人信息的規(guī)則，明確個(gè)人信息處理者雖然可以在合理的范圍內(nèi)處理已公開的個(gè)人信息，但個(gè)人明確拒絕的除外，如果對(duì)個(gè)人權(quán)益有重大影響的，應(yīng)當(dāng)取得個(gè)人同意。二是在“訂立、履行合同所必需”項(xiàng)下增加了“按照依法制定的勞動(dòng)規(guī)章制度和依法簽訂的集體合同實(shí)施人力資源管理所必需”的情形。

03

《個(gè)人信息保護(hù)法》對(duì)敏感個(gè)人信息予以嚴(yán)格保護(hù)，要求個(gè)人信息處理者只有在具有特定的目的和充分的必要性，并采取嚴(yán)格保護(hù)措施的情形下，方可處理敏感個(gè)人信息，同時(shí)應(yīng)當(dāng)事前進(jìn)行影響評(píng)估，并向個(gè)人告知處理的必要性以及對(duì)個(gè)人權(quán)益的影響。主要考慮是此類信息一旦泄露或者被非法使用，極易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財(cái)產(chǎn)安全受到危害。敏感個(gè)人信息包括生物識(shí)別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個(gè)人信息。

相較于二審稿，《個(gè)人信息保護(hù)法》將“不滿十四周歲未成年人的個(gè)人信息”即國家網(wǎng)信辦《兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)規(guī)定》所指的“兒童個(gè)人信息”納入了敏感個(gè)人信息的范圍，并明確要求個(gè)人信息處理者應(yīng)該制定專門的個(gè)人信息處理規(guī)則，有利于對(duì)兒童個(gè)人信息權(quán)益予以充分保護(hù)。

04

面對(duì)自動(dòng)化決策、移動(dòng)應(yīng)用程序（APP）等新技術(shù)新應(yīng)用帶來的個(gè)人信息保護(hù)新挑戰(zhàn)，《個(gè)人信息保護(hù)法》作出了針對(duì)性規(guī)范。

對(duì)于利用個(gè)人信息進(jìn)行自動(dòng)化決策帶來的信息騷擾、“大數(shù)據(jù)殺熟”等新問題，明確規(guī)定：個(gè)人信息處理者利用個(gè)人信息進(jìn)行自動(dòng)化決策，應(yīng)當(dāng)保證決策的透明度和結(jié)果公平、公正，不得對(duì)個(gè)人在交易價(jià)格等交易條件上實(shí)行不合理的差別待遇；通過自動(dòng)化決策方式向個(gè)人進(jìn)行信息推送、商業(yè)營銷，應(yīng)當(dāng)同時(shí)提供不針對(duì)其個(gè)人特征的選項(xiàng)，或者向個(gè)人提供便捷的拒絕方式。

對(duì)于移動(dòng)應(yīng)用程序（APP）過度收集個(gè)人信息等新問題，在總結(jié)國家網(wǎng)信辦等四部門開展APP違法違規(guī)收集使用個(gè)人信息專項(xiàng)治理經(jīng)驗(yàn)基礎(chǔ)上，除了進(jìn)一步完善個(gè)人信息處理應(yīng)當(dāng)遵循的基本原則之外，還明確規(guī)定履行個(gè)人信息保護(hù)職責(zé)的部門應(yīng)當(dāng)組織對(duì)應(yīng)用程序等個(gè)人信息保護(hù)情況進(jìn)行測評(píng)、公布測評(píng)結(jié)果，對(duì)違法處理個(gè)人信息的應(yīng)用程序，應(yīng)當(dāng)責(zé)令暫?；蛘呓K止提供服務(wù)。

05

隨著數(shù)字經(jīng)濟(jì)全球化的快速發(fā)展，個(gè)人信息的跨境流動(dòng)日益普遍頻繁，如何確?？缇硞€(gè)人信息的有效保護(hù)，成為各國面臨的時(shí)代性議題。對(duì)此，《個(gè)人信息保護(hù)法》提出了一個(gè)風(fēng)險(xiǎn)可控、平等互惠的法治框架。

一是，明確以向境內(nèi)自然人提供產(chǎn)品或者服務(wù)為目的，或者分析、評(píng)估境內(nèi)自然人的行為等，在我國境外處理境內(nèi)自然人個(gè)人信息的活動(dòng)適用本法。

二是，明確個(gè)人信息跨境提供的合法途徑，包括特定情形通過國家網(wǎng)信部門組織的安全評(píng)估、經(jīng)專業(yè)機(jī)構(gòu)進(jìn)行個(gè)人信息保護(hù)認(rèn)證、訂立標(biāo)準(zhǔn)合同、按照我國締結(jié)或參加的國際條約、協(xié)定的有關(guān)規(guī)定等。

三是，要求個(gè)人信息處理者應(yīng)當(dāng)采取必要措施，保障境外接收方處理個(gè)人信息的活動(dòng)達(dá)到本法規(guī)定的個(gè)人信息保護(hù)標(biāo)準(zhǔn)。

四是，對(duì)跨境提供個(gè)人信息的“告知—同意”作出更嚴(yán)格的規(guī)定，要求應(yīng)當(dāng)取得個(gè)人的單獨(dú)同意。

五是，明確外國司法或者執(zhí)法機(jī)構(gòu)要求提供存儲(chǔ)于我國境內(nèi)的個(gè)人信息的，非經(jīng)我國主管機(jī)關(guān)批準(zhǔn)，個(gè)人信息處理者不得提供。

六是，對(duì)從事?lián)p害我國公民個(gè)人信息權(quán)益等活動(dòng)的境外組織、個(gè)人，以及在個(gè)人信息保護(hù)方面對(duì)我國采取不合理措施的國家和地區(qū)，規(guī)定了可以采取的相應(yīng)措施。

06

《個(gè)人信息保護(hù)法》明確了個(gè)人在個(gè)人信息處理活動(dòng)中的各項(xiàng)權(quán)利，包括知情權(quán)、決定權(quán)、查詢權(quán)、更正權(quán)、刪除權(quán)等，并要求個(gè)人信息處理者建立個(gè)人行使權(quán)利的申請(qǐng)受理和處理機(jī)制。

相較于二審稿，《個(gè)人信息保護(hù)法》有三方面的修改完善：

一是為滿足跨平臺(tái)轉(zhuǎn)移個(gè)人信息的需求，增加規(guī)定了個(gè)人信息可攜帶權(quán)，即個(gè)人請(qǐng)求將其個(gè)人信息轉(zhuǎn)移至其指定的個(gè)人信息處理者，符合國家網(wǎng)信部門規(guī)定條件的，個(gè)人信息處理者應(yīng)當(dāng)提供轉(zhuǎn)移的途徑。

二是為保障個(gè)人行使上述權(quán)利，要求個(gè)人信息處理者應(yīng)當(dāng)建立“便捷的”個(gè)人行使權(quán)利的申請(qǐng)受理和處理機(jī)制，并規(guī)定個(gè)人信息處理者拒絕個(gè)人行使權(quán)利的請(qǐng)求的，個(gè)人可以依法向人民法院提起訴訟。

三是完善了死者個(gè)人信息保護(hù)的規(guī)定，明確在尊重死者生前安排的前提下，其近親屬為自身合法、正當(dāng)利益，可以對(duì)死者個(gè)人信息行使查閱、復(fù)制、更正、刪除等權(quán)利。

07

《個(gè)人信息保護(hù)法》設(shè)專章明確了個(gè)人信息處理者的合規(guī)管理和保障個(gè)人信息安全等義務(wù)，要求其按照規(guī)定制定內(nèi)部管理制度和操作規(guī)程，采取相應(yīng)的安全技術(shù)措施，并指定負(fù)責(zé)人對(duì)個(gè)人信息處理活動(dòng)進(jìn)行監(jiān)督；定期對(duì)個(gè)人信息活動(dòng)進(jìn)行合規(guī)審計(jì)；對(duì)處理敏感個(gè)人信息、向境外提供個(gè)人信息等高風(fēng)險(xiǎn)處理活動(dòng)，事前進(jìn)行個(gè)人信息保護(hù)影響評(píng)估；履行個(gè)人信息泄露通知和補(bǔ)救義務(wù)等。

此外，就《草案》審議中比較關(guān)注的大型互聯(lián)網(wǎng)平臺(tái)個(gè)人信息保護(hù)問題，《個(gè)人信息保護(hù)法》對(duì)提供重要互聯(lián)網(wǎng)平臺(tái)服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的個(gè)人信息處理者設(shè)定了特別的個(gè)人信息保護(hù)義務(wù)，包括：

• 按照國家規(guī)定建立健全個(gè)人信息保護(hù)合規(guī)制度體系，成立主要由外部成員組成的獨(dú)立機(jī)構(gòu)對(duì)個(gè)人信息保護(hù)情況進(jìn)行監(jiān)督；

• 遵循公開、公平、公正的原則，制定平臺(tái)規(guī)則，明確平臺(tái)內(nèi)產(chǎn)品或者服務(wù)提供者處理個(gè)人信息的規(guī)范和保護(hù)個(gè)人信息的義務(wù)；

• 對(duì)嚴(yán)重違法處理個(gè)人信息的平臺(tái)內(nèi)產(chǎn)品或者服務(wù)提供者，停止提供服務(wù)；

• 定期發(fā)布個(gè)人信息保護(hù)社會(huì)責(zé)任報(bào)告，接受社會(huì)監(jiān)督。

07

《個(gè)人信息保護(hù)法》對(duì)違法處理個(gè)人信息規(guī)定了較為嚴(yán)厲的行政處罰。一方面，對(duì)于一般違法行為，延續(xù)了《網(wǎng)絡(luò)安全法》相關(guān)規(guī)定，規(guī)定了責(zé)令改正，給予警告，沒收違法所得；拒不改正的，并處100萬元以下罰款；對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處1萬元以上10萬元以下罰款。另一方面，規(guī)定了違法行為情節(jié)嚴(yán)重時(shí)高達(dá)5000萬元以下或者上一年度營業(yè)額5%以下罰款，并可以責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、通報(bào)有關(guān)主管部門吊銷相關(guān)業(yè)務(wù)許可或者吊銷營業(yè)執(zhí)照；對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處10萬元以上100萬元以下罰款，并可以對(duì)相關(guān)責(zé)任人員作出相關(guān)從業(yè)禁止的處罰。

對(duì)于民事責(zé)任，《個(gè)人信息保護(hù)法》明確了過錯(cuò)推定責(zé)任原則，即處理個(gè)人信息侵害個(gè)人信息權(quán)益造成損害，個(gè)人信息處理者不能證明自己沒有過錯(cuò)的，應(yīng)當(dāng)承擔(dān)損害賠償?shù)惹謾?quán)責(zé)任。此外，還規(guī)定了公益訴訟制度，個(gè)人信息處理者違反本法規(guī)定處理個(gè)人信息，侵害眾多個(gè)人的權(quán)益的，人民檢察院、法律規(guī)定的消費(fèi)者組織和由國家網(wǎng)信部門確定的組織可以依法向人民法院提起訴訟。

總之，《個(gè)人信息保護(hù)法》進(jìn)一步明確了個(gè)人信息處理活動(dòng)應(yīng)遵循的原則，完善了個(gè)人信息處理規(guī)則，保障了個(gè)人在個(gè)人信息處理活動(dòng)中的各項(xiàng)權(quán)利，強(qiáng)化了個(gè)人信息處理者的義務(wù)，并設(shè)置了嚴(yán)格的法律責(zé)任。

相信隨著《個(gè)人信息保護(hù)法》的頒行實(shí)施和有關(guān)配套規(guī)定的制定落地，必將極大增強(qiáng)我國個(gè)人信息保護(hù)法律規(guī)范的系統(tǒng)性、針對(duì)性和可操作性，有力推動(dòng)我國形成完備的個(gè)人信息保護(hù)制度體系，進(jìn)而有利于實(shí)現(xiàn)在保障個(gè)人信息權(quán)益的基礎(chǔ)上，促進(jìn)信息數(shù)據(jù)依法合理有效利用，推動(dòng)我國數(shù)字經(jīng)濟(jì)持續(xù)健康發(fā)展。