数字时代下个人信息的“保护神” ——《个人信息保护法(草案)》解读

数字时代下个人信息的“保护神”——《个人信息保护法（草案）》解读

一、出台背景

随着全球网络基础设施的不断完善，移动互联网、物联网、云计算等服务的普及，世界已步入数字化时代。在数字时代下，数据成为了关键的生产要素，而其中个人信息占有重要比重。数字诊疗、人脸识别、人工智能等领域的技术发展给人们生活带来便捷的同时，也使得个人信息遭受侵害的风险成几何量级增大，导致泄露事件层出不穷、愈演愈烈。

因此，个人信息保护逐渐成为各国立法机构关注的重要议题。至今，全球已经有１４０多个国家和地区制定了个人信息保护有关的法律。２０１８年５月２５日实施的欧盟《通用数据保护条例》（“ＧＤＰＲ”，ＧｅｎｅｒａｌＤａｔａＰｒｏｔｅｃｔｉｏｎＲｅｇｕｌａｔｉｏｎ）独树一帜，成为众多国家立法的重要参考。一方面是因为ＧＤＰＲ设计了一整套较完备的个人信息保护制度，其中很多保护原则和理念得到国际认同；另一方面是因为欧盟是一个重要市场，很多国家（例如，印度）为了促进该国与欧盟之间的数字贸易发展，不断提高本国的个人信息保护水平，向ＧＤＰＲ的标准看齐。

近年来，我国作为数字经济的大国也在搭建个人信息保护方面的基本法律框架，其中，《民法典》设立专章规范隐私权和个人信息保

护，《刑法修正案》增加“侵犯公民个人信息罪”等罪名，《网络安全法》确立个人信息保护的原则，《数据安全法（草案）》（“数安法”）从数据作为信息的底层载体的角度提出数据安全措施要求，《消费者权益保护法》明确“商品和服务提供者”对消费者个人信息的保护义务，《电子商务法》对电子商务经营者提出个人信息保护要求，《个人信息出境安全评估办法（征求意见稿）》详细规定个人信息出境的安全评估要求等等。不过，个人信息保护的专门法律一直缺位，社会各界呼吁制定《个人信息保护法》的声音越来越高。

２０２０年１０月２１日，“中国版ＧＤＰＲ”，即《个人信息保护法（草案）》（“本法”），经全国人民代表大会常委会审议后的正式“亮相”，全文八章七十条。下文将就本法的重点章节进行解读。

二、健全个人信息处理原则

（一）六大处理原则

本法确立了处理个人信息应遵循六个主要原则：方式合法正当（第５条）、目的明确合理（第６条）、最小必要（第６、２０条）、处理公开透明（第７条）、准确性（第８条）、安全保护（第９条）。上述原则与世界趋同的个人信息保护原则以及《网络安全法》《民法典》的规定基本一致，其适用精神贯穿本法全文。

（二）“告知＋同意”处理规则

在处理规则方面，本法确立“告知＋同意”为核心，体现了对个人权益的尊重，也与上文中的合法正当和公开透明两个原则相呼应。

１．“告知”义务

本法第１４条就将“充分知情”作为“同意”的前提条件。本法第１８条具体列举个人信息处理者（“处理者”）应当告知的事项，主要包括其基本信息、信息处理的目的和方式、个人行使本法权利的方式和程序等。本法第１９条规定了告知的例外情形，即在法律、行政法规规定应当保密或不需要告知的情况下，可以免除告知义务，但是该义务在紧急情况下无法及时告知时并不免除，而是将前置改为后置，凸显告知义务的重要性。

在以上基本适用原则的基础上，本法还规定了如下几类需要履行告知义务的情况：

个人信息转移和传输情况下的告知义务（第２３、２４条）。前者是在处理者“合并、分立”等情况下，而后者是向第三方提供的情况下。虽然两种情况下均需履行告知义务，但告知的内容略有不同。前者仅需告知接收方的身份和联系方式，而后者还需包括处理目的和方式以及个人信息的种类。其差别在于前者信息接收方基于收购等原因承继了处理者原来的业务，所以处理目的和方式以及个人信息的种类在大多数情况下没有变化；而后者作为独立于处理者的第三方，其处理目的和方式以及个人信息的种类的变化是其应有之义。

处理已公开的个人信息时，如果超出被公开时的用途的合理范围或者对个人有重大影响，需要履行告知义务（第２８条）。

在处理敏感个人信息时，除第１８条规定的事项外，还应当告知处理敏感个人信息的必要性以及对个人的影响（第３１条）。

在国家机关履行法定职责处理个人信息时和个人信息出境时，均需履行告知义务（第３５、３９条）。

２．“同意”义务

除了本法第２８条（２）－（６）列举的情形之外，取得个人的同意是处理者处理个人信息的前提。本法第１４条明确了同意需基于“充分知情”、“自愿”、“明确”，且在处理目的、方式和种类发生变更时，需重新取得同意。第１６条和第１７条则赋予个人撤回权，并禁止处理者以不同意或撤回同意为由拒绝提供非必需的产品或者服务。

在以上基本适用原则的基础上，本法还规定了如下几类需要取得“单独同意”的情况：

向第三方提供处理的个人信息（第２４条）

公开处理的个人信息（第２６条）

公开或提供个人图像、个人身份特征信息（第２７条）

处理敏感个人信息（第３０条）

向境外提供个人信息（第３９条）

三、个人信息涉及跨境问题

（一）域外适用

本法第３条赋予了一定的域外适用效力。虽然《数安法》第２条也类似规定，但本法的适用范围更加明确，即“向境内自然人提供产品或者服务为目的”和“分析、评估境内自然人的行为”。这与ＧＤＰＲ第３条第２款的提供产品或者服务（ｏｆｆｅｒｉｎｇｏｆｇｏｏｄｓｏｒｓｅｒｖｉｃｅｓ）以及行为监控（ｍｏｎｉｔｏｒｉｎｇｏｆｔｈｅｉｒｂｅｈａｖｉｏｒ）一一对应。这意味着境外机构或个人即使在中国没有任何商业存在，只要符合本法第３条所列情况，便受本法的管辖。

（二）个人信息的跨境提供

关于个人信息出境的安全评估要求，首见于《网络安全法》第３７条，不过仅适用于关键信息基础设施运营者。而《个信出境办法》将适用范围扩大至所有网络运营者，给业界带来一定震动和压力。而本法第４０条试图在以上两者之间找到一个平衡，将安全评估的适用范围局限于“关键信息基础设施运营者”和“处理个人信息达到国家网信部门规定数量的处理者”，而“处理个人信息数量”在本法中未作明确，为监管部门预留裁量空间，保持一定灵活性。

此外，鉴于安全评估工作耗时费力，在某些情况下可能无法满足跨境流动对时效性的要求，本法第３８条为处理者提供了另外两个信息出境的途径：（１）经专业机构认证；（２）与境外接收方订立合