前言
《中华人民共和国个人信息保护法》(本文简称《个人信息保护法》)于2021年8月20日正式通过,并将于11月1日,也就是下周,正式施行。《个人信息保护法》与《中华人民共和国网络安全法》、《中华人民共和国数据安全法》并称为“三驾马车”,从国家安全层面、个人数据保护和公共数据公开层面构建起我国对于网络和数据安全保护的制度保障。其中,《个人信息保护法》与民众的日常生活最为相关,因而也对企业相关合规体系和管理提出了更高的要求。本文旨在《个人信息保护法》即将施行之际,用最简单明了的方式对本法的基本框架进行概括,并对本法进行逐条解读,以让读者对本法有一个整体性了解。
一、《个人信息保护法》框架
《个人信息保护法》主要对本法的适用内容、管辖范围、适用对象、权利义务、监管方式进行了规定,针对个人信息的规制架构主要如下图:

二、《个人信息保护法》逐条解读
第一条 为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,根据宪法,制定本法。
【立法目的】本法依据最高位法制定,旨在保护个人信息权益的基础上,保障个人信息处理过程的合法,实现保护和利用平衡。
第二条 自然人的个人信息受法律保护,任何组织、个人不得侵害自然人的个人信息权益。
【宣誓性条款】本法不重点考虑个人信息的所有权和权利问题,而旨在强调对自然人个人信息权益的保护。
第三条 在中华人民共和国境内处理自然人个人信息的活动,适用本法。
在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,有下列情形之一的,也适用本法:
(一)以向境内自然人提供产品或者服务为目的;
(二)分析、评估境内自然人的行为;
(三)法律、行政法规规定的其他情形。
【管辖范围】本法采取了属地+部分属人的规则,具备一定的域外效力,但归根结底是为更好地维护我国境内自然人的个人信息权益。与欧盟《通用数据保护条例》(General Data Protection Regulation,以下简称“GDPR”)相比,本法的管辖范围更小。
第四条 个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。
【定义】本条对“个人信息”和“个人信息处理”进行定义。在“个人信息”上,本法采用了与GDPR类似的做法,采用识别+关联的方式来界定个人信息;在“个人信息处理”上,本法沿用了《民法典》的方式,将个人信息全生命周期的活动纳入到个人信息处理范围,使得个人信息所涉的全部处理活动均受本法规制。
第五条 处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。
【合法、正当、必要和诚信原则】第五条至第十条规定了个人信息处理的原则。结合《民法典》第一千零三十五条,合法、正当、必要是个人信息处理的基础,且在此基础之上,还要求不得以欺诈、误导等方式来收集、处理个人信息。
第六条 处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。
收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。
【合理、相关、最小必要原则】结合《民法典》第一千零三十五条第(三)项,本法要求个人信息处理活动应当遵循必要性原则,且不得超出处理目的。
第七条 处理个人信息应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围。
【公开、透明原则】结合《民法典》第一千零三十五条第(二)项,信息处理者必须公开个人信息处理规则及处理的目的、方式、范围。
第八条 处理个人信息应当保证个人信息的质量,避免因个人信息不准确、不完整对个人权益造成不利影响。
【保质原则】本法提出个人信息处理者要对个人信息的准确性、完整性保质,因为错误、不完整的信息可能导致处理结果的错误甚至侵权。
第九条 个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。
【安全责任原则】本法明确了“谁处理谁负责”的原则,并进一步要求个人信息处理者需要采取技术措施、管理措施等必要手段保障信息安全。
第十条 任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息;不得从事危害国家安全、公共利益的个人信息处理活动。
【不得违法原则】结合《民法典》第一千零三十五条第(四)项,本法在规定个人信息处理者不得违法原则的基础上,新增了不得危害国家安全和公共利益的要求,明确了个人信息处理的红线。
第十一条 国家建立健全个人信息保护制度,预防和惩治侵害个人信息权益的行为,加强个人信息保护宣传教育,推动形成政府、企业、相关社会组织、公众共同参与个人信息保护的良好环境。
【建立个人信息保护制度】本条规定了国家通过预防和惩治、加强宣传教育、推动各层级共同参与等方式,提高个人信息保护的整体水平,以此建立我国的个人信息保护制度。
第十二条 国家积极参与个人信息保护国际规则的制定,促进个人信息保护方面的国际交流与合作,推动与其他国家、地区、国际组织之间的个人信息保护规则、标准等互认。
【国际合作机制】本条规定我国将通过积极参与国际交流与合作,成为规则的制定者,并推动规则和标准的互认,更好地维护国家利益和公民个人信息权益。
第十三条 符合下列情形之一的,个人信息处理者方可处理个人信息:
(一)取得个人的同意;
(二)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;
(三)为履行法定职责或者法定义务所必需;
(四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;
(五)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;
(六)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;
(七)法律、行政法规规定的其他情形。
依照本法其他有关规定,处理个人信息应当取得个人同意,但是有前款第二项至第七项规定情形的,不需取得个人同意。
【个人信息的处理原则】本条在《民法典》、《网络安全法》的基础上,参考了GDPR的规定,进一步大范围扩充了个人信息处理的合法性基础。
第十四条 基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。
个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。
【同意的取得】本条规定了一般同意、特殊同意和同意的重新取得。
同意作为个人信息处理最为主要的合法性基础,需要个人在充分知情的基础上自主作出明确的意思表示,在目前的实践中,一般通过由用户点击确认或勾选相关隐私政策、信息保护政策等的方式取得。
特殊同意则在此基础之上要求个人另行作出单独同意或书面同意,即根据本法第二十三条(向他人提供信息)、第二十五条(公开个人信息)、第二十九条(处理敏感信息)和第三十九条(向境外提供信息)中的几种情形。
同意的重新取得则是在处理目的、方式和种类发生变更时需要在原始同意的基础上再次取得同意,且同意的方式应当与原始同意一致。
第十五条 基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。
个人撤回同意,不影响撤回前基于个人同意已进行的个人信息处理活动的效力。
【撤回同意】本条规定,在基于个人同意基础上处理个人信息时,个人有权撤回同意,且该撤回不溯及既往;反言之,若个人信息的处理并非基于同意,则个人无法撤回。这里涉及到个人信息处理的合法性基础竞合的问题,日后我们将专门讨论。
第十六条 个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务;处理个人信息属于提供产品或者服务所必需的除外。
【最小必要范围外的禁强制】本条明确,除非处理个人信息是提供产品或服务所必需,否则当个人不同意或撤回同意时,个人信息处理者不得拒绝提供产品或服务。
第十七条 个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:
(一)个人信息处理者的名称或者姓名和联系方式;
(二)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;
(三)个人行使本法规定权利的方式和程序;
(四)法律、行政法规规定应当告知的其他事项。
前款规定事项发生变更的,应当将变更部分告知个人。
个人信息处理者通过制定个人信息处理规则的方式告知第一款规定事项的,处理规则应当公开,并且便于查阅和保存。
【处理活动的告知要求】本条首先规定了个人信息处理者履行告知要求的时间(处理前)、语言(显著且清晰易懂)、内容(身份和联系方式、处理目的、处理方式、处理的种类、保存期限)、个人在个人信息处理活动中的权利等;其次,本条规定了变更的告知义务和以制定规则的方式告知的特殊要求。
第十八条 个人信息处理者处理个人信息,有法律、行政法规规定应当保密或者不需要告知的情形的,可以不向个人告知前条第一款规定的事项。
紧急情况下为保护自然人的生命健康和财产安全无法及时向个人告知的,个人信息处理者应当在紧急情况消除后及时告知。
【告知的例外】本条规定告知有两个例外,一是不需要告知的情形,二是不需要提前告知的情形。
第十九条 除法律、行政法规另有规定外,个人信息的保存期限应当为实现处理目的所必要的最短时间。
【保存期限的最小必要和例外】一般而言,个人信息的保存期限应在实现处理目的所必要的最短时间内;但在特殊领域,尤其像金融这种强监管领域,相关法律、行政法规可能另有规定,则个人信息处理者应当遵守这类规定。
第二十条 两个以上的个人信息处理者共同决定个人信息的处理目的和处理方式的,应当约定各自的权利和义务。但是,该约定不影响个人向其中任何一个个人信息处理者要求行使本法规定的权利。
个人信息处理者共同处理个人信息,侵害个人信息权益造成损害的,应当依法承担连带责任。
【共同处理者的连带责任】本条规定共同处理者可以约定权利和义务的划分规则,对内按约定划分权利义务,对外承担连带责任,即个人可以向其中任何一个处理者主张权利。这就对个人信息处理者在选择共同处理者时对对方进行充分尽调、明确约定和过程监控提出了更高的要求。
第二十一条 个人信息处理者委托处理个人信息的,应当与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等,并对受托人的个人信息处理活动进行监督。
受托人应当按照约定处理个人信息,不得超出约定的处理目的、处理方式等处理个人信息;委托合同不生效、无效、被撤销或者终止的,受托人应当将个人信息返还个人信息处理者或者予以删除,不得保留。
未经个人信息处理者同意,受托人不得转委托他人处理个人信息。
【委托处理要求】本条分别规定了委托处理个人信息时委托人和受托人的义务。针对委托人,应当特别注意与受托人的合同文本内容和处理过程的监督;对于受托人,则应当特别注意按约处理、及时返还或删除、以及不得私下转委托。
第二十二条 个人信息处理者因合并、分立、解散、被宣告破产等原因需要转移个人信息的,应当向个人告知接收方的名称或者姓名和联系方式。接收方应当继续履行个人信息处理者的义务。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意。
【公司主体变更的同意告知】本条规定了在个人信息处理者主体变更下的告知和同意两个义务。针对原个人信息处理者,只要发生了本条规定的情形需要转移个人信息的,均需告知接收方的身份和联系方式;针对接收方,如果需要变更原先的处理目的或方式,则需要另行取得同意。
第二十三条 个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意。
【向他人提供信息的要求】在《民法典》第一千零三十八条第一款规定的基础上,本法进一步规定了在向他人提供个人信息时的要求,包括信息处理者应告知并取得单独同意,接收方则应在告知内容的范围内处理,否则应当重新取得同意。
第二十四条 个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。
通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。
通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。
【自动化决策要求】自动化决策(Automated individual decision-making)首先出现在GDPR中,主要运用在人工智能和大数据领域,例如通过驾驶行为来分析车主的驾驶习惯,进而确定保险费率。本法与GDPR一样对此加以规制,强调自动化决策的透明性和处理结果的公平合理,并为个人提供可落地的救济途径。但在救济中,本法也将范围限制在对个人权益有重大影响的情况下,以此防止个人对救济的滥用。
在本法出台后,2021年8月28日,国家互联网信息办公室发布《互联网信息服务算法推荐管理规定(征求意见稿)》并公开征求意见,其中强调了算法透明度,明确规定“算法推荐服务提供者向消费者销售商品或者提供服务的,应当保护消费者合法权益,不得根据消费者的偏好、交易习惯等特征,利用算法在交易价格等交易条件上实行不合理的差别待遇等违法行为。”对自动化决策提供了更为细化的要求和规定。
第二十五条 个人信息处理者不得公开其处理的个人信息,取得个人单独同意的除外。
【非单独同意不得公开】本法对个人信息以不公开为原则,公开为例外;个人信息处理者需取得单独同意才可公开。
第二十六条 在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。
【安放摄像头的合规要求】在本条的规定中,公共场所安放摄像头仅能为维护公共安全所用,且应设置显著标识。因此,诸多售楼处、商场、写字楼等安装人脸识别摄像头来统计人流量,甚至识别客户来访次数的,既不能满足维护公共安全所必需,也没有取得单独同意,显然难以符合本条的规定,应对此行为进行调整。
第二十七条 个人信息处理者可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;个人明确拒绝的除外。个人信息处理者处理已公开的个人信息,对个人权益有重大影响的,应当依照本法规定取得个人同意。
【已公开个人信息的再处理】延续《民法典》第一千零三十六条第(二)项,本条对已公开个人信息处理的要求由原先草案中的“应当符合该个人信息被公开时的用途”修改为“在合理的范围内处理”且“个人明确拒绝的除外”。这里对已公开个人信息处理的标准降低主要是考虑到实践操作层面的可行性,因为大量已公开的个人信息难以被判定其公开时的用途,如果在处理前需逐一告知并取得同意则给信息处理者加重不必要的负担;但本法也规定,若已公开个人信息的再处理对个人权益有重大影响的,则依旧需要取得同意。
第二十八条 敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。
【敏感个人信息的定义和处理条件】根据本法,敏感个人信息主要包括七类信息,且在具备特定目的、充分必要性、严格保护措施的这三个条件下,才能被处理。
第二十九条 处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。
【单独同意】单独同意作为同意的一种特殊类型,在本法实施后的实践中,可能最常被用到的场景之一即是对敏感个人信息的处理中;而在现在一些网站或App的隐私或个人信息保护政策中,敏感个人信息常常被包含在个人信息中被一并同意,这不能被称为是单独同意。比较可行的做法是在涉及某项敏感信息处理前单独弹窗、或在隐私或个人信息保护政策之外逐项取得同意。
第三十条 个人信息处理者处理敏感个人信息的,除本法第十七条第一款规定的事项外,还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响;依照本法规定可以不向个人告知的除外。
【额外告知】在处理敏感信息时,除了单独同意外,个人信息处理者的另一项义务是额外告知包括必要性和对个人的影响。
第三十一条 个人信息处理者处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意。
个人信息处理者处理不满十四周岁未成年人个人信息的,应当制定专门的个人信息处理规则。
【未成年人的专门规制】根据《未成年人保护法》、《儿童个人信息网络保护规定》等相关法律法规,针对未成年人的个人信息处理,个人信息处理者需要取得其监护人的同意,并制定专门的处理规则。
第三十二条 法律、行政法规对处理敏感个人信息规定应当取得相关行政许可或者作出其他限制的,从其规定。
【额外规定】本法并未再针对敏感个人信息的特殊限制作出规定,留待日后其他相关法律或配套行政法规作出更加严格的限制。
第三十三条 国家机关处理个人信息的活动,适用本法;本节有特别规定的,适用本节规定。
【对国家机关的适用】国家机关作为个人信息处理者的一种,需要适用本法的一般规定;如本法对国家机关有特殊规定的,则适用特殊规定。
第三十四条 国家机关为履行法定职责处理个人信息,应当依照法律、行政法规规定的权限、程序进行,不得超出履行法定职责所必需的范围和限度。
【国家机关处理个人信息的规范化要求】由于国家机关在处理、尤其是收集个人信息时,有着更广的权力,因此本条特别对此提出了规范化要求:第一是需要在法定职责范围内,第二是依据法定权限和程序,第三是不能超出法定职责必须的范围和限度。但在实务中,国家机关处理个人信息的行为存在较多争议,本条规定的法定职责到底所必需的范围和限度边界在何处,可能需要在日后的实施细则甚至案例中进一步讨论。
第三十五条 国家机关为履行法定职责处理个人信息,应当依照本法规定履行告知义务;有本法第十八条第一款规定的情形,或者告知将妨碍国家机关履行法定职责的除外。
【国家机关告知义务及例外】一般情况下,国家机关处理个人信息时也应当履行本法规定的告知义务,但此处删除了草案中的“取得其同意”,这是考虑到国家机关处理个人信息更多是在行政而非商业层面,取得同意可能很难实现;在此基础之上,从例外情形来看,也进一步扩大了国家机关处理个人信息的权力,比如公安机关在侦查犯罪时处理个人信息的行为,无需向个人告知。
第三十六条 国家机关处理的个人信息应当在中华人民共和国境内存储;确需向境外提供的,应当进行安全评估。安全评估可以要求有关部门提供支持与协助。
【境内储存要求和出境安全评估】此条对国家机关处理个人信息提出了更高的要求,即原则上应在境内储存,例外情形且进行安全评估后才可以向出境。
第三十七条 法律、法规授权的具有管理公共事务职能的组织为履行法定职责处理个人信息,适用本法关于国家机关处理个人信息的规定。
【经授权管理公共事务职能组织的适用】此条为在草案基础上的新增条款,扩大了国家机关的适用范围。
第三十八条 个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一:
(一)依照本法第四十条的规定通过国家网信部门组织的安全评估;
(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;
(三)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;
(四)法律、行政法规或者国家网信部门规定的其他条件。
中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的,可以按照其规定执行。
个人信息处理者应当采取必要措施,保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。
【数据出境条件与接收方管理】本条规定了个人信息出境的前提是业务需要所必需,符合本法的必要性原则。在此基础之上,规定了三个主要的数据出境条件,即通过网信部门评估(结合本法第四十条仅针对CIIO和达量处理者)、专业机构认证和订立标准合同。从实务操作层面,在网信部门评估的细则和专业认证机构均未出台的情况下,目前这三个条件最容易实现的很有可能是第三个正在制定中的标准合同。另外,在草案的基础上,本法增加了国际条约、协定的例外规定,以及对境外接收方的同等要求。
第三十九条 个人信息处理者向中华人民共和国境外提供个人信息的,应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意。
【数据出境的特别义务】本条规定了个人信息出境的充分告知和单独同意义务。
第四十条 关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估;法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定。
【CIIO和达量处理者的安全评估】针对关键信息基础设施运营者(CIIO)和达量处理者这两个特殊个人信息处理者,本法规定其在境内收集和产生的个人信息原则上应储存在境内,确需出境的应通过安全评估。当然,在本法下具体何为达量处理者、安全评估的具体实施方式等,则有待实施细则的进一步明确。
第四十一条 中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供存储于境内个人信息的请求。非经中华人民共和国主管机关批准,个人信息处理者不得向外国司法或者执法机构提供存储于中华人民共和国境内的个人信息。
【外国司法/执法机构的个人信息调取】本条规定在国际司法协助时,外国司法/执法机构调取存储于我国境内个人信息的原则是报批,这是为了阻断境外机构对境内机构或个人的长臂管辖,保障我国国家安全和公民权益。
第四十二条 境外的组织、个人从事侵害中华人民共和国公民的个人信息权益,或者危害中华人民共和国国家安全、公共利益的个人信息处理活动的,国家网信部门可以将其列入限制或者禁止个人信息提供清单,予以公告,并采取限制或者禁止向其提供个人信息等措施。
【境外黑名单制度】同样,为保障国家安全和公民权益,网信部门可以制定或采用相应的境外黑名单,针对黑名单上的主体采取限制或禁止提供个人信息等措施。
第四十三条 任何国家或者地区在个人信息保护方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的,中华人民共和国可以根据实际情况对该国家或者地区对等采取措施。
【域外歧视性措施的反制】针对个别国家对我国采取的歧视性措施,基于国际法中的对等原则,本条也规定了我国可采取正当的反制措施,以维护我国国家利益和公民合法权益。
第四十四条 个人对其个人信息的处理享有知情权、决定权,有权限制或者拒绝他人对其个人信息进行处理;法律、行政法规另有规定的除外。
【知情权、决定权】依据本法对个人信息处理者所规定的告知义务,个人对处理个人信息享有知情权不言而喻;决定权则表现为在知情的基础上,个人有权同意、拒绝或限制他人的处理。当然,本条也规定了例外情形,即法律、法规另有规定的除外。
第四十五条 个人有权向个人信息处理者查阅、复制其个人信息;有本法第十八条第一款、第三十五条规定情形的除外。
个人请求查阅、复制其个人信息的,个人信息处理者应当及时提供。
个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。
【查阅、复制与转移权】根据《民法典》第一千零三十七条,个人对个人信息的查阅权和复制权再次被本法加以明确,且本法也规定了查阅权和复制权的例外情形,即“有法律、行政法规规定应当保密或者不需要告知”和“告知将妨碍国家机关履行法定职责”的情形。
除此之外,本法借鉴了GDPR中规定的“数据可携权”(Data portability)的概念,规定了个人有权把自己的个人数据从一个平台转移到另一个任意平台,这对个人信息处理者提出了非常高的技术要求,也进一步增强了数据市场的竞争。但该权益最终在我国是否能落地、如何落地,还有待观察。
第四十六条 个人发现其个人信息不准确或者不完整的,有权请求个人信息处理者更正、补充。
个人请求更正、补充其个人信息的,个人信息处理者应当对其个人信息予以核实,并及时更正、补充。
【更正、补充权】在《民法典》第一千零三十七条规定的更正权基础之上,本法进一步规定了补充权,旨在对一些个人信息无法更正的情况下用其他方式处理。
第四十七条 有下列情形之一的,个人信息处理者应当主动删除个人信息;个人信息处理者未删除的,个人有权请求删除:
(一)处理目的已实现、无法实现或者为实现处理目的不再必要;
(二)个人信息处理者停止提供产品或者服务,或者保存期限已届满;
(三)个人撤回同意;
(四)个人信息处理者违反法律、行政法规或者违反约定处理个人信息;
(五)法律、行政法规规定的其他情形。
法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的,个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。
【删除权】在《民法典》第一千零三十七条规定的删除权基础之上,本法进一步扩张了删除权的适用情形,并对约定保存期限届满或删除难以实现两种特殊情形的处理方式进行了规定。
第四十八条 个人有权要求个人信息处理者对其个人信息处理规则进行解释说明。
【要求解释说明权】结合本法第十七条,个人信息处理者通过制定个人信息处理规则的方式告知个人信息处理具体情况的,处理规则应当以显著方式、清晰易懂的语言告知;本条则进一步规定,个人对于个人信息处理规则有权要求个人信息处理者进行解释说明,在规定个人信息处理者义务的同时规定了个人相对应的权利,有助于保障普通个人在不熟悉专业知识和术语的实际知情权。
第四十九条 自然人死亡的,其近亲属为了自身的合法、正当利益,可以对死者的相关个人信息行使本章规定的查阅、复制、更正、删除等权利;死者生前另有安排的除外。
【死者近亲属权】本条也是本法明星条款之一,是在延续《民法典》对死者个人权利保护的基础上,新增的对死者个人信息处理的规定。值得注意的是,本条在规定了死者近亲属为自身合法、正当利益行使死者个人信息主体权利的同时,也规定了例外:即若死者生前曾对其个人信息做过安排,除非涉及国家安全和公共利益等情形,则需要尊重死者生前的自主意愿,类似于对遗嘱的处理。
第五十条 个人信息处理者应当建立便捷的个人行使权利的申请受理和处理机制。拒绝个人行使权利的请求的,应当说明理由。
个人信息处理者拒绝个人行使权利的请求的,个人可以依法向人民法院提起诉讼。
【权利行使机制和救济】本条规定了个人对个人信息权利行使时的救济措施。第一是要求个人信息处理者建立相应机制,并说明拒绝理由;第二是个人可依法向人民法院提起诉讼。
第五十一条 个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取下列措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失:
(一)制定内部管理制度和操作规程;
(二)对个人信息实行分类管理;
(三)采取相应的加密、去标识化等安全技术措施;
(四)合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;
(五)制定并组织实施个人信息安全事件应急预案;
(六)法律、行政法规规定的其他措施。
【安全保障措施】本条详细规定了个人信息处理者的安全保障义务和具体措施,值得相关企业重视,包括如下几个方面:
第一,内部管理制度和操作规程应当涵盖个人信息处理的全生命周期,包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等;
第二,分类分级管理作为对数据管理的通用方式之一,可以参考各地方立法或行业规范,依据个人信息的内容进行分类,再根据敏感程度进行分级;
第三,安全技术措施主要包括加密和去标识化两类,可以根据前述分级分类的结果采取不同的技术措施加以保护;
第四,针对处理个人信息的具体人员,则应当采取最小授权的访问控制策略,并对重要操作设置内部流程,并设置人员职责角色的分离;具体可参考《个人信息安全规范》(GB/T 35273—2020);
第五,个人信息安全事件应急预案的制定是每个个人信息处理者的义务,且在制定的同时还需要组织内容人员开展应急响应培训和演练。
第五十二条 处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督。
个人信息处理者应当公开个人信息保护负责人的联系方式,并将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门。
【达量处理者应指定负责人】针对达量处理者,本法特规定应指定个人信息保护负责人。但是,同上,本法并未对达量处理者的标准进行明确,有待实施细则的进一步规定。值得注意的是,实践中有将个人信息保护负责人与GDPR中的DPO(Date Protection Officer,数据保护官)混同的情形,这里需要明确的是本法项下的人信息保护负责人不同于DPO,GDPR项下的DPO更类似于外部监管独立机构,主要负责审查而不承担责任;本法项下的人信息保护负责人是企业内部岗位,负责全面统筹实施组织内部的个人信息安全工作,对个人信息安全负直接责任。
第五十三条 本法第三条第二款规定的中华人民共和国境外的个人信息处理者,应当在中华人民共和国境内设立专门机构或者指定代表,负责处理个人信息保护相关事务,并将有关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门。
【境外处理者应设立境内代表处】针对个人信息跨境,受本法管辖的境外个人信息处理者应当在境内设立专门机构或指定代表,这样有助于国内监管机构通过对境内专门机构或代表的监管而实现对境外个人信息处理者的管辖。
第五十四条 个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。
【定期合规审计】本条从原则上规定了个人信息处理者应对自身进行定期合规审计,但并未对何时、对何内容、由何主体进行审计等具体要求进行规定,有待于实施细则进一步明确。
第五十五条 有下列情形之一的,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录:
(一)处理敏感个人信息;
(二)利用个人信息进行自动化决策;
(三)委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;
(四)向境外提供个人信息;
(五)其他对个人权益有重大影响的个人信息处理活动。
【事前安全评估】本条规定了个人信息处理者事前安全评估的义务,并具体规定了应当实施事前安全评估的情形。
第五十六条 个人信息保护影响评估应当包括下列内容:
(一)个人信息的处理目的、处理方式等是否合法、正当、必要;
(二)对个人权益的影响及安全风险;
(三)所采取的保护措施是否合法、有效并与风险程度相适应。
个人信息保护影响评估报告和处理情况记录应当至少保存三年。
【安全评估内容】结合上条,本条规定了评估的具体内容,其中特别规定评估报告和处理情况记录应当保存三年以上,使得个人信息保护影响评估更具有可操作性。
第五十七条 发生或者可能发生个人信息泄露、篡改、丢失的,个人信息处理者应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人。通知应当包括下列事项:
(一)发生或者可能发生个人信息泄露、篡改、丢失的信息种类、原因和可能造成的危害;
(二)个人信息处理者采取的补救措施和个人可以采取的减轻危害的措施;
(三)个人信息处理者的联系方式。
个人信息处理者采取措施能够有效避免信息泄露、篡改、丢失造成危害的,个人信息处理者可以不通知个人;履行个人信息保护职责的部门认为可能造成危害的,有权要求个人信息处理者通知个人。
【风险事件的补救和报告】本条在个人信息处理者发现个人信息风险事件的基础上,进一步规定当个人信息处理者发现可能发生的风险事件时,就应当采取补救措施,并向监管部门报告,非例外情况下还需通知个人。
第五十八条 提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当履行下列义务:
(一)按照国家规定建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督;
(二)遵循公开、公平、公正的原则,制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务;
(三)对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务;
(四)定期发布个人信息保护社会责任报告,接受社会监督。
【大型平台的额外义务】在符合前述个人信息处理者义务的同时,大型平台还应当履行本条规定的额外义务,包括:成立外部监管独立机构、制定平台内各主体处理和保护个人信息的规则、对平台内商品或服务提供者进行监督、定期发布个人信息保护社会责任报告。
第五十九条 接受委托处理个人信息的受托人,应当依照本法和有关法律、行政法规的规定,采取必要措施保障所处理的个人信息的安全,并协助个人信息处理者履行本法规定的义务。
【受托处理者的义务】本条在本法第二十一条规定的委托处理要求基础上,单独增设了受托处理者的义务,包括安全保障和协助委托人履行义务。
第六十条 国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。国务院有关部门依照本法和有关法律、行政法规的规定,在各自职责范围内负责个人信息保护和监督管理工作。
县级以上地方人民政府有关部门的个人信息保护和监督管理职责,按照国家有关规定确定。
前两款规定的部门统称为履行个人信息保护职责的部门。
【职责部门】本条明确了履行个人信息保护职责的部门;其中,网信部门负责统筹协调和监管,国务院有关部门例如工信部、人民银行等则在其职责范围内负责监管,县级以上地方人民政府有关部门的职责则需要进一步探索和明确。
第六十一条 履行个人信息保护职责的部门履行下列个人信息保护职责:
(一)开展个人信息保护宣传教育,指导、监督个人信息处理者开展个人信息保护工作;
(二)接受、处理与个人信息保护有关的投诉、举报;
(三)组织对应用程序等个人信息保护情况进行测评,并公布测评结果;
(四)调查、处理违法个人信息处理活动;
(五)法律、行政法规规定的其他职责。
【个保职责部门的职责】前述所有履行个人信息保护职责的部门均应对其职责范围内的个人信息履行教育、指导、监督、处理投诉和举报、组织测评、调查处理违法活动等的职责。
第六十二条 国家网信部门统筹协调有关部门依据本法推进下列个人信息保护工作:
(一)制定个人信息保护具体规则、标准;
(二)针对小型个人信息处理者、处理敏感个人信息以及人脸识别、人工智能等新技术、新应用,制定专门的个人信息保护规则、标准;
(三)支持研究开发和推广应用安全、方便的电子身份认证技术,推进网络身份认证公共服务建设;
(四)推进个人信息保护社会化服务体系建设,支持有关机构开展个人信息保护评估、认证服务;
(五)完善个人信息保护投诉、举报工作机制。
【网信部门的职责】在履行个人信息保护职责的部门中,网信部门因在个人信息保护和监管方面已经积累了实践经验,因此由其统筹协调个人信息保护工作。本条规定了其开展工作的具体职责。
第六十三条 履行个人信息保护职责的部门履行个人信息保护职责,可以采取下列措施:
(一)询问有关当事人,调查与个人信息处理活动有关的情况;
(二)查阅、复制当事人与个人信息处理活动有关的合同、记录、账簿以及其他有关资料;
(三)实施现场检查,对涉嫌违法的个人信息处理活动进行调查;
(四)检查与个人信息处理活动有关的设备、物品;对有证据证明是用于违法个人信息处理活动的设备、物品,向本部门主要负责人书面报告并经批准,可以查封或者扣押。
履行个人信息保护职责的部门依法履行职责,当事人应当予以协助、配合,不得拒绝、阻挠。
【履职措施】本条明确规定了履行个人信息保护职责的部门履行职责的措施,并且赋予了其对人员询问调查、对资料查阅复制、对现场和信息处理活动检查调查、对设备物品查封扣押等的权力,使日后的履职实践和对履职行为的监督有法可依。
第六十四条 履行个人信息保护职责的部门在履行职责中,发现个人信息处理活动存在较大风险或者发生个人信息安全事件的,可以按照规定的权限和程序对该个人信息处理者的法定代表人或者主要负责人进行约谈,或者要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。个人信息处理者应当按照要求采取措施,进行整改,消除隐患。
履行个人信息保护职责的部门在履行职责中,发现违法处理个人信息涉嫌犯罪的,应当及时移送公安机关依法处理。
【约谈整改与刑事移送】本法与《网络安全法》和《数据安全法》一并将约谈制度合法化,但对于约谈部门的权限和约谈的程序并没有进一步规定,为防止权力滥用,我们期待实施细则可以有更明确的规定。另外,本法特别增加刑事移送的规定,与刑法对个人信息领域犯罪的规定有了很好的衔接。
第六十五条 任何组织、个人有权对违法个人信息处理活动向履行个人信息保护职责的部门进行投诉、举报。收到投诉、举报的部门应当依法及时处理,并将处理结果告知投诉、举报人。
履行个人信息保护职责的部门应当公布接受投诉、举报的联系方式。
【投诉举报制度】本条对个人信息处理违法活动的投诉举报进行了规定,且并未规定投诉举报的主体和具体受理部门。这是否意味着除了用户之外,任何第三人,包括竞争对手、自媒体等都可以作为举报主体,向任何履行个人信息保护职责的部门进行投诉举报?这都有待进一步明确。
第六十六条 违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
有前款规定的违法行为,情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。
【行政处罚】相较于《网络安全法》和《数据安全法》的行政处罚,本法借鉴了GDPR的监管思路,大幅度提高个人信息违法成本;其中“一年度营业额百分之五以下罚款”对于大型互联网平台而言将是巨额处罚。
第六十七条 有本法规定的违法行为的,依照有关法律、行政法规的规定记入信用档案,并予以公示。
【信用档案公示】本条与《网络安全法》的规定相似,违法者除了面对高额罚款之外,还将面临声誉和舆情压力,将违法的处罚范围扩大到整个社会层面。
第六十八条 国家机关不履行本法规定的个人信息保护义务的,由其上级机关或者履行个人信息保护职责的部门责令改正;对直接负责的主管人员和其他直接责任人员依法给予处分。
履行个人信息保护职责的部门的工作人员玩忽职守、滥用职权、徇私舞弊,尚不构成犯罪的,依法给予处分。
【国家机关法律责任】本条规定了履行个人信息保护职责的国家机关的法律责任。
第六十九条 处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。
前款规定的损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定;个人因此受到的损失和个人信息处理者因此获得的利益难以确定的,根据实际情况确定赔偿数额。
【侵权责任和举证责任】本条规定了个人信息侵权的民事责任和举证责任,其中举证责任的规定值得重视。在本法出台前,个人信息侵权案件按照“谁主张,谁举证”的原则,使得个人承担了与其实际掌握信息不符的举证责任,只有在个人有证据证明个人信息处理者掌握了相关证据,实践中也有法院根据公平原则和诚实信用原则,综合个人的举证能力等因素确定举证责任;但在本法出台后,法院可以直接依据本条,要求被告证明自身无过错,否则应承担损害赔偿责任。
第七十条 个人信息处理者违反本法规定处理个人信息,侵害众多个人的权益的,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。
【公益诉讼】考虑到很多个人会因为诉讼时间和金钱成本较高,对自身个人信息受到侵害的行为选择不发声;本条规定的个人信息公益诉讼制度赋予人民检察院、消费者组织等有权在汇总情况后发起诉讼,为个人维权开辟了更加便捷的通道。
第七十一条 违反本法规定,构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。
【治安管理处罚与刑事责任】本条明确划分了个人信息违法行为可能引发的治安管理处罚责任和刑事责任。
第七十二条 自然人因个人或者家庭事务处理个人信息的,不适用本法。
法律对各级人民政府及其有关部门组织实施的统计、档案管理活动中的个人信息处理有规定的,适用其规定。
【本法适用的例外】本条明确规定了本法适用的例外场景,包括自然人在处理自身或家庭事务及政府实施统计和档案管理时,处理个人信息的行为不受到本法规制。
第七十三条 本法下列用语的含义:
(一)个人信息处理者,是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。
(二)自动化决策,是指通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等,并进行决策的活动。
(三)去标识化,是指个人信息经过处理,使其在不借助额外信息的情况下无法识别特定自然人的过程。
(四)匿名化,是指个人信息经过处理无法识别特定自然人且不能复原的过程。
【定义条款】对本法中四个重要用语进行了定义。
第七十四条 本法自2021年11月1日起施行。
【实施时间】本法的正式施行时间。
《中华人民共和国个人信息保护法》(本文简称《个人信息保护法》)于2021年8月20日正式通过,并将于11月1日,也就是下周,正式施行。《个人信息保护法》与《中华人民共和国网络安全法》、《中华人民共和国数据安全法》并称为“三驾马车”,从国家安全层面、个人数据保护和公共数据公开层面构建起我国对于网络和数据安全保护的制度保障。其中,《个人信息保护法》与民众的日常生活最为相关,因而也对企业相关合规体系和管理提出了更高的要求。本文旨在《个人信息保护法》即将施行之际,用最简单明了的方式对本法的基本框架进行概括,并对本法进行逐条解读,以让读者对本法有一个整体性了解。
一、《个人信息保护法》框架
《个人信息保护法》主要对本法的适用内容、管辖范围、适用对象、权利义务、监管方式进行了规定,针对个人信息的规制架构主要如下图:

二、《个人信息保护法》逐条解读
第一条 为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,根据宪法,制定本法。
【立法目的】本法依据最高位法制定,旨在保护个人信息权益的基础上,保障个人信息处理过程的合法,实现保护和利用平衡。
第二条 自然人的个人信息受法律保护,任何组织、个人不得侵害自然人的个人信息权益。
【宣誓性条款】本法不重点考虑个人信息的所有权和权利问题,而旨在强调对自然人个人信息权益的保护。
第三条 在中华人民共和国境内处理自然人个人信息的活动,适用本法。
在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,有下列情形之一的,也适用本法:
(一)以向境内自然人提供产品或者服务为目的;
(二)分析、评估境内自然人的行为;
(三)法律、行政法规规定的其他情形。
【管辖范围】本法采取了属地+部分属人的规则,具备一定的域外效力,但归根结底是为更好地维护我国境内自然人的个人信息权益。与欧盟《通用数据保护条例》(General Data Protection Regulation,以下简称“GDPR”)相比,本法的管辖范围更小。
第四条 个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。
【定义】本条对“个人信息”和“个人信息处理”进行定义。在“个人信息”上,本法采用了与GDPR类似的做法,采用识别+关联的方式来界定个人信息;在“个人信息处理”上,本法沿用了《民法典》的方式,将个人信息全生命周期的活动纳入到个人信息处理范围,使得个人信息所涉的全部处理活动均受本法规制。
第五条 处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。
【合法、正当、必要和诚信原则】第五条至第十条规定了个人信息处理的原则。结合《民法典》第一千零三十五条,合法、正当、必要是个人信息处理的基础,且在此基础之上,还要求不得以欺诈、误导等方式来收集、处理个人信息。
第六条 处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。
收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。
【合理、相关、最小必要原则】结合《民法典》第一千零三十五条第(三)项,本法要求个人信息处理活动应当遵循必要性原则,且不得超出处理目的。
第七条 处理个人信息应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围。
【公开、透明原则】结合《民法典》第一千零三十五条第(二)项,信息处理者必须公开个人信息处理规则及处理的目的、方式、范围。
第八条 处理个人信息应当保证个人信息的质量,避免因个人信息不准确、不完整对个人权益造成不利影响。
【保质原则】本法提出个人信息处理者要对个人信息的准确性、完整性保质,因为错误、不完整的信息可能导致处理结果的错误甚至侵权。
第九条 个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。
【安全责任原则】本法明确了“谁处理谁负责”的原则,并进一步要求个人信息处理者需要采取技术措施、管理措施等必要手段保障信息安全。
第十条 任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息;不得从事危害国家安全、公共利益的个人信息处理活动。
【不得违法原则】结合《民法典》第一千零三十五条第(四)项,本法在规定个人信息处理者不得违法原则的基础上,新增了不得危害国家安全和公共利益的要求,明确了个人信息处理的红线。
第十一条 国家建立健全个人信息保护制度,预防和惩治侵害个人信息权益的行为,加强个人信息保护宣传教育,推动形成政府、企业、相关社会组织、公众共同参与个人信息保护的良好环境。
【建立个人信息保护制度】本条规定了国家通过预防和惩治、加强宣传教育、推动各层级共同参与等方式,提高个人信息保护的整体水平,以此建立我国的个人信息保护制度。
第十二条 国家积极参与个人信息保护国际规则的制定,促进个人信息保护方面的国际交流与合作,推动与其他国家、地区、国际组织之间的个人信息保护规则、标准等互认。
【国际合作机制】本条规定我国将通过积极参与国际交流与合作,成为规则的制定者,并推动规则和标准的互认,更好地维护国家利益和公民个人信息权益。
第十三条 符合下列情形之一的,个人信息处理者方可处理个人信息:
(一)取得个人的同意;
(二)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;
(三)为履行法定职责或者法定义务所必需;
(四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;
(五)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;
(六)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;
(七)法律、行政法规规定的其他情形。
依照本法其他有关规定,处理个人信息应当取得个人同意,但是有前款第二项至第七项规定情形的,不需取得个人同意。
【个人信息的处理原则】本条在《民法典》、《网络安全法》的基础上,参考了GDPR的规定,进一步大范围扩充了个人信息处理的合法性基础。
第十四条 基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。
个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。
【同意的取得】本条规定了一般同意、特殊同意和同意的重新取得。
同意作为个人信息处理最为主要的合法性基础,需要个人在充分知情的基础上自主作出明确的意思表示,在目前的实践中,一般通过由用户点击确认或勾选相关隐私政策、信息保护政策等的方式取得。
特殊同意则在此基础之上要求个人另行作出单独同意或书面同意,即根据本法第二十三条(向他人提供信息)、第二十五条(公开个人信息)、第二十九条(处理敏感信息)和第三十九条(向境外提供信息)中的几种情形。
同意的重新取得则是在处理目的、方式和种类发生变更时需要在原始同意的基础上再次取得同意,且同意的方式应当与原始同意一致。
第十五条 基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。
个人撤回同意,不影响撤回前基于个人同意已进行的个人信息处理活动的效力。
【撤回同意】本条规定,在基于个人同意基础上处理个人信息时,个人有权撤回同意,且该撤回不溯及既往;反言之,若个人信息的处理并非基于同意,则个人无法撤回。这里涉及到个人信息处理的合法性基础竞合的问题,日后我们将专门讨论。
第十六条 个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务;处理个人信息属于提供产品或者服务所必需的除外。
【最小必要范围外的禁强制】本条明确,除非处理个人信息是提供产品或服务所必需,否则当个人不同意或撤回同意时,个人信息处理者不得拒绝提供产品或服务。
第十七条 个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:
(一)个人信息处理者的名称或者姓名和联系方式;
(二)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;
(三)个人行使本法规定权利的方式和程序;
(四)法律、行政法规规定应当告知的其他事项。
前款规定事项发生变更的,应当将变更部分告知个人。
个人信息处理者通过制定个人信息处理规则的方式告知第一款规定事项的,处理规则应当公开,并且便于查阅和保存。
【处理活动的告知要求】本条首先规定了个人信息处理者履行告知要求的时间(处理前)、语言(显著且清晰易懂)、内容(身份和联系方式、处理目的、处理方式、处理的种类、保存期限)、个人在个人信息处理活动中的权利等;其次,本条规定了变更的告知义务和以制定规则的方式告知的特殊要求。
第十八条 个人信息处理者处理个人信息,有法律、行政法规规定应当保密或者不需要告知的情形的,可以不向个人告知前条第一款规定的事项。
紧急情况下为保护自然人的生命健康和财产安全无法及时向个人告知的,个人信息处理者应当在紧急情况消除后及时告知。
【告知的例外】本条规定告知有两个例外,一是不需要告知的情形,二是不需要提前告知的情形。
第十九条 除法律、行政法规另有规定外,个人信息的保存期限应当为实现处理目的所必要的最短时间。
【保存期限的最小必要和例外】一般而言,个人信息的保存期限应在实现处理目的所必要的最短时间内;但在特殊领域,尤其像金融这种强监管领域,相关法律、行政法规可能另有规定,则个人信息处理者应当遵守这类规定。
第二十条 两个以上的个人信息处理者共同决定个人信息的处理目的和处理方式的,应当约定各自的权利和义务。但是,该约定不影响个人向其中任何一个个人信息处理者要求行使本法规定的权利。
个人信息处理者共同处理个人信息,侵害个人信息权益造成损害的,应当依法承担连带责任。
【共同处理者的连带责任】本条规定共同处理者可以约定权利和义务的划分规则,对内按约定划分权利义务,对外承担连带责任,即个人可以向其中任何一个处理者主张权利。这就对个人信息处理者在选择共同处理者时对对方进行充分尽调、明确约定和过程监控提出了更高的要求。
第二十一条 个人信息处理者委托处理个人信息的,应当与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等,并对受托人的个人信息处理活动进行监督。
受托人应当按照约定处理个人信息,不得超出约定的处理目的、处理方式等处理个人信息;委托合同不生效、无效、被撤销或者终止的,受托人应当将个人信息返还个人信息处理者或者予以删除,不得保留。
未经个人信息处理者同意,受托人不得转委托他人处理个人信息。
【委托处理要求】本条分别规定了委托处理个人信息时委托人和受托人的义务。针对委托人,应当特别注意与受托人的合同文本内容和处理过程的监督;对于受托人,则应当特别注意按约处理、及时返还或删除、以及不得私下转委托。
第二十二条 个人信息处理者因合并、分立、解散、被宣告破产等原因需要转移个人信息的,应当向个人告知接收方的名称或者姓名和联系方式。接收方应当继续履行个人信息处理者的义务。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意。
【公司主体变更的同意告知】本条规定了在个人信息处理者主体变更下的告知和同意两个义务。针对原个人信息处理者,只要发生了本条规定的情形需要转移个人信息的,均需告知接收方的身份和联系方式;针对接收方,如果需要变更原先的处理目的或方式,则需要另行取得同意。
第二十三条 个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意。
【向他人提供信息的要求】在《民法典》第一千零三十八条第一款规定的基础上,本法进一步规定了在向他人提供个人信息时的要求,包括信息处理者应告知并取得单独同意,接收方则应在告知内容的范围内处理,否则应当重新取得同意。
第二十四条 个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。
通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。
通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。
【自动化决策要求】自动化决策(Automated individual decision-making)首先出现在GDPR中,主要运用在人工智能和大数据领域,例如通过驾驶行为来分析车主的驾驶习惯,进而确定保险费率。本法与GDPR一样对此加以规制,强调自动化决策的透明性和处理结果的公平合理,并为个人提供可落地的救济途径。但在救济中,本法也将范围限制在对个人权益有重大影响的情况下,以此防止个人对救济的滥用。
在本法出台后,2021年8月28日,国家互联网信息办公室发布《互联网信息服务算法推荐管理规定(征求意见稿)》并公开征求意见,其中强调了算法透明度,明确规定“算法推荐服务提供者向消费者销售商品或者提供服务的,应当保护消费者合法权益,不得根据消费者的偏好、交易习惯等特征,利用算法在交易价格等交易条件上实行不合理的差别待遇等违法行为。”对自动化决策提供了更为细化的要求和规定。
第二十五条 个人信息处理者不得公开其处理的个人信息,取得个人单独同意的除外。
【非单独同意不得公开】本法对个人信息以不公开为原则,公开为例外;个人信息处理者需取得单独同意才可公开。
第二十六条 在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。
【安放摄像头的合规要求】在本条的规定中,公共场所安放摄像头仅能为维护公共安全所用,且应设置显著标识。因此,诸多售楼处、商场、写字楼等安装人脸识别摄像头来统计人流量,甚至识别客户来访次数的,既不能满足维护公共安全所必需,也没有取得单独同意,显然难以符合本条的规定,应对此行为进行调整。
第二十七条 个人信息处理者可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;个人明确拒绝的除外。个人信息处理者处理已公开的个人信息,对个人权益有重大影响的,应当依照本法规定取得个人同意。
【已公开个人信息的再处理】延续《民法典》第一千零三十六条第(二)项,本条对已公开个人信息处理的要求由原先草案中的“应当符合该个人信息被公开时的用途”修改为“在合理的范围内处理”且“个人明确拒绝的除外”。这里对已公开个人信息处理的标准降低主要是考虑到实践操作层面的可行性,因为大量已公开的个人信息难以被判定其公开时的用途,如果在处理前需逐一告知并取得同意则给信息处理者加重不必要的负担;但本法也规定,若已公开个人信息的再处理对个人权益有重大影响的,则依旧需要取得同意。
第二十八条 敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。
【敏感个人信息的定义和处理条件】根据本法,敏感个人信息主要包括七类信息,且在具备特定目的、充分必要性、严格保护措施的这三个条件下,才能被处理。
第二十九条 处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。
【单独同意】单独同意作为同意的一种特殊类型,在本法实施后的实践中,可能最常被用到的场景之一即是对敏感个人信息的处理中;而在现在一些网站或App的隐私或个人信息保护政策中,敏感个人信息常常被包含在个人信息中被一并同意,这不能被称为是单独同意。比较可行的做法是在涉及某项敏感信息处理前单独弹窗、或在隐私或个人信息保护政策之外逐项取得同意。
第三十条 个人信息处理者处理敏感个人信息的,除本法第十七条第一款规定的事项外,还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响;依照本法规定可以不向个人告知的除外。
【额外告知】在处理敏感信息时,除了单独同意外,个人信息处理者的另一项义务是额外告知包括必要性和对个人的影响。
第三十一条 个人信息处理者处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意。
个人信息处理者处理不满十四周岁未成年人个人信息的,应当制定专门的个人信息处理规则。
【未成年人的专门规制】根据《未成年人保护法》、《儿童个人信息网络保护规定》等相关法律法规,针对未成年人的个人信息处理,个人信息处理者需要取得其监护人的同意,并制定专门的处理规则。
第三十二条 法律、行政法规对处理敏感个人信息规定应当取得相关行政许可或者作出其他限制的,从其规定。
【额外规定】本法并未再针对敏感个人信息的特殊限制作出规定,留待日后其他相关法律或配套行政法规作出更加严格的限制。
第三十三条 国家机关处理个人信息的活动,适用本法;本节有特别规定的,适用本节规定。
【对国家机关的适用】国家机关作为个人信息处理者的一种,需要适用本法的一般规定;如本法对国家机关有特殊规定的,则适用特殊规定。
第三十四条 国家机关为履行法定职责处理个人信息,应当依照法律、行政法规规定的权限、程序进行,不得超出履行法定职责所必需的范围和限度。
【国家机关处理个人信息的规范化要求】由于国家机关在处理、尤其是收集个人信息时,有着更广的权力,因此本条特别对此提出了规范化要求:第一是需要在法定职责范围内,第二是依据法定权限和程序,第三是不能超出法定职责必须的范围和限度。但在实务中,国家机关处理个人信息的行为存在较多争议,本条规定的法定职责到底所必需的范围和限度边界在何处,可能需要在日后的实施细则甚至案例中进一步讨论。
第三十五条 国家机关为履行法定职责处理个人信息,应当依照本法规定履行告知义务;有本法第十八条第一款规定的情形,或者告知将妨碍国家机关履行法定职责的除外。
【国家机关告知义务及例外】一般情况下,国家机关处理个人信息时也应当履行本法规定的告知义务,但此处删除了草案中的“取得其同意”,这是考虑到国家机关处理个人信息更多是在行政而非商业层面,取得同意可能很难实现;在此基础之上,从例外情形来看,也进一步扩大了国家机关处理个人信息的权力,比如公安机关在侦查犯罪时处理个人信息的行为,无需向个人告知。
第三十六条 国家机关处理的个人信息应当在中华人民共和国境内存储;确需向境外提供的,应当进行安全评估。安全评估可以要求有关部门提供支持与协助。
【境内储存要求和出境安全评估】此条对国家机关处理个人信息提出了更高的要求,即原则上应在境内储存,例外情形且进行安全评估后才可以向出境。
第三十七条 法律、法规授权的具有管理公共事务职能的组织为履行法定职责处理个人信息,适用本法关于国家机关处理个人信息的规定。
【经授权管理公共事务职能组织的适用】此条为在草案基础上的新增条款,扩大了国家机关的适用范围。
第三十八条 个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一:
(一)依照本法第四十条的规定通过国家网信部门组织的安全评估;
(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;
(三)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;
(四)法律、行政法规或者国家网信部门规定的其他条件。
中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的,可以按照其规定执行。
个人信息处理者应当采取必要措施,保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。
【数据出境条件与接收方管理】本条规定了个人信息出境的前提是业务需要所必需,符合本法的必要性原则。在此基础之上,规定了三个主要的数据出境条件,即通过网信部门评估(结合本法第四十条仅针对CIIO和达量处理者)、专业机构认证和订立标准合同。从实务操作层面,在网信部门评估的细则和专业认证机构均未出台的情况下,目前这三个条件最容易实现的很有可能是第三个正在制定中的标准合同。另外,在草案的基础上,本法增加了国际条约、协定的例外规定,以及对境外接收方的同等要求。
第三十九条 个人信息处理者向中华人民共和国境外提供个人信息的,应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意。
【数据出境的特别义务】本条规定了个人信息出境的充分告知和单独同意义务。
第四十条 关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估;法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定。
【CIIO和达量处理者的安全评估】针对关键信息基础设施运营者(CIIO)和达量处理者这两个特殊个人信息处理者,本法规定其在境内收集和产生的个人信息原则上应储存在境内,确需出境的应通过安全评估。当然,在本法下具体何为达量处理者、安全评估的具体实施方式等,则有待实施细则的进一步明确。
第四十一条 中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供存储于境内个人信息的请求。非经中华人民共和国主管机关批准,个人信息处理者不得向外国司法或者执法机构提供存储于中华人民共和国境内的个人信息。
【外国司法/执法机构的个人信息调取】本条规定在国际司法协助时,外国司法/执法机构调取存储于我国境内个人信息的原则是报批,这是为了阻断境外机构对境内机构或个人的长臂管辖,保障我国国家安全和公民权益。
第四十二条 境外的组织、个人从事侵害中华人民共和国公民的个人信息权益,或者危害中华人民共和国国家安全、公共利益的个人信息处理活动的,国家网信部门可以将其列入限制或者禁止个人信息提供清单,予以公告,并采取限制或者禁止向其提供个人信息等措施。
【境外黑名单制度】同样,为保障国家安全和公民权益,网信部门可以制定或采用相应的境外黑名单,针对黑名单上的主体采取限制或禁止提供个人信息等措施。
第四十三条 任何国家或者地区在个人信息保护方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的,中华人民共和国可以根据实际情况对该国家或者地区对等采取措施。
【域外歧视性措施的反制】针对个别国家对我国采取的歧视性措施,基于国际法中的对等原则,本条也规定了我国可采取正当的反制措施,以维护我国国家利益和公民合法权益。
第四十四条 个人对其个人信息的处理享有知情权、决定权,有权限制或者拒绝他人对其个人信息进行处理;法律、行政法规另有规定的除外。
【知情权、决定权】依据本法对个人信息处理者所规定的告知义务,个人对处理个人信息享有知情权不言而喻;决定权则表现为在知情的基础上,个人有权同意、拒绝或限制他人的处理。当然,本条也规定了例外情形,即法律、法规另有规定的除外。
第四十五条 个人有权向个人信息处理者查阅、复制其个人信息;有本法第十八条第一款、第三十五条规定情形的除外。
个人请求查阅、复制其个人信息的,个人信息处理者应当及时提供。
个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。
【查阅、复制与转移权】根据《民法典》第一千零三十七条,个人对个人信息的查阅权和复制权再次被本法加以明确,且本法也规定了查阅权和复制权的例外情形,即“有法律、行政法规规定应当保密或者不需要告知”和“告知将妨碍国家机关履行法定职责”的情形。
除此之外,本法借鉴了GDPR中规定的“数据可携权”(Data portability)的概念,规定了个人有权把自己的个人数据从一个平台转移到另一个任意平台,这对个人信息处理者提出了非常高的技术要求,也进一步增强了数据市场的竞争。但该权益最终在我国是否能落地、如何落地,还有待观察。
第四十六条 个人发现其个人信息不准确或者不完整的,有权请求个人信息处理者更正、补充。
个人请求更正、补充其个人信息的,个人信息处理者应当对其个人信息予以核实,并及时更正、补充。
【更正、补充权】在《民法典》第一千零三十七条规定的更正权基础之上,本法进一步规定了补充权,旨在对一些个人信息无法更正的情况下用其他方式处理。
第四十七条 有下列情形之一的,个人信息处理者应当主动删除个人信息;个人信息处理者未删除的,个人有权请求删除:
(一)处理目的已实现、无法实现或者为实现处理目的不再必要;
(二)个人信息处理者停止提供产品或者服务,或者保存期限已届满;
(三)个人撤回同意;
(四)个人信息处理者违反法律、行政法规或者违反约定处理个人信息;
(五)法律、行政法规规定的其他情形。
法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的,个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。
【删除权】在《民法典》第一千零三十七条规定的删除权基础之上,本法进一步扩张了删除权的适用情形,并对约定保存期限届满或删除难以实现两种特殊情形的处理方式进行了规定。
第四十八条 个人有权要求个人信息处理者对其个人信息处理规则进行解释说明。
【要求解释说明权】结合本法第十七条,个人信息处理者通过制定个人信息处理规则的方式告知个人信息处理具体情况的,处理规则应当以显著方式、清晰易懂的语言告知;本条则进一步规定,个人对于个人信息处理规则有权要求个人信息处理者进行解释说明,在规定个人信息处理者义务的同时规定了个人相对应的权利,有助于保障普通个人在不熟悉专业知识和术语的实际知情权。
第四十九条 自然人死亡的,其近亲属为了自身的合法、正当利益,可以对死者的相关个人信息行使本章规定的查阅、复制、更正、删除等权利;死者生前另有安排的除外。
【死者近亲属权】本条也是本法明星条款之一,是在延续《民法典》对死者个人权利保护的基础上,新增的对死者个人信息处理的规定。值得注意的是,本条在规定了死者近亲属为自身合法、正当利益行使死者个人信息主体权利的同时,也规定了例外:即若死者生前曾对其个人信息做过安排,除非涉及国家安全和公共利益等情形,则需要尊重死者生前的自主意愿,类似于对遗嘱的处理。
第五十条 个人信息处理者应当建立便捷的个人行使权利的申请受理和处理机制。拒绝个人行使权利的请求的,应当说明理由。
个人信息处理者拒绝个人行使权利的请求的,个人可以依法向人民法院提起诉讼。
【权利行使机制和救济】本条规定了个人对个人信息权利行使时的救济措施。第一是要求个人信息处理者建立相应机制,并说明拒绝理由;第二是个人可依法向人民法院提起诉讼。
第五十一条 个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取下列措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失:
(一)制定内部管理制度和操作规程;
(二)对个人信息实行分类管理;
(三)采取相应的加密、去标识化等安全技术措施;
(四)合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;
(五)制定并组织实施个人信息安全事件应急预案;
(六)法律、行政法规规定的其他措施。
【安全保障措施】本条详细规定了个人信息处理者的安全保障义务和具体措施,值得相关企业重视,包括如下几个方面:
第一,内部管理制度和操作规程应当涵盖个人信息处理的全生命周期,包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等;
第二,分类分级管理作为对数据管理的通用方式之一,可以参考各地方立法或行业规范,依据个人信息的内容进行分类,再根据敏感程度进行分级;
第三,安全技术措施主要包括加密和去标识化两类,可以根据前述分级分类的结果采取不同的技术措施加以保护;
第四,针对处理个人信息的具体人员,则应当采取最小授权的访问控制策略,并对重要操作设置内部流程,并设置人员职责角色的分离;具体可参考《个人信息安全规范》(GB/T 35273—2020);
第五,个人信息安全事件应急预案的制定是每个个人信息处理者的义务,且在制定的同时还需要组织内容人员开展应急响应培训和演练。
第五十二条 处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督。
个人信息处理者应当公开个人信息保护负责人的联系方式,并将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门。
【达量处理者应指定负责人】针对达量处理者,本法特规定应指定个人信息保护负责人。但是,同上,本法并未对达量处理者的标准进行明确,有待实施细则的进一步规定。值得注意的是,实践中有将个人信息保护负责人与GDPR中的DPO(Date Protection Officer,数据保护官)混同的情形,这里需要明确的是本法项下的人信息保护负责人不同于DPO,GDPR项下的DPO更类似于外部监管独立机构,主要负责审查而不承担责任;本法项下的人信息保护负责人是企业内部岗位,负责全面统筹实施组织内部的个人信息安全工作,对个人信息安全负直接责任。
第五十三条 本法第三条第二款规定的中华人民共和国境外的个人信息处理者,应当在中华人民共和国境内设立专门机构或者指定代表,负责处理个人信息保护相关事务,并将有关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门。
【境外处理者应设立境内代表处】针对个人信息跨境,受本法管辖的境外个人信息处理者应当在境内设立专门机构或指定代表,这样有助于国内监管机构通过对境内专门机构或代表的监管而实现对境外个人信息处理者的管辖。
第五十四条 个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。
【定期合规审计】本条从原则上规定了个人信息处理者应对自身进行定期合规审计,但并未对何时、对何内容、由何主体进行审计等具体要求进行规定,有待于实施细则进一步明确。
第五十五条 有下列情形之一的,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录:
(一)处理敏感个人信息;
(二)利用个人信息进行自动化决策;
(三)委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;
(四)向境外提供个人信息;
(五)其他对个人权益有重大影响的个人信息处理活动。
【事前安全评估】本条规定了个人信息处理者事前安全评估的义务,并具体规定了应当实施事前安全评估的情形。
第五十六条 个人信息保护影响评估应当包括下列内容:
(一)个人信息的处理目的、处理方式等是否合法、正当、必要;
(二)对个人权益的影响及安全风险;
(三)所采取的保护措施是否合法、有效并与风险程度相适应。
个人信息保护影响评估报告和处理情况记录应当至少保存三年。
【安全评估内容】结合上条,本条规定了评估的具体内容,其中特别规定评估报告和处理情况记录应当保存三年以上,使得个人信息保护影响评估更具有可操作性。
第五十七条 发生或者可能发生个人信息泄露、篡改、丢失的,个人信息处理者应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人。通知应当包括下列事项:
(一)发生或者可能发生个人信息泄露、篡改、丢失的信息种类、原因和可能造成的危害;
(二)个人信息处理者采取的补救措施和个人可以采取的减轻危害的措施;
(三)个人信息处理者的联系方式。
个人信息处理者采取措施能够有效避免信息泄露、篡改、丢失造成危害的,个人信息处理者可以不通知个人;履行个人信息保护职责的部门认为可能造成危害的,有权要求个人信息处理者通知个人。
【风险事件的补救和报告】本条在个人信息处理者发现个人信息风险事件的基础上,进一步规定当个人信息处理者发现可能发生的风险事件时,就应当采取补救措施,并向监管部门报告,非例外情况下还需通知个人。
第五十八条 提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当履行下列义务:
(一)按照国家规定建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督;
(二)遵循公开、公平、公正的原则,制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务;
(三)对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务;
(四)定期发布个人信息保护社会责任报告,接受社会监督。
【大型平台的额外义务】在符合前述个人信息处理者义务的同时,大型平台还应当履行本条规定的额外义务,包括:成立外部监管独立机构、制定平台内各主体处理和保护个人信息的规则、对平台内商品或服务提供者进行监督、定期发布个人信息保护社会责任报告。
第五十九条 接受委托处理个人信息的受托人,应当依照本法和有关法律、行政法规的规定,采取必要措施保障所处理的个人信息的安全,并协助个人信息处理者履行本法规定的义务。
【受托处理者的义务】本条在本法第二十一条规定的委托处理要求基础上,单独增设了受托处理者的义务,包括安全保障和协助委托人履行义务。
第六十条 国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。国务院有关部门依照本法和有关法律、行政法规的规定,在各自职责范围内负责个人信息保护和监督管理工作。
县级以上地方人民政府有关部门的个人信息保护和监督管理职责,按照国家有关规定确定。
前两款规定的部门统称为履行个人信息保护职责的部门。
【职责部门】本条明确了履行个人信息保护职责的部门;其中,网信部门负责统筹协调和监管,国务院有关部门例如工信部、人民银行等则在其职责范围内负责监管,县级以上地方人民政府有关部门的职责则需要进一步探索和明确。
第六十一条 履行个人信息保护职责的部门履行下列个人信息保护职责:
(一)开展个人信息保护宣传教育,指导、监督个人信息处理者开展个人信息保护工作;
(二)接受、处理与个人信息保护有关的投诉、举报;
(三)组织对应用程序等个人信息保护情况进行测评,并公布测评结果;
(四)调查、处理违法个人信息处理活动;
(五)法律、行政法规规定的其他职责。
【个保职责部门的职责】前述所有履行个人信息保护职责的部门均应对其职责范围内的个人信息履行教育、指导、监督、处理投诉和举报、组织测评、调查处理违法活动等的职责。
第六十二条 国家网信部门统筹协调有关部门依据本法推进下列个人信息保护工作:
(一)制定个人信息保护具体规则、标准;
(二)针对小型个人信息处理者、处理敏感个人信息以及人脸识别、人工智能等新技术、新应用,制定专门的个人信息保护规则、标准;
(三)支持研究开发和推广应用安全、方便的电子身份认证技术,推进网络身份认证公共服务建设;
(四)推进个人信息保护社会化服务体系建设,支持有关机构开展个人信息保护评估、认证服务;
(五)完善个人信息保护投诉、举报工作机制。
【网信部门的职责】在履行个人信息保护职责的部门中,网信部门因在个人信息保护和监管方面已经积累了实践经验,因此由其统筹协调个人信息保护工作。本条规定了其开展工作的具体职责。
第六十三条 履行个人信息保护职责的部门履行个人信息保护职责,可以采取下列措施:
(一)询问有关当事人,调查与个人信息处理活动有关的情况;
(二)查阅、复制当事人与个人信息处理活动有关的合同、记录、账簿以及其他有关资料;
(三)实施现场检查,对涉嫌违法的个人信息处理活动进行调查;
(四)检查与个人信息处理活动有关的设备、物品;对有证据证明是用于违法个人信息处理活动的设备、物品,向本部门主要负责人书面报告并经批准,可以查封或者扣押。
履行个人信息保护职责的部门依法履行职责,当事人应当予以协助、配合,不得拒绝、阻挠。
【履职措施】本条明确规定了履行个人信息保护职责的部门履行职责的措施,并且赋予了其对人员询问调查、对资料查阅复制、对现场和信息处理活动检查调查、对设备物品查封扣押等的权力,使日后的履职实践和对履职行为的监督有法可依。
第六十四条 履行个人信息保护职责的部门在履行职责中,发现个人信息处理活动存在较大风险或者发生个人信息安全事件的,可以按照规定的权限和程序对该个人信息处理者的法定代表人或者主要负责人进行约谈,或者要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。个人信息处理者应当按照要求采取措施,进行整改,消除隐患。
履行个人信息保护职责的部门在履行职责中,发现违法处理个人信息涉嫌犯罪的,应当及时移送公安机关依法处理。
【约谈整改与刑事移送】本法与《网络安全法》和《数据安全法》一并将约谈制度合法化,但对于约谈部门的权限和约谈的程序并没有进一步规定,为防止权力滥用,我们期待实施细则可以有更明确的规定。另外,本法特别增加刑事移送的规定,与刑法对个人信息领域犯罪的规定有了很好的衔接。
第六十五条 任何组织、个人有权对违法个人信息处理活动向履行个人信息保护职责的部门进行投诉、举报。收到投诉、举报的部门应当依法及时处理,并将处理结果告知投诉、举报人。
履行个人信息保护职责的部门应当公布接受投诉、举报的联系方式。
【投诉举报制度】本条对个人信息处理违法活动的投诉举报进行了规定,且并未规定投诉举报的主体和具体受理部门。这是否意味着除了用户之外,任何第三人,包括竞争对手、自媒体等都可以作为举报主体,向任何履行个人信息保护职责的部门进行投诉举报?这都有待进一步明确。
第六十六条 违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
有前款规定的违法行为,情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。
【行政处罚】相较于《网络安全法》和《数据安全法》的行政处罚,本法借鉴了GDPR的监管思路,大幅度提高个人信息违法成本;其中“一年度营业额百分之五以下罚款”对于大型互联网平台而言将是巨额处罚。
第六十七条 有本法规定的违法行为的,依照有关法律、行政法规的规定记入信用档案,并予以公示。
【信用档案公示】本条与《网络安全法》的规定相似,违法者除了面对高额罚款之外,还将面临声誉和舆情压力,将违法的处罚范围扩大到整个社会层面。
第六十八条 国家机关不履行本法规定的个人信息保护义务的,由其上级机关或者履行个人信息保护职责的部门责令改正;对直接负责的主管人员和其他直接责任人员依法给予处分。
履行个人信息保护职责的部门的工作人员玩忽职守、滥用职权、徇私舞弊,尚不构成犯罪的,依法给予处分。
【国家机关法律责任】本条规定了履行个人信息保护职责的国家机关的法律责任。
第六十九条 处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。
前款规定的损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定;个人因此受到的损失和个人信息处理者因此获得的利益难以确定的,根据实际情况确定赔偿数额。
【侵权责任和举证责任】本条规定了个人信息侵权的民事责任和举证责任,其中举证责任的规定值得重视。在本法出台前,个人信息侵权案件按照“谁主张,谁举证”的原则,使得个人承担了与其实际掌握信息不符的举证责任,只有在个人有证据证明个人信息处理者掌握了相关证据,实践中也有法院根据公平原则和诚实信用原则,综合个人的举证能力等因素确定举证责任;但在本法出台后,法院可以直接依据本条,要求被告证明自身无过错,否则应承担损害赔偿责任。
第七十条 个人信息处理者违反本法规定处理个人信息,侵害众多个人的权益的,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。
【公益诉讼】考虑到很多个人会因为诉讼时间和金钱成本较高,对自身个人信息受到侵害的行为选择不发声;本条规定的个人信息公益诉讼制度赋予人民检察院、消费者组织等有权在汇总情况后发起诉讼,为个人维权开辟了更加便捷的通道。
第七十一条 违反本法规定,构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。
【治安管理处罚与刑事责任】本条明确划分了个人信息违法行为可能引发的治安管理处罚责任和刑事责任。
第七十二条 自然人因个人或者家庭事务处理个人信息的,不适用本法。
法律对各级人民政府及其有关部门组织实施的统计、档案管理活动中的个人信息处理有规定的,适用其规定。
【本法适用的例外】本条明确规定了本法适用的例外场景,包括自然人在处理自身或家庭事务及政府实施统计和档案管理时,处理个人信息的行为不受到本法规制。
第七十三条 本法下列用语的含义:
(一)个人信息处理者,是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。
(二)自动化决策,是指通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等,并进行决策的活动。
(三)去标识化,是指个人信息经过处理,使其在不借助额外信息的情况下无法识别特定自然人的过程。
(四)匿名化,是指个人信息经过处理无法识别特定自然人且不能复原的过程。
【定义条款】对本法中四个重要用语进行了定义。
第七十四条 本法自2021年11月1日起施行。
【实施时间】本法的正式施行时间。
