498科技訊：2020年10月13日，十三屆全國人大常委會第二十二次會議首次審議了《個人信息保護法(草案)》。2020年10月21日，中國人大網公布《個人信息保護法(草案)》(以下簡稱“《草案》”)，向社會公開征求意見，意見反饋時間截至2020年11月19日。

《草案》吸收了《網絡安全法》《消費者權益保護法》《廣告法》《電子商務法》《關于加強網絡信息保護的決定》《電信和互聯網用戶個人信息保護規定》《信息技術安全個人信息安全規范》等法律文件對個人信息保護的相關規定，并結合實踐經驗，同時吸收GDPR等國際經驗，形成了一部相對完善的立法草案。總體而言，《草案》主要有六大亮點。

一、適用范圍：明確域外適用效力

《草案》第三條指出，該法適用于組織、個人在中國境內處理自然人個人信息的活動。該條明確域外適用效力，當中國境外處理中國境內自然人個人信息的活動，具備下列情形之一的，也適用《草案》：

“(一)以向境內自然人提供產品或者服務為目的;

(二)為分析、評估境內自然人的行為;

(三)法律、行政法規規定的其他情形。”

上述規定與歐盟的GDPR有著相似之處，GDPR第三條規定：

“2.本條例適用于在歐盟領域內沒有設立機構的數據控制者或數據處理者對歐盟內的數據主體的個人數據進行的與以下事項相關的處理活動。

(a)向歐盟內的數據主體提供商品或服務，無論是否需要該數據主體支付對價;或

(b)監控數據主體的行為，只要其行為發生在歐盟領域內。”

同時，《草案》借鑒GDPR第二條排除了自然人因個人或家庭事務而處理個人信息的法律適用。當法律對各級人民政府及其有關部門組織實施的統計、檔案管理活動中的個人信息處理有規定時，應當優先適用該特殊規定。

二、激發活力：增加個人信息處理合法性基礎

“告知-同意”仍是個人信息處理的重要規則，《草案》第二章“個人信息處理規則”的大部分規定可以說都是“告知-同意”規則的細化或延伸。“告知-同意”規則要求處理個人信息的同意，應當由個人在充分知情的前提下，自愿、明確作出意思表示。法律、行政法規規定處理個人信息應當取得個人單獨同意或者書面同意的，從其規定。《草案》延續了《信息安全技術個人信息安全規范》(GB/T35273-2020)(以下簡稱“《個人信息安全規范》”)的很多要求，具體可參考下列對比表格，在此不再贅述。

但《草案》對已公開的個人信息的處理規則，相較《個人信息保護規范》將個人信息已公開視為獲取同意的豁免條件不同，其第二十八條規定，個人信息處理者處理已公開的個人信息，應當符合該個人信息被公開時的用途;超出與該用途相關的合理范圍的，應當依照本法規定向個人告知并取得其同意。個人信息被公開時的用途不明確的，個人信息處理者應當合理、謹慎地處理已公開的個人信息;利用已公開的個人信息從事對個人有重大影響的活動，應當依照本法規定向個人告知并取得其同意。

立法者亦已逐漸意識到“告知-同意”規則的不足，《民法典》第一千零三十六條在“自然人或者其監護人同意”上增加了“合理處理該自然人自行公開的或者其他已經合法公開的信息”與“為維護公共利益或者該自然人合法權益”兩種個人信息處理合法性基礎，首次在法律層面上對未經同意合法處理個人信息的情形作出規定。

《草案》在此基礎上，吸收《個人信息安全規范》等規范內容，對“告知-同意”規則進行一定程度的弱化，其第十三條增加了數項合法性基礎，一定程度上放寬了個人信息的處理限制，有利于平衡個人信息保護和利用間的利益沖突，激發數字經濟創新活力。

三、有序流動：構建個人信息跨境流動制度

《草案》首次在法律層面構建了相對全面的個人信息跨境流動制度。與國家互聯網信息辦公室2019年發布的《個人信息出境安全評估辦法(征求意見稿)》不同，《草案》沒有要求所有個人信息跨境流動活動均需經過安全評估。《草案》以分級分類管理思想設計了一個相對寬松的個人信息跨境流動制度。

《草案》原則上要求國家機關處理的個人信息以及關鍵信息基礎設施運營者和處理個人信息達到國家網信部門規定數量的個人信息處理者在中國境內收集和產生的個人信息存儲在境內。但在確需向境外提供的情況下，國家機關處理的個人信息應當進行風險評估;而關鍵信息基礎設施運營者和處理個人信息達到國家網信部門規定數量的個人信息處理者在中國境內收集和產生的個人信息則需先通過國家網信部門組織的安全評估。此處的“風險評估”應與《草案》第五十四條的“風險評估”涵義相同。但“風險評估”和“安全評估”的具體操作流程和標準如何，兩者是否需一并進行還有待后續規定的進一步明確。

其他個人信息處理者在至少滿足以下一項條件的情況下，可向中國境外提供個人信息：

(一)按照國家網信部門的規定經專業機構進行個人信息保護認證;

(二)與境外接收方訂立合同，約定雙方的權利和義務，并監督其個人信息處理活動達到本法規定的個人信息保護標準;

(三)符合中國締結或者參加的國際條約、協定中對向中國境外提供個人信息規定的;

(四)因國際司法協助或者行政執法協助，需要向中國境外提供個人信息，經有關主管部門批準的;

(五)法律、行政法規或者國家網信部門規定的其他條件。

此外，《草案》明確了個人信息跨境數據流動的限制情形：

(一)境外的組織、個人從事損害中國公民的個人信息權益，或者危害中國國家安全、公共利益的個人信息處理活動的，國家網信部門可以將其列入限制或者禁止個人信息提供清單，予以公告，并采取限制或者禁止向其提供個人信息等措施;

(二)任何國家和地區在個人信息保護方面對中國采取歧視性的禁止、限制或者其他類似措施的，中國可以根據實際情況對該國家或者該地區采取相應措施。

四、保障權利：明確個人信息主體權利

上述權利在《民法典》《電子商務法》《網絡安全法》等法律中均有部分體現，《草案》在前述規定基礎上，進一步構筑更為全面的個人信息主體權利體系，有利于個人信息主體主張權利，并在遭受侵害時捍衛自身權益。《草案》第六十五條規定，因個人信息處理活動侵害個人信息權益的，按照個人因此受到的損失或者個人信息處理者因此獲得的利益承擔賠償責任;個人因此受到的損失和個人信息處理者因此獲得的利益難以確定的，由人民法院根據實際情況確定賠償數額。個人信息處理者能夠證明自己沒有過錯的，可以減輕或者免除責任。

個人信息處理者應當針對個人信息主體的各項權利，建立相應的申請受理和處理機制。拒絕個人行使權利的請求的，應當說明理由。

五、促進合規：增強個人信息處理者責任

《草案》增加了數項個人信息處理的合法性基礎，其中，“為訂立或者履行個人作為一方當事人的合同所必需”一項提高了個人信息處理者處理個人信息的自由度，與之相對地，個人信息處理者亦需承擔更為嚴格的個人信息保護責任。

六、加強監管：國家機關的權力與義務

不同行業的個人信息保護有著不同的特點和需求，《草案》沒有一刀切地將個人信息保護職責單獨賦予某一部門，而是由國家網信部門負責統籌協調個人信息保護工作和相關監督管理工作。國務院有關部門依照本法和有關法律、行政法規的規定，在各自職責范圍內負責個人信息保護和監督管理工作。同時，按照國家有關規定，確定縣級以上地方人民政府有關部門的個人信息保護和監督管理職責，從而形成了一個以行業為橫軸的，從中央到地方的個人信息保護監管體系。在要求個人信息處理者加強內部個人信息保護制度建設的基礎上，從外部施加監管壓力，促進個人信息處理者落實個人信息保護要求。

《草案》也設置了較為嚴格的法律責任條款。根據《草案》第六十二條，違反規定處理個人信息，或者處理個人信息未按照規定采取必要的安全保護措施的，由履行個人信息保護職責的部門責令改正，沒收違法所得，給予警告;拒不改正的，并處一百萬元以下罰款;對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。而情節嚴重的，由履行個人信息保護職責的部門責令改正，沒收違法所得，并處五千萬元以下或者上一年度營業額百分之五以下罰款，并可以責令暫停相關業務、停業整頓、通報有關主管部門吊銷相關業務許可或者吊銷營業執照;對直接負責的主管人員和其他直接責任人員處十萬元以上一百萬元以下罰款。有前述違法行為的，將依照有關法律、行政法規的規定記入信用檔案，并予以公示。

《草案》還明確了可以提起公益訴訟的主體，個人信息處理者違反本法規定處理個人信息，侵害眾多個人的權益的，人民檢察院、履行個人信息保護職責的部門和國家網信部門確定的組織可以依法向人民法院提起訴訟。個人信息保護公益訴訟在實踐中已有案例，比如2020年3月12日，虹口檢察院針對兩起教育培訓行業從業人員侵犯公民個人信息案件提起刑事附帶民事公益訴訟，為個人信息保護的公益訴訟作出有益探索。在信息主體和企業的場景中，個人信息主體往往作為消費者使用企業提供的產品或服務，在此過程中也面臨著個人信息侵害風險。將各級消費者權益保護協會亦可成為消費者集體的代言人，針對企業在個人信息保護方面存在的不當行為提起公益訴訟，彌補個人信息主體的弱勢地位結語。

《個人信息保護法(草案)》從源頭上賦予了自然人各項個人信息權利，明確個人信息處理者義務，并加強國家機關監管，我國個人信息保護立法已經走出了重要一步。

我們建議個人信息處理者不僅應密切關注《草案》制定的后續動態，還應積極投入到《草案》的意見征求環節之中。同時早作準備，參照《草案》目前的要求對本個人信息處理者內部的個人信息保護情況進行摸底和前期評估，以有效應對《個人信息保護法》及各項配套措施的出臺及實施。