《个人信息保护法（草案）》公布并征求意见

一、立法历程和重要意义

2020年10月21日，经第十三届全国人大常委会第二十二次会议审议后，《中华人民共和国个人信息保护法（草案）》（以下简称“《草案》”）全文正式在中国人大网公布，并向社会征求意见。

个人信息保护法的立法历经多个重要阶段：2018年9月7日，《个人信息保护法》首次列入十三届全国人大常委会立法规划¹；同年，全国人大常委会法工委会同中央网信办开始着手研究起草；2019年12月16日，经第十三届全国人民代表大会常务委员会第四十四次委员长会议原则通过，制定《个人信息保护法》被明确列入全国人大常委会2020年度立法工作计划²。如今，《草案》的正式发布意味着我国第一部个人信息保护专门法的出台加速，个人信息将拥有更加完善、全面、系统的法律保护体系。

二、草案的重点内容

《草案》共计八章七十条。总体上看，《草案》聚焦目前个人信息保护的突出问题，对散见于《网络安全法》、《民法典》等法律法规中的个人信息保护相关规定进行全面的、系统性的整合，进一步落实个人信息保护责任，并加大违法行为惩处力度。《草案》的重点内容总结如下：

1、适用范围

《草案》除了规定“组织、个人在中华人民共和国境内处理自然人个人信息的活动适用本法”外，还赋予了必要的域外适用效力。《草案》第三条第二款规定，“以向境内自然人提供产品或者服务为目的，或者为分析、评估境内自然人的行为等发生在我国境外的个人信息处理活动，也适用本法”。第五十二条则规定，上述第三条第二款规定的境外的个人信息处理者，应当在中华人民共和国境内设立专门机构或者指定代表，负责处理个人信息保护相关事务，并将有关机构的相关信息报送个人信息保护主管部门。

2、重要概念界定

《草案》第四条对“个人信息”及“个人信息的处理”分别做出定义。其中，个人信息指“以电子或者其他形式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息”。“个人信息的处理”包括个人信息的收集、存储、使用、加工、传输、提供、公开等活动。

《草案》规定的法律义务大部分针对个人信息处理者。根据第六十九条规定，“个人信息处理者”是指自主决定处理目的、处理方式等个人信息处理事项的组织、个人。

3、处理个人信息的基本规则

《草案》第二章规定了个人信息处理的规则，其中的重点内容及简要分析如下：

• 个人信息处理的法律基础。符合法定情形的方可处理个人信息，包括：个人的同意、订立或者履行个人作为一方当事人的合同所必需、为履行法定职责或义务所必需、应对突发公共卫生事件或紧急状况下保护自然人生命健康或财产安全所必需、新闻报道及舆论监督等合理范围内的个人信息处理以及法律法规规定的其他情形。（第十三条）

• 个人信息处理的告知与同意要求。个人信息处理者在处理个人信息前，应以显著的方式、清晰易懂的语言向个人告知特定事项，个人对处理其个人信息的同意应当在其充分知情的基础上自愿、明确作出。法律、行政法规规定处理个人信息应取得个人单独同意或书面同意的，从其规定。根据法律、法规个人信息处理活动应保密或不需要告知的情形除外。（第十四、十八、十九条）“单独同意”的概念系首次提出。

• 未成年人个人信息的处理。未满14岁的未成年人个人信息的处理应取得其监护人同意。（第十五条）

4、 共同处理、委托处理、分享、转移个人信息的规则

• 共同处理。两个或两个以上个人信息处理者共同决定个人信息处理目的与处理方式的，应当约定各自的权利和义务，但是，该约定不影响个人向其中任何一个个人信息处理者要求行使本法规定的权利。个人信息处理者共同处理个人信息，如侵害个人信息权益应承担连带责任。（第二十一条）上述内容系首次规定了个人信息主体向个人信息共同处理者其中任意一方的权利请求权以及处理者之间的连带责任问题。

• 委托处理与分享个人信息。个人信息处理者委托处理个人信息的，应与受托方约定委托处理的目的、处理方式等内容，受托方应在约定范围内处理个人信息。（第二十二条）

• 分享个人信息。个人信息处理者向第三方提供其处理的个人信息的，应向个人告知第三方的身份、联系方式、处理目的等信息，并取得个人的单独同意。接收个人信息的第三方应在上述告知范围内处理个人信息。（第二十四条）

• 合并分立时的个人信息转移。个人信息处理者因合并、分立等原因需要转移个人信息的，应当向个人告知接收方的身份、联系方式，接收方应继续履行个人信息处理者的义务，若接收方变更原先的处理目的、处理方式的，应重新获取个人的同意。（第二十三条）

5、处理敏感个人信息的特殊规则

《草案》对敏感个人信息的处理规则做了专门的规定。其中，敏感个人信息是指一旦泄露或者非法使用，可能导致个人受到歧视，或者人身、财产安全受到严重危害的个人信息，包括种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等信息。（第二十九条）处理敏感个人信息需具有特定的目的和充分的必要性，并需要取得个人的单独同意；法律法规另有规定需取得书面同意的，从其规定；法律、行政法规规定处理敏感个人信息应当取得相关行政许可或者作出更严格限制的，从其规定。（第三十至三十二条）。

6、个人信息跨境规则

《草案》明确了个人信息跨境传输的法定规则，包括至少满足以下任一条件：通过国家网信部门组织的安全评估；专业机构进行个人信息保护认证；与境外接收方签订合同约定双方权利义务并监督其个人信息处理活动达到本法规定的保护标准；以及法律法规或国家网信部门规定的其他条件。（第三十八条）

而其中，对于关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的处理者，规定了个人信息存储本地化的要求，确需向境外提供个人信息的，必须通过国家网信部门组织的安全评估。（第四十条）此外，《草案》对跨境提供个人信息的“告知—同意”作出更严格的要求。

《草案》同时规定了对因国际司法协助或者行政执法协助，需要向境外提供个人信息的主管部门批准要求、损害中国公民个人信息权益的组织与个人的负面清单要求、以及在个人信息保护方面对我国采取歧视性的不合理措施的国家和地区的反歧视要求。（第四十一、四十二、四十三条）

7、个人信息主体的权利

作为个人信息保护法律制度的核心内容之一，《草案》较为全面地规定了个人在个人信息处理活动中的权利。其中包括知情权与决定权、查询与复制权、请求个人信息处理者更正与补充的权利、删除权等。此外，《草案》还强调了个人撤回对个人信息处理的同意、拒绝处理其个人信息、拒绝自动化决策的处理方式等相关权利。《草案》亦明确要求对应的个人信息处理者建立个人行使权利的申请受理和处理机制。

8、强化个人信息处理者的义务

《草案》明确了个人信息处理者的合规管理和保障个人信息安全等义务，包括要求其按照规定采取必要措施确保个人信息处理活动的合规性与安全性、处理个人信息达到国家网信部门规定数量的个人信息处理者应指定个人信息保护负责人对其个人信息处理活动进行监督、定期对其个人信息处理活动进行合规审计；对处理敏感个人信息、向境外提供个人信息等高风险处理活动，应事前进行风险评估；履行个人信息泄露通知和补救义务等。

9、履行个人信息保护职责的部门及职责

《草案》第六章规定了履行个人信息保护职责的部门的相关内容，其中确立了个人信息保护监管的基本体系：国家网信部门负责统筹协调，国务院有关部门、县级以上地方人民政府有关部门在各自职责范围内负责个人信息保护和监督管理工作。并规定了负责信息保护职责的部门可采取的相应行政措施。

10、法律责任

《草案》对违法行为加大惩处力度，设置了严格的法律责任。例如，“侵害个人信息权益的违法行为，情节严重的，没收违法所得，并处五千万元以下或者上一年度营业额百分之五以下罚款”、“对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款”。（第六十二条）《草案》还增加了“记入信用档案”的处罚机制，（第六十三条）相比于此前《网络安全法》等相关规定，《草案》对个人信息相关的违法行为处罚力度更大。

《草案》同时对侵害个人信息权益的民事赔偿与刑事责任做出规定。因个人信息处理活动侵害个人信息权益的，按照个人所受损失或者个人信息处理者所获利益确定赔偿数额，上述数额无法确定的，由人民法院根据实际情况确定赔偿数额。个人信息处理者能够证明自己没有过错的，可以减轻或免除责任；（第六十五条）违反本法规定构成犯罪的，追究刑事责任。（第六十七条）

11、 其他新要求

《草案》中同时包括下列新的要求及特殊规定：

• 关于公众场所采集图像、个人身份识别信息的特殊要求。《草案》对公共场所人脸识别技术的应用进行了规制，包括：在公共场所安装图像采集、个人身份识别设备，应当为维护公共安全所必需，遵守国家有关规定，并设置显著的提示标识。所收集的个人图像、个人身份特征信息只能用于维护公共安全的目的，不得公开或向他人提供，取得个人单独同意或者法律法规另行规定的除外。（第二十七条）

• 国家机关处理个人信息也明确纳入监管范围。《草案》首次明确将国家机关处理个人信息的活动纳入规制范围，并规定了国家为履行法定职责处理个人信息的基本规则：包括按规定的权限、程序进行，不得超出履行法定职责所必需的范围和限度；向个人告知并取得同意（法律规定应当保密或者会妨碍履行职责的除外）；原则上国家机关不得公开或向他人提供其处理的个人信息；国家机关处理的个人信息应在境内存储等要求。（第三十四至三十七条）

三、  我们的观察

《草案》作为我国第一部个人信息保护的专门法律，将成为建立我国个人信息保护法律制度的重要法律基础。从《草案》内容来看，其与目前规定有个人信息保护内容的法律、法规或草案（包括《民法典》、《网络安全法》等）在内容上保持了一定程度的一致性，但同时也提出了不少新的要求及新的规定。《草案》的具体条款如何与上述法律法规衔接，以及适用范围如何划分，仍有待清晰。《草案》也存在若干尚待明确和完善的内容，例如“单独同意”的定义，个人信息跨境传输的安全评估、保护认证如何进行等，目前尚不清晰，有待后续的立法完善或相关细则和解释的进一步出台。

《草案》的出台将进一步加强我国公民的个人信息保护，同时对企业的个人信息保护合规工作也提出了更多的挑战，相比于此前的法律规定，《草案》不仅提出了很多新的要求，也规定了严格的处罚措施。我们建议企业充分理解《草案》的相关内容，在《个人信息保护法》正式颁布前尽快对目前企业合规工作中的不足之处进行总结和整改。针对目前《草案》中规定但实践中尚未落实的制度或规定，例如个人信息跨境传输安全认证等，及时做好预先准备。

1. http://www.legaldaily.com.cn/rdlf/content/2018-09/10/content_7641460.htm

2. http://www.npc.gov.cn/npc/c30834/202006/b46fd4cbdbbb4b8faa9487da9e76e5f6.shtml