《個人信息保護法（草案）》十大核心亮點

◆丹 青/ 文

近日，《中華人民共和國個人信息保護法（草案）》公布并公開征求社會公眾意見。該草案確立了“告知-同意”為核心的個人信息處理一系列原則，明確國家機關對個人信息的保護義務，全面加強個人信息的法律保護。草案共八章七十條內容，本文梳理了草案的十大核心亮點內容，以供參考。

亮點一：明確我國個人信息及相關概念的定義

草案明確規定了個人信息、敏感個人信息、個人信息的處理、個人信息處理者以及自動化決策、去標識化、匿名化等相關概念的定義。（草案第四條、第二十九條、第六十九條）

亮點二：明確了本法的適用范圍，突出強調必要的域外適用

草案基于數據流動性的實際情況和有關國家、地區的現行做法，在堅持“屬地管轄”原則的同時，突出強調三種情況下必要的域外適用效力，包括以向境內自然人提供產品或者服務為目的；為分析、評估境內自然人的行為；法律、行政法規規定的其他情形。同時，對相關情況下境外主體提出明確的合規要求。（草案第三條、第五十二條、第六十八條）

亮點三：確立個人信息處理應當遵循的五大基本原則

1.處理個人信息應當采用合法、正當的方式，遵循誠信原則；

2.處理個人信息應當具有明確、合理的目的，限于實現處理目的的最小范圍；

3.處理個人信息應當遵循公開、透明的原則，明示其處理規則；

4.處理個人信息應當確保信息準確，并及時更新；

5.個人信息處理者應采取必要措施保障所處理個人信息的安全。（草案第五條至第九條）

亮點四：確立了以“告知-同意”為核心的個人信息處理規則體系

1.草案明確了“告知-同意”是個人信息處理的首要原則，即“個人在充分知情的前提下，自愿、明確做出的意思表達”。

2.草案規定了個人信息處理者在處理個人信息前應當向個人告知的四類事項，強調告知方式的顯著明示和語言的清晰易懂，同時規定了基于保密要求的不需告知情形和緊急情況下的事后告知。

3.草案強調重要事項發生變更后，應當重新取得個人同意，包括個人信息的處理目的、處理方式、信息種類、個人信息處理者因控制權變動發生個人信息轉移等。

4.草案明確個人有權撤回對個人信息處理的同意，且個人信息處理者不得以個人不同意為由拒絕提供產品或者服務。

5.草案基于實際情況，規定了五種基于個人同意以外合法處理個人信息的情形，包括訂立/履行合同所必需、履行法定職責或義務所必需、應對公共衛生事件和緊急避險所必需、公共報道和輿論監督所合理必需、其他情形。

6.草案對個人信息的共同處理、委托處理、向第三方提供等實際情況提出了針對性要求，并對匿名化信息識別、自動化決策、公共場所的身份識別、處理已公開的個人信息等社會關切熱點問題做出了明確回應。（草案第十三條至第二十八條）

亮點五：對敏感個人信息處理提出增強性要求

1.草案設立專節對處理敏感個人信息作出增強性的規定，強調只有在具有特定的目的和充分的必要性的情形下方可處理敏感個人信息，并且應當取得個人的單獨同意或者書面同意。

2.草案強調處理敏感個人信息的告知，除個人信息的一般告知事項，還應當向個人告知處理敏感個人信息的必要性以及對個人的影響。

3.草案強調針對敏感個人信息的法律適用，應當以“從嚴適用”為原則。（草案第二十九條至第三十二條）

亮點六：對國家機關處理個人信息提出特別規定

1.草案設立專節規定國家機關處理個人信息的規則，在保障國家機關依法履行職責的同時，要求國家機關處理個人信息應當依照法律、行政法規規定的權限和程序進行，不得超出履行法定職責所必需的范圍和限度。

2.草案要求國家機關處理的個人信息應當在境內存儲，確需向境外提供的應當進行風險評估。（草案第三十三條至第三十七條）

亮點七：完善個人信息跨境流動規則，強調國際數據規則“對等”原則

1.草案明確了個人信息處理者向境外提供個人信息的，至少要符合四類合規規則中的其中一條，包括通過國家網信部門的安全評估、個人信息保護認證、合同約束并達到本法要求、其他條件。

2.草案明確了個人信息處理者在個人信息出境前應當向個人告知的事項，包括接收方的身份、聯系方式、處理目的、處理方式以及維權方式等，并取得個人的單獨同意。

3.對關鍵信息基礎設施運營者、處理個人信息達到國家網信部門規定數量的個人信息處理者、國際司法和行政執法協助、國際條約規定等情形下的個人信息出境提出針對性要求。

4.明確賦予國家網信部門對境外從事危害我國個人信息權益、國家安全和公共利益的個人信息處理活動采取限制或禁止措施的權力，以充分保護我國境內主體的合法權益。

5.強調“對等原則”，明確強調國家有權對針對我國的歧視性措施的國家和地區采取相應措施。（草案第三十八條至四十三條）

亮點八：明確個人信息處理活動中個人權利和處理者義務

1.草案與《民法典》第1034～1039條規定相銜接，明確在個人信息處理活動中個人的各項權利，包括知情權、決定權、查詢權、更正權、刪除權和規則說明權等，并要求個人信息處理者建立個人行使權利的申請受理和處理機制。

2.草案明確個人信息處理者的個人信息合規管理義務，包括制定內部管理制度和操作規程、對個人信息進行分級分類管理、采取相應的安全技術措施、合理確定個人信息處理的操作權限和定期人員安全教育培訓、制定并組織個人信息安全事件應急預案、定期對其個人信息活動進行合規審計等。

3.草案對個人信息達到國家網信部門規定數量的個人信息處理者，和境外個人信息處理提出針對性合規要求，包括確定個人信息保護負責人等。

4.草案明確個人信息處理者應當進行事前風險評估的個人信息處理活動，包括處理敏感個人信息、自動化決策、委托處理和向第三方提供、個人信息公開、個人信息出境等，并規定了風險評估的內容事項。

5.草案強調個人信息處理者的個人信息泄露通知和補救義務，明確了泄露通知對象（主管部門和個人）和事項（事件原因、信息種類、事件危害、補救措施等）。（草案第四十四條至第五十五條）

亮點九：健全個人信息保護的體制機制

1.草案明確了國家網信部門負責個人信息保護工作的統籌協調和相關監督管理工作；國務院有關部門依照本法和有關法律、行政法規的規定，在各自職責范圍內負責個人信息保護和監督管理工作；地方的個人信息保護和監督管理職責按照國家有關規定確定。

2.草案明確上述部門應當履行的個人信息保護職責，包括開展相關宣傳教育、接受和處理有關投訴舉報、調查和處理違法事件等。

3.草案明確了履行個人信息保護職責的部門可以采取的措施和相應條件、程序，包括詢問、查閱和復制資料、現場檢查、查封和扣押、約談和要求整改等。（草案第五十六至六十一條）

亮點十：加強了對個人信息違法的懲治力度

1.草案明確了對于違反本法規定處理個人信息、或未按照規定采取必要安全保護措施的，情節嚴重的情況可以處以五千萬以下或上一年度營業額百分之五以下的罰款，并可責令其暫停相關業務、停業整頓、通報有關主管部門吊銷相關業務許可或者吊銷營業執照。

2.草案明確個人信息處理者的個人信息處理活動侵害個人信息權益的，應當按照個人因此受到的損失或者個人信息處理者因此獲得利益承擔賠償責任。（草案第六十二條至第六十七條）