《個(gè)人信息保護(hù)法（草案）》十大核心亮點(diǎn)

◆丹 青/ 文

近日，《中華人民共和國個(gè)人信息保護(hù)法（草案）》公布并公開征求社會公眾意見。該草案確立了“告知-同意”為核心的個(gè)人信息處理一系列原則，明確國家機(jī)關(guān)對個(gè)人信息的保護(hù)義務(wù)，全面加強(qiáng)個(gè)人信息的法律保護(hù)。草案共八章七十條內(nèi)容，本文梳理了草案的十大核心亮點(diǎn)內(nèi)容，以供參考。

亮點(diǎn)一：明確我國個(gè)人信息及相關(guān)概念的定義

草案明確規(guī)定了個(gè)人信息、敏感個(gè)人信息、個(gè)人信息的處理、個(gè)人信息處理者以及自動化決策、去標(biāo)識化、匿名化等相關(guān)概念的定義。（草案第四條、第二十九條、第六十九條）

亮點(diǎn)二：明確了本法的適用范圍，突出強(qiáng)調(diào)必要的域外適用

草案基于數(shù)據(jù)流動性的實(shí)際情況和有關(guān)國家、地區(qū)的現(xiàn)行做法，在堅(jiān)持“屬地管轄”原則的同時(shí)，突出強(qiáng)調(diào)三種情況下必要的域外適用效力，包括以向境內(nèi)自然人提供產(chǎn)品或者服務(wù)為目的；為分析、評估境內(nèi)自然人的行為；法律、行政法規(guī)規(guī)定的其他情形。同時(shí)，對相關(guān)情況下境外主體提出明確的合規(guī)要求。（草案第三條、第五十二條、第六十八條）

亮點(diǎn)三：確立個(gè)人信息處理應(yīng)當(dāng)遵循的五大基本原則

1.處理個(gè)人信息應(yīng)當(dāng)采用合法、正當(dāng)?shù)姆绞?，遵循誠信原則；

2.處理個(gè)人信息應(yīng)當(dāng)具有明確、合理的目的，限于實(shí)現(xiàn)處理目的的最小范圍；

3.處理個(gè)人信息應(yīng)當(dāng)遵循公開、透明的原則，明示其處理規(guī)則；

4.處理個(gè)人信息應(yīng)當(dāng)確保信息準(zhǔn)確，并及時(shí)更新；

5.個(gè)人信息處理者應(yīng)采取必要措施保障所處理個(gè)人信息的安全。（草案第五條至第九條）

亮點(diǎn)四：確立了以“告知-同意”為核心的個(gè)人信息處理規(guī)則體系

1.草案明確了“告知-同意”是個(gè)人信息處理的首要原則，即“個(gè)人在充分知情的前提下，自愿、明確做出的意思表達(dá)”。

2.草案規(guī)定了個(gè)人信息處理者在處理個(gè)人信息前應(yīng)當(dāng)向個(gè)人告知的四類事項(xiàng)，強(qiáng)調(diào)告知方式的顯著明示和語言的清晰易懂，同時(shí)規(guī)定了基于保密要求的不需告知情形和緊急情況下的事后告知。

3.草案強(qiáng)調(diào)重要事項(xiàng)發(fā)生變更后，應(yīng)當(dāng)重新取得個(gè)人同意，包括個(gè)人信息的處理目的、處理方式、信息種類、個(gè)人信息處理者因控制權(quán)變動發(fā)生個(gè)人信息轉(zhuǎn)移等。

4.草案明確個(gè)人有權(quán)撤回對個(gè)人信息處理的同意，且個(gè)人信息處理者不得以個(gè)人不同意為由拒絕提供產(chǎn)品或者服務(wù)。

5.草案基于實(shí)際情況，規(guī)定了五種基于個(gè)人同意以外合法處理個(gè)人信息的情形，包括訂立/履行合同所必需、履行法定職責(zé)或義務(wù)所必需、應(yīng)對公共衛(wèi)生事件和緊急避險(xiǎn)所必需、公共報(bào)道和輿論監(jiān)督所合理必需、其他情形。

6.草案對個(gè)人信息的共同處理、委托處理、向第三方提供等實(shí)際情況提出了針對性要求，并對匿名化信息識別、自動化決策、公共場所的身份識別、處理已公開的個(gè)人信息等社會關(guān)切熱點(diǎn)問題做出了明確回應(yīng)。（草案第十三條至第二十八條）

亮點(diǎn)五：對敏感個(gè)人信息處理提出增強(qiáng)性要求

1.草案設(shè)立專節(jié)對處理敏感個(gè)人信息作出增強(qiáng)性的規(guī)定，強(qiáng)調(diào)只有在具有特定的目的和充分的必要性的情形下方可處理敏感個(gè)人信息，并且應(yīng)當(dāng)取得個(gè)人的單獨(dú)同意或者書面同意。

2.草案強(qiáng)調(diào)處理敏感個(gè)人信息的告知，除個(gè)人信息的一般告知事項(xiàng)，還應(yīng)當(dāng)向個(gè)人告知處理敏感個(gè)人信息的必要性以及對個(gè)人的影響。

3.草案強(qiáng)調(diào)針對敏感個(gè)人信息的法律適用，應(yīng)當(dāng)以“從嚴(yán)適用”為原則。（草案第二十九條至第三十二條）

亮點(diǎn)六：對國家機(jī)關(guān)處理個(gè)人信息提出特別規(guī)定

1.草案設(shè)立專節(jié)規(guī)定國家機(jī)關(guān)處理個(gè)人信息的規(guī)則，在保障國家機(jī)關(guān)依法履行職責(zé)的同時(shí)，要求國家機(jī)關(guān)處理個(gè)人信息應(yīng)當(dāng)依照法律、行政法規(guī)規(guī)定的權(quán)限和程序進(jìn)行，不得超出履行法定職責(zé)所必需的范圍和限度。

2.草案要求國家機(jī)關(guān)處理的個(gè)人信息應(yīng)當(dāng)在境內(nèi)存儲，確需向境外提供的應(yīng)當(dāng)進(jìn)行風(fēng)險(xiǎn)評估。（草案第三十三條至第三十七條）

亮點(diǎn)七：完善個(gè)人信息跨境流動規(guī)則，強(qiáng)調(diào)國際數(shù)據(jù)規(guī)則“對等”原則

1.草案明確了個(gè)人信息處理者向境外提供個(gè)人信息的，至少要符合四類合規(guī)規(guī)則中的其中一條，包括通過國家網(wǎng)信部門的安全評估、個(gè)人信息保護(hù)認(rèn)證、合同約束并達(dá)到本法要求、其他條件。

2.草案明確了個(gè)人信息處理者在個(gè)人信息出境前應(yīng)當(dāng)向個(gè)人告知的事項(xiàng)，包括接收方的身份、聯(lián)系方式、處理目的、處理方式以及維權(quán)方式等，并取得個(gè)人的單獨(dú)同意。

3.對關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者、處理個(gè)人信息達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量的個(gè)人信息處理者、國際司法和行政執(zhí)法協(xié)助、國際條約規(guī)定等情形下的個(gè)人信息出境提出針對性要求。

4.明確賦予國家網(wǎng)信部門對境外從事危害我國個(gè)人信息權(quán)益、國家安全和公共利益的個(gè)人信息處理活動采取限制或禁止措施的權(quán)力，以充分保護(hù)我國境內(nèi)主體的合法權(quán)益。

5.強(qiáng)調(diào)“對等原則”，明確強(qiáng)調(diào)國家有權(quán)對針對我國的歧視性措施的國家和地區(qū)采取相應(yīng)措施。（草案第三十八條至四十三條）

亮點(diǎn)八：明確個(gè)人信息處理活動中個(gè)人權(quán)利和處理者義務(wù)

1.草案與《民法典》第1034～1039條規(guī)定相銜接，明確在個(gè)人信息處理活動中個(gè)人的各項(xiàng)權(quán)利，包括知情權(quán)、決定權(quán)、查詢權(quán)、更正權(quán)、刪除權(quán)和規(guī)則說明權(quán)等，并要求個(gè)人信息處理者建立個(gè)人行使權(quán)利的申請受理和處理機(jī)制。

2.草案明確個(gè)人信息處理者的個(gè)人信息合規(guī)管理義務(wù)，包括制定內(nèi)部管理制度和操作規(guī)程、對個(gè)人信息進(jìn)行分級分類管理、采取相應(yīng)的安全技術(shù)措施、合理確定個(gè)人信息處理的操作權(quán)限和定期人員安全教育培訓(xùn)、制定并組織個(gè)人信息安全事件應(yīng)急預(yù)案、定期對其個(gè)人信息活動進(jìn)行合規(guī)審計(jì)等。

3.草案對個(gè)人信息達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量的個(gè)人信息處理者，和境外個(gè)人信息處理提出針對性合規(guī)要求，包括確定個(gè)人信息保護(hù)負(fù)責(zé)人等。

4.草案明確個(gè)人信息處理者應(yīng)當(dāng)進(jìn)行事前風(fēng)險(xiǎn)評估的個(gè)人信息處理活動，包括處理敏感個(gè)人信息、自動化決策、委托處理和向第三方提供、個(gè)人信息公開、個(gè)人信息出境等，并規(guī)定了風(fēng)險(xiǎn)評估的內(nèi)容事項(xiàng)。

5.草案強(qiáng)調(diào)個(gè)人信息處理者的個(gè)人信息泄露通知和補(bǔ)救義務(wù)，明確了泄露通知對象（主管部門和個(gè)人）和事項(xiàng)（事件原因、信息種類、事件危害、補(bǔ)救措施等）。（草案第四十四條至第五十五條）

亮點(diǎn)九：健全個(gè)人信息保護(hù)的體制機(jī)制

1.草案明確了國家網(wǎng)信部門負(fù)責(zé)個(gè)人信息保護(hù)工作的統(tǒng)籌協(xié)調(diào)和相關(guān)監(jiān)督管理工作；國務(wù)院有關(guān)部門依照本法和有關(guān)法律、行政法規(guī)的規(guī)定，在各自職責(zé)范圍內(nèi)負(fù)責(zé)個(gè)人信息保護(hù)和監(jiān)督管理工作；地方的個(gè)人信息保護(hù)和監(jiān)督管理職責(zé)按照國家有關(guān)規(guī)定確定。

2.草案明確上述部門應(yīng)當(dāng)履行的個(gè)人信息保護(hù)職責(zé)，包括開展相關(guān)宣傳教育、接受和處理有關(guān)投訴舉報(bào)、調(diào)查和處理違法事件等。

3.草案明確了履行個(gè)人信息保護(hù)職責(zé)的部門可以采取的措施和相應(yīng)條件、程序，包括詢問、查閱和復(fù)制資料、現(xiàn)場檢查、查封和扣押、約談和要求整改等。（草案第五十六至六十一條）

亮點(diǎn)十：加強(qiáng)了對個(gè)人信息違法的懲治力度

1.草案明確了對于違反本法規(guī)定處理個(gè)人信息、或未按照規(guī)定采取必要安全保護(hù)措施的，情節(jié)嚴(yán)重的情況可以處以五千萬以下或上一年度營業(yè)額百分之五以下的罰款，并可責(zé)令其暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、通報(bào)有關(guān)主管部門吊銷相關(guān)業(yè)務(wù)許可或者吊銷營業(yè)執(zhí)照。

2.草案明確個(gè)人信息處理者的個(gè)人信息處理活動侵害個(gè)人信息權(quán)益的，應(yīng)當(dāng)按照個(gè)人因此受到的損失或者個(gè)人信息處理者因此獲得利益承擔(dān)賠償責(zé)任。（草案第六十二條至第六十七條）