新里程碑：统一的《个人信息保护法》草案出台｜MHP君悦评论

截至2020年3月，我国互联网用户已达9亿，互联网网站超过400万个、应用程序数量超过300万个，个人信息的收集、使用更为广泛。在信息化时代，个人信息保护已成为广大人民群众最关心最直接最现实的利益问题之一。社会各方面广泛呼吁出台专门的个人信息保护法[1]。为及时回应社会期待，十三届全国人大常委会将制订个人信息保护法列入了立法规划和年度立法工作计划，并自2018年着手研究和起草个人信息保护法草案。第十三届全国人大常委会第二十二次会议对《中华人民共和国个人信息保护法（草案）》（“《草案》”）进行了审议并于2020年10月21日公布了《草案》，向社会公开征求意见。

一、个人信息与敏感个人信息

《草案》分别定义了个人信息和敏感个人信息。

上述个人信息和敏感个人信息定义与其它相关法律法规中类似概念进行对比：

二、个人信息处理及其原则

个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等活动。个人信息处理者，是指自主决定处理目的、处理方式等个人信息处理事项的组织、个人。

根据《草案》，处理个人信息应当遵循以下原则：

• 采用合法、正当的方式，遵循诚信

• 具有明确、合理的目的

• 限于实现处理目的的最小范围（不得进行与处理目的无关的个人信息处理）

• 公开、透明，明示个人信息处理规则

• 所处理个人信息准确并及时更新

三、适用范围（包括域外效力）

四、个人信息处理规则

个人同意 + 特定例外事由

根据《草案》，个人信息处理者只有在下列情形之一满足的情况下才能处理个人信息：

（1）取得个人的同意；

（2）为订立或者履行个人作为一方当事人的合同所必需；

（3）为履行法定职责或者法定义务所必需；

（4）为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需；

（5）为公共利益实施新闻报道、舆论监督等行为在合理的范围内处理个人信息；

（6）法律、行政法规规定的其他情形。

不同于《网络安全法》，《草案》列出了豁免取得个人同意的各种情形，包括为公共利益目的而处理个人信息。但是，该等例外情形与《信息安全技术 个人信息安全规范（GB/T 35273-2020）》相比，又更狭窄一些。

告知+个人同意

个人信息处理者在处理个人信息前，应当以显著方式、清晰易懂的语言向个人告知下列事项（除非法律、行政法规另有要求）：

• 个人信息处理者的身份和联系方式；

• 个人信息的处理目的、处理方式，处理的个人信息种类、保存期限；

• 个人行使本法规定权利的方式和程序；

• 法律、行政法规规定应当告知的其他事项。

个人同意：

• 个人同意是个人在充分知情的前提下，自愿、明确作出意思表示（或者是法律法规要求的个人单独同意或书面同意）

• 处理目的、处理方式和处理的个人信息种类发生变更，应重新取得个人同意

• 个人有权撤回其作出的同意

请注意，《草案》在“告知+同意”机制中设计了“同意”、“单独同意”和“书面同意”。《草案》对“同意”作出了初步定义，强调“同意”是一种自愿、明确的意思表示。在此基础上，尽管《草案》并未对“单独同意”和“书面同意”作出进一步解释，但两者似乎是更强调同意的形式要求。例如，“单独同意”可能相对于“概括同意”而言，而“书面同意”则对应的是“非书面形式同意”。但从合规角度看，如果《草案》对两者不作具体约定，则很容易导致实践中无法把握其操作尺度，从而可能造成争议。

保存期限

个人信息的保存期限应为实现处理目的所必要的最短时间。

共同处理

两个或两个以上的个人信息处理者共同处理个人信息，应约定各自权利与义务；但发生侵权时，依法承担连带责任。

委托处理

委托方与受托方须约定委托处理的目的、处理方式、个人信息的种类、保护措施以及双方的权利和义务。

个人信息转移

如个人信息处理者因合并、分立等原因需要转移个人信息，应告知个人接收方信息并由接收方履行个人信息处理者义务；原有处理目的、处理方式发生变更，需重新向个人告知并取得其同意。

向第三方提供信息

应告知个人第三方信息、处理目的、处理方式和个人信息的种类，并取得个人的单独同意；原有处理目的、处理方式发生变更，需要重新向个人告知并取得其同意。

保密

个人信息处理者不得公开其处理的个人信息，除非取得个人的单独同意或法律法规另有规定。

处理敏感个人信息

（1）个人信息处理者应具有特定的目的和充分的必要性

（2）个人信息处理者向个人告知处理敏感个人信息的必要性以及对个人的影响

（3）个人信息处理者应取得个人的单独同意（或依据法律法规要求取得书面同意）

五、个人信息跨境提供

个人信息跨境传输之条件

（1）更严格的“告知+同意”

在向中国境外提供个人信息之前，个人信息处理者需遵循更严格的“告知+同意”：

a) 向个人告知境外接收方的身份、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使权力的方式等；

b) 取得个人的单独同意。

（2）事先风险评估：个人信息处理者应根据《草案》第51条在个人信息跨境传输之前进行风险评估。

（3）个人信息处理者因业务等需要，可以在至少满足下列一项条件的情况下向中国境外提供个人信息：

a) 通过国家网信部门组织的安全评估；

b) 经专业机构进行个人信息保护认证；

c) 与境外接收方订立合同，约定双方的权利和义务，并监督其个人信息处理活动达到个人信息保护法规定的个人信息保护标准；

d) 法律、行政法规或者国家网信部门规定的其他条件。

本地存储要求

关键信息基础设施运营者和处理个人信息达到规定数量的个人信息处理者，应将收集和产生的个人信息存储在境内；在通过安全评估后，才可以向境外提供。

六、个人在个人信息处理中的权利

根据《草案》，个人对其个人信息的处理享有以下主要权利：

（1）知情权

（2）决定权

（3）有权限制或拒绝他人对其个人信息进行处理

（4）查阅、复制个人信息

（5）更正、补充个人信息

（6）删除个人信息

（7）要求个人信息处理者解释说明处理规则

七、个人信息处理者的义务

（1）采取必要措施：

制定内部管理制度和操作规程；

对个人信息实行分级分类管理；

采取相应的加密、去标识化等安全技术措施；

合理确定个人信息处理的操作权限，并定期对从业人员进行安全教育和培训；

制定并组织实施个人信息安全事件应急预案；

法律、行政法规规定的其他措施。

（2）指定个人信息保护负责人（如处理个人信息达到规定数量）

（3）在中国境内设立专门机构或指定代表，并报送相关部门（中国境外个人信息处理者）

（4）定期审计

（5）在下列个人信息处理活动前进行风险评估（风险评估报告和处理情况记录应至少保存三年）：

(i) 处理敏感个人信息；

(ii) 利用个人信息进行自动化决策；

(iii) 委托处理个人信息、向第三方提供个人信息、公开个人信息；

(iv) 向境外提供个人信息；

(v) 其他对个人有重大影响的个人信息处理活动。

[1] 关于《中华人民共和国个人信息保护法（草案）》的说明