信息保护新纪元—解析《个人信息保护法》

2021-08-26

【前言】

2021年8月20日，第十三届全国人民代表大会常务委员会第三十次会议通过了《中华人民共和国个人信息保护法》（以下简称“《信保法》”或《个人信息保护法》），《信保法》作为个人信息保护的基本法，意味着在中国大陆范围内，对个人信息保护进入了新的阶段，个人信息保护的顶层制度设计填上了最重要的一块拼图，个人信息的保护拥有了最高层次的法治依靠。

《信保法》从个人信息处理规则、个人信息跨境提供的规则、个人在个人信息处理活动中的权利、个人信息处理者的义务、监管机构的权力和义务、个人信息法律责任等维度，做出了全方位的规定，值得个人、企事业单位等信息处理者仔细研读，保障合规。

一、《信保法》要点解析

（一）个人信息处理的一般规定

以同意为原则，特定情况为例外。《信保法》第十三条规定了在处理个人信息时需要以“个人同意”作为基本的原则。除此之外，在特殊列举的6种情形下，个人信息处理者可以无需取得个人的同意。

同意的方式。对于上述提及的同意原则，《信保法》虽然没有写明是明示同意还是默示同意。但从长期的执法实践来观察，仍以要求信息处理者取得以个人明示同意为优先，同时进一步协调其他法律和行政法规的例外规定，遵从其对个人单独同意或者书面同意的特别要求。

禁止前置条件。原则上个人信息处理的同意或撤回不得构成提供产品或服务的前置条件。此举也是从源头上回应并杜绝了产品服务和非必要个人信息挂钩绑定的社会现象。

委托处理个人信息。个人信息处理者和受托方需要约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等，个人信息处理者需要对受托人的个人信息处理活动进行监督，且未经个人信息处理者同意，受托方不得转委托。许多个人信息处理者通常会选择外包的方式进行数据分析、数据处理，本次对委托处理个人信息的规定也是正式的法律对此种情形的约束。

委托失败的情况下，相关的个人信息需返还、删除、不可逆的销毁等。

自动化决策的规定。《信保法》定义下的自动化决策是指“通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等，并进行决策的活动”该规定也是对此前多受诟病的“大数据杀熟”“算法歧视”等热点事件的回应。此次《信保法》提出要求在信息处理中使用自动化决策的不允许存在差别待遇和歧视，需保证决策的透明度和结果公平、公正。同时也要求个人信息处理者提供非自动化决策选项，允许个人享有对自动化决策的拒绝权。

公开图像采集与个人身份识别设备的使用规定。《信保法》第二十六条针对公共场所安装图像采集、个人身份识别设备时需要设置显著提示标识，原则上所收集信息只能用于维护公共安全的目的, 取得个人单独同意的除外。本条是对日渐增多的监控及识别设备对个人外观表征及隐私活动的限制。

（二）敏感个人信息处理的规定

《信保法》第二十八至三十二条规定了敏感个人信息处理的规定。

处理目的和方式。《信保法》规定只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，个人信息处理者方可处理敏感个人信息。

同意的方式。相较于一般个人信息的明示同意，敏感个人信息要求以获得个人单独同意为确认处理的最终许可，以法定书面同意作为例外。

未成年人信息的处理。个人信息处理者处理不满十四周岁未成年人个人信息的，应当取得未成年人的父母或者其他监护人的同意。此外，个人信息处理者处理不满十四周岁未成年人个人信息的，应当制定专门的个人信息处理规则，通常表现为制定专用的儿童隐私政策等。

法定从严。法律、行政法规规定处理敏感个人信息应当取得相关行政许可或者作出更严格限制的，从其规定。

（三）国家机关处理个人信息的规定

《信保法》第三节对国家机关处理个人信息做出规定。明确国家机关在法律适用上需遵循《信保法》，并且按照个人信息处理的一般和特殊规定执行诸如同意、告知等流程；并要求国家机关实施数据本地化，确需向境外提供的，应当进行安全评估。

（四）个人信息跨境提供

《信保法》第三章专章对个人信息跨境做出了规定。个人数据出境管理是数据安全保护的重要环节，由于跨国企业和域外监管、海外合作的增多。数据跨境传输已经成为一个重要问题。此前，笔者在研究《个人信息出境安全评估办法（征求意见稿）》《信息安全技术数据出境安全评估指南(征求意见稿)》的基础上了解到，通常对大规模的数据跨境传输，需要执行数据接收方调查、 数据接收方所在国家或区域的政治法律环境评估、签订完备的数据安全协议/条款、与接收方确定数据传输的最小方式。和上述征求意见相比《信保法》没有形成实质性的差别，并对个人信息的出境确立了出境的原则。

四项法定跨境传输信息条件。a）通过国家网信部门组织的安全评估b）按照国家网信部门的规定经专业机构进行个人信息保护认证c）按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务d）规定的其他情形。对上述法定跨境传输信息条件只要满足其一即可，从条件的选项来看，有适用于特定情形的专项评估，简便高效的认证方式，以及用于日常信息传输的协议模式。

接收方要求（政治法律环境一致性要求）。和《个人信息出境安全评估办法（征求意见稿）》《信息安全技术数据出境安全评估指南(征求意见稿)》一致的是，《信保法》同样要求境外个人信息处理者应当采取必要措施，保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。在此基础上，也对个人信息处理者对海外政治法律环境的熟悉程度提出了一定的要求。 

告知义务。《信保法》第三十九条也规定了，执行个人信息出境前，需要向相关个人告知境外接收方的各类信息要素（身份、联系方式、处理目的、处理方式、个人信息的种类等）并取得个人的单独同意。

CIIO和特定信息处理者的信息数据本地化义务。《信保法》第四十条也明确了CIIO和特定信息处理者需要将信息数据本地化，存储在中国大陆境内。确需向境外提供的，必须通过国家网信部门组织的安全评估。

（五）个人信息权利

《信保法》第四章规定了个人在个人信息处理活动中的权利。目前，个人信息数据不管是作为一种资产抑或是一种权利，其价值已经形成一种社会共识。不同于《民法典》对个人信息权利的原则性规定，《信保法》则进一步细化了个人信息权衍生出来的权利束包含哪些子权利。也是进一步参考了GDPR、CCPA等各法域已经发布的较有影响的法律规范的最新成果。

个人信息权利束。《信保法》第四章规定了个人在个人信息处理活动中享有知情权、决定权、限制及拒绝处理权；查阅权、复制权（保密除外）；信息（数据）可携权；更正权、补充权；删除权；个人信息处理规则释明权。

死者个人信息保护。《信保法》第四十九条参照《民法典》的规定，也规定了死者的个人信息由近亲属行使相关权利。

（六）个人信息处理者的义务

《信保法》第五章是对个人信息处理者义务的专章规定。如之前《信保法》草案以及二次审议稿大体一致，除了个别条款顺序以及用词用语的删改，没有实质上的变化。本章规定了个人信息处理者的一般义务、安全事件的通知与补救、重要巨大平台型个人信息处理者的特殊义务。

个人信息保护措施建设。除了常规要求建立与个人信息相关的内部管理制度外，还要求个人信息处理者需要进行信息分类、采取加密、去标识化等安全技术措施、实施权限管理和内部培训、制定并定期演示应急预案等。

个人信息合规审计。《信保法》第五十四条依然保留了个人信息处理者需要定期进行合规审计的要求。但由于条文较为原则和笼统，尚未规定合规审计是外部还是内部审计，以及实施审计的机构是哪些，有待监管部门进一步细化明确。

特定事项执行前评估。《信保法》第五十五条规定在：a）处理敏感个人信息b）利用个人信息进行自动化决策c）委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息d）向境外提供个人信息e）从事其他对个人权益有重大影响的个人信息处理活动时，个人信息处理者应当事前进行个人信息保护影响评估，并对处理情况进行记录。

重要巨大平台型个人信息处理者的特殊义务。受“滴滴事件”影响，《信保法》第五十八条进一步强化了大型平台的特殊信息保护义务。要求建立全面健全的个人信息保护合规制度体系，成立主要由外部成员组成的独立机构对个人信息保护情况进行监督；实施平台内的信息保护管理和规范，治理；要求定期发布个人信息保护社会责任报告。

（七）监管机构和监管权限

《信保法》最终立法仍未采纳设立独立的个人信息保护执法机构的建议。保留了个人信息方面的多头治理格局，但是对各方职责做出了一定的区分和辨别。

监管机构。《信保法》确立国家网信部门统筹协调个人信息保护工作和相关监督管理工作；规定了国务院有关部门（公安部门、市场监督部门、工业信息部门、行业监管部门等）在职责范围内各司其职，并统称为“履行个人信息保护职责的部门”。根据笔者前期对各监管机构职责的归纳，各部门在个人信息监管方面呈现出体现部门特点的趋势：

网信部门的信保工作。《信保法》突出了网信部门在信息保护领域的统筹作用，规定网信部门主要负责信息保护标准化和执行规则的具体落实、针对特定群体和特定技术的规范化、鼓励高效便捷的监管技术、推进信息保护服务社会化等。除了一般的执法权之外，《信保法》在信息安全事件执法中授予了网信部门指定专人约谈，要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计的执法权限

（八）法律责任

《信保法》最为引人注目的也是他对相关违规行为的罚则，突出了其处罚形式的多样性、完备性、惩罚性的特点。相关罚则可以看出也是和世界各国同类型处罚保持了一致性。 

个人信息处理者的侵权责任。《信保法》第六十九条明确了个人信息处理侵权的，实行过错推定的归责原则，意即个人信息处理者在相关诉讼中需要提交证据自身清白，这亦规定也从侧面说明了个人信息处理者需要进一步做好内部制度建设、技术措施、内部培训等义务。 

个人信息公益诉讼。针对大规模个人信息侵权，普通个人无力或没有维权驱力的，《信保法》规定了人民检察院、法律规定的消费者组织、国家网信部门确定的组织三类组织可以发起个人信息公益诉讼，维护社会权益。

二、《信保法》治下的企业监管应对

（一）建立完善的个人信息合规体系

1.制度建设和技术措施。如《信保法》所示，企业构建信保合规体系已经是迫在眉睫的事情了，尤其是对从事社交、电商、金融、医疗、教育、交通、互联网等重点信息及数据关注领域。企业必须根据自身性质强化信保合规，制定熟悉的、可落实的合规制度（权限制度、第三方访问、信息归集等）、研发购买相应技术（数据清洗、匿名化、去标识化等）。

2.制定个人信息等数据泄露安全事件应急预案。由于安全事件涉及的种类繁多，其中比较常见的是关于网络攻击、数据泄露的应急预案。当前绝大多数个人信息以数据的方式呈现，结合《数据安全法》的要求，企业也应第一时间制定遭受网络攻击以及个人信息安全方面的预案并定期演练。

3. 个人信息合规审计。《信保法》明确提出的个人信息处理者需要进行个人信息保护合规审计，检视企业内部对个人信息合规情况的执行和落实，尽管目前尚未最终确定个人信息合规审计的执行主体和执行方式，但在 《信保法》正式生效前，对企业进行由内而外的合规审计是十分必要的，防范在法律生效后带来的违规风险。

4.员工个人信息保护意识培训。个人信息保护的落实在于企业内部人员对相关制度的确切执行，因此针对性的开展员工之间的个人信息保护培训是十分必要的。引导员工认识企业在制度执行、供应链管理、数据委外处理、权限意识等方面的规则，否则经常容易引发员工导致的信息安全事件。

（二）域外监管要求的应对预案

1.制定重要个人数据出境的预案。如今，大多数企业都存在跨国经营的情况，只要跨国经营就不可避免受到域外监管或者按母公司的要求提交数据。尽管具体的数据出境规定尚未出台，但由于《信保法》即将生效，企业和组织根据《信保法》原则并参照《个人信息出境安全评估办法（征求意见稿）》《信息安全技术数据出境安全评估指南(征求意见稿)》的规定制定数据出境的预案，纳入企业流程化管理，做到每次出境都有迹可循，有据可查。

2.寻求监管部门的意见和协助。大型企业尤其是跨国企业，在受到域外执法机构的法令或指令要求提交涉及个人信息数据作为法律文件的，应该及时和国内监管部门或者母公司建立沟通渠道，通过“公对公”的方式处理相关问题。

三、后《信保法》的监管趋势

可以预见在11月1日《信保法》生效后，监管部门将进一步加强在个人信息领域的执法力度，进一步审视企业的个人信息合规性，要求企业加强个人信息合规，这也是“滴滴事件”以及各类大大小小的信息安全事件带来的必然结论。

此外，笔者也注意到，《信保法》中的许多子制度（小型个人信息处理者、处理敏感个人信息专用制度，个人信息跨境传输管理，个人信息处理者合规审计制度，个人信息保护社会化服务体系等）尚待出台细节性的规范文件，待具体的配套制度落地和执法案例出现后，《信保法》的监管执法将会再上一个台阶。

本文作者：

指导合伙人：