2020年10月13日，备受关注的《个人信息保护法（草案）》（以下简称“《草案》”）初次提请十三届全国人大常委会第二十二次会议审议。信息技术时代，个人信息保护的重要性不言而喻。现实生活中，随意收集、非法获取、过度使用、非法买卖个人信息，已严重侵扰人民群众生活安宁，危害人民群众生命健康和财产安全，影响经济生产秩序。

《草案》共八章七十条，明确了法律适用范围，聚焦目前个人信息保护的突出问题，确立以“告知—同意”为核心的个人信息处理规则，落实国家机关保护责任，加大对违法行为的惩处力度。

全国人大常委会法工委发言人臧铁伟表示，“个人信息保护立法坚持从我国实际出发，深入总结网络安全法等法律、法规、标准的实施经验，并充分借鉴有关国际组织和国家、地区的个人信息保护相关准则、指导原则和法规，建立健全适应我国个人信息保护需要的法律制度。”

此次草案可以算作“回应型立法”，在当前信息化社会及时回应公众的需要。“个人信息保护法的制定，将进一步增强法律规范的系统性、针对性和可操作性，在个人信息保护方面形成更加完备的制度、提供更加有力的法律保障。”

亮点1：明确个人信息定义

草案明确，个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等活动。

此次在规定个人信息的概念时，既强调了个人信息的权利保护，也强调了对个人信息权的规范行使和运用。

相比之下，今年5月通过的民法典规定，个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。

亮点2：“告知—同意”为核心的个人信息处理规则

这一规则是个人信息保护立法中的核心制度点。截至2020年3月，我国互联网用户已达9亿，互联网网站超过400万个，应用程序超300万个，个人信息的收集、使用更为广泛。虽然近年来我国个人信息保护力度不断加大，但随意收集、违法获取、过度使用、非法买卖，利用个人信息侵扰人民群众生活安宁、危害人民群众生命健康和财产安全等问题仍十分突出，尤其在疫情期间，许多人反映自己的信息被频繁采集，感觉隐私受到侵犯。

草案明确，处理个人信息应当在事先充分告知的前提下取得个人同意，并且个人有权撤回同意；重要事项发生变更的应当重新取得个人同意；不得以个人不同意为由拒绝提供产品或者服务。

且个人有权拒绝个人信息处理者仅通过自动化决策的方式作出决定，比如商业营销、信息推送等，应当同时提供不针对个人特征的选项。简而言之，这意味着用户有权向平台推送的个性化广告说：不。

亮点3：给敏感信息范围画圈

信息倒卖黑色产业链的现象层出不穷，从公众人物航班信息曝光、到公民个人登记信息泄露被用于电信诈骗等犯罪活动，草案设专节对处理敏感个人信息作出严格限制。

根据草案，敏感个人信息包括种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等。个人信息处理者只有在具有特定的目的和充分的必要性的情形下，方可处理敏感个人信息，并且应当取得个人的单独同意或者书面同意。

国家机关为履行法定职责处理个人信息，应当依照法律、行政法规规定的权限、程序进行，不得超出履行法定职责所必需的范围和限度。国家机关不得公开或者向他人提供其处理的个人信息，法律、行政法规另有规定或者取得个人同意的除外。

亮点4：公共场所个人信息不得随意公开

在公共场所安装图像采集、个人身份识别设备，所收集的个人图像、个人身份特征信息只能用于维护公共安全的目的，不得公开或者向他人提供；取得个人单独同意或者法律行政法规另有规定的除外。

亮点5：加大惩处力度

草案对违反本法规定行为的处罚及侵害个人信息权益的民事赔偿等作了不同等级的规定。

情节严重的，没收违法所得，并处五千万元以下或者上一年度营业额百分之五以下罚款。同时依照有关法律、行政法规的规定记入信用档案，并予以公示。

除罚款以外，对侵害个人信息权益的民事赔偿，按照个人所受损失或者个人信息处理者所获利益确定数额，上述数额无法确定的，由人民法院根据实际情况确定赔偿数额。

此次个人信息保护法草案针对互联网中的各类个人信息数据问题给出了更明确、更清晰的解决办法，进一步加强了个人信息保护法制保障的客观要求，也进一步维护了网络空间良好生态的现实需求，促进数字经济健康发展。

而此项草案之后还会继续详细完善，待其通过后，对我们普通用户和互联网公司们之间的关系将注定带来巨大改变。

我们究竟需要一部什么样的个人信息保护法？

应当充分考虑法律可行性

法律要想真正发挥作用就必须要有可行性。陈斯喜委员认为，草案目前一些概念还比较模糊，含义不清楚，会给实施带来困难。而想让个人信息保护法具有可行性，关键要处理好几个关系。

陈斯喜说，首先，要区分清楚公开信息收集与专门采集信息。比如，已向社会公开的信息就应当允许收集。其次，公开信息与非公开信息怎么保护要有区别。比如，个人采集的信息、有关机关掌握的信息，都应该怎么保护，不该公开的个人信息公开了就要严肃处理。最后，要区分采集的信息是自用还是出售、转让。此外，临时采集识别与长期保存个人信息也应区分开来。比如现在一些单位、社区已经实行人脸识别，这种采集是暂时的还是永久储存的，就要区别对待。

“总之，这几个关系要厘清并分门别类作出规范，法律才具有可行性。”陈斯喜说。

个人信息保护立法要注意三个平衡

王超英委员认为，个人信息保护立法必须要平衡好三个问题。

一是要借鉴国际经验，更要立足中国国情。“最近几年，世界范围内个人信息保护立法大多是以欧盟的通用数据保护条例（GDPR）为范本。我们知道，欧盟个人信息保护立法一直都是严格的，是以保护个人权益为导向的，这与其历史传承、法律文化和互联网发展水平密切相关。而我国个人信息保护立法要考虑到我国不同于发达国家的发展水平和社会文化背景，要保证立法能够落地实施。”王超英说。

二是平衡好个人信息保护与数字经济发展的关系。王超英认为，现在数字经济已经成为引领科技革命和产业变革的核心力量。顺应时代趋势，当前我国正在大力发展数字经济，要在新兴领域利用数字经济的发展实现“弯道超车”。所以，立法既要充分保护数据主体的合法利益，也要充分重视数字经济时代相关信息和数据的合法利用问题。

三是平衡好保护个人信息和维护公共安全的关系。“这是个人信息保护立法一个很重要的点。”王超英说，特别是今年疫情期间，要进入一些地方就必须登记身份证、手机号、姓名、住址等，这些信息一旦泄露就是“裸奔”。

在王超英看来，目前草案虽然都有涉及但还不够。“怎样在法律上规定收集个人信息最小化并且应当符合比例原则？这些信息怎么保存保管？一旦泄露谁去追究、怎么追究？这些还要再研究。”

数据保护法律应形成有机整体

对于个人信息保护法的法律定位，尹中卿委员认为，这是一部在民法基础上的行政管理法。因此，应在民法典基础上对自然人的个人信息隐私、对公民的个人信息权益进行保护。

“个人信息保护法要与已经制定的网络安全法和已经一审的数据安全法草案相配套，在这个前提下统筹考虑、修改，使数据保护的法律形成一个有机整体，以便更好地保障、保护自然人涉及个人信息的隐私，保障公民的个人信息权益，促进个人信息依法有序流动，促进个人信息依法有效利用。”尹中卿说。

对于篇章结构，尹中卿认为应当在第一章之后首先规定个人信息权益。此外，草案第二章和第三章内容目前有交叉，建议对结构进行修改予以解决。

草案问题意识还需进一步提升

全国人大宪法和法律委员会副主任委员周光权认为，制定个人信息保护法，不是说单纯地在法律的种类中增加一部法律，而是要解决目前面临的难题。

“个人信息保护立法，既要考虑个人目前在日常生活中面临的问题，比如小程序、App、网页使用时个人信息的泄露等，同时还要考虑今后新的技术发展带来的知情同意方式的变化。”周光权还特别提及，伴随生物信息识别技术开始使用，有些单位和部门好像已经尝到了使用人脸识别技术的“甜头”。因此，人脸识别、指纹等生物识别技术的限制，也是这部法律绕不开的问题。“如果绕开的话，这部法律对未来社会治理发挥的作用就是有限的。”

此外，周光权认为，还必须考虑国家机关在取得个人信息后的管理和使用问题。“对公权力如何管理好自己手中的个人信息、如何对其进行制约和限制，这个问题法律不能绕开。”

同时，周光权还强调要平衡好各种关系。“现在个人获得数据、使用App基本都是免费的，这样一个‘免费的午餐’确实有风险，理应加强监管，但是也不能对互联网企业一棍子打死，而平衡好这个关系是比较复杂的，这也是这部法律要认真研究的。”周光权说。

【法宝引证码】 CLI.DL.15058

一、关于制定本法的必要性

随着信息化与经济社会持续深度融合，网络已成为生产生活的新空间、经济发展的新引擎、交流合作的新纽带。截至2020年3月，我国互联网用户已达9亿，互联网网站超过400万个、应用程序数量超过300万个，个人信息的收集、使用更为广泛。虽然近年来我国个人信息保护力度不断加大，但在现实生活中，一些企业、机构甚至个人，从商业利益等出发，随意收集、违法获取、过度使用、非法买卖个人信息，利用个人信息侵扰人民群众生活安宁、危害人民群众生命健康和财产安全等问题仍十分突出。在信息化时代，个人信息保护已成为广大人民群众最关心最直接最现实的利益问题之一。社会各方面广泛呼吁出台专门的个人信息保护法，本届以来，全国人大代表共有340人次提出39件相关议案、建议，全国政协委员共提出相关提案32件。党中央高度重视网络空间法治建设，对个人信息保护立法工作作出部署。习近平总书记多次强调，要坚持网络安全为人民、网络安全靠人民，保障个人信息安全，维护公民在网络空间的合法权益，对加强个人信息保护工作提出明确要求。为及时回应广大人民群众的呼声和期待，落实党中央部署要求，制定一部个人信息保护方面的专门法律，将广大人民群众的个人信息权益实现好、维护好、发展好，具有重要意义。

第一，制定个人信息保护法是进一步加强个人信息保护法制保障的客观要求。党的十八大以来，全国人大及其常委会在制定关于加强网络信息保护的决定、网络安全法、电子商务法、修改消费者权益保护法等立法工作中，确立了个人信息保护的主要规则；在修改刑法中，完善了惩治侵害个人信息犯罪的法律制度；在编纂民法典中，将个人信息受法律保护作为一项重要民事权利作出规定。我国个人信息保护法律制度逐步建立，但仍难以适应信息化快速发展的现实情况和人民日益增长的美好生活需要。因此，应当在现行法律基础上制定出台专门法律，增强法律规范的系统性、针对性和可操作性，在个人信息保护方面形成更加完备的制度、提供更加有力的法律保障。

第二，制定个人信息保护法是维护网络空间良好生态的现实需要。网络空间是亿万民众共同的家园，必须在法治轨道上运行。违法收集、使用个人信息等行为不仅损害人民群众的切身利益，而且危害交易安全，扰乱市场竞争，破坏网络空间秩序。因此，应当制定出台专门法律，以严密的制度、严格的标准、严厉的责任，规范个人信息处理活动，落实企业、机构等个人信息处理者的法律义务和责任，维护网络空间良好生态。

第三，制定个人信息保护法是促进数字经济健康发展的重要举措。当前，以数据为新生产要素的数字经济蓬勃发展，数据的竞争已成为国际竞争的重要领域，而个人信息数据是大数据的核心和基础。党的十九大报告提出了建设网络强国、数字中国、智慧社会的任务要求。按照这一要求，应当统筹个人信息保护与利用，通过立法建立权责明确、保护有效、利用规范的制度规则，在保障个人信息权益的基础上，促进信息数据依法合理有效利用，推动数字经济持续健康发展。

二、关于起草工作和把握的几点

制定个人信息保护法列入了十三届全国人大常委会立法规划和年度立法工作计划。栗战书委员长和王晨副委员长等常委会领导同志高度重视这项立法工作，多次作出指示批示。2018年全国人大常委会法制工作委员会会同中央网络安全和信息化委员会办公室，着手研究起草个人信息保护法草案。在起草过程中，认真梳理研究近年来全国人大代表、政协委员提出的建议，召开座谈会听取部分全国人大代表的意见；委托专家组开展专题研究，搜集整理国内外立法资料，形成研究报告；通过多种方式深入调研，广泛征求有关部门、企业和专家等各方面意见。在上述工作的基础上，经反复研究修改，形成了《中华人民共和国个人信息保护法（草案）》。

起草工作注意把握以下几点：一是，坚持立足国情与借鉴国际经验相结合。从我国实际出发，深入总结网络安全法等法律、法规、标准的实施经验，将行之有效的做法和措施上升为法律规范。从上世纪70年代开始，经济合作与发展组织、亚太经济合作组织和欧盟等先后出台了个人信息保护相关准则、指导原则和法规，有140多个国家和地区制定了个人信息保护方面的法律。草案充分借鉴有关国际组织和国家、地区的有益做法，建立健全适应我国个人信息保护和数字经济发展需要的法律制度。二是，坚持问题导向和立法前瞻性相结合。既立足于个人信息保护领域存在的突出问题和人民群众的重大关切，建立完善可行的制度规范。同时，对一些尚存争议的理论问题，在本法中留下必要空间，对新技术新应用带来的新问题，在充分研究论证的基础上作出必要规定，体现法律的包容性、前瞻性。三是，处理好与有关法律的关系。把握权益保护的立法定位，与民法典等有关法律规定相衔接，细化、充实个人信息保护制度规则。同时，与网络安全法和已提请全国人大常委会审议的数据安全法草案相衔接，对于网络安全法、数据安全法草案确立的网络和数据安全监管相关制度措施，本法不再作规定。

三、关于草案的主要内容

草案共八章七十条，主要内容包括：

（一）明确本法适用范围

一是，对本法相关用语作出界定，规定：个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息；个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等活动。（草案第四条）

二是，明确在我国境内处理个人信息的活动适用本法的同时，借鉴有关国家和地区的做法，赋予本法必要的域外适用效力，以充分保护我国境内个人的权益，规定：以向境内自然人提供产品或者服务为目的，或者为分析、评估境内自然人的行为等发生在我国境外的个人信息处理活动，也适用本法；并要求境外的个人信息处理者在境内设立专门机构或者指定代表，负责个人信息保护相关事务。（草案第三条、第五十二条）

（二）健全个人信息处理规则

一是，确立个人信息处理应遵循的原则，强调处理个人信息应当采用合法、正当的方式，具有明确、合理的目的，限于实现处理目的的最小范围，公开处理规则，保证信息准确，采取安全保护措施等，并将上述原则贯穿于个人信息处理的全过程、各环节。（草案第五条至第九条）

二是，确立以“告知—同意”为核心的个人信息处理一系列规则，要求处理个人信息应当在事先充分告知的前提下取得个人同意，并且个人有权撤回同意；重要事项发生变更的应当重新取得个人同意；不得以个人不同意为由拒绝提供产品或者服务。考虑到经济社会生活的复杂性和个人信息处理的不同情况，草案还对基于个人同意以外合法处理个人信息的情形作了规定。（草案第十三条至第十九条）

三是，根据个人信息处理的不同环节、不同个人信息种类，对个人信息的共同处理、委托处理、向第三方提供、公开、用于自动化决策、处理已公开的个人信息等提出有针对性的要求。（草案第二十一条至第二十八条）

四是，设专节对处理敏感个人信息作出更严格的限制，只有在具有特定的目的和充分的必要性的情形下，方可处理敏感个人信息，并且应当取得个人的单独同意或者书面同意。（草案第二十九条至第三十二条）

五是，设专节规定国家机关处理个人信息的规则，在保障国家机关依法履行职责的同时，要求国家机关处理个人信息应当依照法律、行政法规规定的权限和程序进行。（草案第三十三条至第三十七条）

在应对新冠肺炎疫情中，大数据应用为联防联控和复工复产提供了有力支持。为此，草案将应对突发公共卫生事件，或者紧急情况下保护自然人的生命健康，作为处理个人信息的合法情形之一。需要强调的是，在上述情形下处理个人信息，也必须严格遵守本法规定的处理规则，履行个人信息保护义务。

（三）完善个人信息跨境提供规则

一是，明确关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的处理者，确需向境外提供个人信息的，应当通过国家网信部门组织的安全评估；对于其他需要跨境提供个人信息的，规定了经专业机构认证等途径。（草案第三十八条、第四十条）

二是，对跨境提供个人信息的“告知—同意”作出更严格的要求。（草案第三十九条）

三是，对因国际司法协助或者行政执法协助，需要向境外提供个人信息的，要求依法申请有关主管部门批准。（草案第四十一条）

四是，对从事损害我国公民个人信息权益等活动的境外组织、个人，以及在个人信息保护方面对我国采取不合理措施的国家和地区，规定了可以采取的相应措施。（草案第四十二条、第四十三条）

（四）明确个人信息处理活动中个人的权利和处理者义务

一是，与民法典的有关规定相衔接，明确在个人信息处理活动中个人的各项权利，包括知情权、决定权、查询权、更正权、删除权等，并要求个人信息处理者建立个人行使权利的申请受理和处理机制。（草案第四十四条至第四十九条）

二是，明确个人信息处理者的合规管理和保障个人信息安全等义务，要求其按照规定制定内部管理制度和操作规程，采取相应的安全技术措施，并指定负责人对其个人信息处理活动进行监督；定期对其个人信息活动进行合规审计；对处理敏感个人信息、向境外提供个人信息等高风险处理活动，事前进行风险评估；履行个人信息泄露通知和补救义务等。（草案第五十条、第五十一条、第五十三条至第五十五条）

（五）关于履行个人信息保护职责的部门

个人信息保护涉及各个领域和多个部门的职责。草案根据个人信息保护工作实际，明确国家网信部门负责个人信息保护工作的统筹协调，发挥其统筹协调作用；同时规定：国家网信部门和国务院有关部门在各自职责范围内负责个人信息保护和监督管理工作。（草案第五十六条）

此外，草案还对违反本法规定行为的处罚及侵害个人信息权益的民事赔偿等作了规定。

本文来源 | 人民日报、中国青年网、中国贸易报、中国人大网、北大法宝法律法规库

责任编辑 | 李泽鹏

审核人员 | 张文硕

点击相应图片识别二维码

获取更多信息

北大法宝

北大法律信息网

法宝学堂

法宝智能