《个人信息保护法（草案）》全文逐条解读（三）

刘新宇等中伦视界 2022-03-20

作者：刘新宇宋海新吴豪雳

前言

在《个人信息保护法（草案）》全文逐条解读（一）、《个人信息保护法（草案）》全文逐条解读（二）中，我们为大家逐条解读了《个人信息保护法（草案）》第一条至第二十四条的规定。接下来，作为逐条解读系列的第三篇，我们将继续为大家解读《个人信息保护法（草案）》第二十五条至第四十三条的内容。

第二十五条 利用个人信息进行自动化决策，应当保证决策的透明度和处理结果的公平合理。个人认为自动化决策对其权益造成重大影响的，有权要求个人信息处理者予以说明，并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。

通过自动化决策方式进行商业营销、信息推送，应当同时提供不针对其个人特征的选项。

// 【解读】

本条明确了利用个人信息进行自动化决策的要求。

从自动化决策的过程和结果要求看，与GDPR第22条相类似，《个人信息安全法（草案）》强调自动化决策的透明和处理结果的公平合理，并为个人提供了救济途径。举例来说，在金融借贷场景下，如果依据数据模型自动决定个人贷款额度的，个人可以要求个人信息处理者作出说明并有权拒绝仅以数据模型自动决策的方式作出决定，相对应的，在个人依据本条提出权利主张的情况下，个人信息处理者可能需要对个人的贷款额度进行人工复核。当然，为了防止个人滥用本条的规定，本条对适用情形进行了限制，即“对其（个人）权益造成重大影响的”，防止个人随意拒绝自动化决策的处理后果或者提出异议而加重企业的负担。

从对自动化决策进行商业营销、信息推送的要求看，与《中华人民共和国电子商务法》第十八条第一款规定相类似，要求同时提供不针对其个人特征的选项。《个人信息安全规范》第7.5条b项也有类似规定。

第二十六条 个人信息处理者不得公开其处理的个人信息；取得个人单独同意或者法律、行政法规另有规定的除外。

// 【解读】

本条明确了个人信息公开的原则要求和例外情形。

从原则要求看，以不公开为原则，因为一般来说，公开个人信息可能加大个人信息权益受侵犯的风险；从例外情形看，取得个人单独同意或者法律、行政法规另有规定的情况下可以公开个人信息。对于取得个人同意公开个人信息的情况下，需要遵循《个人信息保护法（草案）》的一般要求，即向个人告知并确有必要公开。

第二十七条 在公共场所安装图像采集、个人身份识别设备，应当为维护公共安全所必需，遵守国家有关规定，并设置显著的提示标识。所收集的个人图像、个人身份特征信息只能用于维护公共安全的目的，不得公开或者向他人提供；取得个人单独同意或者法律、行政法规另有规定的除外。

// 【解读】

本条明确了公共场所安装图像采集、个人身份识别设备的要求。

实践中已经大量存在公共场所安装图像采集、个人身份识别设备的情况，比如商场安装人脸识别摄像头，用于统计人流量和识别VIP客户等。根据《个人信息保护法（草案）》的规定，前述场景下很难满足“维护公共安全所必需”的要求，“法律、行政法规另有规定”基本也难以适用，而“取得个人单独同意”同样存在很大难度。如果本条在正式稿出台时未作调整而直接落地执行，前述场景下继续采集图像或进行个人身份识别，存在较大可能违反本条的规定。

第二十八条 个人信息处理者处理已公开的个人信息，应当符合该个人信息被公开时的用途；超出与该用途相关的合理范围的，应当依照本法规定向个人告知并取得其同意。

个人信息被公开时的用途不明确的，个人信息处理者应当合理、谨慎地处理已公开的个人信息；利用已公开的个人信息从事对个人有重大影响的活动，应当依照本法规定向个人告知并取得其同意。

// 【解读】

本条明确了处理已公开的个人信息的要求。

在《民法典》第一千零三十六条第一款第二项的基础上，《个人信息保护法（草案）》对于处理已公开的个人信息提出了更严格的要求。举例来说，小明想要出售房子，自行在网络上发布了房子的信息和自己的联系方式。某汽车销售商看到了小明的联系方式，与小明进行联系，但是是为了销售汽车而不是为了购买房子。在该例子中，汽车销售商的个人信息处理行为就很难被论证为是在小明公开信息用途相关的合理范围内进行的处理。从审慎的角度，在无法确定个人信息被公开时的用途或者无法准确说明是在公开时用途相关的合理范围，建议先告知并获得个人同意后再利用已公开的个人信息。

第二节敏感个人信息的处理规则

第二十九条 个人信息处理者具有特定的目的和充分的必要性，方可处理敏感个人信息。

敏感个人信息是一旦泄露或者非法使用，可能导致个人受到歧视或者人身、财产安全受到严重危害的个人信息，包括种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等信息。

// 【解读】

本条明确了处理敏感个人信息的条件和敏感个人信息的定义。

从处理敏感个人信息的条件看，“特定的目的”和“充分的必要性”，条件比较严苛。实践中大量出现收集人脸照片的场景，比如取快递要刷脸，再比如被称为“中国人脸识别第一案”中进入动物园需要刷脸，其能否满足“充分的必要性”，可能存在较大争议。

从敏感个人信息的定义看，相较于《个人信息安全规范》第3.2条对于“个人敏感信息”的定义，《个人信息保护法（草案）》对敏感个人信息的定义划分似乎更为严格、范围有所限缩。本条对“危害”增加了“严重”的限定，而且对“敏感个人信息”的举例中未列举“身份证件号码、通信记录和内容、财产信息、征信信息、住所信息、交易信息”，也未强调对“个人名誉”的影响。当然，这可能与《个人信息保护法（草案）》对于处理敏感个人信息规定了更严格的规范要求也有关系。

第三十条 基于个人同意处理敏感个人信息的，个人信息处理者应当取得个人的单独同意。法律、行政法规规定处理敏感个人信息应当取得书面同意的，从其规定。

// 【解读】

本条明确了基于个人同意处理敏感个人信息的要求。

从一般要求看，基于个人同意处理敏感个人信息，应当取得个人的单独同意。对于基于个人同意情形下的“单独同意”，按照现有App通过《个人信息保护政策》获得处理个人信息和敏感个人信息的同意，很难说明是获得了“单独同意”，可能需要在实际触发处理敏感个人信息之前，通过单独弹窗等方式获得个人的同意。近期发布的《网络交易监督管理办法（征求意见稿）》第十一条要求“网络交易经营者收集、使用生物识别信息、健康信息、财产信息、社交信息等敏感信息的，应当逐项取得被收集者授权同意”，同此处的“单独同意”相近似，亦反映了敏感个人信息处理方面愈发严格的监管趋势。

从特殊要求看，“法律、行政法规规定处理敏感个人信息应当取得书面同意的，从其规定”，留下了例外情形要求，后续有相应书面同意要求的，需要遵守其要求。

第三十一条 个人信息处理者处理敏感个人信息的，除本法第十八条规定的事项外，还应当向个人告知处理敏感个人信息的必要性以及对个人的影响。

// 【解读】

本条明确了处理敏感个人信息的特殊告知要求。

处理敏感个人信息，除了需要根据《个人信息保护法（草案）》第十八条向用户告知相应的事项外，还需要告知必要性以及对个人的影响，告知的要求更加严格。对于“对个人的影响”，举例来说，投保人身保险时，保险公司收集了投保人的病例等医疗健康信息，对个人的影响在于如果存在特殊疾病史等情况，可能影响是否承保以及保费的测算。

第三十二条 法律、行政法规规定处理敏感个人信息应当取得相关行政许可或者作出更严格限制的，从其规定。

// 【解读】

本条明确了处理敏感个人信息的特殊限制情形。

《个人信息保护法（草案）》并未直接明确处理敏感个人信息的特殊限制情形，而是留下了适用规定，不排除后续可能有其他相关法律或者配套行政法规作出严格限制，需要加以关注。

第三节国家机关处理个人信息的特别规定

第三十三条 国家机关处理个人信息的活动适用本法；本节有特别规定的，适用本节规定。

// 【解读】

本条明确了国家机关处理个人信息的适用规则。

从一般规则看，国家机关处理个人信息需要适用《个人信息保护法（草案）》的一般规定；从特殊规则看，如果本节对国家机关处理个人信息进行了特殊规定，需要适用本节的特殊规定。

第三十四条 国家机关为履行法定职责处理个人信息，应当依照法律、行政法规规定的权限、程序进行，不得超出履行法定职责所必需的范围和限度。

// 【解读】

本条明确了国家机关为履行法定职责处理个人信息的规范化要求。

从规范化要求看，主要包括以下三点：（1）需要基于履行法定职责的需要，避免在法定职责之外随意收集、使用个人信息；（2）需要依照法律、行政法规规定的条件和程序进行，也就是说如未经法定条件和程序，即使在法定职责范围内国家机关也不得处理个人信息。举个例子，根据《网络安全法》等法律规定，公安机关有权依法对互联网服务提供者和联网使用单位履行法律、行政法规规定的网络安全义务情况进行安全监督检查，监督检查过程中很可能涉及用户的个人信息，《公安机关互联网安全监督检查规定》第三章对于公安机关进行互联网监督检查的程序进行了专章的规定，实践中公安机关开展涉个人信息的安全监督检查需要遵守该等规定；（3）不得超出履行法定职责所必需的范围和限度。对于国家机关的个人信息处理行为，实践中存在较多争议，以《计算机信息网络国际联网安全保护管理办法（2011修订）》第八条为例，该条规定，“从事国际联网业务的单位和个人应当接受公安机关的安全监督、检查和指导，如实向公安机关提供有关安全保护的信息、资料及数据文件，协助公安机关查处通过国际联网的计算机信息网络的违法犯罪行为”，该办法在2011年修订以后，对于“有关安全保护的信息、资料及数据文件”未进行明确限制，原有1997版本虽加以限制但仍留下了较大空白，导致实践中部分公安部门要求企业提供用户的详细注册信息和登录日志信息的情形，该等情形是否属于必需的范围和限度，可能有待进一步探讨。

第三十五条 国家机关为履行法定职责处理个人信息，应当依照本法规定向个人告知并取得其同意；法律、行政法规规定应当保密，或者告知、取得同意将妨碍国家机关履行法定职责的除外。

// 【解读】

本条明确了国家机关为履行法定职责处理个人信息的要求。

从一般要求看，国家机关为履行法定职责处理个人信息，需要“告知+同意”，一定程度上能够提高国家机关处理个人信息的透明度；从例外情形看，“法律、行政法规规定应当保密，或者告知、取得同意将妨碍国家机关履行法定职责的除外”，比如为了犯罪侦查收集使用个人信息的，可以不向个人告知也无需获得其同意。

第三十六条 国家机关不得公开或者向他人提供其处理的个人信息，法律、行政法规另有规定或者取得个人同意的除外。

// 【解读】

本条明确了国家机关不得公开或向他人提供处理的个人信息要求和例外情形。

从原则性要求看，不得公开或向他人提供处理的个人信息为基本原则。如果需要公开或者向他人提供，需要有法律、行政法规的规定或者取得个人的同意。对于经个人同意公开或者向他人提供个人信息的情形，应该适用本法的一般性规定，告知规则并限于必要限度。

第三十七条 国家机关处理的个人信息应当在中华人民共和国境内存储；确需向境外提供的，应当进行风险评估。风险评估可以要求有关部门提供支持与协助。

// 【解读】

本条明确了国家机关存储个人信息的一般要求和向境外提供个人信息的特殊要求。

从一般要求看，国家机关一般应将处理的个人信息存储在境内；确需向境外提供的，应当进行风险评估。这里可以提供支持与协助的有关部门，从理解的角度，主要包括网信部门、公安部门等。

第三章个人信息跨境提供的规则

第三十八条 个人信息处理者因业务等需要，确需向中华人民共和国境外提供个人信息的，应当至少具备下列一项条件：

（一）依照本法第四十条的规定通过国家网信部门组织的安全评估；

（二）按照国家网信部门的规定经专业机构进行个人信息保护认证；

（三）与境外接收方订立合同，约定双方的权利和义务，并监督其个人信息处理活动达到本法规定的个人信息保护标准；

（四）法律、行政法规或者国家网信部门规定的其他条件。

// 【解读】

本条明确了个人信息处理者向境外传输个人信息的条件。

《个人信息出境安全评估办法（征求意见稿）》规定个人信息出境应当报请安全评估。相较于前述征求意见稿的规定，《个人信息保护法（草案）》并未要求个人信息处理者向境外传输个人信息的所有情形下均应进行安全评估，对于个人信息处理者向境外传输个人信息的要求有所放宽。

根据本条规定，个人信息出境的前提是因业务需要所必需。在满足因业务需要所必需的情形下，对于符合《个人信息保护法（草案）》第四十条规定的个人信息出境情形，即个人信息处理者为关键信息基础设施运营者或个人信息处理者处理的个人信息达到国家网信部门规定数量的，应当按照本条第一项的规定通过国家网信部门组织的安全评估；对于符合国家网信部门规定的需经专业机构进行个人信息保护认证的情形，应当根据相关规定通过专业机构的个人信息保护认证。而对于非属于本条第（1）（2）项情形的其他个人信息出境情形，个人信息处理者可以在采用同境外接收方订立合同的方式或在符合法律、行政法规、国家网信部门规定的其他条件的情形下向境外传输个人信息。若采用同境外接收方订立合同的方式向境外传输个人信息的，合同应当约定双方的权利和义务，并监督促使接收方的个人信息处理活动达到《个人信息保护法（草案）》规定的个人信息保护标准。

对于何种个人信息出境场景属于符合国家网信部门规定的需经专业机构进行个人信息保护认证的情形，鉴于现有的相关规定并未明确，可能有待后续网信部门的进一步立法加以明确。

第三十九条 个人信息处理者向中华人民共和国境外提供个人信息的，应当向个人告知境外接收方的身份、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式等事项，并取得个人的单独同意。

// 【解读】

本条明确了个人信息处理者就向境外传输个人信息的“告知-同意”要求。

本条要求个人信息处理者向境外传输个人信息应当向个人进行充分告知，并取得个人的单独同意。告知的内容采取了“列举+兜底”的方式，包括“境外接收方的身份、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式”等事项。只有在满足了第三十八条的监管要求，并根据本条的规定取得个人的单独同意的情况下，个人信息处理者方可向境外传输个人信息。值得讨论的是，就告知的内容上，除了本条列明的几项外，是否考虑增加列示境外接收方的数据安全能力作为披露项。近年来，境外网络安全事件频发，在境外接收方发生过重大网络安全事件的情形下，是否向个人披露境外接收方的数据安全能力，可能对个人是否同意个人信息出境产生影响。

此外，需要注意的是，尽管相较于《民法典》，《个人信息保护法（草案）》第十三条增加了“为订立或者履行个人作为一方当事人的合同所必需”等情形作为处理个人信息的一般情形下的合法性基础，但《个人信息保护法（草案）》并未借鉴GDPR等境外立法，允许在“为订立或者履行个人作为一方当事人的合同所必需”等情形下的个人信息出境。从条文文义理解的角度，本法第十三条似乎并不能直接适用于个人信息出境的场景下，个人信息处理者可能仅能够基于个人的同意向境外传输个人信息。这也体现了立法对于个人信息出境的审慎态度。

第四十条 关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者，应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的，应当通过国家网信部门组织的安全评估；法律、行政法规和国家网信部门规定可以不进行安全评估的，从其规定。

// 【解读】

本条明确了部分特殊个人信息处理者向境外提供个人信息的专门要求。

从主体上看，本条规制的个人信息处理者包括关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者。对于数量标准，可供参考的是《个人信息和重要数据出境安全评估办法（征求意见稿）》第九条的相关规定，其要求出境信息中含有或累计含有50万人以上的个人信息应报请行业主管或监管部门组织安全评估。但就《个人信息保护法（草案）》下的该等数量标准，尚有待网信部门后续出台进一步的细化规定。

从行为要求来看，原则上前述个人信息处理者在境内收集和产生的个人信息应进行本地化存储。仅在确需向境外提供的情形下，且通过国家网信部门组织的安全评估后，个人信息处理者方可向境外提供个人信息。

从评估的组织主体来看，《个人信息出境安全评估办法（征求意见稿）》第三条要求网络运营者应当向所在地省级网信部门申报个人信息出境安全评估，而本条则规定安全评估由国家网信部门组织，将安全评估的组织权限统一由国家网信部门行使，有利于统一国家对个人信息出境的监管尺度。

此外，本条还规定了法律、行政法规和国家网信部门规定可以不进行安全评估的例外情形，为后续立法规定例外情形留下了口子。

第四十一条 因国际司法协助或者行政执法协助，需要向中华人民共和国境外提供个人信息的，应当依法申请有关主管部门批准。

中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息有规定的，从其规定。

// 【解读】

本条明确了国际司法协助或行政执法协助情形下向境外提供个人信息需报批的原则性要求。

本条承袭了《数据安全法（草案）》第三十三条的立法精神，旨在一定程度上封堵境外机构的长臂管辖，维护国家主权和安全及境内个人的权益。同时，本条明确规定了例外情形，即“我国缔结或参加的国际条约、协定对此有规定的，依照其规定”，妥善解决了法律与国际条约、协定的适用问题。

不同于《数据安全法（草案）》第三十三条，本条规定的需报批情形包括国际司法协助或行政执法协助，目的是从行政执法和司法两个层面阻却境外机构对境内机构或个人实施的长臂管辖。

第四十二条 境外的组织、个人从事损害中华人民共和国公民的个人信息权益，或者危害中华人民共和国国家安全、公共利益的个人信息处理活动的，国家网信部门可以将其列入限制或者禁止个人信息提供清单，子以公告，并采取限制或者禁止向其提供个人信息等措施。

// 【解读】

本条明确了限制或者禁止个人信息提供清单制度。

个人信息出境往往意味着境内监管机构的监管难度及个人维权难度的改变。确立限制或者禁止个人信息提供清单制度，限制、禁止向境外从事损害我国公民个人信息权益，或者危害我国国家安全、公共利益的个人信息处理活动的组织、个人提供个人信息，有助于一定程度上降低个人信息出境环节中危害国家安全、公共利益或损害个人信息权益的风险，亦可以起到一定的威慑和警示作用。

从实施主体来看，限制或者禁止个人信息提供清单制度的实施主体为国家网信部门，针对被列入清单的组织或个人可以采取的措施包括限制或者禁止向其提供个人信息。参照近期出台的《不可靠实体清单规定》，对于限制或者禁止个人信息提供清单制度的具体组织实施、将组织、企业列入清单的相关程序、具体的限制措施等，或可能由国家网信部门牵头另行制订相应的规定。

第四十三条 任何国家和地区在个人信息保护方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的，中华人民共和国可以根据实际情况对该国家或者该地区采取相应措施。

// 【解读】

本条明确了个人信息保护领域的对等反制措施。

近年来，个别国家在政治、经济、外交等领域对我国采取了歧视性的禁止、限制或者其他类似措施，对我国国家利益和我国“出海”企业的利益造成了较大影响。

采取正当且必要的对等反制措施，是维护我国国家利益的重要手段。就个人信息保护领域而言，本条规定的对等反制措施基于国际法上的“对等原则”，亦同《出口管制法》第四十八条、《数据安全法（草案）》第二十四条所体现的立法精神相协同，有助于维护我国国家利益、公共利益及我国个人的合法权益。

下篇预告

就《个人信息保护法（草案）》的其余内容，笔者还将在后续的系列文章中以逐条解读的方式为大家分析，敬请关注。

点击阅读

《个人信息保护法（草案）》全文逐条解读（一）

《个人信息保护法（草案）》全文逐条解读（二）

The End

作者简介