《个人信息保护法（草案）》全文逐条解读（四）

刘新宇等中伦视界 2022-03-20

作者：刘新宇宋海新吴豪雳

前言

在《个人信息保护法（草案）》全文逐条解读（一）、《个人信息保护法（草案）》全文逐条解读（二）、《个人信息保护法（草案）》全文逐条解读（三）中，我们为大家逐条解读了《个人信息保护法（草案）》前三章的规定。接下来，作为逐条解读系列的第四篇，我们将继续为大家解读《个人信息保护法（草案）》第四章、第五章的内容。

第四章个人在个人信息处理活动中的权利

第四十四条 个人对其个人信息的处理享有知情权、决定权，有权限制或者拒绝他人对其个人信息进行处理；法律、行政法规另有规定的除外。

// 【解读】

本条明确了个人的知情权和决定权。

或是为了保障立法的弹性，本条并未如GDPR第十三、十四条一般，对知情权的内容进行详尽的说明，一般来说“知情权”指向个人有权知晓其个人信息被处理的情况；就“决定权”的内容而言，从本条文本本身来看，主要表现为“限制或拒绝他人的处理”，更多表现为一种被动的防御。就两者的关系上，知情权系行使决定权的前提。明确个人的知情权和决定权，有利于个人更好地实现对其个人信息的控制。

此外，本条留下了但书规定，即“法律、行政法规另有规定的除外”，比如基于犯罪侦查收集个人信息，出于保密等原因，可以拒绝个人行使其知情权和决定权。

第四十五条 个人有权向个人信息处理者查阅、复制其个人信息；有本法第十九条第一款规定情形的除外。

个人请求查阅、复制其个人信息的，个人信息处理者应当及时提供。

// 【解读】

本条明确了个人的查阅、复制权。

个人的查阅、复制权首次见于《民法典》第一千零三十七条。查阅、复制个人信息便于个人有效行使更正、删除个人信息的权利，有助于加强个人对个人信息的控制。区别于《民法典》规定的是，本条增加了查阅、复制权行使的例外，即“有法律、行政法规规定应当保密或者不需要告知的情形”。在该等情形下，个人信息处理者有权拒绝个人查阅、复制个人信息的请求。在《民法典》及《个人信息保护法（草案）》均明确了个人享有查阅、复制权的情形下，如无法适用例外情形，个人信息处理者应当采取适当的方式对个人查阅、复制其个人信息的请求及时予以回应，确保其查阅、复制权的行使。

同时，有许多拥有大量用户的平台企业担忧在《民法典》生效后，可能同时面临大量用户查阅、复制个人信息的请求。《个人信息保护法（草案）》并未回应这一种实践中的担忧，作为个人信息处理者的企业应如何应对，可能还有待后续实践的探索。

第四十六条 个人发现其个人信息不准确或者不完整的，有权请求个人信息处理者更正、补充。

个人请求更正、补充其个人信息的，个人信息处理者应当对其个人信息予以核实，并及时更正、补充。

// 【解读】

本条明确了个人的更正、补充权。

《网络安全法》第四十三条、《民法典》第一千零三十七条均规定了个人的更正权，《个人信息保护法（草案）》在对个人的更正权予以重申的同时，区分了个人信息不准确或者不完整的情形，并针对个人信息不完整的情形规定了个人的补充权，旨在针对实践中用户无法更正、补充其个人信息的问题。

实践中，涉及更正个人信用情况的纠纷较为常见，不少企业因不愿意配合更正错误记载的个人信息而遭到起诉，面临相应的诉累和舆情压力的情形。对于企业而言，建议在个人行使更正、补充权时进行核查并在核查无误的情况下及时予以配合。

第四十七条 有下列情形之一的，个人信息处理者应当主动或者根据个人的请求，删除个人信息：

（一）约定的保存期限已届满或者处理目的已实现；

（二）个人信息处理者停止提供产品或者服务；

（三）个人撤回同意；

（四）个人信息处理者违反法律、行政法规或者违反约定处理个人信息；

（五）法律、行政法规规定的其他情形。

法律、行政法规规定的保存期限未届满，或者删除个人信息从技术上难以实现的，个人信息处理者应当停止处理个人信息。

// 【解读】

本条明确了个人的删除权。

《网络安全法》第四十三条、《民法典》第一千零三十七条均规定了在个人信息处理者违法或违约处理个人信息的情形下个人的删除权，《个人信息保护法（草案）》第四十七条对于删除权适用的情形予以了扩张，增加了本条第一款第（一）（二）（三）（五）项作为个人有权行使删除权的情形。

若约定的保存期限已届满，则个人信息处理者继续保存个人信息可能违反同个人之间的约定；而在处理目的已实现、个人信息处理者停止提供产品或者服务以及个人撤回同意的情形下，个人信息处理者不再收集、使用用户个人信息，其继续保存用户个人信息可能缺乏相应的合法性基础。

值得讨论的是，不同于《个人信息安全规范》第6.1b)条和第6.4c)条，《个人信息保护法（草案）》并未在本条规定的情形下，为个人信息处理者留下匿名化处理个人信息的口子。基于此，若本条款正式落地，可能对当前企业的个人信息利用方式产生一定的影响。

第四十八条 个人有权要求个人信息处理者对其个人信息处理规则进行解释说明。

// 【解读】

本条明确了个人有权要求个人信息处理者释明其个人信息处理规则。

《个人信息保护法（草案）》第十八条要求个人信息处理者制定并公开个人信息处理规则。个人信息处理规则同个人的个人信息相关权利密切相关，但实践中，如果缺少相应的知识积累或者存在少量专业术语，普通个人理解个人信息处理规则可能存在一定困难，故本条规定个人有权要求个人信息处理者向其解释说明，有助于保障个人的知情权，方便个人更好地理解个人信息处理规则。

第四十九条 个人信息处理者应当建立个人行使权利的申请受理和处理机制。拒绝个人行使权利的请求的，应当说明理由。

// 【解读】

本条明确了建立个人行权申请受理和处理机制的要求。

《网络安全法》第四十九条规定，网络运营者应当建立网络信息安全投诉、举报制度，公布投诉、举报方式等信息，及时受理并处理有关网络信息安全的投诉和举报。网络运营者对网信部门和有关部门依法实施的监督检查，应当予以配合。《个人信息安全规范》第8.8条规定，“个人信息控制者应建立投诉管理机制和投诉跟踪流程，并在合理的时间内对投诉进行响应”。《个人信息保护法（草案）》亦要求个人信息处理者应建立申请受理和处理机制，以保障个人行使其相关权利，并要求个人信息处理者就拒绝个人行权请求的情形下，应说明理由。

值得讨论的是，本条似乎更多系规定个人信息处理者之义务而非个人之权利，可能规定在《个人信息保护法（草案）》第五章“个人信息处理者的义务”中更为合适。

第五章个人信息处理者的义务

第五十条 个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人的影响、可能存在的安全风险等,采取必要措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露或者被窃取、篡改、删除：

(一)制定内部管理制度和操作规程;

(二)对个人信息实行分级分类管理;

(三)采取相应的加密、去标识化等安全技术措施;

(四)合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;

(五)制定并组织实施个人信息安全事件应急预案;

(六)法律、行政法规规定的其他措施。

// 【解读】

本条明确了个人信息处理者的安全保护义务。

就内部管理制度和操作规程而言，结合《个人信息保护法（草案）》第四条，管理制度和操作规程至少应覆盖个人信息收集、存储、使用、加工、传输、提供、公开等个人信息全生命周期流程。

就个人信息分级分类管理而言，参照《电信和互联网服务用户个人信息保护分级指南》（YD∕T 2782-2014）、《个人金融信息保护技术规范》（JR/T 0171-2020）和《个人信息安全规范》的规定，实践中常见的方式是对用户个人信息按照内容进行分类，再依照个人信息的敏感程度，即相关个人信息遭到未经授权的查看或未经授权的变更后产生的影响和危害，对个人信息进行分级。

就应采取的安全措施而言，建议企业根据个人信息分级分类的结果，采取不同的安全技术措施，对于敏感程度较高的个人信息，建议采取更为严格的安全技术措施，以降低个人信息可能面临的风险。

就内部操作权限配置而言，参照《个人信息安全规范》第7.1a）条，合理的内部操作权限配置应符合最小授权的访问控制策略，使被授权访问个人信息的人员只能访问职责所需的最小必要的个人信息，且仅具备完成职责所需的最少的数据操作权限。

就从业人员管理而言，《个人信息保护法（草案）》明确要求个人信息处理者应定期对从业人员进行安全教育和培训，从教育和培训时间点看，宜进行新员工入职培训时，将个人信息安全作为教育和培训内容之一，在入职阶段就强化个人信息安全意识，后续定期开展个人信息安全教育和培训；从培训内容看，个人信息保护的相关法律法规规定、内部制度、操作流程等，特别是最新出台的规定和内部制度流程等的重要修订，应该纳入培训的内容；从培训对象看，这里的员工不应限于基层员工，而应是包含高层员工在内的全体员工，领导层高度重视、基层员工严格践行，方能更好地开展个人信息安全工作。

就制定并组织实施个人信息安全事件应急预案而言，《个人信息保护法（草案）》明确将“制定并组织实施个人信息安全事件应急预案”上升为个人信息处理者的义务。除制定并组织实施应急预案外，建议个人信息处理者参照《个人信息安全规范》第10条的要求，定期组织内部人员开展相关应急响应培训和应急演练，促使相关人员更好地掌握在应急处置时其岗位职责和应急处置策略、规程。

此外，本条第一款第六项留下了弹性空间，即“法律、行政法规规定的其他措施”，意味着如果法律、行政法规对个人信息保护者提出其他保护措施要求的，应依照其规定。

第五十一条 处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人，负责对个人信息处理活动以及采取的保护措施等进行监督。

个人信息处理者应当公开个人信息保护负责人的姓名、联系方式等，并报送履行个人信息保护职责的部门。

// 【解读】

本条明确了设置个人信息保护负责人的条件和履职信息公开要求。

《个人信息保护法（草案）》下的个人信息保护负责人同GDPR的数据保护专员（DPO）存在一定的区别。就本条而言，《个人信息保护法（草案）》以个人信息处理者处理个人信息的数量作为划分门槛，仅有处理个人信息达到国家网信部门规定数量的个人信息处理者才负有指定个人信息保护负责人的义务。

就职责来看，个人信息保护负责人的职责在于对个人信息处理活动以及采取的保护措施等进行监督。同时，个人信息处理者应当公开其姓名与联系方式等，并将相关信息报送相关监管部门。

仅从本条来看，《个人信息保护法（草案）》仅对个人信息保护负责人的设置提出了框架性的要求，而对于个人信息保护负责人的具体职责划分、任职要求、条件以及责任承担等问题，或有待网信部门后续制定详细的实施细则以进一步规范。从参考角度，《个人信息安全规范》第11.1条可以为个人信息保护负责人的设置提供详细参考。

第五十二条 本法第三条第二款规定的中华人民共和国境外的个人信息处理者，应当在中华人民共和国境内设立专门机构或者指定代表，负责处理个人信息保护相关事务，并将有关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门。

// 【解读】

本条明确要求在我国境外处理境内自然人个人信息的境外个人信息处理者应设立专门机构或指定代表负责个人信息保护相关事务并报送相关监管部门。

由境外机构于境内设立的专门机构或指定代表承担个人信息保护责任的规定曾见于《个人信息出境安全评估办法（征求意见稿）》第二十条，目的在于通过对境外个人信息处理者于境内设立的专门机构或指定代表的管辖而间接实现对境外个人信息处理者的管辖。可能有待需要进一步明确的是，此处的专门机构所指向的对象范围，即境外个人信息处理者的境内主体、子公司、关联公司等机构是否均可以作为此处的专门机构。

第五十三条 个人信息处理者应当定期对其个人信息处理活动、采取的保护措施等是否符合法律、行政法规的规定进行审计。履行个人信息保护职责的部门有权要求个人信息处理者委托专业机构进行审计。

// 【解读】

本条明确了个人信息处理者的个人信息安全审计要求。

相较于《个人信息安全规范》第11.7条规定的较为详尽的安全审计要求，《个人信息保护法（草案）》第五十三条仅对个人信息处理者的安全审计要求进行了原则性规定，要求个人信息处理者确保在日常运营和业务开展过程中的个人信息处理行为符合法律法规规定。

此外，从确保有效履职出发，本条规定了个人信息保护有权要求个人信息处理者委托专业机构进行审计，有助于推动审计工作的有效开展和提高审计工作的专业性。直白来说，有助于个人信息保护部门向公司申请委托专业机构进行审计的预算。这里的“专业机构”，从我们理解的角度，包括信息安全测评机构、律师事务所、会计师事务所等。

第五十四条 个人信息处理者应当对下列个人信息处理活动在事前进行风险评估，并对处理情况进行记录：

（一）处理敏感个人信息；

（二）利用个人信息进行自动化决策；

（三）委托处理个人信息、向第三方提供个人信息、公开个人信息；

（四）向境外提供个人信息；

（五）其他对个人有重大影响的个人信息处理活动。

风险评估的内容应当包括：

（一）个人信息的处理目的、处理方式等是否合法、正当、必要；

（二）对个人的影响及风险程度；

（三）所采取的安全保护措施是否合法、有效并与风险程度相适应。

风险评估报告和处理情况记录应当至少保存三年

// 【解读】

本条明确了个人信息处理者的事前风险评估义务。

《个人信息保护法（草案）》规定的事前风险评估义务同《个人信息安全规范》第11.4条规定的个人信息安全影响评估较为相似，相较于《个人信息安全规范》，本条明确规定了需要进行事前风险评估的个人信息处理活动类别，并提出了风险评估报告和处理情况记录应当至少保存三年的具体要求，为个人信息处理者开展个人信息事前风险评估指明了方向。

第五十五条 个人信息处理者发现个人信息泄露的，应当立即采取补救措施，并通知履行个人信息保护职责的部门和个人。通知应当包括下列事项：

（一）个人信息泄露的原因；

（二）泄露的个人信息种类和可能造成的危害；

（三）已采取的补救措施；

（四）个人可以采取的减轻危害的措施；

（五）个人信息处理者的联系方式。

个人信息处理者采取措施能够有效避免信息泄露造成损害的，个人信息处理者可以不通知个人；但是，履行个人信息保护职责的部门认为个人信息泄露可能对个人造成损害的，有权要求个人信息处理者通知个人。

// 【解读】

本条明确了发现个人信息泄露时个人信息处理者的补救和通知义务。

就补救义务的触发时点而言，只要个人信息处理者发现了该等信息泄露的情形，便应当立即采取补救措施；就义务的内容而言，主要表现为通知履行个人信息保护职责的部门和个人；就通知的内容而看，本条列举了泄露的原因、涉及的信息种类和可能造成的危害、已采取的补救措施、个人可以采取的减轻危害的措施以及联系方式。同时，《个人信息保护法（草案）》亦规定了可以不通知个人的例外情形，即个人信息处理者采取措施能够有效避免信息泄露造成损害的，以及例外情形的例外，即履行个人信息保护职责的部门认为个人信息泄露可能对个人造成损害的，个人信息保护部门有权要求个人信息处理者通知个人。

需要探讨的一个问题是，本条似乎无法规制个人信息处理者应当发现而没有发现个人信息泄露的情况，将“应当发现”纳入本条的规制范围，似乎能够更好地约束个人信息处理者。

下篇预告

就《个人信息保护法（草案）》的其余内容，笔者还将在本系列文章的最后一篇中以逐条解读的方式为大家分析，敬请关注。

点击阅读

《个人信息保护法（草案）》全文逐条解读（一）

《个人信息保护法（草案）》全文逐条解读（二）

《个人信息保护法（草案）》全文逐条解读（三）

The End

作者简介

刘新宇律师

上海办公室合伙人

业务领域：资产证券化与金融产品, 收购兼并, 诉讼仲裁