《个人信息保护法（草案）》全文逐条解读（五）

刘新宇等中伦视界 2022-03-20

作者：刘新宇宋海新吴豪雳

前言

在《个人信息保护法（草案）》全文逐条解读（一）、《个人信息保护法（草案）》全文逐条解读（二）、《个人信息保护法（草案）》全文逐条解读（三）、《个人信息保护法（草案）》全文逐条解读（四）中，我们为大家逐条解读了《个人信息保护法（草案）》前五章的规定。接下来，作为逐条解读系列的第五篇，我们将继续为大家解读《个人信息保护法（草案）》第六章至第八章的内容。

第六章履行个人信息保护职责的部门

第五十六条 国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。国务院有关部门依照本法和有关法律、行政法规的规定，在各自职责范围内负责个人信息保护和监督管理工作。

县级以上地方人民政府有关部门的个人信息保护和监督管理职责，按照国家有关规定确定。

前两款规定的部门统称为履行个人信息保护职责的部门。

// 【解读】

本条明确了履行个人信息保护职责的具体部门。

在中央层面，《个人信息保护法（草案）》明确了国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。网信部门在个人信息保护和相关监督管理方面已经积累了相当的实践经验，通过本条进一步明确其职能有助于建立集中统一高效的个人信息保护监管体系。同时，国务院各有关部门，包括工业和信息化部、公安部、中国人民银行等在各自职权范围内负责个人信息保护和监管工作，亦兼顾了各部门和各行业的差异性。在地方层面，《个人信息保护法（草案）》明确了由县级以上地方人民政府有关部门履行个人信息保护和监督管理职责。但实践过程中，如何厘清各部门之间的职责界限，有待进一步探索和明确。

第五十七条 履行个人信息保护职责的部门履行下列个人信息保护职责：

（一）开展个人信息保护宣传教育，指导、监督个人信息处理者开展个人信息保护工作；

（二）接受、处理与个人信息保护有关的投诉、举报；

（三）调查、处理违法个人信息处理活动；

（四）法律、行政法规规定的其他职责。

// 【解读】

本条规定了履行个人信息保护职责的部门的基本职责。

履行个人信息保护职责的部门包括开展宣传教育，指导监督个人信息保护工作，接受处理个人信息相关投诉举报，调查处理违法个人信息处理活动等。明确职责有利于后续个人信息保护工作的有序开展。

第五十八条 国家网信部门和国务院有关部门按照职责权限组织制定个人信息保护相关规则、标准，推进个人信息保护社会化服务体系建设，支持有关机构开展个人信息保护评估、认证服务。

// 【解读】

本条明确了中央层面履行个人信息保护职责的部门的特殊职责。

除履行第五十七条规定的基本职责外，国家网信部门和国务院有关部门等于中央层面履行个人信息保护职责的部门还应组织制定个人信息保护的相关规则和标准，推进个人信息保护社会化服务体系建设，并承担支持有关机构开展相关评估、认证服务的责任。

第五十九条 履行个人信息保护职责的部门履行个人信息保护职责，可以采取下列措施：

（一）询问有关当事人，调查与个人信息处理活动有关的情况；

（二）查阅、复制当事人与个人信息处理活动有关的合同、记录、账簿以及其他有关资料；

（三）实施现场检查，对涉嫌违法个人信息处理活动进行调查；

（四）检查与个人信息处理活动有关的设备、物品；对有证据证明是违法个人信息处理活动的设备、物品，可以查封或者扣押。

履行个人信息保护职责的部门依法履行职责，当事人应当予以协助、配合，不得拒绝、阻挠。

// 【解读】

本条规定了履行个人信息保护职责的部门履职时可以采取的措施。

明确相关部门可以采取的措施，一方面为相关部门实施的履职行为提供法律依据，使其在履职时有法可依，另一方面也有助于其履职过程中的行政相对人了解相关部门的职责范围，实现对相关部门履职行为的有效监督。

第六十条 履行个人信息保护职责的部门在履行职责中，发现个人信息处理活动存在较大风险或者发生个人信息安全事件的，可以按照规定的权限和程序对该个人信息处理者的法定代表人或者主要负责人进行约谈。个人信息处理者应当按照要求采取措施，进行整改，消除隐患。

// 【解读】

本条规定了个人信息保护监管的约谈制度。

与《网络安全法》第五十六条及《数据安全法（草案）》第四十一条类似，个人信息保护监管也将约谈制度法定化。实践中，在发现个人信息处理活动存在较大风险或发生个人信息安全事件的情形下，对涉事个人信息处理者进行约谈已经较为常见。但过往该等约谈的主要依据为《网络安全法》第五十六条，而该条文仅适用于通过网络开展的个人信息处理活动，无法触及线下个人信息处理活动所造成的风险或个人信息安全事件。《个人信息保护法（草案）》将约谈制度法定化，为针对个人信息处理活动的约谈提供了相应的法律依据。

但区别于《网络安全法》要求约谈主体为“省级以上人民政府有关部门”，本条同《数据安全法（草案）》第四十一条的规定相似，未明确主管部门的层级要求，如不加以必要限制可能会造成约谈制度的滥用。

第六十一条 任何组织、个人有权对违法个人信息处理活动向履行个人信息保护职责的部门进行投诉、举报。收到投诉、举报的部门应当依法及时处理，并将处理结果告知投诉、举报人。

履行个人信息保护职责的部门应当公布接受投诉、举报的联系方式。

// 【解读】

本条明确了个人信息保护相关的投诉、举报机制。

从举报主体看，任何组织和个人都可以进行举报，意味着用户、非用户、竞争对手、第三方测评机构、自媒体等都可以作为举报主体，有助于推动形成本法第十一条所称的“共同参与个人信息保护的良好环境”。

从受理部门来看，无论中央或是地方，只要是履行个人信息保护职责的部门都可以受理举报。

从举报处理来看，收到投诉、举报的部门应当依法及时处理并将处理结果告知投诉、举报人。若相应部门未能及时处理或未能将处理结果进行告知，可能需要承担相应的责任。

同时，本条亦强调履行个人信息保护职责的部门应履行行政公开义务，公开接受投诉、举报的联系方式。

同《数据安全法（草案）》第十一条类似，可能有待进一步完善的是，参照《网络安全法》第十四条，本条缺少了“不属于本部门职责的，应当及时移送有权处理的部门。有关部门应当对举报人的相关信息予以保密，保护举报人的合法权益”的规定。建议增加该等规定，以更好地推动投诉、举报处理流程的有序进行，保护投诉、举报人的合法权益。

第七章法律责任

第六十二条 违反本法规定处理个人信息，或者处理个人信息未按照规定采取必要的安全保护措施的，由履行个人信息保护职责的部门责令改正，没收违法所得，给予警告；拒不改正的，并处一百万元以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

有前款规定的违法行为，情节严重的，由履行个人信息保护职责的部门责令改正，没收违法所得，并处五千万元以下或者上一年度营业额百分之五以下罚款，并可以责令暂停相关业务、停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。

// 【解读】

本条明确了个人信息违法的法律责任。

《个人信息保护法（草案）》的一大亮点即在于借鉴了GDPR第83条的监管思路，通过较为严厉的处罚，大幅提高个人信息违法成本，体现了我国打击个人信息违法行为的决心。

尽管《网络安全法》第六十四条规定了针对个人信息违法行为的相关行政处罚，但就一般的个人信息侵权行为，其罚款金额上限为一百万元，对于企业而言，违法成本相对较低，惩治力度相对有限，对企业的威慑也比较小。本条在第1款延续了《网络安全法》第六十四条的规定的基础上，于第2款大幅提高了罚款上限金额，对于情节严重的个人信息违法行为，规定了五千万元以下或上一年度营业额百分之五以下罚款的罚款上限，并可以责令暂停相关业务、停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照，且可对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。

需要注意的是，计算罚金上限金额的基数是企业的上一年度营业额而非利润。违法成本的大幅提高，有利于更好地对企业起到警示作用，督促企业切实履行个人信息安全保护义务。

第六十三条 有本法规定的违法行为的，依照有关法律、行政法规的规定记入信用档案，并予以公示。

// 【解读】

本条明确了对个人信息违法行为人的信用惩戒制度。

类似条文可见《网络安全法》第七十一条及《电子商务法》第八十六条。对于企业而言，这意味着一旦发生个人信息违法行为，企业不仅将面临相应的索赔，可能亦将面临对其声誉的不利影响及潜在的舆情压力。这无形中提高了个人信息违法成本，有利于在社会层面起到普遍的警示作用。

第六十四条 国家机关不履行本法规定的个人信息保护义务的，由其上级机关或者履行个人信息保护职责的部门责令改正；对直接负责的主管人员和其他直接责任人员依法给予处分。

// 【解读】

本条规定了国家机关不履行个人信息保护义务的法律责任。

尽管《个人信息保护法（草案）》第二章第三节对国家机关处理个人信息时应履行的义务作出了特别规定，但本条并未将所指的个人信息保护义务限定于第三节中的相关条文。从文义理解，若国家机关作为个人信息处理者违反了本法第二章第三节和该节之外的其他条文规定的个人信息保护义务，均需要承担本条规定的法律责任。

第六十五条 因个人信息处理活动侵害个人信息权益的，按照个人因此受到的损失或者个人信息处理者因此获得的利益承担赔偿责任；个人因此受到的损失和个人信息处理者因此获得的利益难以确定的，由人民法院根据实际情况确定赔偿数额。个人信息处理者能够证明自己没有过错的，可以减轻或者免除责任。

// 【解读】

本条规定了个人信息侵权行为的民事责任。

就侵权损害赔偿的计算方式而言，本条与《民法典》第一千一百八十二条规定的侵害人身权益情形下的侵权损害赔偿计算方式基本一致，但删去了“被侵权人和侵权人就赔偿数额协商不一致，向人民法院提起诉讼的”的表述。

就归责原则来看，在《个人信息保护法（草案）》出台前，由于《侵权责任法》并未对个人信息侵权行为的归责原则进行特殊规定，实践中个人信息侵权案件只能依一般侵权适用过错责任，导致个人在诉讼中承担了过高的举证责任。虽然部分案件中法院对举证责任进行了一定的调整和突破，但此类突破尚缺乏充分的上位法依据。本条在归责原则的表述上，同《民法典》第一千一百九十九条、第一千二百三十八条、一千八百三十九条有一定相似性，似有明确个人信息侵权行为适用推定过错责任的意图。

可能引起争议的是，按照本条文义理解，即使个人信息处理者能够证明自己不存在过错，仍可能被要求承担相应的赔偿责任，对于个人信息处理者而言，所承担的义务要求可能相对过高。

第六十六条 个人信息处理者违反本法规定处理个人信息，侵害众多个人的权益的，人民检察院、履行个人信息保护职责的部门和国家网信部门确定的组织可以依法向人民法院提起诉讼。

// 【解读】

本条规定了个人信息公益诉讼制度。

公益诉讼制度见于《中华人民共和国民事诉讼法》（以下简称“《民事诉讼法》”）第五十五条，其规定“对污染环境、侵害众多消费者合法权益等损害社会公共利益的行为，法律规定的机关和有关组织可以向人民法院提起诉讼。”

从违法行为看，对于违反本法规定处理个人信息，侵害众多个人的个人信息权益的行为，可以提起公益诉讼。该等行为属于《民事诉讼法》规定的“损害社会公共利益的行为”，属于可以提起个人信息公益诉讼的情形。

从个人信息公益诉讼的提起主体看，《个人信息保护法（草案）》规定人民检察院、履行个人信息保护职责的部门和国家网信部门确定的组织可以作为公益诉讼的提起主体。实践中，人民检察院提起个人信息公益诉讼已较为普遍，[1]但该等个人信息公益诉讼多系基于《关于检察公益诉讼案件适用法律若干问题的解释》提起的刑事附带民事公益诉讼。若《个人信息保护法（草案）》落地，以法律的形式对个人信息公益诉讼的形式予以确认，或将扩大个人信息公益诉讼的适用范围，更好地保护公民的个人信息权益。对于“履行个人信息保护职责的部门”和“国家网信部门确定的组织”，有待进一步明确。

第六十七条 违反本法规定，构成违反治安管理行为的，依法给予治安管理处罚；构成犯罪的，依法追究刑事责任。

// 【解读】

本条明确了个人信息违法行为的治安管理处罚和刑事责任。

本条与《网络安全法》第七十四条第二款、《数据安全法（草案）》第四十八条基本一致，明确划分了个人信息违法行为可能引发的刑事责任及治安管理处罚。

第八章附则

第六十八条 自然人因个人或者家庭事务而处理个人信息的，不适用本法。

法律对各级人民政府及其有关部门组织实施的统计、档案管理活动中的个人信息处理有规定的，适用其规定。

// 【解读】

本条明确了特殊个人信息处理场景的法律适用。

本条第一款明确，“自然人因个人或家庭事务而处理个人信息的，不适用本法规定”，举例来说，小明为父母找了一个保姆（个人提供服务，未与任何公司建立劳动关系或劳务关系），为了保姆能够去到父母家，小明把父母的家庭住址提供给了保姆，应该不适用本法的规定。

本条第二款明确了各级人民政府及其部门因组织实施统计、档案管理活动而处理个人信息的，不适用《个人信息保护法（草案）》，而适用同统计、档案管理相关的法律规定。需要注意的是，这里的“规定”仅限于法律，不包括行政法规、规章和其他规范性文件。

第六十九条 本法下列用语的含义：

（一）个人信息处理者，是指自主决定处理目的、处理方式等个人信息处理事项的组织、个人。

（二）自动化决策，是指利用个人信息对个人的行为习惯、兴趣爱好或者经济、健康、信用状况等，通过计算机程序自动分析、评估并进行决策的活动。

（三）去标识化，是指个人信息经过处理，使其在不借助额外信息的情况下无法识别特定自然人的过程。

（四）匿名化，是指个人信息经过处理无法识别特定自然人且不能复原的过程。

// 【解读】

本条规定了《个人信息保护法（草案）》中的重要定义。

《个人信息保护法（草案）》中“个人信息处理者”的表述同《民法典》保持了一致，而从“个人信息处理者”的定义来看，基本同《个人信息安全规范》第3.6条“个人信息控制者”的定义一致，强调对个人信息处理目的、方式的“决定”。对于受托处理而无法决定处理方式和处理目的的主体，其不属于本法规定的个人信息处理者。

从“自动化决策”的定义看，《个人信息保护法（草案）》强调了其系“通过计算机程序开展的自动化活动”，并列举了具体的评估场景，包括对个人行为习惯、兴趣爱好或者经济、健康、信用状况的评估，均可纳入自动化决策的范围。

从“去标识化”和“匿名化”的定义看，均基本沿用了《个人信息安全规范》第3.14、3.15条对“匿名化”和“去标识化”的定义，仅删除了“或者关联”的表述。删除“或关联”的表述可能系基于同本法下“个人信息”定义的统一，并不必然意味着对“去标识化”和“匿名化”概念的放宽

第七十条 本法自年月日起施行。

// 【解读】

本条规定了法律的施行时间。

鉴于《个人信息保护法（草案）》尚处于征求意见阶段，正式施行日期有待立法正式通过后确定。

结语

虽有部分条文有待进一步探讨和调整，但总体来看，《个人信息保护法（草案）》仍是一部水平较高的立法。可以预见的是，后续《个人信息保护法》正式出台后，能够将我国个人信息保护工作推向前所未有的高度。让我们共同期待《个人信息保护法（草案）》的完善和正式出台！

[注]

[1] 参见“徐汇区院‘庭审直击’本市首例公民个人信息保护领域刑事附带民事公益诉讼”，载http://www.sh.jcy.gov.cn/xwdt/jcdt/56040.jhtml，2020年10月22日；“江苏省首例多人参与侵犯个人信息刑事附带民事公益诉讼案”，载https://xw.qq.com/cmsid/20200109A0CS6600，最后访问日期2020年10月22日；“亳州首例！侵犯公民个人信息，利辛县检察院提起刑事附带民事公益诉讼”，载http://www.ahlixin.jcy.gov.cn/jcyw/202003/t20200313_2791495.shtml，最后访问日期2020年10月22日。

点击阅读

《个人信息保护法（草案）》全文逐条解读（一）

《个人信息保护法（草案）》全文逐条解读（二）

《个人信息保护法（草案）》全文逐条解读（三）

《个人信息保护法（草案）》全文逐条解读（四）

The End

作者简介

刘新宇律师

上海办公室合伙人

业务领域：资产证券化与金融产品, 收购兼并, 诉讼仲裁

宋海新律师

上海办公室金融部