实务视野 | 《个人信息保护法》（草案）的规范含义解读（下篇）

自2018年5月25日欧盟《一般数据保护条例》（“GDPR“）正式施行以来，受制于其全球管辖带来的网络主权危机，全球个人数据保护立法掀起层层高潮，美国、日本、新加坡、韩国、巴西、印度乃至阿联酋等国家都陆续完成了相关个人数据立法工作。作为全球最大的互联网市场，中国在法律层面一直没有出台针对个人数据的专门立法。万千企盼之下，《个人信息保护法》（草案）（“草案“）正式全文发布。

《个人信息保护法》（草案）全文共八章七十条，在总则、个人信息处理规则、个人信息跨境提供的规则、个人在个人信息处理活动中的权利、个人处理者的义务、履行个人信息保护职责的部门、法律责任和附则等多个层面设计和建构个人信息保护的立法框架。作为数据合规行业的资深从业者，我们最为关注的是与现有的个人信息保护规范体系，特别是标准GB/T 35273—2020《信息安全技术   个人信息安全规范》（以下简称《个人信息安全规范》）相比，《个人信息保护法》对于数据合规实务方面产生的重大影响。本文之目的亦在于从企业风控合规的实操角度观察《个人信息保护法》（草案）可能对实务工作发生影响的以下【23】个重要条款。昨天本公号已发布第1-12个重点条款的解读【请参阅：实务视野 | 《个人信息保护法》（草案）的规范含义解读（上篇）】，今天与大家分享第13-23的条款解读：）

第一章 总则部分

1.  个人信息的定义采用宽入口设计

2.  适用范围采用属地属人双重适用原则

3.  重要原则新增合法正当诚信原则、质量原则和协同治理原则

第二章 个人信息处理规则

4.  新增处理信息的六大合法理由，且基于同意理由的处理需要赋予用户撤回同意的权利

5.  同意的形式要件新增“单独同意”

6.  新增豁免告知的法定情形

7.  “共同处理”替代了“共同控制”概念，并将二者共同推向责任承担的前台

8.  向第三方提供的告知同意要求更为严格，匿名化信息不得重新识别

9.  自动化决策及其营销使用场景合并规制，逻辑更加通顺

10.   公开个人信息及使用公开的个人信息的特别限制

11.   新增公共场所采集图像的特别安排

12.   设专节对处理敏感个人信息作出严格限制

第三章 个人信息跨境提供的规则

13.   捋顺了个人信息跨境提供需要满足的前提条件

14.   国际执法协助扩展至行政执法协助，新增个人数据管制和反制条款

第四章 个人在个人信息处理活动中的权利

15.   个人信息主体权利的全面构建

第五章 个人信息处理者的义务

16.   强调信息专员制要求，建立负责人报送备案机制

17.   建立境外个人信息处理者的沟通路径

18.   DPIA强制义务场景具象化

第六章 履行个人信息保护职责的部门

19.   个人信息保护职责部门的定义、层级及职责范围更加清晰

20.   推动标准和认证体系建设

第七章 法律责任

21.   显著提高行政责任处罚标准

22.   明确了民事责任法定赔偿制度，明确采用过错推定责任原则

23. 公益诉讼制度浮出水面

第三章 个人信息跨境提供的规则

捋顺了个人信息跨境提供需要满足的前提条件

在原有个个人信息保护体系下，个人信息跨境提供的规则难以捉摸。《草案》对个人信息跨境需要满足的必要前提进行了整合，并将向个人主体的告知和获取个人主体的单独同意作为另一必要前提条件。

此外，除了关键信息基础设施运营者应当将在中国境内收集和产生的个人信息存储在境内外，处理个人信息达到国家网信部门规定数量的个人信息处理者，同样也受到了前述境内存储约束。二者若确需向境外提供个人信息的，应当通过国家网信部门组织的安全评估。

“第四十条 关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估；法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定。”

国际执法协助扩展至行政执法协助，新增个人数据管制和反制条款

出于在全球数据治理博弈中对中国个人数据主体和数据主权的保护，也出于在国际关系中取得微妙的平衡，本次《草案》首次创制了对个人数据的管制和反制条款，具体体现的措施为将管制和反制对象列入限制或禁止个人信息提供的清单。管制和反制的适用条件也进行了严格限制。其中管制的对象为：从事损害了中国数据主体权益或危害中国国家安全、公共利益的个人信息处理活动的境外机构和个人；而反制的对象则是：对中国采取歧视性的禁止、限制或者其他类似措施的国家和地区。

“第四十一条 因国际司法协助或者行政执法协助,需要向中华人民共和国境外提供个人信息的,应当依法申请有关主管部门批准。

中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息有规定的,从其规定。

第四十二条 境外的组织、个人从事损害中华人民共和国公民的个人信息权益,或者危害中华人民共和国国家安全、公共利益的个人信息处理活动的,国家网信部门可以将其列入限制或者禁止个人信息提供清单,予以公告,并采取限制或者禁止向其提供个人信息等措施。

第四十三条 任何国家和地区在个人信息保护方面对中华人民共和国釆取歧视性的禁止、限制或者其他类似措施的,中华人民共和国可以根据实际情况对该国家或者该地区采取相应措施。”

第四章 个人在个人信息处理活动中的权利

个人信息主体权利的全面构建

与原有的个人信息保护体系相比，《草案》对于个人信息主体权利进行了梳理和汇总，从8个方面赋予个人信息主体权利：(1)知情权（透明原则的权利落地）；(2)决定权；(3)限制权；(4)拒绝权；(5)查阅、复制权；(6)更正、补充权；(7)删除权；(8)规则解释权。

在备受关注的删除权方面，《草案》对个人信息处理者提出了一项类似“行为中止”的删除权救济保障，即，如果个人信息主体要求行使删除权但实际上保存期限尚未届满，或技术上存在很大困难的，则个人信息处理者应当中止/停止处理个人数据以作为对用户删除权的救济。

“第四十四条 个人对其个人信息的处理享有知情权、决定权,有权限制或者拒绝他人对其个人信息进行处理；法律、行政法规另有规定的除外。

第四十五条 个人有权向个人信息处理者查阅、复制其个人信息；有本法第十九条第一款规定情形的除外。

个人请求查阅、复制其个人信息的,个人信息处理者应当及时提供。”

第四十六条 个人发现其个人信息不准确或者不完整的,有权请求个人信息处理者更正、补充。

个人请求更正、补充其个人信息的,个人信息处理者应当对其个人信息予以核实,并及时更正、补充。

第四十七条 有下列情形之一的,个人信息处理者应当主动或者根据个人的请求,删除个人信息：

(一)    约定的保存期限已届满或者处理目的已实现;

(二)    个人信息处理者停止提供产品或者服务;

(三)    个人撤回同意;

(四)    个人信息处理者违反法律、行政法规或者违反约定处理个人信息;

(五)    法律、行政法规规定的其他情形

法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的，个人信息处理者应当停止处理个人信息。

第四十八条 个人有权要求个人信息处理者对其个人信息处理规则进行解释说明。

第四十九条 个人信息处理者应当建立个人行使权利的申请受理和处理机制。拒绝个人行使权利的请求的，应当说明理由。”

第五章 个人信息处理者的义务

强调信息专员制要求，建立负责人报送备案机制

《草案》强调负责人监督管理职责以及责任人个人姓名和联系方式的对外披露要求，个人信息保护责任负责人的设置条件（即处理个人信息数量级别）根据国家网信部门的规定。另外需要注意的是本次《草案》要求个人信息处理者应将个人信息保护负责人的相关联络性信息报送履行个人信息保护职责的部门，该等向政府的强制性报备机制的操作方式有待明确。另外，此次立法层面只是固化了《个人信息安全规范》中负责专员的机制，但没有强制、个人信息保护工作机构的部门设置要求，为中小企业在部门架构设置进行缓冲。

第五十一条 处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人，负责对个人信息处理活动以及采取的保护措施等进行监督。

个人信息处理者应当公开个人信息保护负责人的姓名、联系方式等，并报送履行个人信息保护职责的部门。

建立境外个人信息处理者的沟通路径

针对中国境外个人信息处理者活动的监管沟通路径，《草案》要求设立境内专门机构或指定境内代表，并要求履行沟通渠道的报送义务，该项规定弥补了一直以来针对境外机构监管的敞口，与《草案》的域外管辖扩展落地直接呼应，也是与欧盟GDPR等域外个人信息保护法的机制保持一致性的对等要求。因此，对于可能触发《草案》适用的外国组织应做好中国境内机构或指定代表的准备。

第五十二条 本法第三条第二规定的中华人民共和国境外的个人信息处理者，应当在中华人民共和国境内设立专门机构或者指定代表，负责处理个人信息保护相关事务，并将有关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门。

DPIA强制义务场景具象化

高风险处理活动评估（DPIA）是是个人信息处理者合规经营持续化自主运转以及满足自证要求的最重要渠道之一。但此前，我国DPIA的规定处于《个人信息安全规范》非强制性标准级别，大多数企业也未将评估作为必备内控手段。《草案》此次将DPIA要求提升至法律强制性要求，对于企业内部合规制度建设提出更严格要求。相比《个人信息安全规范》 存在的“高风险”性笼统场景性规定（产品或服务发布前、业务功能发生重大变化时、法律法规有新的要求时、业务模式、信息系统、运行环境发生重大变更时、发生重大个人信息安全事件时），《草案》提出的强制性DPIA要求则从更加具体化的处理活动为出发点 --- 处理敏感个人信息、利用个人信息进行自动化决策、委托处理个人信息、向第三方提供个人信息、公开个人信息、向境外提供个人信息，对于处理者来说DPIA的遵循执行上《草案》减少内部判断繁琐和不确定性风险。另外，对于风险评估报告和处理情况记录保存时间提出了至少三年的期限性要求，也应作为企业档案保管制度新变化点。

第五十四条 个人信息处理者应当对下列个人信息处理活动在事前进行风险评估，并对处理情况进行记录:

(一)处理敏感个人信息；

(二)利用个人信息进行自动化决策；

(三)委托处理个人信息、向第三方提供个人信息、公开个人信息；

(四)向境外提供个人信息；

(五)其他对个人有重大影响的个人信息处理活动。

风险评估的内容应当包括:

(一)个人信息的处理目的、处理方式等是否合法、正当必要；

(二)对个人的影响及风险程度；

(三)所采取的安全保护措施是否合法、有效并与风险程度相适应。

风险评估报告和处理情况记录应当至少保存三年。

第六章 履行个人信息保护职责的部门

个人信息保护职责部门的定义、层级及职责范围更加清晰

《草案》下，个人信息保护职责部门的层级划分及职责范围如下表所列；履行个人信息保护职责的部门的具体职责主要包括：(1)宣导和监督；(2)受理投诉和举报；(3)调查处理违法个人信息处理活动。

“第五十六条 国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。国务院有关部门依照本法和有关法律，行政法规的规定在各自职责范围内负责个人信息保护和监督管理工作。

县级以上地方人民政府有关部门的个人信息保护和监督管理职责，按照国家有关规定确定。

前两款规定的部门统称为履行个人信息保护职责的部门。”

第五十七条 履行个人信息保护职的部门履行下列个人信息保护职责：

(一)开展个人信息保护宣传教育，指导、监督个人信息处理者开展个人信息保护工作；

(二)接受、处理与个人信息保护有关的投诉、举报；

(三)调査、处理违法个人信息处理活动；

推动标准和认证体系建设

与《网络安全法》重视标准建设的原则一致，《草案》在“”履行个人信息保护职责的部门”专章中设有专门条款强调其标准建设的工作职能。同时，《草案》将个人信息保护评估、认证服务纳入到个人信息保护社会化服务体系建设当中，呼应了重要原则中的“协同治理原则”，但哪些机构有权开展、开展流程以及认证结论的时效性等问题仍有待关注具体的实施细则如何确定。

“第五十八条 国家网信部门和国务院有关部门按照职责权限组织制定个人信息保护相关规则、标准，推进个人信息保护社会化服务体系建设，支持有关机构开展个人信息保护评估、认证服务。”

第七章 法律责任

显著提高行政责任处罚标准

在《草案》草案中，行政责任的处罚标准在延续原有的《网络安全法》的百万处罚标准基础上，新设了“情节严重”的处罚标准，并将单位罚金提高至“五千万元以下或者上一年度营业额百分之五以下”，直接负责的主管人员和其他直接责任人员罚金提高至“十万元以上一百万元以下”，并同时可导致业务暂停乃至“吊销相关业务许可”的严厉处罚。

该处罚明显借鉴了GDPR中2000万欧元或者企业上一年度全球营收的4%（两者取其高）罚款的严厉处罚思路，也反映了监管对于整肃个人信息处理市场、打击违法处理个人信息的决心。

第六十二条 违反本法规定处理个人信息，或者处理个人信电未按照规定采取必要的安全保护措施的，由履行个人信息保护职责的部门责令改正，没收违法所得，给予警告;拒不改正的，并处一百万元以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

有前款规定的违法行为，情节严重的，由履行个人信息保护职责的部门责令改正，没收违法所得，并处五千万元以下或者上一年度营业额百分之五以下罚款，并可以责令暂停相关业务、停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。

明确了民事责任法定赔偿制度，明确采用过错推定责任原则

民事责任赔偿制度一直是个人信息保护中的弱项，《草案》规定的民事责任赔偿制度非常类似知识产权中的“法定赔偿制度”。即，可证明损失或获益的，以具体损失或获益承担赔偿责任；难以计算损失或获益的，由人民法院酌定赔偿数据。可见，与知识产权法定赔偿制度的由来一致，个人信息侵权赔偿亦存在权利性质的特殊性和损失难以计算的属性，同时笔者也相信，在该具体条款的适用中，也将面临与知识产权法定赔偿条款雷同的困难，诸如如何证明已经满足适用法定赔偿的前提，侵犯个人信息主体多项权利时如何计算法定赔偿额，各区域是否存在统一的赔偿量化标准等，届时我们亦将拭目以待具体的落地细则如何解决实际操作中可能存在的困难。

同时需要注意的是，《草案》明确个人信息民事侵权赔偿适用过错推定原则。根据《民法典》第1165条的规定，“行为人因过错侵害他人民事权益造成损害的,应当承担侵权责任。依照法律规定推定行为人有过错,其不能证明自己没有过错的,应当承担侵权责任。”对于个人信息处理者来说，过错推定原则的适用意味着个人信息处理者必须时刻注意履行“自证合规”义务，在日常的处理活动中严守合规制度，并做好相应的记录和存证。

“第六十五条 因个人信息处理活动侵害个人信息权益的，按照个人因此受到的损失或者个人信息处理者因此获得的利益承担赔偿责任；个人因此受到的损失和个人信处理者因此获得的利益难以确定的，由人民法院根据实际情况确定赔偿数额。个人信息处理者能够证明自己没有过错的，可以减轻或者免除责任。”

公益诉讼制度浮出水面

《草案》提出个人信息权益保护的公益诉讼制度。如同《民事诉讼法》中对公益诉讼主体的定义，“人民检察院、履行个人信息保护职责的部门和国家网信部门确定的组织”仍是一个未见踪影却被寄予厚望的机构，但不可否认的是，公益诉讼制度的提出意味着监管当局已经注意到了广大公民个人信息遭受侵犯而无力承担诉讼成本的现状，而我们也相信该现状将在近年内从多个层面得到有力遏制。

“第六十六条 个人信息处理者违反本法规定处理个人信息。侵害众多个人的权益的，人民检察院、履行个人信息保护职责的部门和国家网信部门确定的组织可以依法向人民法院提起诉讼。”

北京德和衡律师事务所

网络安全和数据合规团队

吴沈括

北京德和衡律师事务所高级顾问

wushenkuo@deheng.com

北京德和衡律师事务所合伙人

xinxiaotian@deheng.com

史  蕾

北京德和衡（深圳）律师事务所合伙人

shilei@deheng.com

北京德和衡律师事务所合伙人

zhouyang@deheng.com

系列回顾

实务视野 | 《个人信息保护法》（草案）的规范含义解读（上篇）

一图读懂《中华人民共和国个人信息保护法（草案）》

上周回顾

往期回顾