金桥法谈 | 个人信息保护的变化趋势

近几年以来，随着侵犯公民个人信息罪的案件数量频发，关于涉及“个人信息保护”的法律法规层出不穷，个人数据保护的立法掀起层层高潮。譬如，2017年6月1日起实施的《中华人民共和国网络安全法》、2019年08月22日颁布的《儿童个人信息网络保护规定》以及全国信息安全标准化技术委员会于2020年3月6日颁布的《信息安全技术个人信息安全规范》（GB/T35273-2020）等，都更进一步细化了个人信息数据的立法工作及其相关要求。

除此之外，备受万众关注的《个人信息保护法（草案）》（以下简称“草案”）也于2020年10月21日提请十三届全国人大常委会初次审议，有望在将来颁布实施。

而《草案》作为自《网络安全法》出台以来，是个人信息保护领域最重磅的一部法律，对运营的广大企业，尤其是涉及消费者业务的服务型企业，都提出了更加严峻的要求及挑战。例如，从规范企业个人信息处理的角度而言，《草案》不仅在第二章按照个人信息生命周期对企业提出一般性的要求，更在第五章直接对企业的义务进行规定。

但换个角度看，企业在该部法律框架下所面临的合规挑战其实也趋于明朗，本团队以《个人信息保护法（草案）》为中心，通过与上述几部法律法规的分析对比，现总结了较为突出的立法亮点如下。

《草案》规定了个人信息处理的七大基本原则：

合法性原则（第五条）、目的明确原则（第六条）、最小必要原则（第六条）、公开透明原则（第七条）、准确性原则（第八条）、可问责性原则（第九条）、数据安全原则（第九条）。这七大原则与既往的相关法律法规一脉相承，又有新的突破，对比如下表。

个人信息处理者要将信息处理过程中可能涉及的收集、存储、使用、加工、传输、提供、公开等各种行为及用途等告知个人，并向用户个人明示信息保护相关的投诉、举报机制等，不得对其隐瞒或欺诈。

（1）应当由个人在充分知情的前提下，自愿、明确作出意思表示（《草案》第十四条）；

（2）明知或应知处理未满十四周岁未成年人个人信息的，应取得其监护人的同意（《草案》第十五条）；

（3）个人有权撤回其同意（《草案》第十六条）；

（4）除非是提供产品或服务所必需，否则不得以个人不同意或者撤回同意为由，拒绝提供产品或服务（第十七条）。

相较于《网络安全法》和《民法典》，《草案》第十六条首次专门从法律层面规定了个人有权撤回同意的要求。当然，本条同时也划定了适用的范围限制，即“基于个人同意”情形下，如果不是基于个人同意而是依据《草案》第十三条第一款的其他情形处理个人信息，个人是无法撤回同意的。

从实践角度看，如果用户是通过《个人信息保护政策》等授权格式文本同意信息处理者处理其信息的，信息处理者应在其App等业务上开展客服等联系渠道。而用户个人，则可以通过联系信息处理者客服的方式撤回其对授权文本的同意。

换而言之，即如果用户个人不同意处理其个人信息或者撤回其对个人信息处理的同意，而相对应的个人信息是属于提供产品或服务所必需的，个人信息处理者可以拒绝提供产品或服务。但如果该个人信息不是提供产品或服务所必需的，则个人信息处理者不得拒绝提供产品或服务。

举例来说，在金融借贷场景下，收集使用用户的通讯录信息一般来说不属于提供金融借贷服务所必需的信息，用户不同意提供通讯录信息或者之前同意提供通讯录信息现在想要撤回处理通讯录信息的同意，金融机构不得以此拒绝提供金融借贷服务。

根据《草案》第二十九条至第三十二条的规定，敏感个人信息着重强调个人信息的歧视性后果或造成人身、财产安全的严重危害的后果，譬如“民族”、“种族”、“宗教信仰”等名词首次被《草案》明确列举，扩大了涉及“个人敏感信息”定义的范围。

此外，个人敏感信息还严格限制体现在：（1）处理前提是特定目的和充分的必要性；（2）基于个人同意处理的应获得单独同意或书面同意；（3）征得同意的告知事项增加告知处理敏感个人信息的必要性以及对个人的影响；（4）法律、行政法规规定处理敏感个人信息应当取得相关行政许可或者作出更严格限制的,从其规定。

作为个人信息权利极易遭到漠视和侵犯的缺口，向第三方提供和共享个人信息已逐步受到监管的严密关注。在《草案》第二十四条规定中，向第三方提供个人信息需要履行相当严格的义务，包括但不限于：（1）事先的充分告知和单独同意；（2）第三方受到严格的处理限制，且额外要求第三方不得对匿名化信息采取技术手段重新识别。

《草案》第五章明确了个人信息处理者的合规管理和保障个人信息安全等义务，要求其按照规定制定内部管理制度和操作规程，采取相应的安全技术措施（第五十条），并指定负责人对其个人信息处理活动进行监督（第五十一条），定期对其个人信息活动进行合规审计（第五十三条），对处理敏感个人信息、向境外提供个人信息等高风险处理活动，事前进行风险评估（第五十四条），履行个人信息泄露通知和补救义务等（第五十五条）。

根据《草案》第六十二条所规定的罚则标准[1]，其一方面承续了《网络安全法》第六十四条“处以一百万元以下罚款以及对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下”罚款的基本规定。

另一方面，规定了情节严重时高达五千万元以下或者上一年度营业额百分之五以下罚款，并可以责令暂停相关业务、停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款（第六十二条）。组织、个人的相关违法行为还会被记入信用档案并予以公示（第六十三条）。

此外，《草案》还规定了“公益”诉讼制度，个人信息处理者违反本法规定处理个人信息，侵害众多个人的权益的，人民检察院、履行个人信息保护职责的部门和国家网信部门确定的组织可以依法向人民法院提起诉讼（第六十六条）。这意味着更多的公权力将介入到个人信息保护的大环境中。

数据合规、个人信息保护、个人隐私保护必然是近几年的重点内容，越来越多的规定出台、越来越多公权力介入，使得企业合规的技术难度和外部压力大增。但以合规为行为准则是每个优秀企业之所必要。

供稿 | 郑鑫焱

编辑 | 小　盘