王成：个人信息保护立法的解读与建议

王成

北京大学法学院教授

个人信息立法涉及保护和利用两个基本方面。由于技术和市场有足够动力去利用个人信息，立法的主要任务应当是通过规范相关的利用行为来保护个人信息。个人信息在形式上被定位为民事利益，不仅对个人信息的保护没有实质影响，反倒容易导致个人信息相对不重要的误解。“个人信息权益”的措辞不符合我国立法传统，在以往正式法律中没有此类某种“人格利益”+“权益”的表述。个人信息保护法规范的是个人信息处理的“行为”而不是“活动”，旨在保护“信息主体”而非空泛的“个人”权利。个人信息保护法应当与《民法典》的规定相协调，坚持个人信息处理应遵循合法、正当、必要原则，处理未成年人个人信息须取得其监护人同意的年龄不应当限定为14周岁。个人信息保护法还应当增加关于个人信息处理安全原则和个人信息移转权的规定，并对信息处理者出现停业、破产等情形后的个人信息保护规则作出规定。

引言

《个人信息保护法（草案）》（以下简称为“草案”）于2020年10月向社会征求意见，意味着《个人信息保护法》走上了快车道。草案在《民法典》基础上，建构了我国个人信息保护的单行法律框架，具有重要意义。以下，结合草案规定，就个人信息保护立法中若干重要问题提出笔者的看法，供学界同仁批评，也供立法参考。

关于个人信息处理和保护的关系

个人信息规则制定涉及保护和利用两个矛盾的方面，需要在二者之间寻找平衡。个人信息保护的意义，无需再讨论。个人信息的利用，体现为个人信息的处理（《民法典》第1035条第2款、草案第4条第2款）。有合法正当的处理，也有不合法不正当的处理。个人信息保护和合法正当的处理，都具有积极意义。

个人信息的出现和产业化，是技术和市场的结果。技术和市场总是想法设法处理个人信息。各种新的处理会被不断地发掘出来，处于主动的一方面；个人信息的保护则处于被动的一方面，总需要应对各种新的问题。道高一尺魔高一丈。处理个人信息的背后是技术和市场的动力，属于魔的一面，法律无需去促进个人信息的利用。法律属于道的一面，其主要任务应当通过对个人信息处理进行合法适当的规范，实现保护个人信息的目的。

保护和利用的关系涉及到草案的第1条和第2条。

草案第1条中列举了四项立法目的，即“保护个人信息权益，规范个人信息处理活动，保障个人信息依法有序自由流动，促进个人信息合理利用”。这四项中的前两项已经足以涵盖个人信息保护和规范个人信息处理行为这两个主要方面。按照草案第4条第2款的界定，“流动”和“利用”是包括在“处理”之中的，因此后两项与第二项事实上是重复的。加之，流动和利用是技术和市场的行为，无需促进，技术和市场自然会有足够动力去发展。个人信息权利“保护”（权益保护）和个人信息处理活动（行为自由）是个人信息保护法的主要矛盾。如果在“规范个人信息处理活动”后紧接着再强调个人信息的“自由流动”和“合理利用”，无疑造成了“一对三”的局面，即过度强调个人信息的利用和处理，破坏了保护和规范利用之间的均衡。“有序自由流动”的措辞也值得斟酌。从草案全文来看，并没有体现“自由流动”的内容。凡流动皆需要有序，因此，“有序流动”和“自由流动”是矛盾的。“有序流动”和“合理利用”本身是个人信息处理活动获得法律保护的基础。

基于此，建议第1条修改为：“为了保护个人信息权益，规范个人信息处理活动，制定本法。”本条中还有两个重要的概念：“个人信息权益”和“个人信息处理活动”，也建议修改，稍后会讨论到。

草案第2条强调了个人信息受法律保护，建议同时增加对个人信息合法正当必要处理保护的规定。如前，个人信息的保护和合法正当处理都具有积极的方面，因此需要在二者之间寻找平衡。法律否定的是对个人信息不合法不正当的滥用和处理，法律肯定对个人信息进行合法正当必要的处理和利用。这两方面建议在第2条中都加以体现。强调对合法正当必要处理的保护，也就在宣示对不合法、不正当、不必要处理的否定立场，同时呼应了《民法典》第1035条确定的“合法、正当、必要”原则。

基于此，建议草案第2条修改为两款：“自然人的个人信息受法律保护，任何组织、个人不得侵害自然人的个人信息权益。”“合法、正当、必要的个人信息处理受法律保护。”

个人信息保护和利用的平衡，需要体现在具体规则里。匿名化后的信息是否属于个人信息、同意的撤回是否需要附条件等等，都是在权衡保护和利用的关系。

关于个人信息的定位

个人信息在私法上的定位争论已久。现在看来，《民法总则》第111条的定位，构成了此后《民法典》的障碍。《民法典》第111条和人格权编第六章的规定，构成了草案定位的障碍。

草案将个人信息定位为“个人信息权益”，笔者认为，此种定位还有进一步考虑的必要。主要理由如下：

（一）民事权利和利益的区分

民事权利和利益的区分有两种：实质上的区分和形式上的区分。

实质上的区分是《德国民法典》第823条、第826条以及台湾地区“民法”第184条的区分。实质上区分，即不仅在形式上区分民事权利和利益，更重要的是，在侵权法中为侵害民事权利和侵害利益设定了不同的责任构成规范。对民事利益的保护门槛要比对民事权利的保护门槛更高。在侵权法基本范畴的意义上，侵害权利时，更加倾向于权利保护；相对而言，侵害利益时，更加倾向于行为自由。

《最高人民法院关于确定民事侵权精神损害赔偿责任若干问题的解释》（法释〔2001〕7号）第1条也是在实质上区分民事权利和利益。侵害人格权利主张精神损害赔偿，只需要一般构成要件；侵害合法利益（隐私及其他人格利益）主张精神损害赔偿，则需要“违反社会公共利益、社会公德”。

形式上的区分，即只在形式上区分民事权利和利益，但这种区分并无实质意义。尤其是在侵权行为的构成上，并不区分侵害民事权利的构成和侵害利益的构成。《侵权责任法》、《民法总则》以及《民法典》都只是在形式上区分了民事权利和利益。实际上，《民法总则》之前，在全国人大及其常委会制定的法律中，并没有具体的民事利益类型。如前，只有在法释〔2001〕7号中出现过“隐私或者其他人格利益”的措辞，而这一定位并未体现在后来的《侵权责任法》中。

就《民法典》而言，尽管在总则编和人格权编区分了人格权利和利益，但是，在侵权责任编并没有如德国民法典和我国台湾地区民法那般就民事权利和利益规定不同的构成要件。《民法典》第1165条和第1166条作为一般条款，使用“民事权益”的措辞，使民事权利和利益在侵权责任编被等同对待。

（二）“个人信息权益”的表述不符合我国立法传统

“个人信息权益”的概念，由“个人信息”加“权益”二部分构成。前半部分是某种具体人格利益，后半部分表示定位。在《民法典》上，有三处“其他合法权益”的表述（第2条、第31条、第34条），但是没有这种“具体人格利益”加“权益”的表述。（ 在《民法典》中“权益”一词出现51次，其中29次“合法权益”，5次“财产权益”，7次“民事权益”，3次“人身权益”，1次“所有权人的权益”，1次“出资人权益”，2次“优先受偿权益”，1次“其他人格权益”，1次“无过错方权益”，1次“土地承包经营权中享有的权益”。）

“个人信息权益”的表述曾出现在《最高人民法院、国家发展和改革委员会关于为新时代加快完善社会主义市场经济体制提供司法服务和保障的意见》（法发〔2020〕25号）中。其中第23条要求：“贯彻落实民法典人格权编关于人格利益保护的规定，完善对自然人生物性、社会性数据等个人信息权益的司法保障机制，把握好信息技术发展与个人信息保护的边界，平衡好个人信息与公共利益的关系。”这里的个人信息权益更像一个概括总结性的概念，而不是具体的实指人格权意义上的概念。

在一些规范性文件中，曾经出现过某种“具体人格利益”加“权益”的表述。

“生命权益”出现2次：《民政部办公厅关于转发中国儿童福利和收养中心开展“婴儿安全岛”试点工作方案的通知》（民办函〔2013〕234号）；《民政部、公安部、财政部、劳动和社会保障部、建设部、卫生部关于进一步做好城市流浪乞讨人员中危重病人、精神病人救治工作的指导意见》（民发〔2006〕6号）。

“健康权益”出现多次：其中《全国人民代表大会教育科学文化卫生委员会关于第十二届全国人民代表大会第五次会议主席团交付审议的代表提出的议案审议结果的报告》9次；行政法规层面，比如《国务院办公厅关于推进医疗保障基金监管制度体系改革的指导意见》（国办发〔2020〕20号）等23次；司法解释6次；部门规章424次。

“荣誉权益”出现1次：最高人民法院指导案例99号“葛长生诉洪振快名誉权、荣誉权纠纷案”（2018年12月19日发布）。

“隐私权益”出现3次：《全国人民代表大会法律委员会关于第十一届全国人民代表大会第二次会议主席团交付审议的代表提出的议案审议结果的报告》（2009年12月26日第十一届全国人民代表大会常务委员会第十二次会议通过）；《十一届全国人大二次会议秘书处关于第十一届全国人民代表大会第二次会议代表提出议案处理意见的报告》（2009年3月12日第十一届全国人民代表大会第二次会议主席团第三次会议通过）；《全国人大法律委员会关于第十届全国人民代表大会第五次会议主席团交付审议的代表提出的议案审议结果的报告》（2007年12月29日第十届全国人民代表大会常务委员会第三十一次会议通过）。（值得注意的是，这三个报告都形成于《侵权责任法》制定过程中，最后通过的《侵权责任法》将“隐私权益”变成了“隐私权”。这一情况不知道是否适用于《个人信息保护法》。）

除上述之外，在立法机关通过的正式法律中，并没有此类某种“具体人格利益”加“权益”的表述。草案独创这一概念，其正当性需要充分论证。

（三）“个人信息权益”概念与《民法典》上“个人信息”的措辞不一致

草案使用“个人信息权益”的概念如何与《民法典》衔接，是一重要问题。草案将个人信息定位为民事权益，应当是顾及到《民法典》上个人信息的定位。但是，《民法典》使用的概念就是“个人信息”（第111条、第1034条及以下）。草案作为单行法，即使不完全是民事单行法，关于个人信息的定位也不应该与《民法典》相冲突。草案使用“个人信息权益”，与《民法典》上“个人信息”是什么关系？二者是一个意思还是两个意思？如果是一个意思，为何不用相同的措辞？是两个意思，二者的区分在哪里？就其本身而言，究竟是指“权利+利益”还是“利益”？

（四）使用“个人信息权益”会带来不好的社会观感

《民法典》总则编第五章规定了大量的人格权利，单单个人信息是“个人信息权益”，给社会的印象是个人信息远不如那些具体民事权利重要。按照这种相对不重要的逻辑，为何诸多具体民事权利都没有制定单独的规范，偏偏要给相对不重要的个人信息利益单独制定保护规范呢？单独制定《个人信息保护法》的正当性也会受到质疑。

（五）立法者似乎并不排斥个人信息的权利定位

《全国人民代表大会法律委员会关于<中华人民共和国民法总则（草案）>修改情况的汇报》（2016年10月31日）中，使用的是“个人信息权利”：“个人信息权利是公民在现代信息社会中享有的重要权利，明确对个人信息的保护对于保护公民的人格尊严，使公民免受非法侵扰，维护正常的社会秩序具有现实意义。”

《关于<中华人民共和国个人信息保护法（草案）>的说明》（2020年10月13日）中也提到：“在编纂民法典中，将个人信息受法律保护作为一项重要民事权利作出规定”。

草案不妨捅破这层《民法典》没有捅破的窗户纸，直接使用“个人信息权”，让个人信息堂堂正正地成为一种具体的人格权利。

关于个人信息保护法的规范对象

法律的规范对象包括主体和客体。草案第3条规定：“组织、个人在中华人民共和国境内处理自然人个人信息的活动，适用本法。”

（一）主体

法律上的主体无非就是组织和个人，但是组织、个人并非作为法律主体的属性描述。在《民法典》上，组织、个人就是法人、非法人组织和自然人（《民法典》第2条）。这种定位不限于《民法典》，其他以《民法典》为基础的法律都应当遵循此种界定。建议草案也采用法人、非法人组织、自然人的称谓。

即使采用法人、非法人组织、自然人的表述，第三条表述本身也无需主语。即没有主语也不会影响其意义表达。建议删去“组织、个人”。

此外，草案在提到个人信息主体的时候，使用的是“个人”一词。《民法典》人格权编第六章中使用的“自然人”一词（比如，第1034条、第1036条等）。相对而言，“自然人”比“个人”更要妥当。为了与《民法典》保持统一，建议将“个人”改为“自然人”。

使用“个人”描述信息主体，在措辞造成很多困扰。比如，草案第三条本身使用的就是“自然人个人信息”的表述。如果主体使用“个人”，“自然人个人信息”应该相应改为“个人个人信息”，这种措辞明显不通。第13条各项中同时出现了“个人”和“自然人”两个表述，尤其是第4项“自然人”的表述，显得颇为突兀。第14条前段规定：“处理个人信息的同意，应当由个人在充分知情的前提下，自愿、明确作出意思表示。”此处的个人似乎也有些不顺。其他多处地方都有此种情况。

《欧盟一般数据保护条例》（GDPR）使用的是“信息主体（the data subject）”的概念。《信息安全技术个人信息安全规范（GB/T35273—2020）》使用的是“个人信息主体（personal information subject）”。如果抛开照顾《民法典》既有规定的考虑，笔者认为，最妥当的是借鉴上述做法，将“个人”和“自然人”都改成“信息主体”。

（二）客体

草案将规范客体定位为个人信息处理者的“活动”。在既有法律中，也有使用“活动”的例子，比如，《保险法》《证券投资基金法》第1条中，均使用“活动”一词。但是，更多法律使用的是“行为”，比如《公司法》、《证券法》、《行政诉讼法》、《行政处罚法》、《行政强制法》、《行政复议法》、《银行业监督管理法》和《税收征收管理法》等。也有“活动”和“行为”混用的情况。比如，《民法典》中出现“活动”45次、“行为”289次。

草案第4条第2款规定：“个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等活动。”与本条呼应的《民法典》第1035条第2款的规定：“个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。”两相比较，《民法典》第1035条第2款中没有“活动”一词。尤其需要值得注意的是，随后的第1036条规定：“处理个人信息，有下列情形之一的，行为人不承担民事责任。”

可见，《民法典》人格权编第六章关于个人信息的规定，其规范对象是“行为”而非“活动”。由于第1035条没有出现“活动”一词，使得第1036条顺理成章出现“行为人”一词。而草案第4条第2款使用了“活动”一词，按同样逻辑对应的只能是“活动人”。事实上，草案第七章中，使用的又都是“行为”一词。比如草案第62条第2款“有前款规定的违法行为”、第63条“有本法规定的违法行为的”、第67条有“违反本法规定，构成违反治安管理行为的”等。这些“违法行为”所指向的就是前面用“活动”描述的各种情形。

就“活动”与“行为”二者而言，“活动”的社会生活事实描述意味较重，通常泛指系列行为而不指向某个具体的动作；而“行为”更加重视与人们意志相关的、具备法律意义的动作。因此，草案使用“行为”更合适。为了用词规范统一考虑，建议将第1条、第4条等条文中的“活动”统一改为“行为”。

关于个人信息处理的目的、方式和原则

（一）个人信息处理的目的、方式

草案第5条、第6条分别规定了个人信息处理的方式和目的。第5条规定“处理个人信息应当采用合法、正当的方式”；第6条规定“处理个人信息应当具有明确、合理的目的”。

笔者认为，应当先有目的、再有方式，因此，建议先规定目的，再规定方式。其次，正如第10条前段所规定的：“任何组织、个人不得违反法律、行政法规的规定处理个人信息”，目的和方式都首先应当强调合法。再次，目的应当强调合法、正当、明确、必要。不能基于非法、不正当目的处理个人信息，同时处理目的应当明确，处理个人信息应当限于实现处理目的的最小范围，不得进行与处理目的无关的个人信息处理。最后，方式应当强调合法、合理、正当。不得用欺诈、误导的方式处理个人信息。

（二）敏感个人信息处理的目的

草案第29条第1款规定：“个人信息处理者具有特定的目的和充分的必要性，方可处理敏感个人信息。”此处规定又涉及到个人信息的处理目的。本条目的应当意在强调：敏感信息的处理目的，限制应当更严格。但是，特定性和充分必要性，是从处理者角度说的，处理目的首先还是需要符合法律规定和信息主体的利益，因此，处理敏感信息，首先更应当合法、正当，其次才是目的特定和充分的必要性。合法、正当也是《民法典》第1035条确定的个人信息处理的原则。

基于此，建议第29条第1款修改为：“处理敏感个人信息的目的必须合法、正当、特定，且具有充分的必要性。”

（三）个人信息处理的原则

一部法律的原则，是整部法律的主基调，应当规定在法律开始。建议将草案基本原则的位置往前提。

草案第7条规定：“处理个人信息应当遵循公开、透明的原则，明示个人信息处理规则。”整个草案中仅本条中规定了处理个人信息应当遵循的原则，足见其重要意义。第5条尽管提到了诚信原则，但是其指称对象是“处理个人信息应当采用合法、公正的方式”。可见，从文义上明确规定为原则的，只有第7条。既然是原则，应当在整部法律中都要体现。但是公开、透明如何体现？是要求信息处理者的算法公开透明，还是要告知和征得同意？如果要求算法公开透明，可以想象很难实现。（参见左为民：《关于法律人工智能在中国运用前景的若干思考》，载《清华法学》2018年第2期；陈姿含：《人工智能算法中的法律主体性危机》，载《法律科学( 西北政法大学学报)》2019年第4期；李飞：《人工智能与司法的裁判及解释》，载《法律科学》2018年第5期；高奇琦、张鹏：《论人工智能对未来法律的多方位挑战》，载《华东科技大学学报》2018年第1期。张凌寒：《算法权力的兴起、异化及法律规制》，载《法商研究》2019年第4期。）

如果公开、透明原则体现的就是第7条后段的“明示个人信息处理规则”的话，不妨直接规定明示个人信息处理的规则是否更好。另外，明示个人信息处理规则，是否就是应当直接告知相关信息主体信息处理规则？如果是这样的话，建议在征得同意时，增加明确告知信息主体信息处理规则的内容。

需要注意的是，《民法典》第1035条第1款规定：“处理个人信息的，应当遵循合法、正当、必要原则，不得过度处理”。草案应当遵循这一原则。可以在草案第5条、第6条处理目的和方式之前，对第1035条规定的原则加以规定。草案第10条可以看作合法原则；另外，处理个人信息时，信息的安全是非常重要的。因此建议结合草案第9条的规定，将安全作为本法的原则。同时将第10条和第9条的规定移到第5条、第6条之前。

关于信息主体的同意

告知-同意是草案确立的信息处理的核心规则。（参见：《关于<中华人民共和国个人信息保护法（草案）>的说明》（2020年10月13日）。）

结合草案，有几个问题值得讨论。

（一）14周岁限制的合理性质疑

草案第15条规定：“个人信息处理者知道或者应当知道其处理的个人信息为不满14周岁未成年人个人信息的，应当取得其监护人的同意。”

草案确定的14周岁，其来源大概是《信息安全技术个人信息安全规范》（GB/T 35273—2017）。其中5.5规定：收集年满14的未成年人的个人信息前，应征得未成年人或其监护人的明示同意；不满14周岁的，应征得其监护人的明示同意。

之后的《儿童个人信息网络保护规定》（国家互联网信息办公室令第4号，2019年8月22日发布）第2条规定：“本规定所称儿童，是指不满14周岁的未成年人。”第9条规定：“网络运营者收集、使用、转移、披露儿童个人信息的，应当以显著、清晰的方式告知儿童监护人，并应当征得儿童监护人的同意。”

这一立场影响到了2020年10月17日修订的《未成年人保护法》，其第72条第2款后段规定，“处理不满14周岁未成年人个人信息的，应当征得未成年人的父母或者其他监护人同意，但法律、行政法规另有规定的除外。”

可见，我国似乎有形成以14周岁划定是否需要监护人同意的趋势。但是，按照1998年《儿童权利公约》的界定，所有18周岁以下的未成年人都是“儿童”。《儿童权利公约》第1条规定：“为本公约之目的，儿童系指18岁以下的任何人，除非对其适用之法律规定成年年龄低于18岁。”《民法典》第17条规定：“18周岁以上的自然人为成年人。不满18周岁的自然人为未成年人。”第18条第1款规定：“成年人为完全民事行为能力人，可以独立实施民事法律行为。”《民法典》规定18岁成年，与公约规定是一致的。为18周岁以下的未成年人设置监护制度，目的之一是为了防止其心智不成熟而使自己利益受到伤害。

“14周岁”的法律意义更多体现在刑事法律中：其一，14周岁是责任能力有无的划分标准。14周岁以下的，无刑事责任能力（《刑法》第17条）；其二，14周岁是妇女和幼女的区分标准（《刑法》第236条第2款“奸淫幼女罪”、第359条第2款“引诱幼女卖淫罪”）；其三，14周岁是涉及儿童（不满14周岁的未成年人）类犯罪和其他犯罪的区分标准。比如“拐骗儿童罪”（《刑法》第262条）、“组织儿童乞讨罪”（《刑法》第262条之一）。

GDPR第8条确定未成年人同意能力的年龄标准是16周岁，同时规定“各成员国可以以法律形式为实现前述目的设定更低的年龄界限，但是不得低于13周岁。”

笔者认为，虽然同意与行为能力不能完全挂钩，将同意分为积极利用和消极防御也非常有启发性，（参见陆青：《个人信息保护中“同意”规则的规范构造》，载《武汉大学学报（哲学社会科学版）》2019年第5期。）但是，究竟应当将多少岁确定为需要监护人同意的年龄，未必是逻辑推演问题，而应当需要实践经验来支持。

不精确的经验表明，14周岁到18周岁的未成年人，正是开始不断接触未知世界的年龄，看似懂了很多，但是在判断能力上难谓成熟，自信有余、谨慎不足；同时易冲动，易受到他人的蛊惑。由于接触未知世界的范围越来越广，这个年龄阶段的未成年人可能更容易受到伤害。同意个人信息处理，属于可能产生重要影响的事项，非常有必要由监护人把关。基于上述考虑，笔者建议将第15条规定与《民法典》的规定统一起来，去掉14周岁的限制。

（二）关于撤回同意

草案第16条规定：“基于个人同意而进行的个人信息处理活动，个人有权撤回其同意。”本条措辞似乎不符合一般表述习惯，容易引起误解。建议直接表述为：“信息主体有权撤回其同意”。GDPR第7条第3款规定，信息主体有权随时撤回其同意。同意的撤回不影响撤回前基于同意作出的信息处理的合法性。撤回同意应与作出同意同样容易便利。

借鉴这一规定，建议草案增加撤回前处理行为效力的规定。如果同意采用了书面等特殊方式，撤回也应当采取同样的方式，目的是为慎重、也为保存证据避免纠纷。当初是监护人作出的同意，如果撤回时信息主体仍未成年，撤回仍然应当由其监护人作出。未成年时由监护人作出的同意，信息主体成年后，可以撤回当初的同意。

至于信息主体是否可以随时撤回其同意。有观点认为，应区分侵权和合同两种不同语境加以分析。若对个人信息的同意并不直接涉及合同交易领域，而仅消极表达对他人行为违法性的排除，除非涉及公共利益等特殊情形，原则上可以随时撤回；而在合同领域，若同意他人处理个人信息是交易内容的组成部分，尤其是仅与个人信息的财产价值相关而并不直接影响当事人的人格发展，应当对当事人撤回或撤销同意加以限制，对作为合同相对人的数据处理者，应赋予主张损害赔偿的权利。（参见陆青：《个人信息保护中“同意”规则的规范构造》，载《武汉大学学报（哲学社会科学版）》2019年第5期。）

这一观点有启发意义。撤回是否需要附条件，是在权衡保护和利用的关系。能否随时撤回也和信息本身的敏感性有关。如果涉及极其敏感的个人信息，即使在合同领域，随时撤回也未必就完全不可以。就像租赁合同中，承租人一般情况下当然不能随意解除合同。但是租赁物危及承租人的安全或者健康的，即使承租人订立合同时明知该租赁物质量不合格，承租人仍然可以随时解除合同（《民法典》第731条）。

关于信息主体的告知义务

告知义务是信息主体的主要义务。

（一）关于告知的及时性

第19条第2款规定：“紧急情况下为保护自然人的生命健康和财产安全无法及时向个人告知的，个人信息处理者应当在紧急情况消除后予以告知。”

本条在处理紧急情况与告知之间的关系。出现紧急情况时，客观上不允许，可以暂时不告知，但是紧急情况消除后，就应当及时告知。因此，建议增加及时告知的内容，即最后一句修改为：“个人信息处理者应当在紧急情况消除后及时进行告知。”

（二）关于委托处理个人信息的告知

草案第22条规定了个人信息的委托处理。委托处理不仅涉及到委托人和受托人之间的关系，也会涉及到被处理信息的信息主体的利益。因此，在依据第13条第1项因同意而处理个人信息以及第2项因履行合同而处理个人信息的，应当将委托情况告知信息主体，并征得其同意。

建议第22条增加一款“委托处理个人信息的，应当将委托事项告知信息主体，并征得其同意。”

（三）关于敏感个人信息的告知

草案第31条规定：“个人信息处理者处理敏感个人信息的，除本法第18条规定的事项外，还应当向个人告知处理敏感个人信息的必要性以及对个人的影响。”从上述敏感个人信息处理目的的合法、正当、特定和必要角度考虑，告知时仅仅告知必要性和对个人的影响还是不够的。应当将处理个人敏感信息的法律依据、正当性、特定目的一并告知。同时，本条主语可以略去。对信息主体的影响，应当强调可能产生的负面影响。

综上，第31条建议修改为：“处理敏感个人信息时，除本法第18条规定的事项外，还应当向信息主体告知处理敏感个人信息的法律依据、正当性、特定目的、必要性以及对信息主体可能产生的负面影响。”

关于信息的准确、更新与匿名化

（一）关于信息的准确与更新

草案第8条规定：“为实现处理目的，所处理的个人信息应当准确，并及时更新。”

信息处理的理想状态，的确是处理及时更新的准确信息。但是，基于信息来源多种多样，信息处理的情况多种多样，信息处理随时都在进行，要想做到准确并及时更新，不是件容易的事情。在大数据的概念下，什么是准确的信息？什么人来判断信息是否准确？如何理解及时更新？尤其是，在经信息主体同意而处理信息的情况下，根据草案第14条第2款的规定，及时更新信息是否需要重新获得信息主体的同意？信息主体会在多大程度上同意自己的信息被信息处理者及时更新？

基于上述种种不确定性，建议将本条删除。

（二）关于信息的匿名化

草案第4条规定：“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息, 不包括匿名化处理后的信息。”这种立场与《网络安全法》第76条第5项、《民法典》第1034条第2款关于个人信息的界定不同。后二者都没有将匿名化处理后的信息排除在个人信息之外。信息匿名化是一个理想状态：信息被充分处理的同时无需担心信息主体的权益受到侵害。但是，这一理想是建立在匿名化不可逆的前提之下。信息匿名化不可能是一劳永逸的。至少从理论上来说，存在匿名化的技术，就可能存在被反转的技术。因此，希望经由匿名化实现信息处理和信息保护同时兼顾的理想状态，恐怕只是一个理想。

（一个非常著名的重新识别的实验是针对视频供应商Netflix的用户数据库进行的。这一数据库包括了大约500000用户对超过18000部电影的超过1亿份1-5的评级，公司根据其内部的隐私政策在进行匿名化处理后公开了这一数据库，其将除了评级和日期之外的全部用户识别信息移除，研究者们分析了这一数据库的几何特性(geometric properties)。这一匿名化处理通过轻微提高或降低评级来进行干扰。然而，实验发现，通过8部电影的评级和误差允许14天的评分日期作为标准，99%的用户可以被识别；如果降低标准(通过两部电影的评级和3天的误差)，68%的用户可以被识别。Narayanan, A., &Shmatikov, V.(2008, May). Robust de-anonymization of large sparse datasets. In Security and Privacy, 2008. SP 2008. IEEE Symposium on (pp.111-125). IEEE.转引自石丹：《欧盟数据保护工作组关于匿名化技术的意见》，载《互联网法律通讯》2016年第3期。）

《网络安全法》第42条第1款、《民法典》第1038条第1款都是仅将匿名化后的信息作为未经同意不得向他人提供信息的例外。草案第4条从界定上排除对匿名化后个人信息的保护，使得匿名化后的个人信息完全脱离《个人信息保护法》等法律的规范，意味着个人信息保护范围的重大变化，有釜底抽薪之效果。

草案第69条第4项规定：“匿名化，是指个人信息经过处理无法识别特定自然人且不能复原的过程。”依此界定，匿名化后的个人信息，从技术上是无法复原的。换言之，只有从技术上无法复原的信息才叫做匿名化的信息。

草案第24条第2款又规定：“个人信息处理者向第三方提供匿名化信息的，第三方不得利用技术等手段重新识别个人身份。”依此规定，匿名化后的信息，还是可以利用技术手段复原的，只不过法律限制复原。此处的匿名化信息与第69条关于匿名化的界定是不一致的。

第69条第4项与第24条第2款的规定应当统一起来。考虑到技术在不断发展进步，此时在技术上不能复原的个人信息，随着技术发展，彼时就可能变得可以复原。因此，不能复原，从技术上说只能是暂时性的。从法律上不能复原、禁止复原，则可以是永久性的，但是存在着违反的可能，一旦违反，造成损失即可能是无法挽回的。现有的案例和研究表明，建立完全匿名的数据集的同时又希望实现其预期的目的十分困难。（石丹：《欧盟数据保护工作组关于匿名化技术的意见》，载《互联网法律通讯》2016年第3期。）

鉴于此种考虑，应当将第69条第4项的不能复原限定为法律上不能复原、禁止复原。建议将第69条第4项修改为：“匿名化，是指个人信息经过处理无法识别特定自然人且禁止复原的过程。”

建议将草案第4条对个人信息的界定中对“匿名化处理后的信息”的排除删去。匿名化处理后的信息，从技术发展来说，很可能随时变得可以复原。法律上禁止复原的信息，依然应当算作个人信息。不应当将匿名化排除在个人信息保护之外作为原则。如果某些情况下数据的确可以确保不可逆，或者即使被再识别后，对信息主体的危害依然可控，则可以作为例外，进行列举性规定。（参见张建文、高悦：《我国个人信息匿名化的法律标准与规则重塑》，载《河北法学》2020 年第1期。）

关于国家机关对个人信息的处理

（一）国家机关处理个人信息适用法律的强调

草案第33条规定：“国家机关处理个人信息的活动适用本法；本节有特别规定的，适用本节规定。”草案第3条已经规定：“在中华人民共和国境内处理个人信息，适用本法。”国家机关处理个人信息自然也要适用本法，因此本条有冗余之嫌。作为强调，可以在本条中重复规定前半段。但是，本节有特定规定的，自然适用本节，这也是应有之义。

故此，本条后半段实属多余。否则，其他地方都需要加以类似规定。比如，第二章第二节规定的是敏感个人信息的处理规则，那就需要在本节中首先规定：敏感个人信息处理，适用本节规定。第三章规定的是个人信息跨境提供的规则，那就需要在第三章的开始就规定：个人信息跨境提供，适用本章规定。既然在第二章第二节及第三章中没有做特别规定，第33条中也没有必要规定。

（二）国家机关向境外提供个人信息的合法性和告知义务

草案第37条规定：“国家机关处理的个人信息应当在中华人民共和国境内存储；确需向境外提供的，应当进行风险评估。风险评估可以要求有关部门提供支持与协助。”本条规定国家机关向境外提供个人信息时需要进行风险评估，实属必要。但是，国家机关需要依法行政，向境外提供个人信息，首先需要有合法依据。其次，依据草案第35条的规定，国家机关处理个人信息，也需要征得信息主体的同意。基于此，向境外提供个人信息时，还需要告知信息主体其信息被向境外提供的合法依据、必要性，被提供到境外信息的种类、内容、范围，可能带来的负面影响，并征得个人信息主体的同意，除非法律规定可以无需征得同意。

综上，建议第37条规定修改为：“国家机关处理的个人信息应当在中华人民共和国境内存储；依法需要向境外提供的，应当进行风险评估。”

“国家机关应当将法律根据、必要性和信息的种类、内容、范围和可能带来的负面影响告知信息主体，并征得其同意。依法不需要告知或者同意的，不在此限。”

关于删除权及其例外

删除权是信息主体的重要权利。草案第47条第1款详细规定了需要删除的情形。值得注意的是，草案第2款规定了删除权的例外。

草案第47条第2款规定：“法律、行政法规规定的保存期限未届满，或者删除个人信息从技术上难以实现的，个人信息处理者应当停止处理个人信息。”此处“应当停止处理个人信息”的含义如何理解？尤其是“处理”该怎么样理解？

第47条规定的是个人信息处理者主动或者根据信息主体的请求删除个人信息。第1款规定的是应当删除个人信息的情形。相应地，第2款似乎应该规定不应当删除个人信息的情形。因此，“应当停止处理个人信息”是否是“可以不删除个人信息”的意思？如果是可以不删除个人信息，那么不删除个人信息的条件就是：“法律、行政法规规定的保存期限未届满，或者删除个人信息从技术上难以实现的”。但是，这两个条件都有讨论的余地。

首先，法律、行政法规规定的保存期限未届满。第47条第1款第1项规定：“约定的保存期限已届满或者处理目的已实现”时，应当删除个人信息。如果约定的保存期限与法律、行政法规规定的保存期限不一致时，该适用第1款第1项还是适用第2款？还有，法律、行政法规规定的保存期限未届满是否可以对抗第1款的所有情况？笔者认为，个人信息之所以能够由信息主体同意而处理，则意味着约定要优先于法定，包括约定的保存期限应当优先于法定的保存期限，除非法律有强制性规定，否则约定就没有任何意义了。

因此，第1款所规定的各种情形：即“（一）约定的保存期限已届满或者处理目的已实现；（二）个人信息处理者停止提供产品或者服务；（三）个人撤回同意；（四）个人信息处理者违反法律、行政法规或者违反约定处理个人信息；（五）法律、行政法规规定的其他情形”出现时，即使法律、行政法规规定的保存期限没有届满，但是有删除需要时，除非存在法律强制性规定，信息处理者仍应当予以删除。

其次，删除个人信息从技术上难以实现的。从技术上难以删除个人信息，是否就可以不删除？从逻辑上说，技术上难以删除，客观上是无法删除了。但是，这样的规定很可能变成信息处理者的借口，以技术的名义对抗要求其删除的主张。另外，此时技术上不能删除，彼时就可能变得可以删除；张三技术不能，李四技术则可能。因此，删除个人信息从技术上难以删除，必须要明确规定，并有相应措施加以制约。信息处理者技术上不能删除，应当解释为所有人的现有技术都无法删除，这种无法删除是可以被监督的。在无法删除个人信息时，信息处理者应当妥当保存，确保个人信息的安全。当技术发展使得删除变为可能时，信息处理者应当及时删除。

综合理解本条两款的规定，第47条第2款中“停止处理个人信息”应该是指停止除存储之外的收集、使用、加工、传输、提供、公开等其他信息处理行为。

可以将此处修改为：“删除个人信息从技术上难以实现的，应当采取措施妥当保存个人信息，避免给信息主体造成损害，造成损害的，应当予以赔偿。技术发展使删除可以实现时，信息处理者应当及时删除。”

关于个人信息风险评估与报告备案

（一）关于个人信息风险评估

草案第54条规定：“个人信息处理者应当对下列个人信息处理活动在事前进行风险评估，并对处理情况进行记录”。

对个人信息处理行为进行风险评估是非常必要和重要的。本条的内容值得赞同。此外，本条第2款规定：“风险评估报告和处理情况记录应当至少保存三年。”笔者认为，风险评估报告和处理情况记录至少保存三年的时间太短。目前的技术使得数据存储时间可以无限延长，因此，风险评估报告和处理情况记录无需设置保存期限，应当永久保存。

还有，任何评估报告都只是针对既有的材料和情况进行的，因此，材料和情况随着时间推移发生变化后，评估报告的结论就可能不再适用。一个风险评估报告无限有效，是不符合实际情况的。对于处理一般信息，第53条都要求进行定期审计，第54条规定的是处理敏感信息，要求应当比一般信息更为严格。基于此，建议为风险评估报告设定有效期。比如，风险评估报告的时效性为一定期限。同时可以规定，如果情况发生重大变化，应当及时进行新的风险评估。

（二）向境外传输个人信息需要报告备案

草案第51条规定了处理个人信息达到国家网信部门规定数量的个人信息处理者指定个人信息保护负责人并向有关机关报备的义务。

处理信息达到一定数量，意味着其处理能力和潜在造成损害的能力也大大增加。本条规定值得赞同。另外，处理信息达到规定数量，如果向境外传输个人信息，也应当就向境外传输个人信息的事项单独向有关部门报备。

因此，建议在本条中增加以下内容：“处理个人信息达到国家网信部门规定数量的个人信息处理者向境外传输个人信息的，应当向履行个人信息保护职责的部门报告，并根据第54条的规定进行事前风险评估。”

（三）关于资料更新的义务

草案第51条和第52条分别规定了个人信息处理者的资料报送义务：“个人信息处理者应当公开个人信息保护负责人的姓名、联系方式等，并报送履行个人信息保护职责的部门。”“并将有关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门。”

鉴于负责人或者代表的人选及其联系方式等总是处于变动之中，因此，应当规定个人信息处理者的资料更新义务。

建议在第51条、第52条中分别增加以下内容：“有关负责人或者代表的资料发生变动时，应当将变动情况及时报送履行个人信息保护职责的部门。”

关于信息主体行使权利的申请受理和处理机制

草案第49条规定：“个人信息处理者应当建立个人行使权利的申请受理和处理机制。拒绝个人行使权利的请求的，应当说明理由。”

既然处理个人信息需要征得信息主体同意，信息主体又可以撤回其同意，建立信息主体行使权利的申请受理和处理机制就非常必要。有几点建议：

第一，本条规定有些概括简单，建议规定更加具体，以增加操作性，避免信息处理者利用规定的概括简单，为信息主体行使权利设置不合理的障碍。

可以借鉴网络用户向网络服务提供者主张权利的情况。

《侵权责任法》第36条规定了被侵权人可以通过通知向网络服务提供者主张权利。《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》（法释〔2014〕11号）第5条规定，通知应当包括：（一）通知人的姓名（名称）和联系方式；（二）要求采取必要措施的网络地址或者足以准确定位侵权内容的相关信息；（三）通知人要求删除相关信息的理由。

尽管有上述如此详细的规定，在司法实务中曾经发生过如何构成有效通知的争议。被侵权人向网络服务提供者通过律师提交了通知。网络服务提供者要求进一步提供被侵权人的身份证复印件，被侵权人则认为身份证复印件属于个人隐私信息，不属于法律要求提供的资料。双方因此产生争议。

《民法典》第1195条、第1196条进一步细化了通知和转送的过程和条件。其中第1195条后段规定：通知应当包括构成侵权的初步证据及权利人的真实身份信息。如何理解“权利人的真实身份信息”？民法典没有进一步规定。

相对于《民法典》而言，《个人信息保护法》的规定应当更加具体可操作。建议本条规定明确信息主体行使权利的方式和程序。

第二，本条后段规定，“拒绝个人行使权利的请求的，应当说明理由”。这是否意味着，只要说明理由，就可以拒绝信息主体行使权利的请求？这一结论恐怕难以成立。为避免这一结论，应当对信息处理者拒绝信息主体行使权利设置更严格的限制。同时应当规定，无正当理由拒绝信息主体行使权利，给信息主体造成损害的，应当承担责任。

基于此，此处表述建议修改为：“有合法正当理由时，信息处理者可以拒绝信息主体行使权利的请求；无合法正当理由，不得拒绝信息主体行使权利。给信息主体造成损害的，信息处理者应当承担责任。”

关于个人信息泄露后的补救措施

草案第55条规定了个人信息泄露后如何采取补救措施。有几点问题值得讨论。

（一）区分个人信息泄露的报告和通知

本条第1款将“履行个人信息保护职责的部门和个人”并列，都是用“通知”一词。建议将“履行个人信息保护职责的部门”和“个人”分开，前者为“报告”，后者为“通知”，同时将“个人”改为信息主体。

（二）增加个人信息泄露报告和通知的时间要求

个人信息泄露后，瞬间就可能造成损害，而且，仅仅有信息处理者采取补救措施往往是不够的。需要有关部门和受到影响的信息主体同时立即采取补救措施。比如，信息被泄露的信息主体，需要立即采取修改相关密码，挂失等等措施。因此，报告和通知的时效性非常重要。只有在接到报告和通知后，有关部门和个人才可能采取相应的措施，最大限度避免损害的发生。草案中只规定信息处理者“应当立即采取补救措施”，而在通知部分没有关于通知时间的要求，在实施中可能会发生争议。

综合上述内容，建议修改后的第1款相应内容为：“个人信息处理者发现个人信息泄露的，应当立即采取补救措施，并应当立即报告履行个人信息保护职责的部门，同时立即通知有关信息主体。”

（三）关于个人信息泄露报告和通知的内容

草案第55条关于报告和通知的内容，第1项是“个人信息泄露的原因”，同时没有要求报告和通知“泄露的个人信息内容”。有关部门和信息主体首先关心的应当是到底泄露了什么，会造成什么危害，然后才是造成泄露的原因。

因此，第55条第1款第1项规定的报告和通知的内容，首先应当是所泄露的个人信息的内容和种类，然后才是危害和原因，因此第1项和第2项建议修改为：“（一）泄露的个人信息的内容、种类；（二）个人信息泄露可能造成的危害和泄露的原因”。

（四）关于个人信息处理者的选择通知

草案第55条第2款规定：“个人信息处理者采取措施能够有效避免信息泄露造成损害的，个人信息处理者可以不通知个人。”

此处规定建议删除，理由如下：

首先，信息主体是与其个人信息关系最密切的人，也是最可能受到个人信息影响的利害关系人。因此，在个人信息被泄露后，即使不通知有关部门，也需要通知有关信息主体。其二，如果将是否通知的权利交给信息处理者，按照人之本性，则非常有可能导致应该通知而不通知的情况，至少会产生巨大争议。其三，信息一旦泄露，是否造成损害，不是信息处理者能够决定的、也不是其采取措施就能够完全避免的。其四，信息一旦泄露，有些损害可能是在很短时间就造成，有些损害也可能需要很长时间才能够显现出来。信息处理者的判断不应当作为是否需要通知的根据。

综上，一旦发生个人信息泄露，信息处理者就应当立即通知信息主体，并且立即向有关部门报告。第55条第2款规定建议删除。

建议在草案中增加的内容

（一）增加关于个人信息处理安全原则的规定

关于个人信息处理安全原则的立法建议。安全是信息保护和利用的前提，作为原则，其理不证自明。

（二）增加关于个人信息移转权的规定

移转权是信息主体的重要权利，建议在草案中加以规定。

按照《携号转网服务管理规定》（工信部信管〔2019〕242号）第2条的规定，携号转网是指在同一本地网范围内，蜂窝移动通信用户（不含物联网用户）变更签约的基础电信业务经营者而用户号码保持不变的一项服务。据此，在网络服务商发生变更的情况下，用户原移动电话（手机号码）以及相关的个人信息可以移转到新的网络服务商数据储存器或云端设备中。这就是一种移转权。信息从旧手机移转到新手机，微博、微信、抖音等等都会涉及到个人信息移转的问题。建议草案中增加移转权的规定。

（三）增加关于个人信息处理者出现停业、破产等情形时个人信息保护规则的规定

个人信息处理者停业、破产等情形出现时，如何保障其处理的个人信息的安全和移转？

除国家机关外，信息处理者是市场主体。根据市场规律，市场主体就有生生灭灭。当信息主体者停业、破产等情形出现时，其处理的个人信息的安全如何保障，就会成为重要问题。

草案第47条第1款第2项规定，个人信息处理者停止提供产品或者服务，应当主动或者应信息主体的要求，删除个人信息。此处规定的停止提供产品或者服务，既包括主体存续而业务停止，也包括主体不再存续而业务停止。当主体存续而业务停止时，由于主体依然存在，其自身依然有动力和能力处理后续问题，监管部门也可以找到监管对象。当主体不再存续而业务停止时，信息处理者自身已经没有能力和动力处理后续问题了。信息处理者处理的个人信息如何删除、由何人继续接手等，都是问题。此时，监管部门将会面临更大的压力，信息主体的信息也面临巨大风险。故而，建议草案对此问题进行专条规定。