金鹏研究 |《个人信息保护法》解读，对比《通用数据保护条例》（GDPR）

近年来，以满足社会公众多元数据安全需求为目标的个人信息保护法律规范陆续出台。这些法律规范明确了个人信息安全保护的具体规则，增加了互联网企业合规经营管理的可操作性，增强了个人对互联网社会的了解和信任。本文以国内外个人信息保护的立法背景为依托，探讨国内外个人信息保护立法的发展过程，对比分析我国《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）与欧盟的《通用数据保护条例》（以下简称《GDPR》）之间联系与区别。并在此基础上简要解读《个人信息保护法》的基本原则、核心规则及特色亮点条文。

一、我国个人信息保护立法沿革

表1.国内与个人信息保护相关的法律及司法解释：

我国2009年全国人大常委发布的《刑法修正案（七）》首次在立法上提出了对个人信息的保护，《刑法修正案（七）》253条之一将出售、非法提供及窃取公民个人信息列为一个单独的罪名。随后，2016年出台的《中华人民共和国网络安全法》（以下简称《网络安全法》）对网络空间主权、国家安全、公共利益，私人合法权益的保护作出了明确规定。而2020年出台的《中华人民共和国民法典》（以下简称民法典）及2021年相继发布的《中华人民共和国数据安全法》（以下简称《数据安全法》）《个人信息保护法》等进一步对网络数据和个人信息作出了专项规定。并且还配套出台了与个人信息保护相关的司法解释及部门规章。如2017年最高法与最高检联合发布的《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》、2021年最高法发布的《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》等，对具体侵犯个人信息的违法行为作出了详细规定。表1是我国2009年以来发布与个人信息保护相关的重要法律及司法解释。

二、欧美个人信息保护立法沿革

表2.欧美地区与个人信息保护相关的法律法规：

欧美地区个人信息保护法的发展较我国更早，欧盟的个人信息保护立法可追溯到1995年欧盟发布的《数据保护指令》。《数据保护条令》是2018年欧盟发布的《GDPR》的前身。而《GDPR》作为国际最热门的数据保护法律规范之一，被各国各地区广泛接受和借鉴。我国的《个人信息保护法》也是在借鉴《GDPR》的基础上发展、完善的。为了促使《GDPR》顺利落地，欧盟近年颁布了一系列指南和措施配合《GDRR》的实施。如《GDPR同意指南》《数据保护影响评估指南》《自动化决策与画像指南》等，这些指南和措施为《GDPR》提供了具体的操作指引。配套落实政策加强了个人信息数据保护的可操作性，使个人信息处理者更加明确自己的责任和义务，也对企业数据合规起到了一定的指引和规范作用。

另外，美国在个人信息保护方面也颁布了不少专项的法律规定。主要有《加利福尼亚州消费者隐私保护法案》《加利福尼亚州消费者隐私保护法案实施条例》《联邦数据战略与2020年行动计划》等。美国个人信息保护立法的主旨及倾向性与中国、欧盟有显著的差异。我国和欧盟的个人信息保护主要以保护人格权为主，更偏向公法属性。而美国的个人信息保护更注重自由的表达和互联网企业的发展，更偏向私法属性。表2是欧美地区有关个人信息保护的部分重要立法文件。

三、《个人信息保护法》与《GDPR》的分析比较

（一）编排体例

表1.《个人信息保护法》（表中简称为PIP）与《GDPR》的编排大纲

《个人信息保护法》与《GDPR》的编排相似。二者都先概括了处理个人信息的主要原则和规则，再根据个人信息处理涉及的主体列举了个人与个人信息处理者的权利和义务。二者在第一章均对立法目的、适用范围、地域范围等方面作了基本的规定，且《GDPR》的一般性规定部分与《个人信息保护法》的总则及附则相对应；二者在中段也都明确了为各个主体的权利、义务及职责。

二者也有不同之处，《GDPR》在第九章到第十一章对特殊数据的处理、权力机关的权力划分、法案的法律效力等作为单独章节处理。有关如雇员信息、与公共利益相关的信息等特殊数据的处理，《GDPR》作了专章规定，而《个人信息保护法》则是将特殊数据的处理作为个人信息处理规则中的一部分。除此之外，由于欧盟是国际性组织，组织成员间常需要互相协调权利义务关系。所以，《GDPR》在最后两章规定了欧盟委员会及各成员国的权利范围和协调规则。

（二）个人基本权利

表2.《个人信息保护法》与《GDPR》中个人的主要权利

《个人信息保护法》与《GDPR》均明确规定了个人信息处理在每一个处理阶段的基本权利，这些权利涉及个人信息处理过程中的收集、使用、转移及清除等各个环节。《个人信息保护法》与《GDPR》虽然对每项权利都有明确规定，但前者并没有像后者将每项权利的内容进行详细的列举，而是分散在各个法律条文中。如《个人信息保护法》第四十四条规定，个人对其个人信息的处理享有知情权、决定权，有权限制或者拒绝他人对其个人信息进行处理。该条文仅阐述了个人享有限制或拒绝他人处理，并没有详细列举限制和拒绝的具体情形。而《GDPR》第18条限制处理权规定，详细列举了各种限制处理的具体情形以及处理方式。

（三）对未成年人的保护

表3.《个人信息保护法》与《GDPR》对未成年人的保护

《个人信息保护法》与《GDPR》都对未成年人的信息进行了特别保护。《个人信息保护法》将未满十四周岁未成年人的个人信息列为敏感个人信息，该法第二十八条规定只有具有特定目的和充分必要性时，采取严格的保护措施才能够处理未成年人的个人信息。除此之外，还需要取得监护人同意并制定专门个人信息处理规则。

《GDPR》的监护人同意规则值得我国借鉴。《GDPR》未成年人的信息保护的年龄范围和信息分类方式与我国《个人信息保护法》不同。《GDPR》将未成年人分为16周岁以上、13周岁至16周岁及13周岁以下三个年龄层次，将未成年人信息分类为社会服务信息与一般信息。《GDPR》第8条第1款规定：“如适用第6条第1款（a）项，关于直接向儿童提供信息社会服务的，对16周岁以上儿童的个人数据的处理合法。儿童未满16周岁时，处理只有在征得父母责任的主体同意情形下，或授权儿童同意的范围内合法。如低龄不低于13周岁，则成员国可以通过法律为那些目的向低龄提供。”《GDPR》第8条第2款规定“考虑到现有技术，数据处理者应尽力去核实监护人的同意或授权。”本文认为根据心智和年龄确定将每个年龄段未成年人的信息授权范围和处理用途可以更好地保护未成年人的个人信息。

（四）权利的救济

表4.《个人信息保护法》与《GDPR》对权利的救济方式

《个人信息保护法》与《GDPR》在权利的救济方式也有一定的差异。《个人信息保护法》主要采取民事与行政结合的方式对个人信息的数据处理过程进行规制。民事公益诉讼规则是《个人信息保护法》的一大亮点，它补足了个人与企业之间力量对比悬殊的差距。个人信息处理者违法侵害公众权益时，检察院、消费者组织及国家网信部确定的组织可以依法向法院提起诉讼。《GDPR》采用的是民事、行政及向监管机构申诉救济方式。向监管机构申诉是指向欧盟数据保护委员会、各成员国指定的监管机构等进行申诉。

四、《个人信息保护法》的评析

《个人信息保护法》是我国第一部系统、全面保护个人信息的专门性法律。《个人信息保护法》相较于《网络安全法》扩大了个人信息的保护范围。其不再采用列举式的方法列出详细的个人信息保护范围，而是以能够识别到具体的自然人为标准，将相关个人信息都纳入个人信息保护范围。

值得一提的是，为了能够更有效地保障公民的个人信息安全，特别规定的民事公益诉讼规则和过错推定责任。《个人信息保护法》也延续现代法公私法兼具的特征，不仅规定了民事侵权责任，也明确了行政处罚规则。

不仅如此，《个人信息保护法》还确立了个人信息处理者处理个人信息的基本原则。《个人信息保护法》要求个人信息处理者在处理个人信息时应当遵循合法、正当、必要和诚信原则，并且应有明确合理的目的。在处理个人信息是，仅限于处理的最小范围，不能够过度地收集。除此之外，还应当保证个人信息的治理，避免对个人权益造成不利影响。

同意告知规则也是 《个人信息保护法》的一大亮点。《个人信息保护法》详细规定了取得个人同意的标准、是否需要个人同意的情形。需要注意的是，无须取得个人同意的情形必须由法律明确规。《个人信息保护法》第十三条将六种处理个人信息的情形列为法定允许情形：为缔结劳动关系、履行法定职责、应对突发紧急事件、为公共利益、处理已合法公开的个人信息时方可进行个人信息处理。另外，第十八条也对法定保密、紧急避险的等特殊情形作了单独规定。

在处理个人信息过程中重要事项发生变更时，《个人信息保护法》也要求个人信息处理者必须重新取得个人同意或重新告知。处理目的、方式、种类发生变更时，应当重新取得个人同意。以下内容发生变化时，应当告知个人。包括处理者、处理者的名称和联系方式、个人信息的保存期限、个人权利行使方式和程序等。

同时，《个人信息保护法》规定了个人单独同意规则，着重于对公民的个人重要信息的保护。单独同意相当于特别授权，即个人对单项个人信息处理事项表达同意的意思表示。个人信息处理者处理个人重要信息、向其他处理者或境外提供个人信息、公开处理个人信息等情形应当取得个人的单独同意。  

《个人信息保护法》还规定了公民个人撤回同意权，赋予公民自由使用个人信息的权利。《个人信息保护法》第15条、第16条、第47条（三）项详细规定了个人撤回同意权的内涵、效力、行使方式。

五、关于个人信息保护的建议

今年我国新发布的个人信息保护方面的法律法规进一步加强了对企业数据合规的管理。网信办联合相关部门根据《个人信息保护法》、《数据安全法》等相关的法律发布了《互联网信息服务算法推荐管理规定》《网络安全审查办法》，增强了对互联网数据安全的保障。《互联网用户公众账号信息服务管理规定》《常见类型移动互联网应用程序必要个人信息范围规定》等规范性文件对各大网商平台提出了更高更明确的要求。

（一）企业数据合规管理建议

1

企业在数据合规管理中要持续关注个人信息保护法的立法动态和法律风向，及时依照相关法律法规更新企业名下APP使用协议，保证个人信息在使用及储存过程中的合法性。

2

对于有境内外数据流通的企业，特别要注意国内法与国际法间的规则变化，避免在数据进出口时发生不合法的处理行为。同时，我们也建议企业利用技术手段将不同地区的法律规定融合到数据处理的流程中，以保障跨境数据在收集、储存、使用等处理行为的合法性。

3

企业应及时对自身的数据合规管理工作进行自查，做好数据信息泄露的预防方案。企业既要预防泄露个人信息带来的涉诉风险，也要预防泄露个人信息而导致自身利益损害的风险。在日常的工作中企业还应当重点关注在处理个人信息过程中可能导致的信息泄露的风险，如果出现了泄露个人信息的情况，应当及时补救，防止给企业带来负面的社会舆论和严峻的法律惩罚。

（二）防范个人信息风险建议

1

普通用户要认真阅读APP上的同意告知书。大部分用户因为APP的同意告知书字小内容多而直接勾选同意，并不知道APP收集处理的个人信息内容。实际上，我们在阅读APP的同意告知书时，可以着重关注处理的个人信息范围、期间、用途等重要内容。

2

普通用户还应当有意识地将自己个人信息进行分类管理。互联网上信息、人群复杂，用户在使用互联网时应谨慎披露涉及重要隐私的信息，如生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等个人敏感信息。另外，用户可以减少使用不必要的个人身份信息，并定期清理废弃或闲置的电子产品的个人数据痕迹，同时，还应尽量避免使用不合法的APP和网站平台，防止不法分子通过该APP或平台收集并利用个人信息进行大额贷款或其他诈骗活动，导致用户自身可能将面对巨大的法律风险和经济损失。

3

在个人信息发生泄露时，要立即向个人信息处理者、监管部门、公安机关反映，避免因个人信息泄露而造成人身和财产损失。如果个人无法处理，也可以寻求行政机关和法律顾问的帮助。

结  语

个人信息保护是整个数据时代规制法体系中的重要一环，需要国家、社会与人民的共同努力。《个人信息保护法》对回应数据时代社会密切关注的数据安全保护具有重要的现实意义。

作者简介

辉腾律师团队是金鹏律所的一体化律师团队，创立于2013年，由从事法律实务工作近20年的合伙人、资深律师及优秀青年律师组成。团队以客户为中心，坚持专业化、标准化、流程化的工作理念；以“教学式工作、师徒式传帮带”为人才战略培养青年律师；以诉讼实务经验提高非诉顾问业务的风险防控能力；为客户提供私人律师、刑事诉讼、内控反舞弊、刑民交叉案件、企业顾问与商事诉讼等方面的综合法律服务。辉腾律师团队的成功案例连续三年获得广州市律师协会颁发的“业务成果奖”，优秀案例成功入选了中国司法部典型案例库。

▪ 往期推荐 ▪

全国优秀律师事务所

金鹏律师事务所成立于1993年，是广州第一家市属合伙制律师事务所，目前已发展成为华南地区最具规模的综合大型律师事务所之一，曾获全国优秀律师事务所、司法部律师行业创先争优活动示范点、广东省文明律师事务所、广州市十佳律师事务所，汤森路透ALB2021《亚洲法律杂志》中国区域市场排名十五佳华南地区本地律所等50多项荣誉称号。

深耕粤港澳

服务大湾区，沿着“一带一路”拓展

国内办公室

境外办公室

忠信勤勉      厚德重法