中国《个人信息保护法（草案）》首次审议

2020年10月13日，《个人信息保护法（草案）》终于在常委会第二十二次会议上提请审议。

我国个人信息保护力度不断加大，但现实生活中经营者利用个人信息侵扰人民群众生活安宁、危害人民群众生命健康和财产安全等问题仍十分突出，个人信息保护已成为广大人民群众最关心最直接最现实的利益问题之一。自2018年开始，十三届全国人大常委会已将制定个人信息保护法列入了立法规划，直至，掀开了神秘面纱。

一审草案共8章70条，内容总体上是继承、借鉴、吸收了国内外立法经验，对法律的适用范围、个人信息处理规则、个人信息跨境提供规则、个人信息处理活动中个人的权利和处理者义务、履行个人信息保护职责的部门、违法处理个人信息的法律责任等内容作出了具体规定。一审草案的很多内容极具开拓性，超出业界普遍预期，对未来立法及行业发展产生了影响较大。

【亮点一】定义关键法律术语

1. 个人信息：是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息；

2. 个人信息的处理：包括收集、存储、使用、加工、传输、提供、公开等活动。

【亮点二】赋予法律必要域外适用效力

以向境内自然人提供产品或者服务为目的，或者为分析、评估境内自然人的行为等发生在我国境外的个人信息处理活动，适用本法。

【亮点三】健全个人信息处理规则

1. 处理原则：

处理个人信息应当采用合法、正当的方式，具有明确、合理的目的，限于实现处理目的的最小范围，公开处理规则，保证信息准确，采取安全保护措施等，并将上述原则贯穿于个人信息处理的全过程、各环节。

2. 处理规则：

（1）“告知-同意”为核心的个人信息处理规则：处理个人信息应当在事先充分告知的前提下取得个人同意，并且个人有权撤回同意；

（2）敏感个人信息的处理：要求特定的目的+充分必要性+取得同意；

（3）个人信息的自动化决策（针对个性化推送）：要求决策透明+结果公平、个人自主参与。

【亮点四】完善个人信息跨境提供规则

1.特殊处理者（如关键信息基础设施运营者、处理个人信息达到国家网信部门规定数量的处理者）向境外提供个人信息应通过国家安全评估；其他跨境提供个人信息情形需经专业机构认证等。

2.为跨境提供个人信息设置了更为严格的“告知—同意”要求。对因国际司法协助或者行政执法协助，需要向境外提供个人信息的，要求依法申请有关主管部门批准；

【亮点五】明确相关主体权利义务

1. 个人信息处理过程中的个人权利：包括知情权、决定权、查询权、更正权、删除权等——个人信息处理者应建立个人行使权利的申请受理和处理机制。

2. 个人信息处理者的合规管理和保障个人信息安全义务：如制定内部管理规范、定期合规审计、事前风险评估、数据泄露通知和补救等。

【亮点六】突出网信部门统筹协调作用

个人信息保护涉及各个领域和多个部门的职责，但国家网信部门负责个人信息保护工作的统筹协调。

【亮点七】设定违法行为法律责任

1. 规定处理个人信息可能承担的法律责任包括：（1）民事赔偿；（2）行政责任：责令改正；没收违法所得；给予警告；处以罚款（情节严重时，个人信息处理者可被处罚五千万元以下或者上一年度营业额百分之五以下罚款，直接负责的主管人员和其他安全负责任人员也会被罚款）；责令暂停相关业务、停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照等。

2.违法行为将被记入信用档案，并予以公示。

对企业合规治理的影响

1.  企业应积极跟进最新立法动态，充分重视个人信息合规体系建设，评估业务场景中的潜在风险，否则将面临民事诉讼（包括公益诉讼）、巨额罚款和执照吊销等处罚，对企业经营影响重大，关乎企业业务可持续性，应予重视；

2. 对于企业可能构成个人信息共同控制者的情形，草案规定对外需要承担连带责任，因此企业需要注意在合作协议中明确约定内部责任，并要求对方采取信息安全保护措施；

3. 公众场所内企业开展视频采集及识别业务仅能出于公共安全目的，不得公开或者向他人提供个人信息，并应显著标识和获得个人信息主体的单独同意。

对数据产业发展的影响

1. 数据产业发展的法律依据进一步完善，《个人信息保护法》通过后将和《网络安全法》、正在审议的《数据安全法》成为数据领域的基本法律，前者聚焦数据隐私，后者聚焦数据安全，共同构建了数据保护和数据利用的整体性法律框架；

2. 数据企业需要平衡数据权利保护与数据开发利用的关系，不付成本便可进行数据处理的时代即将过去，有序、合规的竞争将成为未来数据处理业务的发展方向。

本文作者：M.AT，W.CW