2021年8月20日，第十三屆全國人民代表大會常務(wù)委員會第三十次會議通過《中華人民共和國個(gè)人信息保護(hù)法》（以下簡稱“《個(gè)人信息保護(hù)法》”）。自2020年10月以來，《個(gè)人信息保護(hù)法》歷經(jīng)三次審議與修訂后，將于2021年11月1日正式施行。

　　1. 背景介紹

　　1.1 發(fā)布背景

　　最新數(shù)據(jù)顯示：2020年中國網(wǎng)民總體規(guī)模已占全球網(wǎng)民的五分之一，2020年中國網(wǎng)民規(guī)模為9.89億人。而互聯(lián)網(wǎng)網(wǎng)站443萬個(gè)，手機(jī)應(yīng)用程序數(shù)量302萬款。2021年以來，國家網(wǎng)信辦對地圖導(dǎo)航、運(yùn)動(dòng)健身、短視頻等十多種類型的手機(jī)應(yīng)用程序進(jìn)行了檢測。351款A(yù)PP因違法收集個(gè)人信息被通報(bào)，25款因嚴(yán)重違法違規(guī)收集使用個(gè)人信息被下架。

　　“為及時(shí)回應(yīng)廣大人民群眾的呼聲和期待，落實(shí)黨中央部署要求，制定一部個(gè)人信息保護(hù)方面的專門法律，將廣大人民群眾的個(gè)人信息權(quán)益實(shí)現(xiàn)好、維護(hù)好、發(fā)展好，具有重要意義?！比珖舜蟪Ｎ瘯üの敝魅蝿⒖〕急硎?，制定個(gè)人信息保護(hù)法是進(jìn)一步加強(qiáng)個(gè)人信息保護(hù)法制保障的客觀要求，是維護(hù)網(wǎng)絡(luò)空間良好生態(tài)的現(xiàn)實(shí)需要，也是促進(jìn)數(shù)字經(jīng)濟(jì)健康發(fā)展的重要舉措。

　　從現(xiàn)有頒布的法律來看，雖有部分內(nèi)容與個(gè)人信息保護(hù)的相關(guān)，但在社會實(shí)踐中，這些法律的適用大多規(guī)定的較為原則，并不能滿足公民對個(gè)人信息保護(hù)的各類迫切需求。此外，縱觀其他法規(guī)及規(guī)范性文件，例如《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》《信息安全技術(shù) 個(gè)人信息安全規(guī)范》（GB/T 35273—2020）等規(guī)定，雖然在司法案例中起到著極強(qiáng)的合規(guī)參考價(jià)值，但其同時(shí)也存在著一定的滯后性，并不能夠適應(yīng)各類互聯(lián)網(wǎng)企業(yè)的合規(guī)需要。近年來，對個(gè)人信息濫用的案例不斷涌現(xiàn)，對司法及行政監(jiān)管部門也帶來了較大挑戰(zhàn)。

　　1.2 發(fā)展歷程

　　自2003年起，我國就啟動(dòng)了保護(hù)個(gè)人信息的立法程序。經(jīng)過了十幾年不斷摸索，個(gè)人信息保護(hù)立法才逐漸趨于完善。以下從幾個(gè)重要時(shí)間節(jié)點(diǎn)進(jìn)一步說明：

　　2003年，《個(gè)人信息保護(hù)法》專家建議稿開始起草，2005年初已經(jīng)完成；

　　2009年，《刑法修正案（七）》第7條將非法提供與獲取公民個(gè)人信息行為納入刑法規(guī)制；

　　2013年，《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》對“公民個(gè)人電子信息”做了界定，并明確了信息收集、使用的原則和相關(guān)規(guī)則；

　　2017年，《網(wǎng)絡(luò)安全法》的實(shí)施，對“公民個(gè)人信息”進(jìn)一步界定、對用戶“知情同意”作出明確規(guī)定、對“網(wǎng)絡(luò)運(yùn)營者”提出明確要求；

　　2020年，《民法典》強(qiáng)調(diào)“以人為本”，加大了對公民隱私權(quán)和個(gè)人信息的保護(hù)力度；

　　2020年6月，全國人大常委會調(diào)整2020年度立法工作計(jì)劃，個(gè)人信息保護(hù)法草案將提請審議。

　　《個(gè)人信息保護(hù)法》在2018年被列入全國人大常委會未來五年任期的立法議程中，經(jīng)歷了從2020年初次評審到2021年的二審、三審，《個(gè)人信息保護(hù)法》的具體內(nèi)容也不斷發(fā)生變化。

　　1.3 法律地圖

　　本文從國家法律、行政法規(guī)、司法解釋、部門規(guī)章、技術(shù)規(guī)范五個(gè)層面入手，梳理國內(nèi)數(shù)據(jù)安全與個(gè)人信息保護(hù)相關(guān)制度，整理形成可直觀查看的“中國數(shù)據(jù)新秩序的法律地圖”。

　　國內(nèi)安全工作堅(jiān)持總體國家安全觀，在不同領(lǐng)域均有相關(guān)文件指導(dǎo)安全工作。其中與數(shù)據(jù)安全和個(gè)人信息保護(hù)領(lǐng)域相關(guān)性較強(qiáng)的有：民事領(lǐng)域通過了《民法典》；在網(wǎng)絡(luò)空間安全領(lǐng)域，具有《網(wǎng)絡(luò)安全法》、等保2.0系列標(biāo)準(zhǔn)、《網(wǎng)絡(luò)安全審查辦法》等；在數(shù)據(jù)安全領(lǐng)域：具有剛剛出臺的《數(shù)據(jù)安全法》。在個(gè)人信息保護(hù)領(lǐng)域，具有剛頒布的《個(gè)人信息保護(hù)法》。在兒童個(gè)人信息領(lǐng)域、密碼領(lǐng)域、網(wǎng)絡(luò)犯罪、消費(fèi)者權(quán)益保護(hù)、電子商務(wù)等領(lǐng)域也有專門立法?？傮w來說，《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》與《個(gè)人信息保護(hù)法》在總體國家安全觀框架下，共同構(gòu)成了我國數(shù)據(jù)新秩序下的三根支柱。

　　2. 內(nèi)容解讀

　　2.1 概述

　　在信息化時(shí)代，個(gè)人信息保護(hù)已成為廣大人民群眾最關(guān)心最直接最現(xiàn)實(shí)的利益問題之一?！秱€(gè)人信息保護(hù)法》堅(jiān)持和貫徹以人民為中心的法治理念，牢牢把握保護(hù)人民群眾個(gè)人信息權(quán)益的立法定位，聚焦個(gè)人信息保護(hù)領(lǐng)域的突出問題和人民群眾的重大關(guān)切。

　　全文共八章七十四條，明確了法律適用范圍，聚焦目前個(gè)人信息保護(hù)的突出問題，在有關(guān)法律的基礎(chǔ)上，該法進(jìn)一步細(xì)化、完善個(gè)人信息保護(hù)應(yīng)遵循的原則和個(gè)人信息處理規(guī)則，明確個(gè)人信息處理活動(dòng)中的權(quán)利義務(wù)邊界，健全個(gè)人信息保護(hù)工作機(jī)制。確立以“告知—同意”為核心的個(gè)人信息處理規(guī)則，落實(shí)國家機(jī)關(guān)保護(hù)責(zé)任，加大對違法行為的懲處力度。

　　2.2 七大關(guān)鍵點(diǎn)

　　2.2.1 術(shù)語界定

　　《個(gè)人信息保護(hù)法》規(guī)定了三個(gè)術(shù)語定義和四個(gè)相關(guān)用語的含義，本文僅對“個(gè)人信息”、“敏感個(gè)人信息”、“個(gè)人信息的處理”和“自動(dòng)化決策”的定義或含義做進(jìn)一步解讀：

　　“個(gè)人信息”，其定義采取的是“識別”的方式，僅采取定義式的規(guī)定方式，已發(fā)布的《個(gè)人信息安全規(guī)范》進(jìn)行了不完全列舉。隨著數(shù)據(jù)經(jīng)濟(jì)不斷發(fā)展，本文大膽預(yù)測，有關(guān)個(gè)人信息的定義和范圍也將再次被延申。

　　“敏感個(gè)人信息”，該說法與《個(gè)人信息安全規(guī)范》中“個(gè)人敏感信息”措辭不同但所表示的內(nèi)容基本一致，只不過本法中的“敏感個(gè)人信息”更加強(qiáng)調(diào)了“人格尊嚴(yán)”。值得關(guān)注的是，本法中也對列舉的信息做了新增和調(diào)整：生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個(gè)人信息。

　　“個(gè)人信息的處理”，相較于一審稿中主要變化在于刪除了“活動(dòng)”，強(qiáng)調(diào)了個(gè)人信息的處理動(dòng)作或場景。

　　“自動(dòng)化決策”，主要變化在于主謂賓的順序調(diào)整，強(qiáng)調(diào)了人工智能技術(shù)的重要應(yīng)用對公民個(gè)人信息權(quán)益的影響。

　　2.2.2 適用范圍

　　本法明確了“我國境內(nèi)”和“境外管轄”兩大適用范圍，“境外管轄”同等回應(yīng)了歐盟GDPR、美國CCPA等國外立法的長臂管轄效力。

　　我國境內(nèi)：在中華人民共和國境內(nèi)處理自然人個(gè)人信息的活動(dòng)，適用本法。

　　境外管轄：在中華人民共和國境外處理中華人民共和國境內(nèi)自然人個(gè)人信息的活動(dòng)，有下列情形之一的，也適用本法。

　　以向境內(nèi)自然人提供產(chǎn)品或者服務(wù)為目的；

　　分析、評估境內(nèi)自然人的行為；

　　法律、行政法規(guī)規(guī)定的其他情形。

　　2.2.3 基本原則

　　在“第一章 總則”部分，進(jìn)一步明確了處理個(gè)人信息的基本原則，本文參考相關(guān)法律法規(guī)，結(jié)合企業(yè)實(shí)踐，總結(jié)了以下六大基本原則。

　　2.2.4 “點(diǎn)”“面”“球”生態(tài)融合

　　本文從“點(diǎn)”、“面”、“球”構(gòu)建個(gè)人信息保護(hù)生態(tài)融合體系，以達(dá)到相互影響、相互制約、相互信任、不斷演變，并在一定時(shí)期內(nèi)處于相對穩(wěn)定的動(dòng)態(tài)平衡狀態(tài)。

　　“點(diǎn)”：指全民守護(hù)，堅(jiān)守基本底線。

　　任何組織、個(gè)人不得非法收集、使用、加工、傳輸他人個(gè)人信息，不得非法買賣、提供或者公開他人個(gè)人信息；不得從事危害國家安全、公共利益的個(gè)人信息處理活動(dòng)。

　　“面”：指共同參與，建設(shè)良性生態(tài)。

　　國家建立健全個(gè)人信息保護(hù)制度，預(yù)防和懲治侵害個(gè)人信息權(quán)益的行為，加強(qiáng)個(gè)人信息保護(hù)宣傳教育，推動(dòng)形成政府、企業(yè)、相關(guān)社會組織、公眾共同參與個(gè)人信息保護(hù)的良好環(huán)境。

　　“球”：指國際合作，推進(jìn)生態(tài)互融。

　　國家積極參與個(gè)人信息保護(hù)國際規(guī)則的制定，促進(jìn)個(gè)人信息保護(hù)方面的國際交流與合作，推動(dòng)與其他國家、地區(qū)、國際組織之間的個(gè)人信息保護(hù)規(guī)則、標(biāo)準(zhǔn)等互認(rèn)。

　　2.2.5 處理規(guī)則

　　個(gè)人信息處理規(guī)則：包括了一般規(guī)定、敏感個(gè)人信息的處理規(guī)則、國家機(jī)關(guān)處理個(gè)人信息的特別規(guī)定三個(gè)方面。需要注意的是，本法確立以“告知—同意”為核心的個(gè)人信息處理規(guī)則，同時(shí)也新增了同意的例外事由，如《個(gè)人信息保護(hù)法》第十三條中提到的“前款第二項(xiàng)至第七項(xiàng)規(guī)定情形的，不需取得個(gè)人同意” 。

　　個(gè)人信息跨境提供的規(guī)則：本法構(gòu)建了一套清晰、系統(tǒng)的個(gè)人信息跨境流動(dòng)規(guī)則，以滿足保障個(gè)人信息權(quán)益和安全的客觀要求，適應(yīng)國際經(jīng)貿(mào)往來的現(xiàn)實(shí)需要。關(guān)于跨境提供場景下的規(guī)則要求詳細(xì)如下圖所示：

　　2.2.6 相關(guān)主體

　　本法涉及個(gè)人、個(gè)人信息處理者、監(jiān)管部門三大強(qiáng)相關(guān)的主體，如下圖所示，分別就個(gè)人權(quán)利、個(gè)人信息處理者的義務(wù)、監(jiān)管部門所履行個(gè)人信息保護(hù)職責(zé)進(jìn)行闡述。

　　2.2.7 強(qiáng)監(jiān)管和懲處力度

　　近年來，有關(guān)個(gè)人信息權(quán)益侵權(quán)案件逐漸增多，比如“告知—同意”的認(rèn)定、人格權(quán)糾紛、人臉識別等與個(gè)人信息主體強(qiáng)相關(guān)的權(quán)益。因此，本法在這方面加強(qiáng)了監(jiān)管和提高了懲處力度。本法規(guī)定了“一般的個(gè)人信息違法行為”和“情節(jié)嚴(yán)重的個(gè)人信息違法行為”，雖然對這兩者沒有嚴(yán)格的界定和說明，但可參照以往的司法案例或借鑒GDPR相關(guān)處罰案例。詳細(xì)懲處要求如下圖所示：

　　2.3 橫向?qū)Ρ?/p>

　　為了便于對《個(gè)人信息保護(hù)法》進(jìn)一步理解，本文通過列表的方式對國內(nèi)強(qiáng)相關(guān)的幾部法律法規(guī)進(jìn)行橫向?qū)Ρ?，如下圖所示。本文對照僅限于非法律專業(yè)視角進(jìn)行對照，因此嚴(yán)格意義上來說不能準(zhǔn)確對比分析法律效力位階的相關(guān)問題。

　　通過以上從定義、側(cè)重方向、局限性三個(gè)方面進(jìn)行橫向?qū)Ρ群?，本文得出如下參考結(jié)論：

　　1） 隨著我國法律法規(guī)的不斷完善，各行各業(yè)首先需要考慮的是“合規(guī)”問題，特別需要關(guān)注具體的、可落地的安全要求；

　　2） 各項(xiàng)法律法規(guī)間各有側(cè)重點(diǎn)和存在一定的相互關(guān)聯(lián)性，需特別注意上位法的法律效力；在具體實(shí)踐過程中，均需遵照執(zhí)行；

　　3） 《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》都提出落實(shí)處理者的責(zé)任和義務(wù)，對企業(yè)而言，是否需要建立兩套標(biāo)準(zhǔn)呢？答案是否定的，建議將其融合，組織建設(shè)、制度流程等可合二為一，人員能力、技術(shù)措施需有所針對性實(shí)施，具體要求方面再進(jìn)行細(xì)化和管控。

　　2.4 解讀思考

　　2.4.1 典型問題QA

　　典型問題一：關(guān)于“告知+同意”。

　　依據(jù)：第14條將“充分知情”作為“同意”的前提條件“，需要取得”單獨(dú)同意“的情況：第23、25、26、29、39條。

　　解答：通過用戶主動(dòng)勾選、瀏覽隱私政策等獲得個(gè)人信息的授權(quán)使用，并賦予用戶撤回同意的權(quán)利；同時(shí)梳理”單獨(dú)同意“的場景并進(jìn)行對應(yīng)功能調(diào)整。

　　典型問題二：關(guān)于生物特征等敏感個(gè)人信息。

　　依據(jù)：第26條規(guī)定的”所收集的個(gè)人圖像、身份識別信息只能用于維護(hù)公共安全的目的“、第28條規(guī)定的”特定的目的和充分的必要性“的前提，第29規(guī)定的”單獨(dú)同意“，第30條規(guī)定的”必要性以及對個(gè)人權(quán)益的影響“的告知。

　　解答：重視敏感個(gè)人信息的處理規(guī)則，并做好相關(guān)充分告知和影響評估等工作。

　　典型問題三：關(guān)于”個(gè)人信息保護(hù)負(fù)責(zé)人“。

　　依據(jù)：第52條規(guī)定”處理個(gè)人信息達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量的個(gè)人信息處理者應(yīng)當(dāng)指定個(gè)人信息保護(hù)負(fù)責(zé)人?！?/p>

　　解答：其中”規(guī)定數(shù)量“在本法中未明確規(guī)定，但可參照《個(gè)人信息安全規(guī)范》的規(guī)定：從業(yè)人員規(guī)模大于200人、處理超過100萬人的個(gè)人信息、處理超過10萬人的個(gè)人敏感信息的。

　　典型問題四：關(guān)于影響評估。

　　依據(jù)：第55條規(guī)定”有下列情形之一的，個(gè)人信息處理者應(yīng)當(dāng)事前進(jìn)行個(gè)人信息保護(hù)影響評估，并對處理情況進(jìn)行記錄?！?/p>

　　解答： 結(jié)合《個(gè)人信息安全規(guī)范》和《影響評估指南》相關(guān)要求，進(jìn)行個(gè)人信息安全影響評估落地執(zhí)行。

　　以上思考的問題僅為冰山一角，建議組織結(jié)合自身實(shí)際情況，制定相應(yīng)安全策略，落實(shí)個(gè)人信息保護(hù)責(zé)任。

　　2.4.2 主要關(guān)注點(diǎn)

　　1） 明確個(gè)人信息保護(hù)責(zé)任制，落實(shí)全生命周期管控責(zé)任。

　　內(nèi)容：建立個(gè)人信息保護(hù)組織架構(gòu)，明確崗位職責(zé)，制定對應(yīng)的全流程管理規(guī)范、制度、流程等。

　　方案支撐：數(shù)據(jù)安全管理體系建設(shè)。

　　2） 通過個(gè)人信息分類（分級）管理，實(shí)現(xiàn)建設(shè)第一步。

　　內(nèi)容：建立個(gè)人信息管理機(jī)制，明確保護(hù)對象及策略。

　　方案支撐：數(shù)據(jù)分類分級。

　　3） 發(fā)現(xiàn)企業(yè)個(gè)人信息安全隱患，降低信息泄露風(fēng)險(xiǎn)。

　　內(nèi)容：利用風(fēng)險(xiǎn)評估手段識別發(fā)現(xiàn)企業(yè)的個(gè)人信息安全風(fēng)險(xiǎn)，協(xié)助企業(yè)進(jìn)行整改，提升企業(yè)個(gè)人信息保護(hù)建設(shè)水平。

　　方案支撐：個(gè)人信息安全影響評估、APP個(gè)人信息安全評估。

　　4） 識別個(gè)人信息處理活動(dòng)，落實(shí)安全技術(shù)措施。

　　內(nèi)容：梳理個(gè)人信息全生命周期處理活動(dòng)，制定相對應(yīng)的安全要求，對各風(fēng)險(xiǎn)點(diǎn)進(jìn)行提示，包含可落地執(zhí)行的機(jī)制等。

　　方案支撐：個(gè)人信息保護(hù)專項(xiàng)規(guī)劃、數(shù)據(jù)安全管控平臺。

　　5） 建立個(gè)人信息安全事件應(yīng)急響應(yīng)機(jī)制。

　　內(nèi)容：建立個(gè)人信息安全應(yīng)急預(yù)案，明確個(gè)人信息事件的應(yīng)急方針、政策，應(yīng)急組織結(jié)構(gòu)及相關(guān)應(yīng)急職責(zé)。

　　方案支撐：應(yīng)急響應(yīng)體系建設(shè)。

　　6） 組織開展個(gè)人信息安全培訓(xùn)教育。

　　內(nèi)容：組織開展個(gè)人信息安全專業(yè)培訓(xùn)，提升企事業(yè)單位個(gè)人信息安全保護(hù)意識，加強(qiáng)個(gè)人信息安全人員專業(yè)能力提升。

　　方案支撐：個(gè)人信息安全專業(yè)教育培訓(xùn)。

　　7） 聚焦個(gè)人信息跨境提供，保障國家安全、公共利益及個(gè)人權(quán)益。

　　內(nèi)容：建立個(gè)人信息跨境提供全流程管理規(guī)范、制度、流程等；明確合規(guī)路徑，并征得用戶的單獨(dú)同意，確保個(gè)人信息安全流通。

　　方案支撐：遵循國家個(gè)人信息出境相關(guān)規(guī)定。

　　3. 總結(jié)與展望

　　2021年可謂是數(shù)據(jù)保護(hù)元年，《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例（國務(wù)院令第745）》等一系列法律法規(guī)的頒布和即將實(shí)施，標(biāo)志著我國在數(shù)據(jù)安全和個(gè)人信息保護(hù)方面正式進(jìn)入2.0時(shí)代。而數(shù)據(jù)安全和個(gè)人信息保護(hù)密不可分，就像是一對孿生兄弟。針對個(gè)人信息保護(hù)的應(yīng)對思路，可在數(shù)據(jù)安全建設(shè)的基礎(chǔ)上進(jìn)行專項(xiàng)設(shè)計(jì)和實(shí)施，形成個(gè)人信息保護(hù)體系的長效機(jī)制（IRCSS）。該機(jī)制主要通過五個(gè)方面進(jìn)行個(gè)人信息安全落地建設(shè)，幫助組織確立管理制度和操作流程，全面了解個(gè)人信息安全狀況，提升個(gè)人信息安全監(jiān)測與防護(hù)措施，通過優(yōu)化改進(jìn)與持續(xù)運(yùn)營，實(shí)現(xiàn)持續(xù)自適應(yīng)的個(gè)人信息安全防護(hù)能力。

　　4. 場景探討：”雙十一“的網(wǎng)購狂歡

　　近年來，”雙十一“網(wǎng)購狂歡的同時(shí)， 也是個(gè)人信息泄露的高峰?！秱€(gè)人信息保護(hù)法》恰好也將在2021年11月1日施行，面對今年的”雙十一“，消費(fèi)者、商家、互聯(lián)網(wǎng)平臺運(yùn)營者、監(jiān)管部門等該如何使用《個(gè)人信息保護(hù)法》賦予的權(quán)益，又該如何履行《個(gè)人信息保護(hù)法》規(guī)定的責(zé)任呢？接下來，本文嘗試站在這四類主體的角度來思考如何面對。