《中華人民共和國個人信息保護法法》（“本法”）于2021年8月20日經(jīng)十三屆全國人大常委會第三十次會議通過，自2021年11月1日起施行。全文共八章七十四條，除了總則、附則及法律責(zé)任，主要包括“兩個規(guī)則”（處理規(guī)則和跨境提供規(guī)則）和“三個主體”（個人權(quán)利、處理者義務(wù)和監(jiān)管職責(zé)）。下文將對其進行全面解讀。

　　一、立法背景

　　隨著全球網(wǎng)絡(luò)基礎(chǔ)設(shè)施的不斷完善，移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、云計算等服務(wù)的普及，世界已步入數(shù)字化時代。在數(shù)字時代下，數(shù)據(jù)成為了關(guān)鍵的生產(chǎn)要素，其中個人信息占有重要比重。數(shù)字診療、人臉識別、人工智能等領(lǐng)域的技術(shù)發(fā)展給人們生活帶來便捷的同時也使得個人信息遭受侵害的風(fēng)險成幾何量級增大，導(dǎo)致泄露事件層出不窮、愈演愈烈。

　　因此，個人信息保護逐漸成為各國立法機構(gòu)關(guān)注的重要議題。至今，全球已經(jīng)有140多個國家和地區(qū)制定了個人信息保護有關(guān)的法律。2018年實施的歐盟《通用數(shù)據(jù)保護條例》（General Data Protection Regulation “GDPR”）獨樹一幟，成為很多國家立法的重要參考。

　　近年來，我國作為數(shù)字經(jīng)濟的大國也在搭建個人信息保護方面的法律體系。其中，《民法典》設(shè)立專章規(guī)范隱私權(quán)和個人信息保護，《刑法修正案》增加侵犯公民個人信息罪等罪名，《網(wǎng)絡(luò)安全法》確立個人信息保護的原則，《數(shù)據(jù)安全法》（“數(shù)安法”）從數(shù)據(jù)作為信息底層載體的角度提出數(shù)據(jù)安全措施要求，《電子商務(wù)法》對電子商務(wù)經(jīng)營者提出個人信息保護要求等等。而該領(lǐng)域的專門法律一直缺位，社會各界呼吁制定《個人信息保護法》的聲音越來越高?！秱€保法》自2020年10月13日首個草案提出以來，歷經(jīng)三次審議、多次修訂，終于正式出臺。

　　二、健全個人信息處理原則和規(guī)則

　?。?一 ） 六大處理原則

　　本法確立了處理個人信息應(yīng)遵循六個主要原則：合法正當必要誠信（第5條）、目的明確合理（第6條）、最小必要（第6條）、處理公開透明（第7條）、準確完整（第8條）、安全保障（第9條）。上述原則與世界趨同的個人信息保護原則以及《民法典》、《網(wǎng)絡(luò)安全法》的規(guī)定基本一致，其適用精神貫穿全文。

　?。?二 ） “告知+同意”處理規(guī)則

　　在處理規(guī)則方面，本法確立“告知＋同意”為核心，體現(xiàn)了對個人權(quán)益的尊重，也與上文的合法正當和公開透明兩個原則相呼應(yīng)。

　　1.“告知”義務(wù)

　　本法第14條就將“充分知情”作為“同意”的前提條件。本法第17條具體列舉個人信息處理者（“處理者”）應(yīng)當告知的事項，主要包括其處理者基本信息、信息處理的目的和方式等、行使本法權(quán)利的方式和程序。本法第18條規(guī)定了告知的例外情形，在法律、行政法規(guī)規(guī)定應(yīng)當保密或不需要告知的情況下，可以免除告知義務(wù)，但是該義務(wù)在緊急情況下無法及時履行時并不免除，而是將前置改為后置，體現(xiàn)告知義務(wù)的重要性。

　　在以上普遍適用原則的基礎(chǔ)上，本法還規(guī)定了如下五類需要履行告知義務(wù)的情況：

　　1） 承繼轉(zhuǎn)移和向第三方傳輸（第22、23條）- 前者是處理者在合并、分立、解散、破產(chǎn)等情況下轉(zhuǎn)移，而后者是向第三方提供。這兩種情況雖然均需履行告知義務(wù)，但內(nèi)容略有不同。前者僅需告知接收方的基本信息，而后者還需包括處理目的、方式、信息種類。其差別在于前者的接收方承繼了處理者的原有業(yè)務(wù)，其處理目的和方式等在一般情況下不會有變化；而后者的接收方是獨立的第三方，其處理目的和方式等很可能會發(fā)生變化，需要額外告知。

　　2） 處理敏感個人信息（第30條） - 需告知處理的必要性及對個人的影響。

　　3） 履行法定職責(zé)（第35條）

　　4） 信息出境（第39條）

　　2.“同意”義務(wù)

　　除了本法第13條（2）-（7）列舉的情形之外，取得個人同意是處理個人信息的前提，包括第（5）項下涉及對個人權(quán)益有重大影響的處理行為（第27條）。本法第14條明確了同意需基于個人“充分知情”、“自愿”、“明確”的前提。第15、16條則賦予個人撤回權(quán)，并禁止處理者以不同意或撤回同意為由拒絕提供非必需的產(chǎn)品或者服務(wù)。

　　在以上普遍適用原則的基礎(chǔ)上，本法還規(guī)定了如下五類需要取得“單獨同意”的情況：

　　1） 向第三方提供（第23條）

　　2） 公開（第25條）

　　3） 收集個人圖像、身份特征信息用于公共安全之外目的（第26條）

　　4） 處理敏感個人信息（第29條）

　　5） 向境外提供（第39條）

　　三、涉及的跨境問題

　?。?一 ） 域外適用

　　本法第3條賦予了一定的域外適用效力。雖然《數(shù)安法》第2條也類似規(guī)定，但本法的適用范圍更加明確，即“向境內(nèi)自然人提供產(chǎn)品或者服務(wù)為目的”和“分析、評估境內(nèi)自然人的行為”，與GDPR第3條第2款的“提供產(chǎn)品或者服務(wù)”以及“行為監(jiān)控”相對應(yīng)。這意味著境外機構(gòu)或個人即使在中國沒有任何商業(yè)存在，只要符合所列情況，便受本法的管轄。

　?。?二 ） 個人信息的跨境提供

　　關(guān)于個人信息出境的安全評估要求，首見于《網(wǎng)絡(luò)安全法》第37條，不過僅適用于關(guān)鍵信息基礎(chǔ)設(shè)施運營者。而《個人信息出境安全評估辦法（征求意見稿）》（“出境辦法”）將適用范圍擴大至所有網(wǎng)絡(luò)運營者，給業(yè)界帶來一定震動和壓力。本法第40條試圖在以上兩者之間找到一個平衡，將安全評估的適用范圍局限于“關(guān)鍵信息基礎(chǔ)設(shè)施運營者”和“處理個人信息達到國家網(wǎng)信部門規(guī)定數(shù)量的處理者”。至于處理個人信息的具體數(shù)量多少將觸發(fā)安全評估，待國家網(wǎng)信部門在配套規(guī)定予以明確。

　　此外，鑒于安全評估在某些情況下可能無法滿足跨境流動對時效性的要求，本法第38條為處理者還提供了另外兩個明確的出境途徑：（1）經(jīng)專業(yè)機構(gòu)認證；（2）與境外接收方訂立標準合同。這體現(xiàn)了在安全有序的前提下，促進個人信息跨境自由流動的立法態(tài)度。

　?。?三 ） 向外國司法或者執(zhí)法機構(gòu)提供個人信息

　　本法第41條明確在應(yīng)外國司法或者執(zhí)法機構(gòu)要求向境外提供個人信息的情況下，需要取得主管部門事先批準。《數(shù)安法》第36條也有相同規(guī)定。這與《民事訴訟法》第277條關(guān)于司法協(xié)助情況下外國機關(guān)或者個人在國內(nèi)調(diào)查取證的立法精神一致，體現(xiàn)我國司法主權(quán)。而此次將“執(zhí)法機構(gòu)”加入規(guī)范之列是回應(yīng)了近年來很多國家，包括美國出臺的《澄清境外數(shù)據(jù)合法使用法案》、《外國公司問責(zé)法》在內(nèi)，不斷擴大跨境數(shù)據(jù)調(diào)取權(quán)利的立法趨勢。

　?。?四 ） 反制和限制措施

　　依據(jù)國際法的對等原則，本法第43條就國外采取個人信息保護方面的歧視性措施時，賦予我國采取反制措施的權(quán)利。這與《數(shù)安法》第26條就國外采取與數(shù)據(jù)投資、貿(mào)易相關(guān)的歧視性措施時我國有權(quán)反制的規(guī)定一脈相承。

　　相較于《數(shù)安法》，本法第42條增設(shè)了一個“黑名單”制度，即對于從事侵害我國權(quán)益的境外主體，將被列入限制或禁止提供個人信息的清單，并采取限制或禁止措施。在表述上，第42條適用的范圍比第3條的域外適用范圍更加廣泛。

　　近年來，有些國家以國家安全、個人信息保護為由對我國科技企業(yè)（例如Tiktok和華為事件）采取“圍追堵截”的措施。本法設(shè)立的反制和限制措施恰逢其時，豐富了我國在國際政治博弈斗爭中的“工具箱”。

　　四、個人權(quán)利與處理者的義務(wù)

　?。?一 ） 個人的權(quán)利

　　本法第四章專門明確個人在信息處理中的各項權(quán)利，包括：知情和決定權(quán)（第44條）、查閱和復(fù)制權(quán)（第45條）、可攜帶權(quán)（第45條）、更正和補充權(quán)（第46條）、刪除權(quán)（第47條）、請求解釋說明權(quán)（第48條）、逝者近親屬的行使權(quán)（第49條）。這與《民法典》第1037條規(guī)定的查閱權(quán)、復(fù)制權(quán)、更正權(quán)、刪除權(quán)等相銜接，并予以豐富和細化。同時本法也要求處理者建立個人權(quán)利的申請受理和處理機制（第50條）。

　　（ 二 ） 處理者的義務(wù)

　　個人在個人信息保護方面的權(quán)利實現(xiàn)，很大程度上依賴于處理者對其義務(wù)的履行。本法第五章主要從“明確措施、落實人頭、平臺責(zé)任”三個方面強化處理者的責(zé)任。

　　1.明確措施

　　本法對處理者提出了事前、事中、事后全流程的保障義務(wù)要求：

　　1） 事前影響評估（第55、56條）——要求在對個人有重大影響的個人信息處理活動之前進行個人信息保護影響評估。其列舉的適用情況與上文需取得“單獨同意”的情況類似，背后的共同邏輯是法律對處理者的義務(wù)要求需與處理活動本身的風(fēng)險程度相匹配。該設(shè)計借鑒了GDPR規(guī)定的“數(shù)據(jù)保護影響評估”（Data Protection Impact Assessment，DPIA）制度。

　　2） 事中保護措施和合規(guī)審計（第51、54條）——詳細列舉了處理者在日常運營過程中應(yīng)采取安全保護措施，包括制度制定、分級管理、技術(shù)措施、權(quán)限確定、定期培訓(xùn)、應(yīng)急預(yù)案等。而且要求處理者定期進行合規(guī)審計。

　　3） 事后補救和通知義務(wù)（第57條）——要求處理者在發(fā)生個人信息泄露等情況下采取補救措施并通知監(jiān)管部門和個人。這與《民法典》第1038條補救措施和報告制度相銜接。

　　2.落實人頭

　　本法第52條規(guī)定處理個人信息達到網(wǎng)信部門規(guī)定數(shù)量的處理者應(yīng)當指定“個人信息保護負責(zé)人”，對內(nèi)負責(zé)對處理活動和保護措施等進行監(jiān)督，對外擔(dān)任聯(lián)系人和與監(jiān)管溝通人的角色?？梢钥闯?，本條借鑒了GDPR數(shù)據(jù)保護官（Data Protection Officer，DPO）制度。與GDPR僅概括性地規(guī)定適用從事“大規(guī)模”數(shù)據(jù)處理業(yè)務(wù)的公司一樣，本條也未明確“達到網(wǎng)信部門規(guī)定數(shù)量”的具體標準，待網(wǎng)信部門后續(xù)出臺相關(guān)指引予以明確。

　　本法第53條要求境外處理者在分析、評估境內(nèi)自然人行為的情況下在境內(nèi)設(shè)立“專門機構(gòu)或者指定代表”。該要求與《出境辦法》第20條中要求收集境內(nèi)用戶個人信息的境外機構(gòu)在境內(nèi)設(shè)立“法定代表人或者機構(gòu)”的內(nèi)在邏輯一致，不過其表述比后者更加清晰明了，避免了與公司法項下概念混淆。

　　3.平臺責(zé)任

　　本法第58條創(chuàng)造性地引入了個人信息保護“守門人”的概念，即要求超大型平臺（提供重要互聯(lián)網(wǎng)平臺服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的處理者）承擔(dān)起個人信息保護“閘門”作用，具體義務(wù)包括：成立外部獨立機構(gòu)、制定平臺規(guī)則、停止違規(guī)者服務(wù)、定期發(fā)布社會責(zé)任報告等?？梢娺@些超大型平臺企業(yè)，不僅應(yīng)盡到一般處理者的義務(wù)，還應(yīng)承擔(dān)更高意義上的平臺治理責(zé)任。

　　五、監(jiān)管部門

　　本法第六章明確了個人信息保護的監(jiān)管部門及分工。其具體內(nèi)容整理如下表：

　　履行個人信息保護職責(zé)的部門

　　六、帶“牙齒”的法律

　　為了確保規(guī)定的各項要求落到實處，切實保護個人的權(quán)益，本法對個人信息保護的違法行為構(gòu)建了從信用公示到刑事懲處一個全方位、多維度的法律責(zé)任體系，具體包括：行政處罰（第66條）、信用公示（第67條）、私益訴訟（第69）、公益訴訟（70條）、治安處罰和刑事責(zé)任（第71條）。

　　其中兩個“亮點”值得關(guān)注：高額的處罰金額和公益訴訟制度的引入。其直指實踐中個人信息保護工作的兩大痛點：（１） 因違法成本低造成社會普遍對個人信息保護重視不足；（２）因侵犯個人信息的違法行為隱蔽性強、調(diào)查取證難、個人防范意識差、維權(quán)成本高等因素，導(dǎo)致鮮有個人通過私益民事訴訟的方式維護自身權(quán)益。具體規(guī)定及分析如下：

　　1） 本法第66條規(guī)定違法行為最高面臨“五千萬元以下或者上一年度營業(yè)額百分之五以下罰款”。這相較于《網(wǎng)絡(luò)安全法》的一百萬罰款上限，大幅提高懲戒力度，與GDPR項下罰款最高達全球年度營業(yè)額的百分之四的標準接軌，彰顯國家在個人信息保護方面的決心。

　　2） 本法第70條規(guī)定對于侵害眾多個人權(quán)益的違法行為，人民檢察院、消費者組織和網(wǎng)信部門確定的組織均享有訴訟權(quán)利。這是繼生態(tài)環(huán)境和資源保護、食品藥品安全等領(lǐng)域之后，公益訴訟首次在個人信息保護領(lǐng)域的適用。

　　七、結(jié)語

　　本法在借鑒國際成熟的保護原則和立法經(jīng)驗基礎(chǔ)上，結(jié)合我國國情，將之前相關(guān)法律、法規(guī)、標準中的實施經(jīng)驗和成熟措施上升為法律規(guī)范，在制度設(shè)計、維權(quán)途徑、處罰力度等方面具有諸多創(chuàng)新和突破之處，完善了我國個人信息保護法律保護體系，提升了我國個人信息保護標準。其作用不僅在于促進我國數(shù)字經(jīng)濟的良性發(fā)展，還有利于我國參與國際規(guī)則的制定，促進個人信息保護領(lǐng)域的國際交流與合作。

　　本法的很多內(nèi)容帶有鮮明的數(shù)字時代烙印，如自動化決策（第24條）。雖然個人信息不僅限于以電子方式記錄，但隨著網(wǎng)絡(luò)對人們生活的深度滲透，以電子方式記錄的個人信息無論從數(shù)量級還是面臨侵害的風(fēng)險程度來說，都無疑占據(jù)主要地位。因此，網(wǎng)絡(luò)空間必將成為個人信息保護工作的“主戰(zhàn)場”。

　　作為中國首部個人信息保護方面的專門法律，本法在正式頒布實施后，將肩負起數(shù)字時代下個人信息“保護神”的使命，引導(dǎo)我國個人信息保護的法制建設(shè)步入一個新的篇章。