◆丹 青/ 文

近日，《中華人民共和國個人信息保護法（草案）》公布并公開征求社會公眾意見。該草案確立了“告知-同意”為核心的個人信息處理一系列原則，明確國家機關(guān)對個人信息的保護義務(wù)，全面加強個人信息的法律保護。草案共八章七十條內(nèi)容，本文梳理了草案的十大核心亮點內(nèi)容，以供參考。

亮點一：明確我國個人信息及相關(guān)概念的定義

草案明確規(guī)定了個人信息、敏感個人信息、個人信息的處理、個人信息處理者以及自動化決策、去標識化、匿名化等相關(guān)概念的定義。（草案第四條、第二十九條、第六十九條）

亮點二：明確了本法的適用范圍，突出強調(diào)必要的域外適用

草案基于數(shù)據(jù)流動性的實際情況和有關(guān)國家、地區(qū)的現(xiàn)行做法，在堅持“屬地管轄”原則的同時，突出強調(diào)三種情況下必要的域外適用效力，包括以向境內(nèi)自然人提供產(chǎn)品或者服務(wù)為目的；為分析、評估境內(nèi)自然人的行為；法律、行政法規(guī)規(guī)定的其他情形。同時，對相關(guān)情況下境外主體提出明確的合規(guī)要求。（草案第三條、第五十二條、第六十八條）

亮點三：確立個人信息處理應(yīng)當遵循的五大基本原則

1.處理個人信息應(yīng)當采用合法、正當?shù)姆绞剑裱\信原則；

2.處理個人信息應(yīng)當具有明確、合理的目的，限于實現(xiàn)處理目的的最小范圍；

3.處理個人信息應(yīng)當遵循公開、透明的原則，明示其處理規(guī)則；

4.處理個人信息應(yīng)當確保信息準確，并及時更新；

5.個人信息處理者應(yīng)采取必要措施保障所處理個人信息的安全。（草案第五條至第九條）

亮點四：確立了以“告知-同意”為核心的個人信息處理規(guī)則體系

1.草案明確了“告知-同意”是個人信息處理的首要原則，即“個人在充分知情的前提下，自愿、明確做出的意思表達”。

2.草案規(guī)定了個人信息處理者在處理個人信息前應(yīng)當向個人告知的四類事項，強調(diào)告知方式的顯著明示和語言的清晰易懂，同時規(guī)定了基于保密要求的不需告知情形和緊急情況下的事后告知。

3.草案強調(diào)重要事項發(fā)生變更后，應(yīng)當重新取得個人同意，包括個人信息的處理目的、處理方式、信息種類、個人信息處理者因控制權(quán)變動發(fā)生個人信息轉(zhuǎn)移等。

4.草案明確個人有權(quán)撤回對個人信息處理的同意，且個人信息處理者不得以個人不同意為由拒絕提供產(chǎn)品或者服務(wù)。

5.草案基于實際情況，規(guī)定了五種基于個人同意以外合法處理個人信息的情形，包括訂立/履行合同所必需、履行法定職責或義務(wù)所必需、應(yīng)對公共衛(wèi)生事件和緊急避險所必需、公共報道和輿論監(jiān)督所合理必需、其他情形。

6.草案對個人信息的共同處理、委托處理、向第三方提供等實際情況提出了針對性要求，并對匿名化信息識別、自動化決策、公共場所的身份識別、處理已公開的個人信息等社會關(guān)切熱點問題做出了明確回應(yīng)。（草案第十三條至第二十八條）

亮點五：對敏感個人信息處理提出增強性要求

1.草案設(shè)立專節(jié)對處理敏感個人信息作出增強性的規(guī)定，強調(diào)只有在具有特定的目的和充分的必要性的情形下方可處理敏感個人信息，并且應(yīng)當取得個人的單獨同意或者書面同意。

2.草案強調(diào)處理敏感個人信息的告知，除個人信息的一般告知事項，還應(yīng)當向個人告知處理敏感個人信息的必要性以及對個人的影響。

3.草案強調(diào)針對敏感個人信息的法律適用，應(yīng)當以“從嚴適用”為原則。（草案第二十九條至第三十二條）

亮點六：對國家機關(guān)處理個人信息提出特別規(guī)定

1.草案設(shè)立專節(jié)規(guī)定國家機關(guān)處理個人信息的規(guī)則，在保障國家機關(guān)依法履行職責的同時，要求國家機關(guān)處理個人信息應(yīng)當依照法律、行政法規(guī)規(guī)定的權(quán)限和程序進行，不得超出履行法定職責所必需的范圍和限度。

2.草案要求國家機關(guān)處理的個人信息應(yīng)當在境內(nèi)存儲，確需向境外提供的應(yīng)當進行風險評估。（草案第三十三條至第三十七條）

亮點七：完善個人信息跨境流動規(guī)則，強調(diào)國際數(shù)據(jù)規(guī)則“對等”原則

1.草案明確了個人信息處理者向境外提供個人信息的，至少要符合四類合規(guī)規(guī)則中的其中一條，包括通過國家網(wǎng)信部門的安全評估、個人信息保護認證、合同約束并達到本法要求、其他條件。

2.草案明確了個人信息處理者在個人信息出境前應(yīng)當向個人告知的事項，包括接收方的身份、聯(lián)系方式、處理目的、處理方式以及維權(quán)方式等，并取得個人的單獨同意。

3.對關(guān)鍵信息基礎(chǔ)設(shè)施運營者、處理個人信息達到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者、國際司法和行政執(zhí)法協(xié)助、國際條約規(guī)定等情形下的個人信息出境提出針對性要求。

4.明確賦予國家網(wǎng)信部門對境外從事危害我國個人信息權(quán)益、國家安全和公共利益的個人信息處理活動采取限制或禁止措施的權(quán)力，以充分保護我國境內(nèi)主體的合法權(quán)益。

5.強調(diào)“對等原則”，明確強調(diào)國家有權(quán)對針對我國的歧視性措施的國家和地區(qū)采取相應(yīng)措施。（草案第三十八條至四十三條）

亮點八：明確個人信息處理活動中個人權(quán)利和處理者義務(wù)

1.草案與《民法典》第1034～1039條規(guī)定相銜接，明確在個人信息處理活動中個人的各項權(quán)利，包括知情權(quán)、決定權(quán)、查詢權(quán)、更正權(quán)、刪除權(quán)和規(guī)則說明權(quán)等，并要求個人信息處理者建立個人行使權(quán)利的申請受理和處理機制。

2.草案明確個人信息處理者的個人信息合規(guī)管理義務(wù)，包括制定內(nèi)部管理制度和操作規(guī)程、對個人信息進行分級分類管理、采取相應(yīng)的安全技術(shù)措施、合理確定個人信息處理的操作權(quán)限和定期人員安全教育培訓、制定并組織個人信息安全事件應(yīng)急預(yù)案、定期對其個人信息活動進行合規(guī)審計等。

3.草案對個人信息達到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者，和境外個人信息處理提出針對性合規(guī)要求，包括確定個人信息保護負責人等。

4.草案明確個人信息處理者應(yīng)當進行事前風險評估的個人信息處理活動，包括處理敏感個人信息、自動化決策、委托處理和向第三方提供、個人信息公開、個人信息出境等，并規(guī)定了風險評估的內(nèi)容事項。

5.草案強調(diào)個人信息處理者的個人信息泄露通知和補救義務(wù)，明確了泄露通知對象（主管部門和個人）和事項（事件原因、信息種類、事件危害、補救措施等）。（草案第四十四條至第五十五條）

亮點九：健全個人信息保護的體制機制

1.草案明確了國家網(wǎng)信部門負責個人信息保護工作的統(tǒng)籌協(xié)調(diào)和相關(guān)監(jiān)督管理工作；國務(wù)院有關(guān)部門依照本法和有關(guān)法律、行政法規(guī)的規(guī)定，在各自職責范圍內(nèi)負責個人信息保護和監(jiān)督管理工作；地方的個人信息保護和監(jiān)督管理職責按照國家有關(guān)規(guī)定確定。

2.草案明確上述部門應(yīng)當履行的個人信息保護職責，包括開展相關(guān)宣傳教育、接受和處理有關(guān)投訴舉報、調(diào)查和處理違法事件等。

3.草案明確了履行個人信息保護職責的部門可以采取的措施和相應(yīng)條件、程序，包括詢問、查閱和復(fù)制資料、現(xiàn)場檢查、查封和扣押、約談和要求整改等。（草案第五十六至六十一條）

亮點十：加強了對個人信息違法的懲治力度

1.草案明確了對于違反本法規(guī)定處理個人信息、或未按照規(guī)定采取必要安全保護措施的，情節(jié)嚴重的情況可以處以五千萬以下或上一年度營業(yè)額百分之五以下的罰款，并可責令其暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、通報有關(guān)主管部門吊銷相關(guān)業(yè)務(wù)許可或者吊銷營業(yè)執(zhí)照。

2.草案明確個人信息處理者的個人信息處理活動侵害個人信息權(quán)益的，應(yīng)當按照個人因此受到的損失或者個人信息處理者因此獲得利益承擔賠償責任。（草案第六十二條至第六十七條）