作者：金茂律师事务所  万波 律师  徐冰清 律师

近年来，个人信息保护立法在世界范围内如火如荼地展开，据联合国贸易法委员会的统计，目前已经有128个国家通过立法保护个人信息和隐私。其中，结合市场规模，规制范围等因素，此前以欧盟《通用数据保护条例》（以下简称GDPR），美国加利福尼亚州隐私保护法（CCPA&CPRA）为最具有影响力的法律文本。而中国作为互联网大国，其《个人信息保护法》的立法进程也一直受到世界的广泛关注。

2021年8月20日，《个人信息保护法》颁布并将于2021年11月1日起正式实施。《个人信息保护法》是我国迈入数字化社会，彰显“以人为本”的法律制度里程碑事件，也是我国参与全球数字治理提供的中国方案。

一、个人信息保护的立法回顾

我国的个人信息保护最早和追溯到1986年《中华人民共和国民法通则》时代，时将其包含在“名誉权”这一权利类型之中，其后经历了诸多立法变迁，直至《中华人民共和国民法典》出台，在其人格权编中确立了“个人信息”这一权益类型，其立法进程可概况如下图所示：

中国《个人信息保护法》采取了类似于GDPR的综合立法模式，可谓是上述立法的集大成者。

《个人信息保护法》的单独立法肇始于2001年，时由国家信息化领导小组下设的国务院信息化工作办公室（以下简称国信办）主要负责推动国家的信息化相关立法。受国信办委托，由周汉华领衔的个人数据保护法研究课题组承担《个人数据保护法》比较研究课题并草拟专家建议稿。课题组历时两年，在综合参考了欧、美、日等比较有代表性的个人信息保护制度后，于2005年形成了近八万字的《个人信息保护法（专家建议稿）及立法研究报告》；同时呈送国信办的还有另一份专家意见稿——重庆大学法学院教授齐爱民起草的《个人信息保护法示范法草案学者建议稿》。

但后因受机构改革、立法资源制约等多重因素的影响，《个人信息保护法》的立法进程在2005年之后的数年间陷入停滞。

2010年之后，中国逐渐进入移动互联网时代，智能手机颠覆了整个互联网的生态，迅速地改变了互联网的格局，App过度获取权限、精准广告推送等问题也日益凸显，个人信息保护也面临比以前更多的挑战，立法紧迫性开始加强。随后，2009年，《刑法修正案（七）》将泄露个人信息入罪；《电信和互联网用户个人信息保护规定》则进一步从收集、使用、保护等方面对电信业务经营者、互联网信息服务提供者做出明确要求。

2014年，中央网络安全和信息化领导小组（后更名为“中央网络安全和信息化委员会办公室”，以下简称中央网信办）宣告成立，中共中央总书记、国家主席、中央军委主席习近平担任组长。

受中央网络安全和信息化领导小组委托，周汉华牵头设计了《国家信息网络专项立法计划（2014~2020）（建议）》，2018年9月，十三届全国人大常委会立法规划公布。立法规划中包括69件“条件比较成熟、任期内拟提请审议”的法律草案，个人信息保护法也在此列，停滞了五年之久的个人信息保护立法工作得以重启。张新宝也在这一年承接了一个国家社科基金的重大项目，他和中国信息通信研究院安全研究所数据安全研究部研究员葛鑫撰写的《个人信息保护法（专家建议稿）》于2019年10月正式发布。

2020年10月21日，《中华人民共和国个人信息保护法（草案）》正式公开，向全社会公开征求意见。历经了第十三届全国人大常委会第二十八次会议的二审审议以及第十三届全国人民代表大会常务委员会第三十次会议的三审审议，最终在2021年8月20日通过了《中华人民共和国个人信息保护法》并将自2021年11月1日起施行。

二、《个人信息保护法》的影响范围

中国《个人信息保护法》采取了类似于GDPR的综合立法模式，其影响范围可从适用地域、受保护主体、受规制主体、排除适用的范围这4个角度，与欧盟GDPR和加州隐私法（CCPA&CPRA）进行比较分析：

1、适用地域范围

2、受保护的主体

3、受规制的主体

4、排除适用的范围

综上可见，在中华人民共和国境内处理自然人个人信息的行为以及在境外处理中华人民共和国境内自然人个人信息的特定行为、所有的个人信息处理者和受托人、各类的处理活动（收集、存储、使用、加工、传输、提供、公开、删除等），都受到上述我国《个人信息保护法》的影响，该法的影响范围不可谓不广泛。

三、对《个人信息保护法》的影响要点

《个人信息保护法》作为我国第一部个人信息保护方面的专门法律，其进一步为个人信息权益提供了全面的保障，与《网络安全法》和《数据安全法》共同代表着我国网络安全与数据合规领域的法治体系的初步建立。

在开宗明义的立法依据里，值得注意的是《个人信息保护法》在三审稿中加入了“根据宪法”这四个字，这表明我国将个人信息受保护的权利提升至更高高度，其来源不仅限于《民法典》中的保护隐私和个人信息的基本原则，而是源于《宪法》中的“国家尊重和保障人权，公民的人格尊严不受侵犯，公民的通信自由和通信秘密受法律保护”。

作为我国个人信息保护领域的专门性法律，《个人信息保护法》明确了个人信息的处理规则、个人信息跨境提供的规则、个人在个人信息处理活动中的权利、个人信息处理者的义务，同时也包括了履行个人信息保护职责的部门、法律责任等。此次《个人信息保护法》不仅关注个人的隐私，还更注重个人信息的收集和处理，同时对于个人信息的跨境数据传输保护力度也是更为看重。对涉及个人业务的企业而言，在《个人信息保护法》生效前短暂的过渡期内，势必需要对此引起足够的重视，尽快进行内部制度以及合规要求的完善与调整。

总体而言，《个人信息保护法》中对于个人信息处理者和受托人较为重要的影响要点主要如下：

1、《个人信息保护法》构建了以更为严格的“告知-同意”为核心的个人信息处理规则

《个人信息保护法》项下的“告知”要求以显著方式、清晰易懂的语言真实、准确、完整地向个人告知个人信息处理者的名称或姓名和联系方式、个人信息的处理目的、方式和处理个人信息的种类、保存期限等。

该法同时要求该个人信息主体的同意应当由个人在充分知情的前提下自愿、明确作出，且处理目的、处理方式和处理的个人信息种类发生变更的，应当重新取得个人同意。此外，对于更多的处理行为则进行了更为严格的规定，要求应当取得个人的“单独”同意。

2、强化处理个人信息应遵循的原则，“同意”不再是合法处理“尚方宝剑”

在取得个人信息主体的同意的情况下，《个人信息保护法》的总则部分还确立了在处理个人信息过程中应遵循的各项原则，包括必须应当遵循合法、正当、必要和诚信原则，应当具有明确、合理的目的，限于最小目的范围、不得过度收集，应当公开、透明，保证个人信息的质量、避免因其不准确、不完整而对个人权利造成不利影响，同时也应采取必要的措施以保障所处理个人信息的安全。

由此课件，在同意机制方面，《个人信息保护法》更为严格，一是如果将“用户同意”作为处理个人数据的合法理由，用户同意必须是符合充分知情、自愿、明确等底线要求；二是对于敏感个人信息的处理，以及个人数据处理的高风险环节（出境，公开，向他人提供等），还要求单独同意。

企业在制定处理个人信息的相关制度、手册、细则、流程等内部文件时，应准确理解该些原则性条款的内涵，避免之前行业内“一同意了之”简单固定思维。

3、对个人信息处理者的义务作出了详细的规定，企业应注意严格履行相关义务

《个人信息保护法》规定了个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等，采取相关措施并防止未经授权的访问以及个人信息泄露、篡改、丢失。该些措施包括但不限于：制定内部管理制度和操作规程、对个人信息实行分类管理、采取相应的加密、去标识化等安全技术措施、合理确定个人信息处理的操作权限，并定期对从业人员进行安全教育和培训、制定并组织实施个人信息安全事件应急预案。

根据《个人信息保护法》的要求，企业作为个人信息处理者在处理敏感个人信息、利用个人信息进行自动化决策、委托处理个人信息（包括较为常见的委托催收等）、向其他个人信息处理者提供个人信息、公开个人信息、向境外提供个人信息或是其他对个人权益有重大影响的个人信息处理活动前应当进行个人信息保护影响评估，并对处理情况进行记录，且该些记录至少应保存三年。《个人信息保护法》还新设了个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行“合规审计”的要求。

4、《个人信息保护法》对责任规则的明确

《个人信息保护法》从行政、民事、刑事三个层面规定了个人信息处理者的责任，很多内容具有突破性和创新性，并借鉴了欧盟《一般数据保护条例》等域外先进的立法经验的相关规定。

行政责任方面，其规定了最高五千万元或上一年度营业额百分之五以下的大额罚款。相较于征求意见稿，新增了对违法处理个人信息的应用程序责令暂停或者终止提供服务，以及禁止责任人在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人的市场禁入行政责任，进一步明确了个人信息保护的责任规则。

民事责任方面，《个人信息保护法》则对个人信息处理者采取了严格的“过错推定”原则，即个人信息处理者如不能证明自己没有过错的，应当承担损害赔偿等侵权责任。

最后，如违反《个人信息保护法》规定处理个人信息，侵害众多个人的权益的，还可能被依法追究相应刑事责任。

该些责任条款的设计，在我国法律中是较为罕见的，在吸取国际经验的同时，也显示了国家的重视程度。此些不同责任的设定，也是进一步提醒了企业应当重视内部制度的制定、相关人员的合规培训以及日常经营中的持续性合规要求。

5、围绕诸多热点问题作出了相关的制度回应

譬如，对于数据复制权、可携带权的考量

数据复制权/可携带权是近年来个人信息保护法领域的一个热点话题。一方面，基于对用户权利的尊重，需要在立法中为用户实现对其个人信息的控制提供更为强大的权利保障，但另一方面，由于数据可携同时涉及第三人的隐私保护、数据安全以及市场竞争问题，迄今为止并没有明确定论。即便是最早引入数据可携的欧盟GDPR，到目前为止也没有落地的具体方案。从A平台到B平台的转移过程中，在传输方和接收方之间分配责任？谁最终对转移的数据安全负责？对于这些具体实操问题，目前还缺乏清晰的答案，特别是考虑到我国的个信法是一部综合性通用性的立法，因此，理论上各个机构都要适用，这些主体之间的数据可转移问题，还需结合行业、领域来看，难以一刀切适用。因此条文表述上，《个人信息保护法》对于该权利的规定也较为弹性，留待后续在实践中探索。

又如，将“守门人制度”引入到个人信息保护领域

在《个人信息保护法》制定过程中，国内也正掀起对大型互联网平台加强监管的风暴，同期，欧盟在竞争法领域提出了《数字市场法案》，我国将其中的“守门人”制度加以借鉴，并引入《个人信息保护法》，对其提出了特定的义务要求，包括成立主要由外部成员组成的独立机构，对个人信息处理活动进行监督；定期发布个人信息保护社会责任报告，接受社会监督等。

再如，对于“死者”个人信息保护问题的回应

伴随着数字化和老龄化的同步推进，死者的个人信息保护问题已成为各方关注的焦点。尽管对于死者是否具有基于个人信息的人格利益，目前在学界仍然是一个具有争议性的问题，各国立法与司法实践对死者的个人信息保护问题均持谨慎态度。我国《个人信息保护法》在民法典确立的侵权救济机制基础上又向前迈出一步，在立法中明确承认了死者的个人信息利益，并提出了具体的保护机制——即由死者近亲属为了自身的合法、正当利益，可以对死者的个人信息行使本章规定的查阅、复制、更正、删除等权利，但是死者生前另有安排的除外。

四、结语

总体而言，中国《个人信息保护法》在很多方面更多借鉴了GDPR的规定，比加州隐私立法（CCPA&CPRA）的相关条款更为严厉，甚至在某些方面体现出比GDPR更为严格的特点，譬如：

1、中国《个人信息保护法》对数据处理的合法性事由的限定更为严格，例如在同意机制方面，更为严格。

2、在信息披露方面，欧盟GDPR和美国加州隐私立法对于数据接收方的身份披露，均只要求披露到类型即可，但中国《个人信息保护法》的披露颗粒均要求到数据处理者的具体姓名/名称和联系方式等，且必须在数据处理活动之前披露。

3、在法律责任方面，中国建立了更为严格的追责体系，民事、行政、刑事领域对于违法行为的追责力度都力度空前。在民事领域确立过错推定、连带责任、公益诉讼等机制；在行政责任领域，引入了基于营业额的处罚基准；而在刑事领域，通过近年来陆续出台的刑事司法解释，入刑门槛低，刑罚重已然成为个人信息刑事责任体系的突出特点。

中国《个人信息保护法》的公布无疑对各行各业都会有着显著的影响，在给企业带来挑战的同时，企业对于个人信息保护及治理的能力也将成为企业的重要竞争力，因此，企业应尽快按照《个人信息保护法》的要求，梳理和审视自有业务中涉个人信息的模式和具体情形，结合自身实际情况，建立、完善个人信息保护及数据安全合规体系，从而平衡好自身的商业诉求和法律风险。