《中華人民共和國(guó)個(gè)人信息保護(hù)法法》（“本法”）于2021年8月20日經(jīng)十三屆全國(guó)人大常委會(huì)第三十次會(huì)議通過(guò)，自2021年11月1日起施行。全文共八章七十四條，除了總則、附則及法律責(zé)任，主要包括“兩個(gè)規(guī)則”（處理規(guī)則和跨境提供規(guī)則）和“三個(gè)主體”（個(gè)人權(quán)利、處理者義務(wù)和監(jiān)管職責(zé)）。下文將對(duì)其進(jìn)行全面解讀。

　　一、立法背景

　　隨著全球網(wǎng)絡(luò)基礎(chǔ)設(shè)施的不斷完善，移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、云計(jì)算等服務(wù)的普及，世界已步入數(shù)字化時(shí)代。在數(shù)字時(shí)代下，數(shù)據(jù)成為了關(guān)鍵的生產(chǎn)要素，其中個(gè)人信息占有重要比重。數(shù)字診療、人臉識(shí)別、人工智能等領(lǐng)域的技術(shù)發(fā)展給人們生活帶來(lái)便捷的同時(shí)也使得個(gè)人信息遭受侵害的風(fēng)險(xiǎn)成幾何量級(jí)增大，導(dǎo)致泄露事件層出不窮、愈演愈烈。

　　因此，個(gè)人信息保護(hù)逐漸成為各國(guó)立法機(jī)構(gòu)關(guān)注的重要議題。至今，全球已經(jīng)有140多個(gè)國(guó)家和地區(qū)制定了個(gè)人信息保護(hù)有關(guān)的法律。2018年實(shí)施的歐盟《通用數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation “GDPR”）獨(dú)樹(shù)一幟，成為很多國(guó)家立法的重要參考。

　　近年來(lái)，我國(guó)作為數(shù)字經(jīng)濟(jì)的大國(guó)也在搭建個(gè)人信息保護(hù)方面的法律體系。其中，《民法典》設(shè)立專章規(guī)范隱私權(quán)和個(gè)人信息保護(hù)，《刑法修正案》增加侵犯公民個(gè)人信息罪等罪名，《網(wǎng)絡(luò)安全法》確立個(gè)人信息保護(hù)的原則，《數(shù)據(jù)安全法》（“數(shù)安法”）從數(shù)據(jù)作為信息底層載體的角度提出數(shù)據(jù)安全措施要求，《電子商務(wù)法》對(duì)電子商務(wù)經(jīng)營(yíng)者提出個(gè)人信息保護(hù)要求等等。而該領(lǐng)域的專門法律一直缺位，社會(huì)各界呼吁制定《個(gè)人信息保護(hù)法》的聲音越來(lái)越高?！秱€(gè)保法》自2020年10月13日首個(gè)草案提出以來(lái)，歷經(jīng)三次審議、多次修訂，終于正式出臺(tái)。

　　二、健全個(gè)人信息處理原則和規(guī)則

　?。?一 ） 六大處理原則

　　本法確立了處理個(gè)人信息應(yīng)遵循六個(gè)主要原則：合法正當(dāng)必要誠(chéng)信（第5條）、目的明確合理（第6條）、最小必要（第6條）、處理公開(kāi)透明（第7條）、準(zhǔn)確完整（第8條）、安全保障（第9條）。上述原則與世界趨同的個(gè)人信息保護(hù)原則以及《民法典》、《網(wǎng)絡(luò)安全法》的規(guī)定基本一致，其適用精神貫穿全文。

　?。?二 ） “告知+同意”處理規(guī)則

　　在處理規(guī)則方面，本法確立“告知＋同意”為核心，體現(xiàn)了對(duì)個(gè)人權(quán)益的尊重，也與上文的合法正當(dāng)和公開(kāi)透明兩個(gè)原則相呼應(yīng)。

　　1.“告知”義務(wù)

　　本法第14條就將“充分知情”作為“同意”的前提條件。本法第17條具體列舉個(gè)人信息處理者（“處理者”）應(yīng)當(dāng)告知的事項(xiàng)，主要包括其處理者基本信息、信息處理的目的和方式等、行使本法權(quán)利的方式和程序。本法第18條規(guī)定了告知的例外情形，在法律、行政法規(guī)規(guī)定應(yīng)當(dāng)保密或不需要告知的情況下，可以免除告知義務(wù)，但是該義務(wù)在緊急情況下無(wú)法及時(shí)履行時(shí)并不免除，而是將前置改為后置，體現(xiàn)告知義務(wù)的重要性。

　　在以上普遍適用原則的基礎(chǔ)上，本法還規(guī)定了如下五類需要履行告知義務(wù)的情況：

　　1） 承繼轉(zhuǎn)移和向第三方傳輸（第22、23條）- 前者是處理者在合并、分立、解散、破產(chǎn)等情況下轉(zhuǎn)移，而后者是向第三方提供。這兩種情況雖然均需履行告知義務(wù)，但內(nèi)容略有不同。前者僅需告知接收方的基本信息，而后者還需包括處理目的、方式、信息種類。其差別在于前者的接收方承繼了處理者的原有業(yè)務(wù)，其處理目的和方式等在一般情況下不會(huì)有變化；而后者的接收方是獨(dú)立的第三方，其處理目的和方式等很可能會(huì)發(fā)生變化，需要額外告知。

　　2） 處理敏感個(gè)人信息（第30條） - 需告知處理的必要性及對(duì)個(gè)人的影響。

　　3） 履行法定職責(zé)（第35條）

　　4） 信息出境（第39條）

　　2.“同意”義務(wù)

　　除了本法第13條（2）-（7）列舉的情形之外，取得個(gè)人同意是處理個(gè)人信息的前提，包括第（5）項(xiàng)下涉及對(duì)個(gè)人權(quán)益有重大影響的處理行為（第27條）。本法第14條明確了同意需基于個(gè)人“充分知情”、“自愿”、“明確”的前提。第15、16條則賦予個(gè)人撤回權(quán)，并禁止處理者以不同意或撤回同意為由拒絕提供非必需的產(chǎn)品或者服務(wù)。

　　在以上普遍適用原則的基礎(chǔ)上，本法還規(guī)定了如下五類需要取得“單獨(dú)同意”的情況：

　　1） 向第三方提供（第23條）

　　2） 公開(kāi)（第25條）

　　3） 收集個(gè)人圖像、身份特征信息用于公共安全之外目的（第26條）

　　4） 處理敏感個(gè)人信息（第29條）

　　5） 向境外提供（第39條）

　　三、涉及的跨境問(wèn)題

　?。?一 ） 域外適用

　　本法第3條賦予了一定的域外適用效力。雖然《數(shù)安法》第2條也類似規(guī)定，但本法的適用范圍更加明確，即“向境內(nèi)自然人提供產(chǎn)品或者服務(wù)為目的”和“分析、評(píng)估境內(nèi)自然人的行為”，與GDPR第3條第2款的“提供產(chǎn)品或者服務(wù)”以及“行為監(jiān)控”相對(duì)應(yīng)。這意味著境外機(jī)構(gòu)或個(gè)人即使在中國(guó)沒(méi)有任何商業(yè)存在，只要符合所列情況，便受本法的管轄。

　?。?二 ） 個(gè)人信息的跨境提供

　　關(guān)于個(gè)人信息出境的安全評(píng)估要求，首見(jiàn)于《網(wǎng)絡(luò)安全法》第37條，不過(guò)僅適用于關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者。而《個(gè)人信息出境安全評(píng)估辦法（征求意見(jiàn)稿）》（“出境辦法”）將適用范圍擴(kuò)大至所有網(wǎng)絡(luò)運(yùn)營(yíng)者，給業(yè)界帶來(lái)一定震動(dòng)和壓力。本法第40條試圖在以上兩者之間找到一個(gè)平衡，將安全評(píng)估的適用范圍局限于“關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者”和“處理個(gè)人信息達(dá)到國(guó)家網(wǎng)信部門規(guī)定數(shù)量的處理者”。至于處理個(gè)人信息的具體數(shù)量多少將觸發(fā)安全評(píng)估，待國(guó)家網(wǎng)信部門在配套規(guī)定予以明確。

　　此外，鑒于安全評(píng)估在某些情況下可能無(wú)法滿足跨境流動(dòng)對(duì)時(shí)效性的要求，本法第38條為處理者還提供了另外兩個(gè)明確的出境途徑：（1）經(jīng)專業(yè)機(jī)構(gòu)認(rèn)證；（2）與境外接收方訂立標(biāo)準(zhǔn)合同。這體現(xiàn)了在安全有序的前提下，促進(jìn)個(gè)人信息跨境自由流動(dòng)的立法態(tài)度。

　?。?三 ） 向外國(guó)司法或者執(zhí)法機(jī)構(gòu)提供個(gè)人信息

　　本法第41條明確在應(yīng)外國(guó)司法或者執(zhí)法機(jī)構(gòu)要求向境外提供個(gè)人信息的情況下，需要取得主管部門事先批準(zhǔn)。《數(shù)安法》第36條也有相同規(guī)定。這與《民事訴訟法》第277條關(guān)于司法協(xié)助情況下外國(guó)機(jī)關(guān)或者個(gè)人在國(guó)內(nèi)調(diào)查取證的立法精神一致，體現(xiàn)我國(guó)司法主權(quán)。而此次將“執(zhí)法機(jī)構(gòu)”加入規(guī)范之列是回應(yīng)了近年來(lái)很多國(guó)家，包括美國(guó)出臺(tái)的《澄清境外數(shù)據(jù)合法使用法案》、《外國(guó)公司問(wèn)責(zé)法》在內(nèi)，不斷擴(kuò)大跨境數(shù)據(jù)調(diào)取權(quán)利的立法趨勢(shì)。

　?。?四 ） 反制和限制措施

　　依據(jù)國(guó)際法的對(duì)等原則，本法第43條就國(guó)外采取個(gè)人信息保護(hù)方面的歧視性措施時(shí)，賦予我國(guó)采取反制措施的權(quán)利。這與《數(shù)安法》第26條就國(guó)外采取與數(shù)據(jù)投資、貿(mào)易相關(guān)的歧視性措施時(shí)我國(guó)有權(quán)反制的規(guī)定一脈相承。

　　相較于《數(shù)安法》，本法第42條增設(shè)了一個(gè)“黑名單”制度，即對(duì)于從事侵害我國(guó)權(quán)益的境外主體，將被列入限制或禁止提供個(gè)人信息的清單，并采取限制或禁止措施。在表述上，第42條適用的范圍比第3條的域外適用范圍更加廣泛。

　　近年來(lái)，有些國(guó)家以國(guó)家安全、個(gè)人信息保護(hù)為由對(duì)我國(guó)科技企業(yè)（例如Tiktok和華為事件）采取“圍追堵截”的措施。本法設(shè)立的反制和限制措施恰逢其時(shí)，豐富了我國(guó)在國(guó)際政治博弈斗爭(zhēng)中的“工具箱”。

　　四、個(gè)人權(quán)利與處理者的義務(wù)

　　（ 一 ） 個(gè)人的權(quán)利

　　本法第四章專門明確個(gè)人在信息處理中的各項(xiàng)權(quán)利，包括：知情和決定權(quán)（第44條）、查閱和復(fù)制權(quán)（第45條）、可攜帶權(quán)（第45條）、更正和補(bǔ)充權(quán)（第46條）、刪除權(quán)（第47條）、請(qǐng)求解釋說(shuō)明權(quán)（第48條）、逝者近親屬的行使權(quán)（第49條）。這與《民法典》第1037條規(guī)定的查閱權(quán)、復(fù)制權(quán)、更正權(quán)、刪除權(quán)等相銜接，并予以豐富和細(xì)化。同時(shí)本法也要求處理者建立個(gè)人權(quán)利的申請(qǐng)受理和處理機(jī)制（第50條）。

　　（ 二 ） 處理者的義務(wù)

　　個(gè)人在個(gè)人信息保護(hù)方面的權(quán)利實(shí)現(xiàn)，很大程度上依賴于處理者對(duì)其義務(wù)的履行。本法第五章主要從“明確措施、落實(shí)人頭、平臺(tái)責(zé)任”三個(gè)方面強(qiáng)化處理者的責(zé)任。

　　1.明確措施

　　本法對(duì)處理者提出了事前、事中、事后全流程的保障義務(wù)要求：

　　1） 事前影響評(píng)估（第55、56條）——要求在對(duì)個(gè)人有重大影響的個(gè)人信息處理活動(dòng)之前進(jìn)行個(gè)人信息保護(hù)影響評(píng)估。其列舉的適用情況與上文需取得“單獨(dú)同意”的情況類似，背后的共同邏輯是法律對(duì)處理者的義務(wù)要求需與處理活動(dòng)本身的風(fēng)險(xiǎn)程度相匹配。該設(shè)計(jì)借鑒了GDPR規(guī)定的“數(shù)據(jù)保護(hù)影響評(píng)估”（Data Protection Impact Assessment，DPIA）制度。

　　2） 事中保護(hù)措施和合規(guī)審計(jì)（第51、54條）——詳細(xì)列舉了處理者在日常運(yùn)營(yíng)過(guò)程中應(yīng)采取安全保護(hù)措施，包括制度制定、分級(jí)管理、技術(shù)措施、權(quán)限確定、定期培訓(xùn)、應(yīng)急預(yù)案等。而且要求處理者定期進(jìn)行合規(guī)審計(jì)。

　　3） 事后補(bǔ)救和通知義務(wù)（第57條）——要求處理者在發(fā)生個(gè)人信息泄露等情況下采取補(bǔ)救措施并通知監(jiān)管部門和個(gè)人。這與《民法典》第1038條補(bǔ)救措施和報(bào)告制度相銜接。

　　2.落實(shí)人頭

　　本法第52條規(guī)定處理個(gè)人信息達(dá)到網(wǎng)信部門規(guī)定數(shù)量的處理者應(yīng)當(dāng)指定“個(gè)人信息保護(hù)負(fù)責(zé)人”，對(duì)內(nèi)負(fù)責(zé)對(duì)處理活動(dòng)和保護(hù)措施等進(jìn)行監(jiān)督，對(duì)外擔(dān)任聯(lián)系人和與監(jiān)管溝通人的角色。可以看出，本條借鑒了GDPR數(shù)據(jù)保護(hù)官（Data Protection Officer，DPO）制度。與GDPR僅概括性地規(guī)定適用從事“大規(guī)模”數(shù)據(jù)處理業(yè)務(wù)的公司一樣，本條也未明確“達(dá)到網(wǎng)信部門規(guī)定數(shù)量”的具體標(biāo)準(zhǔn)，待網(wǎng)信部門后續(xù)出臺(tái)相關(guān)指引予以明確。

　　本法第53條要求境外處理者在分析、評(píng)估境內(nèi)自然人行為的情況下在境內(nèi)設(shè)立“專門機(jī)構(gòu)或者指定代表”。該要求與《出境辦法》第20條中要求收集境內(nèi)用戶個(gè)人信息的境外機(jī)構(gòu)在境內(nèi)設(shè)立“法定代表人或者機(jī)構(gòu)”的內(nèi)在邏輯一致，不過(guò)其表述比后者更加清晰明了，避免了與公司法項(xiàng)下概念混淆。

　　3.平臺(tái)責(zé)任

　　本法第58條創(chuàng)造性地引入了個(gè)人信息保護(hù)“守門人”的概念，即要求超大型平臺(tái)（提供重要互聯(lián)網(wǎng)平臺(tái)服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的處理者）承擔(dān)起個(gè)人信息保護(hù)“閘門”作用，具體義務(wù)包括：成立外部獨(dú)立機(jī)構(gòu)、制定平臺(tái)規(guī)則、停止違規(guī)者服務(wù)、定期發(fā)布社會(huì)責(zé)任報(bào)告等。可見(jiàn)這些超大型平臺(tái)企業(yè)，不僅應(yīng)盡到一般處理者的義務(wù)，還應(yīng)承擔(dān)更高意義上的平臺(tái)治理責(zé)任。

　　五、監(jiān)管部門

　　本法第六章明確了個(gè)人信息保護(hù)的監(jiān)管部門及分工。其具體內(nèi)容整理如下表：

　　履行個(gè)人信息保護(hù)職責(zé)的部門

　　六、帶“牙齒”的法律

　　為了確保規(guī)定的各項(xiàng)要求落到實(shí)處，切實(shí)保護(hù)個(gè)人的權(quán)益，本法對(duì)個(gè)人信息保護(hù)的違法行為構(gòu)建了從信用公示到刑事懲處一個(gè)全方位、多維度的法律責(zé)任體系，具體包括：行政處罰（第66條）、信用公示（第67條）、私益訴訟（第69）、公益訴訟（70條）、治安處罰和刑事責(zé)任（第71條）。

　　其中兩個(gè)“亮點(diǎn)”值得關(guān)注：高額的處罰金額和公益訴訟制度的引入。其直指實(shí)踐中個(gè)人信息保護(hù)工作的兩大痛點(diǎn)：（１） 因違法成本低造成社會(huì)普遍對(duì)個(gè)人信息保護(hù)重視不足；（２）因侵犯?jìng)€(gè)人信息的違法行為隱蔽性強(qiáng)、調(diào)查取證難、個(gè)人防范意識(shí)差、維權(quán)成本高等因素，導(dǎo)致鮮有個(gè)人通過(guò)私益民事訴訟的方式維護(hù)自身權(quán)益。具體規(guī)定及分析如下：

　　1） 本法第66條規(guī)定違法行為最高面臨“五千萬(wàn)元以下或者上一年度營(yíng)業(yè)額百分之五以下罰款”。這相較于《網(wǎng)絡(luò)安全法》的一百萬(wàn)罰款上限，大幅提高懲戒力度，與GDPR項(xiàng)下罰款最高達(dá)全球年度營(yíng)業(yè)額的百分之四的標(biāo)準(zhǔn)接軌，彰顯國(guó)家在個(gè)人信息保護(hù)方面的決心。

　　2） 本法第70條規(guī)定對(duì)于侵害眾多個(gè)人權(quán)益的違法行為，人民檢察院、消費(fèi)者組織和網(wǎng)信部門確定的組織均享有訴訟權(quán)利。這是繼生態(tài)環(huán)境和資源保護(hù)、食品藥品安全等領(lǐng)域之后，公益訴訟首次在個(gè)人信息保護(hù)領(lǐng)域的適用。

　　七、結(jié)語(yǔ)

　　本法在借鑒國(guó)際成熟的保護(hù)原則和立法經(jīng)驗(yàn)基礎(chǔ)上，結(jié)合我國(guó)國(guó)情，將之前相關(guān)法律、法規(guī)、標(biāo)準(zhǔn)中的實(shí)施經(jīng)驗(yàn)和成熟措施上升為法律規(guī)范，在制度設(shè)計(jì)、維權(quán)途徑、處罰力度等方面具有諸多創(chuàng)新和突破之處，完善了我國(guó)個(gè)人信息保護(hù)法律保護(hù)體系，提升了我國(guó)個(gè)人信息保護(hù)標(biāo)準(zhǔn)。其作用不僅在于促進(jìn)我國(guó)數(shù)字經(jīng)濟(jì)的良性發(fā)展，還有利于我國(guó)參與國(guó)際規(guī)則的制定，促進(jìn)個(gè)人信息保護(hù)領(lǐng)域的國(guó)際交流與合作。

　　本法的很多內(nèi)容帶有鮮明的數(shù)字時(shí)代烙印，如自動(dòng)化決策（第24條）。雖然個(gè)人信息不僅限于以電子方式記錄，但隨著網(wǎng)絡(luò)對(duì)人們生活的深度滲透，以電子方式記錄的個(gè)人信息無(wú)論從數(shù)量級(jí)還是面臨侵害的風(fēng)險(xiǎn)程度來(lái)說(shuō)，都無(wú)疑占據(jù)主要地位。因此，網(wǎng)絡(luò)空間必將成為個(gè)人信息保護(hù)工作的“主戰(zhàn)場(chǎng)”。

　　作為中國(guó)首部個(gè)人信息保護(hù)方面的專門法律，本法在正式頒布實(shí)施后，將肩負(fù)起數(shù)字時(shí)代下個(gè)人信息“保護(hù)神”的使命，引導(dǎo)我國(guó)個(gè)人信息保護(hù)的法制建設(shè)步入一個(gè)新的篇章。