第八章 附则 第六十八条 自然人因个人或者家庭事务而处理个人信息 的,不适用本法。 法律对各级人民政府及其有关部门组织实施的统计、档案管 理活动中的个人信息处理有规定的,适用其规定。
第六十九条 本法下列用语的含义: (一)个人信息处理者,是指自主决定处理目的、处理方式 等个人信息处理事项的组织、个人。 (二)自动化决策,是指利用个人信息对个人的行为习惯、 兴趣爱好或者经济、健康、信用状况等,通过计算机程序自动分 析、评估并进行决策的活动。 (三)去标识化,是指个人信息经过处理,使其在不借助额 外信息的情况下无法识别特定自然人的过程。 (四)匿名化,是指个人信息经过处理无法识别特定自然人 且不能复原的过程。
第七十条 本法自年 月 日起施行。
(一)明确本法适用范围 一是,对本法相关用语作出界定,规定:个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息;个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等活动。(草案第四条) 二是,明确在我国境内处理个人信息的活动适用本法的同时,借鉴有关国家和地区的做法,赋予本法必要的域外适用效力,以充分保护我国境内个人的权益,规定:以向境内自然人提供产品或者服务为目的,或者为分析、评估境内自然人的行为等发生在我国境外的个人信息处理活动,也适用本法;并要求境外的个人信息处理者在境内设立专门机构或者指定代表,负责个人信息保护相关事务。(草案第三条、第五十二条)
(二)健全个人信息处理规则 一是,确立个人信息处理应遵循的原则,强调处理个人信息应当采用合法、正当的方式,具有明确、合理的目的,限于实现处理目的的最小范围,公开处理规则,保证信息准确,采取安全保护措施等,并将上述原则贯穿于个人信息处理的全过程、各环节。(草案第五条至第九条) 二是,确立以“告知—同意”为核心的个人信息处理一系列规则,要求处理个人信息应当在事先充分告知的前提下取得个人同意,并且个人有权撤回同意;重要事项发生变更的应当重新取得个人同意;不得以个人不同意为由拒绝提供产品或者服务。考虑到经济社会生活的复杂性和个人信息处理的不同情况,草案还对基于个人同意以外合法处理个人信息的情形作了规定。(草案第十三条至第十九条) 三是,根据个人信息处理的不同环节、不同个人信息种类,对个人信息的共同处理、委托处理、向第三方提供、公开、用于自动化决策、处理已公开的个人信息等提出有针对性的要求。(草案第二十一条至第二十八条) 四是,设专节对处理敏感个人信息作出更严格的限制,只有在具有特定的目的和充分的必要性的情形下,方可处理敏感个人信息,并且应当取得个人的单独同意或者书面同意。(草案第二十九条至第三十二条) 五是,设专节规定国家机关处理个人信息的规则,在保障国家机关依法履行职责的同时,要求国家机关处理个人信息应当依照法律、行政法规规定的权限和程序进行。(草案第三十三条至第三十七条) 在应对新冠肺炎疫情中,大数据应用为联防联控和复工复产提供了有力支持。为此,草案将应对突发公共卫生事件,或者紧急情况下保护自然人的生命健康,作为处理个人信息的合法情形之一。需要强调的是,在上述情形下处理个人信息,也必须严格遵守本法规定的处理规则,履行个人信息保护义务。
(三)完善个人信息跨境提供规则 一是,明确关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的处理者,确需向境外提供个人信息的,应当通过国家网信部门组织的安全评估;对于其他需要跨境提供个人信息的,规定了经专业机构认证等途径。(草案第三十八条、第四十条) 二是,对跨境提供个人信息的“告知—同意”作出更严格的要求。(草案第三十九条) 三是,对因国际司法协助或者行政执法协助,需要向境外提供个人信息的,要求依法申请有关主管部门批准。(草案第四十一条) 四是,对从事损害我国公民个人信息权益等活动的境外组织、个人,以及在个人信息保护方面对我国采取不合理措施的国家和地区,规定了可以采取的相应措施。(草案第四十二条、第四十三条)
(四)明确个人信息处理活动中个人的权利和处理者义务 一是,与民法典的有关规定相衔接,明确在个人信息处理活动中个人的各项权利,包括知情权、决定权、查询权、更正权、删除权等,并要求个人信息处理者建立个人行使权利的申请受理和处理机制。(草案第四十四条至第四十九条) 二是,明确个人信息处理者的合规管理和保障个人信息安全等义务,要求其按照规定制定内部管理制度和操作规程,采取相应的安全技术措施,并指定负责人对其个人信息处理活动进行监督;定期对其个人信息活动进行合规审计;对处理敏感个人信息、向境外提供个人信息等高风险处理活动,事前进行风险评估;履行个人信息泄露通知和补救义务等。(草案第五十条、第五十一条、第五十三条至第五十五条)
(五)关于履行个人信息保护职责的部门 个人信息保护涉及各个领域和多个部门的职责。草案根据个人信息保护工作实际,明确国家网信部门负责个人信息保护工作的统筹协调,发挥其统筹协调作用;同时规定:国家网信部门和国务院有关部门在各自职责范围内负责个人信息保护和监督管理工作。(草案第五十六条) 此外,草案还对违反本法规定行为的处罚及侵害个人信息权益的民事赔偿等作了规定。
个人信息的处理
《个人信息保护法(草案)》规定了信息处理的原则,即合法性、适当性、准确性、透明性、最小范围使用和诚信原则。《个人信息保护法(草案)》规定了信息处理者和受托方,从架构上与《欧洲一般数据保护条例》(GDPR)中关于数据控制者和信息处理者的规定近似,但从文字表述上可能会给习惯于GDPR文字表述的人带来一定困惑。在《个人信息保护法(草案)》中,“个人信息处理”是指个人信息的收集、存储、使用、加工、传输、提供、披露及其他同个人信息相关的活动,“个人信息处理者”是指能够独立确定个人信息处理目的和方式的人。由此看出,《个人信息保护法(草案)》中规定的“信息处理者”其实基本等同于GDPR中的“数据控制者”。
域外适用
《个人信息保护法(草案)》在域外效力方面似乎与GDPR有异曲同工之处。草案规定,如果在境外处理数据的活动目的是为中国个人提供产品或服务,或者是为了分析或评估中国境内个人的行为,则《个人信息保护法(草案)》将适用于此类在中国境外的数据处理行为。
中国境外的信息处理者必须在中国设立专门机构,或任命一名代表来负责处理个人信息保护事务。目前尚不清楚如果违法者的外国实体在中国境内没有设立机构时,中国政府部门将会采取什么执法行动来行使该域外管辖权。
处理个人信息的法律依据和无需获取同意的情形
《个人信息保护法(草案)》规定了六种处理个人信息的法律依据:
[*]信息主体的同意;
[*]签订或履行合同所必需;
[*]为履行法定责任或法定义务所必需;
[*]为应对突发公共卫生事件,或者在紧急情况下为保护自然人生命健康和财产安全所必需;
[*]为公共利益实施新闻报道、舆论监督等行为;或
[*]法律、行政法规规定的其他情形。
上述法律依据似乎是对中国《网络安全法》的一项重大发展。《网络安全法》规定,数据收集和使用必须基于数据主体的同意,并没有明确规定无需同意的情况。收集个人信息毫无例外都需要数据主体同意,这种要求在实践中是否可行,曾在业界引起争论。
《网络安全法》之后出台的一些法律规范对严格的同意原则做了些变通,例如:
[*]《个人信息安全规范》规定,网络运营商可以在以下情况中不经同意而收集和使用个人信息,即为了履行合同或为了国家安全、公共利益和刑事侦查,或者为了保护数据主体的生命或重要财产。
[*]《中国民法典》规定,下列情况无需征得数据主体的同意;(i) 数据处理是为了保护公共利益或数据主体的合法权利,或者 (ii) 数据主体的个人信息已经公开可用,但数据主体明确反对对该数据进行处理的除外。
值得注意的是,《个人信息保护法(草案)》中规定的无需同意的范围比《民法典》要宽,但比《个人信息安全规范》要窄,这似乎意味着中国立法者正努力在数据商业利用与个人信息保护之间取得平衡。在《个人信息保护法》的最终版本中是否会进一步修改无需同意的范围还有待观察。
数据主体授权同意的新要求
对于必须征得数据主体同意的情况,《个人信息保护法(草案)》规定,应由个人在充分知情的前提下,自愿、明确作出意思表示。
这似乎与GDPR相似,后者在第4条第11款中的将同意定义为“数据主体依照其意愿自愿做出的、具体的、知情的及明确的确认意思表示。并且该意思表示通过声明或明确肯定的行为作出,以表明其同意对其相关的个人数据进行处理。”