文丨天元律师事务所 朱宣烨 曾雯雯 王明志 张陆星 章文宇

2021年8月20日，第十三届全国人民代表大会常务委员会第三十次会议通过了《中华人民共和国个人信息保护法》（以下简称“《个保法》”），并将自2021年11月1日起施行。这是我国第一部个人信息保护方面的专门法律，进一步为个人信息权益提供了全面的保障。《个保法》的正式出台，一方面宣告“《网络安全法》-《数据安全法》-《个保法》”的网络安全与数据合规领域三驾马车的正式诞生；另一方面更标志着“《民法典》-《个保法》-相关规范标准”这一个人信息保护法治体系的最终确立，为个人信息保护合规奠定了坚实的法律基础。本文旨在对《个保法》的立法进程进行梳理，概述重点规则及合规义务，包括与《个人信息保护法（草案二次审议稿）》（以下简称“《二审稿》”）的对比。
（一）个人信息保护法治体系的历史沿革
（二）《个保法》的内容体系概述
《个保法》的第一章为“总则”，主要规定了立法目的、个人信息的定义、适用范围以及基本原则等内容。第二章为“个人信息处理基本规则”，分三节对个人信息处理的一般规定、敏感个人信息的处理规则以及国家机关处理个人信息的特别规定予以明确。第三章为“个人信息跨境提供的规则”，对于跨境提供个人信息的合规要件、处理规则、合规例外、国际协助处理规则作出规定。第四章为“个人在个人信息处理活动中的权利”，对知情权、决定权、查阅复制权、更正、补充的权利、删除权、解释说明权的内涵进行细化。第五章为“个人信息处理者的义务”，规定了个人信息处理者的一般安全义务、数据保护官规则、风险评估规则和泄露信息及时报告的义务。第六章为“履行个人信息保护职责的部门”，确立了以网信办为主导的个人信息保护行政监管体系，并细化相应部门职责。第七章为“法律责任”，从民事责任、行政责任、刑事责任三个方面对违法收集、处理和利用个人信息行为应承担的法律责任进行了规定，并创设了个人信息保护领域的公益诉讼制度。第八章为“附则”，规定了适用《个保法》的例外情形以及相关名词定义。
（三）《个保法》正向维度规定了处理个人信息的规则
《个保法》为个人信息处理者处理个人信息提供了明确指引，不仅确立了个人信息处理应遵循的原则，还对如何进行个人信息处理进行了详细规定。《个保法》较《二审稿》增加了“采取对个人权益影响最小的方式”、“保证个人信息的质量”的要求。同时，《个保法》明确了以“告知—同意”为核心的合法性基础，并且设置了特殊的同意规则。并且，从个人信息生命周期的角度，《个保法》对包括处理、存储、公开、撤回同意、委托处理、共同处理、转移、对外提供等各项环节提出了要求，对公共场所视频采集及使用、自动化决策等当前热点技术的运用进行了规定，并专节规定了敏感个人信息的处理规则，较《二审稿》进一步明确不满十四周岁未成年人的个人信息属于敏感个人信息。
《个保法》也回应了“大数据杀熟”这一社会热点问题，规定个人信息处理者利用个人信息进行自动化决策，应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇。
（四）《个保法》从制度保障和安全保障的维度对处理个人信息提出了规则要求
《个保法》不仅对信息主体的权利、企业处理各个阶段的义务进行了规定，还涵盖了企业整体的制度管理、人员管理等各个方面，并且从这些方面规定了个人信息处理者的义务。包括明确了个人信息处理者的合规管理、保障个人安全的义务；要求其按照规定制定内部管理制度和操作规程，采取相应的安全技术措施；并指定负责人对其个人信息处理活动进行监督，定期对个人信息处理活动进行合规审计，对处理敏感个人信息、向境外提供个人信息等高风险处理活动，进行事前风险评估，履行个人信息泄露通知和补救义务等。相较于《二审稿》，《个保法》对提供基础性互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者提出了义务要求，包括成立主要由外部成员组成的独立机构，对个人信息处理活动进行监督；对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者，停止提供服务；定期发布个人信息保护社会责任报告，接受社会监
（五）个人信息的跨境流动
个人信息的跨境流动，涉及个人的信息安全甚至国家安全。《个保法》确立了我国个人信息跨境流动的规则体系，规定个人信息以存储在境内为原则，在满足一定条件时可以进行个人信息的跨境提供。例如应当将信息接收方相关信息告知个人并取得个人的单独同意，并满足“通过国家网信部门组织的安全评估”、“按照国家网信部门的规定经专业机构进行个人信息保护认证”、“按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务”等条件之一。《个保法》所确立的个人信息跨境规则，为个人信息的跨境设置了具体合理且可行的法律依据，可以预见与之相关的配套制度也会逐渐完善。
（六）《个保法》从赋予信息主体权利的维度对处理个人信息提出了规则要求
《个保法》明文确定了信息主体享有个人信息处理的知情权、决定权，除此之外，还享有查询复制其个人信息、更正错误或者不完整信息、要求删除以及要求解释说明个人信息处理规则等一系列权利。并且，《个保法》要求个人信息信息处理者建立便捷的个人行使权利的申请受理和处理机制，较《二审稿》新增了“个人信息处理者拒绝个人行使权利的请求的，个人可以依法向人民法院提起诉讼”的规定，切实保障个人的权利。

（七）《个保法》对责任规则的明确
《个保法》规定了个人信息处理者的行政、民事、刑事三个层面的责任，很多内容具有突破性和创新性，并借鉴了欧盟《一般数据保护条例》（“GDPR”）等域外先进的立法经验的相关规定。相较于《二审稿》，《个保法》新增了对违法处理个人信息的应用程序责令暂停或者终止提供服务，以及禁止责任人在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人的行政责任，进一步明确了个人信息保护的责任规则。
后续，天元团队也将持续关注《个保法》出台后的执法趋势，并进行相应解读，为企业合规提供更加有效的帮助。
*感谢韦婉、田振一、王若男、周媛、韦婉、张琼、熊伊君、何琛、袁敏、李萌、初亭瑶对本文的贡献