從八大關鍵詞與業務場景看《個人信息保護法(草案)》

來源：上海律協（本文系作者投稿）

作者：戴健民、鄧志松 北京大成（上海）律師事務所

· 歡迎大家踴躍留言，分享交流各自觀點 ·

· 此文系作者個人觀點，不代表上海市律師協會立場 ·

2020年10月21日，備受矚目的《個人信息保護法（草案）》（以下簡稱「草案」），在經過全國人大常委會第一次審議後，正式向社會公布並徵求意見。草案有著「中國版GDPR（《通用數據保護條例》）」之稱，被廣泛認為將對傳統行業、新興領域乃至整個數字經濟的長遠發展，產生重大而深刻的影響。

本文將通過八大關鍵詞與八個典型業務場景，幫助讀者直擊草案核心內容，一窺「個保法」時代的重要特徵。

關鍵詞一

域外適用（「長臂管轄」）

考慮到數據流動性的現實，在借鑑其他國家和地區做法的基礎上，草案賦予了《個人信息保護法》必要的域外適用效力，增添了中國特色的「長臂管轄」條款。根據草案第二條的規定，除了在中國境內處理個人信息的活動，當然地適用《個人信息保護法》外，在中國境外處理境內自然人個人信息的活動，也可能適用本法，具體情形包括：

（1）以向境內自然人提供產品或者服務為目的；

（2）為分析、評估境內自然人的行為。

基於該等規定，外國公司（無論在中國是否設有分支機構）、中國公司的境外分支機構，均有可能受到《個人信息保護法》的管轄。對於這類境外主體，其還應當在境內設立專門機構或者指定代表，負責個人信息保護相關事務。

案例1

某歐洲小眾奢侈品牌，在中國並未設立子公司，但其運營的全球網站提供中文在內的多語種界面，並支持在線下單、支付寶付款與跨境配送。

——根據草案，該公司很可能受到管轄，並應履行相應的個人信息保護義務。

關鍵詞二

同意vs無需同意

草案沿用了《網絡安全法》與國家標準《個人信息安全規範》中「告知+同意」的合法性基礎，即「個人在充分知情的前提下，自願、明確作出授權的意思表示」是處理個人信息的首要規則。同時，就同意而言，草案也首次區分了「單獨同意」與「書面同意」的情形。

更重要的是，草案還借鑑了GDPR中規定的其他合法性基礎，在同意的基礎上，增設了五種無需同意的例外情形：

（1）為訂立或者履行個人作為一方當事人的合同所必需；

（2）履行法定職責或者法定義務所必需；

（3）應對公共衛生事件和緊急避險所必需；

（4）為公共利益實施新聞報導、輿論監督所合理必需；

（5）其他法定情形。

這種更加科學的「同意+例外」規制方式，給予了個人信息處理更靈活的空間，並可在一定程度上幫助企業降低合規成本。

案例2

某跨境物流公司為提升用戶體驗，擬推出「一鍵式」下單計劃，減少各類彈窗、提醒，但苦於法律對用戶同意的強制要求，遲遲無法落地。

——根據草案，對於為履行物流合同所必需收集的個人信息（如收寄件人地址、聯繫方式等），該公司將無需取得用戶同意，即無須設置勾選或點擊等繁瑣操作，僅履行告知義務即可。

關鍵詞三

跨境傳輸

中國法下的個人信息跨境傳輸，始終是企業合規實踐中的痛點與難點。草案在《網絡安全法》的基礎上，進一步豐富並突破了現有的跨境傳輸規則。

首先，對於本地化儲存的範圍：對於「關鍵信息基礎設施運營者（CIIO）」或「處理個人信息達到國家網信部門規定數量的個人信息處理者」，應當將其在境內收集和產生的個人信息，存儲在中國境內。以信息數量作為本地化義務的標準，這一規定大幅突破了現有的法律框架。

其次，對於前述兩類主體之外的一般處理者，跨境傳輸應當至少具備下列一項條件：

經專業機構進行個人信息保護認證；

與境外接收方訂立合同，約定雙方的權利和義務，並監督其達到本法規定的個人信息保護標準；

其他法定條件。

前述（1）項條件可能部分借鑑了GDPR下的認證機制（certification mechanism）；

（2）項條件延續了《個人信息出境安全評估辦法（徵求意見稿）》的做法，提供類似「標準合同條款（SCCs）」的保護機制。

案例3

某日資企業（日本公司的中國分支）需要將境內B2C業務收集到的個人信息，以及中國員工的詳細績效報告，通過網絡發送給位於境外的總部。假設該企業並非CIIO且個人信息數量較少，該如何操作？——根據草案，其可以選擇：與日本總部籤署數據傳輸協議，或者尋求專業機構的認證；同時，還應當向客戶與員工告知並徵得同意。

關鍵詞四

主體權利

相比於《民法典》和《個人信息安全規範》，草案以專章立法的方式，貫穿個人信息的全生命周期，全面規定個人信息主體的五大類權利，高度重視權利保護。這些權利包括：

（1）知情權、決定權、限制和拒絕權；

（2）查閱、複製權；

（3）更正、補充權；

（4）刪除權；

（5）要求個人信息處理者解釋說明處理規則的權利。

這些權利並非形式性的存在，草案專門規定：個人信息處理者應當建立個人行使權利的申請受理和處理機制，拒絕個人行使權利的請求的，應當說明理由。從實踐角度，草案為企業施加了保障用戶行權的強制性義務。

案例4

某私立教育機構通過「智慧成長系統」長期追蹤學生的學業表現、日常考勤、興趣愛好等。某15歲學生向機構提出，希望了解並查閱所有和她有關的檔案記錄。該機構以不合內部規定為由，拒絕請求。

——根據草案，該教育機構應當向學生解釋說明處理規則，並保障其知情、查閱等權利。

關鍵詞五

「DPO」

草案提出「個人信息保護負責人」的制度性要求：即處理個人信息達到一定數量的處理者，應指定個人信息保護負責人，負責對個人信息處理活動以及採取的保護措施等進行監督；並且，還應將個人信息保護負責人的姓名、聯繫方式等予以公開，並報送相關主管部門。

從任命條件、職能、公開和報送要求等方面來看，這一概念與GDPR下的數據保護官（Data Protection Officer,DPO）存在相當的相似性。鑑於目前的規定相對籠統，已經任命全球或中國DPO的企業，尤其是跨國公司，可待後續配套規定釐清個人信息保護負責人的任職資格、具體義務和負責事項等後，另行決定是否需要另行任命或內部兼任。

案例5

某中國民營航空公司，同時運營歐美至中國的國際航線與大量國內航班，已在歐盟當地派駐由本地人士擔任的GDPR-DPO。公司擬新設個人信息保護負責人崗位，並由集團風控總監兼任。

——根據草案，暫時無法確認個人信息保護負責人的任職資格與條件。但出於有效履責的角度，專人專崗或許是最佳實踐。

關鍵詞六

風險評估

草案規定個人信息處理者在進行特定個人信息處理活動前，應進行風險評估，並予以記錄。具體而言，「特定個人信息處理活動」主要是指對個人有重大影響的個人信息處理活動，例如涉及：

（1）處理敏感個人信息；

（2）利用個人信息進行自動化決策；

（3）委託處理、向第三方提供或公開個人信息；

（4）向境外提供個人信息。

風險評估的內容主要包括個人信息處理目的、方式的合法、正當、必要性；對個人的影響及風險程度；以及所採取的安全保護措施的適當性。

這一規定在適用條件和評估內容方面，能夠看到GDPR下數據保護影響評估制度（DPIA）的影響。與《個人信息安全規範》下的「個人信息安全影響評估」（PIA）相比，風險評估制度進一步明確了適用範圍。

案例6

某B2C網際網路企業的App端產品，擬引入人臉識別功能，進行用戶年齡的確認、帳號安全性改進以及改善服務體驗。公司合規部門擬就該計劃是否可行給出意見。

——根據草案，處理包括個人生物特徵在內的敏感個人信息前，應當進行風險評估。

關鍵詞七

洩露通知

《網絡安全法》要求，在發生或者可能發生個人信息洩露、毀損、丟失的情況時，立即採取補救措施，按照規定及時告知用戶並向有關主管部門報告。

草案則在此基礎上細化，規定需要通知的內容包括：

（1）個人信息洩露的原因；

（2）洩露的個人信息種類和可能造成的危害；

（3）已採取的補救措施；

（4）個人可以採取的減輕危害的措施；以及

（5）個人信息處理者的聯繫方式。

此外，草案還明確如採取措施能夠有效避免信息洩露造成損害的，可以不通知個人。與GDPR相比，草案中的個人信息洩露通知要求並未涉及通知時限、受託處理者的配合義務以及是否可以分階段提供等實操性問題，未來有待進一步澄清或在配套規定中明確。

案例7

某美資公司要求，員工必須使用公司分配的移動硬碟、辦公電腦，某次內部盤點發現一臺加密移動硬碟丟失，其中存有大量用戶帳號與地址，但具體丟失時間不詳。

——根據草案，硬體丟失是否應視作「洩露」並無規定，但域外經驗則通常視作洩露事件。此時，公司應當及時採取相應的措施與行動。

原標題：《從八大關鍵詞與業務場景看《個人信息保護法（草案）》》

閱讀原文