至合律师

至善至美，至真至合  

《个人信息保护法》千呼万唤始出来，开启了一个时代的新篇章。自2003年国务院信息化办公室部署个人信息保护法立法研究工作，到2018年十三届全国人大常委会将《个人信息保护法》正式列入立法规划，如今《个人信息保护法》正式通过，并将于2021年11日1日正式施行。走过近20年，终于填补了数字社会重要的法律板块。自此，我国形成了以《网络安全法》、《数据安全法》、《个人信息保护法》三法为核心的网络法律体系，为数字时代的网络安全、数据安全、个人信息权益保护提供了基础制度保障。

本文试从《个人信息保护法》（以下简称“个保护”）解读入手，探析政府监管动向，同时提出个人信息处理者（企业）应对措施建议，供大家参酌。

一、将“个人信息受法律保护”上升为一种公民基本权利

数字时代的《个人信息保护法》，是保障个人信息权益乃至宪法性权利的基本法。《个人信息保护法》第一条即开宗明义，为了保护个人信息权益，规范个人信息处理活动，促进个人信息合理利用,根据宪法，制定本法。其中在立法依据中“根据宪法”这四个字，是在“个保法”三审过程中加入的，这表明：我国将个人信息受保护的权利提升至更高高度，其来源于《宪法》：国家尊重和保障人权，公民的人格尊严不受侵犯，公民的通信自由和通信秘密受法律保护。

在宪法层面理解个人信息受法律保护需要与其他的基本权利加以平衡，其真正的含义是“个人信息处理中的个人保护权”，保护的是个人主体权利不因个人信息处理而受到侵害。也就是说，在宪法层面上的“个人信息保护权”并不是个人信息受保护，而是个人信息上的个人主体权利受保护（或受到尊重），不因社会中对个人信息的使用行为而受到侵犯。在国际社会，个人信息保护定位于基本人权意义上的隐私权，即保护人作为主体的尊严或自由。增加“根据宪法，制定本法”的规定，使个人信息保护权成为受宪法保护的人权，将使我国亦可以实现以人权制衡，平等地参与国际对话、对抗、谈判，为我国数字经济发展提供安全保障。

二、个人信息的定义最终确立为“识别+关联”的判断路径

2016年，《网络安全法》第七十六条规定，“个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证号码、个人生物识别信息、住址、电话号码等。”

2017年，《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第一条规定，“公民个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”

2020年，《信息安全技术 个人信息安全规范 》对个人信息的定义是“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。”

2020年，《民法典》第一千零三十四条规定，“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。”

2021年，《个人信息保护法》第四条规定，“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。”

个人信息的定义，历经《网络安全法》、《个人信息安全规范》和《民法典》的多次修正，从最初的“识别标准”到如今最终确立“识别+关联”的判断路径，与欧盟95/46/EC指令和GDPR非常接近。实践中，判定某项信息是否属于个人信息，通常考虑以下两条路径：一是识别，即从信息到个人，由信息本身的特殊性识别出特定自然人，个人信息应有助于识别出特定个人（如身份证号）；二是关联，即从个人到信息，如已知特定自然人，由该特定自然人在其活动中产生的信息（如个人位置信息、个人通话记录、个人浏览记录等）即为个人信息。符合上述两种情形之一的信息，均应判定为个人信息。

总体而言，“个保法”对个人信息的定义采取了“宽进严出”的态度，对个人信息范围限定得比较大，凡符合识别标准或关联标准，均可能构成个人信息。但这也意味着判定信息是否属于个人信息，可能在不同的场景中得到不同的认定结果。同时，还明确了匿名化之后的数据不再属于个人信息。

 

三、“决策”不能任性而动，个人有权拒绝自动化决策

今年2月，国务院反垄断委员会印发并实施《关于平台经济领域的反垄断指南》（下称“《指南》”），对“二选一”、“大数据杀熟”等行为进行了界定。不过，华东政法大学竞争法研究中心执行主任钟刚曾表示，《指南》是指导性文件，作用在于更好地指引执法机构按照指南中的细化内容去实际实施《反垄断法》中的落地事由，不具有强制性。从专业角度来说《指南》没有本质改变法律的要求，只是在具体实施中提出了呼吁和要求，还并没有转换成法律层面的义务。

本次“个保法”的出台，立足于维护广大人民群众的网络空间合法权益，对利用个人信息进行自动化决策作出有针对性规范，意味着“大数据杀熟”迎来法律管束，消费者个人信息得到法律保护。第二十四条明确规定，个人信息处理者利用个人信息进行自动化决策，应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇；通过自动化决策方式向个人进行信息推送、商业营销，应当同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式。

在司法实践中，目前个人针对“大数据杀熟”通过法律手段来维护自身合法权益的案例并不多，但随着“个保法”的即将施行，消费者通过法律维权的难度降低，更有利于个人合法权益的保护。因此，实务操作中，企业在利用个人信息进行自动化决策前，有必要严格按照“个保法”的规定在事前进行个人信息保护影响评估，其次应明确业务拟通过自动化决策将要实现的目的，如自动化决策是为向个人进行信息推送、商业营销等，应基于同意的法律基础进行个人信息处理，并提供拒绝的方式。

四、严格保护个人敏感信息，单独同意是前提

值得关注的是，《个人信息保护法》第二十八条将生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息列为敏感个人信息。并且要求，只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，方可处理敏感个人信息，同时应当事前进行影响评估，并向个人告知处理的必要性以及对个人权益的影响。

全国人大常委会法工委经济法室副主任杨合庆20日对个人信息保护法进行权威解读时说到:这主要是考虑到此类信息一旦泄露或者被非法使用，极易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害，因此，对处理敏感个人信息的活动应当作出更加严格的限制。

另外，为保护未成年人的个人信息权益和身心健康，《个人信息保护法》特别将不满十四周岁未成年人的个人信息确定为敏感个人信息予以严格保护。同时，与《未成年人保护法》有关规定相衔接，要求处理不满十四周岁未成年人个人信息应当取得未成年人的父母或者其他监护人的同意，并应当对此制定专门的个人信息处理规则。

中国信息通信研究院互联网法律研究中心高级研究员杨婕认为：对儿童及监护人身份的识别是儿童个人信息保护的前提，是一直以来的治理难题。个人信息处理者需要事先进行儿童身份的判断，会额外收集个人信息（比如用户年龄、与验证用户身份/监护人身份/监护人与儿童用户关系的相关证明材料），可能会引发过度收集儿童个人信息的问题。考虑到这一实际情形，《个人信息保护法》特别将儿童个人信息纳入敏感个人信息范畴，进行升级保护，可以有效杜绝个人信息处理者以身份识别为由过度、超范围收集儿童个人信息的问题。

事实上，个人信息的合理利用对于个人、社会和国家的发展都是有益的，在现代网络信息时代，完全禁止对个人信息的利用显然是不可能的，如何划定个人信息保护与合理使用的边界就成为问题的核心。敏感与非敏感的个人信息的区分有助于更科学地划定这一边界。对于敏感的个人信息，法律的天平应当向保护自然人个人信息权益倾斜，因此，原则上应当禁止处理敏感的个人信息，除非处理者基于更高位阶的法益且履行更严格的程序。至于非敏感的个人信息，则可以在保护个人权益的前提下更多地允许信息处理者合理的使用，程序也可以更宽松一些。就政府监管而言，也可以集中资源，重点对侵害敏感信息的违法行为进行精准有效的执法活动，提高执法效率。因此，企业在涉及处理个人信息时，应区分其中的敏感个人信息类型，制定企业内部的分类分级标准，并采取更高水平的技术措施予以保护。

五、个人信息跨境流动规则，更为清晰、系统

在数字经济时代，跨境数据流动成为备受关注的议题。

《个人信息保护法》相对构建了一套清晰、系统的个人信息跨境流动规则，以满足保障个人信息权益和安全的客观要求，适应国际经贸往来的现实需要。

一是明确以向境内自然人提供产品或者服务为目的，或者分析、评估境内自然人的行为等，在我国境外处理境内自然人个人信息的活动适用本法，并要求符合上述情形的境外个人信息处理者在我国境内设立专门机构或者指定代表，负责个人信息保护相关事务；

二是明确向境外提供个人信息的途径，包括通过国家网信部门组织的安全评估、经专业机构认证、订立标准合同、按照我国缔结或参加的国际条约和协定等；

三是要求个人信息处理者采取必要措施保障境外接收方的处理活动达到本法规定的保护标准；

四是对跨境提供个人信息的“告知-同意”作出更严格的要求，切实保障个人的知情权、决定权等权利；

五是为维护国家主权、安全和发展利益，对跨境提供个人信息的安全评估、向境外司法或执法机构提供个人信息、限制跨境提供个人信息的措施、对外国歧视性措施的反制等作了规定。

与欧盟GDPR相比：GDPR 从保障基本权利的角度出发，规定了允许个人数据转移的两种基本场景和八种例外情况；《个人信息保护法》则主要从网络安全和数据主权出发，规定了可以向境外提供个人信息的四种条件，以及特定情况下的数据本地化要求，即关键信息基础设施运营者和处理个人信息达到国家网信办规定数量的个人信息处理者，应当将在中华人民共和国境内收集和产生的个人信息存储在境内。

需关注到，相比《网络安全法》，《个人信息保护法》扩展了适用于数据本地化的主体，即除了关键信息基础运营者以外，还增加了个人信息达到国家网信部门规定数量的个人信息处理者。

基于上述分析，企业首先需判断自身性质，并在此基础上设计符合自身情况的跨境传输路径：

1、对于在华经营的外资企业在“数据主权”的大背景下，应当做好自身的数据保护与数据流通管理计划，以及时应对随时可能出台的数据跨境流通监管新规定。

2、对于具有跨境业务的中资企业，需要特别注意将其境内运营数据传输到境外实体（关联企业、研发中心、客户等）时的合规性管理，时刻遵守“个保法”中对于数据出境的要求。同时，还需要注意是否遵守了业务开展地区对于用户数据和隐私保护的相关法律和要求（如欧盟GDPR）。

3、 在进行境外并购时，当面临可能掌握巨大个人信息的企业时，如境外教育机构、传媒机构、互联网企业等，应当在交易前特别注意对此类企业进行全面的尽职调查。

4、企业还需关注所在的行业领域是否有其他特别的要求。以汽车行业为例，根据将于2021年10月1日起实施的《汽车数据安全管理若干规定（试行）》，汽车数据处理者应该在中国境内依法存储重要数据（包括涉及个人信息主体超过10万人的个人信息），确需向境外提供的，应当通过国家网信部门组织的数据出境安全评估并满足其他相关要求。

六、引入可携带权，目的在于打破不充分竞争格局

数据可携带权是指“数据主体有权获得其已向数据控制者提供的个人数据，并有权不受限制地将这些数据转移给其他数据控制者”。数据可携带权由欧盟GDPR首创，在澳大利亚、美国等国家的立法中都有类似体现。《个人信息保护法》首次引入了可携带权，第四十五条规定：个人请求将个人信息转移至其指定的个人信息处理者，符合国家网信部门规定条件的，个人信息处理者应当提供转移的途径。

 

中国社科院法学研究所副所长周汉华表示：数据可携的最大意义在于要打破网络时代的不充分竞争格局。虽然App的数据量有很多，但有些时候用户想要换App是很难的，因为他的朋友圈、社交信息等相关信息都在原来的平台上。他进一步解释，增设这一条款是希望发挥“鲶鱼效应”——通过数据可携，给一些初创企业等小平台与大平台竞争的机会，这与近年来反垄断、鼓励竞争的精神也是相似的。

当然，在实际操作层面，这一条款的操作难度会比较大，还需要后续慢慢探索。“个保法”目前的规定也较为开放，具体的行使条件授权国家网信部门制定。事实上，可携权一直是一个比较有争议的话题，涉及第三方用户的隐私保护、数据安全以及市场竞争等问题，迄今为止并没有明确定论。数据法律专家建议，如果一些企业目前做不到数据可携，相关部门可以把规定的适用范围限制得窄一些，等企业的技术、经济实力能够承受得起，再放宽限制。但在某些场景下个人信息可携带是必需的，比如医疗健康等行业。倘若对可携带权不加限制，对个人的过分赋权可能会损害第三方利益，导致个人信息保护与利用的失衡。

 

七、企业该如何主动应变，积极合规

对于企业而言，首先根据自身业态判定业务活动是否符合《个人信息保护法》所指的境内属地管理原则和境外目标指向原则。为应对行业监管要求，提升个人信息整体安全防护效果，应从顶层建设着手，制定关于个人信息保护的管理措施，以满足草案中体现的个人信息保护法律精神和各项合规要求。

  1、建立健全企业内部个人信息保护合规制度

企业应当根据个人信息的处理目的、方式、种类、影响以及可能存在的安全风险等，在相关法律法规的规定下，制定企业内部的管理制度和操作规程，对个人信息实行分级分类管理，采取相应的加密、去标识化等安全技术措施。尤其注意重视个人敏感信息，按照数据的价值、内容敏感程度、影响和分发范围不同对数据进行敏感级别划分。不同敏感级别的数据有着不同的管控原则和数据开放要求，实现企业对不同类型和级别的敏感个人信息精细化运营管控的要求。

 

  2、加强完善个人信息上下游关联性风险控制

当前数据流通情况比较普遍，企业处理个人信息过程中有诸多环节涉及上下游供应商或者委托第三方处理的情形， 如何保证在产生、交换、共享等场景下的个人信息安全可用和数据使用价值?为满足这一要求，数据共享时需要使用数据脱敏技术、水印溯源技术。特别是当数据应用于开发、测试、培训等环境时，使用真实数据将临严重数据泄露的风险。企业应当避免此类情形中因第三方对个人信息处理行为违法而导致承担相应法律责任。

 

  3、积极应对监管机关调查和处罚，落实整改工作

目前个人信息保护由网信部门统筹，协调公安部门、市场监管部门及其他行业主管部门进行监管。公安部门负责互联网领域APP治理，市场监管部门负责消费者权益保护等，同时对线上和线下进行多维度监管。随着《个人信息保护法》的正式实施，监管机关的执法权力会进一步加强，多部门联合执法也会成为常态。

在企业遭受监管机关调查时，应立即启动应急机制，采取积极应对措施，对于监管机关作出的书面决定应当积极做好整改落实工作，加强与监管机关的过程沟通，避免行政法律责任升级为刑事法律责任。

 

结束语

我国“十四五”规划、“新基建”等政策将持续深入推进数据要素安全管控和市场化，提升社会数据资源价值。信息化时代，个人信息保护已成为广大人民群众最关心最直接最现实的利益问题之一。未来 ，数据安全及个人信息保护能力将成为政企数字化转型成果的“试金石”。据了解，在《个人信息保护法》推出之际，《数据安全管理条例》也在制定中，该条例是《数据安全法》和《个人信息保护法》的实施细则。包括在“个保法”的实际施行过程中，未来也不排除会再提一些新的要求，例如，对标欧盟GDPR，企业或者被监管对象是否有一种申诉的机制，而不是简单的“一罚了事”，在执行过程中，也需要考虑到企业的合法利益。

参考资料：

1、高富平《规定个人信息保护法 “根据宪法”制定的深意》

2、南都个人信息保护研究中心《个人信息保护法出台：区分大小企业保护义务，违法人员或被限制从业》

3、程啸《论我国个人信息保护法中的个人信息处理规则》｜清华法学202103

4、腾讯研究院《中美欧个人信息保护法比较》

END.