1.   背景介紹

1.1  釋出背景

最新資料顯示：2020年中國網民總體規模已佔全球網民的五分之一，2020年中國網民規模為9.89億人。而網際網路網站443萬個，手機應用程式數量302萬款。2021年以來，國家網信辦對地圖導航、運動健身、短影片等十多種型別的手機應用程式進行了檢測。351款APP因違法收集個人資訊被通報，25款因嚴重違法違規收集使用個人資訊被下架。

“為及時回應廣大人民群眾的呼聲和期待，落實黨中央部署要求，制定一部個人資訊保護方面的專門法律，將廣大人民群眾的個人資訊權益實現好、維護好、發展好，具有重要意義。”全國人大常委會法工委副主任劉俊臣表示，制定個人資訊保護法是進一步加強個人資訊保護法制保障的客觀要求，是維護網路空間良好生態的現實需要，也是促進數字經濟健康發展的重要舉措。

從現有頒佈的法律來看，雖有部分內容與個人資訊保護的相關，但在社會實踐中，這些法律的適用大多規定的較為原則，並不能滿足公民對個人資訊保護的各類迫切需求。此外，縱觀其他法規及規範性檔案，例如《關於加強網路資訊保護的決定》、《電信和網際網路使用者個人資訊保護規定》、《資訊保安技術 個人資訊保安規範》（GB/T 35273—2020）等規定，雖然在司法案例中起到著極強的合規參考價值，但其同時也存在著一定的滯後性，並不能夠適應各類網際網路企業的合規需要。近年來，對個人資訊濫用的案例不斷湧現，對司法及行政監管部門也帶來了較大挑戰。

1.2  發展歷程

自2003年起，我國就啟動了保護個人資訊的立法程式。經過了十幾年不斷摸索，個人資訊保護立法才逐漸趨於完善。以下從幾個重要時間節點進一步說明：

   2003年，《個人資訊保護法》專家建議稿開始起草，2005年初已經完成；

   2009年，《刑法修正案(七)》第7條 非法提供與獲取公民個人資訊行為納入刑法規制；

   2013年，《電信和網際網路使用者個人資訊保護規定》對“公民個人電子資訊“做了界定，並明確了資訊收集、使用的原則和相關規則；

   2017年，《網路安全法》的實施，對“公民個人資訊”進一步界定、對使用者“知情同意”作出明確規定、對“網路運營者”提出明確要求；

   2020年，《民法典》強調“以人為本”，加大了對公民隱私權和個人資訊的保護力度；

   2020年6月，全國人大常委會調整2020年度立法工作計劃，個人資訊保護法草案將提請審議。

《個人資訊保護法》在2018年被列入全國人大常委會未來五年任期的立法議程中，經歷了從2020年初次評審到2021年的二審、三審，《個人資訊保護法》的具體內容也不斷髮生變化，具體變化情況詳細請參見附錄A三次審議稿全文對照。而關於《個人資訊保護法》立法過程如下圖所示：

 

1.3  法律地圖

本文從國家法律、行政法規、司法解釋、部門規章、技術規範五個層面入手，梳理國內資料安全與個人資訊保護相關制度，整理形成可直觀檢視的“中國資料新秩序的法律地圖”。

國內安全工作堅持總體國家安全觀，在不同領域均有相關檔案指導安全工作。其中與資料安全和個人資訊保護領域相關性較強的有：民事領域透過了《民法典》；在網路空間安全領域，具有《網路安全法》、等保2.0系列標準、《網路安全審查辦法》等；在資料安全領域：具有剛剛出臺的《資料安全法》。在個人資訊保護領域，具有剛頒佈的《個人資訊保護法》。在兒童個人資訊領域、密碼領域、網路犯罪、消費者權益保護、電子商務等領域也有專門立法。總體來說，《網路安全法》、《資料安全法》與《個人資訊保護法》在總體國家安全觀框架下，共同構成了我國資料新秩序下的三根支柱。

2. 內容解讀

2.1  標準概述

在資訊化時代，個人資訊保護已成為廣大人民群眾最關心最直接最現實的利益問題之一。《個人資訊保護法》堅持和貫徹以人民為中心的法治理念，牢牢把握保護人民群眾個人資訊權益的立法定位，聚焦個人資訊保護領域的突出問題和人民群眾的重大關切。

全文共八章七十四條，明確了法律適用範圍，聚焦目前個人資訊保護的突出問題，在有關法律的基礎上，該法進一步細化、完善個人資訊保護應遵循的原則和個人資訊處理規則，明確個人資訊處理活動中的權利義務邊界，健全個人資訊保護工作機制。確立以“告知—同意”為核心的個人資訊處理規則，落實國家機關保護責任，加大對違法行為的懲處力度。

2.2  七大關鍵點

2.2.1 術語界定

《個人資訊保護法》規定了三個術語定義和四個相關用語的含義，詳細參考附錄A，本文僅對“個人資訊”、“敏感個人資訊”、“個人資訊的處理”和“自動化決策”的定義或含義做進一步解讀：

• “個人資訊”，其定義採取的是“識別”的方式，僅採取定義式的規定方式，好在已釋出的《個人資訊保安規範》進行了不完全列舉。隨著資料經濟不斷髮展，本文大膽預測，有關個人資訊的定義和範圍也將再次被延申。

• “敏感個人資訊”，該說法與《個人資訊保安規範》中“個人敏感資訊”措辭不同但所表示的內容基本一致，只不過本法中的“敏感個人資訊”更加強調了“人格尊嚴”。值得關注的是，本法中也對列舉的資訊做了新增和調整：生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等資訊，以及不滿十四周歲未成年人的個人資訊。

• “個人資訊的處理”，相較於一審稿中主要變化在於刪除了“活動”，強調了個人資訊的處理動作或場景。

• “自動化決策”，主要變化在於主謂賓的順序調整，強調了人工智慧技術的重要應用對公民個人資訊權益的影響。

2.2.2 適用範圍

本法明確了“我國境內”和“境外管轄”兩大適用範圍，“境外管轄”同等回應了歐盟GDPR、美國CCPA等國外立法的長臂管轄效力。

 我國境內：在中華人民共和國境內處理自然人個人資訊的活動，適用本法。

 境外管轄：在中華人民共和國境外處理中華人民共和國境內自然人個人資訊的活動，有下列情形之一的，也適用本法。

 以向境內自然人提供產品或者服務為目的；

分析、評估境內自然人的行為；

法律、行政法規規定的其他情形。

2.2.3 基本原則

在“第一章 總則：第一節 一般規定”部分，進一步明確了處理個人資訊的基本原則，本文參考相關法律法規，結合企業實踐，總結了以下六大基本原則。

2.2.4“點”“面”“球”生態融合

本文從“點”、“面”、“球”構建個人資訊保護生態融合體系，以達到相互影響、相互制約、相互信任、不斷演變，並在一定時期內處於相對穩定的動態平衡狀態。

“點”：指全民守護，堅守基本底線。

任何組織、個人不得非法收集、使用、加工、傳輸他人個人資訊，不得非法買賣、提供或者公開他人個人資訊；不得從事危害國家安全、公共利益的個人資訊處理活動。

“面”：指共同參與，建設良性生態。

國家建立健全個人資訊保護制度，預防和懲治侵害個人資訊權益的行為，加強個人資訊保護宣傳教育，推動形成政府、企業、相關社會組織、公眾共同參與個人資訊保護的良好環境。

“球”：指國際合作，推進生態互融。

國家積極參與個人資訊保護國際規則的制定，促進個人資訊保護方面的國際交流與合作，推動與其他國家、地區、國際組織之間的個人資訊保護規則、標準等互認。

2.2.5 處理規則

個人資訊處理規則：包括了一般規定、敏感個人資訊的處理規則、國家機關處理個人資訊的特別規定三個方面。需要注意的是，本法確立以“告知—同意”為核心的個人資訊處理規則，同時也新增了同意的例外事由，如《個人資訊保護法》第十三條中提到的“前款第二項至第七項規定情形的，不需取得個人同意” 。

個人資訊跨境提供的規則：本法構建了一套清晰、系統的個人資訊跨境流動規則，以滿足保障個人資訊權益和安全的客觀要求，適應國際經貿往來的現實需要。關於跨境提供場景下的規則要求詳細如下圖所示：

2.2.6 相關主體

本法涉及個人、個人資訊處理者、監管部門三大強相關的主體，如下圖所示，分別就個人權利、個人資訊處理者的義務、監管部門所履行個人資訊保護職責進行闡述。

2.2.7 強監管和懲處力度

近年來，有關個人資訊權益侵權案件逐漸增多，比如“告知—同意”的認定、人格權糾紛、人臉識別等與個人資訊主體強相關的權益。因此，本法在這方面加強了監管和提高了懲處力度。本法規定了“一般的個人資訊違法行為”和“情節嚴重的個人資訊違法行為”，雖然對這兩者沒有嚴格的界定和說明，但可參照以往的司法案例或借鑑GDPR相關處罰案例。詳細懲處要求如下圖所示：

2.3 橫向對比

為了便於對《個人資訊保護法》進一步理解，本文透過列表的方式對國內強相關的幾部法律法規進行橫向對比，如下圖所示。本文對照僅限於非法律專業視角進行對照，因此嚴格意義上來說不能準確對比分析法律效力位階的相關問題。

透過以上從定義、側重方向、侷限性三個方面進行橫向對比後，本文得出如下參考結論：

1)      隨著我國法律法規的不斷完善，各行各業首先需要考慮的是“合規”問題，特別需要關注具體的、可落地的安全要求；

2)      各項法律法規間各有側重點和存在一定的相互關聯性，需特別注意上位法的法律效力；在具體實踐過程中，均需遵照執行；

3)      《資料安全法》和《個人資訊保護法》都提出落實處理者的責任和義務，對企業而言，是否需要建立兩套標準呢？答案是否定的，建議將其融合，組織建設、制度流程等可合二為一，人員能力、技術措施需有所針對性實施，具體要求方面再進行細化和管控。

2.4 解讀思考

2.4.1 典型問題QA

典型問題一：關於“告知+同意”。

依據：第14條將“充分知情”作為“同意”的前提條件”，需要取得“單獨同意”的情況：第23、25、26、29、39條。

解答：透過使用者主動勾選、瀏覽隱私政策等獲得個人資訊的授權使用，並賦予使用者撤回同意的權利；同時梳理“單獨同意”的場景並進行對應功能調整。

典型問題二：關於生物特徵等敏感個人資訊。

依據：第26條規定的“所收集的個人影像、身份識別資訊只能用於維護公共安全的目的”、第28條規定的“特定的目的和充分的必要性”的前提，第29規定的處理敏感個人資訊的“單獨同意”，第30條規定的“必要性以及對個人權益的影響”的告知。

解答：重視敏感個人資訊的處理規則，並做好相關充分告知和影響評估等工作。

典型問題三：關於“個人資訊保護負責人”。

依據：第52條規定“處理個人資訊達到國家網信部門規定數量的個人資訊處理者應當指定個人資訊保護負責人。”

解答：其中“規定數量”在本法中未明確規定，但可參照《個人資訊保安規範》的規定從業人員規模大於200人、處理超過100萬人的個人資訊、處理超過10萬人的個人敏感資訊的。

典型問題四：關於影響評估。

依據：第55條規定“有下列情形之一的，個人資訊處理者應當事前進行個人資訊保護影響評估，並對處理情況進行記錄。”

解答： 結合《個人資訊保安規範》和《影響評估指南》相關要求，進行個人資訊保安影響評估落地執行。

以上思考的問題僅為冰山一角，建議組織結合自身實際情況，制定相應安全策略，落實個人資訊保護責任。

2.4.2  主要關注點

1)  明確個人資訊保護責任制，落實全生命週期管控責任。

內容：建立個人資訊保護組織架構，明確崗位職責，制定對應的全流程管理規範、制度、流程等。

方案支撐：資料安全管理體系建設。

2)   透過個人資訊分類（分級）管理，實現建設第一步。

內容：建立個人資訊管理機制，明確保護物件及策略。

方案支撐：資料分類分級。

3)  發現企業個人資訊保安隱患，降低資訊洩露風險。

內容：利用風險評估手段識別發現企業的個人資訊保安風險，協助企業進行整改，提升企業個人資訊保護建設水平。

方案支撐：個人資訊保安影響評估、APP個人資訊保安評估。

4)  識別個人資訊處理活動，落實安全技術措施。

內容：梳理個人資訊全生命週期處理活動，制定相對應的安全要求，對各風險點進行提示，包含可落地執行的機制等。

方案支撐：個人資訊保護專項規劃、資料安全管控平臺。

5)   建立個人資訊保安事件應急響應機制。

內容：建立個人資訊保安應急預案，明確個人資訊事件的應急方針、政策，應急組織結構及相關應急職責。

方案支撐：應急響應體系建設。

6)  組織開展個人資訊保安培訓教育。

內容：組織開展個人資訊保安專業培訓，提升企事業單位個人資訊保安保護意識，加強個人資訊保安人員專業能力提升。

方案支撐：個人資訊保安專業教育培訓。

7)   聚焦個人資訊跨境提供，保障國家安全、公共利益及個人權益。

內容：建立個人資訊跨境提供全流程管理規範、制度、流程等；明確合規路徑，並徵得使用者的單獨同意，確保個人資訊保安流通。

方案支撐：遵循國家個人資訊出境相關規定。

3. 總結與展望

2021年可謂是資料保護元年，《資料安全法》、《個人資訊保護法》、《關鍵資訊基礎設施安全保護條例（國務院令第745）》等一些列法律法規的頒佈和即將實施，標誌著我國在資料安全和個人資訊保護方面正式進入2.0時代。而資料安全和個人資訊保護密不可分，就像是一對孿生兄弟。針對個人資訊保護的應對思路，可在資料安全建設的基礎上進行專項設計和實施，形成個人資訊保護體系的長效機制（IRCSS）。主要透過五個方面進行個人資訊保安落地建設，幫助客戶確立管理制度和操作流程，全面瞭解個人資訊保安狀況，提升個人資訊保安監測與防護措施，透過最佳化改進與持續運營，實現持續自適應的個人資訊保安防護能力。

4. 場景探討：“雙十一”的狂歡

近年來，“雙十一”的狂歡背後， 也是個人資訊洩露的高峰。《個人資訊保護法》正巧將於2021年11月1日施行，面對今年的“雙十一”，消費者、商家、網際網路平臺運營者、監管部門等該如何將這“狂歡”推向高潮呢？接下來，本文將站在這四類主體的角度來思考如何面對。