导航

中伦观点

《个人信息保护法(草案)》全文逐条解读(一) 作者:刘新宇 宋海新 吴豪雳 2020-10-23

 

 

 

前 言

2020年10月21日,中国人大网公布《中华人民共和国个人信息保护法(草案)》(以下简称“《个人信息保护法(草案)》”)全文,并对其公开征求意见。《个人信息保护法(草案)》于2020年10月13日经第十三届全国人大常委会第二十二次会议进行了初次审议。

 

作为首部专门规定个人信息保护的法律,《个人信息保护法(草案)》在正式出台后,将成为个人信息保护领域的“基本法”。《个人信息保护法(草案)》全文共八章,内容包括总则、个人信息处理规则、个人信息跨境提供的规则、个人在个人信息处理活动中的权利、个人信息处理者的义务、履行个人信息保护职责的部门、法律责任和附则。为了帮助大家更好地理解条文内容,接下来将通过系列文章,对《个人信息保护法(草案)》全文进行逐条解读,供大家参考。本篇为系列解读的第一篇文章,我们将为大家逐条解读第一条到第十三条。

 

《中华人民共和国个人信息保护法(草案)》

 

第一章 总则

 

第一条 为了保护个人信息权益,规范个人信息处理活动,保障个人信息依法有序自由流动,促进个人信息合法利用,制定本法。

 

/【解读】

本条明确了《个人信息保护法(草案)》的立法目的。

 

《个人信息保护法(草案)》旨在实现个人信息保护与利用二者的平衡。在保护个人信息的基础上合法利用个人信息,在合法利用个人信息的过程中持续保护个人信息,方为良策。

 

第二条  自然人的个人信息受法律保护,任何组织、个人不得侵害自然人的个人信息权益。

 

/【解读】

本条明确了自然人依法享有个人信息权益。

 

相较于《中华人民共和国民法总则》和即将生效的《中华人民共和国民法典》(以下简称“《民法典》”),《个人信息保护法(草案)》首次提出自然人享有“个人信息权益”,意味着在法律层面,虽然因为争议较大未定性为“个人信息权”,但若个人信息被侵犯将能够得到更多的救济。而在司法实践中,凌某某诉某视频APP隐私权、个人信息权益网络侵犯责任纠纷案[1]和黄某诉某读书APP隐私权、个人信息权益网络侵犯责任纠纷案[2]两个案件中,法院已经实质探讨和认定涉案企业和App是否侵犯自然人的个人信息权益以及侵犯个人信息权益情况下需要承担的法律责任。对于个人信息保护而言,无疑是利好消息。

 

第三条  组织、个人在中华人民共和国境内处理自然人个人信息的活动,适用本法。

 

在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,有下列情形之一的,也适用本法:

 

(一)以向境内自然人提供产品或者服务为目的;

(二)为分析、评估境内自然人的行为;

(三)法律、行政法规规定的其他情形。

 

/【解读】

本条明确了《个人信息保护法(草案)》的适用范围。

 

与世界各国和地区对个人信息控制的主流实践相类似,《个人信息保护法(草案)》采取了地域范围+公民和/或居民相结合的适用范围,赋予了必要的域外适用效力,能够更好地维护我国境内自然人的个人信息权益。对于在中国境外处理中国境内自然人个人信息,《个人信息保护法(草案)》第五十二条提出了在中国境内设立专门机构或指定代表负责处理个人信息保护相关事务的要求,此举有助于有效实现本条第二款的立法目的,切实达到对境外主体实施监管的效果。

 

第四条  个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。

 

个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等活动。

 

/【解读】

本条明确了“个人信息”和“个人信息的处理”的定义。

 

从“个人信息”的定义看,与《中华人民共和国网络安全法》第七十六条第一款第五项(以下简称“《网络安全法》”)和《民法典》第一千零三十四条第二款规定的“能够单独或者与其他信息结合识别特定(注:《网络安全法》未规定此处的‘特定’)自然人的各种信息”不同,《个人信息保护法(草案)》采取了与欧盟《通用数据保护条例》(General Data Protection Regulation, “GDPR”)第4条相类似的界定标准,即“与已识别或者可识别的自然人有关的各种信息”。换句话说,《网络安全法》和《民法典》采取了“识别”的路径,《个人信息保护法(草案)》采取了“识别+关联”的路径,一定程度上拓宽了个人信息的范围。此外,本条将“匿名化处理后的信息”排除在“个人信息”的范围之外,也就意味着匿名化信息不需要受到本法的规制。需要强调的是,《个人信息保护法(草案)》第六十九条第一款第四项对“匿名化”进行了定义,满足“无法识别且无法复原”标准的信息才不属于个人信息,否则还是需要受到本法的规制。

 

针对“已识别”和“可识别”的区分问题,我们以身份证上的信息为例,身份证反面包含身份证号、姓名、出生年月日、民族、家庭地址等信息。这些信息里面,身份证号码具有唯一性,单独的身份证号码就是特定自然人的个人信息,这就属于“已识别”的自然人的个人信息;对于“可识别”,只有姓名或者只有家庭住址都无法识别到指定的自然人,因为单独来看,姓名有重名的,一个家庭住址一般来说会有一家好几口人,但是这二者都能够在一定程度上将某些人与其他人区分开,对于识别到特定自然人来说都发挥着一定的作用而非毫无关联。因此,单独来看,姓名和家庭住址均属于“与可识别自然人有关的”个人信息,二者一旦结合就指向了特定的自然人,也就转化成了“已识别”自然人的个人信息。

 

从“个人信息的处理”的定义看,不同于《网络安全法》对个人信息不同环节提出分散要求,《个人信息保护法(草案)》基本沿用了《民法典》第一千零三十五条第二款的规定,将个人信息全生命周期的活动纳入到个人信息的处理范围,意味着个人信息全生命周期的处理活动均受到本法的规制。

 

第五条  处理个人信息应当采用合法、正当的方式,遵循诚信原则,不得通过欺诈、误导等方式处理个人信息。

 

/【解读】

本条明确了处理个人信息的合法、正当要求。

 

在《网络安全法》第四十一条第一款要求收集使用个人信息应遵循合法、正当原则的基础上,《个人信息保护法(草案)》与《民法典》第一千零三十五条第一款的规定相类似,要求包括收集、使用个人信息等在内的个人信息处理活动均需要采用合法、正当的方式,不得通过欺诈、误导等方式处理个人信息。实践中常见的“欺诈、误导”行为,比如,以添加联系人为由申请用户的通讯录权限,用户打开权限后上传整个通讯录,并将该类信息用于发送商业广告或其它目的;再比如,通过积分、奖励、优惠等方式欺骗误导用户提供身份证号码以及人脸信息、指纹信息等个人生物特征信息。

 

第六条  处理个人信息应当具有明确、合理的目的,并应当限于实现处理目的的最小范围,不得进行与处理目的无关的个人信息处理。

 

/【解读】

本条明确了处理个人信息的必要性要求。

 

在《网络安全法》第四十一条第一款要求收集使用个人信息应遵循必要性原则的基础上,《个人信息保护法(草案)》与《民法典》第一千零三十五条第一款的做出了类似的规定,要求包括收集、使用个人信息等在内的个人信息处理活动均需要遵循必要性的要求,不得超出处理目的所必须的范围处理个人信息。

 

第七条  处理个人信息应当遵循公开、透明的原则,明示个人信息处理规则。

 

/【解读】

本条明确了明示个人信息处理规则的要求。

 

与《民法典》第一千零三十五条第一款第二项相类似,《个人信息保护法(草案)》要求明示个人信息处理规则。这就意味着,个人信息处理者要将信息处理过程中可能涉及的收集、存储、使用、加工、传输、提供、公开等各种行为规则告知信息主体。要让个人信息处理在阳光下进行,不得隐瞒个人信息处理规则,不得“挂羊头卖狗肉”,规则说是一套,实际上处理个人信息是另外一套。

 

第八条  为实现处理目的,所处理的个人信息应当准确,并及时更新。

 

/【解读】

本条明确了个人信息的准确和及时更新要求。

 

与GDPR第5条第(1)款(d)项的规定相类似,《个人信息保护法(草案)》提出了个人信息的准确和及时更新要求。大数据时代,海量的信息产生、流动和使用,这之中不乏过期的信息、存在疏漏和偏差的信息。要想更好地挖掘个人信息的利用价值,需要确保个人信息的准确和及时更新,否则错误、过时的信息将直接影响个人信息的价值,甚至可能导致处理结果的错误。《银行业金融机构数据治理指引》第四章专章规定了“数据质量控制”的要求,大家感兴趣的话可以查阅相关内容。

 

第九条  个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。

 

/【解读】

本条明确了个人信息处理者承担保障个人信息安全责任的要求。

 

在《网络安全法》第四十二条第二款要求网络运营者确保其收集的个人信息安全的基础上,《个人信息保护法(草案)》进一步强化了个人信息处理者对个人信息处理活动的责任承担,这就意味着“谁处理谁负责”。同时,要求包括收集个人信息的主体在内的个人信息处理者均应采取必要措施保障所处理的个人信息安全。从理解的角度,这里的“必要措施”包括技术措施、管理措施等。

 

第十条  任何组织、个人不得违反法律、行政法规的规定处理个人信息,不得从事危害国家安全、公共利益的个人信息处理活动。

 

/【解读】

本条明确了处理个人信息的红线要求。

 

在《民法典》第一千零三十五条第一款第四项要求的基础上,《个人信息保护法(草案)》新增处理个人信息不得危害国家安全、公共利益的要求,划定了处理个人信息的红线。

 

第十一条  国家建立健全个人信息保护制度,预防和惩治侵害个人信息权益的行为,加强个人信息保护宣传教育,推动形成政府、企业、相关行业组织、社会公众共同参与个人信息保护的良好环境。

 

/【解读】

本条明确了国家开展个人信息保护工作的基本原则。

 

以个人信息保护制度为基础,预防和惩治侵害行为,加强宣传教育,积极推动社会公众参与个人信息保护,如此多措并举,能够有效提高我国个人信息保护的整体水平。

 

第十二条  国家积极参与个人信息保护国际规则的制定,促进个人信息保护方面的国际交流与合作,推动与其他国家、地区、国际组织之间的个人信息保护规则、标准等的互认。

 

/【解读】

本条明确了个人信息保护领域的国际合作机制。

 

积极参与国际交流与合作,参与国际规则的制定,成为“游戏规则”的制定者,推动规则、标准等的互认,能够在推动国际合作的同时更好地维护我国的国家利益和公民的个人信息权益。

 

第二章  个人信息处理规则

 

第一节 一般规定

 

第十三条  符合下列情形之一的,个人信息处理者方可处理个人信息:

 

(一)取得个人的同意;

(二)为订立或者履行个人作为一方当事人的合同所必需;

(三)为履行法定职责或者法定义务所必需;

(四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;

(五)为公共利益实施新闻报道、舆论监督等行为在合理的范围内处理个人信息;

(六)法律、行政法规规定的其他情形。

 

/【解读】

本条明确了处理个人信息的合法性基础。

 

作为《个人信息保护法(草案)》最核心、最重要的改动之一,本条大范围扩充了处理个人信息的合法性基础。从处理个人信息合法性基础的演变看,《网络安全法》第四十一条第一款明确了收集使用个人信息的合法性基础为“被收集者同意”,使得《网络安全法》生效以来长时间内,同意成为收集使用个人信息的唯一的合法性基础。《民法典》第一千零三十五条第一款第一项沿用了“同意”的合法性基础,但也留下了“法律、行政法规另有规定的除外”的例外规定。随着《个人信息保护法(草案)》的面世,前述《民法典》指向的例外规定浮出水面,实现了法律之间的有效衔接。从内容看,本条第一款第一项到第五项的规定,与GDPR第6条第(1)款的(a)-(e)项相类似,又存在一定区别。

 

第一款规定的情形为“同意”,无需过多探讨,《个人信息保护法(草案)》后面的条文中也对“同意”做了具体的要求,此处不再赘述。

 

第二款规定的情形为“订立或履行个人作为一方当事人的合同所必需”。对该条款的理解举例说明,员工与公司建立劳动关系时需要签订劳动合同,为了识别员工身份,公司要求员工提供姓名、身份证号,这就属于订立和履行劳动合同所必需收集个人信息的情形。需要指出的是,如果想要单独适用该条处理个人信息,需要有合同关系支撑而且要有充分的依据来论证“必需”,如果缺少依据或者依据不充分,建议审慎将该种情形作为处理个人信息的合法性基础,而是考虑作为若接受调查、遭受个人起诉侵犯个人信息权益时的抗辩选项(如适用)。《信息安全技术 移动互联网应用程序(App)收集个人信息基本规范(征求意见稿)》划定了三十种常用服务类型的最小必要信息范围,一定程度上可以作为三十种常用服务类型下为向用户提供服务所必需的信息范围的参考。

 

第三款规定的情形为“为履行法定职责或者法定义务所必需”,意味着要想单独适用该情形处理个人信息,背后需要有明确的法律依据作为支撑。例如,《中华人民共和国反洗钱法》(以下简称“《反洗钱法》”)第三章专章规定了金融机构的反洗钱义务,并在第三章第十六条第二款规定了“金融机构在与客户建立业务关系或者为客户提供规定金额以上的现金汇款、现钞兑换、票据兑付等一次性金融服务时,应当要求客户出示真实有效的身份证件或者其他身份证明文件,进行核对并登记”,基于此,在该等场景下,金融机构要求用户提供身份证件信息就是属于履行法定职责或者法定义务所必需。此外,需要强调的是,如果没有法律依据或者法律依据比较模糊,建议审慎将该种情形作为处理个人信息的合法性基础,而是考虑作为若接受调查、遭受个人起诉侵犯个人信息权益时的抗辩选项(如适用)。

 

第四款规定的情形为“为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需”。本款的立法背景与新冠肺炎疫情有一定关联。在应对新冠肺炎疫情中,大数据应用为联防联控提供了有力支持,特别是在进行流行病学调查和查找密切接触者时需要收集、使用和分析大量的个人信息。需要指出的是,如果适用“紧急情况下为保护自然人的生命健康和财产安全所必需”的情形处理个人信息,虽然个人信息处理者可以不经个人同意处理个人信息,但《个人信息保护法(草案)》第十九条第二款规定了向个人告知的要求。

 

第五款规定的情形为“为公共利益实施新闻报道、舆论监督等行为在合理的范围内处理个人信息”。本款规定的限制还是比较多的,目的是“为公共利益”,行为是“实施新闻报道、舆论监督等”,限度是“合理范围内”。例如,为了报道某官员的腐败事迹,收集并通过新闻向社会公众传递其腐败事迹相关的个人信息,一般来说可以适用本情形。若是在报道官员腐败事迹时,收集并对外披露了官员的详细家庭住址,便很难说明在合理范围以内。另外,实践中常见的对某新闻报道中涉及的人员进行的“人肉搜索”行为,一般来说都超出了必要的限度,基本难以适用本款规定。

 

第六款进行了兜底规定,为“法律、行政法规规定的其他情形”留下了空间,保留了一定的弹性。当然,如果要适用本款的兜底规定,必须要有明确的法律或行政法规的规定作为依据。

 

最后,笔者希望以一个实际生活场景帮助读者更好地从整体上理解该条款。比如,我们去银行存款,根据《个人存款账户实名制规定》,银行需要收集我们的身份证件并登记身份证件上的姓名和号码,这就属于第三款规定的履行法定义务所必需而处理个人信息的情形;我们如果想要知道我们银行账户的款项变动情况,需要开通短信通知,银行为了向我们提供短信通知的服务就需要收集我们的手机号码,这就属于第二款规定的为订立和履行合同所必需而处理个人信息的情形;而如果银行想要使用我们的个人身份信息、理财信息、贷款信息等进行分析用于后续对我们进行个性化营销,这既不属于履行法定职责或法定义务,也不属于为了订立或履行合同所必需,本条规定的其他情形更难适用,因此若银行想要在该场景下处理我们的信息,就需要获得我们的同意。

 

【注】后续条文,我们将在后续的文章中为大家进行解读,敬请关注!

 

结语

在各方的翘首企盼下,《个人信息保护法(草案)》可谓是“千呼万唤始出来”。整体而言,在借鉴GDPR等域外立法经验的基础上,《个人信息保护法(草案)》立足我国个人信息保护实践,深入总结了《民法典》《网络安全法》《电子商务法》等法律法规和《个人信息安全规范》等国家标准的实施经验,将个人信息保护实践中行之有效的做法和措施上升为法律规范。同时,《个人信息保护法(草案)》做好了与《民法典》《数据安全法(草案)》等法律法规的衔接,也就实践中出现的个人信息保护新问题、新场景进行了必要的规制并留下弹性的空间,可谓是一部水平较高的立法。虽有部分条文有待进一步探讨和调整,但瑕不掩瑜,可以预见的是,后续《个人信息保护法》正式出台后,能够将我国个人信息保护工作推向前所未有的高度。让我们共同期待《个人信息保护法(草案)》的完善和正式出台!

 

[注] 

[1] 案号:(2019)京0491民初6694号。

[2] 案号:(2019)京0491民初16142号。

 

The End