广东广悦律师事务所

2021年8月20日，《个人信息保护法》（以下简称“《个保法》”）由第十三届全国人大常委会第三十次会议审议通过，将于2021年11月1日起实施。早在2019年3月，《个保法》就被全国人大列入立法规划。

历时两年，历经三次审议和两次意见征求，最终审议通过。《个保法》在吸收前期建议的基础上，回应社会热点，以专门立法的方式，确定了个人信息权益保护和处理行为的法律规则。

从一读到终稿，《个保法》审议稿的三次变迁体现了立法态度的进化与规则的逐步明确。同时，相较于此前散落于《民法典》《网络安全法》《消费者权益保护法》等法律的个人信息保护规则，《个保法》也有诸多亮点。

新法锋芒，利剑出鞘，本文将从三次审议稿的变迁，看《个保法》的“历史沿革”和制度亮点。

回顾：三次审议稿之变迁

（一）进阶版“最小必要”与“告知同意”原则

“最小必要”与“告知同意”是处理和保护个人信息的基本原则，也是《个保法》审议稿的高频更新点。

在最小必要原则方面，针对过度收集使用个人信息、侵害个人权益的情况，二审稿第六条拔高了最小必要原则的认定标准，要求除了个人信息处理范围的最小必要外，信息处理者也应保证处理方式“对个人权益影响最小”。

对于告知同意原则，二审稿第七条将告知内容细化为“处理的目的、方式和范围”，确保告知同意具有内容和质量。同时，二读草案第十六条在一审稿的个人“撤回同意权”基础上，增添了信息处理者的保障义务，即应当“提供便捷的撤回同意的方式”，避免“撤回同意”流于形式。

（二）“未成年人个人信息”保护升级

从一审稿到终稿，未成年人个人信息的处理规则逐步升级，企业面临着愈发严格的合规要求。

相较于一审稿，二审稿中未成年人的年龄识别标准从“主观”转为“客观”，删去了个人信息处理者“知道或者应当知道”的主观要件。换言之，对于其处理的个人信息是否属于未成年人信息，企业应承担更高标准的注意义务；面临侵权纠纷时，企业也应自行举证证明其不知晓也没有理由应当知晓。

三审稿则更进一步，将不满十四周岁的未成年人个人信息直接定性为“敏感个人信息”，并要求个人信息处理者对此制定专门的信息处理规则。

（三）“个人信息出境”保护标准确定

在个人信息的跨境传输方面，二审稿和三审稿分别明确了信息出境的合同标准和国别标准。

一审稿第三十八条规定了三种个人信息出境的具体情形。其中，很多企业将“与境外接受方签订合同”视为未来实现合规出境的首选机制。针对这一机制，二审稿引入了中国版“标准合同条款”的概念，将合同限定为“国家网信部门制定的标准合同”。

三审稿则将我国的个人信息保护标准定为境外处理的基础标准。如果个人信息处理者因业务等需要向境外提供个人信息，应当采取必要措施，保障境外接收方处理个人信息的活动不得低于我国的保护标准。

（四）“自动化决策”规范明细化

自动化决策是大数据时代产生的智能决策机制，目前已在商业活动中广泛适用。在技术赋能的同时，也诱发了侵犯个人信息权益的诸多问题。《个保法》一审稿规定自动化决策应具备透明度和公平性，并赋予个人信息主体权利，在其“认为自动化决策对其权益造成重大影响”时，可以要求信息处理者予以说明和拒绝仅以自动化决策的方式作出决定。

鉴于当前自动化决策的普遍适用，为了避免个人信息主体随意提出说明请求，二审稿第二十五条第三款删去了“个人认为”的主观前提，将重大影响的判断标准调整为客观标准，减小了个人信息主体滥用权利的可能性。

此外，针对商业营销和信息推送的自动化决策常见场景，二读草案增设了“向个人提供拒绝的方式”，使得自动化决策的取消更具可操作性。

三审稿则对自动化决策相关的个人权益予以关注。一方面，针对“大数据杀熟”问题，三审稿禁止企业通过自动化决策对个人在交易价格等交易条件上实行不合理的差别待遇；另一方面，企业应当在自动化决策实施前进行个人信息保护影响评估。

解析：个人信息保护法之亮点

（一）实务关切：聚焦新技术、措施可落地

作为聚焦个人信息处理和保护的基本法，《个保法》并非纸上谈兵，多项条款体现了对实务的关切，以实现个人信息保护法的落地操作作为立法要务。

在调整内容方面，《个保法》第二十四条关注“自动化决策”技术，第二十六条聚焦“身份识别”技术，第五十八条则指向互联网平台。从技术到市场，立法及时回应实务中个人信息保护的焦点问题。

在规则设置方面，《个保法》充分理解企业在实践中的合规困难，在个人信息安全与企业合规成本之间作出平衡。以《个保法》第四十七条为例，针对个人信息无法删除的情形，该条第二款规定个人信息处理者“应当停止除存储和采取必要的安全保护措施之外的处理”，这一规定解决了“无法删除”与“继续存储”之间的矛盾。当企业存在删除信息的技术障碍时，可以采取必要的安全保护措施对个人信息予以存储。

（二）权责明确：个人权利、处理者责任与监管权责

《个保法》的第二个亮点是构建起个人信息保护的三重体系。其第四章、第五章和第六章分别明确了个人权利、处理者责任与监管权力的权责边界。

首先，个人信息主体权利是《个保法》的支柱。其第四章赋予个人在信息处理过程中的权利，包括知情权、决定权、限制和拒绝权、查阅权、复制权、更正权、删除权、自动化决策相关权利以及一定程度的可携带权。其中，对于可携带权，最终通过的《个保法》表示在符合国家网信部门规定条件的情况下，个人有权将其个人信息转移至其指定的个人信息处理者。可携带权属于个人信息权利的进一步延伸，也体现了个人信息主体对其个人信息更深层次的控制权。同时，针对逝者，《个保法》规定由其近亲属行使权利。

其次，与个人信息主体的权利保障相对应，《个保法》第五章明确了信息处理者的法定义务。除了为个人信息主体提供告知同意、查阅更正等权益外，个人信息处理者还需履行信息安全保障义务，制定内部管理制度，采取加密或去标识化的技术措施，并指定负责人对其个人信息处理活动进行监督，定期进行合规审计，对处理敏感个人信息、向境外提供个人信息等高风险处理活动，事先履行风险评估等。

此外，针对“提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”，《个保法》设置了额外的监管义务，旨在通过外部独立机构监督、发布社会责任报告等方式，促进大型平台企业的个人信息合规治理。

最后，为保障个人信息权利、督促处理者履行义务，《个保法》进一步厘清了监管部门的职责分工，确定了网信部门统筹协调的权限。

具体而言，网信部门有权组织制定个人信息保护的具体规则、确定小型个人信息处理者、敏感个人信息及新技术有关的专门规则；监管职责部门可以通过询问调查、书面审查、现场检查等方式监督个人信息处理者，必要时有权采取查封扣押、要求合规审计等强制措施。

（三）立法态度：个人信息谨慎流动，违法行为大力查处

在具象的法律规则背后，是立法态度的彰显。如果深挖《个保法》的监管逻辑，可以看出立法者对于个人信息流动持有谨慎态度，并对个人信息侵权行为予以严厉打击。

虽然数据自由流动能够最大程度地挖掘和释放数据价值，但个人信息关乎个人的人格权和财产权，无论是信息共享、委托处理抑或是跨境传输，《个保法》倾向于严格规范个人信息的流转。

如其第二十一条至第二十三条规定个人信息委托处理和向他方转移的情形下，各方的权利义务应予以明确约定，并保证个人信息主体的知情同意；第五十九条要求受托方同样履行个人信息处理者的安全保障义务；第三章则从跨境条件、审批程序、黑名单制度等角度对个人信息跨境传输实施限制。

在处罚力度方面，第六十六条设置的高额罚金也是《个保法》的一大亮点和威慑力体现。对于情节严重的个人信息违法处理行为，监管部门最高可以罚处五千万元以下或者上一年度营业额百分之五以下罚款，并具有“责令暂停相关业务、停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照”等处罚权限。同时，个人信息侵权行为的归责原则被设定为过错推定，个人信息处理者需要“自证清白”。

结语

新法出台，利剑出鞘。经过三次审议落地的《个保法》，在重点问题上不断打磨，关切实务技术，明确权责边界，彰显立法态度。对于企业而言，认识制度是合规的第一步。在新法的过渡期里，企业应关注《个保法》的修订要点和制度亮点，尽快启动个人信息处理规则的合规完善。

声明：本微信文章仅为交流探讨之目的，不得视为广悦数据合规研究院或其律师出具的正式法律意见，任何仅依照本文的全部或部分内容而做出的行为及因此带来的后果均由行为人自行负责。如果您需要法律意见或有意就相关议题进一步交流，可以通过电子邮件与我们联系，E-mail：hlw@wjngh.cn 。