2021年8月20日，《中華人民共和國個人信息保護法》（以下稱“《個保法》”）通過並發布。《個保法》是我國第一部關於個人信息保護的專門性基本法律
，點燃了我國個人信息保護的星星之火，將與2017年出台的《網絡安全法》和2021年9月起正式施行的《數據安全法》共同構建關於網絡安全和數據保護的基本法律框架，我國網絡安全和數據保護的合規工作將進入新的局麵。

隨sui著zhe信xin息xi時shi代dai的de來lai臨lin，作zuo為wei大da數shu據ju核he心xin資zi源yuan的de個ge人ren信xin息xi的de有you效xiao流liu通tong和he合he理li利li用yong成cheng為wei中zhong國guo數shu字zi經jing濟ji發fa展zhan的de重zhong要yao課ke題ti。另ling一yi方fang麵mian，由you於yu個ge人ren信xin息xi被bei過guo度du濫lan用yong引yin發fa了le諸zhu多duo社she會hui問wen題ti，也ye客ke觀guan加jia速su了le個ge人ren及ji社she會hui對dui於yu個ge人ren信xin息xi和he隱yin私si保bao護hu意yi識shi的de覺jiao醒xing。此ci外wai
，國guo內nei外wai相xiang關guan立li法fa活huo動dong的de推tui動dong也ye使shi得de中zhong國guo個ge人ren信xin息xi保bao護hu的de專zhuan門men立li法fa工gong作zuo箭jian在zai弦xian上shang。本ben次ci《個保法》的立法工作自2019年12月被明確列入全國人大常委會的立法工作計劃
，到2020年10月首次公開《個人信息保護法（草案）》（以下稱“《草案》”）並向社會征求意見，再到2021年4月《個人信息保護法（草案二審稿）》（以下稱“《二審稿》”）提請審議，直至本次《個保法》的正式出台，其過程一直受到社會各界的普遍關注。

《個保法》delifajiehewoguoguoqingheshijixuyao，tongshixishoubingjiejianleguowaixiangguanlifajingyan，zaichuligerenxinxiquanyidebaohuyijicujingerenxinxiheliyouxiaoliyongdepinghengzheyishijiexinglifanantishangzuochulenulichangshi。zuizhongchutaide《個保法》回應了諸多社會關注的熱點問題。將於11月1日起正式施行的《個保法》確立了個人信息保護的基本法律框架

，對於企業合規提出了明確的要求，同時也與每一個體的權益息息相關。本文試圖通過對《個保法》重點問題的解讀
，理清法律脈絡，為企業研究合規對策提供借鑒。

一、《個保法》的適用範圍

（一）適用原則

《個保法》采取以屬地管轄為基礎，輔以適度的域外適用規則。即在明確《個保法》適(shi)用(yong)任(ren)何(he)主(zhu)體(ti)在(zai)中(zhong)華(hua)人(ren)民(min)共(gong)和(he)國(guo)境(jing)內(nei)處(chu)理(li)自(zi)然(ran)人(ren)個(ge)人(ren)信(xin)息(xi)的(de)活(huo)動(dong)的(de)同(tong)時(shi)，規(gui)定(ding)在(zai)中(zhong)華(hua)人(ren)民(min)共(gong)和(he)國(guo)境(jing)外(wai)處(chu)理(li)中(zhong)華(hua)人(ren)民(min)共(gong)和(he)國(guo)境(jing)內(nei)自(zi)然(ran)人(ren)個(ge)人(ren)信(xin)息(xi)的(de)活(huo)動(dong)，如(ru)果(guo)符(fu)合(he)（1）以向境內自然人提供產品或者服務為目的；（2）分析
、評估境內自然人的行為
；（3）法律、行政法規規定的其他情形[1]中的任一情形
，也應適用《個保法》。

    （二）重點概念

   1.中華人民共和國境內

參照有關法律法規的規定
，應當指除香港特別行政區、aomentebiexingzhengquhetaiwandiquzhiwaidezhongguodaludiqu。zhiyaoshizaizhongguojingneijinxingdegerenxinxichulihuodong
，wulungerenxinxichulizhelaizijingneihuojingwai，yebuguangerenxinxidezhutishijingneihaishijingwai
，douyingdangshiyong《個保法》。換言之，外國公司在中國境內處理外國自然人的個人信息同樣應當適用《個保法》。同時，符合前述任一情形的，無論境內還是境外的個人信息處理者，即便在中國境外

，處理中國境內自然人的個人信息時，也應適用《個保法》。

2.個人信息

《個保法》規定個人信息是指以電子或者其他方式記錄的、與已識別或者可識別的自然人有關的各種信息[2]。曆經《網絡安全法》《民法典》對個人信息定義的調整，作為個人信息保護的專門法律，《個保法》對個人信息的最終定義與歐盟的《通用數據保護條例（General Data Protection Regulations）》（以下稱“GDPR”）相類似，采取了“可識別”“已識別”的概念，與2020年10月施行的國家標準《信息安全技術 個人信息安全規範》（GB/T 35272-2020）(以下稱“《安全規範》”)中提出的“識別”+“關聯”的判定方式一致。即個人信息既包括由信息本身的特殊性識別特定自然人的信息
，也包括由特定自然人在其活動中產生的信息。

3.處理活動

《個保法》規範的對象是個人信息的處理活動，包括個人信息的收集
、存儲、使用、加工、傳輸、提供、公開
、刪除等[3]。相較《草案》和《二審稿》，《個保法》對於個人信息的處理的定義，增加了“刪除”一項，進一步補充和完善了處理活動，即包括個人信息全生命周期內的各種活動。

二、個人信息處理者及其義務

(一)個人信息處理者的定義

《個保法》對個人信息處理者的定義是，在個人信息處理活動中自主決定處理目的、處理方式的組織
、個人[4]。與《草案》《二審稿》相比，《個保法》對於個人處理的定義最終聚焦在“處理目的
、處理方式”，刪除了“等個人信息處理事項”的表述
，更加明確具體。個人信息處理者的定義中另一個關鍵詞是“自主決定”
，我們認為根據《個保法》的規定，隻有根據自身需要可以獨立決定個人信息的處理目的和處理方式的組織或個人，才能構成《個保法》中的個人信息處理者，承擔《個保法》中規定應由個人信息處理者承擔的義務和責任。

zaigerenxinxichulihuodongdeshiwuzhong，kenengcunzaiduozhongbutongshenfendezhuti，shenzhitongyizhutizaigerenxinxishengmingzhouqichulihuodongdebutongjieduan
，kenenghuichengdanbutongjiaose。butongshenfenzhutizhijiandeguanxibutong
，chengdandeyiwuhezerenyebutong。gerenxinxichulihuodongzhongzhutizhijiandeguanxizhuyaokefenweiyixialiangzhong：

1.共同處理

兩(liang)個(ge)以(yi)上(shang)的(de)主(zhu)體(ti)共(gong)同(tong)決(jue)定(ding)個(ge)人(ren)信(xin)息(xi)的(de)處(chu)理(li)目(mu)的(de)和(he)處(chu)理(li)方(fang)式(shi)的(de)
，兩(liang)個(ge)以(yi)上(shang)的(de)主(zhu)體(ti)都(dou)同(tong)時(shi)構(gou)成(cheng)個(ge)人(ren)信(xin)息(xi)處(chu)理(li)者(zhe)
，彼(bi)此(ci)之(zhi)間(jian)是(shi)共(gong)同(tong)處(chu)理(li)者(zhe)的(de)關(guan)係(xi)。共(gong)同(tong)處(chu)理(li)者(zhe)應(ying)當(dang)約(yue)定(ding)各(ge)自(zi)的(de)權(quan)利(li)和(he)義(yi)務(wu)，個(ge)人(ren)可(ke)以(yi)向(xiang)任(ren)一(yi)個(ge)人(ren)信(xin)息(xi)處(chu)理(li)者(zhe)主(zhu)張(zhang)權(quan)利(li)，個(ge)人(ren)信(xin)息(xi)處(chu)理(li)者(zhe)應(ying)當(dang)對(dui)侵(qin)害(hai)個(ge)人(ren)信(xin)息(xi)權(quan)益(yi)造(zao)成(cheng)的(de)損(sun)害(hai)承(cheng)擔(dan)連(lian)帶(dai)責(ze)任(ren)[5]。

2.委托處理

接(jie)受(shou)個(ge)人(ren)信(xin)息(xi)處(chu)理(li)者(zhe)委(wei)托(tuo)處(chu)理(li)個(ge)人(ren)信(xin)息(xi)，構(gou)成(cheng)委(wei)托(tuo)處(chu)理(li)關(guan)係(xi)。受(shou)委(wei)托(tuo)人(ren)對(dui)處(chu)理(li)目(mu)的(de)和(he)處(chu)理(li)方(fang)式(shi)沒(mei)有(you)決(jue)定(ding)權(quan)
，應(ying)當(dang)依(yi)照(zhao)委(wei)托(tuo)人(ren)的(de)委(wei)托(tuo)內(nei)容(rong)實(shi)施(shi)處(chu)理(li)活(huo)動(dong)。個(ge)人(ren)信(xin)息(xi)處(chu)理(li)者(zhe)應(ying)當(dang)與(yu)受(shou)托(tuo)人(ren)約(yue)定(ding)委(wei)托(tuo)處(chu)理(li)的(de)目(mu)的(de)、期限、處理方式、個人信息的種類、保護措施以及雙方的權利和義務等
，並對受托人的個人信息處理活動進行監督[6]。個人信息處理者除了需要在委托前進行個人信息保護影響評估之外，對於《個保法》要求的監督活動
，可以參照《安全規範》的內容
，對受委托人進行審計、記錄和存儲委托處理個人信息的情況
、發生問題時采取補救措施等[7]。受shou委wei托tuo人ren雖sui然ran不bu是shi個ge人ren信xin息xi處chu理li者zhe，但dan是shi仍reng負fu有you采cai取qu必bi要yao措cuo施shi保bao障zhang所suo處chu理li的de個ge人ren信xin息xi的de安an全quan
，並bing協xie助zhu個ge人ren信xin息xi處chu理li者zhe履lv行xing法fa律lv法fa規gui規gui定ding的de義yi務wu[8]。同(tong)時(shi)受(shou)委(wei)托(tuo)人(ren)還(hai)負(fu)有(you)按(an)照(zhao)與(yu)委(wei)托(tuo)處(chu)理(li)的(de)個(ge)人(ren)信(xin)息(xi)處(chu)理(li)者(zhe)的(de)合(he)同(tong)約(yue)定(ding)進(jin)行(xing)處(chu)理(li)活(huo)動(dong)的(de)合(he)同(tong)義(yi)務(wu)，違(wei)反(fan)合(he)同(tong)約(yue)定(ding)應(ying)當(dang)承(cheng)擔(dan)違(wei)約(yue)責(ze)任(ren)。受(shou)委(wei)托(tuo)人(ren)超(chao)出(chu)委(wei)托(tuo)範(fan)圍(wei)自(zi)行(xing)決(jue)定(ding)處(chu)理(li)活(huo)動(dong)，可(ke)能(neng)構(gou)成(cheng)個(ge)人(ren)信(xin)息(xi)處(chu)理(li)者(zhe)承(cheng)擔(dan)相(xiang)應(ying)責(ze)任(ren)。

(二)個人信息處理者的義務

個人信息處理者應當依照《個保法》規定的個人信息處理規則進行處理活動

，《個保法》中還專章規定了個人信息處理者的義務

，具體包括[9]：

（1）製定管理製度和操作規程

（2）個人信息分類管理

（3）必要安全技術措施（加密/去標識化）

（4）確定合理權限
，進行安全培訓教育

（5）製定應急預案，進行定期合規審計，實施個人信息保護影響評估

（6）對個人信息安全事件的補救和通知義務

（7） 處理個人信息達到國家網信部門規定數量的，指定個人信息保護負責人，公開並報送

（8）境外個人信息處理者在中國境內設立專門機構或指定代表並備案的義務

   此外，個人信息處理者應當保證個人在個人信息處理活動中的權利
，並為個人行使權利提供便捷方式。《個保法》中個人在個人信息處理活動中的權利包括:知情權、決定權、查詢複製權、可攜帶權
、更正補充權
、刪除權
、撤回同意權、要求解釋權等。其中可攜帶權借鑒了GDPR的做法，是《個保法》中zhong最zui新xin追zhui加jia的de一yi項xiang個ge人ren主zhu體ti權quan利li。可ke攜xie帶dai權quan設she立li的de目mu的de在zai於yu強qiang化hua保bao證zheng個ge人ren擁yong有you個ge人ren信xin息xi控kong製zhi權quan的de同tong時shi
，對dui平ping台tai可ke能neng出chu現xian的de數shu據ju壟long斷duan問wen題ti提ti供gong解jie決jue方fang案an。但dan是shi，《個保法》規定的可攜帶權是有限權利，需要“符合國家網信部門規定條件”[10]，相關條件以及可攜帶權行使的方式、費用承擔等仍有待相關細則加以明確。

  《個保法》對於個人信息處理者義務的規定中另一個亮點，在於從《二審稿》開始，針對提供重要互聯網平台服務[11]、用戶數量巨大、yewuleixingfuzadegerenxinxichulizheshezhiledandudeyiwutiaokuan
，neirongbaokuojianlijianquanheguizhidutixi，chenglizhuyaoyouwaibuchengyuanzuchengdedulijigoujinxingjiandu；製定平台規則，明確平台內產品或服務提供者的義務並對嚴重違法的相關提供者停止服務
；定期發布個人信息保護社會責任報告。專門條款強化了大型數據企業等的合規義務。

（三）個人信息處理者的過錯推定原則

為了強化個人信息處理者的義務履行
，從《二審稿》開始增加了對個人信息處理者侵權責任的過錯推定原則。《個保法》中的表述稍有調整，最終規定為“處理個人信息侵害個人信息權益造成損害
，個人信息處理者不能證明自己沒有過錯的
，應當承擔損害賠償等侵權責任。[12]”個人信息處理者如何證明自己沒有過錯，需要結合司法解釋和審判實踐在今後進一步確認，但是我們認為企業切實履行《個保法》規定的個人信息處理者義務
，並保存相關記錄，對於個人信息處理者的履行舉證責任將起到至關重要的作用。

三、個人信息處理的合法性基礎和原則

（一）《個保法》對個人信息處理合法性基礎的重構

《個保法》在個人信息處理規則中，確立了以下個人信息處理的合法性規則:“（一）取得個人的同意；（二）為訂立、履行個人作為一方當事人的合同所必需，或者按照依法製定的勞動規章製度和依法簽訂的集體合同實施人力資源管理所必需；（三）為履行法定職責或者法定義務所必需；（四）為應對突發公共衛生事件，或者緊急情況下為保護自然人的生命健康和財產安全所必需；（五）為公共利益實施新聞報道、輿論監督等行為，在合理的範圍內處理個人信息；（六）依照本法規定在合理的範圍內處理個人自行公開或者其他已經合法公開的個人信息
；（七）法律、行政法規規定的其他情形。[13]”

在《個保法》之前，全國人民代表大會常務委員會在2012年發布的《關於加強網絡信息保護的決定》（以下稱“《決定》”）被長期作為個人信息保護領域的基礎法律依據。《決定》確立了個人信息收集、使用的合法基礎是“經被收集者同意”[14]，這一規則也被沿用至此後相關的法律法規之中，包括《消費者權益保護法》（2013年修正）[15]、《網絡安全法》[16]等。但是
，隨著數據資源重要性的不斷提升
，單一的“個人同意”規則，越來越不能滿足社會和經濟對於個人信息有效利用日益高漲的實際需求。2020年的《安全規範》中規定了收集
、使用中征得授權同意的例外和共享
、轉讓、公開披露個人信息時事先征得授權同意的例外[17]。在2021年正式施行的《民法典》中

，雖然仍然延續了“同意”的合法性原則，但是同時規定“法律、行政法規另有規定的除外”[18]，為專門法律法規的規定留下接口和空間
，同時將公開信息的合理使用和為了公共利益或自然人合法權益的合理使用以法定免責（民事責任）的形式，實際納入到民事領域的合法性基礎範圍內。

《個保法》此次在取得個人同意之外
，對於個人信息處理的合法性基礎增加並明確規定上述（二）至（七）項情形的
，不需取得個人同意[19]
，體現了《個保法》兼顧個人信息權益保護和促進個人信息合理有效利用之間平衡的立法價值。《個保法》的合法性基礎第（二）項，在《草案》和《二審稿》的基礎上，新增了“實施人力資源管理所必需”
，也是該立法價值的具體體現。我們理解同為合法性基礎的個人同意，與其後的（二）到（七）項是平行關係，可以互為替代。

（二）個人信息處理的原則

《個保法》在承繼自《決定》開始確立的個人信息處理應當遵循的合法
、正當、必要原則的基礎上，追加了誠信原則
，規定不得通過誤導、欺詐、脅迫等方式處理個人信息[20]。對於必要原則，《個保法》進一步明確規定“與處理目的直接相關”“采取對個人權益影響最小的方式”“限於實現處理目的的最小範圍
，不得過度收集”[21]，從目的、方式
、範圍的維度對於必要原則加強了闡明。除此之外，《個保法》強調公開、透明原則

，要求“公開個人信息處理規則，明示處理的目的、方式和範圍。”[22]需要企業特別注意的是
，依照前述合法性基礎處理個人信息時，同樣需要遵循個人信息處理的原則要求。合法性基礎（二）到（七）項免除的隻是取得個人同意，並不意味免除《個保法》及相關法律法規規定的個人信息處理過程中其他的義務和責任。例如
，在個人信息跨境提供的場景
，符合合法性基礎中（二）到（七）項，隻是無需取得個人信息主體單獨同意的理由

，而非無需遵守合法、正當、biyaohechengxinyuanze，gongkaichuliguize，jinxinggerenxinxibaohuyingxiangpingguyijimanzuqitafalvguidingdejutitiaojiandeliyou。danshi，zaiyifawuxuqudegerentongyidechangjingxia，ruheshixiangongkaigerenxinxichuliguizedeyaoqiu，xuyaogenjushishixizedejutiguidingyijijieheshijichangjingjutiyanjiu。

（三）個人同意和有效性

誠然如前所述
，《個保法》zhonggoulegerenxinxichulidehefaxingjichu。danshi，wulunconggerenxinxibaohuderengequanyishuxing，gerenxinxibaohudedicengyaoqiu，haishishijiyingyongchangjingdeshuliangshang，gerentongyirengranshigerenxinxichulihefaxingyuanzedehexin。yinci，gerentongyiyouxiaoxingdekaoliangrengranshiqiyeheguigongzuozhongdezhongzhongzhizhong。

個人同意有效性的前提是滿足個人信息處理的原則要求。超越原則，不具有明確、合理的目的，超過最小必要的範圍處理個人信息
，或者沒有通過個人信息處理規則明確告知處理的目的
、方式和範圍等，即使取得個人同意，仍然存在重大的合規瑕疵。為了保證上述前提
，《個保法》對於個人同意的方式
、個人撤回同意時的處理、對個人履行告知義務的方式、內容、形式等都進行了具體規定[23]。此外， 2021年3月
，國家互聯網信息辦公室（以下稱“國家網信辦”）、工業和信息化部（以下稱“工信部”）、公安部和國家市場監督管理總局（以下稱“市監總局”）聯合發布了《常見類型移動互聯網應用程序必要個人信息範圍規定》

，雖然該規定主要為了規範移動互聯網應用程序（App）收集個人信息行為，對於一般場景處理個人信息活動的最小必要範圍的判定仍有一定參考借鑒的意義。

取得個人同意的方式也是個人同意有效性的另一個重要因素。《個保法》中明確規定了單獨同意的取得個人同意的方式。明確了針對特定的個人信息處理活動（提供[24]、公開[25]）
、特殊個人信息類型（敏感個人信息[26]）
、特別處理場景（個人圖像、身份識別信息用於公共安全之外目的[27]以及個人信息的跨境提供[28]）需要采取單獨同意的要求。另一方麵，單獨同意區別於《安全規範》中的明示同意和授權同意
，從文義上，與2021年5月生效的《網絡交易監督管理辦法》中規定收集
、使用敏感信息應當“逐項取得消費者同意”[29]也ye應ying當dang有you所suo不bu同tong。我wo們men理li解jie單dan獨du同tong意yi的de重zhong點dian在zai於yu與yu其qi他ta同tong意yi事shi項xiang相xiang區qu分fen，目mu的de在zai於yu對dui個ge人ren起qi到dao單dan獨du提ti示shi的de作zuo用yong
，並bing不bu得de與yu其qi他ta事shi項xiang進jin行xing捆kun綁bang。雖sui然ran，有you關guan單dan獨du同tong意yi的de具ju體ti認ren定ding
，還hai需xu要yao結jie合he實shi施shi細xi則ze和he規gui範fan性xing文wen件jian的de規gui定ding以yi及ji通tong過guo執zhi法fa實shi踐jian進jin一yi步bu驗yan證zheng，但dan是shi我wo們men理li解jie實shi務wu中zhong應ying當dang基ji於yu法fa律lv的de立li法fa本ben意yi，結jie合he線xian上shang或huo線xian下xia處chu理li的de實shi際ji場chang景jing，在zai平ping衡heng合he規gui要yao求qiu和he注zhu重zhong用yong戶hu體ti驗yan的de前qian提ti下xia
，綜zong合he考kao慮lv具ju體ti的de落luo地di方fang法fa。

四、個人信息處理活動的特殊規則

（一）敏感個人信息的處理規則

《個保法》在一般個人信息的基礎上
，明確定義了敏感個人信息，並規定了敏感個人信息處理的特殊規則。《個保法》對敏感個人信息的定義，仍然沿用了《安全規範》中zhong以yi發fa生sheng個ge人ren信xin息xi事shi故gu時shi的de危wei害hai結jie果guo作zuo為wei界jie定ding標biao準zhun的de方fang式shi。其qi中zhong，個ge人ren信xin息xi事shi故gu包bao括kuo信xin息xi的de泄xie露lu或huo非fei法fa使shi用yong，危wei害hai結jie果guo是shi指zhi容rong易yi導dao致zhi自zi然ran人ren的de人ren格ge尊zun嚴yan受shou到dao侵qin害hai或huo者zhe人ren身shen、財產安全受到危害[30]。雖然《個保法》對敏感個人信息定義的表述較《安全規範》有所變化，我們理解主要是由於《民法典》明確了人格尊嚴受法律保護[31]，個人信息保護屬於“自然人享有基於人身自由
、人格尊嚴產生的其他人格權益[32]”，實質上《個保法》對於敏感個人信息的定義沒有本質變化。除了《個保法》中舉例的敏感個人信息，包括生物識別
、宗教信仰、特定身份、醫療健康、金融賬戶
、行蹤軌跡等信息
，以及不滿十四周歲未成年人的個人信息之外，《安全規範》中的列示對於判斷敏感個人信息同樣有重要參考意義。

《個保法》對於敏感個人信息處理的特殊規則

，包括更高的必要性要求；更嚴格的保護措施要求；單獨同意或書麵同意的要求；更geng充chong分fen告gao知zhi義yi務wu的de要yao求qiu以yi及ji針zhen對dui不bu滿man十shi四si歲sui未wei成cheng年nian人ren信xin息xi，製zhi定ding專zhuan門men的de個ge人ren信xin息xi處chu理li規gui則ze和he取qu得de未wei成cheng年nian人ren父fu母mu或huo其qi他ta監jian護hu人ren的de同tong意yi的de強qiang化hua要yao求qiu。此ci外wai
，對dui於yu個ge人ren信xin息xi處chu理li者zhe在zai處chu理li敏min感gan個ge人ren信xin息xi之zhi前qian還hai要yao求qiu進jin行xing個ge人ren信xin息xi保bao護hu影ying響xiang評ping估gu，並bing對dui處chu理li情qing況kuang進jin行xing記ji錄lu。

（二）自動化決策的處理規則

針對大數據分析和人工智能等技術運用的迅猛發展，《個保法》對於該技術的重要應用自動化決策進行了專門規定[33]。包括（1）個人信息處理者應當保證決策的透明度和結果公平、公正

，強調不得對個人在交易價格等交易條件上實行不合理的差別待遇。此規定意圖規範和禁止普遍關注的“大數據殺熟”問題，也是《個保法》在《草案》《二審稿》基礎上補充強調的內容。（2）通過自動化決策方式向個人進行信息推送
、商(shang)業(ye)營(ying)銷(xiao)
，應(ying)當(dang)同(tong)時(shi)提(ti)供(gong)不(bu)針(zhen)對(dui)其(qi)個(ge)人(ren)特(te)征(zheng)的(de)選(xuan)項(xiang)，或(huo)者(zhe)向(xiang)個(ge)人(ren)提(ti)供(gong)便(bian)捷(jie)的(de)拒(ju)絕(jue)方(fang)式(shi)。強(qiang)調(tiao)保(bao)護(hu)個(ge)人(ren)對(dui)自(zi)動(dong)化(hua)決(jue)策(ce)推(tui)送(song)信(xin)息(xi)的(de)選(xuan)擇(ze)權(quan)
，以(yi)防(fang)範(fan)“信息繭房”問題。（3）tongguozidonghuajuecefangshizuochuduigerenquanyiyouzhongdayingxiangdejueding，gerenyouquanyaoqiugerenxinxichulizheyuyishuoming，bingyouquanjujuegerenxinxichulizhejintongguozidonghuajuecedefangshizuochujueding。qizhongduigerenquanyiyouzhongdayingxiangdejueding
，canzhao《安全規範》中的舉例，包括自動決定個人征信及貸款額度，或用於麵試人員的自動篩選等[34]。此外
，《個保法》還要求個人信息處理者在利用個人信息進行自動化決策之前，要進行個人信息保護影響評估，並對處理情況進行記錄[35]。

2021年8月27日
，國家互聯網信息辦公室（以下稱“國家網信辦”）公布了《互聯網信息服務算法推薦管理規定（征求意見稿）》（以下稱“《算法推薦規定》”）並向社會公開征求意見。雖然並非所有自動化決策都利用個人信息，《算法推薦規定》中的應用算法推薦技術也並非僅用於自動化決策，或者全部使用個人信息，但不可否認二者仍有著緊密的關係。《算法推薦規定》中第14條對於算法推薦服務透明度的規定，第10條加強用戶模型和用戶標簽管理的規定，第15條提供關閉算法推進服務選項等均與《個保法》關於自動化決策的前述規定一以貫之。特別值得注意的是，根據《算法推薦規定》，對於應用算法推薦技術提供互聯網信息服務的服務提供者（以下稱“算法推薦服務提供者”），國家將實施分類分級管理。對於其中具有輿論屬性或者社會動員能力的算法推薦服務提供者，將要求實施備案和強製的安全評估。

（三）個人信息的跨境提供規則

互聯網技術的發展、經濟全球化和數據資源的廣泛利用，使得數據跨境成為必然要求，另一方麵


，數據的跨境關係到數據安全、個人信息和隱私權利的保護


，甚至關聯國家安全和國家數據主權，因此數據跨境問題，特別是個人信息的跨境規則一直備受矚目。

在中國的相關立法中，自《網絡安全法》開始明確規定關鍵信息基礎設施的運營者（以下稱“CIIO”）對dui在zai中zhong國guo境jing內nei運yun營ying中zhong收shou集ji和he產chan生sheng的de個ge人ren信xin息xi和he重zhong要yao數shu據ju的de本ben地di化hua存cun儲chu原yuan則ze要yao求qiu
，同tong時shi規gui定ding確que需xu向xiang境jing外wai提ti供gong的de

，需xu要yao進jin行xing安an全quan評ping估gu。作zuo為wei對dui跨kua境jing提ti供gong規gui則ze的de落luo實shi，中zhong國guo先xian後hou推tui出chu了le《個人信息和重要數據出境安全評估辦法（征求意見稿）》（2017）、《信息安全技術  數據出境安全評估指南（送審稿）》（2017）、《個人信息出境安全評估辦法（征求意見稿）》（2019）等相關法規和規範性文件，但是除了將適用對象由CIIO統一擴大到了一般的網絡運營者，對於具體適用措施

，則一直存在變動，始終未能確定。《個保法》終於確定了個人信息的跨境規則，並以專章進行了規定。具體規則的概要可參見下表[36]：

《個保法》借鑒了包括GDPR在內國外立法的經驗
，采用了標準合同的規則方式以及確認“充分保護標準”的要求等，基本明晰了個人信息跨境的規則框架。同時，與《出口管製法》等相關法律進行了銜接。但是
，涉及個人信息跨境提供的實際問題，包括跨境提供的認定
、安全評估的具體內容和流程、認證機構的確定
、標準合同的公布
、采cai取qu必bi要yao措cuo施shi的de認ren定ding以yi及ji過guo境jing數shu據ju的de處chu理li規gui則ze等deng，仍reng需xu要yao實shi施shi細xi則ze和he規gui範fan性xing文wen件jian加jia以yi明ming確que。我wo們men估gu計ji相xiang關guan細xi則ze和he規gui範fan性xing文wen件jian正zheng在zai緊jin鑼luo密mi鼓gu的de製zhi定ding過guo程cheng中zhong，很hen有you可ke能neng在zai11月1日《個保法》施行前後出台。

五
、個人信息保護的監管及法律責任

（一）監管部門和職責權限

與《網絡安全法》《數據安全法》基本一致，《個保法》規gui定ding國guo家jia網wang信xin部bu門men負fu責ze統tong籌chou協xie調tiao個ge人ren信xin息xi保bao護hu工gong作zuo和he相xiang關guan監jian督du管guan理li工gong作zuo。國guo務wu院yuan有you關guan部bu門men依yi法fa在zai各ge自zi職zhi責ze範fan圍wei內nei負fu責ze個ge人ren信xin息xi保bao護hu和he監jian督du管guan理li工gong作zuo[37]。國務院有關部門在實務中主要包括工信部、公安部和市監總局。從2019年1月開始的App違法違規收集使用個人信息專項治理即是由上述四個部門聯合行動的。從《個保法》立li法fa之zhi初chu
，各ge界jie一yi直zhi有you建jian立li統tong一yi的de執zhi法fa機ji關guan專zhuan門men管guan理li個ge人ren信xin息xi保bao護hu工gong作zuo的de呼hu聲sheng。但dan出chu於yu國guo家jia機ji構gou編bian製zhi改gai革ge
，以yi及ji各ge個ge部bu門men的de各ge自zi主zhu管guan領ling域yu短duan期qi內nei恐kong難nan整zheng合he等deng諸zhu多duo因yin素su的de考kao慮lv，最zui終zhong仍reng然ran維wei持chi了le《網絡安全法》建立的管理體製，不能不說是本次立法中一個“遺憾”，“九龍治水
、多頭共管”的監督管理格局仍將繼續。

《個保法》在規定履行個人信息保護職責的部門的工作職責的同時，賦權相關部門可以采取包括詢問當事人、查閱
、複製有關資料
、現場檢查
、查封或扣押、約談個人信息處理者負責人、要求進行合規審計
、處理投訴
、舉報等多項措施[38]，並規定了當事人應當協助配合的義務。

（二）法律責任

相較於《網絡安全法》
，《個保法》對於違法處理個人信息

，或者處理個人信息未履行《個保法》規gui定ding的de個ge人ren信xin息xi保bao護hu義yi務wu的de行xing為wei，規gui定ding了le更geng加jia嚴yan格ge的de法fa律lv責ze任ren。根gen據ju違wei法fa行xing為wei的de情qing節jie
，最zui高gao可ke以yi處chu五wu千qian萬wan元yuan以yi下xia或huo者zhe上shang一yi年nian度du營ying業ye額e百bai分fen之zhi五wu以yi下xia罰fa款kuan
，並bing可ke以yi責ze令ling暫zan停ting相xiang關guan業ye務wu或huo者zhe停ting業ye整zheng頓dun、通tong報bao有you關guan主zhu管guan部bu門men吊diao銷xiao相xiang關guan業ye務wu許xu可ke或huo者zhe吊diao銷xiao營ying業ye執zhi照zhao。同tong時shi，對dui直zhi接jie負fu責ze的de主zhu管guan人ren員yuan和he其qi他ta直zhi接jie責ze任ren人ren員yuan可ke以yi最zui高gao處chu十shi萬wan元yuan以yi上shang一yi百bai萬wan元yuan以yi下xia罰fa款kuan，並bing可ke以yi決jue定ding禁jin止zhi其qi在zai一yi定ding期qi限xian內nei擔dan任ren相xiang關guan企qi業ye的de董dong事shi、監事、高級管理人員和個人信息保護負責人。[39]其中，最高罰款金額據說是借鑒了GDPR（4%）和《反壟斷法》（1%-10%）二者的經驗[40]。

在法律責任的規定中

，除了前文中介紹的個人信息處理者侵權責任的過錯推定原則之外
，《個保法》規定的公益訴訟製度，同樣備受關注。人民檢察院、法fa律lv規gui定ding的de消xiao費fei者zhe組zu織zhi和he由you國guo家jia網wang信xin部bu門men確que定ding的de組zu織zhi將jiang可ke以yi就jiu個ge人ren信xin息xi處chu理li者zhe違wei法fa處chu理li並bing侵qin害hai眾zhong多duo個ge人ren的de權quan益yi的de情qing形xing，向xiang人ren民min法fa院yuan提ti起qi訴su訟song。除chu了le行xing政zheng責ze任ren之zhi外wai，預yu計ji涉she及ji侵qin害hai個ge人ren信xin息xi保bao護hu的de權quan益yi的de民min事shi案an件jian也ye會hui大da幅fu增zeng加jia。

結語

《個人信息保護法》是基礎性法律，規定的是原則性問題
，規定的執行和落地還需要與相關細則和實施規範相結合。《個人信息保護法》的(de)出(chu)台(tai)和(he)正(zheng)式(shi)施(shi)行(xing)
，必(bi)將(jiang)帶(dai)動(dong)相(xiang)關(guan)配(pei)套(tao)法(fa)規(gui)和(he)規(gui)範(fan)性(xing)文(wen)件(jian)的(de)出(chu)台(tai)。中(zhong)國(guo)網(wang)絡(luo)安(an)全(quan)和(he)數(shu)據(ju)保(bao)護(hu)的(de)法(fa)律(lv)體(ti)係(xi)已(yi)經(jing)初(chu)步(bu)建(jian)成(cheng)
，並(bing)將(jiang)日(ri)趨(qu)完(wan)善(shan)和(he)嚴(yan)格(ge)
，這(zhe)也(ye)對(dui)企(qi)業(ye)合(he)規(gui)工(gong)作(zuo)提(ti)出(chu)了(le)新(xin)的(de)要(yao)求(qiu)。我(wo)們(men)會(hui)持(chi)續(xu)關(guan)注(zhu)有(you)關(guan)法(fa)律(lv)動(dong)向(xiang)，助(zhu)力(li)企(qi)業(ye)合(he)規(gui)成(cheng)長(chang)。

[1] 《個人信息保護法》第三條

[2] 《個人信息保護法》第四條

[3] 《個人信息保護法》第四條

[4] 《個人信息保護法》第七十三條

[5] 《個人信息保護法》第二十條

[6] 《個人信息保護法》第二十一條

[7] 《信息安全技術 個人信息安全規範》（GB/T 35272-2020）9.1

[8] 《個人信息保護法》第五十九條

[9] 《個人信息保護法》第五章

[10] 《個人信息保護法》第四十五條

[11] 《二審稿》中的表述為基礎性互聯網平台服務

[12] 《個人信息保護法》第六十九條

[13] 《個人信息保護法》第十三條

[14] 《全國人民代表大會常務委員會關於加強網絡信息保護的決定》第二條

[15] 《消費者權益保護法》（2013年修正）第二十九條

[16] 《網絡安全法》第四十一條

[17] 《信息安全技術 個人信息安全規範》（GB/T 35272-2020）5.6
、9.5

[18] 《民法典》第一千零三十五條

[19] 《個人信息保護法》第十三條

[20] 《個人信息保護法》第五條

[21] 《個人信息保護法》第六條

[22] 《個人信息保護法》第七條

[23] 《個人信息保護法》第十四條、第十五條

、第十六條

、第十七條

[24] 《個人信息保護法》第二十三條

[25] 《個人信息保護法》第二十五條

[26] 《個人信息保護法》第二十九條

[27] 《個人信息保護法》第二十六條

[28] 《個人信息保護法》第三十九條

[29] 《網絡交易監督管理辦法》第十三條

[30] 《個人信息保護法》第二十八條

[31] 《民法典》第一百零九條

[32] 《民法典》第九百九十條

[33] 《個人信息保護法》第二十四條

[34] 《信息安全技術 個人信息安全規範》（GB/T 35272-2020）7.7

[35] 《個人信息保護法》第五十五條

[36] 《個人信息保護法》第三章

[37] 《個人信息保護法》第六十條

[38] 《個人信息保護法》第六十三條、第六十四條、第六十五條

[39] 《個人信息保護法》第六十六條

[40] 南方都市報APP・隱私護衛隊課題組：詳解個保法：區分大小企業保護義務，違法人員或被限製從業https://m.mp.oeeee.com/a/BAAFRD000020210820587568.html?layer=2&share=chat&isndappinstalled=0&wxuid=ogVRcdAjENHcM_LSN5oI3X9Lzqk8&wxsalt=9f5284（最後訪問時間：2021年8月30日）