我国《个人信息保护法（草案）》立法亮点与修改建议-中国人民大学中国普惠金融研究院的财新博客-财新网

导语

10月13日，备受关注的《个人信息保护法（草案）》正式提请十三届全国人大常委会第二十二次会议审议。这是我国第一次正式提请人大审议个人信息法，关乎到我们每一个公民的切身利益，现实意义重大。互联网时代究竟需要一部什么样的个人信息保护法？公民个人究竟需要国家如何有效保护自身的合法权利？中国人民大学中国普惠金融研究院顾雷博士就《个人信息保护法（草案）》立法亮点和修改建议进行了论述，欢迎有兴趣的业内同仁一起参与讨论。

作者简介

顾雷

顾雷，法学博士、金融学博士后，中国人民大学中国普惠金融研究院研究员、硕士生导师。主要研究数字金融、普惠金融监管、金融消费者权益保护以及证券市场违规犯罪问题。

近年来，社会各界广泛呼吁出台个人信息保护法律，本届全国人大代表有340人次提出39件相关议案、建议，对加强个人信息保护工作提出明确要求。为此，2019年制定个人信息保护法就列入了十三届全国人大常委会立法规划和年度立法工作计划，全国人大常委会法制工作委员会听取部分全国人大代表的意见，广泛征求有关部门、企业和专家等各方面意见，并会同中央网络安全和信息化委员会办公室开始着手起草《个人信息保护法（草案）》（以下简称“《草案》”）。

从上世纪70年代开始，经济合作与发展组织、亚太经济合作组织和欧盟等先后出台了个人信息保护准则，指导了140多个国家和地区制定了个人信息保护法律。为此，在起草过程中，人大立法机关坚持立足国情与借鉴国际经验相结合，考虑到我国不同于发达国家的法制环境和文化背景，以欧盟的通用数据保护条例（GDPR）为参考，借鉴有关国际组织、国家和地区的立法经验，深入总结我国网络安全法律法规的实施经验，着眼于个人信息保护领域的突出矛盾，坚持问题导向，起草了适应我国数字经济发展需要的个人信息保护法律。对一些尚存争议的理论问题，在本法中留下必要空间，体现出立法包容性、前瞻性，为今后立法完善做了很好铺垫。

1. 制定《个人信息保护法》的时代意义

随着信息化与社会持续深度融合，网络已成为当今生存立足新空间、生产经营新引擎、交流合作新纽带。截至2020年06月，我国互联网用户已达9亿，互联网网站超过400万个、应用程序数量超过300万个，个人信息的收集、使用更为广泛。虽然近年来我国个人信息保护力度不断加大。但是，在现实生活中，一些企业、机构甚至个人，从商业利益等出发，随意收集、违法获取、过度使用、非法买卖个人信息，利用个人信息侵扰人民生活安宁、危害群众健康和财产安全问题仍十分突出。

为此，全国人大在制定网络安全法、电子商务法、修改消费者权益保护法等立法工作中，逐步完善了个人信息保护的主要规则，诸如在修改刑法中，确立了惩治侵害个人信息犯罪的法律制度，并将个人信息作为《民法典》一项重要民事权利加以首肯。但是，这些立法仍难以适应互联网信息快速发展形势，有必要制定出台专门个人信息保护法律，增强法律规范系统性和可操作性，解决互联网社会的现实问题，形成更加完备的制度，提供更强有力的法律保障。

其次，违法收集、使用个人信息等行为不仅损害人民群众切身利益，还危害交易安全，扰乱市场竞争。因此，制定个人信息保护法不仅是加强个人信息保护的客观要求，也是保障网络安全良好状态，维护网络空间秩序。

最后，《草案》可以有效促进互联网时代数字经济健康发展。当前，以数据为新生产要素的数字经济蓬勃发展，数据竞争成为市场竞争的重要领域，而个人信息数据就是大数据核心因素。通过立法建立权责明确、规范清晰的制度，促进个人信息数据得到合法有效利用，推动互联网时代数字经济持续健康发展。

2. 关于《草案》的主要立法亮点

《草案》共八章七十条，主要内容包括：

（一）明确本法适用范围

一是《草案》第四条首次对本法核心用语作出界定：个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息；个人信息的处理包括个人信息的收集、存储、使用、加工、传输等活动。

二是《草案》第三条、第五十二条明确在我国境内处理个人信息的活动适用本法的同时，赋予本法必要的域外适用效力，以充分保护我国境内个人的权益。例如，以向境内自然人提供产品或者服务为目的，或者为分析、评估境内自然人的行为等发生在我国境外的个人信息处理活动，也适用本法，并要求境外的个人信息处理者在境内设立专门机构或者指定代表，负责个人信息保护相关事务。

（二）健全个人信息处理规则

一是《草案》第五条至第九条确立了个人信息处理时应遵循原则，强调处理个人信息必须采用合法、正当方式，具有合理目的，公开处理规则，保证信息准确、安全和有效，并将上述原则贯穿于个人信息处理的全过程、各环节。

二是《草案》第十三条至第十九条基于社会生活的复杂性和个人信息处理的不同情况，草案还对个人同意以外合法处理个人信息的情形作了规定，确立了以“告知--同意”为核心的个人信息处理一系列规则，要求处理个人信息应当在事先充分告知的前提下取得个人同意，并且个人有权撤回同意。同时，重要事项发生变更的应当重新取得个人同意，也不得以个人不同意为由拒绝提供产品或者服务。

三是《草案》第二十一条至第二十八条规定了根据个人信息处理的不同环节、不同个人信息种类，对个人信息的共同处理、委托处理、向第三方提供、公开、用于自动化决策、处理已公开的个人信息等提出有针对性的法定要求。

四是《草案》第二十九条至第三十二条设立专节对处理敏感个人信息作出更严格的限制，只有在具有特定的目的和充分的必要性的情形下，方可处理敏感个人信息，并且应当取得个人的单独同意或者书面同意。

五是《草案》第三十三条至第三十七条设立专节规定国家机关处理个人信息的规则，在保障国家机关依法履行职责的同时，要求国家机关处理个人信息应当依照法定权限和程序进行，保障公民个人的合法权益不受到来自国家公权力机构的误判侵犯。

（三）完善个人信息跨境提供规则

一是《草案》第三十八条、第四十条明确关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的处理者，确需向境外提供个人信息的，应当通过国家网信部门组织的安全评估；对于其他需要跨境提供个人信息的，规定了经专业机构认证等途径。第三十九条对跨境提供个人信息的“告知--同意”作出更严格的要求。

二是《草案》第四十一条对因国际司法协助或者行政执法协助，需要向境外提供个人信息的，要求依法申请有关主管部门批准。

三是《草案》第四十二条、第四十三条对从事损害我国公民个人信息权益等活动的境外组织、个人，以及在个人信息保护方面对我国采取不合理措施的国家和地区，规定了可以采取的相应反制措施，彰显了国家主权意识。

（四）明确个人信息处理活动中个人权利和义务

一是《草案》第四十四条至第四十九条与《民法典》相衔接，明确在个人信息处理活动中个人的各项权利，包括知情权、决定权、查询权、更正权、删除权等，并要求个人信息处理者建立个人行使权利的申请受理和处理机制。

二是《草案》第五十条、第五十一条、第五十三条至第五十五条明确个人信息处理者的合规管理和保障个人信息安全义务，要求其按照规定的操作规程，采取安全技术措施，并指定负责人对其个人信息处理活动进行监督；对处理敏感个人信息、向境外提供个人信息等高风险处理活动，事前进行风险评估。

（五）有关侵害个人信息权益的民事赔偿责任

《草案》对违反本法规定行为的处罚及侵害个人信息权益的民事赔偿等作了规定。在信息技术时代，随意收集、非法获取、过度使用、非法买卖个人信息，严重侵扰人民生活安宁，危害人民群众财产安全，影响经济生产秩序。《草案》有关侵害个人信息权益的民事赔偿规定深受社会关注和大众欢迎。

3. 有关《草案》的修改建议

法律想要真正发挥作用就必须具备可行性。《草案》目前尚有一些概念还比较模糊，含义不太清楚，可能给未来实施带来困难。

首先，区分好公开收集与专门采集信息的区别。公开信息与非公开信息怎么保护要有区别，细分具象。比如，《草案》对不该公开的个人信息公开了需要如何严肃处理问题缺失明确规定。又如，《草案》还应该进一步区分采集信息是自用还是出售、转让条款，临时采集识别与长期保存个人信息也应区分开来。比如现在一些单位、社区已经实行人脸识别，这种采集是暂时保存还是永久储存，需要区别对待，分门别类作出规范，增加可操作性。

其次，处理好个人信息保护与数字经济发展的关系。现在数字经济已经成为引领科技革命和产业变革的核心力量。所以，立法既要充分保护数据主体的合法利益，还应该重视数字经济时代相关信息和数据的合法利用问题。例如，《草案》要考虑个人目前在日常的生活中面临的现实问题，比如小程序、APP、网页使用时个人信息的泄露等，同时要考虑今后新的技术发展带来的知情同意方式的变化。伴随生物信息的识别技术开始使用，越来越多互金平台、金融机构和监管部门好像已经体会到了使用人脸识别技术的便利和快捷，特别是现在APP使用基本都是免费的，这种“免费午餐式”个人数据获取模式很容易被不法分子利用，侵害公民个人隐私权。因此，人脸识别、指纹等生物识别技术的限制问题，立法机关必须给予充分关注，增加保护条款，增加违法成本，确保公民个人隐私权保护落到实处。

最后，平衡好保护个人信息和维护公共安全的关系，特别是今年疫情期间，要进入一些公共区域（部门）就必须登记身份证、手机号、姓名、住址等，信息一旦泄露就是“裸奔”。《草案》虽然都有涉及但还不充分具体。例如，如何在法律上明确规定收集个人信息最小化应当符合比例原则？这些信息怎么保存保管？一旦泄露谁去追究、怎么追究？这些问题《草案》依然没有做出明确规定，今后需要进一步细化，增加法律的可操作性。又如，《草案》要与网络安全法和数据安全法相配套，统筹协调，使得有关数据保护法律应形成一个有机整体，促进个人信息依法有序流动，促进个人信息有效利用。也就是说，我们必须考虑国家机关在取得个人信息后的管理和使用问题，对公权力如何管理好自己手中的公民个人信息，如何对其进行必要的限制。否则，个人隐私权依然存在一定的安全隐患。

THE END

声明：本微信公众号刊登的文章仅代表作者本人观点，不代表中国普惠金融研究院或本微信公众号观点。2. 原创文章版权属于作者本人（本微信公众号另有声明的除外），任何机构、个人如需转载、摘编，请注明来源出处。