日本一区二区不卡视频,高清成人免费视频,日日碰日日摸,国产精品夜间视频香蕉,免费观看在线黄色网,国产成人97精品免费看片,综合色在线视频

繼承、創新與影響

《個人信息保護法（草案）》詳細解讀

2020年第10期    作者:黃春林    閱讀 3,088 次

2020年10月13日，十三屆全國人大常委會第二十二次會議第一次審議了《個人信息保護法（一審草案）》（下稱《一審草案》）。結合近年來中國網絡安全、數據與個人信息保護立法、政策及標準制定實踐，匯業律師事務所網絡與數據法律團隊從條文繼承與創新等角度，詳細解讀《一審草案》的主要內容及對行業的影響，供業內參考。

一、個人信息保護法制定歷程及主要內容

早在2000年初，中國就提出制定一部法典化的個人信息保護法，當年還出了多個版本的專家建議稿。但考慮到立法的謙抑性，因網絡及數據行業發展相對比較年輕，故而停止。

隨著互聯網及電信行業的快速發展，至2009年左右，社會已經出現大量侵犯公民個人信息的案件，受到媒體及立法者的廣泛關注。為了解決緊迫問題，立法者采取了先刑后民的立法策略。此后幾年，通過在《刑法修正案（七）》《刑法修正案（九）》司法解釋中加入、擴張、解釋侵犯公民個人信息罪等條款，以及新增、完善拒不履行信息網絡安全管理義務罪、幫助信息網絡犯罪活動罪等條款，加強個人信息保護。

自2012年開始，作為應急性立法，全國人大通過了《關于加強網絡信息保護的決定》，是我國個人信息保護最早的專門性立法。此后，工信部也發布了配套的專門性行政法規《電信和互聯網用戶個人信息保護規定》，《消費者權益保護法》《廣告法》《電子商務法》等也從不同角度加強了個人信息保護有關的規定。

2016發布的《網絡安全法》奠定了我國網絡個人信息保護行政監管的基本制度。隨后幾年，立法機構及標準制定部門發布了一系列配套的法律及標準文件，例如《兒童個人信息保護規定》《個人信息出境安全評估辦法（意見稿）》《數據安全管理辦法（意見稿）》《個人信息安全規范》等等。此外，2017年發布的《民法總則》，首次明確了個人信息的民事權利地位；2020年發布的《民法典》設立專章，詳細規定了個人信息民事保護的基本制度。

2020年7月，全國人大發布了《數據安全法（草案）》，確立了數據與個人信息分別監管的立法策略。

自2018年開始，十三屆全國人大常委會已將制定個人信息保護法列入了立法規劃，直至本次《一審草案》，終于掀開了個人信息保護法的神秘面紗。

《一審草案》共計八章70條，內容總體上是繼承、借鑒、吸收了國內外立法經驗，在生命周期合規方面借鑒了單行立法及《個人信息安全規范》一些比較好的實踐，在個人信息主體權利方面也吸收了《網安法》《電商法》等相關內容，在個人信息處理者合規義務方面繼承了《網安法》《數安法》等有關內容。當然，《一審草案》的很多內容還是極具開拓性，超出業界普遍預期，對未來立法及行業發展影響較大。

二、個人信息生命周期的一般性規定

《一審草案》參照《個人信息安全規范》等相關內容，從個人信息生命周期角度詳細規定了個人信息保護的一般原則，同時還規定了個人敏感信息及國家機關處理個人信息的特別規定。具體的內容包括但不限于如表一。

上述內容的主要影響在于，《一審草案》從立法層面強化了共同控制者的連帶責任，擴大了單獨同意的合規要求，首次增加了視頻采集及識別的用途限定，限定了公開個人信息抓取、使用的用途限定，對行業影響巨大。

三、個人信息主體的權利

《一審草案》在個人信息主體權利方面，在繼承《網絡安全法》《電子商務法》及《個人信息安全規范》等內容基礎上，也有部分創新性規定（表二）。

此外，《一審草案》還強化了與數據質量有關的規定，明確規定“所處理的個人信息應當準確,并及時更新”。

四、個人信息處理者的主要合規義務

《一審草案》在借鑒《網絡安全法》《數據安全法（草案）的基礎上，詳細規定了個人信息處理者的微觀合規義務，具體包括但不限于表三。

五、個人信息存儲本地化及跨境傳輸

《一審草案》最大的看點是細化了個人信息本地化及跨境傳輸的有關要求，部分內容突破了《網絡安全法》37條規定及2019版《個人信息出境安全評估辦法（征求意見稿）》有關內容，或許這也是為什么《個人信息出境安全評估辦法》征求意見后遲遲沒有發布的原因之一。

1.在個人信息本地化要求方面，《一審草案》明確規定，如下情形應當以境內存儲個人信息為原則：

（1）國家機關處理的個人信息；

（2）關鍵信息基礎設施運營者在境內收集和產生的個人信息；

（3）在境內收集和產生的個人信息數量達到一定數量的主體。關于具體數量，目前有兩個可對標規定：一個是2017版本的《個人信息和重要數據出境安全評估辦法（征求意見稿）》的50萬人和1000G；另一個是《關鍵信息基礎設施識別指南》的100萬人。

2.在個人信息跨境傳輸規則方面，《一審草案》采取了更加開明的態度，明確了個人信息可出境的法定路徑包括但不限于：

（1）前述原則應當本地化存儲的情況，經安全評估；

（2）不屬于（1）情況的（例如少量的員工個人信息出境），經專業機構進行個人信息保護認證的，或者與境外接收方訂立合同,約定雙方的權利和義務,并監督其個人信息處理活動達到本法規定的個人信息保護標準的；

（3）參照數安法規定，因履行國際司法協助或者行政執法協助義務的，經主管部門批準。

但是，無論采取哪種路徑，均應當告知個人信息主體并經其單獨同意，開展個人信息安全影響評估，且接收方未被列入限制或者禁止個人信息提供清單。

六、法律責任

除以上內容外，《一審草案》還明確了我國個人信息保護的監管機制，進一步強化了侵犯個人信息的民事、行政等法律責任。尤其是在民事責任方面，《一審草案》明確規定，違反本法規定處理個人信息，或者處理個人信息未按照規定采取必要的安全保護措施，情節嚴重的,由履行個人信息保護職責的部門責令改正,沒收違法所得,并處五千萬元以下或者上一年度營業額百分之五以下罰款,并可以責令暫停相關業務、停業整頓、通報有關主管部門吊銷相關業務許可或者吊銷營業執照;對直接負責的主管人員和其他直接責任人員處十萬元以上一百萬元以下罰款。

此外，《一審草案》還規定了公益訴訟機制，即個人信息處理者違反本法規定處理個人信息,侵害眾多個人的權益的,人民檢察院、履行個人信息保護職責的部門和國家網信部門確定的組織可以依法向人民法院提起公益訴訟。

黃春林

上海市匯業律師事務所合伙人，全國律協信息網絡與高新技術法律專業委員會委員，上海律協互聯網與信息技術業務研究委員會副主任，上海交通大學網絡空間治理研究中心研究員業務方向：網絡與數據合規、新興技術與娛樂文化領域綜合法律服務