新法探討：《個人信息保護法》

隨著信息化與經濟社會持續深度融合，網絡已成為生產生活的新空間、經濟發展的新引擎、交流合作的新紐帶。截至2020年3月，我國互聯網用戶已達9億，互聯網網站超過400萬個、應用程序數量超過300萬個，個人信息的收集、使用更為廣泛。雖然近年來我國個人信息保護力度不斷加大，但在現實生活中，一些企業、機構甚至個人，從商業利益等出發，隨意收集、違法獲取、過度使用、非法買賣個人信息，利用個人信息侵擾人民群眾生活安寧、危害人民群眾生命健康和財產安全等問題仍十分突出。在信息化時代，個人信息保護已成為廣大人民群眾最關心最直接最現實的利益問題之一。

因此， 2020年10月21日，中國人大網公布《中華人民共和國個人信息保護法（草案）》（以下簡稱“《個人信息保護法（草案）》”）全文，并對其公開征求意見。作為首部專門規定個人信息保護的法律，《個人信息保護法（草案）》在正式出臺后，將成為個人信息保護領域的“基本法”?！秱€人信息保護法（草案）》全文共八章，內容包括總則、個人信息處理規則、個人信息跨境提供的規則、個人在個人信息處理活動中的權利、個人信息處理者的義務、履行個人信息保護職責的部門、法律責任和附則。為了幫助大家更好地理解條文內容，接下來將從《個人信息保護法（草案）》中選取重要的法條進行解讀，供大家參考。

一．     草案第二條： “自然人的個人信息受法律保護，任何組織、個人不得侵害自然人的個人信息權益?！?/span>

本條明確了自然人依法享有個人信息權益。相較于《中華人民共和國民法總則》和即將生效的《中華人民共和國民法典》（以下簡稱“《民法典》”），《個人信息保護法（草案）》首次提出自然人享有“個人信息權益”，意味著在法律層面，雖然因為爭議較大未定性為“個人信息權”，但若個人信息被侵犯將能夠得到更多的救濟。而在司法實踐中，法院已經實質探討和認定涉案企業和App是否侵犯自然人的個人信息權益以及侵犯個人信息權益情況下需要承擔的法律責任。對于個人信息保護而言，無疑是利好消息。

二．     草案第三條：“組織、個人在中華人民共和國境內處理自然人個人信息的活動，適用本法。在中華人民共和國境外處理中華人民共和國境內自然人個人信息的活動，有下列情形之一的，也適用本法：（一）以向境內自然人提供產品或者服務為目的；（二）為分析、評估境內自然人的行為；（三）法律、行政法規規定的其他情形?！?/span>

本條明確了《個人信息保護法（草案）》的適用范圍。

與世界各國和地區對個人信息控制的主流實踐相類似，《個人信息保護法（草案）》采取了地域范圍+公民和/或居民相結合的適用范圍，賦予了必要的域外適用效力，能夠更好地維護我國境內自然人的個人信息權益。對于在中國境外處理中國境內自然人個人信息，《個人信息保護法（草案）》第五十二條提出了在中國境內設立專門機構或指定代表負責處理個人信息保護相關事務的要求，此舉有助于有效實現本條第二款的立法目的，切實達到對境外主體實施監管的效果。

三．    草案第五條：“處理個人信息應當采用合法、正當的方式，遵循誠信原則，不得通過欺詐、誤導等方式處理個人信息?！?/span>

本條明確了處理個人信息的合法、正當要求。

在《網絡安全法》第四十一條第一款要求收集使用個人信息應遵循合法、正當原則的基礎上，《個人信息保護法（草案）》與《民法典》第一千零三十五條第一款的規定相類似，要求包括收集、使用個人信息等在內的個人信息處理活動均需要采用合法、正當的方式，不得通過欺詐、誤導等方式處理個人信息。實踐中常見的“欺詐、誤導”行為，比如，以添加聯系人為由申請用戶的通訊錄權限，用戶打開權限后上傳整個通訊錄，并將該類信息用于發送商業廣告或其它目的；再比如，通過積分、獎勵、優惠等方式欺騙誤導用戶提供身份證號碼以及人臉信息、指紋信息等個人生物特征信息。

四．     草案第九條：“個人信息處理者應當對其個人信息處理活動負責，并采取必要措施保障所處理的個人信息的安全?！?/span>

本條明確了個人信息處理者承擔保障個人信息安全責任的要求。在《網絡安全法》第四十二條第二款要求網絡運營者確保其收集的個人信息安全的基礎上，《個人信息保護法（草案）》進一步強化了個人信息處理者對個人信息處理活動的責任承擔，這就意味著“誰處理誰負責”。同時，要求包括收集個人信息的主體在內的個人信息處理者均應采取必要措施保障所處理的個人信息安全。從理解的角度，這里的“必要措施”包括技術措施、管理措施等。

五．     草案第十三條：  “符合下列情形之一的，個人信息處理者方可處理個人信息：（一）取得個人的同意；（二）為訂立或者履行個人作為一方當事人的合同所必需；（三）為履行法定職責或者法定義務所必需；（四）為應對突發公共衛生事件，或者緊急情況下為保護自然人的生命健康和財產安全所必需；（五）為公共利益實施新聞報道、輿論監督等行為在合理的范圍內處理個人信息；（六）法律、行政法規規定的其他情形?！?/span>

本條明確了處理個人信息的合法性基礎。

作為《個人信息保護法（草案）》最核心、最重要的改動之一，本條大范圍擴充了處理個人信息的合法性基礎。從處理個人信息合法性基礎的演變看，《網絡安全法》第四十一條第一款明確了收集使用個人信息的合法性基礎為“被收集者同意”，使得《網絡安全法》生效以來長時間內，同意成為收集使用個人信息的唯一的合法性基礎?！睹穹ǖ洹返谝磺Я闳鍡l第一款第一項沿用了“同意”的合法性基礎，但也留下了“法律、行政法規另有規定的除外”的例外規定。隨著《個人信息保護法（草案）》的面世，前述《民法典》指向的例外規定浮出水面，實現了法律之間的有效銜接。

在各方的翹首企盼下，《個人信息保護法（草案）》可謂是“千呼萬喚始出來”。整體而言，在借鑒域外立法經驗的基礎上，《個人信息保護法（草案）》立足我國個人信息保護實踐，深入總結了《民法典》《網絡安全法》《電子商務法》等法律法規和《個人信息安全規范》等國家標準的實施經驗，將個人信息保護實踐中行之有效的做法和措施上升為法律規范。同時，《個人信息保護法（草案）》做好了與《民法典》《數據安全法（草案）》等法律法規的銜接，也就實踐中出現的個人信息保護新問題、新場景進行了必要的規制并留下彈性的空間，可謂是一部水平較高的立法。雖有部分條文有待進一步探討和調整，但瑕不掩瑜，可以預見的是，后續《個人信息保護法》正式出臺后，能夠將我國個人信息保護工作推向前所未有的高度。讓我們共同期待《個人信息保護法（草案）》的完善和正式出臺！