新法探讨：《个人信息保护法》

随着信息化与经济社会持续深度融合，网络已成为生产生活的新空间、经济发展的新引擎、交流合作的新纽带。截至2020年3月，我国互联网用户已达9亿，互联网网站超过400万个、应用程序数量超过300万个，个人信息的收集、使用更为广泛。虽然近年来我国个人信息保护力度不断加大，但在现实生活中，一些企业、机构甚至个人，从商业利益等出发，随意收集、违法获取、过度使用、非法买卖个人信息，利用个人信息侵扰人民群众生活安宁、危害人民群众生命健康和财产安全等问题仍十分突出。在信息化时代，个人信息保护已成为广大人民群众最关心最直接最现实的利益问题之一。

因此， 2020年10月21日，中国人大网公布《中华人民共和国个人信息保护法（草案）》（以下简称“《个人信息保护法（草案）》”）全文，并对其公开征求意见。作为首部专门规定个人信息保护的法律，《个人信息保护法（草案）》在正式出台后，将成为个人信息保护领域的“基本法”。《个人信息保护法（草案）》全文共八章，内容包括总则、个人信息处理规则、个人信息跨境提供的规则、个人在个人信息处理活动中的权利、个人信息处理者的义务、履行个人信息保护职责的部门、法律责任和附则。为了帮助大家更好地理解条文内容，接下来将从《个人信息保护法（草案）》中选取重要的法条进行解读，供大家参考。

一．     草案第二条： “自然人的个人信息受法律保护，任何组织、个人不得侵害自然人的个人信息权益。”

本条明确了自然人依法享有个人信息权益。相较于《中华人民共和国民法总则》和即将生效的《中华人民共和国民法典》（以下简称“《民法典》”），《个人信息保护法（草案）》首次提出自然人享有“个人信息权益”，意味着在法律层面，虽然因为争议较大未定性为“个人信息权”，但若个人信息被侵犯将能够得到更多的救济。而在司法实践中，法院已经实质探讨和认定涉案企业和App是否侵犯自然人的个人信息权益以及侵犯个人信息权益情况下需要承担的法律责任。对于个人信息保护而言，无疑是利好消息。

二．     草案第三条：“组织、个人在中华人民共和国境内处理自然人个人信息的活动，适用本法。在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动，有下列情形之一的，也适用本法：（一）以向境内自然人提供产品或者服务为目的；（二）为分析、评估境内自然人的行为；（三）法律、行政法规规定的其他情形。”

本条明确了《个人信息保护法（草案）》的适用范围。

与世界各国和地区对个人信息控制的主流实践相类似，《个人信息保护法（草案）》采取了地域范围+公民和/或居民相结合的适用范围，赋予了必要的域外适用效力，能够更好地维护我国境内自然人的个人信息权益。对于在中国境外处理中国境内自然人个人信息，《个人信息保护法（草案）》第五十二条提出了在中国境内设立专门机构或指定代表负责处理个人信息保护相关事务的要求，此举有助于有效实现本条第二款的立法目的，切实达到对境外主体实施监管的效果。

三．    草案第五条：“处理个人信息应当采用合法、正当的方式，遵循诚信原则，不得通过欺诈、误导等方式处理个人信息。”

本条明确了处理个人信息的合法、正当要求。

在《网络安全法》第四十一条第一款要求收集使用个人信息应遵循合法、正当原则的基础上，《个人信息保护法（草案）》与《民法典》第一千零三十五条第一款的规定相类似，要求包括收集、使用个人信息等在内的个人信息处理活动均需要采用合法、正当的方式，不得通过欺诈、误导等方式处理个人信息。实践中常见的“欺诈、误导”行为，比如，以添加联系人为由申请用户的通讯录权限，用户打开权限后上传整个通讯录，并将该类信息用于发送商业广告或其它目的；再比如，通过积分、奖励、优惠等方式欺骗误导用户提供身份证号码以及人脸信息、指纹信息等个人生物特征信息。

四．     草案第九条：“个人信息处理者应当对其个人信息处理活动负责，并采取必要措施保障所处理的个人信息的安全。”

本条明确了个人信息处理者承担保障个人信息安全责任的要求。在《网络安全法》第四十二条第二款要求网络运营者确保其收集的个人信息安全的基础上，《个人信息保护法（草案）》进一步强化了个人信息处理者对个人信息处理活动的责任承担，这就意味着“谁处理谁负责”。同时，要求包括收集个人信息的主体在内的个人信息处理者均应采取必要措施保障所处理的个人信息安全。从理解的角度，这里的“必要措施”包括技术措施、管理措施等。

五．     草案第十三条：  “符合下列情形之一的，个人信息处理者方可处理个人信息：（一）取得个人的同意；（二）为订立或者履行个人作为一方当事人的合同所必需；（三）为履行法定职责或者法定义务所必需；（四）为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需；（五）为公共利益实施新闻报道、舆论监督等行为在合理的范围内处理个人信息；（六）法律、行政法规规定的其他情形。”

本条明确了处理个人信息的合法性基础。

作为《个人信息保护法（草案）》最核心、最重要的改动之一，本条大范围扩充了处理个人信息的合法性基础。从处理个人信息合法性基础的演变看，《网络安全法》第四十一条第一款明确了收集使用个人信息的合法性基础为“被收集者同意”，使得《网络安全法》生效以来长时间内，同意成为收集使用个人信息的唯一的合法性基础。《民法典》第一千零三十五条第一款第一项沿用了“同意”的合法性基础，但也留下了“法律、行政法规另有规定的除外”的例外规定。随着《个人信息保护法（草案）》的面世，前述《民法典》指向的例外规定浮出水面，实现了法律之间的有效衔接。

在各方的翘首企盼下，《个人信息保护法（草案）》可谓是“千呼万唤始出来”。整体而言，在借鉴域外立法经验的基础上，《个人信息保护法（草案）》立足我国个人信息保护实践，深入总结了《民法典》《网络安全法》《电子商务法》等法律法规和《个人信息安全规范》等国家标准的实施经验，将个人信息保护实践中行之有效的做法和措施上升为法律规范。同时，《个人信息保护法（草案）》做好了与《民法典》《数据安全法（草案）》等法律法规的衔接，也就实践中出现的个人信息保护新问题、新场景进行了必要的规制并留下弹性的空间，可谓是一部水平较高的立法。虽有部分条文有待进一步探讨和调整，但瑕不掩瑜，可以预见的是，后续《个人信息保护法》正式出台后，能够将我国个人信息保护工作推向前所未有的高度。让我们共同期待《个人信息保护法（草案）》的完善和正式出台！