十年磨一劍，霜刃將霍霍——個保法合規落地中的新與難_風聞

走出去智庫觀察

隨着近年互聯網經濟和數字化的快速發展，隨意收集、違法獲取、過度使用個人信息的問題日益突出。11月1日正式生效的《中華人民共和國個人信息保護法》，必將使信息處理者的違法行為受到法律的懲處。

**走出去智庫（CGGT）特約法律專家、金誠同達律師事務所高級合夥人彭凱指出，****《網絡安全法》《數據安全法》《個人信息保護法》的全部施行，宣告護航我國數字網絡時代的“三駕馬車”正式全面啓航，**網絡安全、數據安全、隱私保護、個人信息保護等話題，不再是泛泛而談的宣示性口號，信息處理者們需要意識到，那個又快又好的時代即將落幕，尤其是《個保法》的施行，在個人信息保護領域擲下重磅一子，將逐步顯露出其“霜刃霍霍”之勢。

今天，走出去智庫（CGGT）刊發金誠同達律師事務所彭凱、周晨黠、宋海新的文章，供關注數據合規管理的讀者參考。

要 點

CGGT，CHINA GOING GLOBAL THINKTANK

1、《個保法》並未對“已識別或可識別”“有關”等具體含義作出進一步説明，在操作層面會帶來較大困惑，是否為個人信息仍需根據具體的信息組合來判斷。

2、個人信息處理者利用個人信息進行自動化決策，應當保證決策的透明度和結果公平、公正，不得在交易價格等交易條件上實行不合理的差別待遇，回應了大眾當前對“大數據殺熟”的關切。

3、考慮到個人信息出境往往伴隨着集團數據融合共享、公司對外提供數據等場景，因此亦很可能涉及到對外提供個人信息的相關規制，並進而引發新的合規要求。

正 文

CGGT，CHINA GOING GLOBAL THINKTANK

文/彭凱 周晨黠 宋海新

金誠同達律師事務所

引言

2011年5月，國家互聯網信息辦公室正式設立，次年12月28日，第十一屆全國人民代表大會常務委員會第三十次會議通過《關於加強網絡信息保護的決定》。

2021年8月20日，中華人民共和國主席習近平簽發中華人民共和國第九十一號主席令：《中華人民共和國個人信息保護法》已由中華人民共和國第十三屆全國人民代表大會常務委員會第三十次會議於2021年8月20日通過，現予公佈，自2021年11月1日起施行。

隨着《個人信息保護法》（以下簡稱“《個保法》”）正式施行，至此，**《網絡安全法》《數據安全法》《個人信息保護法》的全部施行，宣告護航我國數字網絡時代的“三駕馬車”正式全面啓航。**從2012年末《關於加強網絡信息保護的決定》明確提出要求保護個人電子信息，到《個保法》三審通過、公佈施行，我們走過了近十年的光景，恰如詩有云：十年磨一劍，霜刃未曾試。

核心要點

《個保法》公佈以來，各類從業機構的個保合規工作進展不一，近期顯見的變化主要在於“隱私政策更新”和“移動應用程序端的用户交互頁面調整”。但個保合規的全面落地，遠非數個文本修訂的“面子工程”，實務工作中的困惑、疑問乃至焦慮，結合筆者近期的項目經驗、實務考察以及業務交流，分享如下六項核心要點。

**1.**新法適用範圍

《個保法》確立了屬地管轄原則。對於在中國境內處理自然人個人信息的活動，無論處理者的主體身份是否為境外實體，也無論自然人是否為我國公民，都適用《個保法》。除屬地原則作為基礎管轄標準外，《個保法》第3條第2款還賦予了必要的域外適用效力，規定對於域外的個人信息處理活動，如涉及以向境內自然人提供產品或者服務為目的、或分析、評估境內自然人的行為、或法律、行政法規規定的其他情形，也適用《個保法》的規定。

**2.**個人信息的範圍界定

《個保法》從單行立法的角度特別明確了“個人信息”的定義，即以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理後的信息。只要與已識別或可識別的自然人有關的各種信息，都被納入個人信息的範疇。但同時也需要注意到，《個保法》並未對“已識別或可識別”“有關”等具體含義作出進一步説明，在操作層面會帶來較大困惑，是否為個人信息仍需根據具體的信息組合來判斷。

**3.**處理個人信息的合法性基礎

《個保法》第13條明確了處理個人信息的七項合法性基礎，包括六項具體的合法性基礎和一項兜底的合法性基礎。

《個保法》第13條在確立以“告知—同意”為核心的個人信息處理規則的同時，考慮到經濟社會生活的複雜性和個人信息處理的不同情況，還對基於個人同意以外合法處理個人信息的情形作了規定，可謂《個保法》最大的亮點之一。

對於處理個人信息的合法性基礎，從業機構非常關心的問題在於，如何整體把握適用處理個人信息的合法性基礎？對此，建議企業全面梳理本企業內部全部的個人信息處理行為，在梳理完成後，逐一對照《個保法》第十三條的規定，判斷每一項個人信息處理行為是否可以適用除“取得同意”的其他合法性基礎。如果無法準確適用其他合法性基礎，則建議依然適用“取得同意”的合法性基礎，遵循《個保法》項下“告知—同意”的相關要求，向個人告知相應事項並取得個人的同意，有特殊同意要求（如單獨同意、書面同意）的應取得特殊同意。

需要補充強調的是， 即使能夠適用其他合法性基礎， 其主要的作用為該等個人信息處理行為無需取得個人的同意，即《個保法》第十三條第二款規定的“依照本法其他有關規定， 處理個人信息應當取得個人同意， 但是有前款第二項至第七項規定情形的，不需取得個人同意。”而個人信息處理者依然要遵守《個保法》第五章規定的個人信息處理者的義務等的規定，履行個人信息保護義務。

**4.**敏感個人信息的處理規則

《個保法》第28條將“敏感個人信息”界定為：一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫療健康、金融賬户、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息。

只有在具有特定目的和充分必要性，並採取嚴格保護措施的情形下，個人信息處理者方可處理敏感個人信息。如涉及處理不滿十四周歲未成年人（兒童）的個人信息，應當取得兒童的父母或其他監護人的單獨同意。此外，《個保法》還要求如涉及處理兒童個人信息，個人信息處理者應制定專門的個人信息處理規則。這一規定的設置與《兒童個人信息網絡保護規定》（國家互聯網信息辦公室令第4號）的要求一脈相承，將這一規定提升至法律的高度，體現了法律對於兒童個人信息保護的重視。

**5.**自動化決策場景

個人信息處理者利用個人信息進行自動化決策，應當保證決策的透明度和結果公平、公正，不得在交易價格等交易條件上實行不合理的差別待遇，回應了大眾當前對“大數據殺熟”的關切。雖然《個保法》並未對何為“不合理的差別待遇”進行解釋，但可借鑑《關於平台經濟領域的反壟斷指南》第17條關於“差別待遇”的規定進行理解。分析是否構成“不合理的差別待遇”，其前提應為個人信息主體在交易安全、交易成本、信用狀況、所處交易環節、交易持續時間等方面不存在實質性影響交易的差別。在此基礎上，個人信息處理者依據大數據和算法，基於成本或正當營銷策略之外的因素，根據個人信息主體的支付能力、消費偏好、使用習慣等，實行差異性交易價格或者其他交易條件，或實行差異性標準、規則、算法，又或實行差異性付款條件和交易方式。

**6.**個人信息跨境提供規則

《個保法》第41條基本沿用了《數據安全法》第36條的規定，即在向外國司法或執法機構提供數據前，需先經主管機關批准，這是對於個人信息向境外提供的對象前置要求。

《個保法》第40條進一步明確，所有關鍵信息基礎設施運營者和處理個人信息達到國家網信部門規定數量的個人信息處理者的個人信息出境應當通過國家網信部門組織的安全評估。

在滿足前述條件後，個人信息處理者還應確保個人信息的出境行為同時符合《個保法》設置的通用前提，具體包括三項：

一是向個人告知並獲其單獨同意；

二是事前進行個人信息保護影響評估；

三是通過國家網信部門組織的安全評估、或按照國家網信部門的規定經專業機構進行個人信息保護認證、或按照國家網信部門制定的標準合同與境外接收方訂立合同並約定雙方的權利和義務、或法律、行政法規或者國家網信部門規定的其他條件。

同時需要注意的是，考慮到個人信息出境往往伴隨着集團數據融合共享、公司對外提供數據等場景，因此亦很可能涉及到對外提供個人信息的相關規制，並進而引發新的合規要求。

以上六項核心要點僅為《個保法》的冰山一角，反覆咀嚼其七十四個條文，可謂別是滋味在心頭：

◆ 域外適用情形下，境外處理者的義務履行和規制，實際落地情況將如何？

◆ 個人撤回同意的從業機構響應，如何落地實踐？

◆ 多個場景觸發下的單獨同意實現路徑為何**，如何衡平業務需要、用户體驗、合規要求的三者關係****？**

◆ 公共場所非安防用途的圖像採集、個人身份識別設備，留存空間如何？

◆ 個人信息跨境提供的“四選一”條件，何時可以開始實操**，無法實操之前的個人信息出境如何處置****？**

◆ 以查閲複製為典型的個人信息主體權利，從業機構如何構建響應機制**，是否將引發“用户投訴/訴訟”重災區****？**

◆ 個人信息保護影響評估怎麼做，做到何種程度？

◆ 公益訴訟的實際威力和啓動頻次可能如何？

問題種種，在最高可至“五千萬元或上一年度營業額百分之五”的罰款面前，不得不説：時間緊、任務重、規定新、要求嚴、業務難。

結語

互聯網發展的高歌猛進時代，便利快捷導向之下的狂奔，一定程度上掩蓋了私權被侵害的事實，作為普通大眾的個體，對於個人信息的掌控力，愈發“有權而無實”，不給授權不讓用、一次授權終身使用等問題至今仍然氾濫，雖有寥寥維權個案，僅是微弱的呼喊，甚至是無聲的吶喊。

但是，草莽時代終將結束，網絡安全、數據安全、隱私保護、個人信息保護等話題，不再是泛泛而談的宣示性口號，信息處理者們需要意識到，那個又快又好的時代即將落幕，《個保法》的施行，在個人信息保護領域擲下重磅一子，作為個人信息保護領域的“基本法”，《個保法》將會引發怎樣的全行業個人信息保護工作開展變化，或頂層設計的重構？或謹小慎微的細節打磨？十年光景磨出的這把個保之劍，伴隨其正式施行，將逐步顯露出其“霜刃霍霍”之勢。

而跳出《個保法》的條文理解本身，個體權利的覺醒與私權保護、磨刀霍霍的監管與配套規制措施、數字主權浪潮與數字經濟發展的並進態勢，數字化時代的機遇與挑戰，才剛剛開始。