美女高潮潮喷出白浆视频,欧美村妇激情内射,日本少妇被爽到高潮无码,CHINESE猛男自慰GV

(網(wǎng)經(jīng)社訊)2020年10月21日，全國(guó)大人常委會(huì)法工委發(fā)布了《中華人民共和國(guó)個(gè)人信息保護(hù)法（草案）》征求意見稿（以下簡(jiǎn)稱“《個(gè)人信息保護(hù)法》”），就個(gè)人信息保護(hù)有關(guān)的立法問題向社會(huì)公開征求意見。在得到業(yè)內(nèi)人士廣泛響應(yīng)的同時(shí)，我們認(rèn)為這部法律的出臺(tái)可謂意義重大，甚至將2020年稱之為我國(guó)個(gè)人信息保護(hù)立法元年都不為過。

長(zhǎng)期以來，我國(guó)雖在不斷出臺(tái)有關(guān)個(gè)人信息保護(hù)的立法文件，但從沒有一部法律法規(guī)能夠如此系統(tǒng)及全面地對(duì)個(gè)人信息保護(hù)相關(guān)問題進(jìn)行專門性立法。從現(xiàn)有頒布的法律來看，包括《民法典》、《刑法》、《電子商務(wù)法》、《網(wǎng)絡(luò)安全法》、《消費(fèi)者權(quán)益保護(hù)法》以及《廣告法》等雖有部分內(nèi)容與個(gè)人信息保護(hù)的話題相契合，但在社會(huì)實(shí)踐中，這些法律的適用大多規(guī)定的較為原則，并不能滿足人民群眾對(duì)個(gè)人信息保護(hù)的各類迫切需求。此外，縱觀其他法規(guī)及規(guī)范性文件，例如《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》、《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》、《信息安全技術(shù)個(gè)人信息安全規(guī)范》（GB/T 35273—2020）等規(guī)定，雖然在我們律師辦案中起到著極強(qiáng)的合規(guī)參考價(jià)值，但其同時(shí)也存在著一定的滯后性，并不能夠適應(yīng)各類互聯(lián)網(wǎng)企業(yè)的合規(guī)需要。在我國(guó)個(gè)人信息保護(hù)立法長(zhǎng)期并不完善的大背景下，近年來，對(duì)個(gè)人信息濫用的案例不斷涌現(xiàn)，對(duì)司法及行政監(jiān)管部門也帶來了較大挑戰(zhàn)。終于，在千呼萬喚中，這部《個(gè)人信息保護(hù)法》被推上歷史舞臺(tái)，等待它揮灑出絢爛奪目的篇章。

《個(gè)人信息保護(hù)法》全文涵蓋了八章，七十條的內(nèi)容。分別為總則、個(gè)人信息處理規(guī)則、個(gè)人信息跨境提供的規(guī)則、個(gè)人在個(gè)人信息處理活動(dòng)中的權(quán)利、個(gè)人信息處理者的義務(wù)、履行個(gè)人信息保護(hù)職責(zé)的部門、法律責(zé)任和附則。在這些看似枯燥的法條中，其實(shí)蘊(yùn)涵著立法者對(duì)人臉識(shí)別、人肉搜索、數(shù)據(jù)跨境傳輸、自動(dòng)化決策、信息脫敏等熱點(diǎn)問題的對(duì)策及解答。此外，《個(gè)人信息保護(hù)法》還對(duì)行政監(jiān)管和個(gè)人信息保護(hù)之間的原則及邊界問題進(jìn)行了規(guī)定?？偟膩碚f，我們認(rèn)為《個(gè)人信息保護(hù)法》吸取了來自世界各國(guó)和各地區(qū)的先進(jìn)經(jīng)驗(yàn)。與此同時(shí)，其，結(jié)合了我國(guó)國(guó)情及長(zhǎng)期以來面對(duì)的各類困難，使得自然人個(gè)體、互聯(lián)網(wǎng)企業(yè)、國(guó)家安全和公共利益、跨境傳輸技術(shù)要求以及國(guó)際上通行的慣例等達(dá)到了一定的平衡，進(jìn)而制定了這部法律?！秱€(gè)人信息保護(hù)法》的出臺(tái)，一方面對(duì)我國(guó)國(guó)內(nèi)互聯(lián)網(wǎng)企業(yè)的合規(guī)提出了新的期待，另一方面也對(duì)我國(guó)政府監(jiān)管提出了更高要求。因此，借著《個(gè)人信息保護(hù)法》征求意見稿頒布后的空檔期，我們建議有需求的互聯(lián)網(wǎng)企業(yè)通讀這部法律，并及時(shí)按照法律規(guī)定調(diào)整合規(guī)模式，盡可能補(bǔ)齊自身經(jīng)營(yíng)上的短板，使得公司在個(gè)人信息保護(hù)層面面臨的法律風(fēng)險(xiǎn)更為可控。我們也將結(jié)合長(zhǎng)期開展的律師實(shí)務(wù)工作，對(duì)《個(gè)人信息保護(hù)法》進(jìn)行逐條解讀，以期供各方深入學(xué)習(xí)和交流。

中華人民共和國(guó)個(gè)人信息保護(hù)法（草案）

第一章  總   則

第一條 為了保護(hù)個(gè)人信息權(quán)益規(guī)范個(gè)人信息處理活動(dòng),保障個(gè)人信息依法有序自由流動(dòng),促進(jìn)個(gè)人信息合理利用,制定本法。

【律師解讀】

本條開宗明義，明確了《個(gè)人信息保護(hù)法》的立法目的和宗旨，即通過立法的形式，促進(jìn)個(gè)人信息合法、合規(guī)、合理利用，并確保其具備一定流動(dòng)性。

第二條 自然人的個(gè)人信息受法律保護(hù),任何組織、個(gè)人不得侵害自然人的個(gè)人信息權(quán)益。

【律師解讀】

“個(gè)人信息保護(hù)”的相關(guān)內(nèi)容在《民法典》第四編“人格權(quán)”中的第六章有所體現(xiàn)，《民法典》將第六章命名為“隱私權(quán)和個(gè)人信息保護(hù)”，足見“個(gè)人信息保護(hù)”的法律地位之高以及立法者對(duì)其重視程度之深。本條與《民法典》第一千零三十四條相一致，將自然人的個(gè)人信息列為了法律保護(hù)的范疇予以調(diào)整。

第三條 組織、個(gè)人在中華人民共和國(guó)境內(nèi)處理自然人個(gè)人信息的活動(dòng),適用本法。

在中華人民共和國(guó)境外處理中華人民共和國(guó)境內(nèi)自然人個(gè)人信息的活動(dòng),有下列情形之一的,也適用本法:

(一)以向境內(nèi)自然人提供產(chǎn)品或者服務(wù)為目的;

(二)為分析、評(píng)估境內(nèi)自然人的行為;

(三)法律、行政法規(guī)規(guī)定的其他情形。

【律師解讀】

本條闡明了《個(gè)人信息保護(hù)法》的適用范圍，明確了域外適用的效力，即通過最密切聯(lián)系原則確立了三項(xiàng)連結(jié)點(diǎn)，其與歐盟《通用數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation，以下簡(jiǎn)稱“GDPR”）第三條中的指向性和監(jiān)管性要求相類似。

第四條 個(gè)人信息是以電子或者其他方式記錄的與已識(shí)別或者可識(shí)別的自然人有關(guān)的各種信息,不包括匿名化處理后的信息。

個(gè)人信息的處理包括個(gè)人信息的收集、存儲(chǔ)、使用、加工、傳輸、提供、公開等活動(dòng)。

【律師解讀】

本條明確了“個(gè)人信息”以及“個(gè)人信息的處理”的范圍和定義。

對(duì)于“個(gè)人信息”而言，在實(shí)踐中，各國(guó)都有各自不同的理解和定義，例如德國(guó)《聯(lián)邦數(shù)據(jù)保護(hù)法》就言簡(jiǎn)意賅的認(rèn)為“個(gè)人信息”指的就是信息主體的信息。此外，經(jīng)濟(jì)合作與發(fā)展組織頒布的《關(guān)于保護(hù)隱私與個(gè)人數(shù)據(jù)跨境流動(dòng)的指南》中也規(guī)定了“個(gè)人信息”指的是“任何與已識(shí)別或可識(shí)別的數(shù)據(jù)主體有關(guān)的信息”?！秱€(gè)人信息保護(hù)法》將“識(shí)別和關(guān)聯(lián)”作為個(gè)人信息的定義方式，借鑒了歐盟GDPR的做法，明確了這部法律所調(diào)整的范疇，使得司法實(shí)踐在對(duì)“個(gè)人信息”認(rèn)定方面更為準(zhǔn)確。另外需要說明的是，將“已識(shí)別”和“可識(shí)別”作為“個(gè)人信息”的判斷標(biāo)準(zhǔn)，使得“個(gè)人信息”的界定更為科學(xué)，而將“匿名化處理的信息”排除在外，也是保障個(gè)人信息的一種有效體現(xiàn)。

對(duì)于“個(gè)人信息的處理”而言，《個(gè)人信息保護(hù)法》與《網(wǎng)絡(luò)安全法》規(guī)定的較為一致。

第五條 處理個(gè)人信息應(yīng)當(dāng)采用合法、正當(dāng)?shù)姆绞?遵循誠(chéng)信原則,不得通過欺詐、誤導(dǎo)等方式處理個(gè)人信息。

【律師解讀】

本條是有關(guān)個(gè)人信息處理中的合法性和正當(dāng)性要求。

《網(wǎng)絡(luò)安全法》第四十一條規(guī)定了網(wǎng)絡(luò)運(yùn)營(yíng)者收集、使用個(gè)人信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的三大原則。但是本條內(nèi)容僅涵蓋了合法性和正當(dāng)性，而將必要性作為第六條的規(guī)定進(jìn)行單列，可見其重要意義。

所謂合法性，指的是在個(gè)人信息處理過程中，需要符合法律法規(guī)的要求，禁止通過植入惡意軟件等非法手段收集、存儲(chǔ)、使用、加工、傳輸、提供、公開個(gè)人信息。

所謂正當(dāng)性，指的是在個(gè)人信息處理過程中，需要采取例如“明示+同意”的正當(dāng)形式收集、存儲(chǔ)、使用、加工、傳輸、提供、公開個(gè)人信息。

第六條 處理個(gè)人信息應(yīng)當(dāng)具有明確、合理的目的,并應(yīng)當(dāng)限于實(shí)現(xiàn)處理目的的最小范圍,不得進(jìn)行與處理目的無關(guān)的個(gè)人信息處理。

【律師解讀】

本條是有關(guān)個(gè)人信息處理中的目的性和必要性要求。

所謂目的性，指的是在個(gè)人信息處理過程中，需要符合一定的合理目的，且該目的需要具備較為明確的要素，同時(shí)需要注意該目的性的要求應(yīng)當(dāng)與企業(yè)自身所提供的商品和服務(wù)具有一定的關(guān)聯(lián)性。

所謂必要性，指的是在個(gè)人信息處理過程中，需要收集與企業(yè)自身經(jīng)營(yíng)活動(dòng)密切相關(guān)的個(gè)人信息，不得收集無關(guān)且多余的個(gè)人信息。實(shí)踐中，大量企業(yè)違規(guī)收集個(gè)人信息，甚至收集與其提供商品或服務(wù)無關(guān)的個(gè)人信息，這些行為都是被禁止的。

第七條 處理個(gè)人信息應(yīng)當(dāng)遵循公開、透明的原則,明示個(gè)人信息處理規(guī)則。
【律師解讀】

除合法性、正當(dāng)性和必要性外，本條還明確了個(gè)人信息處理的公開、透明原則。

本條在《民法典》第一千零三十五條第一款第二項(xiàng)的基礎(chǔ)上，增加了透明原則，要求個(gè)人信息處理的方式方法必須公開、透明，以便隨時(shí)受到社會(huì)公眾的監(jiān)督。

第八條 為實(shí)現(xiàn)處理目的,所處理的個(gè)人信息應(yīng)當(dāng)準(zhǔn)確,并及時(shí)更新。

【律師解讀】

本條明確了個(gè)人信息處理的準(zhǔn)確性，并提出了及時(shí)更新的要求。

本條與歐盟GDPR第五條第一款（d）項(xiàng)的規(guī)定較為類似，即要求個(gè)人信息處理的及時(shí)性及準(zhǔn)確性。在商業(yè)運(yùn)作中，要求企業(yè)及時(shí)更新個(gè)人信息，使得處理所得的數(shù)據(jù)較為精確。同時(shí)，從側(cè)面也賦予了個(gè)人隨時(shí)修改自身信息的權(quán)限。

第九條 個(gè)人信息處理者應(yīng)當(dāng)對(duì)其個(gè)人信息處理活動(dòng)負(fù)責(zé),并采取必要措施保障所處理的個(gè)人信息的安全。

【律師解讀】

本條明確了“誰處理，誰負(fù)責(zé)”的原則，將責(zé)任落實(shí)到人有助于損害賠償及追責(zé)，該條也與《網(wǎng)絡(luò)安全法》第四十二條的規(guī)定相一致。

第十條 任何組織、個(gè)人不得違反法律、行政法規(guī)的規(guī)定處理個(gè)人信息,不得從事危害國(guó)家安全、公共利益的個(gè)人信息處理活動(dòng)。

【律師解讀】

本條通過立法的形式，明確禁止行為人從事危害國(guó)家安全、公共利益的個(gè)人信息處理活動(dòng)，違者將面臨刑事追責(zé)的風(fēng)險(xiǎn)。

第十一條 國(guó)家建立健全個(gè)人信息保護(hù)制度,預(yù)防和懲治侵害個(gè)人信息權(quán)益的行為,加強(qiáng)個(gè)人信息保護(hù)宣傳教育,推動(dòng)形成政府、企業(yè)、相關(guān)行業(yè)組織、社會(huì)公眾共同參與個(gè)人信息保護(hù)的良好環(huán)境。

【律師解讀】

本條明確了國(guó)家依法整治互聯(lián)網(wǎng)及維護(hù)個(gè)人信息保護(hù)良好環(huán)境的決心，確立了個(gè)人信息保護(hù)工作的基本原則。其中，建立健全個(gè)人信息保護(hù)制度的要求，對(duì)互聯(lián)網(wǎng)企業(yè)的數(shù)據(jù)合規(guī)提出了更高要求。

第十二條 國(guó)家積極參與個(gè)人信息保護(hù)國(guó)際規(guī)則的制定,促進(jìn)個(gè)人信息保護(hù)方面的國(guó)際交流與合作,推動(dòng)與其他國(guó)家、地區(qū)、國(guó)際組織之間的個(gè)人信息保護(hù)規(guī)則、標(biāo)準(zhǔn)等的互認(rèn)。

【律師解讀】

本條明確了我國(guó)與其他國(guó)家間在個(gè)人信息保護(hù)領(lǐng)域的國(guó)際合作關(guān)系，對(duì)推動(dòng)信息保護(hù)規(guī)則和標(biāo)準(zhǔn)的國(guó)際互認(rèn)意義重大。《個(gè)人信息保護(hù)法》借鑒了歐盟的《避風(fēng)港協(xié)議》和《隱私盾協(xié)議》的做法，深化國(guó)際交流合作，在提升個(gè)人信息保護(hù)技術(shù)的同時(shí)，為我國(guó)與他國(guó)間的跨境數(shù)據(jù)自由流轉(zhuǎn)提供土壤，進(jìn)而促進(jìn)我國(guó)互聯(lián)網(wǎng)企業(yè)的蓬勃發(fā)展。

第二章  個(gè)人信息處理規(guī)則

第一節(jié)  一般規(guī)定

第十三條 符合下列情形之一的,個(gè)人信息處理者方可處理個(gè)人信息:

(一)取得個(gè)人的同意;

(二)為訂立或者履行個(gè)人作為一方當(dāng)事人的合同所必需;

(三)為履行法定職責(zé)或者法定義務(wù)所必需;

(四)為應(yīng)對(duì)突發(fā)公共衛(wèi)生事件,或者緊急情況下為保護(hù)自然人的生命健康和財(cái)產(chǎn)安全所必需;

(五)為公共利益實(shí)施新聞報(bào)道、輿論監(jiān)督等行為在合理的范圍內(nèi)處理個(gè)人信息;

(六)法律、行政法規(guī)規(guī)定的其他情形。

【律師解讀】

雖然“告知和同意原則”的適用是個(gè)人信息保護(hù)中一項(xiàng)難以繞開的話題，但是單純依靠該原則進(jìn)行狹義適用，勢(shì)必難以適應(yīng)日常生活中各類復(fù)雜的應(yīng)用場(chǎng)景，容易造成互聯(lián)網(wǎng)企業(yè)遭受不公正待遇。本條在《民法典》第一千零三十五條以及《網(wǎng)絡(luò)安全法》第四十二條要求“取得個(gè)人同意”的基礎(chǔ)上羅列了其他幾種處理個(gè)人信息的合法情形，對(duì)“告知和同意原則”進(jìn)行了一定程度的延伸，為個(gè)人信息的處理提供了多樣化的選擇路徑。此外，考慮到新冠疫情等突發(fā)公共衛(wèi)生事件等客觀因素，將緊急情況作為個(gè)人信息處理的合法要素納入考量，更符合政府監(jiān)管及互聯(lián)網(wǎng)企業(yè)的現(xiàn)實(shí)需要。

第十四條 處理個(gè)人信息的同意,應(yīng)當(dāng)由個(gè)人在充分知情的前提下,自愿、明確作出意思表示。法律、行政法規(guī)規(guī)定處理個(gè)人信息應(yīng)當(dāng)取得個(gè)人單獨(dú)同意或者書面同意的,從其規(guī)定。

個(gè)人信息的處理目的、處理方式和處理的個(gè)人信息種類發(fā)生變更的,應(yīng)當(dāng)重新取得個(gè)人同意。

【律師解讀】

本條明確了“明示同意”、“授權(quán)同意”以及“重新取得同意”三種情形的適用規(guī)則。

關(guān)于“明示同意”。顯然，本條是《個(gè)人信息保護(hù)法》在《信息安全技術(shù)個(gè)人信息安全規(guī)范》（GB/T35273-2020）的基礎(chǔ)上進(jìn)行的細(xì)化。我們認(rèn)為本條中的“充分知情”是個(gè)人信息處理正當(dāng)性原則的一種直觀表現(xiàn)。實(shí)務(wù)中，我們一般會(huì)建議互聯(lián)網(wǎng)企業(yè)通過加粗、下劃線、斜杠等形式清晰提示用戶相關(guān)內(nèi)容。此外，明確作出意思表示實(shí)則是《信息安全技術(shù)個(gè)人信息安全規(guī)范》（GB/T35273-2020）注重“明示同意”的一種體現(xiàn)。

關(guān)于“授權(quán)同意”。可以結(jié)合《個(gè)人信息保護(hù)法》第三十條的相關(guān)內(nèi)容，即當(dāng)在處理敏感個(gè)人信息時(shí)，應(yīng)當(dāng)視情形采用“單獨(dú)同意”或“授權(quán)同意”的形式。需要注意，此處的“單獨(dú)同意”需要同時(shí)滿足“明示同意”的要求，而“授權(quán)同意”也必須符合“書面同意”的形式要件。

關(guān)于“重新取得同意”。當(dāng)“個(gè)人信息的處理目的、處理方式和處理的個(gè)人信息種類發(fā)生變更的”，我們認(rèn)為，這種情形屬于個(gè)人信息處理過程中的重大變更，倘若按照原有的授權(quán)實(shí)則可能會(huì)侵害他人合法權(quán)益，因此法律規(guī)定了需要“重新取得同意”。

第十五條 個(gè)人信息處理者知道或者應(yīng)當(dāng)知道其處理的個(gè)人信息為不滿十四周歲未成年人個(gè)人信息的,應(yīng)當(dāng)取得其監(jiān)護(hù)人的同意。

【律師解讀】

本條的制定符合了國(guó)際法上的要求，重點(diǎn)關(guān)注未成年人信息的保護(hù)和安全。

需要注意本條在實(shí)際適用過程中，需要與《個(gè)人信息保護(hù)法》等十三條、第十四條等同時(shí)適用，即處理未滿十四周歲未成年人信息的，應(yīng)當(dāng)取得其監(jiān)護(hù)人的同意，并同時(shí)滿足其他條款所規(guī)定的情形。

第十六條 基于個(gè)人同意而進(jìn)行的個(gè)人信息處理活動(dòng),個(gè)人有權(quán)撤回其同意。

【律師解讀】

本條需重點(diǎn)關(guān)注法律賦予個(gè)人的“撤銷權(quán)”。

需要注意的是，本條所規(guī)定的“個(gè)人撤銷權(quán)”僅僅是基于第十三條第一款情形下予以適用，除此之外法律并未授權(quán)個(gè)人此權(quán)限。這就要求互聯(lián)網(wǎng)企業(yè)在線上必須架設(shè)撤銷端口，供個(gè)人撤銷其授權(quán)。但這并不影響其為個(gè)人提供的服務(wù)受限，互聯(lián)網(wǎng)企業(yè)可以修改《注冊(cè)協(xié)議》對(duì)該事由予以明示。

第十七條 個(gè)人信息處理者不得以個(gè)人不同意處理其個(gè)人信息或者撤回其對(duì)個(gè)人信息處理的同意為由,拒絕提供產(chǎn)品或者服務(wù);處理個(gè)人信息屬于提供產(chǎn)品或者服務(wù)所必需的除外。

【律師解讀】

本條明確了不得因個(gè)人拒絕或撤回個(gè)人信息的處理授權(quán)，進(jìn)而拒絕提供相應(yīng)商品或服務(wù)。

本條規(guī)定與《數(shù)據(jù)安全管理辦法》（征求意見稿）第十一條的規(guī)定如出一轍，系個(gè)人信息處理必要性的直觀體現(xiàn)。

第十八條 個(gè)人信息處理者在處理個(gè)人信息前,應(yīng)當(dāng)以顯著方式、清晰易懂的語言向個(gè)人告知下列事項(xiàng):

(一)個(gè)人信息處理者的身份和聯(lián)系方式;

(二)個(gè)人信息的處理目的、處理方式,處理的個(gè)人信息種類、保存期限;

(三)個(gè)人行使本法規(guī)定權(quán)利的方式和程序;

(四)法律、行政法規(guī)規(guī)定應(yīng)當(dāng)告知的其他事項(xiàng)。

前款規(guī)定事項(xiàng)發(fā)生變更的,應(yīng)當(dāng)將變更部分告知個(gè)人。

個(gè)人信息處理者通過制定個(gè)人信息處理規(guī)則的方式告知第一款規(guī)定事項(xiàng)的,處理規(guī)則應(yīng)當(dāng)公開,并且便于查閱和保存。

【律師解讀】

本條規(guī)定了個(gè)人信息處理者在處理個(gè)人信息前所需披露事項(xiàng)。

本條內(nèi)容多體現(xiàn)在互聯(lián)網(wǎng)企業(yè)的《隱私權(quán)政策》中，即在處理任何情形下取得的個(gè)人信息時(shí)，都需按本條規(guī)定對(duì)披露的時(shí)間、方式及內(nèi)容進(jìn)行相應(yīng)調(diào)整。實(shí)務(wù)中，互聯(lián)網(wǎng)企業(yè)只要根據(jù)自身所制定的個(gè)人信息處理規(guī)則的方式，按照相應(yīng)要求如實(shí)修訂相關(guān)協(xié)議即可。但需要注意滿足“便于查閱和保存”的要求。通常來說，我們建議互聯(lián)網(wǎng)企業(yè)就其修訂的歷史規(guī)則全部予以公示，至于公示的形式可以根據(jù)相應(yīng)規(guī)則進(jìn)行調(diào)整。

第十九條 個(gè)人信息處理者處理個(gè)人信息,有法律、行政法規(guī)規(guī)定應(yīng)當(dāng)保密或者不需要告知的情形的,可以不向個(gè)人告知前條規(guī)定的事項(xiàng)。

緊急情況下為保護(hù)自然人的生命健康和財(cái)產(chǎn)安全無法及時(shí)向個(gè)人告知的,個(gè)人信息處理者應(yīng)當(dāng)在緊急情況消除后予以告知。

【律師解讀】

本條是有關(guān)個(gè)人信息處理前告知豁免的兩種情形。

第一種情況最為典型的是根據(jù)《中華人民共和國(guó)反恐怖主義法》第五十一條的規(guī)定，即公安機(jī)關(guān)在調(diào)查恐怖活動(dòng)的案件中，可以獲得事先告知豁免。

第二種情況是針對(duì)《個(gè)人信息保護(hù)法》等十三條第四款的補(bǔ)充規(guī)定，即在發(fā)生緊急情況時(shí)，可以不事先告知個(gè)人信息處理的相關(guān)內(nèi)容，但在緊急情況消除后應(yīng)當(dāng)予以告知。

第二十條 個(gè)人信息的保存期限應(yīng)當(dāng)為實(shí)現(xiàn)處理目的所必要的最短時(shí)間。法律、行政法規(guī)對(duì)個(gè)人信息的保存期限另有規(guī)定的,從其規(guī)定。

【律師解讀】

本條是對(duì)個(gè)人信息保存期限的規(guī)定。

《個(gè)人信息保護(hù)法》并沒有通過固定期限來限定個(gè)人信息的保存時(shí)間，而是根據(jù)必要性的要求，規(guī)定在滿足處理目的后，盡快予以刪除。這就需要互聯(lián)網(wǎng)企業(yè)制定相應(yīng)內(nèi)部合規(guī)制度，就個(gè)人信息的存儲(chǔ)及刪除時(shí)間進(jìn)行明確規(guī)定。

與此同時(shí)，本條也設(shè)置了兜底條款，常見的法律、法規(guī)另有規(guī)定的情形包括：①《反洗錢法》第十九條第三款，“客戶身份資料在業(yè)務(wù)關(guān)系結(jié)束后、客戶交易信息在交易結(jié)束后，應(yīng)當(dāng)至少保存五年”；②《電子商務(wù)法》第三十一條，“電子商務(wù)平臺(tái)經(jīng)營(yíng)者應(yīng)當(dāng)記錄、保存平臺(tái)上發(fā)布的商品和服務(wù)信息、交易信息，并確保信息的完整性、保密性、可用性。商品和服務(wù)信息、交易信息保存時(shí)間自交易完成之日起不少于三年；法律、行政法規(guī)另有規(guī)定的，依照其規(guī)定?！?/p>

第二十一條 兩個(gè)或者兩個(gè)以上的個(gè)人信息處理者共同決定個(gè)人信息的處理目的和處理方式的,應(yīng)當(dāng)約定各自的權(quán)利和義務(wù)。但是,該約定不影響個(gè)人向其中任何一個(gè)個(gè)人信息處理者要求行使本法規(guī)定的權(quán)利。

個(gè)人信息處理者共同處理個(gè)人信息,侵害個(gè)人信息權(quán)益的,依法承擔(dān)連帶責(zé)任。

【律師解讀】

本條明確了個(gè)人信息處理者共同處理信息的權(quán)利義務(wù)劃分和責(zé)任承擔(dān)。

在實(shí)踐中，存在著大量授權(quán)第三方處理個(gè)人信息的情形。本條基于這一現(xiàn)象，在原有《信息安全技術(shù)個(gè)人信息安全規(guī)范》（GB/T35273-2020）第9.6條的基礎(chǔ)上進(jìn)行了細(xì)化，明確了各方所應(yīng)遵循的權(quán)利義務(wù)，即無論內(nèi)部如何約定，任何一方對(duì)外均需要符合法律的規(guī)定。在責(zé)任承擔(dān)方面，《個(gè)人信息保護(hù)法》規(guī)定了最為嚴(yán)格的連帶責(zé)任，即將共同信息處理致使他人受損的情形，視為是一種共同侵權(quán)行為，進(jìn)而嚴(yán)厲打擊可能存在的違法違規(guī)行為。

第二十二條 個(gè)人信息處理者委托處理個(gè)人信息的,應(yīng)當(dāng)與受托方約定委托處理的目的、處理方式、個(gè)人信息的種類、保護(hù)措施以及雙方的權(quán)利和義務(wù)等,并對(duì)受托方的個(gè)人信息處理活動(dòng)進(jìn)行監(jiān)督。

受托方應(yīng)當(dāng)按照約定處理個(gè)人信息,不得超出約定的處理目的、處理方式等處理個(gè)人信息,并應(yīng)當(dāng)在合同履行完畢或者委托關(guān)系解除后,將個(gè)人信息返還個(gè)人信息處理者或者予以刪除。

未經(jīng)個(gè)人信息處理者同意,受托方不得轉(zhuǎn)委托他人處理個(gè)人信息。

【律師解讀】

本條所規(guī)范的是委托第三方處理個(gè)人信息的情形，其與歐盟GDPR第二十八條較為類似。

需要注意的是，本條與第二十一條可能存在一定的重合，即委托人如果同時(shí)存在個(gè)人信息處理的情況下，其應(yīng)當(dāng)同時(shí)滿足本法第二十一條和第二十二條的要求。但當(dāng)其自身并不處理個(gè)人信息時(shí)，其應(yīng)當(dāng)滿足本條的規(guī)定。

此外，根據(jù)本條規(guī)定，委托方需要注意授權(quán)的范圍，并確保受托方在授權(quán)的范圍內(nèi)行使相應(yīng)職責(zé)。倘若由于故意或者重大過失導(dǎo)致其未能監(jiān)管到位，可能存在被處罰及訴訟風(fēng)險(xiǎn)。

對(duì)于受托方而言，其需要注意不能超出授權(quán)范圍行事，在委托關(guān)系結(jié)束時(shí)，應(yīng)當(dāng)全面刪除或者返還相關(guān)個(gè)人信息，由于其自身原因造成信息泄露或侵權(quán)的，則可能會(huì)被被侵權(quán)人要求賠償，也可能據(jù)此承擔(dān)相應(yīng)違約責(zé)任。

最后，同房屋租賃中承租人不當(dāng)然享有轉(zhuǎn)租權(quán)一樣，個(gè)人信息的處理授權(quán)并不當(dāng)然包含轉(zhuǎn)委托，這一點(diǎn)需要予以重視。

第二十三條 個(gè)人信息處理者因合并、分立等原因需要轉(zhuǎn)移個(gè)人信息的,應(yīng)當(dāng)向個(gè)人告知接收方的身份、聯(lián)系方式。接收方應(yīng)當(dāng)繼續(xù)履行個(gè)人信息處理者的義務(wù)。接收方變更原先的處理目的、處理方式的,應(yīng)當(dāng)依照本法規(guī)定重新向個(gè)人告知并取得其同意。

【律師解讀】

本條是關(guān)于個(gè)人信息承繼的規(guī)范。

眾所周知，公司在開設(shè)之后可能面臨被兼并、收購(gòu)、分立等情形，因此《個(gè)人信息保護(hù)法》規(guī)定了公司因合并、分立等原因需要轉(zhuǎn)移個(gè)人信息的相應(yīng)規(guī)范。首先需要明確的是，本條并非規(guī)定的是將個(gè)人信息轉(zhuǎn)移給第三人，我們認(rèn)為是個(gè)人信息承繼的一種規(guī)范。根據(jù)法條字面意思，當(dāng)公司出現(xiàn)合并和分立需要轉(zhuǎn)移個(gè)人信息的，合并和分立后的公司只需要履行通知義務(wù)即可，而無需另行獲得相應(yīng)授權(quán)。只有按照第十四條規(guī)定，當(dāng)“接收方變更原先的處理目的、處理方式的”,才會(huì)需要向個(gè)人“取得同意”。

第二十四條 個(gè)人信息處理者向第三方提供其處理的個(gè)人信息的,應(yīng)當(dāng)向個(gè)人告知第三方的身份、聯(lián)系方式、處理目的、處理方式和個(gè)人信息的種類,并取得個(gè)人的單獨(dú)同意。接收個(gè)人信息的第三方應(yīng)當(dāng)在上述處理目的、處理方式和個(gè)人信息的種類等范圍內(nèi)處理個(gè)人信息。第三方變更原先的處理目的、處理方式的,應(yīng)當(dāng)依照本法規(guī)定重新向個(gè)人告知并取得其同意。

個(gè)人信息處理者向第三方提供匿名化信息的,第三方不得利用技術(shù)等手段重新識(shí)別個(gè)人身份。

【律師解讀】

本條明確了向第三方提供個(gè)人信息的具體要求。

本條與第二十三條的本質(zhì)區(qū)別在于獲取個(gè)人信息的主體是否為第三方，如果獲取個(gè)人信息的主體為第三方，則按照《個(gè)人信息保護(hù)法》的立法精神，顯然需要履行“告知和同意原則”。

需要注意的是，根據(jù)《網(wǎng)絡(luò)安全法》第四十二條的規(guī)定：“網(wǎng)絡(luò)運(yùn)營(yíng)者不得泄露、篡改、毀損其收集的個(gè)人信息；未經(jīng)被收集者同意，不得向他人提供個(gè)人信息。但是，經(jīng)過處理無法識(shí)別特定個(gè)人且不能復(fù)原的除外。”因此，向第三方提供匿名化信息屬于例外情形，無需事先經(jīng)過個(gè)人的同意，但第三方不得利用技術(shù)等手段重新識(shí)別個(gè)人身份。

第二十五條 利用個(gè)人信息進(jìn)行自動(dòng)化決策,應(yīng)當(dāng)保證決策的透明度和處理結(jié)果的公平合理。個(gè)人認(rèn)為自動(dòng)化決策對(duì)其權(quán)益造成重大影響的,有權(quán)要求個(gè)人信息處理者予以說明,并有權(quán)拒絕個(gè)人信息處理者僅通過自動(dòng)化決策的方式作出決定。

通過自動(dòng)化決策方式進(jìn)行商業(yè)營(yíng)銷、信息推送,應(yīng)當(dāng)同時(shí)提供不針對(duì)其個(gè)人特征的選項(xiàng)。

【律師解讀】

本條是針對(duì)人工智能中自動(dòng)化決策的規(guī)范，其與歐盟GDPR中的第二十二條相類似。

此外，我國(guó)《信息安全技術(shù)個(gè)人信息安全規(guī)范》（GB/T35273-2020）第7.5條（b）項(xiàng)和《電子商務(wù)法》第十八條也有類似規(guī)定。根據(jù)《電子商務(wù)法》第十八條規(guī)定，“電子商務(wù)經(jīng)營(yíng)者根據(jù)消費(fèi)者的興趣愛好、消費(fèi)習(xí)慣等特征向其提供商品或者服務(wù)的搜索結(jié)果的，應(yīng)當(dāng)同時(shí)向該消費(fèi)者提供不針對(duì)其個(gè)人特征的選項(xiàng)，尊重和平等保護(hù)消費(fèi)者合法權(quán)益。”可見，在適用自動(dòng)化決策的過程中，互聯(lián)網(wǎng)公司需要同時(shí)設(shè)置不針對(duì)其個(gè)人特征的選項(xiàng)，以保證交易的公平性。

第二十六條 個(gè)人信息處理者不得公開其處理的個(gè)人信息;取得個(gè)人單獨(dú)同意或者法律、行政法規(guī)另有規(guī)定的除外。

【律師解讀】

本條規(guī)定了個(gè)人信息處理應(yīng)當(dāng)“以不公開原則，以公開為例外”。

個(gè)人信息的處理僅需獲得個(gè)人同意即可，因此，為降低個(gè)人信息權(quán)益受侵犯的風(fēng)險(xiǎn)，其處理原則應(yīng)當(dāng)“以不公開原則，以公開為例外”。除非個(gè)人就個(gè)人信息的公開“單獨(dú)同意”或者有法可依的情況下，其他一律應(yīng)當(dāng)通過技術(shù)手段予以保密。

第二十七條 在公共場(chǎng)所安裝圖像采集、個(gè)人身份識(shí)別設(shè)備,應(yīng)當(dāng)為維護(hù)公共安全所必需,遵守國(guó)家有關(guān)規(guī)定,并設(shè)置顯著的提示標(biāo)識(shí)。所收集的個(gè)人圖像、個(gè)人身份特征信息只能用于維護(hù)公共安全的目的,不得公開或者向他人提供;取得個(gè)人單獨(dú)同意或者法律、行政法規(guī)另有規(guī)定的除外。

【律師解讀】

本條是個(gè)人信息處理過程中所涉“國(guó)家安全和公共利益”的相關(guān)規(guī)定。

基于“公共安全”的需要，可以對(duì)個(gè)人進(jìn)行身份識(shí)別，但仍應(yīng)符合第二十六條的規(guī)定，一般不得將所獲個(gè)人信息進(jìn)行公開或者向第三方提供。需要明確指出的是，此處并未將安裝圖像采集的主體限定為國(guó)家機(jī)關(guān)，因此只要是以維護(hù)“公共安全”為目的的主體，均可就個(gè)人身份進(jìn)行識(shí)別，但需符合相應(yīng)的保密規(guī)定。

第二十八條 個(gè)人信息處理者處理已公開的個(gè)人信息,應(yīng)當(dāng)符合該個(gè)人信息被公開時(shí)的用途;超出與該用途相關(guān)的合理范圍的,應(yīng)當(dāng)依照本法規(guī)定向個(gè)人告知并取得其同意。

個(gè)人信息被公開時(shí)的用途不明確的,個(gè)人信息處理者應(yīng)當(dāng)合理、謹(jǐn)慎地處理已公開的個(gè)人信息;利用已公開的個(gè)人信息從事對(duì)個(gè)人有重大影響的活動(dòng),應(yīng)當(dāng)依照本法規(guī)定向個(gè)人告知并取得其同意。

【律師解讀】

本條是對(duì)已公開個(gè)人信息用途的規(guī)范，或?qū)⒄J(rèn)定“人肉搜索”系違法行為。

相較于《民法典》第一千零三十六條第二項(xiàng)規(guī)定的“合理處理該自然人自行公開的或者其他已經(jīng)合法公開的信息，但是該自然人明確拒絕或者處理該信息侵害其重大利益的除外”，本條看似更為寬泛，但實(shí)則是在《民法典》的基礎(chǔ)上進(jìn)行了有效補(bǔ)充，兩者在法律適用上其實(shí)并不存在任何障礙。

就本條理解，只要個(gè)人信息是行為人自行公開的，當(dāng)個(gè)人信息處理者滿足其公開時(shí)的用途，即可直接使用該公開的個(gè)人信息。此外，超出原始用途合理范圍內(nèi)的，則需要重新履行“告知和同意原則”。

當(dāng)個(gè)人信息公開時(shí)的用途并不明確時(shí)，個(gè)人信息處理者需要合理、謹(jǐn)慎地處理已公開的個(gè)人信息。在個(gè)人信息公布的用途不明，且同時(shí)存在利用已公開的個(gè)人信息從事對(duì)個(gè)人有重大影響的活動(dòng)時(shí)，就不得對(duì)個(gè)人信息進(jìn)行處理，除非履行了“告知和同意原則”。此外，針對(duì)《民法典》第一千零三十六條第二項(xiàng)中的另一例外情況，即“該自然人明確拒絕”，我們認(rèn)為實(shí)則是一種“撤銷權(quán)”的表現(xiàn)形式，即與《個(gè)人信息保護(hù)法》第十三條的規(guī)定不謀而合，即無論個(gè)人信息公布時(shí)的用途是否明確，個(gè)人均有隨時(shí)行使“撤銷權(quán)”的權(quán)利。

第二節(jié)  敏感個(gè)人信息的處理規(guī)則

第二十九條 個(gè)人信息處理者具有特定的目的和充分的必要性,方可處理敏感個(gè)人信息。

敏感個(gè)人信息是一旦泄露或者非法使用,可能導(dǎo)致個(gè)人受到歧視或者人身、財(cái)產(chǎn)安全受到嚴(yán)重危害的個(gè)人信息,包括種族、民族、宗教信仰、個(gè)人生物特征、醫(yī)療健康、金融賬戶、個(gè)人行蹤等信息。

【律師解讀】

本條是有關(guān)處理敏感個(gè)人信息的定義和規(guī)范要求。

具體而言，本條是對(duì)《個(gè)人信息保護(hù)法》第六條的深化。本條在第六條處理個(gè)人信息要求具備“明確且合理目的”的基礎(chǔ)上，提出了更高的要求，即個(gè)人信息處理者需要滿足“特定目的+充分必要”的規(guī)范化要求。這就意味著個(gè)人信息處理者應(yīng)當(dāng)本著更為嚴(yán)格和謹(jǐn)慎的態(tài)度處理敏感個(gè)人信息。

此外，根據(jù)《數(shù)據(jù)安全管理辦法》（征求意見稿）第十五條的規(guī)定，“網(wǎng)絡(luò)運(yùn)營(yíng)者以經(jīng)營(yíng)為目的收集重要數(shù)據(jù)或個(gè)人敏感信息的，應(yīng)向所在地網(wǎng)信部門備案?！笨梢?，雖然敏感個(gè)人信息與重要數(shù)據(jù)是政府監(jiān)管的重點(diǎn)，但是二者的概念各不相同。根據(jù)《個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法》（征求意見稿）的相關(guān)規(guī)定，重要數(shù)據(jù)是指與國(guó)家安全、經(jīng)濟(jì)發(fā)展，以及社會(huì)公共利益密切相關(guān)的數(shù)據(jù)。針對(duì)重要數(shù)據(jù)具體的識(shí)別方式，我國(guó)的《重要數(shù)據(jù)的識(shí)別指南》尚在立法推進(jìn)過程中。

第三十條 基于個(gè)人同意處理敏感個(gè)人信息的,個(gè)人信息處理者應(yīng)當(dāng)取得個(gè)人的單獨(dú)同意。法律、行政法規(guī)規(guī)定處理敏感個(gè)人信息應(yīng)當(dāng)取得書面同意的,從其規(guī)定。

【律師解讀】

本條是有關(guān)個(gè)人同意以及依法獲取處理敏感個(gè)人信息權(quán)限的規(guī)范要求。

當(dāng)在處理敏感個(gè)人信息時(shí)，應(yīng)當(dāng)視情形采用“單獨(dú)同意”或“授權(quán)同意”的形式。需要注意，此處的“單獨(dú)同意”需要同時(shí)滿足“明示同意”的要求，而“授權(quán)同意”也必須符合“書面同意”的形式要件。具體詳見第十四條的解析。此外，根據(jù)《網(wǎng)絡(luò)交易監(jiān)督管理辦法》（征求意見稿）第十一條規(guī)定，“網(wǎng)絡(luò)交易經(jīng)營(yíng)者收集、使用生物識(shí)別信息、健康信息、財(cái)產(chǎn)信息、社交信息等敏感信息的，應(yīng)當(dāng)逐項(xiàng)取得被收集者授權(quán)同意”?？梢?，對(duì)敏感個(gè)人信息的處理有別于一般信息，“單獨(dú)同意”需要逐項(xiàng)授權(quán)。

第三十一條 個(gè)人信息處理者處理敏感個(gè)人信息的,除本法第十八條規(guī)定的事項(xiàng)外,還應(yīng)當(dāng)向個(gè)人告知處理敏感個(gè)人信息的必要性以及對(duì)個(gè)人的影響。

【律師解讀】

本條明確了對(duì)處理敏感個(gè)人信息的告知義務(wù)。

在《個(gè)人信息保護(hù)法》第十八條的基礎(chǔ)上，針對(duì)敏感個(gè)人信息的處理需要進(jìn)一步告知必要性和對(duì)個(gè)人的影響。鑒于互聯(lián)網(wǎng)企業(yè)廣泛存在收集敏感個(gè)人信息的情形，因此，建議互聯(lián)網(wǎng)企業(yè)在《隱私權(quán)政策》中對(duì)本條內(nèi)容進(jìn)行補(bǔ)充。需要提示注意的是，“告知對(duì)個(gè)人的影響”建議可通過列舉或概述的形式進(jìn)行，盡量窮盡。

第三十二條 法律、行政法規(guī)規(guī)定處理敏感個(gè)人信息應(yīng)當(dāng)取得相關(guān)行政許可或者作出更嚴(yán)格限制的,從其規(guī)定。

【律師解讀】

本條是對(duì)處理敏感個(gè)人信息的特殊限制性措施。

目前，我國(guó)法律尚無要求敏感個(gè)人信息處理需要獲得相關(guān)行政許可或者備案，本條的制定系為將來可能存在的這一監(jiān)管措施留有余地。

第三節(jié)  國(guó)家機(jī)關(guān)處理個(gè)人信息的特別規(guī)定

第三十三條 國(guó)家機(jī)關(guān)處理個(gè)人信息的活動(dòng)適用本法;本節(jié)有特別規(guī)定的,適用本節(jié)規(guī)定。

【律師解讀】

本條明確了《個(gè)人信息保護(hù)法》調(diào)整的對(duì)象包括國(guó)家機(jī)關(guān)。

國(guó)家機(jī)關(guān)在處理個(gè)人信息的過程中實(shí)則也包括了民事法律關(guān)系的體現(xiàn)，因此本節(jié)如有特殊規(guī)定的，從特殊規(guī)定。若無特殊規(guī)定的，即使是國(guó)家機(jī)關(guān)，也需要同互聯(lián)網(wǎng)企業(yè)一樣，遵守《個(gè)人信息保護(hù)法》的相關(guān)規(guī)定。

第三十四條 國(guó)家機(jī)關(guān)為履行法定職責(zé)處理個(gè)人信息,應(yīng)當(dāng)依照法律、行政法規(guī)規(guī)定的權(quán)限、程序進(jìn)行,不得超出履行法定職責(zé)所必需的范圍和限度。

【律師解讀】

本條規(guī)定了國(guó)家機(jī)關(guān)履行法定職責(zé)規(guī)范中處理個(gè)人信息的要求。

這一條款是國(guó)家機(jī)關(guān)在處理個(gè)人信息時(shí)履行職責(zé)必要性的體現(xiàn)，有助于遏制“借公權(quán)力為名，行濫用個(gè)人信息之實(shí)”的現(xiàn)象，規(guī)范國(guó)家機(jī)關(guān)處理個(gè)人信息的實(shí)體和程序，以保障公民的合法權(quán)益。

第三十五條 國(guó)家機(jī)關(guān)為履行法定職責(zé)處理個(gè)人信息,應(yīng)當(dāng)依照本法規(guī)定向個(gè)人告知并取得其同意;法律、行政法規(guī)規(guī)定應(yīng)當(dāng)保密,或者告知、取得同意將妨礙國(guó)家機(jī)關(guān)履行法定職責(zé)的除外。

【律師解讀】

本條規(guī)定了國(guó)家機(jī)關(guān)履行法定職責(zé)處理個(gè)人信息所應(yīng)遵循的原則。

國(guó)家機(jī)關(guān)在履行法定職責(zé)處理個(gè)人信息時(shí)，即需要滿足《個(gè)人信息保護(hù)法》第十三條中有關(guān)“告知和同意原則”的要求。同時(shí)，本條還規(guī)范了“法律、行政法規(guī)規(guī)定應(yīng)當(dāng)保密,或者告知、取得同意將妨礙國(guó)家機(jī)關(guān)履行法定職責(zé)”的例外情況。

第三十六條 國(guó)家機(jī)關(guān)不得公開或者向他人提供其處理的個(gè)人信息,法律、行政法規(guī)另有規(guī)定或者取得個(gè)人同意的除外。

【律師解讀】

本條明確了國(guó)家機(jī)關(guān)履行法定職責(zé)處理個(gè)人信息，禁止對(duì)外公開或?qū)ν馓峁┑囊蟆?/p>

同互聯(lián)網(wǎng)企業(yè)一樣，國(guó)家機(jī)關(guān)在履行法定職責(zé)處理個(gè)人信息時(shí)，也不得隨意公開或向他人提供，但是“法律、行政法規(guī)另有規(guī)定或者取得個(gè)人同意”是例外情況。

第三十七條 國(guó)家機(jī)關(guān)處理的個(gè)人信息應(yīng)當(dāng)在中華人民共和國(guó)境內(nèi)存儲(chǔ);確需向境外提供的,應(yīng)當(dāng)進(jìn)行風(fēng)險(xiǎn)評(píng)估。風(fēng)險(xiǎn)評(píng)估可以要求有關(guān)部門提供支持與協(xié)助。

【律師解讀】

本條明確了國(guó)家機(jī)關(guān)處理的個(gè)人信息的儲(chǔ)存方式及跨境流轉(zhuǎn)的要求。

本條嚴(yán)格遵循了《網(wǎng)絡(luò)安全法》中有關(guān)數(shù)據(jù)本地化存儲(chǔ)和跨境流轉(zhuǎn)的要求。根據(jù)《網(wǎng)絡(luò)安全法》第三十七條的規(guī)定，“關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲(chǔ)。因業(yè)務(wù)需要，確需向境外提供的，應(yīng)當(dāng)按照國(guó)家網(wǎng)信部門會(huì)同國(guó)務(wù)院有關(guān)部門制定的辦法進(jìn)行安全評(píng)估；法律、行政法規(guī)另有規(guī)定的，依照其規(guī)定?！笨梢?，《個(gè)人信息保護(hù)法》將國(guó)家機(jī)關(guān)處理的個(gè)人信息全部納入到了本地化存儲(chǔ)和跨境風(fēng)險(xiǎn)評(píng)估的范圍。因此，《個(gè)人信息保護(hù)法》生效后，不僅僅是關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者需要符合此類要求，國(guó)家機(jī)關(guān)也需要。

第三章  個(gè)人信息跨境提供的規(guī)則

第三十八條 個(gè)人信息處理者因業(yè)務(wù)等需要,確需向中華人民共和國(guó)境外提供個(gè)人信息的,應(yīng)當(dāng)至少具備下列一項(xiàng)條件:

(一)依照本法第四十條的規(guī)定通過國(guó)家網(wǎng)信部門組織的安全評(píng)估;

(二)按照國(guó)家網(wǎng)信部門的規(guī)定經(jīng)專業(yè)機(jī)構(gòu)進(jìn)行個(gè)人信息保護(hù)認(rèn)證;

(三)與境外接收方訂立合同,約定雙方的權(quán)利和義務(wù),并監(jiān)督其個(gè)人信息處理活動(dòng)達(dá)到本法規(guī)定的個(gè)人信息保護(hù)標(biāo)準(zhǔn);

(四)法律、行政法規(guī)或者國(guó)家網(wǎng)信部門規(guī)定的其他條件。

【律師解讀】

本條明確了個(gè)人信息處理者跨境數(shù)據(jù)流轉(zhuǎn)的規(guī)范要求。

本條提出了四項(xiàng)規(guī)范性的要求，為個(gè)人信息處理者提供了更多元化的數(shù)據(jù)跨境方式，滿足任何一項(xiàng)即可。就第一項(xiàng)內(nèi)容來看，其顯然沿用了《網(wǎng)絡(luò)安全法》中關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者的要求，即按照《個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法》的規(guī)定，落實(shí)“安全評(píng)估”的相關(guān)規(guī)定。此外，雖然我國(guó)法律目前并未出臺(tái)相應(yīng)機(jī)構(gòu)認(rèn)證的標(biāo)準(zhǔn)，但從第二項(xiàng)的內(nèi)容來看，我們認(rèn)為如果后續(xù)通過了機(jī)構(gòu)的認(rèn)證，不排除可以長(zhǎng)期獲權(quán)進(jìn)行數(shù)據(jù)的跨境流轉(zhuǎn)。此外，本條還規(guī)定了數(shù)據(jù)跨境流轉(zhuǎn)前，已經(jīng)與境外接收方訂立相關(guān)合同的情形。這一規(guī)定需要雙方對(duì)個(gè)人信息技術(shù)標(biāo)準(zhǔn)和要求進(jìn)行約定，明確責(zé)任歸口，盡可能確保我國(guó)境內(nèi)個(gè)人信息不會(huì)由于跨境數(shù)據(jù)的流轉(zhuǎn)導(dǎo)致泄露風(fēng)險(xiǎn)。

第三十九條 個(gè)人信息處理者向中華人民共和國(guó)境外提供個(gè)人信息的,應(yīng)當(dāng)向個(gè)人告知境外接收方的身份、聯(lián)系方式、處理目的、處理方式、個(gè)人信息的種類以及個(gè)人向境外接收方行使本法規(guī)定權(quán)利的方式等事項(xiàng),并取得個(gè)人的單獨(dú)同意。

【律師解讀】

本條明確了個(gè)人信息處理者向境外主體提供個(gè)人信息也需要符合“告知和同意原則”。需要注意的是，本條規(guī)定的告知要求，與《個(gè)人信息保護(hù)法》第二十九條是不一致的。第二十九條是關(guān)于敏感個(gè)人信息的處理要求，而本條是針對(duì)個(gè)人信息跨境傳輸?shù)囊螅虼酥恍枰凑毡緱l列舉的要求向個(gè)人如實(shí)披露相關(guān)信息，并獲其“單獨(dú)同意”即可。但“單獨(dú)同意”是需要符合《網(wǎng)絡(luò)交易監(jiān)督管理辦法》（征求意見稿）第十一條所規(guī)定“逐項(xiàng)授權(quán)”要求的。

第四十條 關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者和處理個(gè)人信息達(dá)到國(guó)家網(wǎng)信部門規(guī)定數(shù)量的個(gè)人信息處理者,應(yīng)當(dāng)將在中華人民共和國(guó)境內(nèi)收集和產(chǎn)生的個(gè)人信息存儲(chǔ)在境內(nèi)。確需向境外提供的,應(yīng)當(dāng)通過國(guó)家網(wǎng)信部門組織的安全評(píng)估;法律、行政法規(guī)和國(guó)家網(wǎng)信部門規(guī)定可以不進(jìn)行安全評(píng)估的,從其規(guī)定。

【律師解讀】

本條是針對(duì)特殊個(gè)人信息處理者跨境數(shù)據(jù)傳輸?shù)囊蟆?/p>

本條規(guī)定與《網(wǎng)絡(luò)安全法》第三十七條的規(guī)定如出一轍，但擴(kuò)大了適用范圍，將處理個(gè)人信息達(dá)到國(guó)家網(wǎng)信部門規(guī)定數(shù)量的個(gè)人信息處理者也列入了本地化存儲(chǔ)的范疇。此外，本條對(duì)法律規(guī)定不需要進(jìn)行“安全評(píng)估”的例外情形進(jìn)行了兜底式的規(guī)定。

第四十一條 因國(guó)際司法協(xié)助或者行政執(zhí)法協(xié)助,需要向中華人民共和國(guó)境外提供個(gè)人信息的,應(yīng)當(dāng)依法申請(qǐng)有關(guān)主管部門批準(zhǔn)。

中華人民共和國(guó)締結(jié)或者參加的國(guó)際條約、協(xié)定對(duì)向中華人民共和國(guó)境外提供個(gè)人信息有規(guī)定的,從其規(guī)定。

【律師解讀】

本條涉及國(guó)際法上的“國(guó)際司法協(xié)助或者行政執(zhí)法協(xié)助”問題。

由于個(gè)人信息極易在互聯(lián)網(wǎng)上進(jìn)行流轉(zhuǎn)，因此跨境侵權(quán)訴訟也不斷頻發(fā)。根據(jù)《數(shù)據(jù)安全法》（草案）第三十三條的立法精神，本條規(guī)定了此類情形下進(jìn)行跨境數(shù)據(jù)流轉(zhuǎn)，需要經(jīng)過我國(guó)主管部門批準(zhǔn)。我們認(rèn)為，之所以本條無法談及具體職能部門，原因在于國(guó)際司法協(xié)助和行政執(zhí)法協(xié)助多涉及多部門聯(lián)動(dòng)，包括外交部、國(guó)家網(wǎng)信部門、最高人民法院、最高人民檢察院以及各部委都可能成為主管部門從中協(xié)調(diào)，因此本條通過“有關(guān)主管部門”一詞予以概述。此外，該條款的意義還在于通過立法的形式，封堵了境外國(guó)家通過長(zhǎng)臂管轄權(quán)介入刑民案件裁判的可能，維護(hù)了我國(guó)國(guó)家的司法主權(quán)。最后，由于涉及國(guó)際法問題，如果我國(guó)對(duì)外已經(jīng)締結(jié)或參加了國(guó)際條約和協(xié)定的，應(yīng)當(dāng)將這些國(guó)際條約和協(xié)定作為優(yōu)先規(guī)則予以適用。

第四十二條 境外的組織、個(gè)人從事?lián)p害中華人民共和國(guó)公民的個(gè)人信息權(quán)益,或者危害中華人民共和國(guó)國(guó)家安全、公共利益的個(gè)人信息處理活動(dòng)的,國(guó)家網(wǎng)信部門可以將其列入限制或者禁止個(gè)人信息提供清單,予以公告,并采取限制或者禁止向其提供個(gè)人信息等措施。

【律師解讀】

本條明確構(gòu)建了“個(gè)人信息提供黑名單制度”。

本條參照了《不可靠實(shí)體清單規(guī)定》的相關(guān)規(guī)定，構(gòu)建的“個(gè)人信息提供黑名單制度”有助于保障我國(guó)公民個(gè)人信息免遭他國(guó)不法分子侵害，同時(shí)還可以起到很好的預(yù)防和警示作用。此外，“國(guó)家網(wǎng)信部門”作為監(jiān)管機(jī)關(guān)，具有建構(gòu)黑名單的決定權(quán)，同時(shí)也有權(quán)就危害國(guó)家安全和公共利益的行為進(jìn)行判定。

第四十三條 任何國(guó)家和地區(qū)在個(gè)人信息保護(hù)方面對(duì)中華人民共和國(guó)采取歧視性的禁止、限制或者其他類似措施的,中華人民共和國(guó)可以根據(jù)實(shí)際情況對(duì)該國(guó)家或者該地區(qū)采取相應(yīng)措施。

【律師解讀】

本條規(guī)定了在個(gè)人信息保護(hù)領(lǐng)域的報(bào)復(fù)和反制措施。

按照國(guó)際法上的國(guó)家間對(duì)等原則，如果他國(guó)或地區(qū)對(duì)我國(guó)在個(gè)人信息保護(hù)方面采取了歧視性的禁止或限制措施，我國(guó)則可以根據(jù)實(shí)際情況對(duì)該國(guó)或地區(qū)采取相應(yīng)的報(bào)復(fù)和反制措施。此前我國(guó)出臺(tái)的《出口管制法》、《數(shù)據(jù)安全法》（草案）等法律規(guī)定都存在著類似的規(guī)定。

第四章  個(gè)人在個(gè)人信息處理活動(dòng)中的權(quán)利

第四十四條 個(gè)人對(duì)其個(gè)人信息的處理享有知情權(quán)、決定權(quán),有權(quán)限制或者拒絕他人對(duì)其個(gè)人信息進(jìn)行處理;法律、行政法規(guī)另有規(guī)定的除外。

【律師解讀】

本條明確了個(gè)人對(duì)其個(gè)人信息處理時(shí)享有的知情權(quán)和決定權(quán)。

第四章主要涉及個(gè)人在個(gè)人信息處理活動(dòng)中的相關(guān)權(quán)利，本條明確的知情權(quán)和決定權(quán)與《個(gè)人信息保護(hù)法》所遵循的“告知和同意原則”相一致。需要說明的是，知情權(quán)是決定權(quán)行使的前提條件，而決定權(quán)又包含了個(gè)人對(duì)個(gè)人信息處理有權(quán)進(jìn)行限制或拒絕，進(jìn)而得以使個(gè)人信息處理者在處理個(gè)人信息時(shí)更為合法、合規(guī)，避免侵權(quán)。

第四十五條 個(gè)人有權(quán)向個(gè)人信息處理者查閱、復(fù)制其個(gè)人信息;有本法第十九條第一款規(guī)定情形的除外。

個(gè)人請(qǐng)求查閱、復(fù)制其個(gè)人信息的,個(gè)人信息處理者應(yīng)當(dāng)及時(shí)提供。

【律師解讀】

本條明確了個(gè)人在其個(gè)人信息處理后所享有的查閱和復(fù)制權(quán)。

根據(jù)《民法典》第一千零三十七條規(guī)定，“自然人可以依法向信息處理者查閱或者復(fù)制其個(gè)人信息；發(fā)現(xiàn)信息有錯(cuò)誤的，有權(quán)提出異議并請(qǐng)求及時(shí)采取更正等必要措施。自然人發(fā)現(xiàn)信息處理者違反法律、行政法規(guī)的規(guī)定或者雙方的約定處理其個(gè)人信息的，有權(quán)請(qǐng)求信息處理者及時(shí)刪除?！笨梢姡緱l延續(xù)了《民法典》第一千零三十七條，明確了個(gè)人所享有的查閱和復(fù)制權(quán)。

對(duì)于互聯(lián)網(wǎng)企業(yè)而言，在《個(gè)人信息保護(hù)法》生效后，需要及時(shí)制定相應(yīng)規(guī)則，明確個(gè)人查閱和復(fù)制的方式和流程。此外，雖然本條要求個(gè)人信息處理者在個(gè)人依申請(qǐng)后“及時(shí)提供”相關(guān)信息，到底怎樣的時(shí)間間隔屬于“及時(shí)提供”？我們認(rèn)為，首先，互聯(lián)網(wǎng)企業(yè)需要建立一套制度予以落實(shí)，就“及時(shí)提供”的具體時(shí)間，需要在個(gè)案中予以評(píng)判和探討，但前提條件是符合規(guī)則要求，提供的時(shí)間也不能明顯過長(zhǎng)。

第四十六條 個(gè)人發(fā)現(xiàn)其個(gè)人信息不準(zhǔn)確或者不完整的,有權(quán)請(qǐng)求個(gè)人信息處理者更正、補(bǔ)充。

個(gè)人請(qǐng)求更正、補(bǔ)充其個(gè)人信息的,個(gè)人信息處理者應(yīng)當(dāng)對(duì)其個(gè)人信息予以核實(shí),并及時(shí)更正、補(bǔ)充。

【律師解讀】

本條明確了個(gè)人在其個(gè)人信息處理后所享有的更正和補(bǔ)充權(quán)。

本條所規(guī)定內(nèi)容也屬于《民法典》第一千零三十七條的細(xì)化，明確了個(gè)人所享有的更正和補(bǔ)充權(quán)。對(duì)于互聯(lián)網(wǎng)企業(yè)而言，需要重點(diǎn)關(guān)注“核實(shí)”這一要素，這就需要其具備和掌握《網(wǎng)絡(luò)安全法》中所要求的“實(shí)名認(rèn)證”的相關(guān)能力。除此之外的合規(guī)要求，同《個(gè)人信息保護(hù)法》第四十五條。

第四十七條 有下列情形之一的,個(gè)人信息處理者應(yīng)當(dāng)主動(dòng)或者根據(jù)個(gè)人的請(qǐng)求,刪除個(gè)人信息:

(一)約定的保存期限已屆滿或者處理目的已實(shí)現(xiàn); 

(二)個(gè)人信息處理者停止提供產(chǎn)品或者服務(wù);

(三)個(gè)人撤回同意;

(四)個(gè)人信息處理者違反法律、行政法規(guī)或者違反約定處理個(gè)人信息;

(五)法律、行政法規(guī)規(guī)定的其他情形。

法律、行政法規(guī)規(guī)定的保存期限未屆滿,或者刪除個(gè)人信息從技術(shù)上難以實(shí)現(xiàn)的,個(gè)人信息處理者應(yīng)當(dāng)停止處理個(gè)人信息。

【律師解讀】

本條明確了個(gè)人所享有的個(gè)人信息刪除權(quán)以及個(gè)人信息處理者存在的刪除義務(wù)，并同時(shí)對(duì)刪除權(quán)行使的豁免進(jìn)行了規(guī)定。

本條所規(guī)定的“刪除權(quán)”被人們長(zhǎng)期稱之謂是“被遺忘權(quán)”。首先，由于個(gè)人信息一旦刪除，則再難重新獲取，因此刪除權(quán)相對(duì)于其他權(quán)限來說其實(shí)施的條件和要求應(yīng)當(dāng)更為謹(jǐn)慎和嚴(yán)格。本條通過列舉的形式明確了刪除權(quán)的形式條件，極大地對(duì)其進(jìn)行了適用上的限定，以保障各方權(quán)益盡可能穩(wěn)定。

其次，本條規(guī)定了刪除權(quán)行使的兩種途徑，即個(gè)人在滿足相關(guān)條件后享有刪除個(gè)人信息的權(quán)利。與此同時(shí)，個(gè)人信息處理者在出現(xiàn)相關(guān)情形時(shí)，也具有刪除個(gè)人信息的義務(wù)。

再次，需要注意本條第二款在實(shí)務(wù)中的運(yùn)用。根據(jù)《信息安全技術(shù)個(gè)人信息安全規(guī)范》（GB/T 35273—2020）的規(guī)定，賬號(hào)注銷處理時(shí)限為十五個(gè)工作日，因此個(gè)人信息處理者一般應(yīng)當(dāng)在注銷賬號(hào)時(shí)，一并刪除該賬戶下的個(gè)人相關(guān)信息。

最后，本條還規(guī)定了特殊情況下的豁免。例如，根據(jù)《電子商務(wù)法》第三十一條的規(guī)定，“商品和服務(wù)信息、交易信息保存時(shí)間自交易完成之日起不少于三年；法律、行政法規(guī)另有規(guī)定的，依照其規(guī)定?！币虼耍诔霈F(xiàn)個(gè)人信息保存期限未屆滿，或者技術(shù)上難以實(shí)現(xiàn)的情形下，可以對(duì)個(gè)人信息處理者進(jìn)行豁免，但其必須確保停止對(duì)個(gè)人信息的處理。

我們認(rèn)為，豁免的特殊性條款在實(shí)務(wù)中極有可能存在被互聯(lián)網(wǎng)企業(yè)濫用的風(fēng)險(xiǎn)，因此在監(jiān)管層面必須要求互聯(lián)網(wǎng)企業(yè)對(duì)其豁免的原因進(jìn)行充分舉證，針對(duì)由于業(yè)務(wù)模式不合規(guī)進(jìn)而導(dǎo)致的豁免適用情形及時(shí)介入監(jiān)管，并要求進(jìn)行整改，以符合刪除權(quán)最終得以行使的目的。合規(guī)方面，我們依舊建議互聯(lián)網(wǎng)企業(yè)梳理自身業(yè)務(wù)結(jié)構(gòu)，盡量保證刪除權(quán)的正常行使，并在實(shí)務(wù)中向個(gè)人開放相關(guān)申請(qǐng)通道，并嚴(yán)格落實(shí)數(shù)據(jù)的刪除義務(wù)，違者將可能承擔(dān)重罰。

第四十八條 個(gè)人有權(quán)要求個(gè)人信息處理者對(duì)其個(gè)人信息處理規(guī)則進(jìn)行解釋說明。

【律師解讀】

本條明確了個(gè)人所享有的解釋權(quán)。

《個(gè)人信息保護(hù)法》的第四十八條首次提出了解釋權(quán)的概念，即對(duì)于個(gè)人信息處理規(guī)則中存在的專業(yè)術(shù)語或者是理解上可能存在的偏差等問題，個(gè)人有權(quán)要求個(gè)人信息處理者進(jìn)行解釋說明，但具體解釋說明的提出方式可以根據(jù)不同互聯(lián)網(wǎng)企業(yè)的規(guī)則進(jìn)行明示。

第四十九條 個(gè)人信息處理者應(yīng)當(dāng)建立個(gè)人行使權(quán)利的申請(qǐng)受理和處理機(jī)制。拒絕個(gè)人行使權(quán)利的請(qǐng)求的,應(yīng)當(dāng)說明理由。

【律師解讀】

本條明確了個(gè)人信息處理者建立個(gè)人信息申請(qǐng)受理和處理機(jī)制的規(guī)定。

本條對(duì)個(gè)人信息處理者提出了合規(guī)治理層面的要求，即要求個(gè)人信息處理者履行同《網(wǎng)絡(luò)安全法》第四十九條相類似的法律義務(wù)，并在此基礎(chǔ)上進(jìn)行細(xì)化，要求其在拒絕時(shí)對(duì)個(gè)人進(jìn)行必要說明。

第五章  個(gè)人信息處理者的義務(wù)

第五十條 個(gè)人信息處理者應(yīng)當(dāng)根據(jù)個(gè)人信息的處理目的、處理方式、個(gè)人信息的種類以及對(duì)個(gè)人的影響、可能存在的安全風(fēng)險(xiǎn)等,采取必要措施確保個(gè)人信息處理活動(dòng)符合法律、行政法規(guī)的規(guī)定,并防止未經(jīng)授權(quán)的訪問以及個(gè)人信息泄露或者被竊取、篡改、刪除:

(一)制定內(nèi)部管理制度和操作規(guī)程;

(二)對(duì)個(gè)人信息實(shí)行分級(jí)分類管理;

(三)采取相應(yīng)的加密、去標(biāo)識(shí)化等安全技術(shù)措施;

(四)合理確定個(gè)人信息處理的操作權(quán)限,并定期對(duì)從業(yè)人員進(jìn)行安全教育和培訓(xùn);

(五)制定并組織實(shí)施個(gè)人信息安全事件應(yīng)急預(yù)案;

(六)法律、行政法規(guī)規(guī)定的其他措施。

【律師解讀】

本條明確了個(gè)人信息處理者對(duì)個(gè)人信息的安全保障義務(wù)。

本條融合了《網(wǎng)絡(luò)安全法》第二十五條、第二十六條、第三十九條以及第四十條的相關(guān)義務(wù)，要求個(gè)人信息處理者建立完備的管理制度對(duì)個(gè)人信息進(jìn)行分級(jí)分類管理，同時(shí)要求其運(yùn)用相應(yīng)技術(shù)手段，保證個(gè)人信息安全的安全、自主和可控。另外，還需要在日常工作中引入相關(guān)機(jī)制對(duì)相關(guān)從業(yè)人員進(jìn)行必要培訓(xùn)，并制定和實(shí)施相應(yīng)應(yīng)急預(yù)案。

需要注意的是，根據(jù)《數(shù)據(jù)安全管理辦法》（征求意見稿）第第十七條的規(guī)定，“網(wǎng)絡(luò)運(yùn)營(yíng)者以經(jīng)營(yíng)為目的收集重要數(shù)據(jù)或個(gè)人敏感信息的，應(yīng)當(dāng)明確數(shù)據(jù)安全責(zé)任人。數(shù)據(jù)安全責(zé)任人由具有相關(guān)管理工作經(jīng)歷和數(shù)據(jù)安全專業(yè)知識(shí)的人員擔(dān)任，參與有關(guān)數(shù)據(jù)活動(dòng)的重要決策，直接向網(wǎng)絡(luò)運(yùn)營(yíng)者的主要負(fù)責(zé)人報(bào)告工作。”因此，如果個(gè)人信息處理者存在處置個(gè)人敏感信息和重要數(shù)據(jù)情形的，其應(yīng)當(dāng)明確具備一定的專業(yè)背景和特長(zhǎng)的數(shù)據(jù)安全的負(fù)責(zé)人，這對(duì)互聯(lián)網(wǎng)企業(yè)在人力資源選拔層面提出了相當(dāng)大的挑戰(zhàn)和要求。此外，本條第三款僅為概括式條款，并非涵蓋全部所應(yīng)采取的技術(shù)形式，應(yīng)當(dāng)根據(jù)《信息安全技術(shù)個(gè)人信息安全規(guī)范》（GB/T 35273—2020）中有關(guān)個(gè)人信息的存儲(chǔ)時(shí)間和方式等問題進(jìn)行了技術(shù)上的規(guī)范調(diào)整。

第五十一條 處理個(gè)人信息達(dá)到國(guó)家網(wǎng)信部門規(guī)定數(shù)量的個(gè)人信息處理者應(yīng)當(dāng)指定個(gè)人信息保護(hù)負(fù)責(zé)人,負(fù)責(zé)對(duì)個(gè)人信息處理活動(dòng)以及采取的保護(hù)措施等進(jìn)行監(jiān)督。

個(gè)人信息處理者應(yīng)當(dāng)公開個(gè)人信息保護(hù)負(fù)責(zé)人的姓名、聯(lián)系方式等,并報(bào)送履行個(gè)人信息保護(hù)職責(zé)的部門。

【律師解讀】

本條明確了特殊個(gè)人信息處理者指定個(gè)人信息保護(hù)負(fù)責(zé)人的義務(wù)。

根據(jù)《數(shù)據(jù)安全管理辦法》（征求意見稿）第八條的規(guī)定，“收集使用規(guī)則應(yīng)當(dāng)明確具體、簡(jiǎn)單通俗、易于訪問，突出以下內(nèi)容：（一）網(wǎng)絡(luò)運(yùn)營(yíng)者基本信息；（二）網(wǎng)絡(luò)運(yùn)營(yíng)者主要負(fù)責(zé)人、數(shù)據(jù)安全責(zé)任人的姓名及聯(lián)系方式…”；可見，根據(jù)《數(shù)據(jù)安全管理辦法》（征求意見稿）的立法精神，處理涉及個(gè)人敏感信息和重要數(shù)據(jù)的個(gè)人信息處理者需要對(duì)外公開相關(guān)姓名及聯(lián)系方式等個(gè)人信息。

《個(gè)人信息保護(hù)法》在《數(shù)據(jù)安全管理辦法》第八條的基礎(chǔ)上，又新增了特殊個(gè)人信息處理者即個(gè)人信息達(dá)到國(guó)家網(wǎng)信部門規(guī)定數(shù)量的個(gè)人信息處理者這一主體，并要求其也應(yīng)當(dāng)指定個(gè)人信息保護(hù)負(fù)責(zé)人。有關(guān)特殊個(gè)人信息處理者這一對(duì)象，在《個(gè)人信息保護(hù)法》第四十條跨境數(shù)據(jù)流轉(zhuǎn)合規(guī)要求中我們已有介紹和說明，體現(xiàn)了法律對(duì)其重視程度。

因此，在合規(guī)治理方面，我們建議無論是涉及處理個(gè)人敏感信息和重要數(shù)據(jù)的個(gè)人信息處理者，還是本條所規(guī)定的處理個(gè)人信息達(dá)到國(guó)家網(wǎng)信部門規(guī)定數(shù)量的個(gè)人信息處理者，都應(yīng)當(dāng)配備個(gè)人信息保護(hù)負(fù)責(zé)人，對(duì)企業(yè)的個(gè)人信息保護(hù)進(jìn)行監(jiān)管和負(fù)責(zé)。至于國(guó)家網(wǎng)信部門規(guī)定數(shù)量究竟是多少，尚有待《個(gè)人信息保護(hù)法》生效后根據(jù)國(guó)家網(wǎng)信部門下發(fā)的相關(guān)規(guī)范性文件明確，其并不在本文探討范圍之中。

第五十二條 本法第三條第二款規(guī)定的中華人民共和國(guó)境外的個(gè)人信息處理者,應(yīng)當(dāng)在中華人民共和國(guó)境內(nèi)設(shè)立專門機(jī)構(gòu)或者指定代表,負(fù)責(zé)處理個(gè)人信息保護(hù)相關(guān)事務(wù),并將有關(guān)機(jī)構(gòu)的名稱或者代表的姓名、聯(lián)系方式等報(bào)送履行個(gè)人信息保護(hù)職責(zé)的部門。

【律師解讀】

本條明確了中國(guó)境外個(gè)人信息處理者在境內(nèi)設(shè)立專門機(jī)構(gòu)或者指定代表的義務(wù)。

雖然本條并未明確設(shè)立專門機(jī)構(gòu)或者指定代表的具體流程和要求，也并未明確其法律主體和責(zé)任。但是根據(jù)《個(gè)人信息出境安全評(píng)估辦法（征求意見稿）》第二十條的立法精神，通過“白名單制度”的建立可以有效對(duì)個(gè)人信息安全進(jìn)行必要管控，防止個(gè)人信息非法出境而使得我國(guó)境內(nèi)公民人身權(quán)益遭受不必要的損害。

第五十三條 個(gè)人信息處理者應(yīng)當(dāng)定期對(duì)其個(gè)人信息處理活動(dòng)、采取的保護(hù)措施等是否符合法律、行政法規(guī)的規(guī)定進(jìn)行審計(jì)。履行個(gè)人信息保護(hù)職責(zé)的部門有權(quán)要求個(gè)人信息處理者委托專業(yè)機(jī)構(gòu)進(jìn)行審計(jì)。

【律師解讀】

本條規(guī)定了個(gè)人信息處理者有依法委托專業(yè)機(jī)構(gòu)開展審計(jì)工作的義務(wù)。

雖然目前法律并未規(guī)定個(gè)人信息處理審計(jì)的時(shí)間，但是本條規(guī)定了定期審計(jì)意味著《個(gè)人信息保護(hù)法》對(duì)個(gè)人信息處理者的監(jiān)管將會(huì)是長(zhǎng)期存在的現(xiàn)象。根據(jù)《信息安全技術(shù)個(gè)人信息安全規(guī)范》（GB/T 35273—2020）第11.7條的規(guī)定，“對(duì)個(gè)人信息控制者的要求包括：（a）應(yīng)對(duì)個(gè)人信息保護(hù)政策、相關(guān)規(guī)程和安全措施的有效性進(jìn)行審計(jì)；（b）應(yīng)建立自動(dòng)化審計(jì)系統(tǒng)，監(jiān)測(cè)記錄個(gè)人信息處理活動(dòng)；（c）審計(jì)過程形成的記錄應(yīng)能對(duì)安全事件的處置、應(yīng)急響應(yīng)和事后調(diào)查提供支撐；（d）應(yīng)防止非授權(quán)訪問、篡改或刪除審計(jì)記錄；（e）應(yīng)及時(shí)處理審計(jì)過程中發(fā)現(xiàn)的個(gè)人信息違規(guī)使用、濫用等情況；（f）審計(jì)記錄和留存時(shí)間應(yīng)當(dāng)符合法律法規(guī)的要求?！币虼?，個(gè)人信息處理者應(yīng)當(dāng)定期聘請(qǐng)專業(yè)的律師事務(wù)所對(duì)其自身個(gè)人信息治理的合規(guī)性進(jìn)行審查，并根據(jù)審查結(jié)果進(jìn)行整改。

另外需要說明的是，本條中的“履行個(gè)人信息保護(hù)職責(zé)的部門”可能會(huì)有所歧義。按照文義解釋，其既可能指的是行政監(jiān)管部門，也可能指的是企業(yè)內(nèi)部的個(gè)人信息保護(hù)部門。我們認(rèn)為，第一種解釋可能更為妥當(dāng)。首先，根據(jù)《個(gè)人信息保護(hù)法》第六章通篇的表述可以推定，其所指的是就是行政監(jiān)管部門。其次，配合行政監(jiān)管工作本身就是一項(xiàng)法定義務(wù)，具備立法的條件。第三，雖然本條已經(jīng)開宗名義的明確了個(gè)人信息處理者定期審計(jì)的義務(wù)，但是對(duì)于未按規(guī)定履行審計(jì)義務(wù)的個(gè)人信息處理者而言，本條明確了個(gè)人信息保護(hù)職責(zé)部門的重要法律地位，為其介入監(jiān)管提供了相應(yīng)法律依據(jù)。

第五十四條 個(gè)人信息處理者應(yīng)當(dāng)對(duì)下列個(gè)人信息處理活動(dòng)在事前進(jìn)行風(fēng)險(xiǎn)評(píng)估,并對(duì)處理情況進(jìn)行記錄:

(一)處理敏感個(gè)人信息;

(二)利用個(gè)人信息進(jìn)行自動(dòng)化決策;

(三)委托處理個(gè)人信息、向第三方提供個(gè)人信息、公開個(gè)人信息;

(四)向境外提供個(gè)人信息;

(五)其他對(duì)個(gè)人有重大影響的個(gè)人信息處理活動(dòng)。

風(fēng)險(xiǎn)評(píng)估的內(nèi)容應(yīng)當(dāng)包括:

(一)個(gè)人信息的處理目的、處理方式等是否合法、正當(dāng)、必要;

(二)對(duì)個(gè)人的影響及風(fēng)險(xiǎn)程度;

(三)所采取的安全保護(hù)措施是否合法、有效并與風(fēng)險(xiǎn)程度相適應(yīng)。

風(fēng)險(xiǎn)評(píng)估報(bào)告和處理情況記錄應(yīng)當(dāng)至少保存三年。

【律師解讀】

本條明確了個(gè)人信息處理者的事先風(fēng)險(xiǎn)評(píng)估義務(wù)。

本條所列舉的幾類情形都是極易對(duì)個(gè)人信息產(chǎn)生侵權(quán)行為的情形，因此國(guó)家往往對(duì)這些行為都非常關(guān)注。本條約定的是個(gè)人信息處理者在特殊情形下的事先風(fēng)險(xiǎn)評(píng)估義務(wù)，具體的操作指南可以參考《個(gè)人信息出境安全評(píng)估辦法》（征求意見稿）。但需要注意的是，除了風(fēng)險(xiǎn)評(píng)估外，《個(gè)人信息保護(hù)法》還規(guī)定了安全評(píng)估的要求，因此有必要等待監(jiān)管部門對(duì)兩者的概念進(jìn)行必要的區(qū)分和解釋，以指引個(gè)人信息處理者的合規(guī)進(jìn)程。

第五十五條個(gè)人信息處理者發(fā)現(xiàn)個(gè)人信息泄露的,應(yīng)當(dāng)立即采取補(bǔ)救措施,并通知履行個(gè)人信息保護(hù)職責(zé)的部門和個(gè)人。通知應(yīng)當(dāng)包括下列事項(xiàng):

(一)個(gè)人信息泄露的原因;

(二)泄露的個(gè)人信息種類和可能造成的危害;

(三)已采取的補(bǔ)救措施;

(四)個(gè)人可以采取的減輕危害的措施;

(五)個(gè)人信息處理者的聯(lián)系方式。

個(gè)人信息處理者采取措施能夠有效避免信息泄露造成損害的,個(gè)人信息處理者可以不通知個(gè)人;但是,履行個(gè)人信息保護(hù)職責(zé)的部門認(rèn)為個(gè)人信息泄露可能對(duì)個(gè)人造成損害的,有權(quán)要求個(gè)人信息處理者通知個(gè)人。

【律師解讀】

本條明確了在個(gè)人信息泄露時(shí)，個(gè)人信息處理者應(yīng)當(dāng)履行的通知義務(wù)，并采取相應(yīng)補(bǔ)救措施。

本條明確了個(gè)人信息處理者在個(gè)人信息泄露時(shí)的通知義務(wù)和補(bǔ)救義務(wù)。第一，履行通知義務(wù)的主體是個(gè)人信息處理者。第二，本條還明確了履行通知義務(wù)的條件是個(gè)人信息遭受泄露或者是履行個(gè)人信息保護(hù)職責(zé)的部門向其提出要求這兩類情形。第三，除通知義務(wù)外，個(gè)人信息處理者還需要及時(shí)采取補(bǔ)救措施，防止損失的擴(kuò)大。第四，本條規(guī)定了個(gè)人信息處理者采取措施能夠有效避免信息泄露造成損害的的情形下，個(gè)人信息處理者的通知義務(wù)可以被豁免。最后需要提醒，個(gè)人信息處理者采取的補(bǔ)救措施必須是及時(shí)且專業(yè)的，由于補(bǔ)救措施采取的不及時(shí)或者是不專業(yè)導(dǎo)致個(gè)人信息泄露擴(kuò)大進(jìn)而導(dǎo)致個(gè)人損失擴(kuò)大的，個(gè)人信息處理者可能還需要承擔(dān)相應(yīng)的侵權(quán)責(zé)任。

第六章  履行個(gè)人信息保護(hù)職責(zé)的部門

第五十六條 國(guó)家網(wǎng)信部門負(fù)責(zé)統(tǒng)籌協(xié)調(diào)個(gè)人信息保護(hù)工作和相關(guān)監(jiān)督管理工作。國(guó)務(wù)院有關(guān)部門依照本法和有關(guān)法律、行政法規(guī)的規(guī)定,在各自職責(zé)范圍內(nèi)負(fù)責(zé)個(gè)人信息保護(hù)和監(jiān)督管理工作。

縣級(jí)以上地方人民政府有關(guān)部門的個(gè)人信息保護(hù)和監(jiān)督管理職責(zé),按照國(guó)家有關(guān)規(guī)定確定。前兩款規(guī)定的部門統(tǒng)稱為履行個(gè)人信息保護(hù)職責(zé)的部門。

【律師解讀】

本條明確了履行個(gè)人信息保護(hù)的具體行政監(jiān)管部門。

根據(jù)本條規(guī)定，履行個(gè)人信息保護(hù)職責(zé)的部門由國(guó)家網(wǎng)信部門進(jìn)行統(tǒng)籌和協(xié)調(diào)，具體落實(shí)的工作由國(guó)務(wù)院各部門在各自職責(zé)范圍內(nèi)進(jìn)行縱向的“條塊管理”，縣級(jí)以上地方人民政府也按照該模式進(jìn)行管理。例如，上海市各委辦局根據(jù)其所負(fù)責(zé)的不同條塊，負(fù)責(zé)對(duì)注冊(cè)在上海的個(gè)人信息處理者進(jìn)行日常管理，而上海市網(wǎng)信辦負(fù)責(zé)對(duì)其進(jìn)行協(xié)調(diào)、統(tǒng)籌和監(jiān)督。

第五十七條 履行個(gè)人信息保護(hù)職責(zé)的部門履行下列個(gè)人信息保護(hù)職責(zé):

(一)開展個(gè)人信息保護(hù)宣傳教育,指導(dǎo)、監(jiān)督個(gè)人信息處理者開展個(gè)人信息保護(hù)工作;

(二)接受、處理與個(gè)人信息保護(hù)有關(guān)的投訴、舉報(bào);

(三)調(diào)查、處理違法個(gè)人信息處理活動(dòng);

(四)法律、行政法規(guī)規(guī)定的其他職責(zé)。

【律師解讀】

本條明確了履行個(gè)人信息保護(hù)職責(zé)的部門的工作內(nèi)容和職責(zé)。

本條理清了相關(guān)責(zé)任部門的職責(zé)范圍，以及具體行政行為作出的方向，避免由于職責(zé)不清或者職責(zé)重合，進(jìn)而對(duì)個(gè)人信息監(jiān)管所帶來不良影響。

第五十八條 國(guó)家網(wǎng)信部門和國(guó)務(wù)院有關(guān)部門按照職責(zé)權(quán)限組織制定個(gè)人信息保護(hù)相關(guān)規(guī)則、標(biāo)準(zhǔn),推進(jìn)個(gè)人信息保護(hù)社會(huì)化服務(wù)體系建設(shè),支持有關(guān)機(jī)構(gòu)開展個(gè)人信息保護(hù)評(píng)估、認(rèn)證服務(wù)。

【律師解讀】

本條明確了國(guó)家網(wǎng)信部門和國(guó)務(wù)院有關(guān)部門的工作內(nèi)容和職責(zé)。

就個(gè)人信息保護(hù)的有關(guān)規(guī)則和標(biāo)準(zhǔn)的制定工作而言，由于其直接影響全國(guó)各地的適用效果，因此只能由國(guó)家網(wǎng)信部門和國(guó)務(wù)院有關(guān)部門負(fù)責(zé)落實(shí)，以更好推進(jìn)個(gè)人信息保護(hù)社會(huì)化服務(wù)體系建設(shè)。

第五十九條 履行個(gè)人信息保護(hù)職責(zé)的部門履行個(gè)人信息保護(hù)職責(zé),可以采取下列措施:  

(一)詢問有關(guān)當(dāng)事人,調(diào)查與個(gè)人信息處理活動(dòng)有關(guān)的情況;

(二)查閱、復(fù)制當(dāng)事人與個(gè)人信息處理活動(dòng)有關(guān)的合同、記錄、賬簿以及其他有關(guān)資料;

(三)實(shí)施現(xiàn)場(chǎng)檢查,對(duì)涉嫌違法個(gè)人信息處理活動(dòng)進(jìn)行調(diào)查;

(四)檢查與個(gè)人信息處理活動(dòng)有關(guān)的設(shè)備、物品;對(duì)有證據(jù)證明是違法個(gè)人信息處理活動(dòng)的設(shè)備、物品,可以查封或者扣押。

履行個(gè)人信息保護(hù)職責(zé)的部門依法履行職責(zé),當(dāng)事人應(yīng)當(dāng)予以協(xié)助、配合,不得拒絕、阻撓。

【律師解讀】

本條規(guī)定了履行個(gè)人信息保護(hù)職責(zé)的部門履行個(gè)人信息保護(hù)職責(zé)可采取的措施。

本條明確了履行個(gè)人信息保護(hù)職責(zé)的部門的工作方式，并通過法律指引的形式，為其提供了相應(yīng)法律依據(jù)。相反，也為公民履行相應(yīng)行政監(jiān)督權(quán)提供了參考標(biāo)準(zhǔn)。

第六十條 履行個(gè)人信息保護(hù)職責(zé)的部門在履行職責(zé)中,發(fā)現(xiàn)個(gè)人信息處理活動(dòng)存在較大風(fēng)險(xiǎn)或者發(fā)生個(gè)人信息安全事件的,可以按照規(guī)定的權(quán)限和程序?qū)υ搨€(gè)人信息處理者的法定代表人或者主要負(fù)責(zé)人進(jìn)行約談。個(gè)人信息處理者應(yīng)當(dāng)按照要求采取措施,進(jìn)行整改,消除隱患。

【律師解讀】

本條賦予了履行個(gè)人信息保護(hù)職責(zé)的部門對(duì)個(gè)人信息處理者進(jìn)行約談和提出整改的權(quán)限。

本條賦予了履行個(gè)人信息保護(hù)職責(zé)的部門存在較大風(fēng)險(xiǎn)或者發(fā)生個(gè)人信息安全事件相應(yīng)的認(rèn)定權(quán)。此外，對(duì)個(gè)人信息處理者的法定代表人或者主要負(fù)責(zé)人進(jìn)行約談既是一種義務(wù)，也是一種權(quán)利，通過約談的形式可以更好的進(jìn)行有效監(jiān)督。由于《個(gè)人信息保護(hù)法》第五十三條已經(jīng)要求個(gè)人信息處理者定期進(jìn)行審計(jì)，因此，監(jiān)管部門還可以在委托律師事務(wù)所進(jìn)行審計(jì)后，根據(jù)審計(jì)結(jié)果，要求個(gè)人信息處理者進(jìn)行整改并消除隱患。

第六十一條 任何組織、個(gè)人有權(quán)對(duì)違法個(gè)人信息處理活動(dòng)向履行個(gè)人信息保護(hù)職責(zé)的部門進(jìn)行投訴、舉報(bào)。收到投訴、舉報(bào)的部門應(yīng)當(dāng)依法及時(shí)處理,并將處理結(jié)果告知投訴、舉報(bào)人。履行個(gè)人信息保護(hù)職責(zé)的部門應(yīng)當(dāng)公布接受投訴、舉報(bào)的聯(lián)系方式。

【律師解讀】

本條規(guī)定了“投訴、舉報(bào)制度”的設(shè)立要求。

需要注意，本條所指的“投訴、舉報(bào)制度”是從行政監(jiān)管角度出發(fā)的，對(duì)個(gè)人信息處理者內(nèi)部的投訴和舉報(bào)的處理流程和方式，并不包含在本條范圍內(nèi)。此外，無論是否具有利害關(guān)系，任何組織和個(gè)人都有權(quán)對(duì)其認(rèn)為違法違規(guī)的個(gè)人信息處理者進(jìn)行投訴和舉報(bào)。一旦收到此類投訴和舉報(bào)信函，無論是中央，還是地方歸口的監(jiān)管部門就應(yīng)當(dāng)按照本條相應(yīng)規(guī)定進(jìn)行處置。如果監(jiān)管部門未按要求或者延期處置的，可能會(huì)被認(rèn)定為行政違法或不作為。

第七章  法律責(zé)任

第六十二條 違反本法規(guī)定處理個(gè)人信息,或者處理個(gè)人信息未按照規(guī)定采取必要的安全保護(hù)措施的,由履行個(gè)人信息保護(hù)職責(zé)的部門責(zé)令改正,沒收違法所得,給予警告;拒不改正的,并處一百萬元以下罰款;對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處一萬元以上十萬元以下罰款。

有前款規(guī)定的違法行為,情節(jié)嚴(yán)重的,由履行個(gè)人信息保護(hù)

職責(zé)的部門責(zé)令改正,沒收違法所得,并處五千萬元以下或者上一年度營(yíng)業(yè)額百分之五以下罰款,并可以責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、通報(bào)有關(guān)主管部門吊銷相關(guān)業(yè)務(wù)許可或者吊銷營(yíng)業(yè)執(zhí)照;對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處十萬元以上一百萬元以下罰款。

【律師解讀】

本條明確了個(gè)人信息處理者違法后的法律責(zé)任。

本條設(shè)置處罰的幅度和范圍相較于《網(wǎng)絡(luò)安全法》而言顯然更為嚴(yán)厲了，其引入了類似于歐盟GDPR第八十三條的懲罰性賠償制度，來對(duì)違法行為進(jìn)行懲罰，加大了個(gè)人信息處理者的違法成本。

第六十三條 有本法規(guī)定的違法行為的,依照有關(guān)法律、行政法規(guī)的規(guī)定記入信用檔案,并予以公示。

【律師解讀】

本條規(guī)定了“信用檔案制度”的建立和使用。

本條借鑒了《電子商務(wù)法》第七十條和第八十六條的規(guī)定，建立和使用“信用檔案制度”將對(duì)整個(gè)個(gè)人信息保護(hù)來說更為有益。此外，對(duì)于違法、違規(guī)企業(yè)的信息公示，將加大其違法成本和商業(yè)信譽(yù)的影響，創(chuàng)建出“良幣驅(qū)逐劣幣”的良好環(huán)境。

第六十四條 國(guó)家機(jī)關(guān)不履行本法規(guī)定的個(gè)人信息保護(hù)義務(wù)的,由其上級(jí)機(jī)關(guān)或者履行個(gè)人信息保護(hù)職責(zé)的部門責(zé)令改正;對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員依法給予處分。

【律師解讀】

本條明確了國(guó)家機(jī)關(guān)不履行個(gè)人信息保護(hù)義務(wù)的法律責(zé)任。

對(duì)于國(guó)家機(jī)關(guān)不履行個(gè)人信息保護(hù)義務(wù)的，不僅需要由上級(jí)主管部門責(zé)令其改正，還將處罰責(zé)任落實(shí)到人，促進(jìn)其更好地履行自身監(jiān)管職能的作用。

第六十五條 因個(gè)人信息處理活動(dòng)侵害個(gè)人信息權(quán)益的,按照個(gè)人因此受到的損失或者個(gè)人信息處理者因此獲得的利益承擔(dān)賠償責(zé)任;個(gè)人因此受到的損失和個(gè)人信息處理者因此獲得的利益難以確定的,由人民法院根據(jù)實(shí)際情況確定賠償數(shù)額。個(gè)人信息處理者能夠證明自己沒有過錯(cuò)的,可以減輕或者免除責(zé)任。

【律師解讀】

本條是有關(guān)個(gè)人信息被侵害后，民事賠償方式的相關(guān)說明。

根據(jù)《民法典》的相關(guān)立法精神，我國(guó)對(duì)于侵權(quán)行為的賠償采用的是“填平原則”，即根據(jù)被侵權(quán)人的實(shí)際損失作為侵權(quán)人賠償?shù)臄?shù)額。本條規(guī)定沿用了這一立法精神，并根據(jù)“過錯(cuò)責(zé)任”的歸責(zé)原則，來作為認(rèn)定侵權(quán)及賠償?shù)姆椒ā?/p>

第六十六條 個(gè)人信息處理者違反本法規(guī)定處理個(gè)人信息,侵害眾多個(gè)人的權(quán)益的,人民檢察院、履行個(gè)人信息保護(hù)職責(zé)的部門和國(guó)家網(wǎng)信部門確定的組織可以依法向人民法院提起訴訟。

【律師解讀】

本條建立了“個(gè)人信息公益訴訟制度”。

我國(guó)公益訴訟的提出一般較為嚴(yán)格，需要具備一定的社會(huì)性，也需要明確的法律依據(jù)作為支撐。因此，本條設(shè)置的目的給了檢察機(jī)關(guān)、消費(fèi)者權(quán)益保護(hù)組織等單位提起個(gè)人信息公益訴訟的權(quán)利，為維護(hù)侵害眾多個(gè)人權(quán)益的個(gè)體，提供了獲取救濟(jì)的可能。

第六十七條 違反本法規(guī)定,構(gòu)成違反治安管理行為的,依法給予治安管理處罰;構(gòu)成犯罪的,依法追究刑事責(zé)任。

【律師解讀】

本條明確了個(gè)人信息違法后可能面臨的刑事或者行政處罰。

本條沿用了《網(wǎng)絡(luò)安全法》、《電子商務(wù)法》等法律的規(guī)定，將違反《個(gè)人信息保護(hù)法》的行為，視情節(jié)不同，明確劃分為行政處罰和刑事處罰兩檔，供公安機(jī)關(guān)予以處理。

第八章  附   則

第六十八條 自然人因個(gè)人或者家庭事務(wù)而處理個(gè)人信息的,不適用本法。

法律對(duì)各級(jí)人民政府及其有關(guān)部門組織實(shí)施的統(tǒng)計(jì)、檔案管理活動(dòng)中的個(gè)人信息處理有規(guī)定的,適用其規(guī)定。

【律師解讀】

本條明確了不適用本法的兩類特殊情況。

個(gè)人信息作為一種“私權(quán)”，倘若以處理家庭事務(wù)為目的，進(jìn)而發(fā)生在個(gè)體間的信息處理行為，由于其社會(huì)影響力較小，也不存在法律需要進(jìn)一步細(xì)化調(diào)整的必要，因此排除在《個(gè)人信息保護(hù)法》調(diào)整的范圍外。

另外，人民政府組織的統(tǒng)計(jì)和檔案管理活動(dòng)一般又涉及“公權(quán)”，其還可能需要符合《保密法》的相關(guān)規(guī)定，因此屬于特別法的調(diào)整范疇，也應(yīng)當(dāng)被排除在《個(gè)人信息保護(hù)法》調(diào)整的范圍外。

第六十九條 本法下列用語的含義: 

(一)個(gè)人信息處理者,是指自主決定處理目的、處理方式

等個(gè)人信息處理事項(xiàng)的組織、個(gè)人。

(二)自動(dòng)化決策,是指利用個(gè)人信息對(duì)個(gè)人的行為習(xí)慣、興趣愛好或者經(jīng)濟(jì)、健康、信用狀況等,通過計(jì)算機(jī)程序自動(dòng)分析、評(píng)估并進(jìn)行決策的活動(dòng)。

(三)去標(biāo)識(shí)化,是指?jìng)€(gè)人信息經(jīng)過處理,使其在不借助額外信息的情況下無法識(shí)別特定自然人的過程。

(四)匿名化,是指?jìng)€(gè)人信息經(jīng)過處理無法識(shí)別特定自然人且不能復(fù)原的過程。

【律師解讀】

本條明確了幾個(gè)重要的專業(yè)術(shù)語的概念。

本條明確了“個(gè)人信息處理者”、“自動(dòng)化決策”、“去標(biāo)識(shí)化”以及“匿名化”四個(gè)專業(yè)術(shù)語的概念。需要說明的是，雖然《個(gè)人信息保護(hù)法》對(duì)“去標(biāo)識(shí)化”和“匿名化”進(jìn)行了區(qū)分，但是在實(shí)務(wù)中仍較難界別。

一般來說，“匿名化”是經(jīng)過“去標(biāo)識(shí)化”加工后出現(xiàn)的產(chǎn)物。其所呈現(xiàn)的信息更為模式，即便借助外在和額外的信息，也無法進(jìn)一步識(shí)別出個(gè)體信息。

“去標(biāo)識(shí)化”雖然經(jīng)過一定程度的處理，但是其在借助外在信息時(shí)有可能被予以識(shí)別，同時(shí)其原始數(shù)據(jù)也可能通過技術(shù)手段被予以還原。

第七十條 本法自  年   月   日起施行。（完）

【律師解讀】

本條規(guī)定了《個(gè)人信息保護(hù)法》具體的施行時(shí)間。

目前，《個(gè)人信息保護(hù)法》仍在征求意見階段，其具體的施行時(shí)間尚未確定。但是在司法實(shí)踐中需要注意，由于《個(gè)人信息保護(hù)法》一些部分的合規(guī)要求非常詳實(shí)，因此不排除其最終發(fā)布和施行的時(shí)間出現(xiàn)不一致的情形。如若發(fā)生這一情況，建議互聯(lián)網(wǎng)企業(yè)必須抓住這段時(shí)間的空檔期，盡可能按照最終發(fā)布的《個(gè)人信息保護(hù)法》進(jìn)行合規(guī)梳理，這也是立法者預(yù)留多余時(shí)間其背后的真正目的。