文章插图

2021年8月20日，千呼万唤的《个人信息保护法》（以下简称个保法）终于正式通过全国人大审议，并将于11月1日正式生效 。总览全文，个保法是对2016年网安法发布以来我国社会各界在个人信息保护领域的行政、司法实践的总结，堪称具有里程碑意义 。
以知情同意为核心构建自然人权利体系之所以说个保法具有里程碑意义，是因为个保法首次以法律形式明确了个人在信息数据领域的权利 。总的来看，个保法吸收了GDPR的立法经验，以知情权和控制权为核心构建了我国的个人权利体系 。自第44条到第50条，分别规定了知情权和决定权、复制和可携带权、更正修改权、个人信息的存储期限、部分权利的可继承性以及投诉和起诉权 。
这些权利内容整体上未超出GDPR的立法成果 。相关内容多散见于国内部分低位阶法律文件，本次属于对这些内容的系统整理和法律确认 。
唯独需要注意的是，这次个保法在规定可携带权时明确提出“个人请求将个人信息转移至其指定的个人信息处理者，符合国家网信部门规定条件的，个人信息处理者应当提供转移的途径 。”这里的“提供转移的途径”在实践中应如何落地，需要后续行政监管机关与行业企业共同进行探索 。
敏感个人信息和数据跨境流转制度进一步明确个保法在《个人信息保护规范》的基础上对敏感个人信息做了进一步的凝练，并且明确将不满十四周岁未成年人的个人信息定性为敏感个人信息 。由于敏感信息的特殊性和更重的法律责任，企业对于采集和处理十四岁以下未成年人的数据将不得不采取更加谨慎的态度 。但与此同时，在企业责任和数据采集之间便产生了一个矛盾 。企业为了识别未成年人，需要采集一部分信息，但如果分析发现是未成年人，则会导致之前的采集授权可能不够充分 。要解决这一矛盾可能需要进一步推广普及青少年模式和家长控制功能，从未成年人接触某个互联网产品伊始便要求其主动披露未成年人身份，从而方便企业准确的选择授权、采集和数据处理模式 。
滴滴事件后，数据的跨境流转成为众多企业，特别是拟境外上市企业关注的焦点 。此次个保法拿出专章对这方面做出了规定 。根据第38条规定，在向境外提供个人信息之前，企业至少需要通过国家王新部门组织的安全评估、专业机构的个人信息保护认证、与境外接收方订立相关合同 。境外接收方处理个人信息的活动应当达到不低于个保法的标准 。此外，向境外提供个人信息需要整的用户的单独同意 。
在一般企业基础上，关键信息基础设施运营者则一般不得向境外传输个人信息 。确有必要的，则需要接受网信部门组织的安全评估 。比较有意思的是，在中美深度竞争和美国频繁动用长臂管辖的大背景下，个保法用41、42、43三条的篇幅规定了个人信息领域应对境外司法协助、制裁和长臂管辖的要求 。要知道，敏感个人信息的相关规定也不过5条而已 。可见，国家对于个人信息出境采取的是一种极端审慎的态度 。
个人信息处理者的法定义务得到系统梳理此前，由于缺乏专门性法规，个人信息处理者的法定义务散见于《网络安全法》《数据安全法》《电子商务法》《反不正当竞争法》甚至《民法典》等法律法规中，其内涵和外延始终存在争议 。本次出台的个保法用第五章一个章节全面阐述了个人信息处理者法定义务的内涵 。个人信息处理者的法定义务以维护数据安全为核心要义 。第51条规定了6种应当采取的安全管理措施，包括制定内部管理制度和操作规程、对个人信息实行分类管理、采取相应的加密、去标识化等安全技术措施、合理确定个人信息处理的操作权限并定期对从业人员进行安全教育和培训、制定并组织实施个人信息安全事件应急预案、法律和行政法规规定的其他措施等 。第52、53条要求境内外个人信息处理者都要在中国境内设立个保负责人 。第54到57条规定了个人信息处理者为了实现个保目的必须采取的常规动作，包括事前评估、评估的内容、事中审计以及一旦发生泄露事故应当采取的措施 。根据第55条规定，必须开展评估的情形有5种，分别是（一）处理敏感个人信息；（二）利用个人信息进行自动化决策；（三）委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息；（四）向境外提供个人信息；（五）其他对个人权益有重大影响的个人信息处理活动 。评估的内容包括（一）个人信息的处理目的、处理方式等是否合法、正当、必要；（二）对个人权益的影响及安全风险；（三）所采取的保护措施是否合法、有效并与风险程度相适应 。个人信息保护影响评估报告和处理情况记录应当至少保存三年 。第57条规定，发生或者可能发生个人信息安全事故的，应当通知行政管理机关和被波及到的个人 。但同时又规定，个人信息处理者采取措施能够有效避免造成危害的，可以不通知个人 。数据泄露无疑会影响用户信任感和满意度，对资本市场也会产生显著的不利影响 。各家企业无疑需要加强对数据泄露事件的追查、调查能力，尽可能快速破案，追回数据 。唯有如此，才有可能将损失降到最低 。对于大型、平台型互联网企业而言，第58条的规定比较关键 。该条要求提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者成立主要由外部成员组成的独立机构对个人信息保护情况进行监督 。这就从企业内部治理角度规定了较重的义务，现有的企业内部数据安全委员会等组织形式将不得不改变 。同时，第58条还要求大企业对在其平台上开展活动的经营者承担一定的监督管理责任，对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者，停止提供服务 。App渠道商、小程序或因此受到更加严格的平台监管 。

• 解读：《噪声污染防治法》出台的意义与含义
• 《人体器官衰老时间表》别等坏了再去养！送你一套全身保鲜秘诀~
• 如何评价法国漫画《蓝色小药丸》？
• 《我们的婚姻》的两个全职妈妈，给我们演绎了完全不同的路线。
• 《一人之下》炁体源流之能力如何
• 《追光吧！》完美收官，Soul App演绎品牌“参演”综艺的正确方式
• “潜伏”在《徒弟》中的土豪出现了，“咆哮帝”崔嵩！！
• 关于春分的经典诗词大全
• mbti十六型人格稀有度 编制成了《迈尔斯-布里格斯类
• 《乡村爱情9》结局是什么？