第一条　为了保护个人信息权益，规范个人信息处理活动，促进个人信息合理利用，根据宪法，制定本法。

【解读】

1、修订情况
《正式稿》增加了“根据宪法”的内容。

2、法律分析
（1）《个保法》共分为八章。作为第一章总则的第一条，开宗明义、阐述立法目的。该条提及三个立法目的，并按重要性依次排开：1、保护个人信息权益；2、规范个人信息处理活动；3、促进个人信息合理利用。从上述排序来看，保护个人信息权益为重中之重。而纵观《个保法》各章节，保护个人信息权益、保护数据安全贯穿始终。同时，《个保法》立法说明也提到“在编纂民法典中，将个人信息受法律保护作为一项重要民事权利作出规定”，重申了个人信息权属于民事权利。
（2）此外，值得关注的有两点：
第一，《二次审议稿》删除了“保障个人信息依法有序自由流动”，而最终发布的《个保法》也未重新加入该立法目的。我们认为删除该立法目的可能和《个保法》本身的机制设置有关。《个保法》通篇实质上仍在限制个人信息的自由流动，例如“单独同意”机制，这即意味着“自由流动”无法完全实现。此外，“个人信息可携带权”的提出，一定程度上也可“促进个人信息合理利用”、打破“数据孤岛”，但实现该等权利并未能达到实现“个人信息自由流动”的程度。同时，个人信息可携带权究竟是一项广泛的权利，还是一项有较多限制条件的权利，仍然有待明确。从国外立法来看，更倾向于后者。因而删除该立法目的也再次说明，这部立法在个人信息流动方面的“限制”仍值得特别关注，且从立法背景来看，也更强调“个人信息的保护”而非促进信息自由流动。虽然促进信息自由流动并非《个保法》的立法目的，但我们认为数据交易相关法律疑难问题仍值得关注，具体可以参考如下文章。
参考文章：数据交易可能面临的相关法律问题初探
第二，《个保法》增加了“根据宪法”这一内容，将个人信息权与宪法的根本权利予以联系。根据《宪法》第三十三条的规定，“凡具有中华人民共和国国籍的人都是中华人民共和国公民。中华人民共和国公民在法律面前一律平等。国家尊重和保障人权。任何公民享有宪法和法律规定的权利，同时必须履行宪法和法律规定的义务。”同时，第三十八条规定，“中华人民共和国公民的人格尊严不受侵犯。禁止用任何方法对公民进行侮辱、诽谤和诬告陷害。”

第二条　自然人的个人信息受法律保护，任何组织、个人不得侵害自然人的个人信息权益。

【解读】

1、修订情况
本条在修订过程中没有变化。本条和我国《民法典》第一百一十一条相一致，即“自然人的个人信息受法律保护”。经我们观察，大量涉及个人信息保护纠纷的案件，该条原则上都是需要援引的条款。

2、法律分析
从侵害主体上看，本条可从四个层面进行探讨：
（1）层面一：我国《民法典》中提到的法人、非法人组织、国家机关等，都不得侵害自然人的个人信息权益。
（2）层面二：需要对个人信息处理者和个人信息控制者进行区分。GDPR中个人信息控制者和个人信息处理者是一个并列的关系，但我国的情况却完全不同：《民法典》采用“个人信息处理者”的表述，而《信息安全技术 个人信息安全规范》采用“个人信息控制者”的表述，且两者内涵并不一致、前者范围比后者更广。由于这两者在其对应的法律规范体系中有专门适用的语境，因而我们需结合对应的条款和行为进行区分和准确表达。
（3）层面三：具体行业监管中，不同的法律规范对其规制主体采用了不同的概念/名称：例如《网安法》中提到的“网络运营者”、“关键信息基础设施的运营者”概念，再如《电子商务法》中“电子商务经营者（电子商务平台经营者、平台内经营者以及通过自建网站、其他网络服务销售商品或者提供服务的电子商务经营者）”的概念，还如我国《信息网络传播权保护条例》中提到的“网络服务提供者”概念。除了上述第一、第二层面提及的主体概念外，在具体细分领域中，不同的监管单位针对相应市场主体的专门监管规则也越来越细化。
（4）层面四：可能会涉及侵权责任领域的共同侵权等法律问题。《个保法》第二十条明确了共同处理的“连带责任”。为此，设计各方认可的数据交易结构、明确各方的数据安全保障义务和责任，对防范企业风险殊为重要。

第三条　在中华人民共和国境内处理自然人个人信息的活动，适用本法。
在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动，有下列情形之一的，也适用本法：
（一）以向境内自然人提供产品或者服务为目的；
（二）分析、评估境内自然人的行为；
（三）法律、行政法规规定的其他情形。

【解读】

1、修订情况
本条在修订过程中基本上没有变化。该条是地域管辖条款，与GDPR第3条相对应，属于所谓“长臂管辖条款”。两相对比，两部法律的相应条款在表述方面有部分差异：例如境外主体向境内自然人提供产品或者服务这一行为的适用性是否受营利影响的问题，GDPR进行了特别强调（无论是否需要付费）；再如，《个保法》对境外主体处理我国境内自然人个人信息的活动之一，使用了“分析、评估”这一表述，而GDPR使用了“监控”（monitor）[1]，更强调系统性。

2、法律分析
（1）该条的实务难点在于应如何判定境外主体处理我国境内自然人个人信息活动的具体适用情形，需要依个案进行分析。如：某欧盟境内企业收集每个客户线上浏览的相关数据（不区分所在地），作为未来客户体验的分析来源之一，是否可能适用我国《个保法》？我们认为可能会适用，因为境外主体处理了我国境内自然人的个人信息。
（2）在个人信息处理过程中，因为全球化和互联网的特性，中国企业在走出海外过程中，即使在境外没有实体公司，也面临多国数据合规监管的考验，这一点往往被企业所忽视；而境外企业处理我国境内自然人个人信息，在《个保法》出台之前，可能一直缺乏专门的监管规定。但随着《个保法》的出台，未来境外企业在境外服务我国境内个人消费者之时，可能也会面临我国《个保法》提出的合规要求。从这个意义上看，开展走出去业务的中国企业，在境内有商业存在的跨国公司，鉴于其与境内业务之间的紧密联系，需要格外重视《个保法》的实施。

第四条　个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。
个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。

【解读】

1、修订情况
《正式稿》在个人信息处理的定义中增加了“删除”二字，完善了个人信息处理全生命周期的环节表述。

2、法律分析
（1）该定义方法采用“识别+关联”的方式，与《民法典》《网安法》所采用的“识别”标准相区别，呼应了两高出台的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》中对于公民个人信息的定义，将个人信息的范围进行了扩大。
（2）由于实务中进行合规处理需首先判断待处理数据是否属于个人信息以及属于何种个人信息以判断适用何种合规处理方法，该条款为实务合规首要条款。然而随着机器学习、深度学习等人工智能应用技术的迅猛发展，如何结合现实技术条件区分“匿名化”与“去标识化”成为实践中的一个难点。
（3）除了识别个人信息，实务中还应注意个人信息的分类分级、所处理的个人信息数量等因素。由于不同量级的个人信息处理影响企业应履行的合规义务（例如达到一定数量级别必须任命个人信息保护负责人）、行政处罚的力度以及刑事责任的构成与否，企业应注意梳理所收集的个人信息以履行对应义务。
（4）综上所述，如何界定个人信息事关合规第一步，也是责任构成要件、责任轻重与否的重要考量因素。

第五条　处理个人信息应当遵循合法、正当、必要和诚信原则，不得通过误导、欺诈、胁迫等方式处理个人信息。

【解读】

1、修订情况
《二次审议稿》增加了“胁迫”这一违法方式；《正式稿》增加了必要原则。

2、法律分析
（1）“合法、正当、必要原则”是个人信息处理的基石原则，早在2012年全国人大常委会发布的《关于加强网络信息保护的决定》就对“合法、正当、必要”进行了规定，上述原则也在后续出台的《网安法》相关条款中有所体现。同时在日常的APP治理中也较多地适用了该等原则；
（2）诚实信用原则作为民法最为重要的基本原则，被称为民法的帝王条款，是市场活动的基本准则，保障交易秩序，维护各方正当利益。在个人信息处理相关协议中所约定的各方权利义务，也需满足我国民法典总则编与合同编的诚实信用原则，避免通过欺诈、胁迫、误导或者利用格式条款侵害个人信息主体的权利。

第六条　处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。
收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息。

【解读】

1、修订情况
这一条在《二次审议稿》中的表述和《正式稿》有差别，在处理目的上，《二次审议稿》强调“目的所必要的最小范围”，而《正式稿》则修订为“应当与处理目的直接相关”。同时增加了对收集个人信息的约束：“限于实现处理目的的最小范围，不得过度收集个人信息”。

2、法律分析
（1）近几年的数据合规执法，侧重在最小化原则（必要原则）的贯彻，核心在数据采集/收集，这一条新增也回应了目前的执法活动。很多APP强制捆绑，要求消费者提供大量的个人信息，如果不提供，则不可以使用APP；再如一些企业的APP用户协议和规则，内容比较模糊，收集个人信息的相关目的也比较模糊，例如仅提出改善用户体验或者提升数据安全的需要，这一做法已经被相关规则所否定。
（2）实务中，2021年3月四部委出台的《常见类型移动互联网应用程序必要个人信息范围规定》，基本上把大部分常用场景的必要信息范围进行了确定。企业如果基于“基础功能”以外的“扩展功能”来收集个人信息，则面临需要另行获得消费者的授权或者单独同意，不可以基于消费者不提供扩展功能所需要的个人信息而拒绝为其提供服务。为此，企业应慎重使用扩展功能的描述和个人信息获得的范围。
具体分析请参考阅读：简评：《常见类型移动互联网应用程序必要个人信息范围规定》

第七条　处理个人信息应当遵循公开、透明原则，公开个人信息处理规则，明示处理的目的、方式和范围。

【解读】

1、修订情况
《二次审议稿》强调“公开”个人信息处理规则，修订了《一次审议稿》中的“明示”个人信息处理规则；同时《二次审议稿》补充了“明示处理的目的、方式和范围”，《正式稿》采纳了《二次审议稿》的全部修订。应该说，《二次审议稿》的修订更为严谨。

2、法律分析
本条提出的公开、透明原则与《民法典》第一千零三十五条及《网安法》第四十一条的要求相似，要求个人信息处理在收集、存储、使用、加工、传输、提供、公开个人信息时，应该向个人信息主体进行明示相应的规则。“透明”原则还强调，对个人信息的处理一是应该与其向个人信息主体披露的《个人信息保护政策》等规则中保持一致，不能“表面一套，背地一套”；二是需要语义清晰易懂，而不是充斥难以理解的技术或法律术语。
在APP层面，个人信息处理者还需避免触犯《App违法违规收集使用个人信息行为认定方法》中规定的“未公开收集使用规则”或“未明示收集使用个人信息的目的、方式和范围”的情形。

第八条　处理个人信息应当保证个人信息的质量，避免因个人信息不准确、不完整对个人权益造成不利影响。

【解读】

1、修订情况
这一条是个人信息的质量原则。《一次审议稿》并未提数据质量，《二次审议稿》进行了大幅度修订，《正式稿》采纳了《二次审议稿》的意见。

2、法律分析
当前，我国已经步入大数据时代，每天都有海量的数据产生。由此，每个个人信息处理者从不同渠道采集的个人信息可能是不一致的或者是存在滞后的，但只有收集、存储、共享最准确、最新的个人信息才可保障处理个人信息目的的实现。

3、参考案例
在某两家公司之间因信息披露不准确的不正当竞争案件中，法官也确立了准确性和及时更新的数据处理原则，该案判决书中提到“作为一种互联网经济下新兴的商业模式，公共数据收集类大数据企业对于收集、发布的数据信息仍具有基本的注意义务，对于发布的重大负面敏感信息，应当通过数据过滤、交叉检验等数据处理，确保数据质量，防止因信息发布行为的不当，误导相关公众，损害信息主体企业利益。”该案本身也是对本条款很重要的脚注。

第九条　个人信息处理者应当对其个人信息处理活动负责，并采取必要措施保障所处理的个人信息的安全。

第十条　任何组织、个人不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息；不得从事危害国家安全、公共利益的个人信息处理活动。

【解读】

1、修订情况
针对第十条，《正式稿》对《二次审议稿》进行了补充，明确了“不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息”。

2、法律分析
《个保法》第九条中“必要措施”的表述，是一种常见立法技术。在我国《民法典》《网安法》《数安法》以及《个人信息国标》中，均有相关表述。必要措施往往会和个人信息处理者的数据安全管理义务密切相连。具体来说：
（1）在民事责任中，更多体现为侵权责任和违约责任，在侵权责任中，是否履行法定义务，是否采取必要措施，会构成是否存在过错的抗辩理由，如《个保法》第六十九条第一款，“处理个人信息侵害个人信息权益造成损害，个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任”。在违约责任中，往往个人信息处理者在《数据处理协议》《委托处理协议》或者《数据合作协议》中，会对不同的个人信息处理者、个人信息受托处理者等进行义务的描述和分配。
（2）在行政责任中，是否采取了必要措施，并进行举证，则是构成减轻或者免除行政责任的非常重要的一个事由；例如《行政处罚法》第三十二条。
（3）在刑事责任中，例如“拒不履行信息网络安全管理义务罪”中，如违反了相关网络安全管理义务，造成了严重后果，也会构成该罪。是否采取了必要措施防范严重后果的发生，则会对该罪是否适用产生影响。
在《个保法》中，除了第九条外，第三十八条（个人信息处理者对于数据跨境场景下，境外接收方是否达到本法规定的个人信息保护标准，应当采取必要措施）、第五十九条（委托处理关系下，受托人应当采取必要措施保证个人信息的安全），一共三处提到了必要措施。
必要措施的具体内容，一般包括组织架构设计、相关制度制订、相关许可的取得、相关个人信息权利的响应、相关技术措施的设置等内容，需要结合相关业务场景进行梳理。在上述必要措施是否履行到位上，个人信息处理者对于必要措施的准确理解应该是动态和静态结合，例如自身定位、法定义务、场景、司法判例等，个人信息处理者需要不断完善自身的必要措施内容。

第十一条　国家建立健全个人信息保护制度，预防和惩治侵害个人信息权益的行为，加强个人信息保护宣传教育，推动形成政府、企业、相关社会组织、公众共同参与个人信息保护的良好环境。

【解读】

1、修订情况
这一条基本上没有修订。

2、法律分析
在《民法典》增加了个人信息保护内容后，《个保法》也在第十一条中提出需要建立个人信息保护制度，并通过宣传教育，推动全社会共同参与个人信息保护环境建设。可见，个人信息保护不仅仅是个人信息主体或个人信息处理者的事情，还是各个组织、个人乃至全社会需要共同付诸努力的事业。

第十二条　国家积极参与个人信息保护国际规则的制定，促进个人信息保护方面的国际交流与合作，推动与其他国家、地区、国际组织之间的个人信息保护规则、标准等互认。

【解读】

1、修订情况
这一条没有修订。

2、法律分析
2017年与2019年，我国分别发布了《个人信息和重要数据出境安全评估办法（征求意见稿）》《个人信息出境安全评估办法（征求意见稿）》。但截至目前，我国的个人信息、重要数据出境领域一直没有生效规定出台。我国与其他国家之间的个人信息流动一直缺少有效的制度保障，不利于我国国家利益、公共利益及公民的个人信息权益的保护。《个保法》关注到了这个问题，呼吁推动与其他国家、地区、国际组织之间的个人信息保护规则、标准等的互认。与此同时，我国也在加强个人信息出境的立法，对于涉及国家安全的数据出境，正在不断进行修法，例如《网络安全审查办法》的修订。
参考阅读：风起云涌，更当深惟重虑——《网络安全审查办法（修订草案征求意见稿）》要点快评
目前，我国的标准分为国家标准、行业标准、地方标准和团体标准、企业标准。我国个人信息保护领域现行有效的国家推荐性标准主要是《个人信息国标》《信息安全技术 健康医疗数据安全指南》（GB/T 39725-2020），还有金融行业标准《个人金融信息保护技术规范》（JR/T 0171—2020）》《金融数据安全 数据生命周期安全规范（JR/T 0223—2021）》等行业标准。国际标准层面，涉及多个国际标准化组织，如WADA（世界反兴奋机构）发布的《隐私和个人信息保护国际标准》国际标准，以及ISO/IEC 29100《隐私保护框架》、ISO/IEC 29101《隐私体系架构》、ISO/IEC 29190《隐私能力评估模型》、ISO/IEC 29134《隐私影响评估》、ISO/IEC 29151《个人可识别信息保护指南》等。

第十三条　符合下列情形之一的，个人信息处理者方可处理个人信息：
（一）取得个人的同意；
（二）为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需；
（三）为履行法定职责或者法定义务所必需；
（四）为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需；
（五）为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息；
（六）依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息；
（七）法律、行政法规规定的其他情形。
依照本法其他有关规定，处理个人信息应当取得个人同意，但是有前款第二项至第七项规定情形的，不需取得个人同意。

第十四条　基于个人同意处理个人信息的，该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的，从其规定。
个人信息的处理目的、处理方式和处理的个人信息种类发生变更的，应当重新取得个人同意。

【解读】

1、修订情况
第十三条是《个保法》的核心条款，事关个人信息处理的流动效率和安全之间利益的平衡问题。该条款在诞生之前，《网安法》第四十二条第一款应用较多，即以同意为个人信息流动的基本原则，以匿名化的数据无须征得同意为例外。而其他无须经过个人信息同意的情形，分散在其他各个法律规范中，不利于法律适用。《个保法》的这两条，为头部企业所特别关注。个人信息流动在同意作为法律基础之外，有了更多其他的法律基础，丰富了《民法典》的处理个人信息的合法性基础，一定程度上提高了个人信息流动和处理效率的可能，值得肯定。

2、法律分析
我国《个人信息国标》，在这个问题上，借鉴了GDPR，列举了征求个人同意以外的11种例外情形，但是因为并非全部有法律支持，限于《个人信息国标》的约束力较弱，为此需要被法律进一步吸收，方可更广泛得到监管部门的统一适用。
为此，我国《民法典》在第一千零三十六条中列举了处理个人信息无须经过个人同意的三种情形，这三条，分别对应《个人信息国标》5.6条的c和h项，但是表述上并非完全一致。
《民法典》：
（一）在该自然人或者其监护人同意的范围内合理实施的行为；
（二）合理处理该自然人自行公开的或者其他已经合法公开的信息，但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外；
（三）为维护公共利益或者该自然人合法权益，合理实施的其他行为。
《个人信息国标》：
c）与公共安全、公共卫生、重大公共利益直接相关的；
h）从合法公开披露的信息中收集个人信息的，如合法的新闻报道、政府信息公开等渠道。
目前《个保法》列举的七类中，除了同意和法律行政法规继续规定外，另外四类，是对我国《民法典》第一千零三十五条第一款“（一）征得该自然人或者其监护人同意，但是法律、行政法规另有规定的除外”的延伸。
（二）为订立或者履行个人作为一方当事人的合同所必需；
（三）为履行法定职责或者法定义务所必需；
（四）为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需；
（五）为公共利益实施新闻报道、舆论监督等行为在合理的范围内处理个人信息。
此外，《个保法》新增了2条，一条是“（六）依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息；”，一条是在“为履行法定职责或者法定义务所必需；”后，新增了“按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”。前者在GDPR第六条、《个人信息国标》中也有类似条款；而后者，回应了实务中企业处理员工个人信息的难点，即在劳动者“有限”的同意下，为了人力资源管理，无须获得劳动者的同意。但是也有学者指出，“中国《个人信息保护法》并未笼统的借鉴GDPR中关于控制者或第三方的正当利益作为合法性基础，而仅是认可了一种正当性——人力资源管理的需要，这大大压缩了理论上可以具有合法性的情形。……中国《个人信息保护法》简化处理个人信息的合法性基础，看似偏重个人权益的保护，但在落地中可能会带来新的问题，即很多理论上具有正当性的数据处理可能将陷于于法无据的情形[2]。”
《个保法》第十四条，明确了同意的具体条件，包括“充分知情”是前提、“自愿、明确作出意思表示”。这里的自愿和明确应该包括了概括同意。但是一旦法律、行政法规明确需要获得“单独同意”或者“书面同意”，那么意味着需要个人信息主体单独对每一项进行逐项同意，降低了个人信息流转的效率。
如果在《个人信息保护政策》或者公布的其他规则中，“个人信息的处理目的、处理方式和处理的个人信息种类发生变更的，应当重新取得个人同意。”这里的目的包括基于企业被收购或者业务模式发生调整而导致的变更，或者基于内外部融合、第三方接入、委托处理等处理方式发生变更，或者基于个人信息的种类发生变更，都要重新取得个人同意。这对个人信息处理者都提出了非常高的要求。

第十五条　基于个人同意处理个人信息的，个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。
个人撤回同意，不影响撤回前基于个人同意已进行的个人信息处理活动的效力。

【解读】

1、修订情况
《二次审议稿》的修订意见，《正式稿》均已采纳。

2、撤回同意权的适用范围
《个保法》第十五条首次从法律层面规定了个人信息主体的撤回同意权。第十三条规定了可处理个人信息的六类法定情形，个人信息主体的撤回同意权仅适用于第一类法定情形“取得个人的同意”（个人信息可携带权并未如撤回同意权一样明确处理的法定基础前提）。因此，若个人信息处理者并非基于该类法定情形处理个人信息，则个人信息主体的撤回同意权不适用。例如，《反洗钱法》第十九条明确规定“客户身份资料在业务关系结束后、客户交易信息在交易结束后，应当至少保存五年”，个人信息主体是否可以行使撤回同意权呢？答案是否定的，因为保存客户身份资料、交易信息是基于法律规定，属于第十三条规定的第六类法定情形，个人信息主体的撤回同意权在该类法定情形中并不适用。

3、撤回同意权的性质
《民法典》《网安法》以及《数据安全管理办法（征求意见稿）》等均未对个人信息主体的撤回同意权做出规定；《儿童个人信息网络保护规定》第二十条明确了在儿童监护人撤回同意并要求网络运营者删除儿童个人信息的，网络运营者应当及时采取措施予以删除；《个人信息国标》8.4条“个人信息主体撤回同意”对个人信息控制者提出了明确要求，包括向个人信息主体提供撤回授权同意的方法、在个人信息主体撤回授权同意后不再处理相应的个人信息、保障个人信息主体拒绝接收基于其个人信息推送商业广告的权利等，同时其也明确了撤回授权同意不具有溯及力，即“撤回授权同意不影响撤回前基于授权同意的个人信息处理”。
根据《民法典》第一百四十一条关于撤回意思表示的规定以及第一百四十七条等关于撤销民事行为的规定，撤回是在意思表示未生效之前、撤销是在民事行为生效之后且撤销具有溯及力，显然个人信息主体的撤回同意权中的“撤回”既不等同于《民法典》中的撤回，因为其发送在同意行为生效之后；也不等同于《民法典》中的撤销，因为其不具有溯及力，同时其不以个人信息主体受到实际损害为前提。有观点认为，撤回同意权体现了个人信息主体对于其个人信息的自决处分，带有强烈的人格利益特性，可被定性为人格权体系下的撤销权。

4、撤回同意权的内容
根据《个保法》第四条第二款的规定，处理包括收集、存储、使用、加工、传输、提供、公开等，从个人信息处理的不同环节来分析，撤回同意包括撤回收集、存储、使用、加工、传输、提供、公开等的同意，当个人信息主体仅撤回提供的同意时，个人信息处理者仍可基于个人信息主体对其他环节的同意而进行相应的个人信息处理。
《个保法》第十六条、第四十七条规定了个人信息主体撤回同意的后果，一是个人信息处理者不得以此为由拒绝提供产品或者服务，但处理个人信息属于提供产品或者服务所必需的除外；二是个人信息处理者应当主动或者根据个人信息主体的请求删除个人信息。
例如，用户在使用APP时，APP运营者通过用户点击同意该APP的个人信息保护政策以及同意收集、存储、使用、对外提供其个人信息的弹框等取得了用户的同意，APP运营者可基于个人信息主体的同意对其个人信息进行收集、存储、使用及对外提供，在使用该APP一段时间后，用户认为APP运营者对外提供其个人信息会出现个人信息泄露风险，故通过联系APP运营者客服的方式撤回对APP运营者对外提供其个人信息的同意。若对外提供用户个人信息并非APP运营者提供产品或者服务所必需的，则APP运营者不得拒绝用户使用其产品或者服务，同时APP运营者仍可对用户个人信息进行收集、存储、使用。

5、撤回同意权与删除权的区别
《个保法》第四十七条规定了个人信息主体的删除权，而个人信息主体行使撤回同意权的后果之一即为“主动或者根据个人信息主体的请求删除个人信息”，但是个人信息主体行使撤回同意权并不应当产生删除个人信息的效力。如前文所述，撤回同意包括撤回收集、存储、使用、加工、传输、提供、公开等的同意，在个人信息主体撤回某个环节的同意时并不影响个人信息处理者进行其他环节相应的个人信息处理，个人信息处理者不需要删除个人信息；即使个人信息主体撤回全部的同意，只要其未行使删除权，基于撤回同意不具有溯及力原则，撤回同意前基于同意的个人信息处理不受影响，个人信息处理者也不一定需要删除个人信息。

6、对于便捷撤回同意的理解
所谓便捷，应结合页面设计、撤回按钮的出现层级和位置考虑。隐藏较深，导致个人信息主体无法及时选择撤回按钮，可能会被认定为不便捷。

7、国外的相关规定
不同国家、地区的相关法律文件均对撤回同意权做出了规定。GDPR第七条规定了数据主体的撤回同意权，并明确了撤回同意不具有溯及力（我国未在《个保法》中规定，仅在《个人信息国标》中予以了明确），同时强调撤回同意应当与作出同意保持同样的难易度。美国《加州消费者隐私法案》（CCPA）是以选择退出（opt-out）的方式来代替撤回同意权，例如CCPA规定消费者有权在任何时候指示一个欲将其个人信息出售给第三方的企业不得出售其个人信息；但是，美国《儿童网上隐私保护法案》也对撤回同意权做出了规定，明确了父母撤回同意的方式。

第十六条　个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由，拒绝提供产品或者服务；处理个人信息属于提供产品或者服务所必需的除外。

【解读】

1、修订情况
这一条没有进行重大修订。

2、在何种情况下不得拒绝提供产品或服务？
《个保法》第十六条体现了个人信息处理的必要性原则，从法律层面规定了个人信息处理者不得拒绝提供产品或者服务的情形：一是用户不同意处理其个人信息且处理该个人信息并非提供产品或者服务所必需的；二是用户撤回其对个人信息处理的同意且处理该个人信息并非提供产品或者服务所必需的。
若用户要求个人信息处理者删除其个人信息，或者用户请求注销账户，个人信息处理者是否可以以此为由拒绝向用户提供产品或服务呢？我们认为，如果删除用户个人信息或者用户注销账户不影响个人信息处理者向用户提供产品或服务，则个人信息处理者也不得拒绝提供产品或服务。例如新闻资讯类、短视频类等APP，其无须个人信息即可提供基本功能服务，即使用户要求该类APP删除其个人信息或者用户注销账户，该类APP均不得拒绝为用户提供基本功能服务。

3、如何判断个人信息是否为提供产品或者服务所必需的？
《个保法》第十六条明确了若处理个人信息属于提供产品或者服务所必需的，则当用户不同意处理其个人信息或者撤回其对个人信息处理的同意时，个人信息处理者可以拒绝提供产品或者服务这一例外情形，但是，如何判断个人信息是否为提供产品或者服务所必需的？
2021年5月1日起施行的《常见类型移动互联网应用程序必要个人信息范围规定》（简称《规定》）列举了三十九类APP的必要个人信息范围，其中第四条规定“App不得因为用户不同意提供非必要个人信息，而拒绝用户使用其基本功能服务”，该《规定》对于必要性原则的把握具有较大的参考意义。
参考阅读：简评：《常见类型移动互联网应用程序必要个人信息范围规定》

4、数据交易问题探讨
例如，在数据交易场景中，若个人信息处理者提供的产品或服务（如积分）是作为用户个人信息的交易对价（假设用户同意处理其个人信息可获得一定积分，该积分可用于消费），尽管该用户个人信息并非是个人信息处理者提供产品或服务所必需的，甚至是与个人信息处理者提供产品或服务所无关，但是只要用户不同意处理其个人信息，用户就无法获得积分，该种情形是否违反了《个保法》第十六条的规定呢？
我们认为，目前数据交易仍属于法律模糊地带，用户是否拥有完全的个人信息自决权，是否能够参与数据交易分配仍有待探讨。但是，对于个人信息处理必要性原则的理解不应机械化，应当结合具体业务场景、个人信息处理者提供的产品或服务性质、用户对于其个人信息处理的意愿等进行综合分析判断。

5、参考法律依据
2013年9月1日起施行的《电信和互联网用户个人信息保护规定》第九条第二款规定“电信业务经营者、互联网信息服务提供者收集、使用用户个人信息的，应当明确告知用户收集、使用信息的目的、方式和范围，查询、更正信息的渠道以及拒绝提供信息的后果等事项”，该条款仅明确了电信业务经营者、互联网信息服务提供者应当告知用户拒绝提供信息的后果，未明确不得拒绝提供产品或服务。
2019年10月1日起施行的《儿童个人信息网络保护规定》第十条第一款规定“网络运营者征得同意时，应当同时提供拒绝选项，并明确告知以下事项：……；（四）拒绝的后果；……”，与《电信和互联网用户个人信息保护规定》第九条第二款的规定类似。
2019年12月30日发布的《App违法违规收集使用个人信息行为认定方法》第四条中规定“因用户不同意收集非必要个人信息或打开非必要权限，拒绝提供业务功能”、“App新增业务功能申请收集的个人信息超出用户原有同意范围，若用户不同意，则拒绝提供原有业务功能，新增业务功能取代原有业务功能的除外”属于“违反必要原则，收集与其提供的服务无关的个人信息”的行为，该条款也仅是明确了收集环节。
2020年10月1日实施的《个人信息国标》在附录C的C.3条中提出了个人信息控制者应向个人信息主体告知“拒绝提供或拒绝同意收集将造成的影响”的要求，并明确了“个人信息主体不同意收集基本业务功能所必要收集的个人信息的，个人信息控制者可拒绝向个人信息主体提供该业务功能”以及“个人信息主体不同意收集扩展业务功能所必要收集的个人信息的，不应拒绝提供基本业务功能或降低基本业务功能的服务质量”，该条款仍仅聚焦在收集环节。
2019年5月28日发布的《数据安全管理办法（征求意见稿）》第十一条第二款规定“个人信息主体同意收集保证网络产品核心业务功能运行的个人信息后，网络运营者应当向个人信息主体提供核心业务功能服务，不得因个人信息主体拒绝或者撤销同意收集上述信息以外的其他信息，而拒绝提供核心业务功能服务”，该条款仅明确了收集环节，未明确其他处理环节中若用户拒绝或撤回同意是否也不得拒绝提供产品或服务。
《个保法》第十六条吸收上述规定的同时，将不同意或撤回同意扩展到所有个人信息处理环节，更彻底地贯彻了必要性原则。

第十七条　个人信息处理者在处理个人信息前，应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项：
（一）个人信息处理者的名称或者姓名和联系方式；
（二）个人信息的处理目的、处理方式，处理的个人信息种类、保存期限；
（三）个人行使本法规定权利的方式和程序；
（四）法律、行政法规规定应当告知的其他事项。
前款规定事项发生变更的，应当将变更部分告知个人。
个人信息处理者通过制定个人信息处理规则的方式告知第一款规定事项的，处理规则应当公开，并且便于查阅和保存。

【解读】

1、修订情况
《正式稿》将《一次审议稿》《二次审议稿》中的“身份”二字，调整为“名称或者姓名”，其他无重大修订。该修订意味着，如涉及个人信息处理者对外提供或者共享个人信息给第三方，第三方的身份，将不是一个行业类别，而要披露其具体企业名称。该变动，一方面可能有助于满足个人信息主体的知情权，另一方面，可能也会暴露个人信息处理者的合作伙伴，一些企业可能不一定愿意披露。但是从这次修订来看，则需要进行披露，解决了之前实务中大家认为“身份”到底该如何理解的疑问。相比GDPR仅要求披露到类型，我国《个保法》的要求明显更加严格。

2、告知是处理个人信息的前提
《个保法》第十七条明确了告知是处理个人信息的前提。除了第十八条规定的例外情形外，无论个人信息处理者是基于第十三条规定的可处理个人信息的七类法定情形中的哪一类来处理个人信息，均应事先向个人信息主体履行告知义务。
在其他相关法律规定中，《网安法》虽未明确告知要求，但是规定了网络运营者收集、使用个人信息应当“公开收集、使用规则，明示收集、使用信息的目的、方式和范围”；《民法典》的相关规定与《网安法》类似，规定了处理个人信息需符合“公开处理信息的规则”、“明示处理信息的目的、方式和范围”等条件。

3、告知方式及内容要求
《个保法》第十七条对告知的方式及内容做出了明确规定。告知方式方面，个人信息处理者应当以显著方式、清晰易懂的语言向个人信息主体告知。告知内容方面，个人信息处理者应当告知其名称或者姓名和联系方式，个人信息的处理目的、处理方式，处理的个人信息种类、保存期限，个人信息主体行使《个保法》规定权利的方式和程序以及法律、行政法规规定应当告知的其他事项，若前述事项发生变更的还应当告知变更部分。
同时，根据《个保法》第二十二条、第二十三条、第三十条、第三十九条的规定，在个人信息处理者转移个人信息、向第三方或境外提供个人信息前还应当告知个人信息接收方的名称或者姓名、联系方式；在处理敏感个人信息前还应当告知处理敏感个人信息的必要性以及对个人信息主体的影响。
在实践中，告知的方式不明显、告知的内容繁复冗长，个人信息处理者仅履行形式上的告知义务，未实质保障个人信息主体知情权，告知义务的履行与个人信息主体知情权的保障不对等，在这样的“告知—同意”规则下，“同意”往往并不是个人信息主体的真实意思表示。《个保法》明确告知方式及内容，规定了个人信息处理者告知义务充分履行和个人信息主体知情权充分保障的双重要求，一方面是要求个人信息处理者充分履行告知义务，另一方面是要求个人信息处理者应当充分保障个人信息主体知情权。
在告知方式方面，《App违法违规收集使用个人信息行为认定方法》中提出通过弹窗等明显方式提示用户阅读个人信息收集使用规则、个人信息收集使用规则不应当是难以阅读的（如文字过小过密、颜色过淡、模糊不清，或未提供简体中文版等）；《个人信息国标》在收集个人敏感信息环节提出“应确保个人信息主体的明示同意是其在完全知情的基础上自主给出的、具体的、清晰明确的意愿表示”，在收集个人生物识别信息环节提出“应单独向个人信息主体告知……”，同时在附录C中提出“通过交互界面或设计（如弹窗、文字说明、填写框、提示条、提示音等形式），向个人信息主体告知……”，并给出了“交互式功能界面模板”参考。
2020年1月20日发布的《信息安全技术 个人信息告知同意指南》（征求意见稿）对告知的方式、告知的展示、告知的适当性作出了更加细致的规定，虽然该国家标准尚未正式生效，但仍具有一定的参考意义。
在告知内容方面，《个人信息国标》对于不同个人信息处理环节提出了更加细致的告知内容要求，同时根据所处理的不同个人信息类型提出了不同的告知内容要求，例如在个人信息共享环节，共享一般个人信息需向个人信息主体告知共享个人信息的目的、数据接收方的类型以及可能产生的后果；共享个人敏感还需额外告知涉及的个人敏感信息类型、数据接收方的身份和数据安全能力；共享个人生物识别信息需单独向个人信息主体告知目的、涉及的个人生物识别信息类型、数据接收方的具体身份和数据安全能力等。《信息安全技术 个人信息告知同意指南》（征求意见稿）将告知内容区分为一般的告知内容和额外的告知内容，并对相关个人信息处理环节的告知内容作出了更加细致的规定，具有一定的参考意义。

4、个人信息处理规则应当便于查阅和保存
《个保法》第十七条第三款从法律层面明确了个人信息处理规则应当便于查阅和保存的要求，此前《App违法违规收集使用个人信息行为认定方法》提出了进入App主界面后不应当多于4次点击等操作才能访问到个人信息收集使用规则要求；《个人信息国标》在附录D 个人信息保护政策模板中提出了“我们还会将本政策的旧版本存档，供您查阅”的参考表述。《网络交易监督管理办法》第二十八条规定，“网络交易平台经营者修改平台服务协议和交易规则的，应当完整保存修改后的版本生效之日前三年的全部历史版本，并保证经营者和消费者能够便利、完整地阅览和下载。”
在实践中，一些企业将《个人信息保护政策》等个人信息处理规则“藏”得较深，或者对于历史版本也没有对外发布，个人信息主体难以找到、查阅，一些为了防止其《个人信息保护政策》等个人信息处理规则被抄袭，将其设置成仅能查看、不能下载保存的模式，这些行为均可能与《个保法》第十七条第三款的规定相悖。

5、相关问题的合规建议
（1）如何有效履行告知义务？
如前文所述，个人信息处理者应当从告知方式、告知内容两个方面来确保告知义务履行的有效性，其核心是充分保障个人信息主体的知情权，确保告知义务的履行与个人信息主体知情权的保障对等。若个人信息处理者未有效履行告知义务，参考《民法典》第四百九十六条第二款中的规定“提供格式条款的一方未履行提示或者说明义务，致使对方没有注意或者理解与其有重大利害关系的条款的，对方可以主张该条款不成为合同的内容”，在“告知—同意”规则下，“同意”可能并不是个人信息主体的真实意思表示而被认定为无效，个人信息处理将失去合法性基础。
（2）在《个人信息保护政策》等个人信息处理规则更新时，如何履行告知义务？
《个保法》第十七条第二款明确了依法应当告知的事项，包括个人信息处理者姓名或名称和联系方式，个人信息的处理目的、处理方式，处理的个人信息种类、保存期限，个人信息主体行使《个保法》规定权利的方式和程序以及法律、行政法规规定应当告知的其他事项（如个人信息接收方的姓名或名称、联系方式等）发生变更的，应当向个人信息主体告知变更部分，但是未明确告知方式。
在实践中，一些企业对于告知方式存在问题，例如是否在APP上发布新的《个人信息保护政策》即可，还是需要通过让用户再次主动勾选、或者通过弹窗等形式进行告知？我们认为，对于依法应当告知的事项发生变更的，告知方式仍需遵守《个保法》第十七条关于告知方式的规定，即“以显著方式、清晰易懂的语言向个人告知”，因为该等事项的变更会直接影响个人信息主体的相关权利。对于《个人信息保护政策》中不是前述依法应当告知的事项的变更，如不会对个人信息主体的相关权利造成明显影响（不会构成格式条款中免除消费者权利、降低企业自身义务和加重消费者责任），通过在App上发布新的《个人信息保护政策》的方式进行告知且未获得同意的风险相对较低。某些部门法中还规定，更新的政策必须在提前公示，以便用户充分表达意见（《电子商务法》第三十四条）。
对于《个人信息保护政策》中更新频率相对较高的部分（如合作方信息、SDK信息等），可考虑在《个人信息保护政策》嵌入相关链接，仅更新链接中的内容即可，避免频繁更新《个人信息保护政策》，但是仍需遵守告知方式的相关规定。
《个人信息国标》在附录D 个人信息保护政策模板中提出了相关参考，包括“我们会在本页面上发布对本政策所做的任何变更。对于重大变更，我们还会提供更为显著的通知（包括对于某些服务，我们会通过电子邮件发送通知，说明个人信息保护政策的具体变更内容）”，其中的“重大变更”包括：企业服务模式发生重大变化（如处理个人信息的目的、处理的个人信息类型、个人信息的使用方式等）；企业所有权结构、组织架构等方面发生重大变化（如业务调整、破产并购等引起的所有者变更等）；个人信息共享、转让或公开披露的主要对象发生变化；用户参与个人信息处理方面的权利及其行使方式发生重大变化；企业负责处理个人信息安全的责任部门、联络方式及投诉渠道发生变化；以及个人信息安全影响评估报告表明存在高风险等。
（3）历史版本的《个人信息保护政策》等个人信息处理规则是否需要对外展示以及内部存档？
在实践中，企业一般仅对外展示最新版本的《个人信息保护政策》，用户难以查阅历史版本的《个人信息保护政策》，甚至一些企业没有将历史版本的《个人信息保护政策》内部存档。从《个保法》第十七条第三款的规定来看，便于查阅和保存的要求主要是针对现行有效的个人信息处理规则，企业可以不对外展示历史版本的《个人信息保护政策》，但是应当进行内部存档（备注：需要注意《电子商务法》第三十三条规定，电子商务平台经营者应当在其首页显著位置持续公示平台服务协议和交易规则信息或者上述信息的链接标识，并保证经营者和消费者能够便利、完整地阅览和下载；《网络交易监督管理办法》第二十八条则进一步规定网络交易平台经营者修改平台服务协议和交易规则的，应当完整保存修改后的版本生效之日前三年的全部历史版本。该等条款提出了特定行业需要在网站展示历史版本，方便完整阅览和下载。）
一方面《个保法》第四十四条规定了个人信息主体的知情权，当用户要求企业提供历史版本的《个人信息保护政策》以了解其个人信息的历史处理情况时，企业可能需要予以配合提供；另一方面，如未来企业面临个人信息处理纠纷，历史版本的《个人信息保护政策》可能作为有效的证据。因此，对于历史版本的《个人信息保护政策》，建议企业内部妥善留存并对外披露。另外，如前文所述，《个人信息国标》在附录D 个人信息保护政策模板中提出了“我们还会将本政策的旧版本存档，供您查阅”的参考表述。

第十八条　个人信息处理者处理个人信息，有法律、行政法规规定应当保密或者不需要告知的情形的，可以不向个人告知前条第一款规定的事项。
紧急情况下为保护自然人的生命健康和财产安全无法及时向个人告知的，个人信息处理者应当在紧急情况消除后及时告知。

【解读】

1、修订情况
这一条第二款于《二次审议稿》中调整为“及时”，之前为“予以告知”。《正式稿》采纳了《二次审议稿》的表述。

2、“告知+同意”，是处理个人信息的一般原则之一；如果连告知都可以豁免，可见该情形之特殊。

3、《个保法》第十八条规定了个人信息处理者在处理个人信息前应当履行告知义务的例外情形，明确了两种情形：
一是法律、行政法规规定应当保密或者不需要告知的情形，可以免于履行告知义务；例如：《反恐怖主义法》第五十一条规定：“公安机关调查恐怖活动嫌疑，有权向有关单位和个人收集、调取相关信息和材料。有关单位和个人应当如实提供。”根据该条的规定，公安机关向涉嫌恐怖主义犯罪人员的工作单位或其亲属收集、调取该人员的个人信息，并不需要履行告知义务。
二是在紧急情况下为保护自然人的生命健康和财产安全无法及时告知的，可以在在紧急情况消除后再履行告知义务。前者只能基于法律、行政法规，其他部门规章或者规范性文件不可以；后者需要注意举证，做好证据固化工作，确保属于（1）紧急情况；（2）目标是保护个人信息主体的生命健康和财产安全；（3）确实无法及时告知，这三类情形。

4、《民法典》《网安法》等相关法律以及《个人信息国标》等相关国家标准均未提及告知的例外情形。虽然《民法典》第一千零三十六条明确了处理个人信息无需承担民事责任的三种情形、《个人信息国标》第5.6条款明确了征得授权同意的十一种例外情形，但是均未免除个人信息处理者的告知义务，在未履行告知义务且不属于例外情形的情况下，个人信息处理者仍有可能会面临相关法律风险。

第十九条　除法律、行政法规另有规定外，个人信息的保存期限应当为实现处理目的所必要的最短时间。

第二十条　两个以上的个人信息处理者共同决定个人信息的处理目的和处理方式的，应当约定各自的权利和义务。但是，该约定不影响个人向其中任何一个个人信息处理者要求行使本法规定的权利。
个人信息处理者共同处理个人信息，侵害个人信息权益造成损害的，应当依法承担连带责任。

【解读】

1、修订情况
《正式稿》对第十九条在《二次审议稿》基础上进行了语序的调整，改动不大。第二十条《正式稿》采纳了《二次审议稿》所新增的“应当”二字。

2、法律分析
（1）第十九条，个人信息的保存，或者叫存储，是个人信息生命周期的很重要的一环。实践中，很多企业重视安全保存，但是在保存的期限方面，往往忽略法定保存的最短时间。一般会保留更长时间。而对于个人信息主体来说，如果不主张删除，也很难知道个人信息是否已经被删除。保存的期限方面，需要结合不同法律法规的要求进行确定（例如《电子商务法》中“商品和服务信息、交易信息保存时间自交易完成之日起不少于三年”，《网络交易监督管理办法》中“网络交易平台经营者对平台内经营者身份信息的保存时间自其退出平台之日起不少于三年”的要求）。在没有法律法规明确规定的情况下，应该保存多久，建议结合自身业务情况考虑。按照最小必要原则，保存环节也应该遵守。实务中，还需要注意，保存和删除均需要注意做好记录，未来作为数据合规执法的重要佐证。
（2）第二十条，这一条是《个保法》唯一一条有“连带责任”字样的条款，也是继最高处罚条款以外，第二个备受关注的条款。这一条，在实务中需要注意连带责任的构成要件：（a）数量要求：2个或者2个以上个人信息处理者；（b）主观要求：共同处理；（c）危害结果：侵害个人信息权益。这三条中，核心是第2个构成要件。什么叫做共同处理？我们认为，需要考虑是否存在主观上均有决定个人信息处理目的和方式的意思联络，这里的决定非常重要。如果个人信息处理者是受托处理个人信息或者是类似云服务商，只是起到客观的帮助作用，并无主观上的决定作用，则不能叫做共同决定或者共同处理。这一条，还需要结合我国《民法典》侵权责任编的内容进行深度探讨。
（3）连带责任意味着什么？意味着，受到侵害的主体可以起诉其中一位或者同时起诉两位个人信息处理者。如果一方承担了全部法律责任，可以向其他个人信息处理者进行追偿。这一条变相提高了个人信息处理者在数据安全方面的注意义务，一方面要加强对个人信息接收方的数据安全能力的评估，一方面对于多个个人信息处理者处理数据还要做好协议的约定，明确各方的权利义务，尤其是个人信息保护的义务和责任划分。

第二十一条　个人信息处理者委托处理个人信息的，应当与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等，并对受托人的个人信息处理活动进行监督。
受托人应当按照约定处理个人信息，不得超出约定的处理目的、处理方式等处理个人信息；委托合同不生效、无效、被撤销或者终止的，受托人应当将个人信息返还个人信息处理者或者予以删除，不得保留。
未经个人信息处理者同意，受托人不得转委托他人处理个人信息。

【解读】

1、修订情况
《正式稿》基本上采纳了《二次审议稿》的意见，只是把“受托方”改为“受托人”。

2、委托处理是否需要征得个人信息主体的同意？
仅从第二十一条本身来看，并无明确要求个人信息处理者在委托前需要征得个人信息主体同意的强制性规定。但从“委托处理”这一处理行为来说，其对个人信息主体的权益影响较为重大，《个保法》第五十五条将其列入需要进行事前风险评估的个人信息处理活动中：“个人信息处理者应当对下列个人信息处理活动在事前进行风险评估，并对处理情况进行记录：（三）委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息”。从第五十五条的表述可知，《个保法》的立法者将委托处理的风险性与向第三方提供、公开等处理行为并列，属于同等级别的对个人有重大影响的信息处理活动。
而在第二十三条中则对向第三方提供个人信息须征得个人信息主体的同意做出了明确规定：“个人信息处理者向其他个人信息处理者提供其处理的个人信息的，应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意。”
同样，第二十五条对公开这一行为也做出了明确的要求：“个人信息处理者不得公开其处理的个人信息，取得个人单独同意的除外。”
由上述可知，对个人有同等重大影响的第三方共享与公开这两种行为都需要获得个人的“单独同意”，同时单独同意比一般的告知同意对“同意”的要求更高，从保护个人信息主体权益的角度上来说，委托处理这一具有同等处理风险的行为也建议征得个人信息主体的同意。
同时，从委托处理这一处理行为的本质上来说，是个人信息从个人信息处理者流向受托人这一第三方的行为，受托人是按照个人信息处理者对于信息处理的要求和方式对个人信息进行相应处理的，二者的数据处理角色对应于GDPR中的数据控制者（controller）与数据处理者（processor），受托人对个人信息的如何处理无决定权。而从保障处理行为合规性的角度来说，第二十一条的规定使得个人信息处理者能够通过合同约束受托方的行为来保障“委托”这一行为的合规性。就合同的权利义务对等原则来说，受托人也应有一定的机制保障自身的“受托”行为是合规的，比如数据的来源是合法合规的，数据的流动本身也是合法合规的，这就要求个人信息处理者应就“委托”这一行为征得个人信息主体的同意。
综上，我们认为，从立法者原意、保障个人信息主体权益以及促进委托合同双方合规的角度来说，企业在将个人信息委托处理前，建议征得个人信息主体的同意。

3、目的性限制
《个保法》第二十一条要求，“受托人应当按照约定处理个人信息，不得超出约定的处理目的、处理方式等处理个人信息。”这一要求，与《个人信息国标》9.1的要求相一致：“受委托者应严格按照个人信息控制者的要求处理个人信息”。其原因主要有二：一则，如前文所述，委托处理的实质是GDPR下数据控制者（controller）与数据处理者（processor）的关系，一旦数据处理者（processor）突破数据控制者（controller）所设置的处理要求限制，则数据处理者即因具有处理决定权而升级为数据控制者，其须履行的义务标准则应相应提升。二则，虽然实际的信息处理行为由受托人执行，但从个人信息主体的合理期待来说，受托人所进行的处理行为应与委托方对其保证的内容相一致。若受托人突破了个人信息主体给予委托方的授权范围，其与委托方本身突破个人信息主体给予的授权范围并无二致。同时，根据《个保法》第十四条，个人信息的处理目的、处理方式和处理的个人信息种类发生变更的，应当重新取得个人同意。因而，从保持原有的授权同意的有效性角度来说，受托人应受限于约定的处理目的和处理方式。

4、对受托人的监督义务
《个保法》第二十二条要求个人信息处理者在将个人信息委托处理的时候，要对受托人进行“约定委托处理的目的、处理方式、个人信息的种类、保护措施以及双方的权利和义务等，并对受托人的个人信息处理活动进行监督。”该条除要求委托双方通过合同约定权利义务外，并未对具体的保护措施进行明确。而具体的落地措施则可参照《个人信息国标》。《个人信息国标》9.1条规定了个人信息处理者可采取的多种监督行为：
（1）对委托行为进行个人信息安全影响评估，确保受委托者达到11.5的数据安全能力要求（即受托方拥有满足相应国家标准的适当的数据安全能力，拥有必要的管理和技术措施，能够防止个人信息的泄露、损毁、丢失和篡改）；
（2）对受托人进行审计
由于对个人信息的处理是处于动态之中的，这意味着个人信息处理者对受托方的监督也应为动态监督，仅在合同中要求受托方作出承诺难以保障委托行为的实质合规。个人信息处理者可以定时或不定时要求审查受托方的个人信息处理记录、共同管理数据库权限、调整数据传输接口等方式进行相应管理，从而切实地履行己方的监督责任。

5、个人信息的返还或删除
第二十一条要求，委托合同不生效、无效、被撤销或者终止的，受托人应当将个人信息返还个人信息处理者或者予以删除，不得保留。在实践操作中，合同履行完毕的信息返还或予以删除较为容易，而在合同履行过程中，个人信息主体撤回其授权同意而导致委托关系解除的情形则较为复杂。
这一问题在个人数据保护的先驱—欧盟早有彰显。GDPR第19条要求数据主体在撤回同意后，数据控制者有义务告知数据共享的第三方（无论其是数据控制者还是数据处理者）数据主体已撤回同意，并要求第三方删除数据主体的相应信息并停止进一步的处理。依据GDPR引言（Recitals）中的第66条的描述，第19条的主要目的在于强化数据主体撤回权在信息网络时代的运用，保障其相应信息在网络上“彻底消失”，鉴于数据在网络上分发/共享后控制的难度，这一要求给网络信息处理者增加了极大的义务负担。
《个保法》所要求的情形与GDPR并无二致。在个人信息主体撤回同意后，若无第十三条所规定的其他个人信息处理的合法性依据，个人信息处理者应告知受托方个人信息主体撤回授权这一事实，同步解除针对该撤回同意的个人信息主体的信息委托处理关系，要求受托方从各个处理系统（包括备份系统）中删除个人信息主体的相关信息，并保证其在技术上难以复原。这就要求个人信息处理者建立一套应对个人信息主体撤回授权的处理机制，包括接收个人信息主体的行权要求、及时响应、告知第三方以及审查第三方是否切实履行删除义务等，保障《个保法》第二十一条的要求切实落地，有效规避由于第三方未及时删除个人信息而引起的处罚与纠纷。
此外，值得思考的是，受托人处理个人信息，由委托方还是受托方对个人信息主体承担责任？

第二十二条　个人信息处理者因合并、分立、解散、被宣告破产等原因需要转移个人信息的，应当向个人告知接收方的名称或者姓名和联系方式。接收方应当继续履行个人信息处理者的义务。接收方变更原先的处理目的、处理方式的，应当依照本法规定重新取得个人同意。

第二十三条　个人信息处理者向其他个人信息处理者提供其处理的个人信息的，应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的，应当依照本法规定重新取得个人同意。

【解读】

1、修订情况
《正式稿》相比《二次审议稿》，将身份调整为“名称或者姓名”，增加了个人信息处理者解散、被宣告破产的情形。

2、同意的内涵
对比《一次审议稿》，《二次审议稿》和《正式稿》针对第二十二条最后重新取得个人同意，删除了“向个人告知”这一表述。那么同意的内涵该如何理解？我们需从设置“征得同意”这一义务的目的角度进行探讨。
《个人信息国标》5.4 b）提出，“收集个人敏感信息前，应征得个人信息主体的明示同意，并应确保个人信息主体的明示同意是其在完全知情的基础上自主给出的、具体的、清晰明确的意愿表示。”该条款着重强调了个人信息主体的自主意愿表示。
同样，域外法律，比如GDPR及其配套指南对同意的阐释也着重于数据主体的自主性。在EDPB于2020年5月出具的《通用数据保护条例（GDPR）下的同意指南》（即“Guidelines 05/2020 on consent under Regulation 2016/679 Version 1.1）中指出，同意作为数据处理的合法基础的前提是，个人数据主体对自己的数据有实际的控制权并且有真正的选择（genuine choice）。
从上述两则规范中可以得出结论，同意的内涵是指个人信息主体在完全知情的基础上自主给出的、具体的、清晰明确的真正选择。

3、接收方的身份
第二十二条、第二十三条均把身份改为姓名和名称，这一要求也与此前对SDK的监管要求相一致。根据《网络安全标准实践指南—移动互联网应用程序（App）使用软件开发工具包（SDK）安全指引》的要求，在App嵌入相关SDK时，需要向用户告知所接入的涉及个人信息收集的SDK的名称，SDK收集的个人信息类型、目的和方式，申请的敏感权限、申请目的等，并征得用户同意。若SDK需向用户单独告知收集使用个人信息的行为，App需为其中无单独页面的SDK提供向用户告知的便捷渠道。SDK作为典型的提供服务的第三方，因存在大量的恶意行为、违法违规收集使用个人信息等问题，而被强制要求披露名称及处理的个人信息类型、目的和方式。

4、针对线下用户，该如何重新征得其同意
实践中，存在大量存量数据是个人信息处理者在线下收集的情况。针对这种情况，在变更个人信息目的时，该如何重新取得个人信息主体的同意？参考域外经验，我们提出三种方案：
（1）收集的个人信息中联系方式只有个人信息主体的邮箱地址：在该种情形下，可以向个人信息主体的邮箱中发送个人信息处理者制定的个人隐私/信息保护政策（或个人信息授权书），并要求其勾选同意，或输入姓名/签名同意；
（2）收集的个人信息中联系方式只有个人信息主体的手机号码：在该种情形下，可以向个人信息主体发送短信，将个人信息处理者制定的个人隐私/信息保护政策链接嵌入在短信内，并告知用户浏览，在弹出的页面中勾选同意。若用户不同意相关的信息处理方式，其可以选择向短信中留有的个人信息处理者的联系方式发出删除其个人信息的要求，而个人信息处理者承诺其将会在15天或30天内作出删除。
（3）收集的个人信息中联系方式只有个人信息主体的住址：在该种情形下，只能通过向个人信息主体寄送纸质版个人信息授权书的形式，并要求其签字回寄。但该种方式既成本巨大且又繁琐、不易得到回应，实践中应如何处理仍有待探讨。

第二十四条　个人信息处理者利用个人信息进行自动化决策，应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇。
通过自动化决策方式向个人进行信息推送、商业营销，应当同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式。
通过自动化决策方式作出对个人权益有重大影响的决定，个人有权要求个人信息处理者予以说明，并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。

【解读】

1、修订情况
自动化决策机制需要结合《个保法》第七十三条的定义进行理解。该条在《二次审议稿》上新增了上述加黑加下划线的内容，我们下面进行专门的解读。

2、什么是不合理的差别待遇？
《个保法》第七十三条首先新增了对自动化决策进行了定义：自动化决策是指通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等，并进行决策的活动。其次，《个保法》第二十四条进一步明确，利用个人信息进行自动化决策，不得对个人在交易价格等交易条件上实行不合理的差别待遇。
按照《深圳经济特区数据条例》（以下简称“《条例》”）第六十九条的规定，“市场主体不得利用数据分析，对交易条件相同的交易相对人实施差别待遇，但是有下列情形之一的除外：（一）根据交易相对人的实际需求，且符合正当的交易习惯和行业惯例，实行不同交易条件的；（二）针对新用户在合理期限内开展优惠活动的；（三）基于公平、合理、非歧视规则实施随机性交易的；（四）法律、法规规定的其他情形。前款所称交易条件相同，是指交易相对人在交易安全、交易成本、信用状况、交易环节、交易持续时间等方面不存在实质性差别。”
何为“不合理”，何为“差别待遇”，结合《深圳经济特区数据条例》第六十九条的规定，可以看出，四种合理的差别待遇。对于交易条件相同，该条例也进行了定义，相比《个保法》，进行了更严格的要求，即判断交易条件是否相同，需要从“实质性”差别进行判断。这就给企业在采取差别待遇的合理性，进行了更为严格的判定。
而结合《国务院反垄断委员会关于平台经济领域的反垄断指南》（以下简称“《反垄断指南》”）第十七条的规定，也能够进一步就“是否构成差别待遇”，寻找到相关参考因素，如“（一）基于大数据和算法，根据交易相对人的支付能力、消费偏好、使用习惯等，实行差异性交易价格或者其他交易条件；（二）实行差异性标准、规则、算法；（三）实行差异性付款条件和交易方式。”该指南在“条件相同”的定义上，采取了和《条例》类似的规定。
《个保法》虽未像《反垄断指南》《条例》一样，就何为合理、何为差别待遇、何为交易条件相同进行专门定义和列举，但是不明确，也为未来的解释留下了更大的空间。这意味着企业未来在使用自动化决策机制时，一方面要了解所在地区的数据监管要求、《反垄断指南》以及相关部门规定进行判断，另一方面也要结合案例和《个保法》的执法实践，进一步指导自身的自动化决策机制是否实质性的造成了“不合理差别待遇”，避免触发《个保法》高额的处罚风险（《个保法》第六十六条第二款，5000万以下或者上一年度营业额5%以下罚款）。

3、自动化决策的退出机制
《二次审议稿》相较于《一次审议稿》，明确了个人信息主体有退出自动化决策的权利——“通过自动化决策方式进行商业营销、信息推送……或者向个人提供拒绝的方式。”此前在《个人信息国标》7.5条中，也对向个人信息主体提供电子商务服务或推送新闻信息服务中使用个性化展示进行了约束，但对提供电子商务服务的个人信息控制者的要求与提供推送新闻信息服务的个人信息控制者的要求不同。推送新闻信息服务的个人信息控制者不仅需要同时向消费者提供不针对其个人特征的选项，还应当向个人信息主体提供简单直观的退出或关闭个性化展示模式的选项。《二次审议稿》的修订，将个人信息主体的退出权利拓展到了商业营销中，是立法实践中的进步。
与域外立法经验做比较，如GDPR第22条，从个人信息主体的权利保障角度上来说，《个保法》提供了更高程度的保护。GDPR第22条虽然在第一款中规定了个人数据主体有权拒绝数据控制者仅通过自动化决策的方式作出影响个人数据主体法律权益（或有重大相似影响）的决定，但第二款同时列出了几种除外情况：（1）自动化决策的决定是缔结、履行个人数据主体与数据控制者之间的合同所必需的；（2）欧盟或成员国法律授权数据处理者所作的，并且该等法律也同时提供了保护个人数据主体权利、自由及合法权益的适宜措施；以及（3）个人数据主体已给予了明示同意。虽然在除外情况的（1）（3）两种情形中，个人数据主体也至少有权表达反对意见并要求数据控制者进行人工干预，但情形（2）赋予欧盟及成员国通过其他法律约束个人信息主体该项权利的权力，毕竟，《个保法》下，个人信息主体能直接拒绝仅通过自动化决策的方式作出决定。

4、“决策的透明度”在实践上该如何理解？
《个保法》第二十四条虽然强调了利用个人信息进行自动化决策，应当保证决策的透明度，但该透明度具体在实践中该如何体现，暂未有详细的说明。
参考《个人信息国标》7.5 d）的要求，“在向个人信息主体提供业务功能的过程中使用个性化展示的，宜建立个人信息主体对个性化展示所依赖的个人信息（如标签、画像维度等）的自主控制机制，保障个人信息主体调控个性化展示相关性程度的能力。”给予个人信息主体调控个性化展示相关性程度的能力不失为展现决策透明度的一种表现。个人信息主体通过修改画像维度即可更改个性化展示的相关性程度，反映了相关维度对展示结果的影响程度，即间接反映了个人信息处理者相应决策机制赋予该等维度的大致权重。但这种调控能力依赖于自动化决策所采用的算法，如差分隐私每次输入时都会返回一个不同的值，因而在决策透明度方面仍然存在一定模糊性。
从域外经验来看，例如欧盟在2018年出具的《自动化决策及用户画像的指南》（Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679，以下简称“《指南》”）中的说明，透明性（Transparency of Processing）是GDPR的基本要求。以用户画像为例，数据控制者对用户画像的使用往往不为个人数据主体所知悉。在数据控制者生成用户画像的过程中，构成用户画像的数据并非一定直接来源于个人数据主体，因而具有不同认知能力的个人数据主体很难全部理解自动化决策及用户画像背后所蕴含的复杂技术。
因而，GDPR首先在12.1款中要求数据控制者用简单、清晰、易于理解与得知的方式告知个人数据主体其个人数据是如何被处理的，无论数据控制者获得数据的方式是直接来源于个人数据主体还是通过第三方获取的。该要求的实现方式一般是通过在个人隐私/信息保护政策中通过相关条款告知个人信息主体。
其次，在涉及到数据控制者使用自动化决策（含用户画像）的情形时（即满足GDPR第22条描述的情形），《指南》要求数据控制者应提供有意义的逻辑解释。相较于提供复杂的数学性解释阐述算法或机器学习是如何运转的，数据控制者需要考虑使用清晰、易理解的方式告知数据主体：如自动化决策将会使用的数据类别、为何这些数据类别具有相关性、用户画像是如何应用在自动化决策中的、为何用户画像的使用在自动化决策中有影响以及自动化决策是如何得出结论的。在展示自动化决策的应用逻辑时，数据控制者还可应用可视化展示及互动机制向用户阐述相关机理。

第二十五条　个人信息处理者不得公开其处理的个人信息，取得个人单独同意的除外。

第二十七条　个人信息处理者可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息；个人明确拒绝的除外。个人信息处理者处理已公开的个人信息，对个人权益有重大影响的，应当依照本法规定取得个人同意。

【解读】

1、修订情况
《正式稿》对第二十七条进行了调整，表述更为简洁。对比《二次审议稿》与《一次审议稿》对第二十五条的表述，可以看到《二次审议稿》删去了“法律、行政法规另有规定的除外”这一表述，其原因主要是避免表述的冗余。《个保法》第十三条已对个人信息处理者处理个人信息的合法性基础进行了列举，囊括了“（三）为履行法定职责或法定义务所必须；及（七）法律、行政法规规定的情形”。鉴于《个保法》第四条规定了“个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。”因而“公开”作为个人信息处理的一种方式，其合法性基础也为第十三条所涵盖。故第二十五条着重强调的是在处理个人信息的合法性基础是个人的同意时，针对个人信息处理者“公开”这一行为，对其获取个人的“同意”是否有特殊要求。为达到法条表述的清晰目的，立法者将其他合法性基础作删去处理。

2、处理公开信息的“同意”——使用公开信息的目的限制：用户的合理期待
《个保法》第二十七条要求，个人信息处理者处理已公开的个人信息，对个人权益有重大影响的，应当依照本法规定取得个人同意。该条给个人信息处理者处理公开信息设定了限制，个人信息处理者不能随意地处理个人已公开的信息，其处理必须符合个人当初公开信息时的用途。不可盲目扩大获取该个人信息用于其他用途。
该条的原则与LinkedIn v. HiQ的判决相类似。法院在审理该案时，使用了比例原则（sliding scale）来判断在两方的权益都受到损害的前提下应更保护何者：HiQ的商业利益与用户对其所公开信息享有的权利。在判断用户所受损害的大小时，法院对用户公开在LinkedIn上的信息的用途进行了探讨。用户向全平台开放其信息的目的符合HiQ对其信息的利用：用于向雇主推荐合适的雇员人选，以及向用户推荐应提升的技能。而若禁止HiQ继续爬取、使用用户公开在LinkedIn上的信息将会导致HiQ遭受生存困难。两相对比之下，法院选择保护数据处理者HiQ的利益。
GDPR前言第47条（Recitals 47）也体现了类似的原则。前言第47条规定，数据控制者的正当性利益（legitimate interests）也属于处理个人数据的合法性基础，前提是该合法性基础并未侵犯个人数据主体的基本权利与自主权益，尤其需要考虑个人数据主体是否能鉴于其与数据控制者之间的关系而对数据控制者以该等目的处理其个人数据存在合理期待（taking into consideration the reasonable expectations of data subjects based on their relationship with the controller）。
因而，根据《个保法》第二十七条的要求，个人信息处理者在处理用户已公开的个人信息时，应当考虑用户起初公开其信息时的用途。而在该用途并不是特别清晰时，可参照适用GDPR的理念，将用户公开其信息时对个人信息处理者抱有的合理期待考虑在内。
实践中，对于一些企业爬虫，从公开渠道爬取公开的个人信息，尤其要注意这里的风险。因为往往企业爬虫获取个人信息，其商业用途与个人自行公开的用途或者合法公开的用途并不一致。这时候，仍然需要考虑获得个人的同意，才可以处理其公开的个人信息。

第二十六条　在公共场所安装图像采集、个人身份识别设备，应当为维护公共安全所必需，遵守国家有关规定，并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的，不得用于其他目的；取得个人单独同意的除外。

【解读】

1、修订情况
《正式稿》，相比《二次审议稿》做了调整，将之前的个人身份特征信息改为“身份识别信息”，将不得公开或者向他人提供，改为“不得用于其他目的”，应该说表述更为严谨和周全。

2、何为公共安全？
《个保法》第二十六条要求，在公共场所安装人脸识别设备的，应当为维护公共安全所必需，针对所收集的个人图像、身份识别信息也只能用于维护公共安全的目的，不得用于其他目的，除非取得了个人的单独同意。
虽然该条款是对当前人脸识别被滥用、个人生物特征信息安全堪忧这一现象的回应，但在实践中，“公共安全”这一概念的含义并不十分明确。出于防控新冠疫情的需要，收集出入公共场所的个人信息属于维护公共安全的目的，那么小区门禁的人脸识别应用属不属于维护公共安全？“维护公共安全”这一认定谁有权作出？是否需要批准程序？谁可以安装图像采集和个人身份识别设备？即使是出于维护公共安全的目的，如何防止信息被过度收集？这些问题都亟待配套规则予以细化。
同时，虽然经过个人单独同意，个人信息处理者可以公开或向他人提供所收集的个人图像及个人身份信息，但实践中个人信息处理者该以什么样的方式获得个人信息主体的单独同意？比如个人信息主体A在疫情期间出入了一栋办公大厦，该大厦在入口处采集了个人信息主体A的面部特征，在A并未主动向大厦提供A的其他个人信息，比如联系方式时，大厦如何才能获得A的单独同意？该问题也有待根据实践经验进一步探讨。
参考阅读：《简评人脸识别司法解释：司法审查未来将是检验企业数据合规质量的试金石》

第二十八条　敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。
只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，个人信息处理者方可处理敏感个人信息。

【解读】

1、修订情况
《正式稿》将第二十八条第一款调整为第二款，并增加了“采取严格保护措施”的表述；将原第二款调整为第一款，重新界定了敏感个人信息的定义，增加了上述黑色下划线字体的内容。

2、敏感个人信息的定义
在GDPR中，类似我国“敏感个人信息”概念的可为“特殊类型的个人数据”其定义为，“1、与种族或人种、政治意见、宗教信仰、哲学信仰、工会成员资格有关的个人数据；2、基因数据、用以识别自然人的生物特征的识别数据、涉及健康或自然人的性生活或性取向的个人数据。”结合GDPR前言第51段表述，此类数据属于“其处理过程中可能对于基本权利和自由造成显着风险”，与我国《个保法》关于“敏感个人信息”的界定具有共通之处。但核心差别是，GDPR中的“特殊类型个人数据”采取的是明确的列举方式，除了所列举出来的数据类型外，其他个人数据不属于“特殊类型个人数据”，而《个保法》采取的是概括式定义+举例说明的定义方式，“敏感个人信息”的本质是“一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害”，这也是为什么我国的数据法体系下，金融账户、行踪轨迹也都属于“敏感个人信息”的原因。

3、新增不满十四周岁未成年人的个人信息纳入敏感个人信息
《个保法》第二十八条明确要求将不满十四周岁未成年人的个人信息作为敏感个人信息。根据《个保法》第二节“敏感个人信息的处理规则”，敏感个人信息是指一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息。处理不满十四周岁未成年人个人信息的，应当取得未成年人父母或者其他监护人的单独同意。值得注意的是，因不满十四周岁未成年人的个人信息属于敏感个人信息，个人信息处理者只有在具有特定的目的和充分的必要性、并采取严格保护措施的前提下，方可处理不满十四周岁未成年人的个人信息。同时，处理不满十四周岁未成年人的个人信息的合法性基础仅为“取得个人的同意”。
《个保法》正式施行后，个人信息处理者处理不满十四周岁未成年人个人信息的，应取得未成年人父母或者其他监护人的单独同意，制定专门的个人信息处理规则、告知处理未成年人个人信息的必要性以及对个人权益的影响。针对专门面向不满十四周岁未成年人的个人信息处理者，如相关开发儿童智力教育的APP运营者，履行上述义务并非难事。但对于面向一般大众的个人信息处理者，如何在实践中履行上述义务可能是一个难点。借鉴域外立法经验，如美国的《儿童在线隐私保护规则》（Children's Online Privacy Protection Act），个人信息处理者可通过年龄筛选的方式确认其收集的信息所属主体的年龄段。该等年龄筛选的方式包括用户自主输入年龄、使用cookie技术追踪用户可能谎报年龄的情形。

4、敏感个人信息的处理原则
对于敏感个人信息的保护，需要遵从如下原则和措施：
（1）处理目的需要特定。所谓特定，就是非常具体和指向性非常明确的用途；
（2）处理的必要性，要非常充分。此处强调充分，就是如果不处理，就无法运作无法运行，无法实现基本的商业目标；
（3）需要采取严格保护措施。这是处理个人敏感信息的前提。纵观《个保法》只有在该条款中明确了严格保护措施的严格二字；
（4）获得单独同意。所谓单独，一般是需要弹框或者获得专门的同意，与此相对的是概括同意或者一揽子同意；
（5）《个保法》第十七条第一款告知内容外，还需要告知处理敏感个人信息的必要性和对个人权益的影响；
（6）其他规定。
敏感个人信息的数据安全，需要确保做到上述原则和措施，否则面临法律风险和责任。

第二十九条　处理敏感个人信息应当取得个人的单独同意；法律、行政法规规定处理敏感个人信息应当取得书面同意的，从其规定。

第三十条　个人信息处理者处理敏感个人信息的，除本法第十七条第一款规定的事项外，还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响；依照本法规定可以不向个人告知的除外。

第三十二条　法律、行政法规对处理敏感个人信息规定应当取得相关行政许可或者作出其他限制的，从其规定。

【解读】

1、修订情况
相比《二次审议稿》，《正式稿》的调整见上述黑色下划线内容。相关表述更为严谨和周全。

2、处理敏感个人信息的同意形式：单独同意
《个保法》提到的单独同意，一共有六处。分别是单独同意的一般原则（第14条），个人信息处理者对外提供个人信息（第23条），个人信息处理者不得公开其处理的个人信息，取得个人单独同意的除外（第25条），个人图像、个人身份识别信息在单独同意情况下可以公开或者向他人提供，不限于维护公共安全的目的（第26条），个人信息处理者跨境对外提供个人信息的需要单独同意（第39条），以及目前的第29条。
单独同意是一项立法技术，上述六大场景，说明立法者在个人信息保护方面，尊重特殊信息，特殊场景，即容易导致信息泄露以及容易导致对个人存在较大影响的情况下，进行单独同意，是充分尊重个人信息主体权利的表现。
但是何为单独同意，单独同意的形式，以及如何进行单独同意才满足上述场景下的要求，需要兼顾行业部门规章以及各部委的统一认识。因为不同场景下，可能涉及的监管单位不一致。为此，未来建议可以对单独同意出台《个保法》的细则或者相关司法解释。实践中，大家一般采取单独弹框或者在文本中进行特殊标记等方式。

3、对于敏感个人信息的保护，需要遵从如下原则和措施：
（1）处理目的需要特定。所谓特定，就是非常具体和指向性非常明确的用途；
（2）处理的必要性，要非常充分。此处强调充分，就是如果不处理，就无法运作、无法运行，无法实现基本的商业目标；
（3）需要采取严格保护措施。这是处理个人敏感信息的前提。纵观《个保法》只有在该条款中明确了严格保护措施的严格二字；
（4）获得单独同意。所谓单独，一般是需要弹框或者获得专门的同意，与此相对的是概括同意或者一揽子同意；
（5）《个保法》第十七条第一款告知内容外，还需要告知处理敏感个人信息的必要性和对个人权益的影响；
（6）其他规定。

第三十一条　个人信息处理者处理不满十四周岁未成年人个人信息的，应当取得未成年人的父母或者其他监护人的同意。
个人信息处理者处理不满十四周岁未成年人个人信息的，应当制定专门的个人信息处理规则。

【解读】

1、修订情况
相比《二次审议稿》，《正式稿》第三十一条第一款对应原来《二次审议稿》的第十五条，但是《正式稿》第三十一条第二款则为新增条款，而且整个条款的位置，从“第二章 个人信息处理规则 第一节 一般规定” 挪到了“第二节 敏感个人信息的处理规则”，更为准确和严谨。

2、如何理解《个保法》第十三条同意的例外和该条的关系？
《个保法》第三十一条对处理不满十四周岁未成年人个人信息做出了特别规定，即“应当取得其监护人的同意”，而且“取得其监护人的同意”是处理不满十四周岁未成年人个人信息的唯一法定情形，回顾第十三条规定的七类法定情形，是否可以理解为第十三条为一般规定、第三十一条为特殊规定，第三十一条优先于第十三条适用？考虑在第十三条规定的“为履行法定职责或者法定义务所必需”或“为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需”法定情形下处理不满十四周岁未成年人个人信息仍需“取得其监护人的同意”不太合理，为此，我们可以理解为第三十一条是针对未成年人信息保护的一般规定，且该规定在“应当知道”范畴内，对于企业，尤其类似游戏公司、教育企业，都提出了较高的合规要求，为此我们可以理解为第十三条是无须取得同意的例外情形，在特殊情况下，还是可以豁免监护人的同意的。

3、未成年人个人信息保护的法律规范体系有待进一步完善。
《民法典》第一千零三十五条第一款第一项明确了处理个人信息需“征得该该自然人或者其监护人同意……”；新修订的《未成年人保护法》第七十二条明确了“处理不满十四周岁未成年人个人信息的，应当征得未成年人的父母或者其他监护人同意，但法律、行政法规另有规定的除外”；2019年10月1日起施行的《儿童个人信息网络保护规定》对不满十四周岁的未成年人的个人信息保护做出了专门规定，其中第八条提出“网络运营者应当设置专门的儿童个人信息保护规则和用户协议，并指定专人负责儿童个人信息保护”；《个人信息国标》第3.2条注1明确了“14岁以下（含）儿童的个人信息”属于个人敏感信息，第5.4条第d）款明确了“收集年满14周岁未成年人的个人信息前，应征得未成年人或其监护人的明示同意；不满14周岁的，应征得其监护人的明示同意”，同时附录D“个人信息保护政策模板”中明确了“我们如何处理儿童的个人信息”章节。
但是，《民法典》《未成年人保护法》关于不满十四周岁未成年个人信息保护的规定较为抽象、概括，《儿童个人信息网络保护规定》的法律效力位阶较低，《个人信息国标》仅为推荐性国家标准不具有法律约束力，我国关于未成年人个人信息保护的法律规范体系有待进一步完善。
GDPR第8条关于儿童个人数据保护亦采取了“监护人同意”原则，但GDPR相关规定也较为抽象、概括；美国《儿童在线隐私保护规则》（COPPA）及其配套规定可以作为参考，COPPA及其配套规定对儿童个人信息保护做出了较为详尽的规定，其中关于儿童识别以及验证监护人同意有效性方面的具体规则值得借鉴：
一是区分专门面向儿童的企业和其他企业，专门面向儿童的企业其所有用户均视为儿童，其他企业需通过年龄筛选的方式（例如自主输入年龄或生日）确认用户是否为儿童且需采取Cookies或其他技术来防止用户在提交生日后无法使用产品而填报虚假年龄的情况；
二是使用信用卡、借记卡或其他网络支付等验证手段以及父母签署同意表、电话确认、使用身份证信息、面部识别、回答一系列知识性挑战问题等方式来验证监护人同意有效性。
如何判断用户是否为不满十四周岁未成年人以及如何取得该未成年人监护人的同意是保护未成年人个人信息保护面临的两大难题，若直接借鉴COPPA及其配套规定的相关规则面临提升企业合规成本的风险，同时在验证监护人同意有效性过程中会存在收集大量敏感个人信息的隐私安全风险。我国在设计具体的未成年人个人信息保护规则时，需融入法经济学的方法论，以推动未成年人个人信息保护具体规则的有效落实。

4、儿童年龄的界限，不同国家，规定不同
在个人信息保护方面，关于儿童年龄界限问题，我国相关规定将儿童年龄界限设定为不满十四周岁；GDPR规定成员国可以在十三至十六周岁之间设定儿童年龄界限，其中德国设定为十六周岁、法国设定为十五周岁、西班牙设定为十四周岁、葡萄牙设定为十三周岁，存在一定的差异性；COPPA将儿童年龄界限设定为十三周岁。但是，年满十四周岁的未成年人正处于青春期，父母可能无法及时做好相关保护工作，该阶段往往也是未成年人个人信息被非法收集使用的高发期，且可能对未成年的成长造成极大伤害，我国未成年个人信息保护相关规则的不足亟待解决。

第三十三条　国家机关处理个人信息的活动，适用本法；本节有特别规定的，适用本节规定。

第三十四条　国家机关为履行法定职责处理个人信息，应当依照法律、行政法规规定的权限、程序进行，不得超出履行法定职责所必需的范围和限度。

第三十五条　国家机关为履行法定职责处理个人信息，应当依照本法规定履行告知义务；有本法第十八条第一款规定的情形，或者告知将妨碍国家机关履行法定职责的除外。

第三十六条　国家机关处理的个人信息应当在中华人民共和国境内存储；确需向境外提供的，应当进行安全评估。安全评估可以要求有关部门提供支持与协助。

第三十七条　法律、法规授权的具有管理公共事务职能的组织为履行法定职责处理个人信息，适用本法关于国家机关处理个人信息的规定。

【解读】

1、修订情况
相比《二次审议稿》，《正式稿》采纳了第三十七条的新增内容，同时《正式稿》对第三十五条进行了调整，删除了同意的内容，更加准确。涉及保密等内容可以不告知。

2、国家机关处理个人信息，原则上也要遵守告知同意原则
以因疫情而诞生的“健康码”为例进行说明。健康码除为个人信息主体带来健康守护外，也是国家机关践行“告知-同意”原则的规范典例。健康码为了精确实现不同颜色代表不同风险程度的效果，须收集每个个体的姓名、手机号、行踪轨迹、微信昵称及头像等。

3、国家机关处理个人信息的特别规定：
（1）国家机关依法履行法定职责处理个人信息，需要按照权限和程序开展，不可以超出必须的范围和限度；
（2）在履行法定职责过程中，如涉及保密事项，可以不告知。
（3）而如对于境内采集信息需要对外提供时，国家机关必须进行安全评估，不可替代其他方案。

4、国家机关在《个保法》与《数安法》中所担当的角色，既有相同之处，也有不同之处。相似之处主要有两点：
一是两法均强调国家机关使用、处理个人信息及政务数据，需在法律、行政法规规定的范围内进行。由于国家机关天然的强势地位，此类规定为对国家机关“使用、处理”个人信息及政务数据的行政权力限缩；
二是两法均对“具有管理公共事务职能的组织”视为与行政机关相似的法律地位。部分可能符合“具有管理公共事务职能的组织”定义的组织机构，应将视野更多聚焦于“国家机关专章”。此外，考虑到“管理公共事务职能的组织”的规定均为两法二审稿新增，且表述非常接近，体现了立法者在立法修改进程中，有意识的对两法进行协调处理。
不同之处主要体现在两法侧重在数据全生命周期的不同环节。《个保法》强调“个人授权”及“存储”、“境外提供环节，数据安全法强调“开放”及“利用”环节。之所以各自侧重点不同，主要还是调整对象存在差异，前者个人信息，后者范围更广，数据本身包括了个人信息。由《个保法》来侧重强调国家机关在处理个人信息上的要求，是应然之意。而后者本身范围包括了除个人信息以外的数据，为此政府以信息公开为原则，侧重在开放及利用数据上的基本原则，值得肯定。

5、域外启示
境内境外，对比“具个人信息保护职能的国家机关、监管机构”法律责任，试以GDPR为例。GDPR第78条第1款规定“任何自然人或法人都有权对关乎他们的监管机构的有法律约束力的决定获得有效的司法救济”；第3款规定，“针对监管机构的法律诉讼应当在监管机构所在的成员国的法庭提起”。由此看出，GDPR第78条赋予了自然人、法人面对强势的监管机构一方获得司法救济权利，突出法律诉讼手段。自然人、法人可以诉讼方式，作为对抗严峻行政处罚的武器。
我国立法与GDPR不同之处在于：我国《个保法》立法强调国家机关自上而下采取内部监管和处罚措施；GDPR强调监管机构之外遭受的诉讼对抗手段——自然人、法人自认权益受损时，通过诉讼方式进行权益保护。尽管我国《个保法》只规定了国家机关内部责任，与GDPR有上述区别，但我国个体、法人机构仍可以采取行政复议、行政诉讼等手段进行救济。《个保法》正式生效后，在行政复议、行政诉讼上，类似《防范和处置非法集资条例》的落地一样，数据安全的执法单位如何避免行政复议、行政诉讼，需要做好一系列的准备工作。

第三十八条　个人信息处理者因业务等需要，确需向中华人民共和国境外提供个人信息的，应当具备下列条件之一：
（一）依照本法第四十条的规定通过国家网信部门组织的安全评估；
（二）按照国家网信部门的规定经专业机构进行个人信息保护认证[3]；
（三）按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务；
（四）法律、行政法规或者国家网信部门规定的其他条件。
中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的，可以按照其规定执行。
个人信息处理者应当采取必要措施，保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。

第三十九条　个人信息处理者向中华人民共和国境外提供个人信息的，应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项，并取得个人的单独同意。

【解读】

1、修订情况
《正式稿》采纳了《二次审议稿》第三十八条第一款第三项的修订意见，同时，新增了第三十八条第二款、第三款的规定；第三十九条将《二次审议稿》的“身份”修订为“名称或者姓名”；

2、法律分析
（1）个人信息跨境传输立法体系
第三十八条和第三十九条是个人信息跨境传输需要满足的基本要求。和跨境传输密切相关的另一个话题是本地存储。应该说，有关个人信息本地存储和跨境传输的立法在整个个人信息保护相关的立法中都是相对领先的。从立法进程来看，国家标准、综合性的法律、行政法规/规章、特定领域的法律、行政法规/规章等交错进行，相互促进，与本地存储和跨境传输相关的制度体系已经初步呈现。
a.2012年我国首个涉及个人信息保护的国家标准《信息安全技术 公用及商用服务信息系统个人信息保护指南》（GB/Z 20028-2012）[4]第5.4.5条就规定，“未经个人信息主体的明示同意，或法律法规明确规定，或未经主管部门同意，个人信息管理者[1]不得将个人信息转移给境外个人信息获得者，包括位于境外的个人或境外注册的组织和机构”。
b.2017年，《信息安全技术 个人信息安全规范》（GB/T35273-2017）第8.7条规定，“在中华人民共和国境内运营中收集和产生的个人信息向境外提供的，个人信息控制者应当按照国家网信部门会同国务院有关部门制定的办法和相关标准进行安全评估，并符合其要求”。作为配套的标准，2017年，全国信息安全标准化技术委员会还发布了《信息安全技术 数据出境安全评估指南》的征求意见稿，但至今尚未定稿。2020年，《信息安全技术 个人信息安全规范》（GB/T35273-2017）的升级版（即《个人信息国标》）第9.8条则规定，“在中华人民共和国境内运营中收集和产生的个人信息向境外提供的，个人信息控制者应遵循国家相关规定和相关标准的要求”。
c.尽管上述国家标准都是指导性或推荐性的，并没有法律上的约束力，但研究其具体要求以及该等要求的发展演化仍然具有重要的意义。到《个保法》阶段，获得个人信息主体同意早已成为共识，其他的条件，本质上可以分为需要获得监管部门特别同意的、和不需要获得监管部门特别同意的。不需要获得监管部门特别同意的情形中，又可以分为需要进行认证的，和采用标准数据条款的。对企业来说，不需要获得监管部门特别同意的两种方式显然更能节约成本。
d.除了上述国家标准外，《网安法》第三十七条规定了“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定”，关于“关键信息基础设施”相关的个人信息出境的评估问题，在《个保法》第四十条中，我们将在下一条中进行论述。
e.《网安法》第三十七条是目前立法层级最高的关于境内存储和跨境传输的、已经生效的、有约束力的法律规定。除此之外，行政法规层级，主要是一些特定领域的部门法中对个人信息的本地存储和跨境传输有所规制，例如：
i）2014年5月5日起生效的、由国家卫生和计划委员会发布的《人口健康信息管理办法（试行）》第十条规定，“不得将人口健康信息在境外的服务器中存储，不得托管、租赁在境外的服务器”；
ii）2016年12月27日生效的、由中国人民银行发布的《中国人民银行金融消费者权益保护实施办法》第三十三条规定，“在中国境内收集的个人金融信息的存储、处理和分析应当在中国境内进行。除法律法规及中国人民银行另有规定外，金融机构不得向境外提供境内个人金融信息。境内金融机构为处理跨境业务且经当事人授权，向境外机构（含总公司、母公司或者分公司、子公司及其他为完成该业务所必需的关联机构）传输境内收集的相关个人金融信息的，应当符合法律、行政法规和相关监管部门的规定，并通过签订协议、现场核查等有效措施，要求境外机构为所获得的个人金融信息保密”；
iii）2016年07月27日起生效的、由交通运输部、工业和信息化部、商务部、公安部、国家工商行政管理总局、国家质量监督检验检疫总局以及国家互联网信息办公室发布的《网络预约出租汽车经营服务管理暂行办法》第二十七条规定，“网约车平台公司应当遵守国家网络和信息安全有关规定，所采集的个人信息和生成的业务数据，应当在中国内地存储和使用，保存期限不少于2年，除法律法规另有规定外，上述信息和数据不得外流”。
f.另外，还有一部专门针对个人信息出境的、有约束力的立法尚在进行中，即：国家互联网信息办公室于2017年4月出台的《网安法》配套文件《个人信息和重要数据出境安全评估办法（征求意见稿）》，以及2019年6月出台的《个人信息出境安全评估办法（征求意见稿）》。就个人信息出境的安全评估而言，后者大概率将取代前者。
g.最后，一些地区性的立法中也涉及个人信息的本地存储和跨境传输，例如2021年7月6日通过的《深圳经济特区数据条例》第八十二条规定，“数据处理者向境外提供个人数据或者国家规定的重要数据，应当按照有关规定申请数据出境安全评估，进行国家安全审查。”该条例2022年1月1日实施，相比《个保法》2021年11月1日实施要晚2个月。
（2）《二次审议稿》增加的跨境条件采取标准合同一直是国际业务企业数据商业跨境传输的常选择的模式，此次《个保法》将“按照国家网信部门制定的标准合同”纳入，符合国际惯例。
（3）此次《正式稿》所增加的第三十八条第二、三款，明确要求个人信息处理者采取必要措施保障境外接收方处理个人信息的活动达到《个保法》的保护标准，并承诺按照中国缔结或者参加的国际条约、协定对向中国境外提供个人信息的条件等有规定的参照规定执行。该条款《个保法》的全球视野，类似条款在GDPR也是有的。

第四十条　关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者，应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的，应当通过国家网信部门组织的安全评估；法律、行政法规和国家网信部门规定可以不进行安全评估的，从其规定。

【解读】

1、修订情况
该条款没有进行修订。本条款规定了两类应将其收集产生的个人信息在境内存储的主体，一是关键信息基础设施运营者，二是处理个人信息达到网信部门规定数量的个人信息处理者。同时也规定了进行跨境传输所需要的条件。相比《网安法》，《个保法》要求数据本地化的主体进行了扩张。

2、法律分析
（1）CIIO境外提供个人信息的的条件
对关键信息基础设施运营者来说，本地存储相关的规定和《网安法》第三十七条的规定一致，但跨境传输的要求上有两处微小的差别：
a.适用范围扩大化趋势：
《网安法》第三十七条提到跨境传输时，具体文字是“因业务需要，确需向境外提供的，应当...”，而《个保法》中是“确需向境外提供的”，也就是说，纯粹从文意解读来看，《网安法》规定的关键信息基础设施运营者的跨境传输规则不一定适用非业务需求导致的跨境传输；而《个保法》三十八条在描述个人信息处理者向境外提供个人信息的背景时，所使用的文字就是“个人信息处理者因业务等需要”；此外，《个保法》第四十一条还提及了因国际司法协助或行政执法协助导致的跨境传输。可见，《个保法》希望本法适用于因为各种原因触发的跨境传输需求；
b.安全评估例外：
《网安法》对安全评估的例外的规定是“法律、行政法规另有规定的，依照其规定”；而《个保法》则是“国家法律、行政法规规定可以不进行评估的”。“另有规定”所涵盖的范围明显比“规定可以不进行评估”更广。可以预计的是，按照《个保法》的规定，该例外的适用情形将显著减少。
（2）就“处理个人信息达到国家网信部门规定数量的个人信息处理者”，目前国家网信部门对具体数量尚无明确的规定。但是《网络安全审查办法（修订稿）》的100万数量值得参考。
2017年的《个人信息和重要数据出境安全评估办法（征求意见稿）》曾经规定，含有或累计含有50万人以上的个人信息的，网络运营者应报请行业主管或监管部门组织安全评估（第九条），引发了广泛的讨论和争议；
2019年6月，网信办发布《个人信息出境安全评估办法（征求意见稿）》，将“数量触发安全评估”的机制改为“每2年进行一次评估，除非个人信息出境目的、类型、境外保存时间发生变化时应当重新评估”。
2021年7月10日，网信办发布了《网络安全审查办法（修订草案征求意见稿）》，其新增网络安全审查适用情形，掌握超过100万用户个人信息的运营者赴国外上市，须申报网络安全审查。
《个保法》又回到了“数量触发安全评估”的机制。未来网信部门需要解决与确定数量相关的一整套机制，《个人信息出境安全评估办法》中的评估机制也需要进行调整。
（3）CII的认定问题
关于本条中出现的重要概念，“关键信息基础设施”，相关立法在体系上比较完整。在《网安法》制定过程中，对全国关键信息基础设施进行摸底的过程中，网信办和/或工信部曾经发布过《关键信息基础设施确定指南》以及《国家网络安全检查操作指南》（但该等文件明显只是用来作为暂时的工作指导，而非具有约束力的法律文件），即将在2021年9月1日实施的《关键信息基础设施安全保护条例》，其第二条也对关键信息基础设施做出了定义。《关键信息基础设施安全保护条例》的第二条规定，“关键信息基础设施，是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。”从上述规定可以看出，《关键信息基础设施安全保护条例》在继承了《网安法》“列举+后果概括”的定义方式基础之上，增加了国防科技工业领域，进一步确定关键信息基础设施的范围。但是，鉴于《关键信息基础设施安全保护条例》第二条为概括性规定，信安标委的一系列标准，大都尚未定稿，具体各行各业的CII认定，仍有赖于重要行业和领域的主管、监管部门出台具体的认定规则。在目前阶段，2016年6月公布的《国家网络安全检查操作指南》中规定的“CII认定三步法”仍具有较强的参考意义。

参考阅读：简评《关键信息基础设施安全保护条例》

第四十一条　中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定，或者按照平等互惠原则，处理外国司法或者执法机构关于提供存储于境内个人信息的请求。非经中华人民共和国主管机关批准，个人信息处理者不得向外国司法或者执法机构提供存储于中华人民共和国境内的个人信息。

【解读】

1、修订情况
应该说，从《一次审议稿》到《二次审议稿》，再到《正式稿》，大体内容并未发生实质性变化，但是从修订的侧重来看，配合国外司法、执法机构调取数据，在程序上更加清晰，适用范围逐步扩大，也可以说我国在配合海外司法和执法调取国内个人信息方面，更为谨慎和严格。而且该条款的表述，与《数安法》第三十六条基本一致，“中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定，或者按照平等互惠原则，处理外国司法或者执法机构关于提供数据的请求。非经中华人民共和国主管机关批准，境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。”

2、法律分析
（1）修改之一，《一次审议稿》是通过描述情景的方式来确定本条款的适用场景的，即：“国际司法协助或行政执法协助”，而《二次审议稿》中，改成了通过境外提出要求一方的身份的方式来确定适用场景。尽管提出方仍然是“境外的司法或执法机构”，但如果是国际司法协助或行政执法协助，接受相关请求的国内主体必然是法律规定的相关部门，而《二次审议稿》以提出方身份为判断标准，对接受请求的国内主体身份没有限制，则意味着本条款适用的情形扩大了。此外，境外的司法或执法机构也可能不是基于司法协助或者行政执法协助来提出其要求，因此，整体上，本条款的适用范围扩大了。而《正式稿》的表述，其范围和《二次审议稿》基本一致。
（2）修改之二，被要求提供的信息，从“个人信息”改成了“存储于中华人民共和国境内个人信息”。这一修改是否确有必要？以刑事司法协助为例，《中华人民共和国国际刑事司法协助法》第二条规定，“本法所称国际刑事司法协助，是指中华人民共和国和外国在刑事案件调查、侦查、起诉、审判和执行等活动中相互提供协助，包括送达文书，调查取证，安排证人作证或者协助调查，查封、扣押、冻结涉案财物，没收、返还违法所得及其他涉案财物，移管被判刑人以及其他协助”。可以说，凡是涉及国际刑事司法协助，多半会涉及个人信息。例如，如果境外提出的诉求是协助调查嫌疑人的行踪，那调查结果必涉及个人信息，这是否属于“存储于中华人民共和国境内的个人信息”？理论上这个信息并不需要，也不一定有一个载体来“存储”，那如何适用本条款？总之，本条款待进一步澄清。
（3）修改之三，将“应当依法申请有关主管部门批准”改为“非经中华人民共和国主管机关批准，不得提供”，这意味着如果未经有关主管部门批准，属于违反法律的禁止性规定，提供方应承担的法律后果将更为严重。
（4）修改之四，《一次审议稿》中规定的我国处理的原则比较“中规中矩”，简言之，可概括为“有约定的从约定，无约定的须主管部门批准”。《二次审议稿》把“有约定的从约定”改成了“有约定的，可以从约定”，这意味着也可以不遵守已经签署的国际条约/协定。有评论说，这意味这“有助于防范境外主体单方从有利于其本身角度对国际条约、协定的规定进行解释，从而绕开本条的规定进行‘长臂管辖’”。作者并不完全赞同。如果要解决的问题是防止境外主体对条约作出不利于我方的解释，那本质上是对国际条约的解释问题，双方因立场、诉求不同，对国际条约中存在解释空间的条款作出不同的解释，并不是不遵守合约；而如果国内法律可以明确解读为“中国可以不遵守合约”，则很可能对国家诚信带来负面影响。根据外交部官方网站上公布的信息，截至2018年8月，我国已与76个国家缔结司法协助条约、资产返还和分享协定、引渡条约、打击“三股势力”协定及移管被判刑人条约共159项（128项生效）。如果条约相对方对我国的国家诚信产生疑问，则也可能影响我国基于条约向其他国家提出的协助请求。因此，如果能从条约解释方面来解决这个问题，就不建议采取目前的修改方案。可喜的是，《正式稿》将《二次审议稿》的该条做了调整，并作为本条第一段话，未采取可以按照其规定执行的表述。
值得思考的是，这里的外国司法机构和执法机构是否包括仲裁机构？如果是个人信息处理者自身主动基于诉讼仲裁需要对外提供个人信息给外国司法机构和执法机构，而不是他们调取的话，是否也要遵守该规定？我们认为，需要结合立法目的、目的解释以及相关仲裁国际条约、协定具体问题具体分析。

第四十二条　境外的组织、个人从事侵害中华人民共和国公民的个人信息权益，或者危害中华人民共和国国家安全、公共利益的个人信息处理活动的，国家网信部门可以将其列入限制或者禁止个人信息提供清单，予以公告，并采取限制或者禁止向其提供个人信息等措施。

【解读】

1、修订情况
该条款无重大修订。具体可以参考《数安法》第二条第二款的规定，“在中华人民共和国境外开展数据处理活动，损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的，依法追究法律责任。”以及第二十六条的规定，“任何国家或者地区在与数据和数据开发利用技术等有关的投资、贸易等方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的，中华人民共和国可以根据实际情况对该国家或者地区对等采取措施。”

2、制定背景
本条是关于个人信息跨境提供管制的条款，确立了限制或者禁止个人信息提供清单制度。
近年来，随着国际商业环境政治化的趋向和贸易保护主义的升温，个别国家针对我国电信、互联网等出海企业采取了禁止、限制交易或其他类似措施。对此，我国政府极力改变这一被动局面，制定了类似的法律和框架来规范国外出口管制，包括对数据跨境流转的管制措施。
（1）2020年8月28日，商务部、科技部发布的《中国禁止出口限制出口技术目录》（商务部科技部公告2020年第38号），在限制出口部分新增了“人工智能交互界面技术、基于数据分析的个性化信息推送服务技术、密码安全技术、信息防御技术、信息对抗技术”等多项与数据开发利用有关的内容。”
（2）2020年12月1日生效的《出口管制法》第二条规定，“管制物项包括物项相关的技术资料等数据”，“出口管制是指国家对从中华人民共和国境内向境外转移管制物项，以及中华人民共和国公民、法人和非法人组织向外国组织和个人提供管制物项，采取禁止或者限制性措施。第四条也明确规定，“国家实行统一的出口管制制度，通过制定管制清单、名录或者目录（以下统称管制清单）、实施出口许可等方式进行管理”。
（3）2021年9月1日实施的《数安法》第二十五条规定，“国家对与维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法实施出口管制。”
可以说，《个保法》第四十二条实则是《数安法》《出口管制法》等管制思路在个人信息保护领域的延续和具体体现，进一步完善了中国出口管制的整体框架。

3、管制对象
《个保法》第四十二条规定的管制对象为“从事侵害中国公民的个人信息权益，或者危害中国国家安全、公共利益的个人信息处理活动的境外组织和个人”。除了个人信息权益的保障外，第四十二条也注意到了个人信息处理对公共利益和国家安全的影响，这与《个保法》第十条禁止性规定的精神一脉相承。

4、管制方式
《个保法》第四十二条对管制对象采取的管制方式包括：（1）列入限制或者禁止个人信息提供清单，予以公告；（2）采取限制或者禁止向其提供个人信息等措施。从规定的表述来看，两种方式是并行适用，管制的实施主体为国家网信部门。关于“限制或者禁止个人信息提供清单”制度及限制或禁止提供个人信息措施，目前，第四十二条针对列入管制清单的相关程序、具体的限制措施等均没有明确规定，但合理预计应当有配套规定，类似2020年9月19日商务部发布的《不可靠实体清单规定》中的“不可靠实体清单”制度，例如启动调查的行政权限、中止或终止调查的程序、列入或移出清单的程序等。值得一提的是，执行中如何把握对“损害中华人民共和国公民的个人信息权益”以及“危害中华人民共和国国家安全、公共利益”的解释，是一个考验立法和执法智慧的话题。

5、本条对我国市场交易主体的影响
表面上看，列入清单公告将限制或禁止境外违法主体接收个人信息，但更为核心的是，清单将限制或禁止我国企业或个人与相关境外主体之间进行的包含个人信息提供的交易。
虽然《个保法》没有明确规定禁止个人信息处理者向被列入清单对象提供个人信息及相应违法责任，但这是四十二条及清单制度本身的应有之义。此外，按照《出口管制法》的规定，出口管制的责任主体不仅包括出口经营者，还包括“明知出口经营者从事出口管制违法行为仍为其提供代理、货运、寄递、报关、第三方电子商务交易平台和金融等服务的主体”，换言之，管制措施限制的市场主体范围可以很广。
如制度实施后，从企业合规的角度，我国企业和个人在未来应重点关注国家网信部门发布的“限制或者禁止个人信息提供清单”，如交易相对方被列入该清单，则企业或个人向其传输个人信息的行为将受到限制或禁止；当然，对于国家网信部门而言，在列入清单公告中也需提示我国相关主体与该境外违法主体进行交易的法律风险，进一步保护中国企业、其他组织或者个人的合法权益。

第四十三条　任何国家或者地区在个人信息保护方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的，中华人民共和国可以根据实际情况对该国家或者地区对等采取措施。

【解读】

1、修订情况
本条基本上没有大的修订。《正式稿》采纳了《二次审议稿》中的“对等”二字，而不是《一次审议稿》中的“相应”二字。和第四十二条类似，本条款也是《数安法》《出口管制法》等管制思路在个人信息保护领域的延续和具体体现。

2、适用条件
何为“有歧视性的禁止、限制或其他类似措施”，目前并没有明确的判断标准。不过，2021年1月9日商务部公布的《阻断外国法律与措施不当域外适用办法》第六条中的判断“外国法律与措施是否存在不当域外适用”的考量因素也可以参考适用：
（1）是否违反国际法和国际关系基本准则；
（2）对中国国家主权、安全、发展利益可能产生的影响；
（3）对中国公民、法人或者其他组织合法权益可能产生的影响；
（4）其他应当考虑的因素。
《阻断外国法律与措施不当域外适用办法》第六条规定，“工作机制经评估，确认有关外国法律与措施存在不当域外适用情形的，可以决定由国务院商务主管部门发布不得承认、不得执行、不得遵守有关外国法律与措施的禁令”，本条款则是进一步规定，中国可以对相关国家和地区采取对等措施，无疑将加强中国公司应对一些具有域外效力的法律（如GDPR）的执法中的话语权。

第四十四条　个人对其个人信息的处理享有知情权、决定权，有权限制或者拒绝他人对其个人信息进行处理；法律、行政法规另有规定的除外。

【解读】

1、修订情况
本条基本上没有重大修订。

2、知情权、决定权、限制/拒绝权
本条明确规定了个人对于其个人信息的处理享有知情权及决定权，并且相应地，个人亦有权对于他人处理其个人信息的行为进行限制和拒绝，也就是个人对于其个人信息的处理活动享有全面的决策权利。但作为层级较高的上位法律，本条并未对个人对其个人信息处理享有的知情权的范围和边界作出详细规定。
通常而言，知情权泛指个人知悉、获取信息的自由与权利；个人信息知情权，是指公民依法有了解有关自己各方面信息的权利。具体到个人在个人信息处理活动中的知情权而言，即指个人有权知悉并了解他人处理其个人信息的权利；而决定权即指个人有权自行决定他人能否处理其个人信息。而为了进一步明确个人的决定权的涵义，本条同时明确规定了个人还有权限制或者拒绝他人对其个人信息进行处理。根据我们的理解，这条规定同时意味着，在个人已经同意他人处理其个人信息的过程中，如果个人改变其决定，那么个人也可以要求他人立即停止对其个人信息的处理。
另外，个人在个人信息处理活动中所享有的知情权、决定权、限制权、拒绝权等并不是绝对的，因此本条通过“但书”的方式，规定了“法律、行政法规另有规定的除外”，这表明在某些特殊情形下，比如为了社会公共利益、为了打击违法犯罪活动等所进行的个人信息处理活动，可以排除个人在个人信息处理活动中所享有的知情权、决定权、限制权以及拒绝权的行使。
本条规定的核心还是在于个人对于其个人信息处理活动的控制权利，而通过明确赋予个人在个人信息处理活动中的一系列权利，可以对个人信息的综合保护提供更好的保障。
此外，个人信息处理者在个人提出权利请求时，如何提供响应机制（例如具体的响应期限，回复时间等），司法上法院如何提供救济，有待进一步司法解释、配套实施细则进行明确。

第四十五条　个人有权向个人信息处理者查阅、复制其个人信息；有本法第十八条第一款、第三十五条规定情形的除外。
个人请求查阅、复制其个人信息的，个人信息处理者应当及时提供。
个人请求将个人信息转移至其指定的个人信息处理者，符合国家网信部门规定条件的，个人信息处理者应当提供转移的途径。

【解读】

1、修订情况
本条相比《二次审议稿》，增加了第三款“个人信息可携带权”，属于重大变化的条款。

2、查阅权、复制权
本条可以理解为是对第四十四条个人对于其个人信息的处理享有知情权及决定权的一种延伸，同时保证个人对于其个人信息的查阅、复制权利，也可以反过来更好地保障个人对于其个人信息处理的知情权及决定权。另外，本条也明确规定了个人查阅、复制权的例外情形，即“个人信息处理者处理个人信息，有法律、行政法规规定应当保密或者不需要告知的情形的，可以不向个人告知前条规定的事项。”除此之外，个人信息的处理者均需根据本条的规定，保障个人对其个人信息的查阅、复制权。关于个人信息查阅、复制权的保护，《民法典》第一千零三十七条也做出了相应规定，“自然人可以依法向信息处理者查阅或者复制其个人信息；发现信息有错误的，有权提出异议并请求及时采取更正等必要措施。自然人发现信息处理者违反法律、行政法规的规定或者双方的约定处理其个人信息的，有权请求信息处理者及时删除。”
结合《民法典》的上述规定，本次《个保法》再次强调了对个人信息查阅、复制权的保护，也便于个人就个人信息处理者的个人信息处理行为及时行使监督权。实践中，为了切实保证本条规定的落地，我们建议个人信息处理者应当公开具体的个人信息查阅、复制的渠道和联系方式等，以便个人能够顺畅行使本条规定的权利。

3、个人信息可携带权
早在中国人民银行于2019年12月27日发布的《金融消费者权益保护实施办法（征求意见稿）》（以下简称“《办法》”）第三十六条规定，“鼓励金融机构在技术可行的前提下，基于金融消费者的请求，将其金融信息转移至金融消费者指定的其他金融机构。”第一次出现了个人金融信息可携带权的身影，但是该办法正式出台后，该条款并未最终纳入。但是明确了鼓励性原则，并未明确个人信息处理者的义务，且明确了“技术可行”这样的前提。这一要求和美欧立法所强调的实现可携带权，以技术可行作为前提，保持了一致。
《个保法》第四十五条规定：“个人请求将其个人信息转移至其指定的个人信息处理者，符合国家网信部门规定条件的，个人信息处理者应当提供转移的途径”。该条明确赋予个人信息主体以个人信息可携带权。而《个保法》第四十五条一定程度上弥补了上述《办法》的遗憾。
个人信息可携带权的提出，丰富了个人信息主体的权利，与《个保法》的第三大立法目的“促进个人信息合理利用”遥相呼应，同时也有“反垄断”，打破“数据孤岛”的积极作用，促进了数据的流动。但是该权利如同“被遗忘权”、“居住权”一样，相关权利的内涵、权利的行使要求以及个人信息处理者的回应，以及不回应后个人信息主体的救济（如，是否可以提起诉讼，案由及裁判规则如何等），仍不清晰。从我们对GDPR的执行情况的了解，该权利也存在“增加企业负担”的负面声音，而且至今仍然缺乏落地的具体方案。不过基于我国本土实践，未来通过《个保法》司法解释、监管部门的实施细则、以及相关指导性案例，可以探索落实该权利的路径。
从个人信息可携带权的实现方式来看，其应包含两方面的权利：一是个人信息主体获取个人信息副本的权利；二是个人信息主体要求个人信息处理者A将该个人信息副本传输给个人信息处理者B的权利。那么在可操作性方面，以及个人信息处理者面临个人信息主体行使该权利时，可能产生相关问题，例如：
（1）个人信息主体所获取的个人信息副本，具体包含哪些信息？
（2）个人信息可携带权实现的前提，是否包括了所有个人信息主体处理个人信息的法律基础的情形？
（3）个人信息主体何时可主张可携权？
（4）个人信息处理者A是否存在合法合理事由（如B是A的竞争对手、涉及A的商业秘密、技术不可行、成本费用不可控、对他人隐私权利产生负面影响等）可以拒绝向个人信息处理者B转移？
（5）个人信息处理者A和B之间如何分配责任？谁最终对转移的个人信息负责？
（6）个人信息处理者A是否可以向个人收取必要的费用？
（7）如何理解该权利和复制权的关系？
（8）如何避免该权利被个人信息主体滥用？
以个人信息主体可以获取的个人信息副本的范围为例。从获取个人信息副本这一权利角度出发进行探讨，《个人信息国标》8.6条提出了针对性的规范，可供参考，即“根据个人信息主体的请求，个人信息控制者宜为个人信息主体提供获取以下类型个人信息副本的方法，或在技术可行的前提下直接将以下类型个人信息的副本传输给个人信息主体指定的第三方：a）本人的基本资料、身份信息；b）本人的健康生理信息、教育工作信息。”我们认为，由上述内容可知，《个人信息国标》并未对个人信息主体行使获取个人信息副本的权利进行限定，同时在个人信息副本的内容上也仅对可传输类型进行了列举，未进行概括式定义。
而借鉴域外立法经验，如GDPR第20条第1款，可携权所针对的数据需满足两个条件：一是该个人数据与个人信息主体有关，二是该个人数据由个人信息主体提供[5]。从条件二来说，根据第29条工作组（Article 29 Data Protection Working Party）出具的数据可携权指引[6]，个人信息主体提供的信息包括（1）个人信息主体在明知的情况下主动提供的信息，如电子邮箱地址、用户名、年龄等；（2）个人信息主体在使用服务或设备的过程中被观测到的信息（observed data），包括个人信息主体的搜索历史、流量数据、地址数据等。于此相对的，推断数据（inferred data）及派生数据（derived data）是在个人信息主体提供的信息上经数据控制者分析后生成的，如根据个人信息主体的各项基本信息生成的信用评估结果等，则推断数据及派生数据不属于可携权涵盖的个人信息范围。基于个人信息副本所涵盖的信息类型在《个保法》未明确的前提下，存在向国际立法经验趋近的可能性。
限于篇幅，再以个人信息可携带权的实现的前提条件为例。欧盟的事实上GDPR所设置的可携权并非一个广泛适用的权利。前言中的第68款（Recital 68）及正文第20条第1款（a）项明确说明，用户仅可在两种情形下主张其拥有可携权：一是处理个人数据的法律基础为用户同意；二是处理个人数据的法律基础为履行合同所必须，且需满足第20条第1款（b）项“处理是以自动化方式进行的”这一条件。当数据控制者（data controller）处理个人数据的法律基础为履行其法律义务时，用户无权主张可携权（第20条第3款）[7]。如金融业机构为履行反洗钱的义务对客户信息进行收集、核验与处理的，客户无权要求金融业机构基于可携权的要求将该部分信息传输给他方。
而《个保法》对于个人信息可携带权的实现前提，是否以其处理个人数据的法律基础为用户同意或者处理个人数据的法律基础为履行合同所必须为前提，相关个人信息可携带权的配套规则，也都未明确。按照正当原则、诚实信用原则，我们认为《个保法》规定的个人信息可携带权并非是一个广泛适用的权利，现有的条款仍然过于开放，有待网信部门规定具体细致条件进行限制。
小结：针对个人信息可携带权，（1）对于个人信息处理者A来说，应注意结合立法目的和监管的理解，做好个人信息可携带权的权利实现的规则，在合法合理的范围内，为个人信息主体实现该权利；（2）对于个人信息处理者B来说，个人信息主体行使该权利，有助于其获得更充分的流量，打通大平台和中小平台之间的数据流。例如某公司发生数据删库，基于对A公司的不信任，大量个人信息主体要求将其在A公司的个人信息转移至A公司的竞争对手B公司处；在该案例中，可能会促使数据安全能力更高、品牌度更良好的公司获得更多业务机会。再如在美国，Facebook于2019年推出新功能“一键把个人海量数据迁移到其他社交网络”，一方面便利了客户体验，另一方面，也迎合了反垄断的需要。（3）而对于个人信息主体来说，应注意避免滥用该权利，及时了解该权利内涵，避免发生恶意维权事件，导致自身受到治安管理处罚等法律风险。但是也需要注意，“可携权的推进，需要数据处理者之间就技术支持标准展开探索[8]”。

第四十六条　个人发现其个人信息不准确或者不完整的，有权请求个人信息处理者更正、补充。
个人请求更正、补充其个人信息的，个人信息处理者应当对其个人信息予以核实，并及时更正、补充。

第四十七条　有下列情形之一的，个人信息处理者应当主动删除个人信息；个人信息处理者未删除的，个人有权请求删除：
（一）处理目的已实现、无法实现或者为实现处理目的不再必要；
（二）个人信息处理者停止提供产品或者服务，或者保存期限已届满；
（三）个人撤回同意；
（四）个人信息处理者违反法律、行政法规或者违反约定处理个人信息；
（五）法律、行政法规规定的其他情形。
法律、行政法规规定的保存期限未届满，或者删除个人信息从技术上难以实现的，个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。

【解读】

1、修订情况
《正式稿》在第四十七条第一款第一项中，增加了“无法实现”四个字。即引入了“处理目的无法实现”适用删除的情形。其他条款没有大的变化。

2、法律分析
个人信息的更正、补充权、删除权，同样可以理解为是对第四十四条个人对于其个人信息的处理享有知情权及决定权的一种延伸。个人对其个人信息的更正、补充和删除本身就是对其个人信息的处理。对于个人信息更正权、补充权、删除权的保护，《民法典》和《网安法》中均有相关规定。
例如，《民法典》第一千零三十七条规定，“自然人可以依法向信息处理者查阅或者复制其个人信息；发现信息有错误的，有权提出异议并请求及时采取更正等必要措施。自然人发现信息处理者违反法律、行政法规的规定或者双方的约定处理其个人信息的，有权请求信息处理者及时删除。”
例如，《网安法》第四十三条规定，“个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的，有权要求网络运营者删除其个人信息；发现网络运营者收集、存储的其个人信息有错误的，有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。”
但是，何为“技术上难以实现”，仍然有待立法方面的进一步澄清和实践的进一步检验。
从法律落地的角度而言，对个人信息更正权、补充权、删除权的保护，更多的依赖于个人信息处理者对上述法条的执行力度。为了切实保证本条规定的落地，我们建议个人信息处理者应当开通个人信息更正、补充和删除的申请选项，在个人提出更正、补充或删除个人信息请求或指令之后，个人信息处理者应当及时核实并在确认无误后进行相关操作。个人信息的更正、补充和删除将会是个人信息处理事项中的高频发生事项，因此，个人信息处理者需高度关注个人相关权利的保护，以避免承担法律责任。

第四十八条　个人有权要求个人信息处理者对其个人信息处理规则进行解释说明。

【解读】

1、修订情况
该条款并未做修订。

2、法律分析
本条同样是对第四十四条规定的个人对于其个人信息的处理享有知情权及决定权的细化规定，也是保护个人信息知情权的应有之义。理解该条款，还要结合民法典、消费者权益保护法等法律进行理解。
按照我国《民法典》第四百九十六条第二款的规定，“采用格式条款订立合同的，提供格式条款的一方应当遵循公平原则确定当事人之间的权利和义务，并采取合理的方式提示对方注意免除或者减轻其责任等与对方有重大利害关系的条款，按照对方的要求，对该条款予以说明。提供格式条款的一方未履行提示或者说明义务，致使对方没有注意或者理解与其有重大利害关系的条款的，对方可以主张该条款不成为合同的内容。”
也就是实务中，如果个人信息处理者不履行该条款的说明义务，可能对个人有重大利害关系的条款，消费者可以主张该条款不成为合同内容。
通常而言，个人信息处理者的信息处理规则的条款繁多，内容晦涩。这其实导致了个人实际上较少会完整浏览并理解个人信息处理者撰写的信息处理规则，一定程度上不利于对个人信息权利保护的公众监督。而赋予个人对其个人信息处理的知情权，有助于个人信息权利保护的落地，促进个人信息处理者对个人信息的合规处理。此外，我们也建议个人信息处理者满足和符合个人信息处理合规性要求的前提之下，尽量简化个人信息处理规则，实现通俗易懂，行文格式设计更为人性化，促进个人对其个人信息处理规则的理解，提高个人与个人信息处理者之间就个人信息处理规则的沟通效率。

第四十九条　自然人死亡的，其近亲属为了自身的合法、正当利益，可以对死者的相关个人信息行使本章规定的查阅、复制、更正、删除等权利；死者生前另有安排的除外。

【解读】

1、修订情况
《一次审议稿》并无该条款；该条款是在《二次审议稿》中增加的，《正式稿》进行了重大修订。具体见上述黑色加下划线的内容。该条款存在一定的开拓性，相比GDPR不适用死者的个人数据而言。

2、法律分析
本条为相较《一次审议稿》内容所新增加的条款，主要是明确规定了在自然人死亡的情况下，由其近亲属行使相关个人在个人信息处理活动中的权利。
这是我国法律法规首次对自然人死亡后与其网络或数据有关的个人信息权利处置作出直接规定，体现了法律的人文关怀。此前，《民法典》也对死者的权利保护进行了规定，如《民法典》第九百九十四条的规定，“死者的姓名、肖像、名誉、荣誉、隐私、遗体等受到侵害的，其配偶、子女、父母有权依法请求行为人承担民事责任；死者没有配偶、子女且父母已经死亡的，其他近亲属有权依法请求行为人承担民事责任。”《个保法》从法律层面明确赋予了由死者近亲属行使死者的个人信息权利的权利，也是对上述民法典相关规定的一种延伸。
（1）自然人死亡是前提之一
（2）行使该权利的前提之二
死者是否在生前有专门的安排等。如果存在，则近亲属不一定享有该请求权。实践中，对于死者在互联网或者第三方（例如游戏公司、微信等）留存的大量数字资产、个人信息等，一般很少由死者做出专门的安排，而一般这类公司的平台规则，可能会有专门的规则，该规则对死者是否有法律约束力，仍要具体问题具体分析。例如涉及死者的一些通信内容、邮件信息，可能涉及个人隐私，未来近亲属行使该权利，还需要更精细的规定。为此，这里所谓的安排，具体的形式内容还有待观察。
（3）行使该权利的主体是死者的近亲属
按照《民法典》第一千零四十五条的规定，“亲属包括配偶、血亲和姻亲。配偶、父母、子女、兄弟姐妹、祖父母、外祖父母、孙子女、外孙子女为近亲属。配偶、父母、子女和其他共同生活的近亲属为家庭成员。”
（4）考虑死者的隐私和相关具有人格属性个人信息，近亲属要行使相关死者的个人信息权利，还需要满足下面的条件
即：为了自身的合法、正当利益，可以对死者的相关个人信息行使本章规定的查阅、复制、更正、删除等权利。这里一方面需要注意，“相关个人信息”的提法，即存在一定限制，可能主要是保护死者的个人隐私问题；另一方面，还要考虑避免侵害第三人的个人隐私。因为死者的相关个人信息，往往涉及通信等敏感内容，为此需要防范近亲属按照该条侵害第三人权益。为此，该条也特别强调近亲属的“自身合法、正当利益”。但是即使有这个条件，但是实务中，仍然纷繁复杂。
例如，这个合法、正当利益，个人信息处理者是否可以判断，还是交给法院判断？个人信息处理者的平台规则如果明确的话，是否对近亲属具有法律约束力？是否要限制个人信息近亲属代死者行使个人信息权益的范围或者程度？多个近亲属都希望行使这个权利，发生冲突怎么办？值得未来进一步探索和观察。

第五十条　个人信息处理者应当建立便捷的个人行使权利的申请受理和处理机制。拒绝个人行使权利的请求的，应当说明理由。
个人信息处理者拒绝个人行使权利的请求的，个人可以依法向人民法院提起诉讼。

【解读】

1、修订情况
该条款未做修订。

2、法律分析
整体而言，《个保法》第四章对个人在个人信息处理活动中的权利进行了原则性规定，包括但不限于知情权、决定权、查阅权、可携权、复制权、更正权、补充权、删除权、要求解释及说明权、权利的继承等。而这些权利的最终落地和执行，仍然依赖于个人信息处理者切实建立个人行使权利的申请和处理机制。否则，上述各项权利的保护无法得到真正的贯彻落实。而第五十条的规定，则明确了个人信息处理者需承担建立上述机制的义务，并且如果拒绝个人请求的，应当说明理由。
值得注意的是，《个保法》除了本条，第十五条提到便捷撤回同意，第二十四条第二款提到针对自动化决策向个人进行信息推送、商业营销，提供便捷拒绝的方式。为此这三处的页面设计和响应机制，个人信息处理者尤其应该注意。
实务中，需要注意结合个人信息主体所主张的个人信息权利类型，考虑对应的合法合理的拒绝理由。这些拒绝理由包括：（1）国家秘密；（2）商业秘密；（3）反洗钱等法定义务；（4）合法合理的技术限制，需要一定期限或满足一定条件才可以实现；（5）法律上并无明确该权利的行使内容或范围，个人信息主体扩大理解且不利于企业正常经营；（6）个人信息主体滥用该权利；（7）合法的协议约束且未违反法定的强制性规定等。

第五十一条　个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等，采取下列措施确保个人信息处理活动符合法律、行政法规的规定，并防止未经授权的访问以及个人信息泄露、篡改、丢失：
（一）制定内部管理制度和操作规程；
（二）对个人信息实行分类管理；
（三）采取相应的加密、去标识化等安全技术措施；
（四）合理确定个人信息处理的操作权限，并定期对从业人员进行安全教育和培训；
（五）制定并组织实施个人信息安全事件应急预案；
（六）法律、行政法规规定的其他措施。

【解读】

1、修订情况
该条在《正式稿》中主要将个人改为个人权益，表述更准确。对于具体所采取的措施，将之前《一次审议稿》中的分级分类，在《二次审议稿》中改为分类管理。《正式稿》予以了采纳。

2、法律分析
《个保法》第五十一条是对个人信息处理者安全保护义务的明确。与《一次审议稿》相比较，本条第二款删去了“分级”一词。我们注意到《数安法》第二十一条第一款提到分级制度，具体规定“国家建立数据分类分级保护制度，根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录，加强对重要数据的保护。”
值得关注的是，在具体行业里，如金融数据分级方面，2020年9月23日，中国人民银行发布了《金融数据安全 数据安全分级指南》，金融企业可以参考。该指南对金融数据分为了5级，从高到低划分为5、4、3、2、1级。而在具体金融数据分类方面，则可以参考2020年2月13日实施的、由中国人民银行发布的《个人金融信息保护技术规范》，其中第4.2条款，明确了个人金融信息的类别，分为C3、C2、C1三类。其中C3类是最为敏感的类别。
本条融合了《网安法》第二十五条、第二十六条、第三十九条以及第四十条的相关义务，要求个人信息处理者建立完备的管理制度对个人信息进行分类管理，同时要求其运用相应技术手段，保证个人信息安全的安全、自主和可控。另外，还要求在日常工作中引入相关机制对相关从业人员进行必要培训，并制定和实施相应应急预案。
就从业人员管理而言，该条明确要求个人信息处理者应定期对从业人员进行安全教育和培训。就培训的时间点而言，在新员工入职时，就将个人信息安全作为教育和培训内容之一，强化个人信息安全意识，并且定期开展个人信息安全教育和培训；就培训内容而言，个人信息保护的相关法律法规规定、内部制度、操作流程等，特别是最新出台的规定和内部制度流程等的重要修订，应该纳入培训的内容；就培训对象而言，应当应是包含高层员工在内的全体员工。领导层高度重视、基层员工严格践行，方能更好地开展个人信息安全工作。
本条列举的义务属于法定义务，个人信息处理者应该逐一遵守，如造成个人信息泄露，上述义务如未履行，则存在被推定存在过错，对外承担赔偿责任以及行政处罚的法律责任、甚至刑事责任的风险。

第五十二条　处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人，负责对个人信息处理活动以及采取的保护措施等进行监督。
个人信息处理者应当公开个人信息保护负责人的联系方式，并将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门。

【解读】

1、修订情况
《正式稿》基本上采纳了《二次审议稿》的修订意见。而《二次审议稿》删除了公开个人信息保护负责人姓名的条款，并将其姓名采取报送监管部门的方式解决。其他条款未做修订。

2、法律分析
对于从事个人信息处理行业的企业来说，设立个人信息保护负责人成了必选项。我国《个人信息国标》11.1条明确了设立专职的个人信息安全保护负责人和个人信息保护工作机构的数据体量（从业人员规模大于200人、或者处理超过100万的个人信息、或者预计在12个月内处理超过100万人的个人信息、或者处理超过10万人的个人敏感信息）。未来网信部门对于具体数量的规定，有待进一步关注。
值得注意的是，这一条对于个人信息保护负责人的任职条件、专业能力、相关落实其职责的保障措施，规定的比较模糊。结合《个保法》第六十六条第二款的规定，“有前款规定的违法行为，情节严重的，由省级以上履行个人信息保护职责的部门责令改正，没收违法所得，并处五千万元以下或者上一年度营业额百分之五以下罚款，并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款，并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。”为此，实务中，个人信息保护负责人如果因为履行职责可能与公司业务发展发生冲突，并存在被负责人辞退风险，自身又需要获得公司的报酬，则其职责的履行可能面临困境。未来需要考虑如何加强对个人信息保护负责人的责任豁免或者职责支持等方面的制度设计，避免该岗位的设置如我国“独立董事制度”一样，无法全方位地发挥其制度设计初衷的目标。
参考阅读：风起云涌，更当深惟重虑——《网络安全审查办法（修订草案征求意见稿）》要点快评

第五十三条　本法第三条第二款规定的中华人民共和国境外的个人信息处理者，应当在中华人民共和国境内设立专门机构或者指定代表，负责处理个人信息保护相关事务，并将有关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门。

【解读】

1、修订情况
本条款未做修订。

2、法律分析
因为有了《个保法》第三条第二款，为此域外管辖下，为了更好的执行相关监管措施，要求境外个人信息处理者需要在我国境内设立专门的机构或者指定代表。该项规定弥补了漏洞，与GDPR等域外个人信息保护法的机制保持了一致。
但是本条并未具体规定，设立专门机构及指定代表的程序和相应的主管机关；也未明确境外个人信息处理者未遵守本条规定所需承担的法律责任和后果。以上两点还需要有关机关进一步落实。
在立法精神上，本条内容与国家网信办2019年出台的《个人信息出境安全评估办法（征求意见稿）》不谋而合，该征求意见稿第二十条的规定指出：境外机构经营活动中，通过互联网等收集境内用户个人信息，应当在境内通过法定代表人或者机构履行本办法中网络运营者的责任和义务。

第五十四条　个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。

【解读】

1、修订情况
《二次审议稿》修订幅度较大，表述更为简洁。之前《一次审议稿》，明确了具体合规审计的部分内容，而且还明确了监管部门有权要求个人信息处理者委托专业机构进行审计。但是《二次审议稿》基本上都删除了。《正式稿》采纳了《二次审议稿》的意见。

2、法律分析
相比于《二次审议稿》删除了“采取的保护措施等”、“个人信息保护职责的部门有权要求个人信息处理者委托专业机构进行审计”等内容。我们认为，删除“采取的保护措施等”应该是立法者考虑“处理活动”已能够涵盖个人信息处理者所采取的保护措施，从条文内容简化凝练的角度而言，删除该表述未尝不可。
此外，《二次审议稿》并不是完全删除“履行个人信息保护职责的部门有权要求个人信息处理者委托专业机构进行审计”，而是将该部分内容调整至第六章。笔者认为，这种调整主要是为了明确该条款的适用场景。
本条并未规定定期审计的时间要求，但是定期审计的要求就意味着对个人信息处理者的监管是一个长期的过程。这一点，在《个人信息国标》中也有体现。其第11.7条的规定，“对个人信息控制者的要求包括：（a）应对个人信息保护政策、相关规程和安全措施的有效性进行审计；（b）应建立自动化审计系统，监测记录个人信息处理活动；（c）审计过程形成的记录应能对安全事件的处置、应急响应和事后调查提供支撑；（d）应防止非授权访问、篡改或删除审计记录；（e）应及时处理审计过程中发现的个人信息违规使用、滥用等情况；（f）审计记录和留存时间应当符合法律法规的要求。”
因此，个人信息处理者有必要聘请专业的律师、会计师等专业机构，对于自身的合规性进行定期审查并做出相应的整改。这样也可以证明自身不存在过错，履行了相关保障措施，避免或降低承担民事赔偿责任风险和高额行政处罚责任风险。

第五十五条　有下列情形之一的，个人信息处理者应当事前进行个人信息保护影响评估，并对处理情况进行记录：
（一）处理敏感个人信息；
（二）利用个人信息进行自动化决策；
（三）委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息；
（四）向境外提供个人信息；
（五）其他对个人权益有重大影响的个人信息处理活动。

第五十六条　个人信息保护影响评估应当包括下列内容：
（一）个人信息的处理目的、处理方式等是否合法、正当、必要；
（二）对个人权益的影响及安全风险；
（三）所采取的保护措施是否合法、有效并与风险程度相适应。
个人信息保护影响评估报告和处理情况记录应当至少保存三年。

第五十七条　发生或者可能发生个人信息泄露、篡改、丢失的，个人信息处理者应当立即采取补救措施，并通知履行个人信息保护职责的部门和个人。通知应当包括下列事项：
（一）发生或者可能发生个人信息泄露、篡改、丢失的信息种类、原因和可能造成的危害；
（二）个人信息处理者采取的补救措施和个人可以采取的减轻危害的措施；
（三）个人信息处理者的联系方式。
个人信息处理者采取措施能够有效避免信息泄露、篡改、丢失造成危害的，个人信息处理者可以不通知个人；履行个人信息保护职责的部门认为可能造成危害的，有权要求个人信息处理者通知个人。

【解读】

1、修订情况
《正式稿》将原来的条款拆成了第五十五、五十六条。针对第五十六条个人信息安全影响评估报告的内容，进行明确。同时，针对个人信息泄露，也明确了可能发生个人信息泄露，也要采取补救措施、通知监管部门和个人。这一做法，在《二次审议稿》中并没有。可见对于个人信息泄露的遏制，监管采取了更严格的做法。需要防患于未然，避免损失扩大。

2、法律分析
总体上，这三个条款的亮点在于，
第一，《个保法》将个人信息保护影响评估报告的要求提升至法律强制性要求。之前只是在个人信息国标、以及2021年6月1日实施的《个人信息安全影响评估指南》（GB/T 39335-2020）中进行明确；一定程度上还是增加了企业的数据合规成本。
第二，针对强制性需要完成的个人信息安全影响评估的场景也做了明确，合计四大场景，外加一个兜底场景。针对兜底场景，需要企业内部技术和法务共同考量，设计相关制度和决策机制，确保个人信息保护影响评估的灵活应用。但是，是否每一次业务行为都要进行评估，还是一次评估可以适用于同样性质、规模的场景，目前还不得而知。
第三，针对个人信息泄露，增加了可能发生个人信息泄露的情形，也要做补救和通知。就通知和补救措施而言：
首先，通知的主体责任被限定为个人信息处理者；
其次，第五十七条还明确了履行通知义务的条件是发生或者可能发生个人信息泄露、篡改、丢失的。
再次，除通知义务外，个人信息处理者还需要及时采取补救措施，防止损失的扩大。
最后，第五十七条还规定豁免向个人信息主体通知的情形，但是这个豁免限于个人，不包括履行个人信息职责的部门，也就是说无论如何都要通知履行个人信息职责的部门。而且履行个人信息职责的部门认为应该通知个人的，个人信息处理者最终还是要通知。这个决定权最终还是在履行个人信息职责的部门。值得注意的是，个人信息处理者采取的补救措施必须是及时且专业的，由于补救措施采取的不及时或者是不专业导致个人信息泄露扩大进而导致个人损失扩大的，个人信息处理者可能还需要承担相应的侵权责任。

第五十八条　提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，应当履行下列义务：
（一）按照国家规定建立健全个人信息保护合规制度体系，成立主要由外部成员组成的独立机构对个人信息保护情况进行监督；
（二）遵循公开、公平、公正的原则，制定平台规则，明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务；
（三）对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者，停止提供服务；
（四）定期发布个人信息保护社会责任报告，接受社会监督。

【解读】

1、修订情况
该条款又称守门人制度条款。该条款在《一次审议稿》并没有加入，《二次审议稿》加入后，《正式稿》对其进行了调整。第一是把基础互联网改为了“重要互联网”，该表述范围应该是更广，但是何为重要互联网，并无界定；其次是在履行的法定义务上，增加了2项义务。一个是健全制度体系，一个是从正面要求互联网平台制定平台规则。

2、法律分析
本条体现了近期监管机关强化对大型互联网的监管、加大对信息泄露等安全事件监管的趋势。但是，对于“重要互联网服务平台”、“外部成员”、“个人信息社会责任报告”等术语的界定还需要等待有关部门后续的细则和解释。再次，我们可以从以下几个方面，对本条进行解读。
（1）“重要互联网平台服务”是《个保法》首次提出的概念，有待后续的配套规定做出进一步解释。
虽然对于“重要”的该概念官方还没有明确的解释，但是对于“互联网平台”的理解，《国务院反垄断委员会关于平台经济领域的反垄断指南》（2021年2月7日）中进行了解释，该指南第二条明确了“互联网平台”和“平台经营者”的概念，其规定“相关概念（一）平台，本指南所称平台为互联网平台，是指通过网络信息技术，使相互依赖的双边或者多边主体在特定载体提供的规则下交互，以此共同创造价值的商业组织形态。（二）平台经营者，是指向自然人、法人及其他市场主体提供经营场所、交易撮合、信息交流等互联网平台服务的经营者。” 张新宝教授认为，“其所称守门人是指控制移动互联网生态关键环节（技术环境和运营环境）、有资源或有能力影响其他个人信息处理者处理个人信息能力的互联网营运者。…主要包括以下三类：一是应用程序的分发平台…二是移动终端操作系统…三是平台型App…[9]。”而在欧盟的《数据市场法（草案）》中，则明确了八大核心平台服务，分别是“在线中介服务；在线搜索引擎；在线社交网络服务；视频分享平台服务；与号码无关的人际通信服务；操作系统；云计算服务；广告服务。[10]”另外，并非所有互联网平台均纳入本条的适用范围，需同时满足三个条件属于重要互联网平台、用户数量巨大、业务类型复杂才适用。
（2）成立主要由外部成员组成的独立机构，该条与GDPR规定的外部聘请的数据保护官（“DPO”）类似。
对于外部成员术语的定以，本条并未进行具体的解释。可参照具体实践中，现行公司法所规定的类似独立董事制度已经规定较为成熟。我们认为，这些人员从身份关系上来看，应是属于与公司无劳动关系、无关联关系、无隶属关系等无任何可能影响公平、公正履职情形的人员；从社会身份上来看，可能胜任外部成员的包括长期从事个人信息保护研究的法学专家、技术测评专家、律师等。但是从独立董事等机制的运行情况来看，在重要互联网平台中，该独立机构如何发挥独立性，是否从该平台获得薪酬，何种情形下可以辞退独立机构的人员或者解散该机构等，都值得进一步探索和研究。

第五十九条　接受委托处理个人信息的受托人，应当依照本法和有关法律、行政法规的规定，采取必要措施保障所处理的个人信息的安全，并协助个人信息处理者履行本法规定的义务。

【解读】

1、修订情况
本条是《二次审议稿》新增内容。《正式稿》对其进行了微调，更为严谨，并明确了受托人的协助个人信息处理者的相关法定义务。

2、法律分析
（1）本条明确了受托人也“应当履行本法、其他法律、行政法规的规定，采取必要措施保障所处理的个人信息的安全”。
（2）从立法精神上来看，与《个人信息国标》第9.1条“委托处理”中对受托人的规定有相似之处。实务中，为了避免委托协议中，对于受托人的安全义务约定不明，通过法定义务的设置，来约束受托人，是具有很重要的法律意义的。按照最新出台的《数安法》，在政务数据的对外委托处理中，对于受托人的数据安全义务也进行了设置。
（3）与GDPR明确区分“个人数据的控制者”和“个人数据的处理者”不同的是，我国在个人信息保护的立法中对个人信息处理者并未明确区分，也未明确受托人的个人信息处理者的地位。同时，本条也未明确与委托处理个人信息相关的重要法律问题，例如是否包括委托方与受托人因个人信息处理而导致的违规，以及侵权所产生的责任分担问题。具体还要结合我国《民法典》等法律法规以及相关协议约定进行处理。
（4）受托人的具体协助义务，应包括协助个人信息处理者完成个人信息安全影响评估；配合个人信息处理者完成合规审计；协助个人信息处理者做好个人信息主体的权利响应；以及履行数据处理协议中的其他义务。

第六十条　国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。国务院有关部门依照本法和有关法律、行政法规的规定，在各自职责范围内负责个人信息保护和监督管理工作。
县级以上地方人民政府有关部门的个人信息保护和监督管理职责，按照国家有关规定确定。
前两款规定的部门统称为履行个人信息保护职责的部门。

第六十一条　履行个人信息保护职责的部门履行下列个人信息保护职责：
（一）开展个人信息保护宣传教育，指导、监督个人信息处理者开展个人信息保护工作；
（二）接受、处理与个人信息保护有关的投诉、举报；
（三）组织对应用程序等个人信息保护情况进行测评，并公布测评结果；
（四）调查、处理违法个人信息处理活动；
（五）法律、行政法规规定的其他职责。

【解读】

1、修订情况
《正式稿》在第六十一条增加了一项职责。其他没有修订。

2、法律分析
（1）监管部门
对于第六十条规定的监管部门及其职责，我们整理如下图：

（点击查看大图）

（2）监管联合执法
以上各个部门在个人信息保护监管与执法上，经常联合执法。例如：2021年6月11日，中央网信办、工业和信息化部、公安部、市场监管总局关于开展摄像头偷窥等黑产集中治理的公告。
（3）新增的法定职责“组织对应用程序等个人信息保护情况进行测评，并公布测评结果”，也回应了目前网信办、工信部和公安部，通过各自所委托的检测单位进行检测，并对违法违规的APP进行曝光的行为。

第六十二条　国家网信部门统筹协调有关部门依据本法推进下列个人信息保护工作：
（一）制定个人信息保护具体规则、标准；
（二）针对小型个人信息处理者、处理敏感个人信息以及人脸识别、人工智能等新技术、新应用，制定专门的个人信息保护规则、标准；
（三）支持研究开发和推广应用安全、方便的电子身份认证技术，推进网络身份认证公共服务建设；
（四）推进个人信息保护社会化服务体系建设，支持有关机构开展个人信息保护评估、认证服务；
（五）完善个人信息保护投诉、举报工作机制。

【解读】

1、修订情况
《二次审议稿》新增内容较多，《正式稿》在《二次审议稿》基础上做了完善。补充了“小型个人信息处理者”概念，补充了“完善个人信息保护投诉、举报工作机制”、“推进网络身份认证公共服务建设”。

2、法律分析
从本次补充修订的内容可以看出，未来的几个趋势：
第一，推进网络身份认证公共服务建设，有利于避免在身份认证过程中，对个人信息进行过度采集，是比较有利的技术手段；
第二，《个保法》第十一条群防群治条款，与这里的支持社会化服务体系建设，一脉相承。通过加强个人信息保护评估、认证服务，有助于提高个人信息处理者的数据治理水平；
第三，此外，在小型个人信息处理者的认定上，有助于促进数字经济发展，避免在企业早期就苛以严格的个人信息保护义务。
为此，未来值得我们关注的是：（1）小型个人信息处理者的认定条件；（2）对于敏感个人信息、人脸识别、人工智能等出台专门的个人信息保护规则和标准；（3）相关机构有权开展网络身份认证公共服务建设；（4）相关机构有权开展对个人信息保护的评估，认证服务资质；（5）个人信息保护投诉和举报工作机制会更加通畅。

第六十三条　 履行个人信息保护职责的部门履行个人信息保护职责，可以采取下列措施：
（一）询问有关当事人，调查与个人信息处理活动有关的情况；
（二）查阅、复制当事人与个人信息处理活动有关的合同、记录、账簿以及其他有关资料；
（三）实施现场检查，对涉嫌违法的个人信息处理活动进行调查；
（四）检查与个人信息处理活动有关的设备、物品；对有证据证明是用于违法个人信息处理活动的设备、物品，向本部门主要负责人书面报告并经批准，可以查封或者扣押。
履行个人信息保护职责的部门依法履行职责，当事人应当予以协助、配合，不得拒绝、阻挠。

第六十四条　履行个人信息保护职责的部门在履行职责中，发现个人信息处理活动存在较大风险或者发生个人信息安全事件的，可以按照规定的权限和程序对该个人信息处理者的法定代表人或者主要负责人进行约谈，或者要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。个人信息处理者应当按照要求采取措施，进行整改，消除隐患。
履行个人信息保护职责的部门在履行职责中，发现违法处理个人信息涉嫌犯罪的，应当及时移送公安机关依法处理。

【解读】

1、修订情况
《正式稿》相比《二次审议稿》，在查封、扣押权方面，增加了主要负责人的书面审批程序；第六十四条第二款，增加了行政责任和刑事责任的衔接条款。

2、法律分析
（1）《个保法》第六十三条赋予了个人信息保护责任的部门各项监管措施。其中查封、扣押权的权力威慑力较大，其是对数据合规执法的重要支撑。实践中，监管部门需要按照我国《行政强制法》、《行政处罚法》的要求，合法使用上述行政权力，保护行政相对人的合法权利，同时也避免行政复议、行政诉讼后的败诉风险。建议对于上述权力的履行，特别是证据的采集等，另行制订相关实施细则，以便更好的操作。
（2）《个保法》的出台，随着该法深入人心，相关民事诉讼会逐步增加，相关行政处罚案例也会增加。而与个人信息有关的刑事责任，一直存在，例如侵犯公民个人信息罪、拒不履行信息网络安全管理义务罪、非法获取计算机信息系统数据罪等等，这些罪名的适用条件并不高，从行政责任到刑事责任的转换，并不难。这也是个人信息违法犯罪的一大特点，即刑事责任门槛低。为此，个人信息处理者应该更加重视《个保法》项下民事责任和行政责任的构成，及时做好事前的数据合规体系的搭建，最大程度降低自身踩红线的风险。

第六十五条　任何组织、个人有权对违法个人信息处理活动向履行个人信息保护职责的部门进行投诉、举报。收到投诉、举报的部门应当依法及时处理，并将处理结果告知投诉、举报人。
履行个人信息保护职责的部门应当公布接受投诉、举报的联系方式。

【解读】

1、修订情况
该条款无修订。

2、法律分析
实务中，APP曝光、下架已经比较频繁和常规。相关的举报投诉渠道已经建立，并深入人心。随着《个保法》2021年11月1日实施，个人信息处理者应提前做好合规安排，避免2021年11月1日以后，相关竞争对手、个人消费者向相关监管部门举报或者投诉自身违法处理个人信息的情形，影响自身资本运作、IPO等安排。

第六十六条　违反本法规定处理个人信息，或者处理个人信息未履行本法规定的个人信息保护义务的，由履行个人信息保护职责的部门责令改正，给予警告，没收违法所得，对违法处理个人信息的应用程序，责令暂停或者终止提供服务；拒不改正的，并处一百万元以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
有前款规定的违法行为，情节严重的，由省级以上履行个人信息保护职责的部门责令改正，没收违法所得，并处五千万元以下或者上一年度营业额百分之五以下罚款，并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款，并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。

第六十七条　有本法规定的违法行为的，依照有关法律、行政法规的规定记入信用档案，并予以公示。

【解读】

1、修订情况
第六十七条没有变化。第六十六条，上述加黑下划线字体是调整后的表述。这一条被媒体解读为“《个保法》是中国的GDPR”。“5000万元以下或者上一年度营业额百分之五以下罚款”借鉴了GDPR中的从重档即2000万欧元或者企业上一年度全球营收的4%（两者取其高）罚款的严厉处罚思路，体现了我国积极参与全球数据治理的态度。

2、法律分析
《个保法》全文的重点之一，就是这个条款。核心关键词是在情节严重，对个人信息处理者处以5000万元以下或者上一年度营业额百分之五以下罚款。这里的前提有三：第一，“违反本法规定处理个人信息，或者处理个人信息未履行本法规定的个人信息保护义务的”，这个范围其实非常广，纵观个保法全文，设置的义务和规定都非常多，这里的表述是非常模糊，为此需要个人信息处理者全面梳理个保法的义务清单；第二，行政处罚一般是一个递增过程，一般不会直接马上到情节严重，为此适用罚款之前，可能会有其他的处罚措施，例如新增的“对违法处理个人信息的应用程序，责令暂停或者终止提供服务”，例如拒不改正则处以“一百万元以下罚款”；第三，情节严重。如果违法情况一下子就达到了情节严重的程度，那么就会面临这个高额处罚，而且这个高额处罚可能会配以“暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照”的处罚措施。为此需要个人信息处理者尤其重视。
对于个人信息处理者的直接负责的主管人员和其他直接责任人员，也需要注意该条款的适用。数据安全负责人或者相关总经理，数据合规负责人，因为单位受罚，可能也会面临个人的行政处罚风险。之前大家对于数据合规负责人是否会受到处罚，还存在疑问，但是这次修订，也明确了“可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人”。为此，个人信息保护负责人属于上述“其他直接责任人员”，也是存在适用空间的。
未来有待进一步明确这个情节严重的认定，特别是5000万罚款的自由裁量标准，给予个人信息处理者更多可预期性。

第六十八条　国家机关不履行本法规定的个人信息保护义务的，由其上级机关或者履行个人信息保护职责的部门责令改正；对直接负责的主管人员和其他直接责任人员依法给予处分。
履行个人信息保护职责的部门的工作人员玩忽职守、滥用职权、徇私舞弊，尚不构成犯罪的，依法给予处分。

【解读】

1、修订情况
本条第二款为《正式稿》新增，其他没有变化。

2、法律分析
该条款主要是约束监管部门。新增条款，完善了对监管机构的处罚情形。

第六十九条　处理个人信息侵害个人信息权益造成损害，个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任。
前款规定的损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定；个人因此受到的损失和个人信息处理者因此获得的利益难以确定的，根据实际情况确定赔偿数额。

【解读】

1、修订情况
本条第一款《正式稿》修订了之前《二次审议稿》的表述，更为简洁。而相比《一次审议稿》，这里的表述从“能够证明自己没有过错，可以减轻或者免除责任”，调整为《二次审议稿》的“不能证明自己没有过错，应当承担损害赔偿等侵权责任”，且正式稿采纳了这个修订意见。此外，该条还明确了法院自由裁量确定赔偿数额的依据，提高了对个人信息处理者违法处理个人信息的威慑力，鼓励个人信息处理者积极维护自己的个人信息权益。

2、法律分析
根据《个保法》第六十九条的规定可以看出，个人信息主体不需要证明个人信息处理者存在过错，而是推定个人信息处理者有过错，即过错推定原则。如果个人信息处理者意图免责，就需要举证自己没有过错。而证据来自于本解读提到的多个方面，如相关法定义务履行、安全评估、个人信息安全影响评估、合规审计与尽职调查等等。这一要求，需要个人信息处理者注意自身证据符合诉讼法上的三性，即真实性、合法性和关联性。其中真实性较难证明，为此最好寻求第三方认证，否则面临存在篡改证据，证据效力不被司法认可的风险。从《一次审议稿》到《二次审议稿》的变化来看，对个人信息处理者在认定侵权责任方面是趋严了。

第七十条　个人信息处理者违反本法规定处理个人信息，侵害众多个人的权益的，人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。

【解读】

1、修订情况
《正式稿》新增了“法律规定的消费者组织”。

2、法律分析
这一条在实践中已经在使用。除了个人信息泄露引发的公益诉讼外，实务中还存在其他如格式条款严重侵害消费者权益的情形，也存在相关经典案例。
公益诉讼又分为行政公益诉讼和民事公益诉讼。这里主要是指民事公益诉讼。由最高检察院发布并于2021年7月1日实施的《公益诉讼办案规则》，也进一步确保了该条款的落实。未来，如人民检察院发出公告后，无适格主体起诉个人信息处理者，或者虽然起诉，但是无法保护公共利益的，则人民检察院将启动公益诉讼的程序。个人信息处理者面临个人信息主体、人民检察院的多重追责风险。

第七十一条　违反本法规定，构成违反治安管理行为的，依法给予治安管理处罚；构成犯罪的，依法追究刑事责任。

【解读】

1、修订情况
这一条无修订。

2、法律分析
这一条款主要是转制条款。在个人信息保护纠纷中，违反个人信息保护义务，触发数据泄露等重大事故，可能会伴随行政、刑事多重法律责任。该条是个保法与治安管理处罚法、刑法衔接的条款。实践中，比较常见的数据罪名是侵犯公民个人信息罪。

第七十二条　自然人因个人或者家庭事务处理个人信息的，不适用本法。
法律对各级人民政府及其有关部门组织实施的统计、档案管理活动中的个人信息处理有规定的，适用其规定。

【解读】

1、修订情况
这一条没有修订。

2、法律分析
实务中，需要注意2021年1月1日实施的《档案法》的衔接，也需要注意自然人因个人或者家庭事务处理个人信息，不适用本法，但是仅限于自然人，不包括法人或者其他组织，这个不适用的主体需要注意。其次就是家庭事务的场景下，也不适用。值得注意的是，GDPR在适用范围上，也排除了“自然人在纯粹个人或家庭活动中所进行的个人数据处理”。

第七十三条　本法下列用语的含义：
（一）个人信息处理者，是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。
（二）自动化决策，是指通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等，并进行决策的活动。
（三）去标识化，是指个人信息经过处理，使其在不借助额外信息的情况下无法识别特定自然人的过程。
（四）匿名化，是指个人信息经过处理无法识别特定自然人且不能复原的过程。

【解读】

1、修订情况
《正式稿》主要修订了自动化决策的定义。

2、法律分析
个人信息处理者的定义，更像GDPR个人信息控制者的定义。实务中需要做好定义，不要混用。去标识化是个人信息处理过程中，经常使用的方式，降低个人信息被泄露的风险。而匿名化，需要注意结合当时的技术情况，确保匿名化的实现。实践中，一些即使匿名化的数据，也可以通过技术恢复，那么就不是真正的匿名化了。匿名化本身带来的好处是，可以不用经过个人信息主体同意，相关匿名化数据可以更容易进行流转。
自动化决策的概念调整更为准确。实务中，大数据杀熟等均属于自动化决策的范畴。相关问题在前面已经解读，此处不赘述。

第七十四条　本法自2021年11月1日起施行。

【解读】

1、修订情况
明确了2021年11月1日施行。

2、法律分析
《个保法》实施之前的个人信息处理者的行为如果持续到2021年11月1日之后，且违反《个保法》的，则面临对应的法律风险。为此，建议个人信息处理者一定要提前做好差距分析、做好整改措施，避免触犯《个保法》的规定。