必读收藏

十国/地区个人信息保护法十大合规要点大比对

摘要：

   《中华人民共和国个人信息保护法》（以下简称《个保法》）已于2021年8月20日横空出世，并将于11月1日正式生效。作为中国第一部法典化的个人信息保护法，个保法不仅从内容上借鉴和吸收了先进海外地区的立法经验，以及包括《民法典》、《个人信息安全规范》、《网络安全法》、《电子商务法》，《数据安全法》等在内的涉及个人信息保护方面的有益内容，也从个人信息处理规则、个人信息跨境提供规则、个人信息主体权利、个人信息处理者的义务、以及个人信息保护和合规义务等具体方面，为个人信息主体的权益提供了全面的保障。

   总体上来说，个保法的出台，正式宣告网络安全与数据合规三驾马车（《网络安全法》、《数据安全法》、《个人信息保护法》）的诞生，并确立了我国个人信息保护的法治架构与体系，体现出我国高度重视个人信息保护与治理的决心与态度。

      笔者专注于互联网法律服务与合规工作，特别是全球数据与个人信息合规保护领域，一直特别关注海外数据隐私保护立法的动态与发展。

     本文旨在通过将我国个保法与海外九大主要地区的个人信息保护法案，从十个维度进行横向对比，以帮助出海互联网企业及大量接触个人信息的相关岗位人员更好地了解各国/地区在数据保护方面的异同点，以及主要合规要点。

     鉴于篇幅有限，笔者仅将主要比对维度按版块以要点的方式进行扼要列示，并期待个人信息保护同行专家朋友们的宝贵建议与指导。

第一部分：法律适用范围与域外适用效力

法律适用范围，主要是指某一法律所具有或者赋予的约束力，以及其所适用的范围广度与深度一般包括时间适用效力（开始生效和终止生效时间）、空间效力（生效的地域范围）、以及对人的效力（对哪些人员生效）。而对于个人信息保护法律而言，一般会关注地域适用范围、个人适用范围以及个人信息资料本身的适用范围。

（一）我国个保法解读：

《个保法》在第一章“总则”中就本法的适用范围进行了明确的规定。

首先，其明确规定过了“在中华人民共和国境内处理自然人个人信息的活动，适用本法”。可见，我国个保法采取了“属地原则”，明确了其适用范围之一针对的是“处理中国境内自然人信息的活动”，本法适用的个人信息主体，是指在中国境内的自然人个人，而无论该自然人是中国人还是外国人。换言之，即便是外国人主体，当其是在中国境内产生了个人数据，且被中国境内的组织、个人进行了个人信息的处理行为，则将会落入我国个保法的管辖和保护范围内。

举例说明

一款主要为境内用户提供购物服务的国内电商类App，在其服务过程中，收集了某位身处中国境内的外国人主体的个人信息时，则该电商类App在中国境内处理该等外国个人主体的个人信息时，需要遵守我国个保法的规定。而至于该电商类App对外国人主体个人信息的处理行为，是否还会落入该外国人所属国家或其他第三方国家/地区的个人信息保护法的适用范围，或海外地区的法律是否对本场景下的个人信息处理活动享有管辖权，则还需结合该海外地区的数据保护法案的适用范围进行分析（我们将在下文的图表对比中提供判断思路）。

其次，我国个保法明确了它也是具有域外适用效力的，体现在第三条第二款的规定：“在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动，有下列情形之一的，也适用本法：

（一）以向境内自然人提供产品或者服务为目的；

（二）分析、评估境内自然人的行为；

（三）法律、行政法规规定的其他情形。”

可见，我国个保法借鉴了欧盟GDPR，明确了其具有必要的域外适用效力，规定了当向境内自然人提供产品或服务，或分析、评估境内自然人的行为亦适用个保法的规定。

回到刚才的例子，假如该电商类App在新加坡部署了数据中心，并在新加坡（中国境外）处理该外国人的数据，鉴于该App是以向中国境内自然人提供服务的，且该外国人亦身处中国境内， 因此仍然落入我国个保法的适用范围，需要遵守我国数据保护法律法规的相关要求。

特别需要注意的是，对于境外的个人信息处理者，我国个保法明确要求了应当在中国境内设立专门机构或者指定代表，负责处理个人信息保护相关事务，并将有关机构或者代表的信息报送履行个人信息保护职责的部门。

但对比于欧盟GDPR的地域适用范围，我国个保法的规定还是有细微的区别。

欧盟GDPR是由“稳定的安排/组织设立机构（establishment）”，以及“服务目标/开展业务过程中（in the context of the activities）”两个标准共同确立的，而我国个保法的地域适用范围则是由“处理行为发生地”和“服务目标”确定的。这里的异同体现在“稳定的安排/组织设立机构（establishment）”与“在境内进行处理”，是不一样的。根据我国个保法的要求，只要处理自然人个人信息的活动发生在我国境内，或者以向我国境内自然人提供产品或者服务为目的，就会被纳入个保法的管辖，而不管是否需要在我国境内具有稳定的安排或设有机构（establishment）。

当然，我国个保法亦明确了其不适用的情形，包括：

（1）  自然人因个人或者家庭事务而处理个人信息的，不适用本法。

（2）  法律对各级人民政府及其有关部门组织实施的统计、档案管理活动中的个人信息处理有规定的，适用其规定。”

（二）海外主要个人信息保护法律对比：

总体来说

《个保法》在适用范围上借鉴了欧盟GDPR的相关规定，纵观上表其他国家/地区的数据保护法律的管辖范围，不难看出，在全球范围内扩大本国/本地区的数据保护法律的域外效力已成为立法趋势。企业在出海业务发展过程中，特别是当企业涉及处理海外主体的个人信息时，应特别关注是其个人信息处理行为，是否会落入该国或地区的个人信息保护法案管辖范围，以进一步确认是否遵守以及该如何遵守该国或地区的数据保护法律及与此相关的法律规定。

第二部分：个人信息处理规则与特别注意事项

个人信息处理原则以及个人信息处理的具体规则，是每个国家数据保护法案中最为关键和核心内容，通过在法案中明确处理个人信息的合法性基础，以及对应的具体规则，以帮助企业和个人在处理个人信息时候厘清权利义务的边界，企业、组织在处理个人信息活动时应当特别留意和关注关于个人信息处理的具体规则要求。

（一）我国个保法解读：

经过三审会议的我国个保法，在关于个人信息处理原则和处理规则上有了更进一步细化和完善，为企业、组织在处理个人信息时候划定了更清晰的红线。

01 个人信息保护原则

我国个保法第五条到第十一条确立了个人信息处理应遵循的原则，强调处理个人信息应当遵循合法、正当、必要和诚信原则，具有明确、合理的目的并与处理目的直接相关，采取对个人权益影响最小的方式，限于实现处理目的的最小范围，公开处理规则，保证信息质量，采取安全保护措施等。

归纳来看，可以理解为主要的七大原则：

1.合法、正当、必要和诚信原则

是指处理个人信息时，一方面，应当具有合法性的基础（在下文分析）、具有正当的理由、并应满足必要性的要求（对个人信息的处理应当限定在为了实现处理目的所必要的范围内），另一方面，要遵守诚信原则，不得通过误导、欺诈、胁迫等方式处理个人信息。

2.目的明确、合理原则

相比于《二审稿》，个保法新增了“采取对个人权益影响最小的方式”，即将个人权益的影响程度作为是否明确、合理的判断标准，再次特别强调了，信息的收集范围与处理目的应当直接关联，并应该限制在实现目的的最小范围内（最小必要原则，不得过度收集个人信息）。

3.公开、透明原则

是指，处理个人信息，一方面应该对企业、组织是如何处理用户的个人信息进行公开；另一方面，还应通过这些公开的政策、规则来明确展示企业、组织在处理个人信息方面的具体目的、处理方式和处理范围。

4.质量原则

相比于《二审稿》，个保法新增了“保证个人信息的质量”的要求，其具体内涵是指，为实现个人信息的处理目的，企业、组织应当对其所处理的个人信息保证准确，并在有变化时候进行及时的更新。

5.安全保护原则

没有数据安全的保障，就没有对数据的有力保护，安全是保护的关键前提，企业、组织应当对其个人信息处理活动负责，并采取必要措施保障所处理的个人信息的安全。

6.禁止非法处理原则

个保法明确列举了8大“禁止性行为”，给企业、个人划定了清晰的红线：任何组织、个人不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息；不得从事危害国家安全、公共利益的个人信息处理活动。

7.共同治理原则

个人信息保护是一项需要个人、企业、行业组织、监管部门等各方面共同协作、参与的事项，一方面，国家通过建立、健全个人信息保护制度，对侵害个人信息权益的行为进行预防和惩治；另一方面，也需要通过加强个人信息保护宣传教育工作，推动形成政府、企业、相关行业组织、社会公众共同参与个人信息保护的良好环境。

02 “告知-同意”是核心规则

我国个保法明确了以“告知—同意”为我国个人信息保护的核心规则（核心的合法性基础），一方面，为个人对其个人信息处理的知情权和决定权提供了重要的保障；另一方面，以“同意”作为合法理由处理个人信息，必须赋予用户撤回同意的权利。这与GDPR的规则设置是非常类似的。

对于如何进行告知，个保法明确了，企业不仅要真实、准确、完整地向个人“充分告知”与处理个人信息的各类事项（包括处理者身份、联系方式、处理目的、处理方式、信息种类、保存期限、个人行使权力的方式和程序等等），还需要以显著方式、清晰易懂的方式进行，并且在重要事项发生变更时，还应重新取得个人的同意，而不能“一次了事”。

对于如何获得同意，则要求个人需要在“充分知情”的前提下，作出自愿的、明确的同意，而不能是被强迫的、不平等的，也不能是含糊的、不清晰的情况下作出。

值得一提的是，本次个保法在处理个人信息的合法理由中，新增了“实施人力资源管理所必需”作为处理个人信息的合法理由之一，但在使用这一合法理由时，应特别注意这是附条件的，只有是满足了“依法制定的劳动规章制度”和“依法签订的集体合同”才可以，而何为“依法制定”和“依法签订”，就为作为用人单位的企业在处理员工的个人信息时留下了非常值得研究的实操空间以及合规空间，也对企业在处理员工个人信息时，提出了更进一步的合规要求。

03 “单独同意”是特别规则

与此同时，我国个保法还针对“法律、行政法规等专门规定的特殊情况”，特别设置了特殊的单独同意规则。

处理敏感个人信息情形：

例如，企业在处理个人敏感信息时，除了在隐私政策中，向用户告知处理敏感个人信息的具体种类、处理的必要性、对个人的影响，采取严格的保护措施外，还需要在该特定场景触发时，通过如单独弹窗、单独页面展示等方式向个人告知，并获得个人的单独的、明示有效的同意，而不能是“概括同意”，“一揽子同意/捆绑授权”，更不能是“默认同意”。

处理儿童个人信息情形：

例如，在企业收集不满14周岁的未成年人个人信息的场景下，企业还应当取得未成年人的父母或者其他监护人的同意。

向其他个人信息处理者提供个人信息情形：

例如，在企业向其他第三方合作伙伴（其他个人信息处理者）提供、转移个人信息的场景下，除了需要向个人履行告知义务（个保法规定了告知内容的法定要求），进行事前的风险评估外，还应当取得个人的单独同意。

而对于前述情况下作为数据接收方的第三方合作伙伴，除了应该在传输方告知个人的范围内处理个人信息，还应该在接收方企业变更原先的处理目的和方式时，重新取得个人的同意。

在公共场所安装图像采集、个人身份识别设备的情形：

这是本次个保法新增的内容，与目前大量企业滥用摄像头收集个人信息、特别是人脸识别信息等情况有关，也与今年8月1日出台的最高人民法院《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》起到遥相呼应的效果。

与此相关的企业应特别关注和留意，在安装图像采集、个人身份识别设备时，应当：

01

是为了维护公共安全所必需——限制收集目的；

02

在遵守国家有关规定的同时，还应设置显著的提示标识——明确告知方式；

03

特别需要注意的是，企业因此而收集的个人图像、身份识别信息，只能用于维护公共安全的目的，不得用于其他目的；但取得个人单独同意的除外——限制处理用途。

公开个人信息的情形：

个保法明确规定了，原则上不得公开，但取得个人单独同意的除外。

值得注意的是，在使用公开个人信息方面，我国个保法参考海外数据保护法规，也提供了“选择退出”的规定：

01

对于个人自行公开或者其他已经合法公开的个人信息，除非个人明确拒绝，个人信息处理者可以在合理范围内处理；

02

对于处理已公开的个人信息，而对个人权益有重大影响的，个人信息处理者应当取得个人同意。

04豁免告知作为例外规则

本次个保法不仅在告知的内容要求上和告知的形式上作出了进一步的细化要求，还确立了两种个人信息处理者可以进行豁免的告知情形：

1.基于保密义务的豁免：

当有法律、行政法规规定应当保密或者不需要告知的情况下，可以不向个人告知个人信息处理者的名称或者姓名和联系方式。

2.基于紧急情况的豁免：

为保护自然人的生命健康和财产安全而无法及时向个人告知的情况下，可以在紧急情况发生之时不进行告知，但是应当在紧急情况消除后及时告知。

05共同处理承担连带责任规则

本次个保法正式确定了共同处理者的概念（共同决定个人信息的处理目的和处理方式的），也是新增内容之一。

与欧盟GDPR以及先前出台的个人信息规范不同的是，个保法在概念上没有区分个人信息控制者和处理者，而是通过明确规定 “在共同处理个人信息时，在侵害个人信息权益造成损害的情况，应当一起依法承担连带责任”的方式，确立了由共同处理者一起面向个人数据主体去承担连带责任。

提醒企业注意的是，在发生共同处理的情况下，应该通过合同的方式与第三方明确约定双方的权利与义务，明确各自需要承担的责任，要求第三方共同满足个人信息安全的要求，同时亦需要向个人数据主体进行有效的告知。

06 自动化决策应确保透明公平公正，并有权进行拒绝的规则

这可能是本次个保法最为关注也受到最大热议的亮点之一，明确了广大用户关注的自动化决策的规制，即应“保证决策的透明度和结果公平公正”且“不得对个人在交易价格等交易条件上实行不合理的差别待遇”。

要求企业在自动化决策最为普遍的应用场景“信息推送、商业营销”中，应当向个人提供“不针对其个人特征的选项”，或者“向个人提供便捷的拒绝方式”。

特别是，对于对用户的个人权益造成重大影响的情况，法律明确为个人主提供了要求解释清楚的权利以及进行明确拒绝的权利。

本条的出现，在实务中，引起了非常多与个性化推荐有关的企业的关注，特别是精准广告的行业企业，在接下来的实际应用中，相信会有更多的实务难题出现。但从最基本的合规注意事项而言，企业可以关注以下基本的合规逻辑：

01

以充分、全面、清晰告知用户，以及取得用户的个人同意为合法性基础，其确保该同意是自愿、明确的；

02

由公司设立的自动化决策或者其公平性立的合法法律的说明。

03

 当自动化决策是用于为了信息推送，或商业广告推广时，应为用户提供可以退出的途径，以及不进行个人特征推送的选项；

04

 仅通过自动化决策作出对个人权益有重大影响的决定的，在用户要求解析说明，或用户明确提出拒绝时，应保障其权利机制的实现，并考虑增加人工决策的方式。

（二） 海外主要个人信息保护法律对比：

鉴于个人信息处理的规则是一个比较复杂的分析类事项，一方面，不同国家的数据保护法律会有不同的规定，不仅对于特殊类型个人信息有不同的概念与分类，而且也会对不同特殊类型的个人信息有特别的规则，另一方面，在大量的实务操作过程中，还需要结合具体的业务场景、前提和多方面的维度进行综合考虑。鉴于篇幅有限，以下表格，我们仅就个人敏感信息的定义以及处理要求和一些特殊点进行扼要对比。如有不完善之处，还请同行们多多指正。

总体来说

个人信息的处理的具体规则，是每个国家数据保护法案中非常值得关注的内容，大部分国家的数据保护法律法规中都会对特殊类型的数据提出了特殊的处理规则（例如会分别对一般个人信息、敏感个人信息、健康信息、生物特征信息进行概念上的分类，以及规定不同的处理规则），以更好地保护个人数据主体的权益，同时也成为企业、组织和个人在处理个人信息时候的指南针和区分合规红线的判断基础。

第三部分：数据本地化存储要求

数据本地化存储，是指某一主权国家/地区，通过制定法律或规则来限制本国数据向境外流动，是对数据出境进行限制的做法之一。数据又被誉为当今的“石油”，在全球互联网信息时代中显得尤为重要。因此，有些主权国/地区会对个人信息进行不同维度的分类，并根据不同的类型的个人信息提出了本地存储与跨境流动限制的要求。

（一）我国个保法解读：

01明确了个人信息以境内存储为原则

我国个保法明确规定了个人信息的存储地点应当以“境内存储”为原则，应当存储在境内的具体情形包括：

01

国家机关处理的个人信息；

02

关键信息基础设施运营者（“CIIO”）在境内收集和产生的个人信息；

03

即使不构成CIIO，如果个人信息处理者在境内收集和产生的个人信息的数量达到国家网信部门规定的数量的，也应当存储在境内。

个保法特别强调了关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者，应当将在境内收集和产生的个人信息存储在境内，不得向境外传输。如果的确需要向境外提供个人信息的，应当通过国家网信部门组织的安全评估。

换言之，对于关键信息基础设施等重要数据的储存、利用、控制和管辖，我国提出了明确的本地化存储的要求，其基本逻辑是，任何中国公司或者外国公司在我国境内采集和存储与个人信息和关键领域相关数据时，必须使用我国境内的服务器。

这是我国作为主权国家行使“数据主权”的重要体现之一，也与我国《网络安全法》基于保障网络数据安全的考量，明确要求在境内存储“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据”的要求一脉相承。

02 企业合规扼要建议

从前面分析可知，我国个保法并非像某些主权国家（例如俄罗斯）一样对本地化存储进行了非常严格的要求，而是对特定的主体提出了本地化存储的要求以及安全评估的义务。企业以及特别是涉及国际业务的企业，在处理个人信息的时候,需要关注是否受到本地化存储的要求限制：

01

Step 1：判断是否落入必须进行本地化存储的主体范围。

如果是，则需要进行数据本地化存储，即企业应当将在中国境内收集和产生的个人信息存储在境内。

02

Step 2：判断是否有的确有需要向境外提供的必要。

即企业需要结合业务的实际情况与业务运作安排等维度，综合考虑与确认该等数据出境的必要性。

03

Step 3：判断是否已经通过国家网信部门组织的安全评估。

我国的数据本地化要求并没有一刀切地完全禁止将个人信息传输至中国境外，对于确实需要向境外提供的，则需要在通过国家网信部门组织的安全评估后再进行传输。

根据网信办2019年《个人信息出境安全评估办法（征求意见稿）》的要求，企业在进行安全评估时候，并非完成了内部的自我评估就结束，而是应当向所在地的省级网信部门进行个人信息出境安全评估的申报动作。安全评估的重点包括：

（1）  评估个人信息跨境传输是否符合法律法规及政策规定；

（2）  传输方与接收方所签署的合同是否能够充分保障个人信息主体合法权益；

（3）  合同是否得到有效执行；

（4）  传输方与接收方是否发生过有损害个人信息主体合法权益的历史、是否发生过重大网络安全事件；

（5）  传输方获得个人信息是否合法、正当。 

（二） 海外主要个人信息保护法律对比：

从上述各国或地区要求本地化的数据类型来看，大致可以分为三种类型：

01

数据保护法律中没有明确要求进行本地化存储的，但可能在进行跨境传输时候提供了严格的限制。例如欧盟GDPR、新加坡地区等；

02

对数据类型进行划分，针对不同的数据类型提出不同的本地化存储要求。例如印度，划分为关键个人数据、敏感个人数据和一般个人数据，关键的个人数据必须存储在印度境内，但也提供了例外条件；对于敏感的个人数据，必须存储在印度境内，但其副本可以按照跨境转移的要求进行传输到印度境外。

03

对收集数据的主体进行了划分，并针对不同的特定主体提出了不同的本地化存储要求。例如印尼要求只有公共电子系统运营商才必须将其电子系统和数据放置在印尼本地。

总体来说

随着各国监管机构认识到某些类型的数据需要在本地境内存储，并需要更严格控制跨境数据传输，数据存储本地化正日益成为一项全球性挑战。对于涉及海外业务的企业，应特别需要关注出海目标国家的数据本地化存储的要求，结合业务的整体发展规划与业务运营成本，综合考虑服务器部署的位置与方案，以更好地在符合目标国际的数据合规要求同时，也提高企业的内部运作效率。

第四部分：数据跨境传输规则与要求

在数字经济时代，数据是各国竞相争夺的基础性战略资源，各国不断出台数据跨境传输规则与政策，强化本国对数据资源的掌控能力，以便在全球数字经济发展格局中占据有利地位。与此同时，数据只有流动才能产生经济红利，如何平衡跨境数据流动为跨国合作带来极大促进作用的同时，也能更好地维护主权国家在个人隐私权、企业商业利益和国家安全的问题上，提出了法律规制上的全新挑战。

（一）我国个人信息保护法解读：

01  跨境提供个人信息的前置条件

我国个保法正式确立了我国个人信息跨境流动的规则体系，规定个人信息以在境内存储为原则，并确定了需要在满足法律规定的条件下可以向境外提供个人信息的规则。

可见，我国基于个人信息的跨境流动将会影响到个人隐私安全、企业利益甚至国家安全，以及数据的跨境流动具有不可逆的特性，采取了对个人信息跨境传输活动进行事前监管的方式。

个保法第三十八条明确规定，个人信息处理者因业务等需要，确需向中华人民共和国境外提供个人信息的，应当至少具备下列一项条件：

01

照本法第四十条的规定通过国家网信部门组织的安全评估；

02

按照国家网信部门的规定经专业机构进行个人信息保护认证；

03

按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务；

04

法律、行政法规或者国家网信部门规定的其他条件。

我国缔结或者参加的国际条约、协定对向境外提供个人信息的条件等有规定的，可以按照其规定执行。

首先，从法条本义解析出发，至少满足其中一项条件即可，但实践中，如果能同时满足其他条件，亦为更佳。

其次，需要注意的是，安全评估或个人信息保护认证，并非企业自我评估或自我认证就可以，而是两者都需要由国家网信部门的安排与组织下进行。根据2019网信办发布的《个人信息出境安全评估办法（征求意见稿）》，与安全评估的相关规则还处在征求意见阶段，暂未见其他进一步的强制规定与政策指南。

所以，尽管目前还没有具体的由国家网信部门指定的标准合同，但相比前两者来说，目前跨国企业在进行个人信息跨境传输时较为可行的方式，是采取“与境外接收方订立合同”的方式，通过要求提供方与接收方公司签订合同以约定双方在个人信息处理和保护的权利和义务。

02 跨境提供个人信息的基础要求

跨境传输是个人信息处理活动的一种，因此，在满足“前置条件”的情况下，企业在向境外提供个人信息的时候，仍需要继续按照我国个保法的基础要求进行，主要包括：

01

数据主体告知境外接收方的身份和联系方式，个人信息的处理目的、处理方式，个人信息的种类、数据主体对应权利，以及保存期限（且应当为实现处理目的所必要的最短时间等）；

02

获得数据主体的单独同意；

03

进行事先的个人信息保护影响评估（DPIA或PIA）

04

采取必要措施，保障境外接收方处理个人信息的活动达到个保法要求的个人信息保护标准；

05

确保境外接收方没有落入国家网信部门的黑名单（列入限制或者禁止提供个人信息的公告清单）。

03 跨境提供个人信息的对等要求

我国个保法确立了信息跨境传输的“对等原则”，即，如果信息接收国家和地区在个人信息保护方面对我国采取歧视性的禁止、限制或者其他类似措施，则我国可以根据实际情况对该国家或者地区采取对等的禁止、限制或其他类似的措施。在这样的情况下，当个人信息是向该等国家或地区提供的时候，则会受到相应的限制，需要视情况而具体分析。

04 跨境提供个人信息的特殊要求

A

在向境外提供个人信息时候，还需要特别关注被传输的个人信息的性质，以及数量问题。

对于关键信息基础设施运营者，以及处理个人信息达到国家网信部门规定数量的个人信息处理者，应当：

01

将在境内收集和产生的个人信息存储在境内；

02

确需向境外提供的，应当通过国家网信部门组织的安全评估；但法律、行政法规和国家网信部门规定可以不进行安全评估的，从其规定。

关于“关键信息基础设施”的认定，在刚刚生效的《关键信息基础设施安全保护条例》中有所体现，主要是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。

关于“个人信息达到国家网信部门规定数量”的界定，可参考本年7月份网信办发布的《网络安全审查办法（修订草案征求意见稿）》，以及2017年网信办发布的《个人信息和重要数据出境安全评估办法(征求意见稿)》中的规定。

B

在协助境外司法执行方面的规定

我国个保法在这方面设置了非常高的门槛，明确规定了，对于存储在我国境内的个人信息，如果没有经过我国主管机关的批准，不得向外国司法或者执法机构进行提供。可见，我国对此情形下亦强调并采取了事前监管原则，即便进行了各种安全评估、获得数据主体同意、进行个人信息保护认证等方式也不能成为可以向境外司法或执法机构提供的前置条件，而唯有获得中国主管机关的明确批准，才能流出境外。

（二） 海外主要个人信息保护法律对比：

总体来说

在数据跨境流动方面，可以看到，各国正在不断强化数据跨境传输的规则与限制要求，体现了主权国家对本国数据资源的管控意识。纵观各国在数据跨境流动的管理思路，主要以美国和欧盟为首的两种做法为主。

美国在数据流入方面主张“数据自由流动”，强调通过美国科技和数据资源上的优势，推动数字经济的发展；在数据流出方面，则通过出口管制手段来限制高科技、军民两用技术的数据出境。

欧盟则选择“欧盟境内松，欧盟境外紧”的数据跨境管理模式。在欧盟境内通过《非个人数据自由流动框架条例》促进欧盟内部数据的自由流动，同时通过《通用数据保护条例》（GDPR），确定欧盟数据保护的法律框架，增强了数据向境外流出的管控，并通过长臂管辖方式加大了对欧盟个人数据的保护力度。

第五部分：数据主体在个人信息处理活动中的权利

每个人都有权保护与他或她有关的个人信息或数据，对个人信息主体进行数据处理的，必须出于特定目的并在相关人员同意或法律规定等其他的合法基础的基础上进行，且数据处理的过程需要是公平的、平等的、自愿的。这样的权利会分为不同的类型，有包括维护数据主体尊严的权利，例如每个人都有权访问已收集的有关他或她的数据（知情权、访问权），并有权对其进行纠正（更正权）；有包括进行消极的控制数据使用的权利，例如删除权/被遗忘权、限制处理权/拒绝权等权利；也有包括对数据进行积极处理与控制的权利，例如数据转移权/可携带权等。

通过法律赋予数据主体在个人信息处理活动中的权利，是非常重要与关键的，这不仅意味着每个人都有权保护他们的个人信息，更体现了企业、个人在使用这些数据主体的个人信息时，更应以公平、合法、合规的方式进行处理和使用，并尊重每个人的个人信息权利。

（一）我国个人信息保护法解读：

我国个保法在借鉴海外优秀数据法律的同时，也结合了自己的特色，从八大个方面赋予了个人信息主体所享有的主体权利，并特别就数据主体行使个人权利的可触达途径，以及逝者在个人信息主体权利方面做了进一步的完善，使到我国个人信息保护的整体架构更为丰满.

01 知情权

个人信息主体对于自己的个人信息是如何被收集、使用、处理的进行充分的知悉和了解，是最为基础的权利，也与我国个保法要求企业、个人等信息处理者需要履行告知义务，获得用户的自愿明确的同意相辅相成。

企业在处理个人信息时，应通过明示个人信息保护政策让个人信息主体清晰地了解到有关个人信息处理的各项内容与规则，包括但不限于企业的主体身份、联系方式等基本情况、所收集的个人信息的具体类型与范围、个人信息的收集方式、存储期限、数据出境的处理规则、个人信息处理和使用的目的、使用方式与范围等等。

02 决定权

个人信息主体对自己的个人信息权利享有自主决定的权利是保护数据主体权利的核心内容，有权决定是否接受个人信息处理者对其个人信息的收集、使用和处理。企业在处理个人信息时应该对个人信息主体的决定权提供充分的保障，例如通过主动勾选同意协议、通过区分必要与附加业务功能来为个人信息主体提供是否选择接受服务功能等方式进行。

03 限制权

个人信息主体的限制权是决定权的延伸体现，例如个人信息主体有权要求企业、组织在收集个人信息的时候应当限于实现处理目的的最小范围，不得过度收集个人信息；有权要求企业、组织在处理个人信息的时候仅在已经告知和获得同意的限定范围内进行使用，如果超出已约定的范围或者超出合理合法的范围的，则需要另外再行告知与获得同意。

04 拒绝权

个人信息主体的拒绝权也可以理解为决定权的延伸体现，例如，对于不是非必需提供个人信息才能使用的某些业务功能，个人信息主体可以拒绝提供。我国四部门在2021年3月联合发布的《常见类型移动互联网应用程序必要个人信息范围规定》进行了明确要求与呼应，明确规定了移动互联网应用程序（App）运营者不得因用户不同意收集非必要个人信息，而拒绝用户使用App基本功能服务。我国个保法也在个人信息处理规则中，通过要求个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由，拒绝提供产品或者服务（但处理个人信息属于提供产品或者服务所必需的除外）来进一步保障了个人信息主体实现拒绝权的可能性。

05 查询、复制权

个人信息主体有权对自己被收集和处理的个人信息进行查看、访问与复制，但是也给出了豁免条款，例如企业、组织在处理个人信息时候被法律所要求应当进行保密或者不需要进行告知的情形。

本次个保法还特别新增了数据可携权，这个权利在此前的一审、二审稿中都没有体现过。该权利明确要求了当个人信息主体在请求将其个人信息转移到其指定的其他个人信息处理者的时候，如果也符合了网信办规定的条件的，则个人信息处理者应当为该个人主体提供转移的途径。

关于数据可携权在实操方面亦带来了很大的问题与争议，我们将可能在另外的文章中进行讨论，暂不在此展开。

06 更正、补充权

个人信息也会有一个动态的变化，赋予个人信息主体的修正、更改的权利非常重要，因为不准确、不完整的个人信息，不仅会对个人在生活、工作中造成影响，也会为企业在处理个人信息时候带来其他风险（特别是涉及征信、金融、医疗等敏感特殊领域与情况）。因此，在个人信息主体提出要求对自己的个人信息进行更正、补充或其他异议的时候，企业、组织等个人信息处理者应该及时进行回复、处理，核实个人信息的准确性，并对错误、不完整的信息进行及时的纠正与补充。

07 删除权

个人信息主体的删除权是数据主体权利保护方面的重要体现，在其他国家或地区可能也有不同的称呼，例如镲除权、被遗忘权（会有具体细微的区别）。

对比之前的草案，个保法在删除理由中新增了“处理目的无法实现”，同时还就个人信息处理者提供了关于删除权的救济保障的规定，即在个人信息主体要求行使删除权的时候，而实际上其他法律法规要求的保存期限尚未届满，或技术上存在很大困难的，则个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理，以作为对数据主体行使删除权而企业或组织等信息处理者又无法满足时候的救济。

同时，需要特别注意的是，原则上，在一些特别的情形下，个人信息处理者应当主动删除个人信息。如果个人信息处理者没有主动删除的，则我国个保法赋予了个人有权请求个人信息处理者进行删除。因此，作为企业，在处理用户个人信息时候，应特别注意这些情形：

01

处理目的已实现、无法实现或者为实现处理目的不再必要；

02

个人信息处理者停止提供产品或者服务，或者保存期限已届满；

03

个人撤回同意；

04

个人信息处理者违反法律、行政法规或者违反约定处理个人信息；

05

法律、行政法规规定的其他情形。

08 解释说明权

如前所述，企业应当向用户明确告知个人信息的处理规则以及相关的各项内容，这是对个人信息主体的各项权利的有效保障，因此，个保法赋予了个人信息主体有权请求企业对其个人信息处理规则进行解释说明的权利，当个人提起该要求时，作为个人信息处理者的企业、组织应该进行及时的反馈与答复。

09 关于逝者个人信息的近亲属继承权

这也是本次个保法新增的亮点内容之一。从全球角度来看，法律对于逝者的个人信息保护与隐私权保护，很多国家还在不断探索中，有部分国家有明确的立法规定，例如美国HIPPA对逝者在医疗方面的隐私保护。

我国个保法也为逝者的个人信息保护提供了一定程度的保护，在自然人死亡情况下，当该逝者的近亲属是为了自身的合法、正当利益的，其近亲属可以对逝者的相关个人信息行使包括个保法规定的查阅、复制权、更正权、删除权等相关权利，但如果逝者在生前通过协议、约定等方式另有安排的除外。

可见，逝者近亲属行使的逝者数据主体权利的法定基础是明确的，包括合法、正当、或遵从逝者生前的安排等。同时，对于可以行使的权利类型也给出了较为明确的规定，包括查阅权、复制权、更正权和删除权等可以由近亲属等继承人实现的权利。

10 行使个人权利的途径

如果没有个人权利有效的实现途径，上述个人信息主体的权利将会仅是纸上谈兵。

因此我国个保法，特别在本章的最后，增加并明确要求企业、组织等个人信息处理者应当建立便捷的、可真正触达的、方便用户（个人信息主体）行使数据主体权利的途径，包括申请受理途径和具体可落地的处理机制。

同时，明确要求企业、组织等个人信息处理者在拒绝个人行使权利的请求的，应当明确说明其具体的理由。在遭受个人信息处理者拒绝行使数据主体权利请求的的时候，用户个人有权向法院提起诉讼，以获得有效的司法救济。

（二） 海外主要个人信息保护法律对比：

总体来说

各国数据保护法律在个人信息主体权利方面的保护还是比较充分的，特别是在知情权、访问权、更正权、删除权等最为核心基础权利的保障上。随着数据保护法律的不断迭代更新与发展，个人信息主体的权利将会得到更为有效、完善的法律保障。

THE END

本公众号长期接受投稿，欢迎各位同仁踊跃分享

投稿邮箱：snr5151@139.com

联系方式：18701085957（微信同）