个人信息保护制度离完善还有多远

◎ 文 《法人》特约撰稿 申晓雨 吴雅涵 康雅斯

(作者单位：北京天达共和律师事务所)

近来，我国个人信息保护领域立法活跃。今年10月，我国个人信息保护领域最详尽的一份标准文件《信息安全技术 个人信息安全规范》（下称《个人信息安全规范》）第三次修订并征求意见。

和前两版征求意见稿相比，10月发布的《个人信息安全规范》修订征求意见稿，在个人信息保护方面进一步完善了相关制度设计。例如，在个人信息的定义部分补充注解，明确由个人信息控制者通过个人信息或其他信息加工处理后形成的信息也属于个人信息；新增协助个人信息主体注销账户的义务；加强了委托处理的安全监督义务等等。

可以看出，我国的个人信息保护立法正在依据自身的发展特点逐步具体化、合理化。此时再来审视一年多以前生效的欧盟《通用数据保护条例》（下称“GDPR”），我们与GDPR这部史上最严个人信息保护法所确立的合规标准距离还有多远？在我们的个人信息保护立法体系日趋完善的过程中，我们是否会面临更多法域冲突带来的合规挑战？

中国立法与GDPR的主要差异

域外效力

关于中国个人信息保护法的域外效力，目前在已生效的个人信息保护法中，仅有网络安全法明确规定，其对境外网络运营者发布违法信息或攻击我国关键信息基础设施的行为存在域外效力。《个人信息出境安全评估办法（征求意见稿）》规定，其适用于境外机构通过互联网等收集中国境内用户个人信息的情形。

除此之外，中国个人信息保护法的域外效力尚不明晰。

GDPR则明确规定，如果是设立于欧盟境外的机构或个人为欧盟境内的数据主体提供货物或服务（无论数据主体是否被要求付费），或对数据主体在欧盟境内的行为进行监控，则GDPR对其具有域外效力。

处理的基本原则

《个人信息安全规范》规定个人信息处理的基本原则包括权责一致、目的明确、选择同意、最少够用/最小必要、公开透明、确保安全和主体参与原则。

以上原则在GDPR中也得以规定和体现。除此之外GDPR还提出了“准确性原则”，即要求个人数据应是准确的，且若有必要应保持适时更新，采取一切合理措施确保与数据处理目的相悖的错误数据被及时清除或更正。该项原则在中国个人信息保护法中未做规定。

个人信息主体的同意

(1)明示同意

中国个人信息保护法下，并非所有的个人信息处理行为都必须取得个人信息主体的明示同意。《个人信息安全规范》10月版特别明确了授权同意的范围包括默许同意，其规定，个人信息主体对其个人信息进行特定处理作出明确授权的行为，包括通过积极的行为作出授权（即明示同意），或者通过消极的不作为而作出授权（例如信息采集区域内的个人信息主体在被告知信息收集行为后没有离开该区域）。

GDPR将“数据主体的同意”定义为“数据主体依据其个人意愿，自由、明确、知情并清楚地通过陈述或积极行为表示对其个人数据进行处理的同意”，相当于中国个人信息保护法所定义的“明示同意”。基于这一定义，在GDPR下取得个人信息主体的同意必须是明示同意，排除了默许同意的适用。

(2)自愿原则

中国个人信息保护法和GDPR均规定，个人信息主体的同意应由其自愿给出，不得强迫个人信息主体作出同意。

《个人信息安全规范》仅规定了自愿原则在平等主体之间的适用，如产品或服务的提供者收集客户个人信息时，不得违背个人信息主体的自主意愿，强迫个人信息主体接受产品或服务所提供的业务功能及相应的个人信息收集请求。

而GDPR在适用自愿原则时则考虑到更多情况。根据《欧盟第二十九条工作组关于 2016/679条例下同意的指引》 （“GDPR指引”），数据主体的同意是否自愿给出，还需考虑数据控制者和数据主体是否存在权力不对等的情况，例如政府机关和个人、用人单位和雇员。

处理的合法基础

按照中国个人信息保护法，除为行政执法和司法目的外，控制者收集、共享、转让、公开披露或以其他方式处理个人信息的，必须以取得个人信息主体的同意作为其处理行为的合法基础。

《个人信息安全规范》对此规定了例外情形，例如，通过合法公开渠道获取个人信息以及新闻单位为开展合法的新闻报道所必需而处理个人信息。但是我国强制性法律法规中并无对该等同意的例外情形的规定。

GDPR允许控制者除基于个人信息主体同意之外，还可以基于其他多种合法基础处理个人数据，但通过合法公开渠道获取个人信息以及新闻单位为开展合法的新闻报道所必需而处理个人信息并不在此列。

因此，即使数据主体主动公开个人信息，也不代表其默认同意任何数据控制者基于任何目的对其个人信息的处理；除非有法定依据，新闻单位也不能以开展合法新闻报道为由未经个人信息主体同意而处理个人信息。

披露义务

中国个人信息保护法和GDPR在控制者对个人信息主体的披露义务方面也存在一些不同的规定。

以自动决策机制为例，《个人信息安全规范》未就涉及自动决策情形下的披露义务作出专门规定。GDPR则明确规定，如果控制者采取包括用户画像在内的自动决策机制，则其应向个人信息主体披露决策中所运用的逻辑以及该处理行为对个人信息主体的重要性和可能产生的后果。

儿童个人信息收集

收集个人信息主体需遵循授权同意原则，针对儿童，则需要其监护人代为做出授权同意的动作。但是中国个人信息保护法目前对监护人授权同意并无实质审查要求。

GDPR则要求数据控制者应当考虑可利用的技术并做出合理的努力，对儿童监护人授权同意的真实性进行实质审查。例如，根据GDPR指引，注册者如承认自己在儿童年龄线以下，则注册者应提供家长的电子邮箱地址，数据控制者应联系家长以取得同意，并确认家长的监护责任。

个人信息主体的权利

从个人信息主体享有的权利类型来看，与中国个人信息保护法相比，GDPR另赋予个人信息主体对其个人数据享有限制处理权和反对权。

此外，二者在个人信息主体的具体权利内容上也有所不同。以个人信息主体的删除权为例，《个人信息安全规范》对个人信息的删除权做了一定的条件限制，即仅在控制者违法违规或违反与个人信息主体的约定收集、使用个人信息时，个人信息主体才可行使删除权。

GDPR取消了类似的权利行使的限制条件，即使对个人信息的处理并不违反法律规定，个人信息主体仍可基于个人信息对行使目的的不必要性、撤销同意、反对权等法定情形行使删除权。

个人信息安全事件处置

中国个人信息保护法和GDPR均要求控制者在出现个人信息安全事件时上报监管部门，但《个人信息安全规范》对于控制者的报告期限未做规定，仅规定“按照《国家网络安全事件应急预案》等有关规定及时上报”，而现行的《国家网络安全事件应急预案》亦未对报告期限作出规定。

GDPR则明确要求控制者在发现个人数据泄漏事故起72小时内通知监管机构，除非该个人数据的泄露不太可能会对自然人的权利和自由造成风险；未能在72小时内报告的，需要说明未及时报告的理由。

组织管理要求

此外，在组织管理要求方面，中国个人信息保护法和GDPR也有诸多差异，如个人信息保护负责人的设置和职责、个人信息处理活动的记录、向主管部门的事先咨询机制等。

数据跨境传输方面存冲突

如上所述，基于GDPR的域外管辖权，中国境内的控制者向欧盟境内的个人信息主体收集个人信息后，须满足个人信息主体在GDPR项下的权利要求。

在此情形下，根据GDPR相关规定，中国境内的控制者有义务响应个人信息主体行使访问权或可携带权的要求，包括向个人信息主体提供个人信息副本。

同时，GDPR授予欧盟各监管机构的调查权也允许各监管机构“命令数据控制者或数据处理者、其代表人（如有）提供其履行职责所必要的所有信息”以及“以数据保护审计的形式实施调查”。

我国网络安全法规定，关键信息基础设施的运营者确需向境外提供个人信息和重要数据的，须进行安全评估；《个人信息出境安全评估办法（征求意见稿）》规定，网络运营者向境外提供个人信息的，应当按照该办法进行安全评估，经安全评估认定个人信息出境可能影响国家安全、损害公共利益，或者难以有效保障个人信息安全的，不得出境。

如果中国境内的控制者需要满足GDPR下个人信息主体的权利请求或配合欧盟监管机构调查，但在提交我国监管机构评估后，监管机构决定该等个人信息不得出境的，则在此情形下，中国个人信息保护法和GDPR将存在实质性冲突。

如上所述，对于中国企业特别是有出海业务的中国企业而言，仅遵守中国的个人信息保护法不足以满足欧盟的监管要求，还可能因法域冲突面临两难的局面。建议此类企业全面梳理不同法域的数据合规要求，明确差异与冲突，并基于此制定有针对性的解决方案。

对于与欧盟境内主体有数据交换业务的企业而言，有必要尽早与境外主体就数据交换业务展开沟通，提前准备数据传输协议等文件，以免我国个人信息出境安全评估机制一旦落地后，因不能履行向境外主体提供个人信息而承担违约责任，或因无法取得对方的配合而难以完成我国个人信息保护法所要求的个人信息出境安全评估程序。