更深入的数据合规与保护要求—中国数据合规法律规范综述（二）

更深入的数据合规与保护要求—中国数据合规法律规范综述（二）

耀时跨境数据合规研究院(IXCDC)

中国数据合规法律详解

一、《宪法》中的数据权

将数据权利写入宪法或将其体现于宪法之中，在欧洲早已有先例可循。2018年法国国民议会于当地时间7月18日投票通过了一项宪法修正案，此番修正的核心内容之一便是将一项名为“打击对个人数据的延伸或不合理使用”的条款写入《法国宪法》第34条当中。虽然我国并没有明确将个人信息或数据权利写入《宪法》之中，但其权利的法律渊源却广泛散布于我国《宪法》之中。

我国个人信息或数据权利主要分布在我国《宪法》第38条人格尊严权、第40条通信自由和通信秘密权之中。我国《宪法》第38条规定了“中华人民共和国公民的人格尊严不受侵犯。禁止用任何方法对公民进行侮辱、诽谤和诬告陷害。”这里的任何方法当然包括通过互联网依托个人信息或数据对个人进行侮辱、诽谤和诬告的行为。疫情期间，个人信息泄露并与造谣相结合侵犯个人人格尊严权的事件频发，例如20020年12月7日23时许,王某(男,24岁)将一张内容涉及“成都疫情及赵某某身份信息、活动轨迹”的图片在自己的微博转发,严重侵犯他人隐私,并导致信息被泄露者遭到谣言与网络暴力伤害。事后，涉案人员被警方处罚，追究相关法律责任。成都个人信息泄露的案例从侧面体现了我国《宪法》对公民个人信息或数据应受法律保护的态度。我国《宪法》第40条规定了“中华人民共和国公民的通信自由和通信秘密受法律的保护。除因国家安全或者追查刑事犯罪的需要，由公安机关或者检察机关依照法律规定的程序对通信进行检查外，任何组织或者个人不得以任何理由侵犯公民的通信自由和通信秘密。”个人信息或数据通常产生于电信网络活动之中，理应属于本条规定中的公民通信秘密的范畴，也从本条可以引申出“任何组织或者个人不得以任何理由侵犯公民的个人信息或数据权利”。

我国《宪法》中并没有对个人信息或数据权利进行集中式的单独规定，但这不意味着我国《宪法》不认可个人信息或数据权利，我国的个人信息或数据权利散布于《宪法》之中，并以宪法为其渊源。

二、《民法典》与《刑法》的数据合规解读

01

《民法典》及相关司法解释

2020年5月28日通过的《民法典》首次将个人信息权利的相关规定写入民事法律规范之中。目前，《民法典》已于2021年1月1日正式生效。个人信息权规定在《民法典》第1032、1033、1034、1035、1036条之中，属于第4编人格权的范畴。民法层面的个人信息权由隐私与个人信息两个方面组成，其中第1032与1033条对隐私权进行了规定，任何组织或者个人不得以刺探、侵扰、泄露、公开等方式侵害他人的隐私，这一个人隐私包括个人隐私信息，同时规定不得侵扰他人私人空间、不得以秘密方式处窃取他人私密信息，处理他人私密信息必须经由权利人同意。

个人信息方面则由第1034、1035、1036、1037、1038、1039条组成。第1034条明确了个人信息受法律保护，并从民事权利角度对个人信息进行了定义。第1034条还将个人隐私信息设置为“特别法”，按照特别法优先于一般法的一般原则，个人隐私信息权利的保护原则从第1032、1033条的规定。第1035条对个人信息的处理活动提出了“3+1”原则，即个人信息处理活动必须遵循合法性、正当性、必要性三大基本原则并符合限度性要求，不进行过度处理。除了原则性规定以外，第1035条还提出了4项具体要求，具体为，一是权利人同意；二是公开处理；三是明示处理的目的、方式和范围；四是不违反法律法规与双方约定。该条还以列举的形式明确了信息处理的含义，包括收集、存储、使用、加工、传输、提供、公开等。第1036条规定了个人信息处理的免责事由，包括在该自然人或者其监护人同意的范围内合理实施的行为；合理处理该自然人自行公开的或者其他已经合法公开的信息，但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外；为维护公共利益或者该自然人合法权益，合理实施的其他行为等三个方面。也就是说处理当事人双方合意可以处理的信息、已合法公开的信息、或处理活动是为了维护公共或他人利益。但是，权利人明确拒绝或对公共、他人利益有重大侵害的除外。第1037条规定了权利人的更正与删除权，权利人有权要求信息处理者更正或删除权利人的有关信息，更正权行使限于发现信息有误时，删除权限于信息处理者违反法律、行政法规的规定或者双方的约定时。第1038条要求信息处理者应当采取技术措施和其他必要措施保障个人信息安全，不得擅自泄露篡改信息，未经权利人同意不得向他人提供其拥有个人信息，但是经处理无法识别特定个人的信息除外。该条规定的“必要措施”可以参考国标《个人信息安全影响评估指南》第5.4条和《电信和互联网用户个人信息保护规定》第3章第13条的规定。第1039条规定了国家机关、承担行政职能的法定机构及其工作人员对于履行职责过程中知悉的自然人的隐私和个人信息的保密义务，按照现行法律规范，相关个人信息因为工作秘密，按照秘密级保密要求处理。

2014年10月10日，最高人民法院发布的《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》正式施行，全方位地确定了利用信息网络侵害个人信息案件的审理流程与审判要点，提高了个人信息相关刑事案件的审判工作水平，也变相推动了司法机关对个人信息相关犯罪的打击力度。2020年12月30日，最高法召开发布会，发布首批司法解释。最高法副院长贺小荣表示，个人信息被滥用问题日益严重，为了加强个人信息保护，根据民法典第1034条等规定，增加了“个人信息保护纠纷”案由。

02

《治安管理处罚法》、《刑法》及相关司法解释

治安管理处罚层面，《治安管理处罚法》修订案征求意见稿在第五十七条中强化了对公民个人信息的保护。分为三个层面，一是行为人或单位非法获取、持有、使用、出售、提供、传播公民个人信息的，主要针对不法行为人肆意滥用公民个人信息的行为；二是行为人或单位将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人的，主要针对银行、电信运营商等掌握公民信息的部门非法出售或向他人提供公民信息的行为；三是因疏于管理，致使公民个人信息泄露的。在信息社会中，公民的个人信息与人身安全、财产利益等息息相关，必须要加强对公民个人信息的保护。意见稿通过明确违法行为类型和法律后果，及时回应了长期困扰公民的违法难题，为惩治滥用个人信息的行为提供了法律依据。

在刑法层面，我国对数据和个人信息的保护存在着“刑法先行”的立法模式。199年修订的《刑法》便已经规定了破坏计算机信息系统罪，侵入他人计算机删除、修改、增加数据信息的行为开始受到刑事处罚。2009年2月28日，《刑法修正案(七)》开始正式施行，其设了出售、非法提供公民个人信息罪，非法获取计算机信息系统罪、非法控制计算机信息系统罪等罪名。《刑法修正案(七)》不仅采用刑事手段规制金融机构等单位工作人员提供、获取、交易个人信息的行为，也是首次将侵入非国有计算机仅获取数据的行为也纳入刑事规制的范围之内，对于他人计算机信息的删改行为不再成为入罪的必须要件，刑法对于数据保的力度得以加强。2015年施行的《刑法修正案(九)》则修改了刑法第253条之一，将犯罪主体的限制放宽，提升了法定最高刑的刑期，并规定对于在履行职责或者提供服务过程中获得的公民个人信息，非法出售或提供的行为，可以从重处罚。修改后，“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”被整合为“侵犯公民个人信息罪”。同时，《刑法修正案(九)》也增设了非法侵入计算机信息系统罪、破坏计算机信息系统罪等罪名的单位犯罪规定。除《刑法》外，最高人民法院、最高人民检察院和公安部也出台了一系列与数据和个人信息犯罪相关的司法解释，以指导相关刑事案件的侦查检察和审判。2013年4月23日，最高人民法院、最高人民检察院和公安部联合发布了《关于依法惩处侵害公民个人信息犯罪活动的通知》，要求坚决打击侵害公民个人信息犯罪活动。该通知明确规定侵害公民信息犯罪的定罪量刑应当综合考量非法出售、提供、获取个人信息的次数、数量、手段和牟利数额等因素，与此同时，该文件也对于具有可识别性的个人信息进行了较为细致的列举，如姓名、年龄、有效证件号码、婚姻状况、工作单位、学历、履历等。

2017年6月1日，最高人民法院、最高人民检察院联合发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》正式施行。该司法解释对于侵犯公民个人信息罪的构成要件、量刑标准和具体法律适用问题进行了系统性的规定。其后两年中，最高人民检察院发布的《检察机关办理侵犯公民个人信息案件指引》和《最高人民法院、最高人民检察院关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》(法释2019)15号)则对于侵犯公民个人信息案件的几个具体构成要件，列出了更为细致的证据审查要求与更加清晰的定罪量刑之标准。

三、行政法层面的数据合规解读

01

对《国家安全法》的数据合规解读

《国家安全法》并没有对个人信息保护作出详细规定，但其从总体国家安全观的角度出发设计了我国的电信网络法治体系框架，并为在我国经营数据处理业务的企业赋予了最基本的底线思维，即绝对不得危害国家安全的红线原则。从《国家安全法》第25条“.……维护国家网络空间主权、安全和发展利益。”的表述便可窥见一斑。在安全这一红线原则上，我国构建了以《网络安全法》、《个人信息保护法》、《数据安全法》为三条主线的数字法治体系。

此外，《国家安全法》第25条还开创性地提出了“网络空间主权”的概念，这可以理解为国家主权在网络空间的体现、延伸和反映。同时，“网络空间主权”的明文规定也为数据的本地化义务提供了法理依据和理论支持，网络空间并非是中立自由空间，并非是可以自由出入、交易要素的活动场所，其应当具有属地属性和符合管理要求的安全属性。因此，第25条还为我国个人信息和数据的出境管理提供了文本依据和法理支持。

02

对《个人信息保护法》的数据合规解读

我国《个人信息保护法》共有8章70条，详细规定了个人信息保护的要点，在其正式生效后，其将成为我国个人信息保护的基本法，其地位等同于欧洲GDPR，因此在我国进行个人信息或数据处理业务，必须首先遵守《个人信息保护法》的相关要求。接下来，我们将逐章对其进行解读。

a.第一章

第一章为总则章，这一章主要释明了立法目的、个人信息权的基本概念、该法的适用范围、个人信息和处理行为的定义、数据处理的基本原则、归责原则和国家义务。

该法第1条规定了该法的立法目的，即“促进个人信息合法、合规、合理利用，并确保其具备一定流动性。”从其表述可以看出该法对个人信息保护的态度是保护先行，在充分保护，符合国家安全要求的基础上确保数据的流动性。该法第一条就释放了重保护、强监管的信号。

该法第2条明确了个人信息权的基本概念，从其表述上看与《民法典》第1034条的表述并无二致，在立法上保持了一致。

该法第3条规定了该法的适用范围，从其表述上来看涵概两大部分，三小点。两大部分即域内与域外两个部分，三小点具体表现为，域内适用于国境内处理自然人个人信息的活动的组织、个人。域外适用于以向境内自然人提供产品或者服务为目在国境外处理中华人民共和国境内自然人个人信息的活动，或，为分析、评估境内自然人的行为。该法第4条对个人信息及其处理活动进行了定义，明确了匿名化处理后的信息不属于个人信息范畴。

该法第5、6、7、8、10条明确了个人信息处理的五大基本原则，具体包括合法和正当性原则（第5条）、和目的和必要性原则（第6条）、公开透明原则（第7条）、准确原则（第8条）、禁止危害国家和公共利益原则（第10条）。

该法第9条规定了该法的归责原则为“谁处理、谁负责”。

该法第11、12条规定了国家义务，明确了国家依法整治互联网及维护个人信息权利的义务以及与其他国家间在个人信息保护领域开展国际合作的义务，后者相当于在我国数据治理体系中安装了一个可对外传输的USB接口，结合2020年9月14日，习近平主席同德国欧盟领导人会晤时强调，要打造中欧数字合作伙伴的重要论述来看，我国极有可能会加强与欧洲GDPR体系的对接。

  b.第二章 第一节

第二章共分为三节，其中第一节主要就个人信息处理的一般规定进行了规定。该节包括第13条至第28条，对权利人和信息处理者的权利义务做了一般性规定，现就本节归纳解读。

该法第13条对处理活动的合法性做了释明，作为《个人信息保护法（草案）》最核心、最重要的改动之一，本条大范围扩充了处理个人信息的合法性基础。从处理个人信息合法性基础的演变看，《网络安全法》第41条第1款明确了收集使用个人信息的合法性基础为“被收集者同意”。《民法典》第1035条第1款第1项沿用了“同意”的合法性基础，但也留下了“法律、行政法规另有规定的除外”的例外规定。本条在《民法典》及《网络安全法》的基础上罗列了其他几种处理个人信息的合法情形，对“同意”原则进行了一定程度的延伸，为个人信息的处理提供了多样化的选择路径，实现了法律之间的有效衔接。

该法第14、15、16、17条对同意进行了规定。其中第14条将同意区分为一般同意、特殊同意及重新取得同意三种情形并将其分别定义为：

关于“一般同意”，需要依据《个人信息保护法》第七条的规定向个人明示个人信息处理规则，在确保个人充分知情的基础上，由个人自主作出明确的意思表示。从实践角度，对于需要用户同意才能处理用户个人信息的情形，需要通过《个人信息保护政策》等个人信息授权文本，向用户充分说明处理个人信息的规则，并由用户手动点击确认、手动勾选同意等自主同意的方式获得用户的同意。

关于“特殊同意”。需要结合《个人信息保护法》第24条、第30条、第39条的相关内容，即当属于“向第三方提供其处理的个人信息”、“基于个人同意处理敏感个人信息的”以及“向中华人民共和国境外提供个人信息”三种情形时，需要单独同意或书面同意。

关于“重新取得同意”，在“处理目的、处理方式和处理的个人信息种类发生变更”的情形下，这种情形属于个人信息处理过程中的重大变更，倘若按照原有的授权实则可能会侵害他人合法权益，因此需要重新取得同意。并且鉴于原始同意时区分一般同意的情况和特殊同意的情况，重新取得同意时，需要与原始同意相对应，需要获得特殊同意的仍需获得特殊同意。

该法第15条对未成年人的同意进行了特别规定，此前，《儿童个人信息网络保护规定》第九条规定“网络运营者收集、使用、转移、披露儿童个人信息的，应当以显著、清晰的方式告知儿童监护人，并应当征得儿童监护人的同意”，在此基础上，《个人信息保护法（草案）》增加了“知道或者应当知道”的情形要求，一定程度上减轻了个人信息处理者的责任，但要论证确实不知道其处理的个人信息未不满十四周岁未成年人（以下简称“儿童”）个人信息，存在一定难度。可能在对个人的身份、年龄等进行了充分认证的前提下，基于技术限制、个人恶意隐瞒等原因确实未发现为儿童的情况下，能够豁免未取得儿童监护人同意的责任，但具体适用，有待立法机关的进一步解释和细化。该法第16条规定了权利人对同意的撤回权，权利人有权在该法第13条第1款情形下使用同意撤回权。从实践角度，这就要求互联网企业在线上必须架设撤销端口，供个人撤销其授权。第17条规定了不得拒绝提供商品与服务的情形，只有在个人信息属于提供产品或服务所必需的要素范畴时，商品或服务提供者才能拒绝提供商品与服务，若非必须，商品或服务提供者不得以个人不同意处理其个人信息或者撤回其对个人信息处理的同意为由拒绝提供商品服务。举例来说，在电子金融APP中，准许获取短信信息一般来说不属于提供服务所必需的信息，用户不同意或者之前同意但之后撤回读取短信信息的同意，金融机构不得以此拒绝提供电子金融APP的一般业务服务。

该法第18、19条规定了个人信息处理者的告知义务。第18条第1款规定了告知时间、告知用语、告知内容三方面要求。第2款规定了变更情况下的告知要求，这里没有对告知作出详细的限制，从理解的角度，可以通过网站公告、App内通知、App弹窗、短信等方式对变更的部分进行告知。第3款规定了通过制定个人信息处理规则的方式告知的特殊要求，要求规则应该公开、便于查阅和保存，也就是需要方便个人查询到规则全文和保存规则全文。其中便于保存的要求，系《个人信息保护法（草案）》首次提出。第19条规定了不需要告知的例外情形，关于“不需要向个人告知的例外”，其适用限制在“有法律、行政法规规定应当保密或者不需要告知”的范围内。关于“不需要提前向个人告知的例外”，是《个人信息保护法（草案）》第十三条第一款第（四）项的补充规定，该种紧急情况下无法及时向个人告知的，紧急情况消除后需要进行告知，而非不需要告知。

该法第20条规定了保存时间，该法并没有明确固定期限来限定个人信息的保存时间，而是根据必要性的要求，规定在满足处理目的后，应尽快予以删除。

该法第21条规定了两个或者两个以上个人信息处理者共同处理个人信息的权利义务划分和责任承担。该法要求共同处理个人信息的处理者可以内部划分权利和义务，但不得影响个人向任一处理者要求行使个人权利。从责任承担看，本条第2款对共同处理个人信息的处理者提出了严格的责任承担要求，即“依法承担连带责任”。

该法第22条规定了委托第三方处理个人信息的义务，具体而言，委托方需要注意授权的范围，并确保受托方在授权的范围内行使相应职责。倘若由于故意或者重大过失导致其未能监管到位，可能存在被处罚及诉讼风险。从受托方的义务看，主要在于按约处理个人信息、及时返还个人信息或删除个人信息以及未经同意不得转委托。补充强调一点，对于受托方，即使将个人信息交由母公司、子公司等关联公司处理，也属于转委托，也需要获得委托方的同意方可转委托。

该法第23条规定了合并、分立等需要转移个人信息情形下的要求。从个人信息处理者的义务看，需要向个人告知接收方的身份、联系方式，这里的“身份”“联系方式”可以和《个人信息保护法（草案）》第18条第1款第1项中“身份”、“联系方式”作同样理解，不再赘述。

从接收方的义务看，应当继续履行个人信息处理者的义务，变更处理目的和处理方式的情况下还需要重新向个人告知并取得同意。需要指出的是，与《个人信息保护法（草案）》第15条可能与第13条的规定存在冲突相类似，本条的适用与《个人信息保护法（草案）》第13条也可能存在冲突。如果不是适用第13条第1款第1项“取得个人的同意”而是适用第13条第1款的其他项处理个人信息，比如“为履行法定职责或者法定义务所必需”而处理个人信息，按说是无需获得个人同意的，如果接收方基于履行法定职责或者法定义务所必需而变更处理目的和处理方式，从理解的角度，仍然无需获得个人的同意，而仅仅进行告知即可。

该法第24条规定了向第三方提供个人信息的要求。从个人信息处理者的义务看，应当向个人告知“第三方的身份、联系方式、处理目的、处理方式和个人信息的种类”，并“取得个人的单独同意”。这里出现了《个人信息保护法（草案）》第十四条提到的“另有规定”的第一个“单独同意”情形。但与《个人信息保护法（草案）》第十五条、第二十三条可能和第十三条存在冲突相类似，本条可能也与《个人信息保护法（草案）》第十三条存在冲突。从接收个人信息的第三方的义务看，变更处理目的、处理方式情况下，需要重新向个人告知并取得其同意。这里存在与《个人信息保护法（草案）》第二十三条接收方义务相类似的问题，不再重复。

第25条规定了利用个人信息进行自动化决策的要求。该法强调自动化决策的透明和处理结果的公平合理，并为个人提供了救济途径。从对自动化决策进行商业营销、信息推送的要求看，与《电子商务法》第18条第1款规定相类似，要求同时提供不针对其个人特征的选项。

第26条对个人信息公开做出了“以不公开为原则，以公开为例外”的一般性规定。

第27条规定，基于“公共安全”的需要可以对个人信息进行识别。本条并为限定识别主体，也就是说基于现行法律规定，只要是基于“公共安全”需要的主体都可以进行识别行为，但是应遵守保密规定。

第28条规定了处理已公开的个人信息的要求。从条文来看，如果个人信息是行为人自行公开的，并明确了信息用途，且那么处理者在用途条件下可直接使用该公开的个人信息。但，超出原始用途合理范围内的，则需要重新履行“告知和同意原则”。如果公开的用途并不明确，且信息处理会对个人造成重大影响时，就需要先履行“告知和同意原则”。但从《民法典》第1036条第2项中关于“该自然人明确拒绝”的规定及该法第13条的规定来看，无论个人信息公布时的用途是否明确，权利人均有随时行使“撤销”的权利。

c.第二章 第二节

第二节包括第29、30、31、32条，这四个条款具体规定了敏感个人信息的处理规则。现就其归纳解读。

第29条对什么是“敏感个人信息”进行了定义，并对个人敏感信息的保护提出了更为谨慎，更高的要求。

第30条对基于个人同意处理敏感个人信息的要求进行了规定。处理者在处理敏感个人信息时，应当采用“单独同意”的方式获得授权，结合具体实施办法《网络交易监督管理办法》（征求意见稿）第11条的规定来看，“单独同意”应通过“逐项授权”的方式实现。

第31条对处理敏感个人信息的告知义务做了具体规定，处理敏感个人信息，除了需要根据该法第18条向用户告知相应的事项外，还需要告知必要性以及对个人的影响两项要素。

第32条对处理敏感个人信息的特殊限制情形做了规定，从其规定来看，该条并未直接明确处理敏感个人信息的特殊限制情形是什么，而将此部分空间留给了其他法律与行政法规。

d.第二章 第三节

第三节主要规定了国家机关处理个人信息的情形，该节主要包括33、34、35、36、37条5个条款，由于此部分并非企业所需注意事项，因此在此不做展开论述，具体规定参照条文本身。

e.第三章

第三章主要对个人信息跨境规则进行了规定，具体包括38、39、40、41、42、43条6个条款。包括向境外传输个人信息的条件、向境外传输个人信息的“告知-同意”要求、向境外提供个人信息的专门要求、国际司法协助或行政执法协助情形下向境外提供个人信息的要求、禁限制清单和对等反制六个方面内容。

第38条对个人信息处理者向境外传输个人信息的条件进行了规定，该条包含4款规定了四项基本要求，但满足其中任意一项即可。其中第1款规定，需依照该法第40条的规定通过国家网信部门的安全评估。改款中所述的第40条实际上衔接了《网络安全法》中关于关键信息基础设施运用者的规定，同时改款指明了安全评估申请的主管部门为网信办，结合《个人信息出境安全评估办法（征求意见稿）》第3条的规定来看，此处所指网信办一般为为运营者所在地的省级网信办，但是该法第40条明确了此种特殊情况下的提级审查，由国家网信办组织安全评估审查。具体安全评估办法可以参照《个人信息出境安全评估办法（征求意见稿）》进行。该条第2款规定按照网信办规定，需要经专业机构进行个人保护认证的，应取得认证。该条第3款规定处理者可以通过与境外方订立合同的方式或在符合法律、行政法规、国家网信部门规定的其他条件的情形下向境外传输个人信息，处理活动应达到本法所规定的标准。该条第4款看似兜底条款，实则暗藏玄机，其表述为“国家网信部门规定的其他条件”，这说明该条的落地与条件区分适用还需要后续国家网信办的具体实施意见，同时也说明具体适用1、2、3款中的那一项路径以及具体需要达到怎样的安全标准都有待国家网信办做详细规定。

同时，结合《网络安全法》与该法第40条、该条第4款的规定来看，该条项下的1、2、3款并非任意适用，而是区分条件适用，若提供个人信息出境者为关键信息基础设施运营者，或个人信息处理者处理的个人信息达到国家网信部门规定数量，比照《个人信息和重要数据出境安全评估办法（征求意见稿）》第9条的规定，此处数量应做“含有或累计含有50万人以上的个人信息”解读。则应当通过第1款规定的路径出境。此外，则可以通过第2条或第3条的路径出境。

第39条就向境外传输个人信息的“告知-同意”要求进行了规定，具体需要满足两方面的条件，一方面是向个人告知境外接收方的身份、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式等事项。另一方面是取得个人的单独同意。二者缺一不可。

第40条就关键信息基础设施运营者和含有或累计含有50万人以上的个人信息的运营者的数据本地化储存和安全评估义务做了规定。从本条可以看出，数据本地化储存义务只针对关键信息基础设施运营者和含有或累计含有50万人以上的个人信息的运营者有强制义务性规定。对其他情形并未做强制性规定。

第41条规定了我国企业没有因国际司法协助或行政执法协助而直接向境外有关方提供公民个人信息的义务，该条与《数据安全法（草案）》第33条有所衔接，都旨在一定程度上封堵境外机构的长臂管辖，尤其是美国时常以司法协助为由要求中方企业提供个人数据。二者不同的是，本条规定的需报批情形包括国际司法协助或行政执法协助。

第42条规定了纳入个人信息提供禁限制清单的情形，具体包括“损害中华人民共和国公民的个人信息权益,或者危害中华人民共和国国家安全、公共利益”。

第43条规定了我国可以视情况采取对等反制措施。

f.第四章

第四章对个人信息处理活动中的个人权利进行了规定，包括44、45、46、47、48、49条6个条款。包括个人的知情权、决定权、查阅复制权、修改权、删除权、要求解释说明权和处理者建立申诉机制义务。

第44条规定了个人的知情权和决定权，其中知情权的知情内容为处理者对其个人信息的处理活动的相关内容。决定权则限于决定是否拒绝或限制他人的处理活动。

第45条规定了查阅复制权，除保密和其他不需要告知情形外，个人有权查阅并复制其个人信息，个人信息处理者应当予以回应，并确保其权利得以行使。

第46条规定了修改权，具体包括更正和补充两个方面，顾名思义，个人并不能随意对其个人信息进行修改，仅能就错误信息进行更正或就遗漏信息进行补充。同时本条还对个人信息处理者附加了核实义务，但是此处的核实是形式核实还是实质核实并为说明，有待进一步实践和规定。

第47条规定了个人的删除权，该条明确了个人所享有的个人信息删除权和以及个人信息处理者存在的删除义务，并同时对删除权行使的豁免进行了规定。具体而言，本条规定了删除权行使的两种途径，即个人在满足相关条件后享有删除个人信息的权利。与此同时，个人信息处理者在出现相关情形时，也具有删除个人信息的义务。但是，个人信息处理者的删除义务并不是绝对的。如果技术上难以实现，或者法定保留期限尚未届满，则个人信息处理者可以不必删除个人信息，但是个人信息处理者必须停止处理个人信息。

第48条规定了个人的要求解释说明权，个人有权要求个人信息处理者释明其个人信息处理规则。

第49条对个人信息处理者建立申诉机制进行了义务性规定。并要求拒绝权利人申诉的，应当说明理由。

e.第五章

第五章对个人信息处理者的义务进行了规定，包括50、51、52、53、54、55条6个条款，包括合规与安全保障义务、确定个人信息保护负责人义务、境外处理者应在境内设立专门机构或制定代表义务、审计义务、风险评估义务和补救义务。

第50条对处理者的合规性和安全保障义务做了规定，本条指出，个人信息处理者应当根据个人信息处理目的、处理方式、个人信息类别、对个人的影响和可能存在的安全风险等，采取下列必要措施，保证其个人信息处理活动符合法律、行政法规的规定，防止个人信息被非法获取、泄露或者被盗用、篡改、删除。而具体要求包括内部管理制度和操作规程（第50条第1款）、分级分类管理（第50第2款）、相应的安全技术措施（第50条第3款）、内部操作权限配置（第50条第4款）、从业人员管理（第50条第5款）、制定并组织实施个人信息安全事件应急预案（第50条第6款）等。

第51条设置了设置个人信息保护负责人的义务，但这一义务并非赋予给了所有处理者，只有处理的个人信息数量达到一定数量的处理者才需要设置个人信息保护官。这一数量暂未做规定，可能会参照“含有或累计含有50万人以上的个人信息”的前述规定。

第52条规定了中国境外个人信息处理者在境内设立专门机构或者指定代表的义务。具体如何设立，目前预测可能参照《个人信息出境安全评估办法（征求意见稿）》第20条关于“白名单”的制度进行操作。

第53条规定了安全审计义务，本条明确了个人信息处理者的个人信息安全审计要求。但目前仅是原则性规定，从企事业单位的网络安全审计要求比照来看，有可能会要求设立内部审计机构并配置人员，也可能为了更为有效履职而要求第三方专业信息安全机构、律师事务所、会计师事务所进行审计工作，对于第三方机构而言，一个新兴审计市场正在形成。

第54条规定了处理者在处理敏感个人信息；利用个人信息进行自动化决策；委托处理个人信息、向第三方提供个人信息、公开个人信息；向境外提供个人信息；其他对个人有重大影响的个人信息处理活动前应当进行风险评估，评估内容包括个人信息的处理目的、处理方式等是否合法、正当、必要；对个人的影响及风险程度；所采取的安全保护措施是否合法、有效并与风险程度相适应。并且风险评估报告和处理情况记录应当至少保存三年。

第55条规定了发生个人信息泄露事故后应采取补救措施并书面通知职责部门和相关权利个人，通知应包括个人信息泄露的原因;泄露的个人信息种类和可能造成的危害;已采取的补救措施;个人可以采取的减轻危害的措施;个人信息处理者的联系方式等五个方面内容。补救措施能有效减免损害的可以不通知个人，但职责部门认为应当通知的除外。

f.第六章

第六章对职责部门进行了规定，包括56、57、58、59、60、61条6个条款。包括确定个人信息的保护和监管职责部门、保护职责、推进个人信息保护、可采取的行政措施、约谈、举报和投诉受理等6个方面内容。

第56条明确了个人信息保护的职责部门，履行个人信息保护职责的部门由国家网信部门进行统筹和协调，具体落实的工作由国务院各部门在各自职责范围内进行纵向的“条块管理”，最低一级职责部门为县级单位。

第57条明确了职责部门的职责范围，包括开展个人信息保护宣传教育，指导、监督个人信息处理者开展个人信息保护工作；接受、处理与个人信息保护有关的投诉、举报；调查、处理违法个人信息处理活动；法律、行政法规规定的其他职责，四个方面内容。

第58条实际上是57条的特别补充条款，其对国家网信部门的职责范围有所增加，包括组织制定个人信息保护的相关规则和标准，推进个人信息保护社会化服务体系建设，并承担支持有关机构开展相关评估、认证服务的责任。

第59条规定了履行职责可采取的行政措施，包括询问有关当事人,调查与个人信息处理活动有关的情况；查阅、复制当事人与个人信息处理活动有关的合同、记录、账簿以及其他有关资料；实施现场检查，对涉嫌违法个人信息处理活动进行调查；检查与个人信息处理活动有关的设备、物品；对有证据证明是违法个人信息处理活动的设备、物品，可以查封或者扣押等措施。按照行政法“法无规定即禁止”的一般原则，职责部门履行监管时不能采取超出此范畴外的其他措施。

第60条规定了约谈制度，本条实际赋予了职责部门对“存在较大风险或者发生个人信息安全事件”的认定权，并可以在条件认定后采取约谈措施。此外，由于《个人信息保护法（草案）》第53条已经要求个人信息处理者定期进行审计，因此，职责部门还可以根据审计结果，要求个人信息处理者进行整改并消除隐患。

第61条规定了举报和投诉机制，从举报主体看，无论是否具有利害关系，任何组织和个人都可以进行举报，意味着用户、非用户、竞争对手、第三方测评机构、自媒体等都可以作为举报主体，这也是该法第11条“共同参与个人信息保护的良好环境”的规定在监管机制上的具体体现。

从受理部门来看，无论中央或是地方，只要是履行个人信息保护职责的部门都可以受理举报。这里还规定了职责部门的受理义务，和公开举报人联系方式的行政公开义务，这些义务的不履行或履行失当都可以通过行政复议和诉讼的途径救济。

g.第七章

第七章对法律责任进行了规定，包括62、63、64、65、66、67条6个条款。具体包括违法责任、信用罚、国家机关法律责任、民事责任、公益诉讼、刑事责任等6个方面。

第62条规定了个人信息处理者违反本法需承担的法律责任，个人信息处理者违反法律规定的，由职责部门责令改正，没收违法所得，予以警告。处理者拒不改正的，处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

对于情节严重的，处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务、停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。

 第63条规定了信用罚，有违反本法规定的，可按照有关法律、法规规定记录信用档案。

第64条规定了国家机关的法律责任，对于国家机关不履行个人信息保护义务的，不仅需要由上级主管部门责令其改正，还将处罚责任落实到人，对直接负责的主管人员和其他直接责任人员依法给予处分，促进其更好地履行自身监管职能的作用。

第65条规定了民事侵权责任，该条对于侵权行为的赔偿采用的是“填平原则”，即根据被侵权人的实际损失作为侵权人赔偿的数额。本条在归责原则的表述上，似有明确个人信息侵权行为适用推定过错责任的意图。并且即使个人信息处理者能够证明自己不存在过错，仍可能被要求承担相应的赔偿责任，对于个人信息处理者而言，所承担的义务要求可能相对过高。

第66条规定了个人信息保护的公益诉讼，提起公益诉讼的情形为个人信息处理者违反本法规定处理个人信息且侵害众多个人的权益的。提起公益诉讼的主体为人民检察院或者履行个人信息保护职责的部门和国家网信部门确定的组织。

第67条规定了刑事责任，具体责任承担参照《治安管理处罚法》和《刑法》中的有关规定。

h.附则

附则共包括68、69、70条3个条款，具体包括不适用本法的特殊情况、专业术语和实施时间三个方面。

第68条规定了两种不适用本法的情形，情形1：“私权处理”，倘若以处理家庭事务为目的，进而发生在个体间的信息处理行为，由于其社会影响力较小，也不存在法律需要进一步细化调整的必要，因此排除在《个人信息保护法》调整的范围外。

情形2：“公权处理”，人民政府组织的统计和档案管理活动一般又涉及“公权”，其还可能需要符合《保密法》的相关规定，因此属于特别法的调整范畴，也应当被排除在《个人信息保护法（草案）》调整的范围外。

第69条对4条专业术语进行了规定:

1.个人信息处理者,是指自主决定处理目的、处理方式等个人信息处理事项的组织、个人。

2.自动化决策,是指利用个人信息对个人的行为习惯、兴趣爱好或者经济、健康、信用状况等,通过计算机程序自动分析、评估并进行决策的活动。

3.去标识化,是指个人信息经过处理,使其在不借助额外信息的情况下无法识别特定自然人的过程。

4.匿名化,是指个人信息经过处理无法识别特定自然人且不能复原的过程。

第70条规定了该法的实施时间。

03

对《网络安全法》的数据合规解读

《网络安全法》中涉及个人信息和数据的条款主要有第22、37、41、42、43、44、45、64条8个条款，大致可以分为个板块，第一个板块包括第22、37条，对个人信息和数据的权利归属、收集方式与本地化义务做了原则性规定，可以视为《网络安全法》涉个人信息和数据的总则部分。第二个板块包括第41、42、43、44、45条，对个人信息网络安全做了具体规定，可以看做是《网络安全法》涉个人信息和数据的分则部分。第三个板块为第64条，规定了违反《网络安全法》涉个人信息和数据安全的具体罚则，为罚则部分。接下来，将从数据合规角度对其逐条解读。

第22条规定了提供具有收集用户个人信息功能的网络产品和服务时应当向用户明示并取得用户同意，具体明示告知与同意的规定可以参照前述《个人信息保护法（草案）》的有关规定。

第37条对关键信息基础设施运用者在中华人民共和国境内运营中收集和产生的个人信息和重要数据的本地化储存义务做了规定。相较于《个人信息保护法（草案）》第40条的规定而言，该条规定适用范围明显更窄，具体适用，应以《个人信息保护法（草案）》第40条为准。

第41条规定网络运营者收集、使用个人信息，应当遵循合法、正当、必要三大基本原则。收集时必须向用户公开收集、使用规则，收集、使用信息的目的、方式和范围，手机活动还需要取得被收集者同意。同时收集活动还需要遵守限度要求，网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息。

第42条规定了网络运营者的原则性禁止行为义务，即不得泄露、篡改、毁损其收集的个人信息，也不得未经同意向他人提供个人信息。同时但是，经过处理无法识别特定个人且不能复原的除外。有原则必有例外，该条还规定了经匿名化处理且技术上不能复原回溯的除外。从该条第二款的表述上来看，网络运营者的禁止性行为除了故意范畴的泄露、篡改、毁坏、向第三方提供外，还包括技术过失范畴的丢失和损坏。

第43条与《个人信息保护法（草案）》第47条的规定一致，规定了个人的“更正”与“删除”权。

第44条规定了严禁非法获取、非法出售和提供个人信息。

第45条规定了监管机关及其工作人员对履职行为中获取的个人信息的保密义务。

第64条规定了网络运营商违反本法第22条第3款、第41条至第43条规定的，由有关主管部门责令改正，可以根据情节单处或者并处警告、没收违法所得、处违法所得1倍以上10倍以下罚款，没有违法所得的，处100万元以下罚款，对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款；情节严重的，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。

违反本法第44条规定但尚不构成犯罪的，由公安机关没收违法所得，并处违法所得1倍以上10倍以下罚款，没有违法所得的，处100万元以下罚款。

04

对《数据安全法》的数据合规解读

2020年7月2日，全国人大常委会第二十次会议审议了《数据安全法（草案）》并公开征求意见。全文7章51条，包括：总则、数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放、法律责任和附则。不同于《网络安全法》和《个人信息法（草案）》，作为《国家安全法》在数据安全领域的特别法，开辟了我国关于数据安全规范的法律领域，但由于《数据安全法（草案）》的规定较为宏观和原则性，缺乏可操作性，因此需要结合2019年5月28日国家互联网信息办公室公布的《数据安全管理办法（征求意见稿）》（以下简称《数据安全管理办法》）的内容规范对其进行解读。

结合《数据安全管理办法》全文来看，数据安全领域合规规范可以总结归纳为以下若干板块。

a. 个人信息收集

《数据安全管理办法》第7、8、9、10、11、12、22条规定了数据安全视域下个人信息的收集规则，其第7、8、9、10条可以概括为仅当用户知悉收集使用规则并明确同意后，网络运营者方可收集个人信息；可包含于隐私政策中，但要集中展示，不能散见于各条款中。

第11条规定了用户对非核心数据收集条款拒绝权，首先网络运营者不得以任何借口在授权中设置默认授权、捆绑授权或者强迫授权。其次，不得因个人信息主体拒绝或者撤销同意核心条款以外的授权，而拒绝提供核心业务功能服务，当然这必须以不影响核心服务功能开展为限度。

第12条对未成年人个人信息收集提出了特别要求，对14岁以下未成年人的个人信息收集还应获得监护人同意。

第22条对网络运营者扩大业务范围的再收集进行了规定，要求对扩大范围的再收集必须获得再授权。

b. 义务性规范

第13条规定了禁止歧视义务，经营者不得因为授权不同，收集到的数据完整度与规模不同而采取不同的服务和定价策略，转嫁规模成本给消费者。

第14条规定了同等保护义务，不论是自主收集还是从别处获取的数据都应同等同级保护。

第16条规定了网络运用者自动化收集限流义务，网络运用者自动化访问收集流量超过网站日均流量三分之一的，网站有权要求其停止访问。

第17、18条规定了数据安全责任人及其职责。主要收集重要数据或个人敏感信息的网络运营者，应当明确数据安全责任人。责任人具有组织制定数据保护计划并督促落实；组织开展数据安全风险评估，督促整改安全隐患；按要求向有关部门和网信部门报告数据安全保护和事件处置情况；受理并处理用户投诉和举报等工作职责。

c. 数据保存、处理与使用

第19、20条规定了数据应当分类、备份、加密保存且不得超过规则约定的保存期限。

第21条规定了个人的查询、更正与删除权。

第23条规定了定向推送广告业务，运营者利用算法投递“精准广告”时应当标明“定推”字样，且要设置选项以保障用户有权永久性关闭精准广告权。用户拒绝接收的应停止推送，并删除用户设备识别码。

第24、25、26条规定了知识产权保护的相关内容，与数据合规关联度较低，在此不做展开。

第27、28条对向第三方提供个人信息提出了事先进行安全风险评估的要求，并征得个人同意。这里的向第三方提供包括发布、共享、交易或向境外提供的情形，且以上情形下还需要报经行业主管监管部门同意。

第29条规定境内用户访问不离境则数据禁止路由到境外，这是因为在不必要路由到境外节点的情况下将访问路径路由到境外，可能会在境外产生数据泄露或截取风险。

第30条规定了第三方损害责任，运营者对第三方应用有督促监督责任，因第三方致害的，运营者承担部分或全部责任，责任承担方式为推定过错责任。

第31条规定了数据承接，发生兼并、重组、破产时，数据承接方应承接数据安全责任和义务。没有数据承接方的，应当对数据作删除处理。

d. 监管情形、主体与罚则

第5、15、33、34、35、36、37条主要规定了数据安全的监管主体、监管事项和罚则。具体来说：

第36条规定了应当向国家机关提供数据的情况。按规定网络运用者只有向国务院主管部门一级提供数据的义务，且限于有关部门为履行维护国家安全、社会管理、经济调控等职责需要时。

第37条规定了违法数据安全规范的罚则，包括公开曝光、没收违法所得、暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或吊销营业执照等处罚。

c. 专业术语定义

该法所指的网络数据与重要数据分别是指通过网络收集、存储、传输、处理和产生的各种电子数据和一旦泄露可能直接影响国家安全、经济安全、社会稳定、公共健康和安全的数据，如未公开的政府信息，大面积人口、基因健康、地理、矿产资源等。重要数据一般不包括企业生产经营和内部管理信息、个人信息等。

05

对《电子商务法》的数据合规解读

我国关于电子商务中的个人信息保护集中于《电子商务法》第5、18、23、25、32条之中。其第5条规定“电子商务经营者从事经营活动应履行消费者权益保护网络安全与个人信息保护等方面的义务。”该条明确了电子商务经营者在网络安全与个人信息安全方面的义务，其中消费者个人信息权益保护的相关规定规定于《消费者权益保护法》之中，具体参考后文。

第18条要求电子商务经营者根据消费者的个人消费信息特征向其提供商品或者服务的搜索结果的，应当同时向该消费者提供不针对其个人特征的选项，该条意在避免信息茧房并与《个人信息保护法（草案）》第25条有衔接之处。

第23条规定“电子商务经营者收集、使用其用户的个人信息，应当遵守法律、行政法规有关个人信息保护的规定”具体遵循规范参考前文《个人信息保护法》和后文个人信息相关行政法规、标准的规定。为如何合法进行个人信息收集提供了指引。

第25条规定“有关主管部门依照法律、行政法规的规定要求电子商务经营者提供有关电子商务数据信息的，电子商务经营者应当提供。”本条规定了电子商务经营者应对政府监管机关数据监管行为的配合义务。只要监管机关有充足法律依据，经营者应予配合，对于不服或认为要求提供数据行为违法的，可以通过行政复议与诉讼途径救济自身权利。

第32条规定“应明确消费者进入和退出平台时个人信息保护等方面的权利和义务”，这相当于明确平台在消费者使用平台的全活动过程中遵守个人信息保护的相关规定，在消费者退出平台时应妥善处置其个人信息。

四、经济法层面的数据合规解读

01

对《消费者权益保护法》的数据合规解读

我国关于消费者个人信息保护的条款主要体现在《消费者权益保护法》第14、29、50、56条之中。《消费者权益保护法》第14条规定“消费者在购买、使用商品和接受服务时……享有个人信息依法得到保护的权利。”明确了消费者因消费行为产生的个人信息数据应依法受到保护。《消费者权益保护法》第29条则规定了经营者的三方面义务，第一是经营者收集处理消费者个人信息应当征得消费者同意，在合法、正当、必要的原则下公开（收集使用规则）收集处理消费者个人信息；第二是对收集的消费者个人信息负有严格保密义务和安全保障义务；第三是未经消费者同意不得向其发送商业信息。《消费者权益保护法》第50条规定了侵权行为发生时的补救措施，包括“停止侵害、恢复名誉、消除影响、赔礼道歉，并赔偿损失”。《消费者权益保护法》第56条规定了侵害消费者个人信息权利的行政处罚责任，并规定，其他有关法律、法规对处罚机关和处罚方式有规定的，依照法律、法规的规定执行。该条不仅规定了具体的罚则事项还为法律适用提供了指引。在《个人信息保护法（草案）》与《消费者权益保护法》之间构筑了一道桥梁。

02

对《反垄断法》的数据合规解读

年初的中央经济工作会议明确了健全数字规则，完善平台反垄断的法律规定，为了应对垄断问题的数字化，也亟待数字化的反垄断法。2月7日，国务院反垄断委员会制定发布《国务院反垄断委员会关于平台经济领域的反垄断指南》，明确“大数据杀熟”可能构成滥用市场支配地位差别待遇行为。反垄断法禁止经营者滥用市场支配地位，无正当理由对条件相同的交易相对人在交易价格等交易条件上实行差别待遇。《指南》明确了构成差别待遇可以考虑的因素，其中包括平台经济领域经营者基于大数据和算法，根据交易相对人的支付能力、消费偏好、使用习惯等，实行差异性交易价格或者其他交易条件。关于认定交易相对人是否“条件相同”，该指南特别规定，平台在交易中获取的交易相对人的隐私信息、交易历史、个体偏好、消费习惯等方面存在的差异不影响认定交易相对人条件相同。实践中，如果平台经济领域经营者具有市场支配地位，对不同的消费者实施不同的交易价格等交易条件，可能构成差别待遇行为。按计划，《反垄断法》将于本年内修订，可以预见的是，反数据垄断规则将在此次修订中问世。

由于行政法规、规章、规范性文件及标准类文件繁多，这里不再做一一展开，仅以表格形式列明，方便读者查询。在后文介绍关于数据合规的具体关键环节操作指南时，如有涉及则再做展开。