您的位置 : 环球研究 / 环球评论 / 新闻详情
《个人信息保护法(草案)》—— 跨境业务实务视角的些许思考
2020年10月30日王筱东

备受各界关注和期盼的《中华人民共和国个人信息保护法(草案)》(“个人信息保护法草案”或“草案”),作为中国第一部关于个人信息保护的专项法律的草案,终于公开亮相,于2020年10月13日召开的第十三届全国人大常委会第二十二次会议提请审议。

 

制定个人信息保护法,是第十三届全国人大常委会2020年度立法工作计划的重点工作之一。草案的起草和制定始于2018年,由全国人大常委会法制工作委员会与中央网络安全和信息化委员会办公室牵头进行。个人信息保护法草案作为我国个人信息保护领域第一部专门性法律,具有承前启后的重要意义。若草案正式通过,将奠定我国个人信息保护制度的基本规则,对后续具体法律规范的建立产生深远影响,并对个人信息保护相关实践工作提供有力指导。

 

草案充分吸纳和借鉴了世界上其他主要国家的个人信息保护的相关立法经验,主要立足于我国个人信息保护领域的突出问题和民众关切利益,旨在为我国现有的网络信息安全法律制度充实个人信息保护制度规则;同时也与现有立法成果确立的网络和数据安全法律体系相衔接。[1]为此,我们从法律实务的角度,重点分析个人信息保护法的主要亮点,从比较法的角度讨论个人信息保护法凸显出的个人信息保护的立法走向,为数字经济企业的未来数据合规提供宏观建议。

 

图1:我国个人信息保护立法主要成果

(*点击图片可放大查看)

 

一、个人信息保护法的域外适用效力

 

对于跨境业务主体而言,首先值得注意的是个人信息保护法草案的域外管辖效力。根据草案第三条第二款的规定,在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,满足以下任意一种情况,即落入草案的管辖范围:(1)以向境内自然人提供产品或者服务为目的;(2)为分析、评估境内自然人的行为;或(3)符合法律、行政法规规定的其他情形,则适用该草案。

 

从当下国际的个人信息和数据保护立法来看,确立本国法的域外效力已是趋势,欧盟GDPR、美国《澄清域外合法使用数据法案》均有相关规定。草案在一定程度上借鉴了欧盟GDPR第3条第2款确立的“目标”(Targeting)管辖标准[2],要求设立在中国境外的业务主体,若为中国市场提供产品或服务,并为此采集和处理个人信息,则应当接受中国个人信息保护法的规制。

 

参考欧盟数据保护委员会(European Data Protection Board, EDPB)的观点,目标标准关注的核心对象是数据的处理行为(processing activity of personal data)——而非作为处理行为对象的法人或自然人——是否落入GDRP适用范围,即同一个自然人或法人可能只有部分数据处理行为受管辖。[3]我们认为这一理解可以借鉴到对草案的理解与适用上。草案针对的是“处理中国境内自然人个人信息的活动”,且在第三条第二款中特别规定,境内自然人进行数据分析、评估行为,应当落入草案的管辖范围内。

 

在数字经济快速发展与经济全球化震荡的背景形势下,基于维护数据主权以及加强个人信息、隐私安全保护的要求,草案对于境外企业处理境内自然人个人信息的行为予以了必要的规制和回应;但与此同时,对于域外效力条款的适用性和可执行性,各界多有探讨。若草案的域外适用效力最终生效,这将对跨境数据公司、跨境金融服务公司等相关域外跨境服务经营主体产生不小的影响。

 

比如,草案要求境外业务主体应在中国境内设立专门机构或指定代表,负责处理个人信息保护事务(草案第五十二条)。若其在向境内第三方提供个人信息时,除向个人履行相关告知义务外,还需要取得个人的单独同意(草案第二十四条)。此种“单独同意”作为第一次出现在我国个人信息保护相关立法中的新概念,是否能够被目前惯常使用的通过隐私政策进行的“告知-同意”模式所覆盖,不无疑问(关于 “单独同意”的具体分析请见后文)。

 

此外,若境外机构与境内机构共享信息,构成共同个人信息处理者的,还应当对个人共同承担义务和连带责任(草案第二十一条)。但境内外共同处理者各自需要遵守的本国法律各不相同,应该如何协作遵循相关的信息处理义务,遵循何种标准分配彼此的权利义务和责任,如何判定连带责任追责的准据法,以及最终如何对境外违法者进行处罚,都是实务问题中跨境企业所关注的焦点。随着业务模式日新月异的变化,这可能对企业数据相关的合作安排提出更为复杂的要求。有些时候个人信息处理者无法完全了解其合作第三方的技术水平及数据保护机制、无法控制第三方的处理行为、或基于其相较于第三方的强势地位将相关责任全部转嫁于第三方,由此可见数据共享的合作安排可能在很多情况下均缺乏预见风险的可能性与防范风险的有效性。从用户的角度而言,由于处于信息不对等的弱势地位,对于个人信息在共同控制者之间的具体处理活动分工,其更是无法得知。在真正发生侵害用户个人信息权益的事件时,用户是否需要举证证明“共同控制者”?如果需要,该如何证明?在控制者一方明显无法预见风险或能够明确责任主体的情况下,尤其是对于中小科技企业,要求其承担连带责任是否会对其带来不合理的负担?连带责任下可能引发的如何实现对用户的赔偿、是否有追偿权、如何实现追偿等一系列的问题都值得进一步思考。在《个人信息安全法》正式确认出台后,更重要的议题是如何建立更具有可行性、更合理的责任分配机制,在这个方面我们还有很长的路要走。

 

一方面,需要后续个人信息保护相关具体规则、解释的出台,为处理者提供更为具体的行动指引;另一方面,跨国企业需要提前根据其业务性质和业务模式事先对涉及中国的跨多法域的个人信息处理行为进行事先合规策略筹划。

 

二、个人信息的内涵与外延

 

(1)个人信息:“识别”+“关联”标准

 

值得注意的是,草案和《民法典》、《网络安全法》中所定义的“个人信息”范围不完全一致。草案第四条定义的“个人信息”,是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。我们理解,草案区分“可识别”及“已识别”自然人的信息,并采用“识别+关联”标准。从文义上理解,这一定义并未沿用《网络安全法》及《民法典》确立的“识别”标准,也并未在概括性定义后进行列举式规定,更加抽象,并可能使个人信息的外延更加宽泛。

 

但这并不是我国第一次采用“识别+关联”之定义,一般认为,《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》实质上即采取了该标准界定个人信息[4]。《信息安全技术 个人信息安全规范》(GB/T 35273-2020,“《个人信息安全规范》”)中对何为“识别”(identify)与“关联”(link)进行了进一步说明[5]。同样地,GDPR也采用这一双重认定标准。[6]

 

根据该标准,我们理解,对于一般信息,以“可识别性”为核心认定其是否属于个人信息;而对于已识别到自然人的个人信息,则以“关联性”将与该自然人相关联的所有信息纳入其个人信息范畴。事实上,“识别”与“关联”路径是针对“个人信息界定”这一问题的两个方面。随着新技术不断出现,清晰地界定个人信息的范围将变得越来越复杂和困难,而根据国际立法经验及从监管效率等角度考量,对个人信息进行明确列举不仅无先例,也无必要。相比之下,草案提出的概念更为全面、更具包容性,有利于最大限度地将现在以及将来可能被归入个人信息的内容纳入法律对个人信息权益的保护范围内。

 

但从另一方面而言,草案与现有法律中个人信息界定标准表象上的不统一,可能会使得个人信息的判定缺乏整体性,增加法律适用上的不确定性。

 

(2)敏感个人信息的立法规定

 

草案首次在法律层面上明确了“敏感个人信息”的定义以及敏感个人信息的处理规则。敏感个人信息的定义和处理规则此前仅出现于推荐性国家标准中(即《个人信息安全规范》)。

 

基于《个人信息安全规范》中规定的“个人敏感信息”定义,草案从方便对该类信息进行认证的角度进行了更为精确的调整。在将概念称谓调整为“敏感个人信息”后,进一步将个人歧视性待遇、人身财产安全受到危害的程度定性为“严重危害”,从而可以使人更为清晰地在一般性的“个人信息”范围下,区分应加以特殊保护的敏感个人信息。

 

敏感个人信息的处理规则(参见草案第二十九条至三十二条)要求处理者必须有特定的目的以及充分的必要性,如何将这一要求具体体现在“告知-同意”机制下对个人信息处理者提出了一系列新课题:比如在告知方面,应当告知处理个人信息的必要性以及处理行为可能对个人产生的影响;而在同意方面,一般性的“同意”可能无法满足立法者的要求,处理者应根据法律法规取得个人的“单独同意”或“书面同意”,详细分析见下文。

 

三、“告知—同意”的新机制

 

(1)告知原则的例外

 

草案进一步完善了《民法典》、《网络安全法》、《消费者权益保护法》已有的告知机制。要求处理者在处理个人信息前,以显著方式、清晰易懂的语言履行告知义务,并列举了应当告知的具体事项。

 

其中特别值得注意的是,草案首次提出了告知义务的例外规定(第十九条),其一是对于有法律、行政法规规定应当保密或者不需要告知的情形的,可以不向个人告知;其二是紧急情况下无法及时告知的,可以先行处理但应当在紧急情况消除后予以告知。为防止该条例外规定被滥用,草案谨慎地规定了较为严格的限制性要求。对于前者,只有在“法律、行政法规”有免除告知义务规定时,可以适用;而后者则仅限于“保护自然人生命健康和财产安全”且“无法及时告知”的情形。

 

(2)“同意”、“单独同意”与“书面同意”

 

根据草案第十四条,处理个人信息的同意,应当由个人在充分知情的前提下,自愿、明确作出意思表示。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。

 

草案明确规定基于个人单独同意进行数据处理的情形包括:(1)个人信息处理者向第三方提供其处理的个人信息的(第二十四条);(2)处理个人敏感信息的(第三十条);(3)在公共场所安装图像采集、个人身份识别设备,将所收集的个人图像、个人身份特征信息公开或者向他人提供的(第二十七条);(4)向境外提供个人信息的(第三十九条)。

 

草案创设了“单独同意”的新机制,但并未进一步解释说明什么是“单独同意”,以及相关个人信息处理者该如何获取用户“单独同意”及“书面同意”的机制。根据以往的实践,“单独同意”有可能理解为区分于一般性的概括同意(典型地,即以隐私政策一并告知数据处理相关内容并获取用户同意),应当针对数据处理的具体场景,获得用户单独的同意。但互联网经济下,企业数据分享及合作无时无刻不在发生,如果每个场景都需要企业单独告知用户并获得同意,可能会造成企业运营效率降低,用户也会不堪其扰。因此,需要后续出台相关规定或指引对这一新概念作出更明确的解释,设计兼顾效率和保护的同意机制。

 

四、处理个人信息的合法性基础

 

草案第十三条列举了处理个人信息合法性基础,包括:(1)取得个人同意;(2)为订立或者履行个人作为一方当事人的合同所必需;(3)为履行法定职责或者法定义务所必需;(4)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;(5)为公共利益实施新闻报道、舆论监督等行为在合理的范围内处理个人信息;(6)法律、行政法规规定的其他情形。

 

《个人信息安全规范》列举了多达11项无需个人同意的合法处理情形,其中包括了草案列举的上述(2)-(5)项。[7]欧盟GDPR亦有类似规定[8]。但草案与欧盟GDPR的规定仍有不同,比如并没有将“为保护数据主体或其他自然人的重要利益(legitimate interests)之必要”作为合法处理的基础。另外,在程序上,欧盟监管机关会要求数据处理者对无需个人同意的场景进行合法性论证,并留存相关的论证记录,通报主管监管机构。在未来的实践中我国是否会参照或借鉴欧盟的做法,尚有待观察。

 

五、完善主体权利及处理者义务

 

(1)个人信息主体权利

 

个人信息保护法草案呼应了《民法典》第一千零三十四条确立的个人信息的法律保护地位,即“自然人的个人信息受法律保护”。并首次在法律层面将个人信息的地位明文确定为“法律权益”。相应地,草案第四章进一步列举了个人在个人信息处理活动中享有的“权利”,包括对信息处理的知情权、决定权(包括限制和拒绝权)、信息查阅和复制权,以及信息更正和删除权;以及自然人撤回同意的权利,以及自动化决策的相关权利。相较之下,《民法典》赋予自然人信息查阅、复制、更正和删除权,并且仅作了原则性规定。因此,草案可视为《民法典》权利体系的延展和强化。

 

值得注意的是,草案仍然没有赋予个人信息主体欧盟GDPR第20条规定的“数据可携权”(data portability)。[9]数据可携权能够保证数据主体根据自身意愿,接收个人数据以及处理个人数据的权利。但与此同时,其还涉及到一系列相关问题,可能引发争议,比如是否能够将数据无障碍地(包括技术上可行地)传输;个人是否可以对他人收集整理的与其有关的数据要求自决权乃至对所有权;企业自身收集的数据将会被转移到其他数据处理者,可能会对依赖数据进行服务提供、技术创新的企业带来负面影响等等。[10]

 

(2)个人信息处理者的义务

 

除此之外,草案为个人信息处理者确立了一系列更具体的义务和行为规则,如取得个人同意的告知方式应当显著清晰易懂、个人敏感信息的处理应取得个人的单独同意、共同处理者的连带责任、处理者和委托处理者的告知义务等等。相比而言,《网络安全法》此前对网络运营者处理个人信息的义务规定较为有限和概括[11]。个人信息保护法草案在承袭了现有制度的基础之上,进一步添加了具体操作标准,比如防范数据泄露、窃取、篡改或删除的必要措施应包括制定内部管理制度和规程、对个人信息实行分级分类管理、采取相应的加密、去标识化等安全技术措施、合理确定个人信息处理的操作权限并定期进行人员培训、制度个人信息安全事件应急预案等等。

 

可见,草案有意兼顾《网络安全法》设立的现有规则,并与其进行衔接。但针对草案的现有条款的落地,如何对个人信息实行分类分级,如何合理确定操作权限等问题,尚有待观察及探索。

 

六、如何处理公开个人信息

 

《民法典》第一千零三十六条规定,合理处理自然人自行公开的或者其他已经合法公开的信息,处理行为人不承担民事责任,但该自然人明确拒绝或者处理该信息侵害其重大利益的除外。草案第二十八条则具化了对于已公开的个人信息处理规则,即处理已公开的个人信息,应当符合该个人信息被公开时的用途;超出该用途相关的合理范围的,应该向个人告知并取得同意;被公开用途不明确的,处理者应当合理、谨慎地处理已公开的个人信息。

 

该规定体现了立法者对个人信息采集合法性的谨慎态度,即使信息已公开,信息处理者仍应当审慎关注信息来源的合法性,并谨慎使用该个人信息。可以说,“合理性”是公开个人信息并排除同意规则的核心。因此,从实务的角度,个人信息处理者应当采取什么措施审查确认这类信息被公开时的用途,如何判断“超出用途相关的合理范围”、或者说“合理性”的标准为何,均有待进一步探讨。

 

七、自动化决策

 

目前我国已有的立法中,《电子商务法》、《网络交易管理办法》、《数据安全管理办法(征求意见稿)》均对商业场景下自动化决策进行了规定。草案基于上述尝试,在法律层面明确了一般性的“自动化决策”的定义,即“利用个人信息对个人的行为习惯、兴趣爱好或者经济、健康、信用状况等,通过计算机程序自动分析、评估并进行决策的活动”(草案第六十九条第二款)。这一定义,将“自动化决策”的适用范围不再局限于商业场景,还包括了公共事业场景的自动化决策,一定程度上填补了我国在公共事业场景下自动化决策相关立法的空白。

 

草案第二十五条明确了自动化决策的基本原则,即“决策透明和结果公平合理”,并明确了个人对“对其权益造成重大影响的自动化决策”,享有要求处理者予以说明的权利,以及拒绝“处理者仅通过自动化决策作出决定”的权利;另外在草案第五十四条,规定个人信息处理者进行自动化决策的,应当事前进行风险评估,并对处理情况进行记录。有学者指出,该条规定与国际通行的算法影响评估制度(Algorithmic Impact Assessments, AIA)十分类似。类似的制度可参见2018年纽约市通过颁布《算法问责法》首创的自动化决策系统的影响评估制度,以及2019年加拿大政府颁布的《自动化决策指令》系统化创建算法影响评估指标。[12]

 

草案中的“自动化决策”规定,也在一定程度上借鉴了欧盟GDPR关于“自动化决策”的机制。对于一般性的自动化决策,草案的态度和欧盟GDPR类似,即基本允许,但应遵循法规中个人信息处理的基本原则;但对“对数据主体产生重大影响的纯自动化决策”,二者的态度则不完全一致。草案的表述为“个人有权要求处理者予以说明,并有权拒绝”,这项表述或可理解为一般允许,但个人享有拒绝接受的权利。而欧盟GDPR第22条的基本逻辑是,此类型的自动化决策应当一般性禁止,仅在特定情形下方可被允许。特定情形包括:为数据主体和数据控制者间设立或履行合同所必要;数据控制者所在欧盟成员国法律明文允许;或数据主体明示同意。对于一般性自动化决策和对数据主体产生重大影响的纯自动化决策,除上述基本态度之外,欧盟监管机关更关注的是采用自动化决策的数据控制者将如何采取保障措施,确保自动化决策过程中数据主体权利得以实现。因此,自动化决策的法律机制并非简单的允许或禁止,而是与个人信息保护的整体机制联动,实现公开透明、公平合理,最终保障信息主体的权利,那才是自动化决策法律机制的关键,也是对信息处理者的实际挑战。

 

八、信息跨境传输

 

个人信息保护法草案对个人信息的跨境问题也有许多值得关注的新规定,这为跨境实务提供一些新观察和新思考。

 

首先,跨境传输需要充分告知自然人,并获得其单独同意。草案第三十八条列举了个人信息处理者向中国境外提供个人信息的合法性基础:(1)对于“关键基础设施运营者”以及处理个人信息达到“国家网信部门规定数量的处理者”,应当通过网信部门的安全评估;(2)对于其他企业,除了通过国家网信部门组织的安全评估外,经专业机构进行个人信息保护认证、或与境外接收方订立合同并保证其个人信息处理活动达到草案规定的保护标准,即可向境外传输个人信息。相比《个人信息出境安全评估办法(征求意见稿)》,草案为个人信息处理者提供了更为多元的出境合法性基础。

 

此外,草案也对数据本地化进行了规定。根据草案第四十条,“关键信息基础设施运营者”以及“处理个人信息达到网信部门规定数量的个人信息处理者”,应当将在中国境内收集和产生的个人信息存储在境内。个人信息出境应当通过安全评估,除非法律、行政法规和网信部门另有规定。草案并未明确处理个人信息达到何种数量将触发“数据本地存储”的义务。但考虑到此前网信办出台的《个人信息和重要数据出境安全评估办法(征求意见稿)》第九条的规定,含有或累计含有50万人以上的个人信息,或数据量超过100GB的数据出境,应当报请行业主管或监管部门组织安全评估。虽然该草案至今未能落地,但这也显示了草案对相关行政法规规章草案中设定的考量机制的认可。

 

我们理解,以机械的数量标准作为是否要求进行安全评估的标准,虽然直观,但在实操中可能引发其他争议。比如,所确定的数量标准是否真的能够与市场中相关企业的实际情形相适应?另外,企业也会设法规避这一标准,以尽力避免安全评估所带来的成本、信息披露义务和相关风险。因此,如何设定更合理、更具有实操性的动态标准,有待网信部门及相关监管部门施展执法智慧,为企业提供具体的合规指引。

 

同时,草案第四十一条规定,因国际司法协助或者行政执法协助,需要向中华人民共和国境外提供个人信息的,应当依法申请有关主管部门批准。中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息有规定的,从其规定。我们理解,此规定意在约束境外执法机构的长臂管辖。但本条第二款的表述或有待完善。审查相关国际公约、协定是否含有关于向中国境外提供个人信息规定的权力主体具体是谁?由业务主体自行审查,显然不合适,但有关部门应当为业务主体依据相关国际公约、协定进行数据出境传输提供更为明确的指引。[13]

 

为保障域外效力,草案第四十二条和第四十三条,分别提出了数据跨境传输的境外组织和个人“黑名单”机制,以及歧视性国家和地区的对等反制。前者在个人信息保护立法中是首次提出,后者类似规定则出现《数据安全法(草案)》中(该草案第二十四条)。目前两项机制尚处于原则性规定阶段,若正式采用,是否会有透明的标准判断“境外组织和个人的损害个人信息权益和危害国家安全、公共利益的行为”,黑名单是否存在时限等等问题,尚待立法和监管部门确认。

 

九、高额处罚

 

最后,实务界最为关注的,还是违反草案的法律后果。草案第六十二条的处罚新规,针对违反草案规定处理个人信息的,或未按规定采取必要安全保护措施的,若情节严重,将可能面临最高5千万元或上一年度营业额5%的罚单。参照当下欧盟根据GDPR连连开出的巨额罚单,草案体现了中国立法者对接个人信息保护国际标准,中国执法者强化个人信息保护执法、政府加强个人信息保护力度、关注自然人个人信息权益的决心,这也使得我们对于中国会建立与高额处罚相对应的高素质执法团队充满期待。

 

总结与展望

 

数字经济时代下的个人信息保护任重而道远。全球的信息技术应用迭代在不断加速,个体数据的经济效能尚不可估量。数字时代下的个体,究竟只是消费者,还是生产者,或已难以区分。时代变革引起的社会关系变化,或许会对现有法律体系带来冲击,但法律需要保护的基本价值并不因此减少。如何在数字经济和个体人格权益之间平衡,是每个国家的立法者都在积极思考和探索的问题。

 

个人信息保护法草案,是我国立法者对以上问题作出的回应。草案在《民法典》、《网络安全法》等已有法律的基础上,针对实践中的关切利益,进一步完善了个人的个人信息权利体系,并提供了更多元化的权利实现和救济方式,亮点频出。对于相关企业等个人信息处理者,草案也为其明确了行为边界和责任义务范围,并尝试为处理者预留更切实可行的执行空间。因此我们认为,草案展现了包容多元和灵活的个人信息保护立法趋势。

 

草案留给我们的思考也很多。从立法技术上看,如何将个人信息的基本理论和体系落实到具体立法,如何有效地衔接各项立法成果。从执行落地上看,个人信息等概念的具体定义如何统一、权利义务实现的具体标准又将是如何。对于这些问题,我们将继续关注并期待立法者给我们带来下一步指引,执法者在将来能为中国带来符合国际水准的法律实施水准。

 

注释:

[1] 请参见全国人大法工委:关于《中华人民共和国个人信息保护法(草案)》的说明。

[2] GDPR第3条第2款规定,GDPR适用于任何在欧盟境内没有营业地的数据控制者或者数据处理者与如下情形有关的个人数据处理行为:(a)如果该数据处理行为与向欧盟的数据主体提供商品或者服务有关(无论数据主体是否被要求付费);或(b)对在欧盟的数据主体在欧盟境内发生的行为进行监控。

只要满足两个条件之一,GDPR相关规定就将适用于有关数据控制者(controller)或处理者(processor)对个人数据的加工处理。相比草案,欧盟的域外管辖适用范围更加宽广。

[3] Guidelines 3/2018 on the territorial scope of the GDPR (Article 3) - version adopted after public consultation.

[4] 第一条 刑法第二百五十三条之一规定的“公民个人信息”,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。

[5] 参见《个人信息安全规范》附录A。“判定某项个人信息是否属于个人信息,应考虑以下两条路径:一是识别,即从信息到个人,由信息本身的特殊性识别出特定自然人。二是关联,即从个人到信息,如已知特定自然人,由该特定自然人在其活动中产生的信息即为个人信息。符合上述两种情形之一的信息,均应判定为个人信息。”

[6] 参见洪延青:《“个人信息”定义 | 民法典与GDPR》,载公众号“网安寻路人”。

[7] 2020个人信息安全规范中所列但未被草案采纳的情形包括:与国家安全、国防安全直接相关;与刑事侦查、起诉、审批和判决执行等直接相关;出于维护个人信息主体或其他个人生命、财产等重大合法权益但又很难得到本人授权同意;个人信息主体自行向社会公众公开;维护所提供产品或服务的安全稳定运行所必需;以及,学术研究机构出于公共利益开展统计或学术研究所必要,且对外提供学术研究或描述结果时,对结果中所含个人信息进行去标识化处理的。

[8] 欧盟GDPR第6条规定了个人数据处理的合法性基础,包括:(1)数据主体同意其个人数据为一个或多个特定目的而处理;(2)处理是数据主体作为合同主体履行合同之必要,或处理是因数据主体在签订合同前的请求而采取的必要措施;(3)控制者履行法律义务之必要;(4)为保护数据主体或其他自然人的重要利益;(5)为执行公共利益领域的任务或行使控制者既定公务职权之必要;(6)是控制者或第三方为了追求合法利益之必要,但此利益与被要求保护个人数据的数据主体的利益或基本权利自由相冲突的除外,尤其是数据主体为儿童时。前款(6)不适用于公权力机构履行其职责时进行的处理。

[9] 相关内容可进一步参考Article 29 Data Protection Working Party《Guidelines on the right to data portability》。

[10] 参见卓力雄:《数据携带权:基本概念,问题与中国应对》,载《行政法学研究》2019年第6期。

[11] 主要包括处理个人信息应征得个人同意,不得泄露、篡改、毁损个人信息,不得窃取或以其他非法方式获取、出售或非法提供个人信息,应采取技术措施和其他必要措施确保信息安全,以及应当基于个人要求删除或更正信息等义务。

[12] 参见张欣:《《个人信息保护法(草案)》自动化决策相关内容解读》,访问地址:https://mp.weixin.qq.com/s/RIgayn_tNxPMac8Pl9n5ew 。

[13] 草案第十二条同时规定:“国家积极参与个人信息保护国际规则的指定,促进个人信息保护方面的国际交流与合作,推动与其他国家、地区、国际组织之间的个人信息保护规则、标准等的互认。”在全球互联网经济背景下,促进全球数据交流,及制定对等的国际化标准是当今的发展趋势,对于国际经验的借鉴,也同样体现在本次草案的立法意旨之中。