个人信息|解读个人信息保护法草案：哪些企业与商业行为将迎变局？个人信息保护法将

个人信息保护法将如何兼具效率、安全与成本？
10月21日，备受瞩目的《个人信息保护法（草案）》（以下简称“草案”）在中国人大网公布，开始向社会征求意见，意见反馈时间截至2020年11月19日。
草案吸纳了国内个人信息保护的监管实践，并借鉴“GDPR”等域外法规的经验，注重与《民法典》《数据安全法》《电子商务法》等规范的协调，明确了个人信息的定义及处理原则，并对自动化决策、跨境流动等热点话题进行回应。
当前网络信息时代，个人信息与商业的联系程度愈发紧密。多位专家认为，此次立法将直接服务个人用户的企业影响深远，金融、医疗、教育类的企业因涉及收集敏感个人信息也将面临更严格的规制。
面对基于大数据进行用户画像等商业行为，草案在自动化决策上对个人信息使用者提出了更高要求。个性化商业营销及广告投放、提供数据处理服务等业务均会受到影响。
对于日渐增多的跨境业务，草案被赋予了必要的域外适用效力，以保护中国境内个人的权益，也使外来跨境企业及中国出海企业需要面对多个法域的监管。
尽管《个人信息保护法》尚未最终确立，企业加强个人信息保护已是大势，与大数据利用之间的关系如何平衡、如何适应法律合规经营将成为关键。
在当前的征求意见阶段，多位专家表示，在个人信息的定义、自动化决策、个人信息使用者的各项规范以及监管体制方面，还有待进一步商榷。
哪些企业将受影响？
此次立法目的，重点在于规制个人信息的处理行为，对个人信息权益进行保护。
个人信息和个人信息的处理因此有了界定：个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。个人信息的处理包括个人信息的采集、存储、使用、加工、传输、提供、公开等活动。
此前尚未被明确定位的敏感个人信息，则表述为一旦泄露或者非法使用，可能导致个人受到歧视或者人身、财产安全受到严重危害的个人信息，包括种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等信息。
“从草案来看，包括敏感个人信息的定义等，均充分借鉴了国外的一些经验。 ”中国政法大学法律硕士学院院长、教授许身健认为，草案借鉴了较多欧盟2018年5月实施的《通用数据保护条例》（以下简称“GDPR”）的相关规范。 “GDPR”被业内认为是目前全球主要经济体中对数据信息保护管辖范围最宽、立法新意最多、处罚最为严厉的规范。
面对新规，当前经营何种业务的企业将受到重要影响？
“该法对直接服务C端用户且需要处理用户个人信息的企业影响更大，各类互联网服务提供者，如电商平台、社交平台、直播平台、游戏服务商等。 ”浙江垦丁律师事务所合伙人王琼飞介绍，这些企业可能会大规模收集用户个人信息并进行精准化营销等商业用途或利用大数据建模用于用户管理等。
“从法律适用而言，受影响最大的企业类型是直接面向个人用户的企业。从规则变化来看，金融、医疗、教育类的企业也会受到不小的影响，这类企业涉及收集敏感个人信息，将面对更严格的规则，需要考虑更多合规因素。 ”北京安理律师事务所高级合伙人王新锐向21世纪经济报道采访人员分析，一些服务器在国外的跨境企业涉及个人信息的跨境提供，同样需要考虑跨境方面的特殊规则。
在个人信息保护法草案征求意见稿公布的同一天， 3家国有银行的6家分支机构吃到了“侵害消费者个人信息”的罚单。因侵害消费者个人信息依法得到保护的权利，违反反洗钱管理规定，泄露客户信息等违法违规行为，这些机构被处罚金额超4000万元。
“与数据联系紧密的互联网新经济相关企业会受到较大影响，但是受影响的企业不限于互联网新经济，传统经济中涉及到个人信息处理的一些企业也将会受到影响。 ”西南政法大学民商法学院副教授曹伟举例，公交车的付费系统（包括手机支付、刷公交卡支付等）因涉及到对个人信息的采集，也将受到影响。分页标题
同时，立法规定，在公共场所安装图像采集、个人身份识别设备，应当为维护公共安全所必需。上海交通大学数据法律研究中心执行主任何渊告诉21世纪经济报道采访人员， “公共安全”一词含义较广，依照草案，布局在各个场所的智能摄像头如若使用都将征得用户同意，甚至与公安系统合作的相关科技企业都将受到影响。
简言之，一切涉及到个人信息的采集、存储、使用、加工、传输、提供、公开等活动的企业都会受到此法的影响，与个人信息处理的关系越密切的企业受到影响越大。
对于个人信息“不包括匿名化处理后的信息”的定义，何渊认为还待商讨，有必要对“匿名化”作扩大化和宽松化的解释，强调“去标识化”也符合“不能识别特定个人且不能复原”的规定，绝对的“匿名化”从技术角度来看不可能实现，将会严重阻碍数据的流动及利用。
“医疗行业处理信息时，普遍是用的‘去标识化’而不是用‘匿名化’ 。 ”王新锐介绍，因为医疗行业出于科研考虑对数据有一定要求，需要数据具有可追溯性、统一性、连续性，因此国内外的医疗数据基本是将相关数据去标识化处理，往往做不到匿名化。
哪些商业行为将被规制？
对于上网痕迹被平台收集分析推送广告等商业行为，草案规定，通过自动化决策方式进行商业营销、信息推送，应当同时提供不针对个人特征的选项。此外，对于可能对个人权益造成重大影响的自动化决策活动，个人有拒绝权。
王新锐表示，依据上述条例，常见的个性化商业营销、个性化广告投放、提供数据处理服务等业务，都会或多或少受到影响。
“这里既包括广告，也涉及‘大数据杀熟’ 。如何从个人信息中剥离出大数据进行合法使用，是草案的重要意义之一。 ”中国政法大学传播法研究中心副主任朱巍此前告诉21世纪经济报道采访人员，在使用网络过程中，用户的权益相对而言变得很小，而且被侵权的方式很隐晦，如果没有一个原则性的法律去保障，企业可能将随着科技的进一步发展而开启“潘多拉魔盒” ，对用户造成不利影响。
如何处理用户信息成为关键，此前立法已明确，原则上需要获得个人信息主体的同意。草案同意贯彻以“告知—同意”为核心的处理规则，但强调了个人有权撤回同意、重要事项发生变更的应当重新取得个人同意、处理敏感个人信息应取得单独同意或书面同意。
“采用大数据技术来分析特定用户的消费习惯，从而进行差异化定价，应该被限制于用户知情同意以及法律允许的范围之内，保障消费者的知情权与选择权。 ”北京大学电子商务法研究中心主任薛军向21世纪经济报道采访人员表示，不应对企业收集使用用户信息简单地贴上合法与否的标签，而是需要回到数字时代的数据治理以及个人信息保护的源头来判别。
以此次立法对于“用户同意”规则的细化为例，薛军提到，法条涉及是否需要明示同意、是否需要单独同意、具体场景采用何种方式、场景转化时是否需要再次同意等，均对用户拥有的权限进行了具体表述，丰富了信息主体受保护的权益。
与“GDPR”相比，草案中有关自动化决策的内容对个人信息处理者提出了更高的要求。王新锐表示， “GDPR”规定，在履行合同必要、法律授权要求且采取恰当措施、数据主体明示同意的三种情况下，个人没有针对自动化决策的拒绝权。但草案未对个人针对自动化决策的拒绝权进行限制，相较于“GDPR” ，个人权利范围更广，处理者的义务也相应更重。
对于个人信息处理者，草案要求“利用个人信息进行自动化决策，应当保证决策的透明度和处理结果的公平合理” ，但未进一步解释应如何履行。王新锐认为，这种情况下，差异化的理解可能导致实践中对该义务的履行程度不一。分页标题
针对“透明度” ， “GDPR”明确规定控制者应明确告知数据主体使用了自动化决策（包括用户画像），此类情形下涉及的相关逻辑，以及此类处理对于数据主体的重要性和可能产生的后果，相较于草案更加细化。在确保“结果公平合理”方面， “GDPR”则通过数据主体的反对权、豁免情形下施与控制者特定义务（例如采取适当措施保障数据主体的权利、自由、正当利益）等制度设计来间接达到这一效果。
何渊表示，在涉及自动化决策的商业行为中，相关数据是否被定义为个人信息还有待商榷。 “立法应列举‘个人信息’是否包含一些易产生争议的数据类型，如‘消费历史记录或消费趋势’‘浏览记录、搜索记录，以及网站及应用程序等网络活动信息’‘视觉、热量、嗅觉’等。 ”何渊表示，明确之后则可按照重要数据、敏感数据及一般数据等对个人信息进行分级，并提供不同程度的相应保护。
跨境企业将面临多法域规则
当前，数据安全也成为国家安全的一部分，成为国际竞争间的关键，草案借鉴有关国家和地区的做法，赋予了必要的域外适用效力，以充分保护中国境内个人的权益。
“草案可以视为与国际接轨的一个延伸，美国、澳大利亚、新西兰、新加坡等地均修改了个人信息保护法，因此我们如何完善、适用法律与国际接轨，也是个人信息保护法出台的一个重要原因。 ”朱巍表示。
在此基础上，将对于外来跨境企业及中国企业出海分别产生哪些影响？
“对于外来跨境企业而言，无论其是在中国境内处理个人信息，还是在境外向境内自然人提供服务，都被纳入草案的适用范围。 ”王新锐分析，这些企业首先面临的是个人信息跨境的问题，需要选择适当的跨境传输合法基础。如果其未在中国境内处理个人信息，还应在境内设立专门机构或指定代表。
曹伟认为，这意味着外来跨境企业的合规管理成本将增加，要对境内外进行个人信息处理的行为均合规管理。如果数据处理行为同时发生在欧盟境内，则将受到草案和欧盟“GDPR”的约束，合规管理将变得更加复杂。
同样，对于出海的中国企业而言，如果在境内处理海外的个人信息，也会受到草案的相关规制。这种情况下，出海企业可能需要面临不同的法域规则，有较大的合规负担。
对跨境企业进行规制的另一面则是，个人信息保护法也成为中国企业出海发展的强有力后盾，呼应了网络信息时代对中国经济保护的相关诉求。
例如，草案第43条规定，任何国家和地区在个人信息保护方面对中国采取歧视性的禁止、限制或者其他类似措施的，中国可以根据实际情况对该国家或者该地区采取相应措施。
如何平衡数字经济发展与个人信息保护？
尽管草案还在审议阶段，最终版可能在某些规则上有调整，但已极大程度上体现了国家对个人信息的立法保护趋势。
“当前，以数据为新生产要素的数字经济蓬勃发展，数据的竞争已成为国际竞争的重要领域，而个人信息数据是大数据的核心和基础。 ”在立法的必要性上，官方介绍这是促进数字经济健康发展的重要举措，在保障个人信息权益的基础上，促进信息数据依法合理有效利用。
个人信息保护与大数据利用之间的关系如何平衡成为关键。企业此时应如何适应法律，在应用数据的基础上保证自身行为合规？
“作为企业而言，随着个人信息保护的立法从模糊变得越来越清晰，应将法律法规明确的个人信息保护义务落到实处，做到合法合规经营，尤其要避免企业因为刑事和行政风险而陷入生存发展的危机，甚至面临刑事处罚。 ”王琼飞认为，对于法律没有明确赋予企业的义务，企业可以根据自身发展需求争取合理的空间，不应当过于缚手缚脚。例如，此次立法并没有照搬“GDPR”规定可携带权，便是结合数字经济发展实际情况的考量。分页标题
王新锐建议，在个人信息保护法最终出台前，企业应提前开展合规性审查。具体而言，应梳理、识别企业中涉及个人信息处理的各类业务类型；针对涉及个人信息处理的业务类型，从信息收集、使用、加工、存储、传输、提供等各个环节进行排查，例如，个人信息处理活动是否有合法性基础、处理活动是否符合个人的通常预期、是否涉及个人信息跨境提供、是否涉及事前风险评估等；针对审查中发现的问题，尽快制定相应的改正措施，降低合规风险。
“企业进行合规管理时，应当坚持‘非脱敏信息授权使用，已脱敏信息自由使用，不确定时谨慎使用’的原则。 ”曹伟表示，除非公务部门因必要之使用外，对非脱敏个人信息的使用应取得该个人信息指向的自然人授权；已经脱敏个人信息的使用无需授权，可以自由使用；在无法确定该个人信息是否已经脱敏时，应当采取谨慎的原则，即最好不使用，以免个人信息权益遭受侵害。
曹伟强调，政府对于非脱敏个人信息的使用也应当取得授权，只是在极少数公务活动中，无法或来不及或者不宜取得授权，而使用该个人信息的使用为必要时，才能不经授权而使用非脱敏信息。此时，公务部门能够未经授权使用非脱敏个人信息的特殊情形、某些必须对该无法确定是否脱敏的个人信息使用的特殊情形均应由法律进一步规定。
对于草案中对个人信息使用者的各项规范及其可能带来的影响，薛军建议，应审慎评估其合理性及必要性，如对个人信息的行使范围及方式、进行合规管理后增加的费用负担、监管体制能否落实等问题均需要被纳入立法考虑中。
（责任编辑：马金露 HF120）