《个人信息保护法(草案)》有何新变化？

《个人信息保护法(草案)》于今年十月正式公布，草案在在个人数据的跨境制度、数据处理的合法基础、个人信息权利等方面作出了更有针对性和可操作性的设计。在正式立法前，企业应当采取哪些行动?

域外效力: 跨境场景下的长臂管辖

草案第三条第二款规定，在中国境外处理中国境内自然人个人信息的活动，如果是以向境内自然人提供产品或者服务为目的，或是为了分析、评估境内自然人的行为，则该处理活动也应遵守草案的规定。常见的情形包括企业使用中文或人民币、向境内用户发送商品或开展定向营销等。草案要求，境外个人信息处理者应在境内设立专门负责个人信息保护相关事务的机构或者代表，并将有关信息报送监管部门。草案尚未明确机构或代表的资质要求或需要承担的法律责任。

个人信息处理法律基础: “同意”不再是唯一路径

在现有法律法规确立的“被收集者同意”的基础上，草案增加了其他个人信息处理的合法基础，例如: 履行合同所必需、履行法定职责或义务所必需、保护自然人利益所必需、维护公共利益所必需以及其他法定情形。这一规定能够为个人信息处理者提供多样的选择，有助于解决同意僵化、滥用及在特定场景下难以操作等问题，使“同意”更加真实、有效和有针对性。

“告知-同意”: 基于场景的差异化要求和信息主体的选择权

在上述法律基础中，草案对“告知-同意”提出了更高的合规要求，从告知内容、告知例外、不得强制同意、撤回同意等方面予以细化，有助于信息主体在充分知情的情况下对特定处理活动作出有效选择。此外，草案要求向第三方提供个人信息前，应取得个人的单独同意。在处理已经公开的信息时，应符合个人信息被公开时的用途，超出与该用途相关的合理范围的，应当重新获得同意。

敏感个人信息处理: 非必要不可为

草案首次在法律层面对“敏感个人信息”予以解释，要求处理此类信息需事先进行风险评估，需要具有特定的目的和充分的必要性并将其告知个人，基于同意进行处理的，应当取得个人的单独同意。为了规范行踪信息、身份识别信息的收集行为，草案规定在公共场所安装图像采集、个人身份识别设备，应当为维护公共安全所必需并设置显著的提示标识。收集的信息只能用于维护公共安全的目的，不得公开或者向他人提供。

个人权利: 知情和控制

草案规定，在个人信息处理活动中，个人享有知情权、决定权、限制权、拒绝权、查询权、复制权、更正权、删除权、解释权、自动化决策反对权。草案同时规定了删除权的适用条件，包括约定期限届满、处理目的已经实现、用户停止使用或撤回同意、企业违法违规处理个人信息等。其他各项个人信息权利的行使条件、时限、费用、实现方式等问题仍有待监管机构予以明确。

数据跨境合规: 差异化考量下的多元路径

依据个人信息出境对国家安全可能带来的不同风险，草案规定，在向境外传输个人数据前，关键信息基础设施运营者以及处理个人信息达到监管部门规定数量的个人信息处理者，需通过国家网信部门组织的安全评估。其他个人信息处理者则可以选择安全评估、个人信息保护认证、与接收方订立合同等不同的出境方式。这一设计有助于在确保安全的前提下，降低个人信息出境成本，推动数据有序流转与利用。

总结与展望

总体而言，笔者认为草案充分借鉴了全球立法的先进经验，吸收了国内执法活动中的有益成果，有效平衡了个人信息保护、利用与流转，国家安全和社会公众利益等多方面利益。企业应在法律正式颁布实施前，对照梳理既有的个人信息保护工作现状，系统排查合规风险，弥补差距和短板，提升个人信息保护水平，降低涉诉涉罚风险。