比较法视角下的数据合规研究——以网络安全法、数据安全法、个人信息保护法为基础（一）

第一部分、法律法规

一、法律法规

（一）《中华人民共和国民法典》

2021年1月1日实施的《中华人民共和国民法典》在第四编第六章以专章的形式规定了隐私权和个人信息保护，从第1032条到1039条，共计8个条文。

（二）三部部门法

1、《中华人民共和国网络安全法》（2017年6月1日生效）

2、《中华人民共和国数据安全法》（2021年9月1日生效）

3、《中华人民共和国个人信息保护法》（2021年11月1日生效）

（三）行政法规

1、《关键信息基础设施安全保护条例》（2021年9月1日生效）

（四）部门规章

1、《互联网用户账号名称管理规定》（2015年3月1日生效）

2、《通信短信服务管理规定》（2015年6月30日生效）

3、《App违法违规收集使用个人信息自评估指南》（2019年3月3日生效）

4、《App违法违规收集使用个人信息行为认定办法》（2019年11月28日生效）

5、《通信短信息和语音呼叫服务管理规定（征求意见稿）》（2020年8月31日发布）

6、《互联网信息服务管理办法（修订草案征求意见稿）》（2021年1月8日发布）

7、《网络交易监督管理办法》（2021年5月1日生效）

8、《汽车数据安全管理若干规定（试行）》（2021年10月1日生效）

9、《数据出境安全评估办法（征求意见稿）》（2021年10月29日发布）

10、《网络数据安全管理条例（征求意见稿）》（2021年11月14日发布）

11、《网络安全审查办法》（2022年2月15日生效）

12、《互联网信息服务算法推荐管理规定》（2022年3月1日生效）

（五）司法解释

1、《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》（2021年1月1日生效）

2、《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》（2021年8月1日生效）

（六）行业标准

1、《信息安全技术个人信息安全规范》

2、《信息安全技术个人信息告知同意指南》

3、《信息安全技术个人信息安全影响评估指南》

4、《信息安全技术人脸识别数据安全要求》

5、《信息安全技术声纹识别数据安全要求》

6、《信息安全技术步态识别数据安全要求》

二、比较法下的数据安全相关问题研究

《网络安全法》《数据安全法》《个人信息保护法》先后出台，对数据或个人信息的保护既有交叉又有不同，本文拟从数据／个人信息的界定、网络运营者／个人信息处理者的安全保障义务、关键信息基础设施的运营者／重要数据或重要互联网平台的义务、高风险处理活动个人信息保护影响评估、个人的权利、安全审查与安全评估、法律责任几方面来比较三部法律的具体规定。

（一）数据／个人信息的界定

三部法律皆对数据／个人信息的定义进行了规定，其中《网络安全法》与《个人信息保护法》使用“个人信息”的称谓，《数据安全法》则是使用“数据”。具体定义如下：

由上述表格可知，《网络安全法》对个人信息的定义采用列举的形式，且主要为网络信息的规定。《数据安全法》在定义中明确数据是对信息的记录，是信息的表现形式。相较于《网络安全法》和《数据安全法》的规定，《个人信息保护法》对个人信息的认定有如下特点：

1、采取了识别法及关联法的认定方法

识别法即从信息到个人：由信息本身的特殊性识别出特定自然人，个人信息有助于识别出特定个人。

关联法即从个人到信息：如已知特定自然人，由该特定自然人在其活动中产生的信息（如个人位置信息、个人通话记录、个人浏览记录等）即为个人信息。

2、界定了传统个人信息与敏感个人信息

传统个人信息：指个人的基本信息（如姓名、性别、电话号码、出生日期、住址、邮箱、照片等）、个人爱好、家庭信息、职业生活（如工作经历、教育经历、职业资格、上网记录等）。

敏感个人信息：指生物识别信息（如基因、指纹、人脸、声纹、掌纹）、医疗健康（如体检报告、医嘱／住院单、病史）、政治、宗教信仰或种族信息、党派信息、国籍、民族、特定身份、金融账户、行踪轨迹、生育信息、婚史、性取向、违法犯罪信息及不满十四周岁未成年人的个人信息。

3、属地+属人双重管辖

属地：对于在我国境内处理自然人个人信息的活动，适用《个人信息保护法》的规定。

属人：对于在境外处理境内自然人个人信息的活动但有可能涉及境内自然人的，也适用《个人信息保护法》的规定，主要情形有：

（1）以向境内自然人提供产品或者服务为目的，如亚马逊平台；

（2）分析、评估境内自然人行为；

（3）法律、行政法规规定的其他情形。

4、除外规定

对于自然人因个人或者家庭事务处理个人信息的，不适用《个人信息保护法》的规定。对各级人民政府及有关部门组织实施的统计、档案管理活动中的个人信息处理有规定的，根据相关法律的规定执行。

（二）信息安全保障义务

1、处理个人信息的原则

2、一般个人信息处理者的义务

相较于《网络安全法》与《数据安全法》的规定，《个人信息保护法》对个人信息处理者增加了如下义务：

（1）指定个人信息保护负责人：处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人，负责对个人信息处理活动以及采取的保护措施等进行监督。个人信息处理者应当公开个人信息保护负责人的联系方式，并将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门。

（2）合规审计：个人信息处理者应当定期对其处理的个人信息遵守法律、行政法规的情况进行合规审计。

（3）通知：发生或者可能发生个人信息泄露、篡改、丢失的，个人信息处理者应当立即采取补救措施，并通知履行个人信息保护职责的部门和个人。通知应当包括下列事项：

①发生或者可能发生个人信息泄露、篡改、丢失的信息种类、原因和可能造成的危害；

②个人信息处理者采取的补救措施和个人可以采取的减轻危害的措施；

③个人信息处理者的联系方式。

通知的例外：《个人信息保护法》同时规定，个人信息处理者采取措施能够有效避免信息泄露、篡改、丢失造成危害的，个人信息处理者可以不通知个人；但履行个人信息保护职责的部门认为可能造成危害的，有权要求个人信息处理者通知个人。

3、关键信息基础设施的运营者、重要数据或重要互联网平台的义务

《网络安全法》对关键信息基础设施[3]的运营者规定了特别的安全保护义务:（1）设置专门安全管理机构和安全管理负责人，并对该负责人和关键岗位的人员进行安全背景审查；（2）定期对从业人员进行网络安全教育、技术培训和技能考核；（3）对重要系统和数据库进行容灾备份；（4）制定网络安全事件应急预案，并定期进行演练；（5）法律、行政法规规定的其他义务。

《数据安全法》对重要数据的处理者规定了特别义务：（1）重要数据的处理者应当明确数据安全负责人和管理机构，落实数据安全保护责任（第二十七条第2款）；（2）重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估，并向有关主管部门报送风险评估报告。风险风险评估报告应当包括处理的重要数据的种类、数量，开展数据处理活动的情况，面临的数据安全风险及其应对措施等。

《个人信息保护法》在第五十八条对基础性互联网平台规定了特别义务，也被称为“守门人责任”：

（1）界定：基础性互联网平台指提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，一般包括三类：①应用程序的分布平台；②操作系统；③大型平台App。

（2）义务：

①外部独立机构监督：按照国家规定建立健全个人信息保护合规制度体系，成立主要由外部成员组成的独立机构对个人信息保护情况进行监督；

②制定平台规则：遵循公开、公平、公正的原则，制定平台规则，明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务；

③停止提供服务：对严重违反法律、行政法规处理个人信息的平台内产品或服务提供者，停止提供服务；

④定期发布个人信息保护社会责任报告，接受社会监督。

（三）高风险处理活动个人信息保护影响评估

《网络安全法》及《数据安全法》未对个人信息保护影响评估进行规定，《个人信息保护法》规定对于高风险处理活动，个人信息处理者应当事前进行个人信息保护影响评估，并对处理情况进行记录。

1、个人信息保护影响评估报告适用的情形：

（1）处理敏感个人信息；

（2）利用个人信息进行自动化决策；

（3）委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息；

（4）向境外提供个人信息；

（5）其他对个人权益有重大影响的个人信息处理活动。

2、个人信息保护影响评估的内容：

（1）个人信息的处理目的、处理方式等是否合法、正当、必要；

（2）对个人权益的影响及安全风险；

（3）所采取的保护措施是否合法、有效并与风险程度相适应。

3、个人信息保护影响评估和处理情况记录保存的期限：至少三年。

（四）个人的权利

个人权利的规定主要集中体现在《个人信息保护法》，主要有：

1、知情权

根据《个人信息保护法》四十四条的规定，个人对其个人信息的处理享有知情权、决定权，有权限制或者拒绝他人对其个人信息进行处理；法律、行政法规另有规定的除外。根据《个人信息保护法》第十七条、十八、三十五条的规定，个人对于其个人信息的处理以知情为原则，以保密为例外，即个人信息处理者应当在处理个人信息前，告知个人：

（1）告知的要求

个人信息处理者在处理个人信息前，应当以显著方式、清晰易懂的语言真实、准确、完整地告知个人。

（2）告知的内容

个人信息处理者应当告知下列事项：（一）个人信息处理者的名称或者姓名和联系方式；（二）个人信息的处理目的、处理方式，处理的个人信息种类、保存期限；（三）个人行使本法规定权利的方式和程序；（四）法律、行政法规规定应当告知的其他事项。前款规定事项发生变更的，应当将变更部分告知个人。个人信息处理者通过制定个人信息处理规则的方式告知第一款规定事项的，处理规则应当公开，并且便于查阅和保存。

对于紧急情况下为保护自然人的生命健康和财产安全无法及时向个人告知的，个人信息处理者应当在紧急情况消除后及时告知。

（3）告知的例外

如果法律、行政法规规定应当保密的、或者不需要告知的、或者国家机关为履行法定职责处理个人信息，告知个人将妨碍国家机关履行法定职责的，个人信息处理者可不告知个人。

2、查阅复制权

根据《个人信息保护法》第四十五条的规定，个人有权向个人信息处理者查阅、复制其个人信息。个人请求查阅、复制其个人信息的，个人信息处理者应当及时提供。

但对于查阅复制的范围、路径、如何反馈给个人、是否收费、个人信息处理者是否进行限制等，《个人信息保护法》皆未规定，尚待有关部门出台细则予以界定。

3、可携权

根据《个人信息保护法》第四十五条第三款的规定，个人请求将个人信息转移至其指定的个人信息处理者，符合国家网信部门规定条件的，个人信息处理者应当提供转移的途径。

对于转移数据的范围为原始数据还是衍生数据《个人信息保护法》未予规定。另外该条对于实践中，平台与平台之间的可操作性、难度，信息转移过程中的安全保障、防泄漏措施也提出了新的要求。笔者认为平台可参考银行向合作催收机构转移个人信息的做法，搭建安全传输平台、采取敏感信息加密、脱敏，与客户联系通过平台呼出、不显示客户完整信息等形式操作。

4、要求更正补充权

根据《个人信息保护法》第四十六条规定，个人发现其个人信息不准确或者不完整的，有权请求个人信息处理者更正、补充。个人请求更正、补充其个人信息的，个人信息处理者应当对其个人信息予以核实，并及时更正、补充。

5、删除权

《网络安全法》第四十三条规定，个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的，有权要求网络运营者删除其个人信息；发现网络运营者收集、存储的其个人信息有错误的，有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。

《个人信息保护法》第四十七条的规定，有下列情形之一的，个人信息处理者应当主动删除个人信息；个人信息处理者未删除的，个人有权请求删除：（一）处理目的已实现、无法实现或者为实现处理目的不再必要；（二）个人信息处理者停止提供产品或者服务，或者保存期限已届满；（三）个人撤回其同意的；（四）个人信息处理者违反法律、行政法规或者违反约定处理个人信息；（五）法律、行政法规规定的其他情形。

法律行政法规规定的保存期限未届满，或者删除个人信息从技术上难以实现的，个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。

6、要求解释说明权

根据《个人信息保护法》第四十八条规定，个人有权要求个人信息处理者对其个人信息处理规则进行解释说明。

7、近亲属的权利

根据《个人信息保护法》第四十九条规定了近亲属的权利，即自然人死亡的，其近亲属为了自身的合法、正当利益，可以对死者的相关个人信息行使本章规定的查阅、复制、更正、删除等权利；死者生前另有安排的除外。

（五）安全审查及安全评估[4]

对于关键信息基础设施的运营者、向境外提供数据的个人信息处理者，《网络安全法》与《个人信息保护法》提出了安全审查及安全评估的义务：

（六）法律责任

《网络安全法》、《数据安全法》皆以专章的形式规定了侵犯网络安全、数据安全的法律责任，《个人信息保护法》在法律责任方面有如下特别规定：

1、提高了处罚的金额，增加了高管禁止担任高管、个人信息保护负责人的规定

对于违法《个人信息保护法》规定，且拒不改正的，处100万元以下罚款；并对高管人员，可以禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。

2、对个人信息处理者采取过错推定的举证责任

处理个人信息侵害个人信息权益造成损害，个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任。损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定；个人因此受到的损失和个人信息处理者因此获得的利益难以确定的，根据实际情况确定赔偿数额。

3、增加了公益诉讼的规定

对违反个人信息保护法规定的个人信息处理者，人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。

向下滑动阅览

脚注：

[1]《个人信息保护法》第五条：处理个人信息应当遵循合法、正当、必要和诚信原则，不得通过误导、欺诈、胁迫等方式处理个人信息。

《个人信息保护法》第六条：处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息。

《个人信息保护法》第七条：处理个人信息应当遵循公开、透明原则，公开个人信息处理规则，明示处理的目的、方式和范围。

《个人信息保护法》第六八条：处理个人信息应当保证个人信息的质量，避免因个人信息不准确、不完整对个人权益造成不利影响。

《个人信息保护法》第九条：个人信息处理者应当对其个人信息处理活动负责，并采取必要措施保障所处理的个人信息的安全。

《个人信息保护法》第十条：任何组织、个人不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息；不得从事危害国家安全、公共利益的个人信息处理活动。十一条：国家建立健全个人信息保护制度，预防和惩治侵害个人信息权益的行为，加强个人信息保护宣传教育，推动形成政府、企业、相关社会组织、公众共同参与个人信息保护的良好环境。

《个人信息保护法》第十二条：国家积极参与个人信息保护国际规则的制定，促进个人信息保护方面的国际交流与合作，推动与其他国家、地区、国际组织之间的个人信息保护规则、标准等互认。

[2]去标示化：是指个人信息经过处理，使其在不借助额外信息的情况下无法识别特定自然人的过程。

[3]《数据安全法》第三十一条规定，关键信息基础设施的具体范围和安全保护办法由国务院制定。

2021年9月1日生效的《关键信息基础设施安全保护条例》第二条规定，关键信息基础设施，是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄漏，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。

[4] 国家互联网信息办公室于2021年10月29日出台了关于《数据出境安全评估办法（征求意见稿）》，根据第四条规定，数据处理者向境外提供数据，符合以下情形之一的，应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估：（1）关键信息基础设施的运营者收集和产生的个人信息和重要数据；（2）出境数据中包含重要数据；（3）处理个人信息达到一百万人的个人信息处理者向境外提供个人信息；（4）累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息；（5）国家网信部门规定的其他需要申报数据出境安全评估的情形。

第五条规定，数据处理者在向境外提供数据前，应事先开展数据出境风险自评估，重点评估以下事项：（1）数据出境及境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性；（2）出境数据的数量、范围、种类、敏感程度，数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险；（3）数据处理者在数据转移环节的管理和技术措施、能力等能否防范数据泄露、毁损等风险；（4）境外接收方承诺承担的责任义务，以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全；（5）数据出境和再转移后泄露、毁损、篡改、滥用等的风险，个人维护个人信息权益的渠道是否通畅等；（6）与境外接收方订立的数据出境相关合同是否充分约定了数据安全保护责任义务。

另外该办法还规定了数据出境安全评估重点评估数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险、数据处理者与境外接收方订立的合同内容、国家网信部门评估时间（四十五个工作日、最长不得超过六十个工作日）、有效期（二年）、有效期内重新评估的情形、安全评估提交材料、保密义务、法律责任等条款。

本文作者

崔少楠

合伙人、律师

cuishaonan@chonglilaw.com

执业领域：民商事诉讼、投融资并购、私募基金、数据合规、劳动合规与员工股权激励

END

关于崇立

崇立律师事务所经广东省司法厅批准成立，位于深圳市龙华区星河World二期 E 座6楼（坂田华为片区），是一家合伙制律师事务所。崇立的服务范围涵盖企业投融资并购、私募基金、外商直接投资、资本市场、金融与金融科技、用工合规与员工股权激励、公司日常治理与规范运作、反垄断合规及民商事争议解决。

特别声明

本网站所发布的资讯或文章仅为交流讨论目的，不代表崇立律师事务所（“本所”或“我们”）出具的任何法律意见。任何依据本文的全部或部分内容而作出的判断或决定（无论作为或不作为）以及因此造成的法律后果，本所不承担任何责任。如果您需要相关法律意见或法律服务，欢迎联系我们。

ꄴ前一个：无

ꄲ后一个：无

首页 ꄲ 崇立研究 ꄲ 文章详情页