2021年11月1日，《个人信息保护法》（以下简称“《个保法》”）正式生效。在《个保法》实施前，有关个人信息保护的法律法规主要包括《全国人大关于加强网络信息保护的决定》（2012年）、《网络安全法》（2016年）、《电子商务法》（2017）、《消费者权益保护法（修订）》（2013）、《刑法修正案》（九）（2015）、《民法总则》（2017）、《民法典》（2020）、《数据安全法》（2021）等。在数据信息安全方面，伴随《网络安全法》《数据安全法》《个保法》的相继出台，在法律层面的专项立法日臻完善。

对比《个保法》《网络安全法》《数据安全法》三部法律，我们认为不同之处在于，相对于《网络安全法》《数据安全法》侧重于行政性立法特点，即两部法律均属于公法领域，主要从监管角度制定互联网运营者和电子商务经营者在对数据信息处理方面需要遵循的规则和限制；《个保法》立法更多是对《民法典》第四编“人格权”编中关于“个人信息保护”规定的延伸，其继承了《民法典》就个人信息保护制度所确立的基本范畴和架构，内容上既有关于公法范畴的内容（如个人信息处理规则、一般规定、敏感个人信息的处理规则、国家机关处理个人信息的特别规定、个人信息跨境提供的规则等），也有关于私法范畴的内容（如个人在个人信息处理活动中的权利、个人信息处理者的义务等）。仅就其私法范畴的规定而言，与《民法典》应属于特别法和普通法的关系（即《个保法》优先适用于《民法典》）。

结合《民法典》《网络安全法》《数据安全法》及其他相关法律、法规，我们认为《个保法》中有如下值得关注的内容：

从私法角度而言，《个保法》就个人信息权的保护原则方面，在《民法典》规定的“合法、正当、必要”等原则之外，新增加了“公开透明原则”。

该原则实际要求个人信息处理者在制定有关收集、存储、使用、加工、传输、提供、公开、删除个人信息的规则和说明时，必须满足易于获取、易于理解的要求；并且信息处理者应事前主动向信息主体告知包括信息处理者身份、处理目的、处理方式、处理种类、保存期限、个人行使权利的方式和程序等内容。

《民法典》中规定了，除法律另有规定或者权利人明确同意外，任何组织或者个人不得处理他人的私密信息，并明确私密信息适用隐私权的相关规定（根据《民法典》对隐私权的规定，隐私指向自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息）。

在《个保法》中，未沿用“私密信息”，而是使用了“敏感个人信息”这一概念，同时就“敏感个人信息”进行了列举式的释义，其范围包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。对于“敏感个人信息”，明确了只有在具有特定的目的和充分的必要性的前提下，并采取严格保护措施后，个人信息处理者才可对信息进行处理。

对比《民法典》和《个保法》相关规定，“敏感个人信息”范围明显小于 “私密信息”。在理解“敏感个人信息”使用前提方面，就“特定目的”的理解，目前学者认为主要应从以下两方面考量：一方面，参考《个保法》第29条的规定（处理敏感个人信息应当取得个人的单独同意）和第13条合法性基础的有关规定（包括为履行合同义务、法定职责和法定义务等）；另一方面，从比较法角度，可类比欧盟《通用数据保护条例》（即GDPR,2016年实施）中在对敏感信息规定中对“specified purposes”（特别）一词的解释，即 对实现实质性的公共利益必要的情形，尤其是为了维护个人的重大利益或者在健康、劳动、社保等领域的公共利益等情形。

（一）一般性规定

在法律层面，《网络安全法》第一次从法律层面提出了信息跨境的安全性要求，即对于关键信息基础设施的运营者，因业务需要而向境外提供信息的，应按照国家网信部门会同国务院有关部门制定的办法进行安全评估。《数据安全法》未就数据跨境流通进行详细规定，仅明确，关键信息基础设施的运营者在国内运营中收集和产生的重要数据的出境安全管理适用《网络安全法》的规定；其他数据处理者在国内运营中收集和产生的重要数据的出境安全管理办法，由国家网信部门会同国务院有关部门制定。

行政法规及规章层面，2020年2月央行制定的《个人金融信息保护技术规范》中明确，在国内提供金融产品或服务过程中收集和产生的个人金融信息，确需向境外机构（含总公司、母公司或分公司、子公司及其他为完成该业务所必需的关联机构）提供的，需要满足以下条件：

1.符合国家法律法规及行业主管部门有关规定；

2.获得个人金融信息主体明示同意；

3.依据国家、行业有关部门制定的办法与标准开展个人金融信息出境安全评估；

4.与境外机构签订协议、现场核查等，确保境外机构可以有效保护个人金融信息。

本次《个保法》的出台，结合了以往的相关规定，专设 “个人信息跨境提供的规则”一章，明确在满足以下情况之一，且确应业务需要的，可向境外提供个人信息：

1.经国家网信部门组织的安全评估；

2.经专业机构进行个人信息保护认证；

3.按照国家网信部门制定的标准合同与境外接收方订立合同。

同时，强调在向境外提供个人信息之前，应向信息主体告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项，并取得个人的单独同意。且，在向境外传输个人信息时，应采取必要措施，保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。

但考虑到金融行业的特殊性，特别是2021年9月实施的《关键信息基础设施安全保护条例》中进一步明确了金融行业属于关键信息范畴；因此，保险公司向境外传输个人信息时，我们认为应满足国家对于关键信息基础设施运营者的相关要求；同时，若传输的信息为银行账户、银行流水等属于敏感个人信息的，还要适用《个保法》中关于处理敏感个人信息的相关规定（具体参考上文，此处不再赘述）。

（二）特殊情况

就涉及员工信息的跨境传输问题，从实务角度，我们可以区分是否匿名化处理，对应适用不同的监管规则：

1.经匿名化处理的

根据《个保法》规定，匿名化处理的信息不属于《个保法》规定的范畴。但《个保法》对匿名化的要求较高，必须满足无法识别特定自然人和不能复原两大标准。

实践中，考虑到人力资源管理的实际需求，匿名化处理恐利用价值较低，无法满足员工管理需要。

2.未经匿名化处理的

根据《个保法》规定，为订立、履行个人作为一方当事人的合同需要，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理需要，个人信息处理者可无需经个人同意而直接处理个人信息。就此规定，我们理解如下：

一是，关于人力资源管理所必需的信息，结合个人信息保护的“最小必要原则”和《劳动合同法》等有关劳动人事法律法规的明确指向，其信息范围应包括：与劳动合同直接相关的基本情况，如劳动者的姓名、住址、身份证号码、健康状况、知识技能和工作经历、学历等信息。

二是，结合公开透明原则和敏感个人信息的有关规定，对于属于员工敏感个人信息且不属于前述人力资源管理所必需信息的，应事前取得员工的“单独同意”。

目前，《个保法》未具体规定“单独同意”的具体实施标准。但类比《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》的有关规定，我们认为“单独同意”应满足“不得捆绑授权”和“不得强迫授权”的原则。实践中，一些公司往往会通过《劳动合同》或《员工隐私声明》的形式，一揽子取得对员工个人信息处理的全部授权；随着《个保法》的出台，该做法恐无法满足“单独同意”的有关要求。

三是，向境外关联公司（包括股东方）传输员工信息时，考虑到劳动合同的相对性原理，即劳动人事关系应仅限于劳动者和境内的用人单位。用人单位即便是向其境外股东方传输自己员工的出于人力资源管理目的所必需的信息，我们认为仍不能豁免其应事前取得员工同意的相关规定，应类比直接适用个人信息处理者向境外提供个人信息的有关规定，严格履行前述提及的流程和手续。

《个保法》第四章专章列举了信息主体的权利，并在第七章明确规定了侵权发生后的救济方式（主要是民事责任和行政责任）。

整体来看，《个保法》规定信息主体享有包括知情权、决定权、查阅权、复制权、指定转移权、更正权、删除权、撤回权等多项权益。

当信息主体的权益受到侵害时，在权利救济方面，从民事和行政两个方面：

（一）民事责任方面

考虑到《个保法》与《民法典》之间特殊法与普通法的关系，个人信息权属于人格权范畴。因此，信息主体可主张适用《民法典》有关侵权民事法律救济途径，如适用《民法典》第995条关于人格请求权的规定（包括停止侵害、排除妨碍、消除危险、恢复名誉、赔礼道歉等），并可根据实际损失主张精神损害赔偿、财产损失赔偿等。在举证方面，《个保法》采用了举证责任倒置的原则（即个人信息处理者不能证明自己没有过错的，应当承担损害赔偿责任）。

此外，若个人信息处理者与信息主体间签署了有关信息处理的协议，个人信息处理者违反协议约定的，信息主体还可主张违约责任。

（二）行政责任方面

就个人信息处理者的违法行为，规定了严厉的行政处罚措施。如针对违法处理个人信息的应用程序，可“责令暂停或者终止提供服务”。

对于情节严重的行为，个人信息处理者将受到“没收违法所得”“处五千万元以下或者上一年度营业额百分之五以下罚款”“停业整顿”“吊销许可或吊销营业执照”等严厉处罚；对直接负责的主管人员和其他直接责任人员，除会受到十万元以上一百万元以下罚款的处罚外，还有可能被处以禁止担任董事、监事、高级管理人员等职务的处罚。

需要特别关注的是，目前《个保法》对“情节严重”的范围并未提出明确的标准，这给予了执法部门一定的裁量权。但考虑到当前国际国内形势，以及过往处罚事例，我们认为违法进行跨进信息传输极有可能被归于“情节严重”的范畴。

我们注意到，目前个人信息保护方面的立法工作仍在持续进行，国家互联网信息办公室于2019年发布《数据安全管理办法（征求意见稿）》《个人信息出境安全评估办法（征求意见稿）》，于2021年发布了《数据出境安全评估办法（征求意见稿）》等，未来随着这些行政规章的陆续出台，将进一步细化个人信息保护的相关规范和要求。

作者：杨景升，中意人寿保险有限公司 法律合规部法务，从事金融领域法律合规实务和研究5年。

THE END

本公众号长期接受投稿，欢迎各位同仁踊跃分享

投稿邮箱：snr5151@139.com

联系方式：18701085957（微信同）