《中华人民共和国个人信息保护法》日前获得通过,并将于2021年11月1日起正式施行。这部法律一共74个条文,既是从维护个人在数字化时代的人格尊严和公平实践的角度制定的,也充分考虑了数字经济发展的合理需求和趋势,旨在确立和保护自然人对于个人信息的尊严、安全和公平使用的合理要求。它对自然人关于个人信息的权利、个人信息处理者对于个人信息的义务、相关部门对于个人信息的保护职责、个人信息处理具体要求、个人信息跨境、法律责任等作出了明确和可操作的规定。可以认为,该法为中国个人信息保护完成了顺应时代的系统设计,也为世界提供了一个充满借鉴价值的中国方案。
个人信息保护法的通过和施行向世界展示了中国对于个人信息保护极其严肃的法律立场:将用严法迎接一个充分尊重个人信息并正当对待“数字人格”的新时代,并期待在此基础上与其他国家或地区开展人文的公正的个人信息保护合作,合理而正义地推进国际数字合作与流通,实现相互之间数字经济的最佳连接,共同分享数字经济的发展利益。
个人信息保护法对于涉外数字活动、涉外个人信息保护问题作出了明确规范,作为中国和其他国家或地区之间个人信息保护合作的准则,具有深远的国际意义。
首先,第一章“总则”第三条作出了关于本法适用的规定,涉及境外活动的法律适用。该条第二款规定了三种类型的境外个人信息处理活动,应当适用本法。第三条规定:“I.在中华人民共和国境内处理自然人个人信息的活动,适用本法。II.在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,有下列情形之一的,也适用本法:(一)以向境内自然人提供产品或者服务为目的;(二)分析、评估境内自然人的行为;(三)法律、行政法规规定的其他情形。”第五十三条还延伸补充规定:“本法第三条第二款规定的中华人民共和国境外的个人信息处理者,应当在中华人民共和国境内设立专门机构或者指定代表,负责处理个人信息保护相关事务,并将有关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门。”
其次,第三章“个人信息跨境提供的规则”,系统规定了对于中国的个人信息出境的专门管理要求。特别是第三十八条规定非常重要,明确了信息出境的法律条件,其中包括安全评估、专业认证和标准合同的基本要求,同时规定可以执行国际条约和协定以及应当保障境外接收方达标。
此外,通过其他有关三个条文分别就国内关键信息基础设施个人信息出境的限制管理、外国司法或者执法机构要求提供个人信息的批准管理、对我国存在歧视的国家或者地区采取对等处置等作出相应规定。这些将是今后中国和不同国家之间个人信息跨境保护合作的重要基础。
新法既出,期待实施。接下来,相信涉及个人信息跨境业务的相关国际化企业、机构和平台会就中国个人信息保护法的理念、内容、保护措施特别是跨境规则做出必要研究,在此基础上探讨自身合规机制和正当行动规程,减少法律实施对于运营和管理的风险。总之,应该在触及个人信息的活动中,自觉追求维护个人信息法益和实现自身数字利益之间的最佳平衡。