个人信息的"保护神"《个人信息保护法（草案）》解读( 三 ) 一、出台背景随着全球网络基

1.明确措施
本法对处理者提出了事前、事中、事后、事发全流程的保障义务要求：
事前风险评估（第54条）——要求在对个人有重大影响的个人信息处理活动之前进行风险评估。其列举的适用情况与上文需取得"单独同意"的情况类似，背后的共同逻辑是法律对处理者的义务要求需与处理活动本身的风险程度相匹配。该设计借鉴了GDPR规定的"数据保护影响评估"（DPIA, Data Protection Impact Assessment）制度。
事中合规和安保措施（第50条）——详细列举了处理者应采取的合规和安全保护措施，包括制度制定、分级管理、技术措施、员工要求、应急预案等。这将是处理者在日常合规工作中需要重点关注和落实的工作。
事后定期审计（第53条）——要求处理者定期进行合规审计。其监管思路与《网络借贷信息中介机构业务活动管理暂行办法》第31条要求的定期评估、审计类似。
事发补救和通知义务（第55条）——要求处理者在发生个人信息泄露情况下采取补救措施并通知监管部门和个人。这与《民法典》第1038条补救措施和报告制度相衔接。
2.落实人头
本法第51条规定处理个人信息达到网信部门规定数量的处理者应当指定"个人信息保护负责人" ，对内负责对处理活动和保护措施等进行监督，对外担任联系人和与监管沟通人的角色。可以看出，本条借鉴了GDPR数据保护官(DPO, Data Protection Officer)制度。值得注意的是， GDPR非常重视该制度，对于违反该规定（即应设而未设数据保护官）的企业，单独设立一个严格的处罚标准：最高1000万欧元或企业全球年营业额2%（两者取高值）。与GDPR仅概括性地规定适用从事"大规模"数据处理业务的公司一样，本条也未明确"达到网信部门规定数量"的具体标准。我们相信网信部门会后续出台相关指引予以明确。
本法第52条要求境外的处理者在境内设立"专门机构或者指定代表"负责处理个人信息保护相关事务。该要求与《个信出境办法》第20条中要求收集境内用户个人信息的境外机构在境内设立"法定代表人或者机构"的内在逻辑一致，不过其表述比"法定代表人或者机构"更加清晰明了，避免了与公司法项下概念混淆。
五、监管部门
本法第六章明确了个人信息保护的监管部门及分工。其具体内容整理如下表：
履行个人信息保护职责的部门
文章插图
六、带"牙齿"的法律
为了确保本法规定的各项要求落到实处，切实保护个人的权益，本法对个人信息保护的违法行为构建了从信用公示到刑事惩处一个全方位、多维度的法律责任体系，具体包括：信用公示（第63条）、行政处罚（第62条）、私益诉讼（第65）、公益诉讼（66条）、治安处罚（第67条）、刑事惩处（第67条）。
其中两个"亮点"值得关注：高额的处罚金额和公益诉讼制度的引入。其主要针对实践中个人信息保护工作的两大"痛点"：（１）因违法成本低造成社会普遍对个人信息保护重视不足；（２）因侵犯个人信息的违法行为隐蔽性强、调查取证难、个人防范意识差、维权成本高等因素，导致鲜有个人通过私益民事诉讼的方式维护自身权益。具体规定及分析如下：
本法第62条规定违法行为最高面临"五千万元以下或者上一年度营业额百分之五以下罚款" 。这相较于《网络安全法》和《数安法》的一百万罚款上限，大幅提高惩戒力度，逐渐与GDPR项下罚款最高达全球年度营业额的百分之四的标准接轨，彰显国家在个人相信保护方面的决心。
本法第66条规定对于侵害众多个人权益的违法行为，人民检察院、个人信息保护职责部门、网信部门等主体均享有诉讼权利。这是继生态环境和资源保护、食品药品安全等领域之后，公益诉讼首次在个人信息保护领域的适用。
七、结语
本法在借鉴国际成熟的保护原则和立法经验基础上，结合我国国情，将之前相关法律、法规、标准中的实施经验和成熟措施上升为法律规范，在制度设计、维权途径、处罚力度等方面具有诸多创新和突破之处，完善了我国个人信息保护法律保护体系，提升了我国个人信息保护标准。其作用不仅在于促进我国数字经济的良性发展，还有利于我国参与国际规则的制定，促进个人信息保护领域的国际交流与合作，推动我国与国际间个人信息保护规则、标准的互认。
本法的很多内容带有鲜明的数字时代烙印，例如，自动化决策（第25条）、数据公开利用（第28条）、网信部门的主导地位（第38、40、42、51、56、58、66条）等。虽然个人信息不仅限于以电子方式记录，但随着网络对人们生活的深度渗透，以电子方式记录的个人信息无论从数量级还是面临侵害的风险程度来说，都无疑占据主要地位。因此，网络空间必将成为个人信息保护工作的"主战场" 。

个人信息的&quot;保护神&quot;《个人信息保护法（草案）》解读( 三 )

个人信息的"保护神"《个人信息保护法（草案）》解读( 三 )