?

第二十五條? 利用個(gè)人信息進(jìn)行自動(dòng)化決策，應(yīng)當(dāng)保證決策的透明度和處理結(jié)果的公平合理。個(gè)人認(rèn)為自動(dòng)化決策對(duì)其權(quán)益造成重大影響的，有權(quán)要求個(gè)人信息處理者予以說明，并有權(quán)拒絕個(gè)人信息處理者僅通過自動(dòng)化決策的方式作出決定。

?

通過自動(dòng)化決策方式進(jìn)行商業(yè)營銷、信息推送，應(yīng)當(dāng)同時(shí)提供不針對(duì)其個(gè)人特征的選項(xiàng)。

?

本條明確了利用個(gè)人信息進(jìn)行自動(dòng)化決策的要求。

?

從自動(dòng)化決策的過程和結(jié)果要求看，與GDPR第22條相類似，《個(gè)人信息安全法（草案）》強(qiáng)調(diào)自動(dòng)化決策的透明和處理結(jié)果的公平合理，并為個(gè)人提供了救濟(jì)途徑。舉例來說，在金融借貸場景下，如果依據(jù)數(shù)據(jù)模型自動(dòng)決定個(gè)人貸款額度的，個(gè)人可以要求個(gè)人信息處理者作出說明并有權(quán)拒絕僅以數(shù)據(jù)模型自動(dòng)決策的方式作出決定，相對(duì)應(yīng)的，在個(gè)人依據(jù)本條提出權(quán)利主張的情況下，個(gè)人信息處理者可能需要對(duì)個(gè)人的貸款額度進(jìn)行人工復(fù)核。當(dāng)然，為了防止個(gè)人濫用本條的規(guī)定，本條對(duì)適用情形進(jìn)行了限制，即"對(duì)其（個(gè)人）權(quán)益造成重大影響的"，防止個(gè)人隨意拒絕自動(dòng)化決策的處理后果或者提出異議而加重企業(yè)的負(fù)擔(dān)。

?

從對(duì)自動(dòng)化決策進(jìn)行商業(yè)營銷、信息推送的要求看，與《中華人民共和國電子商務(wù)法》第十八條第一款規(guī)定相類似，要求同時(shí)提供不針對(duì)其個(gè)人特征的選項(xiàng)?！秱€(gè)人信息安全規(guī)范》第7.5條b項(xiàng)也有類似規(guī)定。

?

第二十六條? 個(gè)人信息處理者不得公開其處理的個(gè)人信息；取得個(gè)人單獨(dú)同意或者法律、行政法規(guī)另有規(guī)定的除外。

?

本條明確了個(gè)人信息公開的原則要求和例外情形。

?

從原則要求看，以不公開為原則，因?yàn)橐话銇碚f，公開個(gè)人信息可能加大個(gè)人信息權(quán)益受侵犯的風(fēng)險(xiǎn)；從例外情形看，取得個(gè)人單獨(dú)同意或者法律、行政法規(guī)另有規(guī)定的情況下可以公開個(gè)人信息。對(duì)于取得個(gè)人同意公開個(gè)人信息的情況下，需要遵循《個(gè)人信息保護(hù)法（草案）》的一般要求，即向個(gè)人告知并確有必要公開。

?

第二十七條在公共場所安裝圖像采集、個(gè)人身份識(shí)別設(shè)備，應(yīng)當(dāng)為維護(hù)公共安全所必需，遵守國家有關(guān)規(guī)定，并設(shè)置顯著的提示標(biāo)識(shí)。所收集的個(gè)人圖像、個(gè)人身份特征信息只能用于維護(hù)公共安全的目的，不得公開或者向他人提供；取得個(gè)人單獨(dú)同意或者法律、行政法規(guī)另有規(guī)定的除外。

?

本條明確了公共場所安裝圖像采集、個(gè)人身份識(shí)別設(shè)備的要求。

?

實(shí)踐中已經(jīng)大量存在公共場所安裝圖像采集、個(gè)人身份識(shí)別設(shè)備的情況，比如商場安裝人臉識(shí)別攝像頭，用于統(tǒng)計(jì)人流量和識(shí)別VIP客戶等。根據(jù)《個(gè)人信息保護(hù)法（草案）》的規(guī)定，前述場景下很難滿足"維護(hù)公共安全所必需"的要求，"法律、行政法規(guī)另有規(guī)定"基本也難以適用，而"取得個(gè)人單獨(dú)同意"同樣存在很大難度。如果本條在正式稿出臺(tái)時(shí)未作調(diào)整而直接落地執(zhí)行，前述場景下繼續(xù)采集圖像或進(jìn)行個(gè)人身份識(shí)別，存在較大可能違反本條的規(guī)定。

?

第二十八條個(gè)人信息處理者處理已公開的個(gè)人信息，應(yīng)當(dāng)符合該個(gè)人信息被公開時(shí)的用途；超出與該用途相關(guān)的合理范圍的，應(yīng)當(dāng)依照本法規(guī)定向個(gè)人告知并取得其同意。

?

個(gè)人信息被公開時(shí)的用途不明確的，個(gè)人信息處理者應(yīng)當(dāng)合理、謹(jǐn)慎地處理已公開的個(gè)人信息；利用已公開的個(gè)人信息從事對(duì)個(gè)人有重大影響的活動(dòng)，應(yīng)當(dāng)依照本法規(guī)定向個(gè)人告知并取得其同意。

?

本條明確了處理已公開的個(gè)人信息的要求。

?

在《民法典》第一千零三十六條第一款第二項(xiàng)的基礎(chǔ)上，《個(gè)人信息保護(hù)法（草案）》對(duì)于處理已公開的個(gè)人信息提出了更嚴(yán)格的要求。舉例來說，小明想要出售房子，自行在網(wǎng)絡(luò)上發(fā)布了房子的信息和自己的聯(lián)系方式。某汽車銷售商看到了小明的聯(lián)系方式，與小明進(jìn)行聯(lián)系，但是是為了銷售汽車而不是為了購買房子。在該例子中，汽車銷售商的個(gè)人信息處理行為就很難被論證為是在小明公開信息用途相關(guān)的合理范圍內(nèi)進(jìn)行的處理。從審慎的角度，在無法確定個(gè)人信息被公開時(shí)的用途或者無法準(zhǔn)確說明是在公開時(shí)用途相關(guān)的合理范圍，建議先告知并獲得個(gè)人同意后再利用已公開的個(gè)人信息。

?

?

第二十九條個(gè)人信息處理者具有特定的目的和充分的必要性，方可處理敏感個(gè)人信息。

?

敏感個(gè)人信息是一旦泄露或者非法使用，可能導(dǎo)致個(gè)人受到歧視或者人身、財(cái)產(chǎn)安全受到嚴(yán)重危害的個(gè)人信息，包括種族、民族、宗教信仰、個(gè)人生物特征、醫(yī)療健康、金融賬戶、個(gè)人行蹤等信息。

?

本條明確了處理敏感個(gè)人信息的條件和敏感個(gè)人信息的定義。

?

從處理敏感個(gè)人信息的條件看，"特定的目的"和"充分的必要性"，條件比較嚴(yán)苛。實(shí)踐中大量出現(xiàn)收集人臉照片的場景，比如取快遞要刷臉，再比如被稱為"中國人臉識(shí)別第一案"中進(jìn)入動(dòng)物園需要刷臉，其能否滿足"充分的必要性"，可能存在較大爭議。

?

從敏感個(gè)人信息的定義看，相較于《個(gè)人信息安全規(guī)范》第3.2條對(duì)于"個(gè)人敏感信息"的定義，《個(gè)人信息保護(hù)法（草案）》對(duì)敏感個(gè)人信息的定義劃分似乎更為嚴(yán)格、范圍有所限縮。本條對(duì)"危害"增加了"嚴(yán)重"的限定，而且對(duì)"敏感個(gè)人信息"的舉例中未列舉"身份證件號(hào)碼、通信記錄和內(nèi)容、財(cái)產(chǎn)信息、征信信息、住所信息、交易信息"，也未強(qiáng)調(diào)對(duì)"個(gè)人名譽(yù)"的影響。當(dāng)然，這可能與《個(gè)人信息保護(hù)法（草案）》對(duì)于處理敏感個(gè)人信息規(guī)定了更嚴(yán)格的規(guī)范要求也有關(guān)系。

?

第三十條基于個(gè)人同意處理敏感個(gè)人信息的，個(gè)人信息處理者應(yīng)當(dāng)取得個(gè)人的單獨(dú)同意。法律、行政法規(guī)規(guī)定處理敏感個(gè)人信息應(yīng)當(dāng)取得書面同意的，從其規(guī)定。

?

本條明確了基于個(gè)人同意處理敏感個(gè)人信息的要求。

?

從一般要求看，基于個(gè)人同意處理敏感個(gè)人信息，應(yīng)當(dāng)取得個(gè)人的單獨(dú)同意。對(duì)于基于個(gè)人同意情形下的"單獨(dú)同意"，按照現(xiàn)有App通過《個(gè)人信息保護(hù)政策》獲得處理個(gè)人信息和敏感個(gè)人信息的同意，很難說明是獲得了"單獨(dú)同意"，可能需要在實(shí)際觸發(fā)處理敏感個(gè)人信息之前，通過單獨(dú)彈窗等方式獲得個(gè)人的同意。近期發(fā)布的《網(wǎng)絡(luò)交易監(jiān)督管理辦法（征求意見稿）》第十一條要求"網(wǎng)絡(luò)交易經(jīng)營者收集、使用生物識(shí)別信息、健康信息、財(cái)產(chǎn)信息、社交信息等敏感信息的，應(yīng)當(dāng)逐項(xiàng)取得被收集者授權(quán)同意"，同此處的"單獨(dú)同意"相近似，亦反映了敏感個(gè)人信息處理方面愈發(fā)嚴(yán)格的監(jiān)管趨勢。

?

從特殊要求看，"法律、行政法規(guī)規(guī)定處理敏感個(gè)人信息應(yīng)當(dāng)取得書面同意的，從其規(guī)定"，留下了例外情形要求，后續(xù)有相應(yīng)書面同意要求的，需要遵守其要求。

?

第三十一條個(gè)人信息處理者處理敏感個(gè)人信息的，除本法第十八條規(guī)定的事項(xiàng)外，還應(yīng)當(dāng)向個(gè)人告知處理敏感個(gè)人信息的必要性以及對(duì)個(gè)人的影響。

?

本條明確了處理敏感個(gè)人信息的特殊告知要求。

?

處理敏感個(gè)人信息，除了需要根據(jù)《個(gè)人信息保護(hù)法（草案）》第十八條向用戶告知相應(yīng)的事項(xiàng)外，還需要告知必要性以及對(duì)個(gè)人的影響，告知的要求更加嚴(yán)格。對(duì)于"對(duì)個(gè)人的影響"，舉例來說，投保人身保險(xiǎn)時(shí)，保險(xiǎn)公司收集了投保人的病例等醫(yī)療健康信息，對(duì)個(gè)人的影響在于如果存在特殊疾病史等情況，可能影響是否承保以及保費(fèi)的測算。

?

第三十二條法律、行政法規(guī)規(guī)定處理敏感個(gè)人信息應(yīng)當(dāng)取得相關(guān)行政許可或者作出更嚴(yán)格限制的，從其規(guī)定。

?

本條明確了處理敏感個(gè)人信息的特殊限制情形。

?

《個(gè)人信息保護(hù)法（草案）》并未直接明確處理敏感個(gè)人信息的特殊限制情形，而是留下了適用規(guī)定，不排除后續(xù)可能有其他相關(guān)法律或者配套行政法規(guī)作出嚴(yán)格限制，需要加以關(guān)注。

?

?

第三十三條國家機(jī)關(guān)處理個(gè)人信息的活動(dòng)適用本法；本節(jié)有特別規(guī)定的，適用本節(jié)規(guī)定。

?

本條明確了國家機(jī)關(guān)處理個(gè)人信息的適用規(guī)則。

?

從一般規(guī)則看，國家機(jī)關(guān)處理個(gè)人信息需要適用《個(gè)人信息保護(hù)法（草案）》的一般規(guī)定；從特殊規(guī)則看，如果本節(jié)對(duì)國家機(jī)關(guān)處理個(gè)人信息進(jìn)行了特殊規(guī)定，需要適用本節(jié)的特殊規(guī)定。

?

第三十四條國家機(jī)關(guān)為履行法定職責(zé)處理個(gè)人信息，應(yīng)當(dāng)依照法律、行政法規(guī)規(guī)定的權(quán)限、程序進(jìn)行，不得超出履行法定職責(zé)所必需的范圍和限度。

?

本條明確了國家機(jī)關(guān)為履行法定職責(zé)處理個(gè)人信息的規(guī)范化要求。

?

從規(guī)范化要求看，主要包括以下三點(diǎn)：（1）需要基于履行法定職責(zé)的需要，避免在法定職責(zé)之外隨意收集、使用個(gè)人信息；（2）需要依照法律、行政法規(guī)規(guī)定的條件和程序進(jìn)行，也就是說如未經(jīng)法定條件和程序，即使在法定職責(zé)范圍內(nèi)國家機(jī)關(guān)也不得處理個(gè)人信息。舉個(gè)例子，根據(jù)《網(wǎng)絡(luò)安全法》等法律規(guī)定，公安機(jī)關(guān)有權(quán)依法對(duì)互聯(lián)網(wǎng)服務(wù)提供者和聯(lián)網(wǎng)使用單位履行法律、行政法規(guī)規(guī)定的網(wǎng)絡(luò)安全義務(wù)情況進(jìn)行安全監(jiān)督檢查，監(jiān)督檢查過程中很可能涉及用戶的個(gè)人信息，《公安機(jī)關(guān)互聯(lián)網(wǎng)安全監(jiān)督檢查規(guī)定》第三章對(duì)于公安機(jī)關(guān)進(jìn)行互聯(lián)網(wǎng)監(jiān)督檢查的程序進(jìn)行了專章的規(guī)定，實(shí)踐中公安機(jī)關(guān)開展涉?zhèn)€人信息的安全監(jiān)督檢查需要遵守該等規(guī)定；（3）不得超出履行法定職責(zé)所必需的范圍和限度。對(duì)于國家機(jī)關(guān)的個(gè)人信息處理行為，實(shí)踐中存在較多爭議，以《計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法（2011修訂）》第八條為例，該條規(guī)定，"從事國際聯(lián)網(wǎng)業(yè)務(wù)的單位和個(gè)人應(yīng)當(dāng)接受公安機(jī)關(guān)的安全監(jiān)督、檢查和指導(dǎo)，如實(shí)向公安機(jī)關(guān)提供有關(guān)安全保護(hù)的信息、資料及數(shù)據(jù)文件，協(xié)助公安機(jī)關(guān)查處通過國際聯(lián)網(wǎng)的計(jì)算機(jī)信息網(wǎng)絡(luò)的違法犯罪行為"，該辦法在2011年修訂以后，對(duì)于"有關(guān)安全保護(hù)的信息、資料及數(shù)據(jù)文件"未進(jìn)行明確限制，原有1997版本雖加以限制但仍留下了較大空白，導(dǎo)致實(shí)踐中部分公安部門要求企業(yè)提供用戶的詳細(xì)注冊信息和登錄日志信息的情形，該等情形是否屬于必需的范圍和限度，可能有待進(jìn)一步探討。

?

第三十五條國家機(jī)關(guān)為履行法定職責(zé)處理個(gè)人信息，應(yīng)當(dāng)依照本法規(guī)定向個(gè)人告知并取得其同意；法律、行政法規(guī)規(guī)定應(yīng)當(dāng)保密，或者告知、取得同意將妨礙國家機(jī)關(guān)履行法定職責(zé)的除外。

?

本條明確了國家機(jī)關(guān)為履行法定職責(zé)處理個(gè)人信息的要求。

?

從一般要求看，國家機(jī)關(guān)為履行法定職責(zé)處理個(gè)人信息，需要"告知+同意"，一定程度上能夠提高國家機(jī)關(guān)處理個(gè)人信息的透明度；從例外情形看，"法律、行政法規(guī)規(guī)定應(yīng)當(dāng)保密，或者告知、取得同意將妨礙國家機(jī)關(guān)履行法定職責(zé)的除外"，比如為了犯罪偵查收集使用個(gè)人信息的，可以不向個(gè)人告知也無需獲得其同意。

?

第三十六條國家機(jī)關(guān)不得公開或者向他人提供其處理的個(gè)人信息，法律、行政法規(guī)另有規(guī)定或者取得個(gè)人同意的除外。

?

本條明確了國家機(jī)關(guān)不得公開或向他人提供處理的個(gè)人信息要求和例外情形。

?

從原則性要求看，不得公開或向他人提供處理的個(gè)人信息為基本原則。如果需要公開或者向他人提供，需要有法律、行政法規(guī)的規(guī)定或者取得個(gè)人的同意。對(duì)于經(jīng)個(gè)人同意公開或者向他人提供個(gè)人信息的情形，應(yīng)該適用本法的一般性規(guī)定，告知規(guī)則并限于必要限度。

?

第三十七條國家機(jī)關(guān)處理的個(gè)人信息應(yīng)當(dāng)在中華人民共和國境內(nèi)存儲(chǔ)；確需向境外提供的，應(yīng)當(dāng)進(jìn)行風(fēng)險(xiǎn)評(píng)估。風(fēng)險(xiǎn)評(píng)估可以要求有關(guān)部門提供支持與協(xié)助。

?

本條明確了國家機(jī)關(guān)存儲(chǔ)個(gè)人信息的一般要求和向境外提供個(gè)人信息的特殊要求。

?

從一般要求看，國家機(jī)關(guān)一般應(yīng)將處理的個(gè)人信息存儲(chǔ)在境內(nèi)；確需向境外提供的，應(yīng)當(dāng)進(jìn)行風(fēng)險(xiǎn)評(píng)估。這里可以提供支持與協(xié)助的有關(guān)部門，從理解的角度，主要包括網(wǎng)信部門、公安部門等。

?

?

第三十八條個(gè)人信息處理者因業(yè)務(wù)等需要，確需向中華人民共和國境外提供個(gè)人信息的，應(yīng)當(dāng)至少具備下列一項(xiàng)條件：

?

（一）依照本法第四十條的規(guī)定通過國家網(wǎng)信部門組織的安全評(píng)估；

（二）按照國家網(wǎng)信部門的規(guī)定經(jīng)專業(yè)機(jī)構(gòu)進(jìn)行個(gè)人信息保護(hù)認(rèn)證；

（三）與境外接收方訂立合同，約定雙方的權(quán)利和義務(wù)，并監(jiān)督其個(gè)人信息處理活動(dòng)達(dá)到本法規(guī)定的個(gè)人信息保護(hù)標(biāo)準(zhǔn)；

（四）法律、行政法規(guī)或者國家網(wǎng)信部門規(guī)定的其他條件。

?

本條明確了個(gè)人信息處理者向境外傳輸個(gè)人信息的條件。

?

《個(gè)人信息出境安全評(píng)估辦法（征求意見稿）》規(guī)定個(gè)人信息出境應(yīng)當(dāng)報(bào)請(qǐng)安全評(píng)估。相較于前述征求意見稿的規(guī)定，《個(gè)人信息保護(hù)法（草案）》并未要求個(gè)人信息處理者向境外傳輸個(gè)人信息的所有情形下均應(yīng)進(jìn)行安全評(píng)估，對(duì)于個(gè)人信息處理者向境外傳輸個(gè)人信息的要求有所放寬。

?

根據(jù)本條規(guī)定，個(gè)人信息出境的前提是因業(yè)務(wù)需要所必需。在滿足因業(yè)務(wù)需要所必需的情形下，對(duì)于符合《個(gè)人信息保護(hù)法（草案）》第四十條規(guī)定的個(gè)人信息出境情形，即個(gè)人信息處理者為關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者或個(gè)人信息處理者處理的個(gè)人信息達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量的，應(yīng)當(dāng)按照本條第一項(xiàng)的規(guī)定通過國家網(wǎng)信部門組織的安全評(píng)估；對(duì)于符合國家網(wǎng)信部門規(guī)定的需經(jīng)專業(yè)機(jī)構(gòu)進(jìn)行個(gè)人信息保護(hù)認(rèn)證的情形，應(yīng)當(dāng)根據(jù)相關(guān)規(guī)定通過專業(yè)機(jī)構(gòu)的個(gè)人信息保護(hù)認(rèn)證。而對(duì)于非屬于本條第（1）（2）項(xiàng)情形的其他個(gè)人信息出境情形，個(gè)人信息處理者可以在采用同境外接收方訂立合同的方式或在符合法律、行政法規(guī)、國家網(wǎng)信部門規(guī)定的其他條件的情形下向境外傳輸個(gè)人信息。若采用同境外接收方訂立合同的方式向境外傳輸個(gè)人信息的，合同應(yīng)當(dāng)約定雙方的權(quán)利和義務(wù)，并監(jiān)督促使接收方的個(gè)人信息處理活動(dòng)達(dá)到《個(gè)人信息保護(hù)法（草案）》規(guī)定的個(gè)人信息保護(hù)標(biāo)準(zhǔn)。

?

對(duì)于何種個(gè)人信息出境場景屬于符合國家網(wǎng)信部門規(guī)定的需經(jīng)專業(yè)機(jī)構(gòu)進(jìn)行個(gè)人信息保護(hù)認(rèn)證的情形，鑒于現(xiàn)有的相關(guān)規(guī)定并未明確，可能有待后續(xù)網(wǎng)信部門的進(jìn)一步立法加以明確。

?

第三十九條個(gè)人信息處理者向中華人民共和國境外提供個(gè)人信息的，應(yīng)當(dāng)向個(gè)人告知境外接收方的身份、聯(lián)系方式、處理目的、處理方式、個(gè)人信息的種類以及個(gè)人向境外接收方行使本法規(guī)定權(quán)利的方式等事項(xiàng)，并取得個(gè)人的單獨(dú)同意。

?

本條明確了個(gè)人信息處理者就向境外傳輸個(gè)人信息的"告知-同意"要求。

?

本條要求個(gè)人信息處理者向境外傳輸個(gè)人信息應(yīng)當(dāng)向個(gè)人進(jìn)行充分告知，并取得個(gè)人的單獨(dú)同意。告知的內(nèi)容采取了"列舉+兜底"的方式，包括"境外接收方的身份、聯(lián)系方式、處理目的、處理方式、個(gè)人信息的種類以及個(gè)人向境外接收方行使本法規(guī)定權(quán)利的方式"等事項(xiàng)。只有在滿足了第三十八條的監(jiān)管要求，并根據(jù)本條的規(guī)定取得個(gè)人的單獨(dú)同意的情況下，個(gè)人信息處理者方可向境外傳輸個(gè)人信息。值得討論的是，就告知的內(nèi)容上，除了本條列明的幾項(xiàng)外，是否考慮增加列示境外接收方的數(shù)據(jù)安全能力作為披露項(xiàng)。近年來，境外網(wǎng)絡(luò)安全事件頻發(fā)，在境外接收方發(fā)生過重大網(wǎng)絡(luò)安全事件的情形下，是否向個(gè)人披露境外接收方的數(shù)據(jù)安全能力，可能對(duì)個(gè)人是否同意個(gè)人信息出境產(chǎn)生影響。

?

此外，需要注意的是，盡管相較于《民法典》，《個(gè)人信息保護(hù)法（草案）》第十三條增加了"為訂立或者履行個(gè)人作為一方當(dāng)事人的合同所必需"等情形作為處理個(gè)人信息的一般情形下的合法性基礎(chǔ)，但《個(gè)人信息保護(hù)法（草案）》并未借鑒GDPR等境外立法，允許在"為訂立或者履行個(gè)人作為一方當(dāng)事人的合同所必需"等情形下的個(gè)人信息出境。從條文文義理解的角度，本法第十三條似乎并不能直接適用于個(gè)人信息出境的場景下，個(gè)人信息處理者可能僅能夠基于個(gè)人的同意向境外傳輸個(gè)人信息。這也體現(xiàn)了立法對(duì)于個(gè)人信息出境的審慎態(tài)度。

?

第四十條關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者和處理個(gè)人信息達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量的個(gè)人信息處理者，應(yīng)當(dāng)將在中華人民共和國境內(nèi)收集和產(chǎn)生的個(gè)人信息存儲(chǔ)在境內(nèi)。確需向境外提供的，應(yīng)當(dāng)通過國家網(wǎng)信部門組織的安全評(píng)估；法律、行政法規(guī)和國家網(wǎng)信部門規(guī)定可以不進(jìn)行安全評(píng)估的，從其規(guī)定。

?

本條明確了部分特殊個(gè)人信息處理者向境外提供個(gè)人信息的專門要求。

?

從主體上看，本條規(guī)制的個(gè)人信息處理者包括關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者和處理個(gè)人信息達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量的個(gè)人信息處理者。對(duì)于數(shù)量標(biāo)準(zhǔn)，可供參考的是《個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法（征求意見稿）》第九條的相關(guān)規(guī)定，其要求出境信息中含有或累計(jì)含有50萬人以上的個(gè)人信息應(yīng)報(bào)請(qǐng)行業(yè)主管或監(jiān)管部門組織安全評(píng)估。但就《個(gè)人信息保護(hù)法（草案）》下的該等數(shù)量標(biāo)準(zhǔn)，尚有待網(wǎng)信部門后續(xù)出臺(tái)進(jìn)一步的細(xì)化規(guī)定。

?

從行為要求來看，原則上前述個(gè)人信息處理者在境內(nèi)收集和產(chǎn)生的個(gè)人信息應(yīng)進(jìn)行本地化存儲(chǔ)。僅在確需向境外提供的情形下，且通過國家網(wǎng)信部門組織的安全評(píng)估后，個(gè)人信息處理者方可向境外提供個(gè)人信息。

?

從評(píng)估的組織主體來看，《個(gè)人信息出境安全評(píng)估辦法（征求意見稿）》第三條要求網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)向所在地省級(jí)網(wǎng)信部門申報(bào)個(gè)人信息出境安全評(píng)估，而本條則規(guī)定安全評(píng)估由國家網(wǎng)信部門組織，將安全評(píng)估的組織權(quán)限統(tǒng)一由國家網(wǎng)信部門行使，有利于統(tǒng)一國家對(duì)個(gè)人信息出境的監(jiān)管尺度。

?

此外，本條還規(guī)定了法律、行政法規(guī)和國家網(wǎng)信部門規(guī)定可以不進(jìn)行安全評(píng)估的例外情形，為后續(xù)立法規(guī)定例外情形留下了口子。

?

第四十一條因國際司法協(xié)助或者行政執(zhí)法協(xié)助，需要向中華人民共和國境外提供個(gè)人信息的，應(yīng)當(dāng)依法申請(qǐng)有關(guān)主管部門批準(zhǔn)。

?

中華人民共和國締結(jié)或者參加的國際條約、協(xié)定對(duì)向中華人民共和國境外提供個(gè)人信息有規(guī)定的，從其規(guī)定。

?

本條明確了國際司法協(xié)助或行政執(zhí)法協(xié)助情形下向境外提供個(gè)人信息需報(bào)批的原則性要求。

?

本條承襲了《數(shù)據(jù)安全法（草案）》第三十三條的立法精神，旨在一定程度上封堵境外機(jī)構(gòu)的長臂管轄，維護(hù)國家主權(quán)和安全及境內(nèi)個(gè)人的權(quán)益。同時(shí)，本條明確規(guī)定了例外情形，即"我國締結(jié)或參加的國際條約、協(xié)定對(duì)此有規(guī)定的，依照其規(guī)定"，妥善解決了法律與國際條約、協(xié)定的適用問題。

?

不同于《數(shù)據(jù)安全法（草案）》第三十三條，本條規(guī)定的需報(bào)批情形包括國際司法協(xié)助或行政執(zhí)法協(xié)助，目的是從行政執(zhí)法和司法兩個(gè)層面阻卻境外機(jī)構(gòu)對(duì)境內(nèi)機(jī)構(gòu)或個(gè)人實(shí)施的長臂管轄。

?

第四十二條境外的組織、個(gè)人從事?lián)p害中華人民共和國公民的個(gè)人信息權(quán)益，或者危害中華人民共和國國家安全、公共利益的個(gè)人信息處理活動(dòng)的，國家網(wǎng)信部門可以將其列入限制或者禁止個(gè)人信息提供清單，子以公告，并采取限制或者禁止向其提供個(gè)人信息等措施。

?

本條明確了限制或者禁止個(gè)人信息提供清單制度。

?

個(gè)人信息出境往往意味著境內(nèi)監(jiān)管機(jī)構(gòu)的監(jiān)管難度及個(gè)人維權(quán)難度的改變。確立限制或者禁止個(gè)人信息提供清單制度，限制、禁止向境外從事?lián)p害我國公民個(gè)人信息權(quán)益，或者危害我國國家安全、公共利益的個(gè)人信息處理活動(dòng)的組織、個(gè)人提供個(gè)人信息，有助于一定程度上降低個(gè)人信息出境環(huán)節(jié)中危害國家安全、公共利益或損害個(gè)人信息權(quán)益的風(fēng)險(xiǎn)，亦可以起到一定的威懾和警示作用。

?

從實(shí)施主體來看，限制或者禁止個(gè)人信息提供清單制度的實(shí)施主體為國家網(wǎng)信部門，針對(duì)被列入清單的組織或個(gè)人可以采取的措施包括限制或者禁止向其提供個(gè)人信息。參照近期出臺(tái)的《不可靠實(shí)體清單規(guī)定》，對(duì)于限制或者禁止個(gè)人信息提供清單制度的具體組織實(shí)施、將組織、企業(yè)列入清單的相關(guān)程序、具體的限制措施等，或可能由國家網(wǎng)信部門牽頭另行制訂相應(yīng)的規(guī)定。

?

第四十三條任何國家和地區(qū)在個(gè)人信息保護(hù)方面對(duì)中華人民共和國采取歧視性的禁止、限制或者其他類似措施的，中華人民共和國可以根據(jù)實(shí)際情況對(duì)該國家或者該地區(qū)采取相應(yīng)措施。

?

本條明確了個(gè)人信息保護(hù)領(lǐng)域的對(duì)等反制措施。

?

近年來，個(gè)別國家在政治、經(jīng)濟(jì)、外交等領(lǐng)域?qū)ξ覈扇×似缫曅缘慕?、限制或者其他類似措施，?duì)我國國家利益和我國"出海"企業(yè)的利益造成了較大影響。

?

采取正當(dāng)且必要的對(duì)等反制措施，是維護(hù)我國國家利益的重要手段。就個(gè)人信息保護(hù)領(lǐng)域而言，本條規(guī)定的對(duì)等反制措施基于國際法上的"對(duì)等原則"，亦同《出口管制法》第四十八條、《數(shù)據(jù)安全法（草案）》第二十四條所體現(xiàn)的立法精神相協(xié)同，有助于維護(hù)我國國家利益、公共利益及我國個(gè)人的合法權(quán)益。

?