个人信息将迎来系统法律保护，解析《个人信息保护法（2017版草案）》

11月22日社交媒体上一则标题为《男子收集900余万条公民信息赚“提成”获刑4年》的新闻再次引发广大舆论对个人信息保护的关注。11月22日，该则新闻的主人公何某因为侵犯公民个人信息罪被法院判处有期徒刑四年，并判处罚金五万元。

2016年以来，何某共获得936万余条涉及公民个人信息相关的数据，并将数据存放在其计算机硬盘内。这些涉案的公民个人信息涉及公民的姓名、出生日期、手机号，甚至包括身份证号码、家庭住址等敏感信息，被何某用来通过电话推销的方式为培训机构找生源以赚取培训机构的提成。

据报道，何某主要是通过交换、网上搜集、购买三种途径收集信息。从2017年10月至2018年4月，何某曾向他人提供公民个人信息1万余条，以交换的方式非法获取公民个人信息1258条。2018年5月17日，何某被公安机关抓获，由北京市石景山区检察院以涉嫌侵犯公民个人信息罪对何某提起公诉。最终，石景山区法院判定何某的行为触犯刑法第二百五十三条，构成侵犯公民个人信息罪。

从该案的处理结果和现有的立法实践来看，我国目前对个人信息的保护都多为末端治理的制裁性规范，对个人信息的保护的确具有震慑作用，但主要停留在事后惩治上对个人信息的产生和使用过程并无保护实益。由于缺乏源头治理的引导性规范，实践中个人信息的使用者在具体操作上无所适从，动辄触犯法律红线。因此，对个人信息的保护迫切需要转变规范观念，需要更多系统性的法规来规范和引导个人信息的收集、保管和利用。

一、 立法背景

当前，我国涉及到个人信息保护的法律规范，初步统计已有近40部法律、30余部法规、200多部规章，但是缺乏一部专门的立法规定，呈现出明显的分散立法趋势。《民法总则》第111条规定“自然人的个人信息受法律保护”首次从基本法的角度建立了个人信息保护的规则，《网络安全法》在个人信息保护的立法层面进行了比较全面的阐述，但存在着对网络运营者追责不够的遗憾。从整体上看，现有的立法体系多集中从禁止侵害的角度来对个人信息进行保护，尚未有从源头上对信息主体拥有的具体权利和信息处理者应当承担的义务进行明确的规定，对个人信息缺乏系统的法律保护。

这种立法缺陷已经开始影响到我国信息化的进程和一系列产业发展，目前尚未有任何一部法律规定信息处理主体可以基于自身对于个人信息的收集、处理后能够主张自己对数据的控制使用权，然而从数据经济发展整体的趋势来看，个人信息的利用定是将来大势所趋。明确信息主体与信息处理者之间的权利义务，立法规范个人信息的利用和保护，已经成为一个不可回避的问题。

从2003年起，我国就开始起草《个人信息保护法》，但至今尚未出台。在立法空缺和现实需要的急切召唤下，2018年9月10日，中国人大网公布《十三届全国人大常委会立法规划》，69件法律草案列入第一类项目，即条件比较成熟、任期内拟提请审议。2017年公布的《个人信息保护法（草案）》（以下简称“草案”）是第61个项目，这标志着《个人信息保护法》即将提起审议，个人信息保护即将迎来系统的法律保护。

二、 《个人信息保护法（2017版草案）》主要内容

该草案共包含六个章节44个条款，草案的内容结构如下表：

纵观立法草案全文，不难发现草案对个人信息的保护集中体现在对个人信息或数据的滥用行为的有效规制上，信息占有者与信息主体之间的权利义务的规范是草案立法核心问题。草案通过列举的形式明确了自然人个人信息权的范围，设定信息的可携权，给予信息主体对要求传输信息的权利；设定信息封锁权、删除权和被遗忘权，给予信息主体对信息的控制权利。呈现出草案从个人信息的源头保护的特点，填补了现有法律法规基本都是末端治理的制裁性规范，而非源头治理的引导性规范的立法空白，对实现有效的个人信息保护有着重要的意义。

（一） 规范主体

草案的适用主体包括信息主体和信息处理者，对信息主体主要是设立了9个基本权利，明确自然人依法对自己的个人信息所享有的支配、控制并排除他人侵害的权利种类和范围，明确了个人信息的初始权利归属。草案将信息处理主体区分为国家机关信息处理主体和非国家机关信息处理主体，分专章提出了相应的个人信息保护规范。

草案中所指的国家机关是指为履行职责或接受其他有权机关的委托可以依法收集个人信息的国家行政机关，而且规定国家机关得以对个人信息进行收集的合法依据只能是法律，即草案对国家机关收集个人信息的职权范围进行了限制，规定只有法律可以对其收集行为进行赋权，体现出立法者对个人信息可被国家权力机关收集的情形采取审慎态度和对可被收集范围稳定性的保护倾向。

非国家机关是指为商业目的或其他职业目的收集、处理和利用个人信息的自然人、法人或其他信息处理主体。值得注意的是，根据草案的该规定，自然人也属于《个人信息保护法》规制的信息处理者，非国家机关信息处理者的内涵并不局限于一般商事主体，这对实践中出现的个人信息交易的“黑色产业链”问题规制有着重要的现实意义。而草案在第35条规定非国家机关信息处理主体需要取得登记管理机关进行业务资格登记和执照，否则不得收集个人信息，这是通过行政登记的手段实现政府对非国家机关信息处理主体的监督管理。

（二） 法律义务

草案第三章在个人信息的收集、处理和利用、传输、比对以及告知义务、信息披露、安全保护等方面，对国家机关应当承担的义务、数据处理操作情况作了详细的规定。第四章则是针对基于商业或商业目的的非国家机关信息处理主体，在登记义务、信息披露、信息收集、处理与利用等方面提出了规范要求。其中，草案对信息处理主体的法律义务主要体现在以下3方面：

1.告知义务

《个人信息保护法（草案）》第21条规定：“国家机关收集个人信息，应当事前公告或告知信息主体或其代理人国家机关的名称、收集个人信息的法律依据、目的、处理和利用方式、个人信息收集是否强制、信息主体的权利和不提供个人信息的法律后果。”同时，第38条规定非国家机关信息处理主体的告知义务准用第21条，即具有资质的信息处理者的收集需要履行事前告知义务，告知的对象包括信息主体或其代理人，告知的范围包括信息收集者的名称、收集个人信息的法律依据、目的、处理和利用方式、个人信息收集是否强制、信息主体的权利和不提供个人信息的法律后果。而在对个人信息处理和利用特定行为的规定中，也包含了信息处理者的事前告知义务。如草案第23条对个人信息传输的规定，要求国家机关向非国家机关信息处理主体传输个人信息，满足“非国家机关信息处理主体证明其对他人的个人信息有正当利益”或“信息主体无合法利益禁止该传输”的条件时，负有对信息主体或其代理人的告知义务。

2.信息披露义务

草案规定了国家机关的政策披露义务，要求国家机关应当公开有关个人信息的收集、处理和利用的政策，并以政府公告或其他适当方式公告个人信息档案的名称、类别和范围、收集机关、目的、范围和程序等12项具体公开事项。非国家机关的信息披露的范围除了与国家机关披露范围相同的部分外，还规定“自然人应公布其姓名、住所和联系方式，法人或其他组织应公布其名称、主营业地或其法定代表人姓名、住所和联系方式”，个人信息档案的储存方面还需披露存储期限。

但是，草案中明确了“有关国家安全、军事机密或其它重大国防利益”、“有关国家重大的外交、经济利益”、“有关犯罪、刑事侦查”、“个人信息的安全措施”和“法律规定不应当公开的其他情形”属于信息处理主体的信息披露的例外情况。

3.个人信息的安全保障义务

草案明确了依法收集、处理和利用个人信息的国家机关负有提供有效安全措施的义务，要求国家机关应采取技术措施和其他必要措施，设置专人负责个人信息的安全管理工作，并根据技术发展的状况及时更新安全措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。本草案没有在专章中规定非国家机关信息处理主体的安全保障义务，但在第一章的一般规定中规定了网络运营者应当遵循安全原则，非国家机关信息处理主体必须遵守一般规定。《网络安全法》中对网络运营者的安全保护义务进行了较为详细的规定，要求网络经营者实行网络安全等级保护制度，实施法律、行政法规规定的一系列的安全保障行为，以保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。这体现出《个人信息保护法（草案）》与现有个人信息保护相关法律的衔接和呼应。

（三）法律责任

本法在损害赔偿方面的法律责任，是民事赔偿责任与行政赔偿责任在个人信息保护领域的延伸。国家机关违反草案规定，给信息主体造成人身或财产上的损失的，应依照本法的规定承担损害赔偿等民事责任；无规定的，依照《国家赔偿法》的规定承担民事责任。非国家机关信息处理主体违反草案规定，给信息主体造成人身或财产上的损失的，应依照本法的规定承担损害赔偿等民事责任；本法无规定的，依照民法及其他法律法规的规定承担民事责任。

值得关注的是，在草案中明确了信息主体对其遭受的非物质损失可以主张精神损害赔偿，即国家机关和非国家机关信息处理主体违反依据本法制定并经主管部门审批的自律性规范的行为，导致信息主体遭受到非物质损失的，国家机关和非国家机关信息处理主体承担对受侵权者的精神损失赔偿责任。当信息主体无法确认侵权人时，草案通过设定共同侵权制度，保护受侵权人可以向有权收集、利用或处理个人信息的两个或两个以上的相关主体主张损害赔偿。而且根据草案第43条规定，违反《个人信息保护法》规定构成违反行政法律法规的，依法承担行政法律责任；构成犯罪的，依法追究刑事责任。在法律责任的构成上，草案采用了综合治理的立法模式，有助于现有法律的适用。

三、 结语

数据经济时代，数据俨然已经成为了除土地、劳动力、技术以外的第四种生产要素，个人信息在数据经济的背景下有着重要的经济价值。但因为此前缺乏对个人信息的明确法律规制，数据转让、买卖等交易一直游走在灰色地带，多重交易和各类第三方渠道的介入也使得个人信息数据的权利边界更加模糊。《个人信息保护法》的制定从源头上赋予了自然人控制使用自己信息的权利范围和行权方式，明确了信息处理主体收集、处理和使用信息的条件及具体的义务承担方式。

需要思考的是，草案并未明确经过处理的个人信息的权利归属问题，信息处理主体的权利范围仍然属于混沌状态，尚需进一步明确。我国在个人信息的保护上仍有很长的路要走，如何平衡个人信息保护与信息资源利用的关系,是今后立法与司法中需要继续思考并妥善解决的问题。

本文仅为我们对相关法律法规的一般解读，不能作为正式法律意见和建议，如果您有特定的问题，请与观韬中茂律师事务所联系咨询事宜。

作者简介：吴丹君律师，观韬中茂上海办公室合伙人，首席数据官联盟专家组成员及法律顾问、深圳市大数据研究与应用协会法律专家。吴律师专注于互联网、数据信息领域的法律服务，包括网络安全、数据信息管理保护、隐私保护体系建设、数据公开等，为多家国有企业、跨国企业以及互联网大数据企业提供网络安全、数据合规法律服务。吴律师的执业领域为互联网|数据信息、兼并收购、外商直接投资、酒店等，曾多次就互联网法院、共享单车等互联网热点事件接受《中国青年报》《中国企业报》等媒体采访报道，其撰写的四十余篇数据合规专业法律文章被知名互联网媒体广泛转载。 

吴丹君

合伙人

观韬中茂上海办公室

电话：（86-21）3135 9919 

传真：（86-21）3135 9929

电子邮箱：wudj@guantao.com