《个人隐私信息保护法》全文解读之一（第一章）

  作为与《网络安全法》、《数据安全法》并行的三大数据法顶梁柱之一的《个人隐私信息保护法》，即将于2021年11月1日起施行。

  2016年11月审议通过的《网络安全法》更强调的是网络安全与互联网空间的国家主权，2021年6月审议通过的《数据安全法》则更侧重于数据安全以及基于数据安全所体现的国家安全，而《个人隐私信息保护法》则集中于个人隐私信息的保护。虽然《网络安全法》对个人隐私信息保护问题进行了规定，明确了个人隐私信息保护的主要原则和基本规则，但随着网络行业的快速的提升，个人隐私信息保护问题的复杂性、紧迫性、专业性进一步凸显，有必要制定统一的、专门的个人隐私信息保护立法。

  互联网与大数据时代，个人隐私信息保护构成了数字社会治理与数字化的经济发展的基本法，牵动着万千公众的切身利益，也关涉企业对于个人隐私信息的合理利用与规范发展。个人隐私信息保护法自启动立法以来，也因此受到了社会的广泛关注。如今，个人隐私信息保护法正式颁布，为个人隐私信息处理活动提供了明确的法律依据，为个人维护其个人隐私信息权益提供了充分保障，为企业合规处理提供了操作指引。本次，趁着《个人信息保护法》即将施行的东风，笔者将自己的见解按照法条顺序逐一梳理，形成了如下成果，欢迎各方共同探讨。

  第一条 为保护个人隐私信息权益，规范个人隐私信息处理活动，促进个人信息合理规划利用，根据宪法，制定本法。

  条文解读：本法第一条明确了首要立法目的是为保护个人隐私信息权益，《个人隐私信息保护法》全文都彰显了对个人隐私信息权利的明确、个人隐私信息多场景下的保护以及对于个人隐私信息处理者处理数据的要求、义务和责任。另外，《个人隐私信息保护法》增加宪法作为立法依据，是对《宪法》第三十三条“国家尊重和保障人权”；第三十八条“中华人民共和国公民的人格尊严不受侵犯”；第四十条“中华人民共和国公民的通信自由和通信秘密受法律的保护”等规范的具体落实。

  第二条 自然人的个人隐私信息受法律保护，任何组织、个人不得侵害自然人的个人隐私信息权益。

  条文解读：本法首次提出自然人享有“个人隐私信息权益”，而不是表述为“个人隐私信息权”，表明自然人对于个人信息享有的是民事权益而非权利。

  在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动，有以下情形之一的，也适用本法：

  条文解读：本条规定了本法的适合使用的范围，且确定了适用指导原则为属地原则，并利用长臂管辖进行延伸适用。

  （1）属地原则：无论数据处理者是否为境外主体，无论个人隐私信息主体是否为外国人，只要数据处理活动发生在境内，即适用本法。

  （2）长臂管辖：我国法律不仅保护在境内处理的个人隐私信息，而且在境外处理我国境内个人隐私信息，以及在境外侵犯我国公民个人隐私信息权益，均受《个保法》的管辖。

  这一点和我国《数据安全法》保持了一致，《数据安全法》第2条规定，“在中华人民共和国境内开展数据处理活动及其安全监管，适用本法。在中华人民共和国境外开展数据处理活动，损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的，依照法律来追究法律责任。”

  这一点和GDPR《通用数据保护条例》也保持了一致，GDPR第3条第2款的规定“本法适用于对欧盟内的数据主体的个人数据处理，即使控制者和处理者没有设立在欧盟内，其处理行为：（a）发生在向欧盟内的数据主体提供商品或服务的过程中，无论此项商品或服务要不要数据主体支付对价；或（b）是对数据主体发生在欧盟内的行为进行的监控的。”

  个人隐私信息的处理包括个人隐私信息的收集、存储、使用、加工、传输、提供、公开、删除等。

  1.在本法出台之前，多部法律法规对“个人隐私信息”都进行了定义，笔者对此进行了汇总和对比。

  2.通过对“个人信息”定义的理解，能够最终靠下列路径判断何为“个人隐私信息”：

  3.“个人隐私信息的处理”：《个人隐私信息保护法》对于个人隐私信息处理的范围新增了“删除”，体现立法者对于个人隐私信息全生命周期保护的进一步强化，要求企业在个人信息的收集、存储、使用、加工、传输、提供、公开、删除等全生命周期落实合规义务。