企業合規視角下的《個人信息保護法 (草案) 》解讀
自2018年5月25日歐盟《一般數據保護條例》(以下簡稱GDPR)正式施行以來,受制于其全球管轄帶來的網絡主權危機,全球個人數據保護立法掀起層層高潮,美國、日本、新加坡、韓國、巴西、印度乃至阿聯酋等國家都陸續完成了相關個人數據立法工作。作為全球最大的互聯網市場,中國在法律層面一直沒有出臺針對個人數據的專門立法。萬千企盼之下,《個人信息保護法》(草案)(以下簡稱《草案》)正式全文發布。
《草案》全文共八章七十條,在總則、個人信息處理規則、個人信息跨境提供的規則、個人在個人信息處理活動中的權利、個人處理者的義務、履行個人信息保護職責的部門、法律責任和附則等多個層面設計和建構個人信息保護的立法框架。作為數據合規行業的資深從業者,我們最為關注的是與現有的個人信息保護規范體系,特別是標準GB/T 35273—2020《信息安全技術 個人信息安全規范》(以下簡稱《個人信息安全規范》)相比,《個人信息保護法》對于數據合規實務方面產生的重大影響。本文之目的亦在于從企業風控合規的實操角度觀察《個人信息保護法》(草案)可能對實務工作發生影響的以下【23】個重要條款。
第一章 總則部分
1. 個人信息的定義采用寬入口設計
個人信息是“以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息,不包括匿名化處理后的信息”。
從該定義可見,個人信息的定義采納了《個人信息安全規范》個人信息定義的最寬入口模式,無論是識別法(從信息到個人)或關聯法(從個人到信息)得到的信息均被認為是個人信息的范疇。該條款的設計實質上也與GDPR設計思路一致。
2. 適用范圍采用屬地屬人雙重適用原則
屬地屬人原則雙重適用。屬地原則方面,“組織、個人在中華人民共和國境內處理自然人個人信息的活動,適用本法“;屬人原則方面,”在中華人民共和國境外處理中華人民共和國境內自然人個人信息的活動,有下列情形之一的,也適用本法:
(一) 以向境內自然人提供產品或服務為目的;
(二) 為分析、評估境內自然人的行為;
(三) 法律、行政法規規定的其他情形。“
同時,《草案》亦在最末明確了不適用的情形,包括:
“(一)自然人因個人或者家庭事務而處理個人信息的,不適用本法。
(二)法律對各級人民政府及其有關部門組織實施的統計、檔案管理活動中的個人信息處理有規定的,適用其規定。”
3. 重要原則新增合法正當誠信原則、質量原則和協同治理原則
《草案》確立了七項重要原則,包括合法正當誠信原則,目的明確必要原則,透明原則,質量原則,責任和安全保護原則,禁止非法處理原則,協同治理原則。相對于合法正當誠信原則、質量原則和協同治理原則為新增原則。合法正當誠信原則,是指“處理個人信息應當采用合法、正當的方式,遵循誠信原則,不得通過欺詐、誤導等方式處理個人信息”;質量原則,是指“為實現處理目的,所處理的個人信息應當準確,并及時更新”;協同治理原則,是指“國家建立健全個人信息保護制度,預防和懲治侵害個人信息權益的行為,加強個人信息保護宣傳教育,推動形成政府、企業、相關行業組織、社會公眾共同參與個人信息保護的良好環境”。
第二章 個人信息處理規則
1. 新增處理信息的六大合法理由,且基于同意理由的處理需要賦予用戶撤回同意的權利
相比之前《個人信息安全規范》中采用的“告知同意 – 告知同意的例外”作為合法處理個人信息的適用框架,《草案》采用了與GDPR一致的立法邏輯,直接將告知同意作為處理個人信息的合法理由之一。同時,以“同意”作為合法理由處理個人信息,必須賦予用戶撤回同意的權利。
“第十三條 符合下列情形之一的,個人信息處理者方可處理個人信息:
(一)取得個人的同意;
(二)為訂立或履行個人作為一方當事人的合同所必需;
(三)為履行法定職責或者法定義務所必需;
(四)為應對突發公共衛生事件,或者緊急情況下為保護自然人的生命健康和財產安全所必需;
(五)為公共利益實施新聞報道,輿論監督等行為在合理的范圍內處理個人信息;
(六)法律,行政法規規定的其他情形。
第十六條 基于個人同意而進行的個人信息處理活動,個人有權撤回其同意。”
2. 同意的形式要件新增“單獨同意”
有關同意的規定中,主觀要件、形式要件、變更情形、未成年人同意的特殊要求和保障用戶可以拒絕同意的權利延續了原個人信息保護體系框架的要求。值得一提的是有關同意的形式要件新出現了“單獨同意”的描述。在此之前,單獨同意的類似概念曾作為《個人信息安全規范》要求個人信息控制者收集生物識別信息前獲取用戶同意的形式要件。與之相類似的概念,例如“明示同意【1】”至此將被“單獨同意”這個更為明確更容易理解的概念所取代。
“第十四條 處理個人信息的同意,應當由個人在充分知情的前提下,自愿、明確作出意思表示。法律、行政法規規定處理個人信息應當取得個人單獨同意或書面同意的,從其規定。”
3. 新增豁免告知的法定情形
合乎要求的告知義務是合法正當誠信原則和透明原則的重要體現。《草案》在有關告知的要求中,從一般告知內容,告知的形式、變更告知的情形等均作出了細致要求。除此之外,《草案》創設了兩項豁免告知的情形,分別是基于保密義務的豁免,和基于緊急情況的豁免:
“第十九條 個人信息處理者處理個人信息,由法律,行政法規規定應當保密或者不需要告知的情形的,可以不向個人告知前條規定的事項。
緊急情況下為保護自然人的生命健康和財產安全無法及時向個人告知的,個人信息處理者應當在緊急情況消除后予以告知。”
“共同處理”替代了“共同控制”概念,并將二者共同推向責任承擔的前臺
《草案》定義了共同處理者的概念,不再區分個人信息控制者和處理者。但也應澄清,除了概念上的重新定義,二者的責任承擔方式也由《個人信息安全規范》中的前后臺模式轉變為共同面向個人主體的連帶責任模式,且相關的連帶責任包括了合同責任和侵權責任的雙方面連帶。
“第二十一條 兩個或者兩個以上的個人信息處理者共同決定個人信息的處理目的和處理方式的,應當約定各自的權利和義務。但是,該約定不影響個人向其中任何一個個人信息處理者要求行使本法規定的權利。
個人信息處理者共同處理個人信息,侵害個人信息權益的,依法承擔連帶責任。“
4. 向第三方提供的告知同意更為嚴格,匿名化信息不得重新識別
作為個人信息權利極易遭到漠視和侵犯的缺口,向第三方提供和共享個人信息已逐步受到監管的嚴密關注。在《草案》中,向第三方提供個人信息需要履行相當嚴格的義務,包括但不限于(1)事先的充分告知和單獨同意;(2)第三方受到嚴格的處理限制,且額外要求第三方不得對匿名化信息采取技術手段重新識別。
“第二十四條 個人信息處理者向第三方提供其處理的個人信息的,應當向個人告知第三方的身份、聯系方式、處理目的、處理方式和個人信息的種類,并取得個人的單獨同意。接收個人信息的第三方應當在上述處理目的、處理方式和個人信息的種類等范圍內處理個人信息。第三方變更原先的處理目的、處理方式的,應當依照本法規定重新向個人告知并取得其同意。
個人信息處理者向第三方提供匿名化信息的,第三方不得利用技術等手段重新識別個人身份。”
5. 自動化決策及其營銷使用場景合并規制,邏輯更加通順
在原有的個人信息保護體系中,自動化決策、個性化展示、以及拒絕營銷權均分散表述,對于從業者而言曾引起很多誤解和爭議。本次《草案》從自動化決策的基本決策邏輯應遵守透明和公平原則入手,在決策對個人權益造成重大影響時賦予個人主體拒絕權,并直接限制了自動化決策最為普遍的應用場景“商業營銷、信息推送”中應向個人提供“不針對其個人特征的選項”。該條款再次體現了《草案》通順的邏輯和簡明實用的立法技術風格。
“第二十五條利用個人信息進行自動化決策,應當保證決策的透明度和處理結果的公平合理。個人認為自動化決策對其權益造成重大影響的,有權要求個人信息處理者予以說明,并有權拒絕個人信息處理者僅通過自動化決策的方式作出決定。
通過自動化決策方式進行商業營銷、信息推送,應當同時提供不針對其個人特征的選項。”
6. 公開個人信息及使用公開的個人信息的特別限制
沿用已有的個人信息保護體系,除非取得個人單獨同意或者法律、行政法規另有規定的,個人信息處理者不得公開其處理的個人信息。值得一提的是,作為對公開的個人信息遭到毫無門檻的獲取的現狀的回應,《草案》對于已公開信息的處理作出特別限制,核心主要在于關注已公開信息在公開時的用途,以及使用此類公開信息的用途,具體體現為:(1)只能在合理范圍內處理;(2)超出合理范圍的處理應當重新告知并取得同意;(3)被公開的用途不明確的應當謹慎處理;(4)使用用途為對個人有重大影響的活動時應重新告知個人并取得同意。
“第二十六條 個人信息處理者不得公開其處理的個人信息;取得個人單獨同意或者法律、行政法規另有規定的除外。
第二十八條 個人信息處理者處理已公開的個人信息,應當符合該個人信息,被公開時的用途;超出與該用途相關的合理范圍的,應當依本法規定向個人告知并取得其同意。
個人信息被公開時的用途不明確的,個人信息處理者應當合理、謹慎的處理已公開的個人信息;利用已公開的個人信息從事對個人有重大影響的活動,應當依照本法規定向個人告知并取得其同意。”
7. 新增公共場所采集圖像的特別安排
出于公共安全的需要以及避免公權力的濫用,《草案》制訂了有關公共場所采集個人圖像和個人身份特征信息的條款,并限制了其安裝設備和使用信息目的,要求其設置顯著提示。該條款明顯是對國際潮流的順應【2】,但對于何為個人身份特征信息尚有待進一步的解釋和收口。
“第二十七條 在公共場所安裝圖像采集、個人身份識別設備,應當為維護公共安全所必需,遵守國家有關規定,并設置顯著的提示標識。所收集的個人圖像,個人身份特征信息只能用于維護公共安全的目的,不得公開,或者向他人提供;取得個人單獨同意或者法律、行政法規另有規定的除外。”
8. 設專節對處理敏感個人信息作出嚴格限制
敏感個人信息在草案中的定義采用了概念與示例的方式,強調這類個人信息的歧視性后果或造成人身、財產安全的嚴重危害的后果,相對于《個人信息安全規范》的個人敏感信息列表,“民族”“種族“首次被明確列舉。敏感個人信息處理的嚴格限制體現在(1)處理前提是特定目的和充分的必要性;(2)基于個人同意處理的應獲得單獨同意或書面同意;(3)征得同意的告知事項增加告知處理敏感個人信息的必要性以及對個人的影響;(4)法律、行政法規規定處理敏感個人信息應當取得相關行政許可或者作出更嚴格限制的,從其規定。
“第二十九條 個人信息處理者具有特定的目的和充分的必要性,方可處理敏感個人信息。
敏感個人信息是一旦泄露或者非法使用,可能導致個人受到歧視或者人身、財產安全受到嚴重危害的個人信息,包括種族、民族、宗教信仰、個人生物特征、醫療健康、金融賬戶、個人行蹤等信息。
第三十條 基于個人同意處理敏感個人信息的,個人信息處理者應當取得個人的單獨同意。法律、行政法規規定處理敏感個人信息應當取得書面同意的,從其規定。
第三十一條 個人信息處理者處理敏感個人信息的,除本法第十八條規定的事項外,還應當向個人告知處理敏感個人信息的必要性以及對個人的影響。
第三十二條 法律、行政法規規定處理敏感個人信息應當取得相關行政許可或者作出更嚴格限制的,從其規定。“
第三章 個人信息跨境提供的規則
1. 捋順了個人信息跨境提供需要滿足的前提條件
在原有個個人信息保護體系下,個人信息跨境提供的規則難以捉摸。《草案》對個人信息跨境需要滿足的必要前提進行了整合,并將向個人主體的告知和獲取個人主體的單獨同意作為另一必要前提條件。
此外,除了關鍵信息基礎設施運營者應當將在中國境內收集和產生的個人信息存儲在境內外,處理個人信息達到國家網信部門規定數量的個人信息處理者,同樣也受到了前述境內存儲約束。二者若確需向境外提供個人信息的,應當通過國家網信部門組織的安全評估。
“第四十條 關鍵信息基礎設施運營者和處理個人信息達到國家網信部門規定數量的個人信息處理者,應當將在中華人民共和國境內收集和產生的個人信息存儲在境內。確需向境外提供的,應當通過國家網信部門組織的安全評估;法律、行政法規和國家網信部門規定可以不進行安全評估的,從其規定。”
2. 國際執法協助擴展至行政執法協助,新增個人數據管制和反制條款
出于在全球數據治理博弈中對中國個人數據主體和數據主權的保護,也出于在國際關系中取得微妙的平衡,本次《草案》首次創制了對個人數據的管制和反制條款,具體體現的措施為將管制和反制對象列入限制或禁止個人信息提供的清單。管制和反制的適用條件也進行了嚴格限制。其中管制的對象為:從事損害了中國數據主體權益或危害中國國家安全、公共利益的個人信息處理活動的境外機構和個人;而反制的對象則是:對中國采取歧視性的禁止、限制或者其他類似措施的國家和地區。
“第四十一條 因國際司法協助或者行政執法協助,需要向中華人民共和國境外提供個人信息的,應當依法申請有關主管部門批準。
中華人民共和國締結或者參加的國際條約、協定對向中華人民共和國境外提供個人信息有規定的,從其規定。
第四十二條 境外的組織、個人從事損害中華人民共和國公民的個人信息權益,或者危害中華人民共和國國家安全、公共利益的個人信息處理活動的,國家網信部門可以將其列入限制或者禁止個人信息提供清單,予以公告,并采取限制或者禁止向其提供個人信息等措施。
第四十三條 任何國家和地區在個人信息保護方面對中華人民共和國釆取歧視性的禁止、限制或者其他類似措施的,中華人民共和國可以根據實際情況對該國家或者該地區采取相應措施。”
第四章 個人在個人信息處理活動中的權利
個人信息主體權利的全面構建
與原有的個人信息保護體系相比,《草案》對于個人信息主體權利進行了梳理和匯總,從8個方面賦予個人信息主體權利:(1)知情權(透明原則的權利落地);(2)決定權;(3)限制權;(4)拒絕權;(5)查閱、復制權;(6)更正、補充權;(7)刪除權;(8)規則解釋權。
在備受關注的刪除權方面,《草案》對個人信息處理者提出了一項類似“行為中止”的刪除權救濟保障,即,如果個人信息主體要求行使刪除權但實際上保存期限尚未屆滿,或技術上存在很大困難的,則個人信息處理者應當中止/停止處理個人數據以作為對用戶刪除權的救濟。
“第四十四條 個人對其個人信息的處理享有知情權、決定權,有權限制或者拒絕他人對其個人信息進行處理;法律、行政法規另有規定的除外。
第四十五條 個人有權向個人信息處理者查閱、復制其個人信息;有本法第十九條第一款規定情形的除外。
個人請求查閱、復制其個人信息的,個人信息處理者應當及時提供。”
第四十六條 個人發現其個人信息不準確或者不完整的,有權請求個人信息處理者更正、補充。
個人請求更正、補充其個人信息的,個人信息處理者應當對其個人信息予以核實,并及時更正、補充。
第四十七條 有下列情形之一的,個人信息處理者應當主動或者根據個人的請求,刪除個人信息:
(一) 約定的保存期限已屆滿或者處理目的已實現;
(二) 個人信息處理者停止提供產品或者服務;
(三) 個人撤回同意;
(四) 個人信息處理者違反法律、行政法規或者違反約定處理個人信息;
(五) 法律、行政法規規定的其他情形
法律、行政法規規定的保存期限未屆滿,或者刪除個人信息從技術上難以實現的,個人信息處理者應當停止處理個人信息。
第四十八條 個人有權要求個人信息處理者對其個人信息處理規則進行解釋說明。
第四十九條 個人信息處理者應當建立個人行使權利的申請受理和處理機制。拒絕個人行使權利的請求的,應當說明理由。”
第五章 個人信息處理者的義務
1. 強調信息專員制要求,建立負責人報送備案機制
《草案》強調負責人監督管理職責以及責任人個人姓名和聯系方式的對外披露要求,個人信息保護責任負責人的設置條件(即處理個人信息數量級別)根據國家網信部門的規定。另外需要注意的是本次《草案》要求個人信息處理者應將個人信息保護負責人的相關聯絡性信息報送履行個人信息保護職責的部門,該等向政府的強制性報備機制的操作方式有待明確。另外,此次立法層面只是固化了《個人信息安全規范》中負責專員的機制,但沒有強制、個人信息保護工作機構的部門設置要求,為中小企業在部門架構設置進行緩沖。
第五十一條 處理個人信息達到國家網信部門規定數量的個人信息處理者應當指定個人信息保護負責人,負責對個人信息處理活動以及采取的保護措施等進行監督。
個人信息處理者應當公開個人信息保護負責人的姓名、聯系方式等,并報送履行個人信息保護職責的部門。
2. 建立境外個人信息處理者的溝通路徑
針對中國境外個人信息處理者活動的監管溝通路徑,《草案》要求設立境內專門機構或指定境內代表,并要求履行溝通渠道的報送義務,該項規定彌補了一直以來針對境外機構監管的敞口,與《草案》的域外管轄擴展落地直接呼應,也是與歐盟GDPR等域外個人信息保護法的機制保持一致性的對等要求。因此,對于可能觸發《草案》適用的外國組織應做好中國境內機構或指定代表的準備。
第五十二條 本法第三條第二規定的中華人民共和國境外的個人信息處理者,應當在中華人民共和國境內設立專門機構或者指定代表,負責處理個人信息保護相關事務,并將有關機構的名稱或者代表的姓名、聯系方式等報送履行個人信息保護職責的部門。
3. DPIA強制義務場景具象化
高風險處理活動評估(DPIA)是是個人信息處理者合規經營持續化自主運轉以及滿足自證要求的最重要渠道之一。但此前,我國DPIA的規定處于《個人信息安全規范》非強制性標準級別,大多數企業也未將評估作為必備內控手段。《草案》此次將DPIA要求提升至法律強制性要求,對于企業內部合規制度建設提出更嚴格要求。相比《個人信息安全規范》 存在的“高風險”性籠統場景性規定(產品或服務發布前、業務功能發生重大變化時、法律法規有新的要求時、業務模式、信息系統、運行環境發生重大變更時、發生重大個人信息安全事件時),《草案》提出的強制性DPIA要求則從更加具體化的處理活動為出發點 ---處理敏感個人信息、利用個人信息進行自動化決策、委托處理個人信息、向第三方提供個人信息、公開個人信息、向境外提供個人信息,對于處理者來說DPIA的遵循執行上《草案》減少內部判斷繁瑣和不確定性風險。另外,對于風險評估報告和處理情況記錄保存時間提出了至少三年的期限性要求,也應作為企業檔案保管制度新變化點。
第五十四條 個人信息處理者應當對下列個人信息處理活動在事前進行風險評估,并對處理情況進行記錄:
(一)處理敏感個人信息;
(二)利用個人信息進行自動化決策;
(三)委托處理個人信息、向第三方提供個人信息、公開個人信息;
(四)向境外提供個人信息;
(五)其他對個人有重大影響的個人信息處理活動。
風險評估的內容應當包括:
(一)個人信息的處理目的、處理方式等是否合法、正當必要;
(二)對個人的影響及風險程度;
(三)所采取的安全保護措施是否合法、有效并與風險程度相適應。
風險評估報告和處理情況記錄應當至少保存三年。
第六章 履行個人信息保護職責的部門
1. 個人信息保護職責部門的定義、層級及職責范圍更加清晰
《草案》下,個人信息保護職責部門的層級劃分及職責范圍如下表所列;履行個人信息保護職責的部門的具體職責主要包括:(1)宣導和監督;(2)受理投訴和舉報;(3)調查處理違法個人信息處理活動。
“第五十六條 國家網信部門負責統籌協調個人信息保護工作和相關監督管理工作。國務院有關部門依照本法和有關法律,行政法規的規定在各自職責范圍內負責個人信息保護和監督管理工作。
縣級以上地方人民政府有關部門的個人信息保護和監督管理職責,按照國家有關規定確定。
前兩款規定的部門統稱為履行個人信息保護職責的部門。”
第五十七條 履行個人信息保護職的部門履行下列個人信息保護職責:
(一)開展個人信息保護宣傳教育,指導、監督個人信息處理者開展個人信息保護工作;
(二)接受、處理與個人信息保護有關的投訴、舉報;
(三)調査、處理違法個人信息處理活動;
(四)法律、行政法規規定的其他職責。
2. 推動標準和認證體系建設
與《網絡安全法》重視標準建設的原則一致,《草案》在“”履行個人信息保護職責的部門”專章中設有專門條款強調其標準建設的工作職能。同時,《草案》將個人信息保護評估、認證服務納入到個人信息保護社會化服務體系建設當中,呼應了重要原則中的“協同治理原則”,但哪些機構有權開展、開展流程以及認證結論的時效性等問題仍有待關注具體的實施細則如何確定。
“第五十八條 國家網信部門和國務院有關部門按照職責權限組織制定個人信息保護相關規則、標準,推進個人信息保護社會化服務體系建設,支持有關機構開展個人信息保護評估、認證服務。”
第七章 法律責任
1. 顯著提高行政責任處罰標準
在《草案》草案中,行政責任的處罰標準在延續原有的《網絡安全法》的百萬處罰標準基礎上,新設了“情節嚴重”的處罰標準,并將單位罰金提高至“五千萬元以下或者上一年度營業額百分之五以下”,直接負責的主管人員和其他直接責任人員罰金提高至“十萬元以上一百萬元以下”,并同時可導致業務暫停乃至“吊銷相關業務許可”的嚴厲處罰。
該處罰明顯借鑒了GDPR中2000萬歐元或者企業上一年度全球營收的4%(兩者取其高)罰款的嚴厲處罰思路,也反映了監管對于整肅個人信息處理市場、打擊違法處理個人信息的決心。
第六十二條 違反本法規定處理個人信息,或者處理個人信電未按照規定采取必要的安全保護措施的,由履行個人信息保護職責的部門責令改正,沒收違法所得,給予警告;拒不改正的,并處一百萬元以下罰款;對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。
有前款規定的違法行為,情節嚴重的,由履行個人信息保護職責的部門責令改正,沒收違法所得,并處五千萬元以下或者上一年度營業額百分之五以下罰款,并可以責令暫停相關業務、停業整頓、通報有關主管部門吊銷相關業務許可或者吊銷營業執照;對直接負責的主管人員和其他直接責任人員處十萬元以上一百萬元以下罰款。
2. 明確了民事責任法定賠償制度,明確采用過錯推定責任原則
民事責任賠償制度一直是個人信息保護中的弱項,《草案》規定的民事責任賠償制度非常類似知識產權中的“法定賠償制度”。即,可證明損失或獲益的,以具體損失或獲益承擔賠償責任;難以計算損失或獲益的,由人民法院酌定賠償數據。可見,與知識產權法定賠償制度的由來一致,個人信息侵權賠償亦存在權利性質的特殊性和損失難以計算的屬性,同時筆者也相信,在該具體條款的適用中,也將面臨與知識產權法定賠償條款雷同的困難,諸如如何證明已經滿足適用法定賠償的前提,侵犯個人信息主體多項權利時如何計算法定賠償額,各區域是否存在統一的賠償量化標準等,屆時我們亦將拭目以待具體的落地細則如何解決實際操作中可能存在的困難。
同時需要注意的是,《草案》明確個人信息民事侵權賠償適用過錯推定原則。根據《民法典》第1165條的規定,“行為人因過錯侵害他人民事權益造成損害的,應當承擔侵權責任。依照法律規定推定行為人有過錯,其不能證明自己沒有過錯的,應當承擔侵權責任。”對于個人信息處理者來說,過錯推定原則的適用意味著個人信息處理者必須時刻注意履行“自證合規”義務,在日常的處理活動中嚴守合規制度,并做好相應的記錄和存證。
“第六十五條 因個人信息處理活動侵害個人信息權益的,按照個人因此受到的損失或者個人信息處理者因此獲得的利益承擔賠償責任;個人因此受到的損失和個人信處理者因此獲得的利益難以確定的,由人民法院根據實際情況確定賠償數額。個人信息處理者能夠證明自己沒有過錯的,可以減輕或者免除責任。”
3. 公益訴訟制度浮出水面
《草案》提出個人信息權益保護的公益訴訟制度。如同《民事訴訟法》中對公益訴訟主體的定義,“人民檢察院、履行個人信息保護職責的部門和國家網信部門確定的組織”仍是一個未見蹤影卻被寄予厚望的機構,但不可否認的是,公益訴訟制度的提出意味著監管當局已經注意到了廣大公民個人信息遭受侵犯而無力承擔訴訟成本的現狀,而我們也相信該現狀將在近年內從多個層面得到有力遏制。
“第六十六條 個人信息處理者違反本法規定處理個人信息。侵害眾多個人的權益的,人民檢察院、履行個人信息保護職責的部門和國家網信部門確定的組織可以依法向人民法院提起訴訟。”
