《M88 app保护法（草案）》公布并征求意见

一、立法历程和重要意义

2020年10月21日，经第十三届全国人大常委会第二十二次会议审议后，《中华人民共和国M88 app保护法（草案）》（以下简称“《草案》”）全文正式在中国人大网公布，并向社会征求意见。

M88 app保护法的立法历经多个重要阶段：2018年9月7日，《M88 app保护法》首次列入十三届全国人大常委会立法规划¹；同年，全国人大常委会法工委会同中央网信办开始着手研究起草；2019年12月16日，经第十三届全国人民代表大会常务委员会第四十四次委员长会议原则通过，制定《M88 app保护法》被明确列入全国人大常委会2020年度立法工作计划²。如今，《草案》的正式发布意味着我国第一部M88 app保护专门法的出台加速，M88 app将拥有更加完善、全面、系统的法律保护体系。

二、草案的重点内容

《草案》共计八章七十条。总体上看，《草案》聚焦目前M88 app保护的突出问题，对散见于《网络安全法》、《民法典》等法律法规中的M88 app保护相关规定进行全面的、系统性的整合，进一步落实M88 app保护责任，并加大违法行为惩处力度。《草案》的重点内容总结如下：

1、适用范围

《草案》除了规定“组织、个人在中华人民共和国境内处理自然人M88 app的活动适用本法”外，还赋予了必要的域外适用效力。《草案》第三条第二款规定，“以向境内自然人提供产品或者服务为目的，或者为分析、评估境内自然人的行为等发生在我国境外的M88 app处理活动，也适用本法”。第五十二条则规定，上述第三条第二款规定的境外的M88 app处理者，应当在中华人民共和国境内设立专门机构或者指定代表，负责处理M88 app保护相关事务，并将有关机构的相关信息报送M88 app保护主管部门。

2、重要概念界定

《草案》第四条对“M88 app”及“M88 app的处理”分别做出定义。其中，M88 app指“以电子或者其他形式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息”。“M88 app的处理”包括M88 app的收集、存储、使用、加工、传输、提供、公开等活动。

《草案》规定的法律义务大部分针对M88 app处理者。根据第六十九条规定，“M88 app处理者”是指自主决定处理目的、处理方式等M88 app处理事项的组织、个人。

3、处理M88 app的基本规则

《草案》第二章规定了M88 app处理的规则，其中的重点内容及简要分析如下：

• M88 app处理的法律基础。符合法定情形的方可处理M88 app，包括：个人的同意、订立或者履行个人作为一方当事人的合同所必需、为履行法定职责或义务所必需、应对突发公共卫生事件或紧急状况下保护自然人生命健康或财产安全所必需、新闻报道及舆论监督等合理范围内的M88 app处理以及法律法规规定的其他情形。（第十三条）

• M88 app处理的告知与同意要求。M88 app处理者在处理M88 app前，应以显著的方式、清晰易懂的语言向个人告知特定事项，个人对处理其M88 app的同意应当在其充分知情的基础上自愿、明确作出。法律、行政法规规定处理M88 app应取得个人单独同意或书面同意的，从其规定。根据法律、法规M88 app处理活动应保密或不需要告知的情形除外。（第十四、十八、十九条）“单独同意”的概念系首次提出。

• 未成年人M88 app的处理。未满14岁的未成年人M88 app的处理应取得其监护人同意。（第十五条）

4、 共同处理、委托处理、分享、转移M88 app的规则

• 共同处理。两个或两个以上M88 app处理者共同决定M88 app处理目的与处理方式的，应当约定各自的权利和义务，但是，该约定不影响个人向其中任何一个M88 app处理者要求行使本法规定的权利。M88 app处理者共同处理M88 app，如侵害M88 app权益应承担连带责任。（第二十一条）上述内容系首次规定了M88 app主体向M88 app共同处理者其中任意一方的权利请求权以及处理者之间的连带责任问题。

• 委托处理与分享M88 app。M88 app处理者委托处理M88 app的，应与受托方约定委托处理的目的、处理方式等内容，受托方应在约定范围内处理M88 app。（第二十二条）

• 分享M88 app。M88 app处理者向第三方提供其处理的M88 app的，应向个人告知第三方的身份、联系方式、处理目的等信息，并取得个人的单独同意。接收M88 app的第三方应在上述告知范围内处理M88 app。（第二十四条）

• 合并分立时的M88 app转移。M88 app处理者因合并、分立等原因需要转移M88 app的，应当向个人告知接收方的身份、联系方式，接收方应继续履行M88 app处理者的义务，若接收方变更原先的处理目的、处理方式的，应重新获取个人的同意。（第二十三条）

5、处理敏感M88 app的特殊规则

《草案》对敏感M88 app的处理规则做了专门的规定。其中，敏感M88 app是指一旦泄露或者非法使用，可能导致个人受到歧视，或者人身、财产安全受到严重危害的M88 app，包括种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等信息。（第二十九条）处理敏感M88 app需具有特定的目的和充分的必要性，并需要取得个人的单独同意；法律法规另有规定需取得书面同意的，从其规定；法律、行政法规规定处理敏感M88 app应当取得相关行政许可或者作出更严格限制的，从其规定。（第三十至三十二条）。

6、M88 app跨境规则

《草案》明确了M88 app跨境传输的法定规则，包括至少满足以下任一条件：通过国家网信部门组织的安全评估；专业机构进行M88 app保护认证；与境外接收方签订合同约定双方权利义务并监督其M88 app处理活动达到本法规定的保护标准；以及法律法规或国家网信部门规定的其他条件。（第三十八条）

而其中，对于关键信息基础设施运营者和处理M88 app达到国家网信部门规定数量的处理者，规定了M88 app存储本地化的要求，确需向境外提供M88 app的，必须通过国家网信部门组织的安全评估。（第四十条）此外，《草案》对跨境提供M88 app的“告知—同意”作出更严格的要求。

《草案》同时规定了对因国际司法协助或者行政执法协助，需要向境外提供M88 app的主管部门批准要求、损害中国公民M88 app权益的组织与个人的负面清单要求、以及在M88 app保护方面对我国采取歧视性的不合理措施的国家和地区的反歧视要求。（第四十一、四十二、四十三条）

7、M88 app主体的权利

作为M88 app保护法律制度的核心内容之一，《草案》较为全面地规定了个人在M88 app处理活动中的权利。其中包括知情权与决定权、查询与复制权、请求M88 app处理者更正与补充的权利、删除权等。此外，《草案》还强调了个人撤回对M88 app处理的同意、拒绝处理其M88 app、拒绝自动化决策的处理方式等相关权利。《草案》亦明确要求对应的M88 app处理者建立个人行使权利的申请受理和处理机制。

8、强化M88 app处理者的义务

《草案》明确了M88 app处理者的合规管理和保障M88 app安全等义务，包括要求其按照规定采取必要措施确保M88 app处理活动的合规性与安全性、处理M88 app达到国家网信部门规定数量的M88 app处理者应指定M88 app保护负责人对其M88 app处理活动进行监督、定期对其M88 app处理活动进行合规审计；对处理敏感M88 app、向境外提供M88 app等高风险处理活动，应事前进行风险评估；履行M88 app泄露通知和补救义务等。

9、履行M88 app保护职责的部门及职责

《草案》第六章规定了履行M88 app保护职责的部门的相关内容，其中确立了M88 app保护监管的基本体系：国家网信部门负责统筹协调，国务院有关部门、县级以上地方人民政府有关部门在各自职责范围内负责M88 app保护和监督管理工作。并规定了负责信息保护职责的部门可采取的相应行政措施。

10、法律责任

《草案》对违法行为加大惩处力度，设置了严格的法律责任。例如，“侵害M88 app权益的违法行为，情节严重的，没收违法所得，并处五千万元以下或者上一年度营业额百分之五以下罚款”、“对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款”。（第六十二条）《草案》还增加了“记入信用档案”的处罚机制，（第六十三条）相比于此前《网络安全法》等相关规定，《草案》对M88 app相关的违法行为处罚力度更大。

《草案》同时对侵害M88 app权益的民事赔偿与刑事责任做出规定。因M88 app处理活动侵害M88 app权益的，按照个人所受损失或者M88 app处理者所获利益确定赔偿数额，上述数额无法确定的，由人民法院根据实际情况确定赔偿数额。M88 app处理者能够证明自己没有过错的，可以减轻或免除责任；（第六十五条）违反本法规定构成犯罪的，追究刑事责任。（第六十七条）

11、 其他新要求

《草案》中同时包括下列新的要求及特殊规定：

• 关于公众场所采集图像、个人身份识别信息的特殊要求。《草案》对公共场所人脸识别技术的应用进行了规制，包括：在公共场所安装图像采集、个人身份识别设备，应当为维护公共安全所必需，遵守国家有关规定，并设置显著的提示标识。所收集的个人图像、个人身份特征信息只能用于维护公共安全的目的，不得公开或向他人提供，取得个人单独同意或者法律法规另行规定的除外。（第二十七条）

• 国家机关处理M88 app也明确纳入监管范围。《草案》首次明确将国家机关处理M88 app的活动纳入规制范围，并规定了国家为履行法定职责处理M88 app的基本规则：包括按规定的权限、程序进行，不得超出履行法定职责所必需的范围和限度；向个人告知并取得同意（法律规定应当保密或者会妨碍履行职责的除外）；原则上国家机关不得公开或向他人提供其处理的M88 app；国家机关处理的M88 app应在境内存储等要求。（第三十四至三十七条）

三、 我们的观察

《草案》作为我国第一部M88 app保护的专门法律，将成为建立我国M88 app保护法律制度的重要法律基础。从《草案》内容来看，其与目前规定有M88 app保护内容的法律、法规或草案（包括《民法典》、《网络安全法》等）在内容上保持了一定程度的一致性，但同时也提出了不少新的要求及新的规定。《草案》的具体条款如何与上述法律法规衔接，以及适用范围如何划分，仍有待清晰。《草案》也存在若干尚待明确和完善的内容，例如“单独同意”的定义，M88 app跨境传输的安全评估、保护认证如何进行等，目前尚不清晰，有待后续的立法完善或相关细则和解释的进一步出台。

《草案》的出台将进一步加强我国公民的M88 app保护，同时对企业的M88 app保护合规工作也提出了更多的挑战，相比于此前的法律规定，《草案》不仅提出了很多新的要求，也规定了严格的处罚措施。我们建议企业充分理解《草案》的相关内容，在《M88 app保护法》正式颁布前尽快对目前企业合规工作中的不足之处进行总结和整改。针对目前《草案》中规定但实践中尚未落实的制度或规定，例如M88 app跨境传输安全认证等，及时做好预先准备。

1. http://www.legaldaily.com.cn/rdlf/content/2018-09/10/content_7641460.htm

2. http://www.npc.gov.cn/npc/c30834/202006/b46fd4cbdbbb4b8faa9487da9e76e5f6.shtml