国家网信办印发· 依据标准合同开展个人信息出境活动，应坚持自主缔约与备案管理相结合，防范个人信息出境安全风险，保障个人信息依法有

国家网信办印发· 依据标准合同开展个人信息出境活动，应坚持自主缔约与备案管理相结合，防范个人信息出境安全风险，保障个人信息依法有序自由流动。 · 符合特定情形的，可通过签订标准合同的方式向境外提供个人信息

中国拟立法赋予公民对个人信息更强的控制权。8月17日提交立法机关三读的《个人信息保护法》草案，新增了个人信息可携带权的规定。该条

中国拟立法赋予公民对个人信息更强的控制权。8月17日提交立法机关三读的《个人信息保护法》草案，新增了个人信息可携带权的规定。该条款若最终获得通过，个人信息跨平台转移将有法定依据。受访法律界人士表示，此举有利于防止互联网巨头的信息垄断，保障个人对其信息的决定权，也会增加企业成本，产业界对这一规定入法意见较大。 个人信息可携带权利由《个人信息保护法》草案三审稿第四十五条第三款规定，即“个人请求将其个人信息转移至其指定的个人信息处理者，符合国家网信部门规定条件的，个人信息处理者应当提供转移的途径”。根据立法流程，提交全国人大常委会会议审议的法律案，一般经三次审议后交付表决。有分析认为，这意味着个人信息保护立法工作已接近完成，正式的法律文本或将很快出台。 在初次征求意见阶段就有学者向财新记者表示，产业界就该法是否写入个人信息可携带权分歧较大，一些互联网巨头追求处理个人信息的自由度，减少企业责任和降低成本，所以反对写入或意见较多，以避免个人将数据转移至企业的竞争对手，因为个人数据被互联网企业视为重要资产。 个人信息可携带权由欧盟的《通用数据保护条例》（GDPR）第二十条创设，指的是数据主体有权获取其提供给数据控制者的个人数据，其所获取的个人数据应当是结构化的（structured）、经常使用的（commonly used）、可机读的（machine-readable），且不受障碍地将这些数据传输给其他数据控制者。这一权利被认为有利于防止企业利用数据优势形成垄断，利于强化个人对数据的控制，体现决定权。 中国人民大学法学院教授石佳友是呼吁立法明确个人信息可携带权的学者之一。他告诉财新记者，规定可携带权有助于打破信息垄断，促进信息共享流通，防止形成数据孤岛，同时强化个人的权利保护，使之能在更大程度上控制和利用个人信息。石佳友举例说，携号转网即是可携带权最常见的例子，即个人有权保留原手机号码而更换电信运营商。 石佳友表示，《个人信息保护法》草案三审稿写入相关条款，在立法上是一个很大的进步。但目前规定的可携带权写得较为原则，且前提是要“符合国家网信部门规定条件”，若该条款最终通过，仍有待网信部门出台实施细则。另外，可携带权的落实可能会增加企业的义务和成本，比如增加企业的额外工作量，或导致其流失客户资源，一直争议较大。此次立法料将对产业界产生重大影响。 《个人信息保护法》草案三审稿还有以下方面的修改：对App过度收集个人信息、“大数据杀熟”等作出针对性规范；将不满十四周岁未成年人的个人信息作为敏感个人信息；完善个人信息跨境提供的规则；完善死者个人信息保护的规定；对完善个人信息保护投诉、举报工作机制及违法处理个人信息涉嫌犯罪案件的移送提出明确要求等等。 （财新）

中国细化数据跨境流动规定 部分数据出境无需申报

中国细化数据跨境流动规定 部分数据出境无需申报 中国将细化向海外传输数据的规定，一些不包含个人信息或重要数据的，将不再需要申报数据出境安全评估。 综合新华社和彭博社报道，中国国家互联网信息办公室星期四（9月28日）起草《规范和促进数据跨境流动规定（征求意见稿）》（下称《征求意见稿》），对《数据出境安全评估办法》《个人信息出境标准合同办法》等数据出境规定进行细化，明确实际操作中的具体准则。 根据《征求意见稿》，对于数据量不大、不涉及关键敏感信息的个人数据传输者，将不再需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。 这些情况包括：国际贸易、学术合作、跨国生产制造和市场营销等活动中产生的数据出境；符合为订立、履行个人作为一方当事人的合同所必需，如跨境购物、跨境汇款、机票酒店预订、签证办理等必须向境外提供个人信息的；紧急情况下为保护自然人的生命健康和财产安全等，必须向境外提供个人信息的；按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理，必须向境外提供内部员工个人信息的。 此外，预计一年内向境外提供不满1万人个人信息的，及向境外提供1万人以上、100万人以下个人信息，与境外接收方订立个人信息出境标准合同并向省级网信部门备案或者通过个人信息保护认证的，能不申报数据出境安全评估。不过，向境外提供100万人以上个人信息的，仍须申报数据出境安全评估。 拟议规则在10月15日之前向公众开放征求意见。 彭博社报道称，数据出口限制是促使摩根士丹利将200多名技术开发人员迁出中国的原因之一。近几个月来，中国监管机构一直在寻求解决跨国公司的担忧，而严格的数据规定不仅困扰着跨国公司，也让他们担心自己可能会越界。

个人信息保护法 草案（三次审议稿）拟作七方面主要修改

个人信息保护法 草案（三次审议稿）拟作七方面主要修改 •限制过度收集用户个人信息 草案三审稿规定，处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。收集个人信息，应当限于实现处理目的的最小范围。 •不得向用户强制推送个性化广告 草案三审稿明确，个人信息处理者通过自动化决策方式向个人进行信息推送、商业营销，应当同时提供不针对其个人特征的选项，或者向个人提供拒绝的方式。 •将未成年人个人信息列为敏感个人信息 草案三审稿将不满十四周岁未成年人的个人信息作为敏感个人信息，并要求个人信息处理者对此制定专门的个人信息处理规则。 •明确逝者个人信息保护规则 草案三审稿明确，自然人死亡的，其近亲属为了自身的合法、正当利益，可以对死者的个人信息行使本章规定的查阅、复制、更正、删除等权利；死者生前另有安排的除外。 •健全投诉、举报机制 草案三审稿进一步压实各方责任，加强有关部门查处案件的协调配合。 •跨境转移个人信息保护不应低于中国保护标准 草案三审稿增加规定，个人信息处理者应当采取必要措施，保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。 •新增个人信息可携带权的规定 草案三审稿增加规定，个人请求将其个人信息转移至其指定的个人信息处理者，符合国家网信部门规定条件的，个人信息处理者应当提供转移的途径。 （，，） 最后一条 个人信息可携带权 还是很给力的，如果落实了就可以不用再羡慕欧洲 GDPR 人

吹尽狂沙始到金《个人信息保护法》有哪些亮点值得关注？

吹尽狂沙始到金《个人信息保护法》有哪些亮点值得关注？ 重典治乱象，追责清沉疴 个保法贯彻了保护个人信息权益、规范个人信息处理活动、促进个人信息合理利用三大立法目标，呈现出不少兼具理论高度和现实关怀的立法亮点。我们相信这部法律的颁行，对于用户和行业都将产生深远的影响。 少数派

《个人信息保护法（草案）》日前提请全国人大常委会二审。

《个人信息保护法（草案）》日前提请全国人大常委会二审。 多位全国人大常委会委员建议进一步明确监管部门的职责，将执法权限从县级上收至省级，细化“情节严重”时顶格处罚的规定，以避免执法者自由裁量权过大产生的不平衡等问题。 财新记者获悉，草案二审稿在民事责任方面强化了与民法典的衔接。草案一审稿规定，因个人信息处理活动侵害个人信息权益，个人信息处理者能证明自己没有过错的，可以减轻或者免除责任。草案二审稿根据过错推定责任原则，将其调整为，个人信息权益因个人信息处理活动受到侵害，个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任。这一调整被视为强化了民事诉讼中，企业自身举证的责任，而减轻了作为相对弱势方的个人的举证责任。 财新记者还了解到，此次草案二审稿提请全国人大常委会审议，有关监管体制、处罚和法律责任的问题再次引发热议。 在分组审议过程中，全国人大常委会委员吕薇建议提升监管层次，把对具有跨地域性的、具有全网特点的网络数据提升为省级以上部门监管，以体现中央事权的协调。她还表示，要依照《行政强制法》，对能够行使查封、扣押职权的部门、程序作出详细规定；进一步细化“情节严重”违法行为的类型，如，特别危害到重大的社会公共利益、国家安全的情形，要处以更严厉的处罚。 全国人大常委会委员孙建国对“多头治理”提出建议称，监管要突出主动，“作为信息化服务，出来一个软件、出来一个服务，相关部门都要责任很明确，不见得非要审批，但是要主动监管，主动检查信息服务，看这个协议符合不符合个人信息保护法的原则和规定”。另外，要突出关口前移，监管好收集环节，以及明确各部门的监管责任。“现在草案里看不到相关监管责任落到哪个部门，应该规定哪些部门的具体重要责任，这样人大监督才知道怎么监督，一些重点监管责任要在草案中写明确。” 针对“情节严重”的顶格处罚，全国人大常委会副委员长王东明指出，高额罚款能发挥法律的震慑作用，但其适用情节应进一步细化。“比如说什么是情节严重，这不太清楚，我担心实践中容易造成执法者自由裁量权过大，带来执法上的不平衡甚至混乱。” 王东明说。 全国人大常委会委员邓丽转述其接到的全国人大代表邱光和的材料称，保护个人信息应注意个人利益和社会利益的平衡，避免过度增加企业，特别是非专业从事信息处理业务，或以未基于信息处理活动开展主营业务类型企业的责任和负担。比如，草案二审稿在法律责任方面规定了“责令暂停相关业务”、“停业整顿”、“通报有关主管部门吊销相关业务许可或者营业执照”的重罚。而这是关系到企业生死存亡的行政处罚，其建议法律要慎用规定。 二审草案在完善个人信息保护相关原则的基础上，尤为强调对“超大型互联网平台”的监督。草案二审稿为此新增加了第57条规定，即提供基础性互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，应当履行下列义务：（一）成立主要由外部成员组成的独立机构，对个人信息处理活动进行监督；（二）对严重违反法律、行政法规处理个人信息的平台内的产品或服务提供者，停止提供服务；（三）定期发布个人信息保护社会责任报告，接受社会监督。 北京清律律师事务所首席合伙人、主任熊定中表示，主要由外部成员组成的独立机构能否见实效还有待观察。他说，对个人信息处理活动的监督不能仅看表面的隐私政策有没有写、用户协议有没有规范，还必须要了解企业处理个人信息运转的流程，但这中间又会涉及商业秘密。“这个涉及到企业本身很核心的商业机密，怎么让外部成员去监督？”熊定中担忧，这一规定在执行中极有可能流于形式，“比如邀请外部嘉宾看一看、介绍介绍、然后走一圈，就算完成监督了”。 同时，草案还从个人信息处理规则上，对此规定：通过自动化决策方式进行商业营销、信息推送，应当同时提供不针对其个人特征的选项，或者向个人提供拒绝的方式。 对于一审草案中对安装图像采集、个人身份识别设备相关条文中所指称的“公共场所”，全国人大常委会香港基本法委员会副主任谭惠珠认为，应进一步明确“公共场所”的定义：“公共场所应该是指整体上供不特定公众使用的地方，比如图书馆、博物馆、医院、商场、公共交通设施等，而不应该包括私人场所的附带区域。对于公共场所的解释应该采用目的论的办法，要看这个场所是为了不特定的公众服务，还是特定的个人服务。例如居民小区等本质上属于私人场所的地方，则不能够以维护公共安全为由强制使用个人身份识别的设备。” 全国人大常委会委员周敏建议，公共场所的监控设备所收集的个人图像、个人身份特征信息除了“只能用于维护公共安全的目的”之外，还应在法律条文中明确其“不得用于商业等其他目的”，以便对违法行为人追究法律责任。 目前，个人信息保护已成为中国民众最关心最直接最现实的利益问题之一。近些年，各方对个人信息保护立法的呼声不绝于耳。 早先在2020年10月，个人信息保护法草案首次提请全国人大常委会审议。当月，草案全文公开向社会征求意见。 （财新1，2，中新社，21世纪经济报道，央广）