《个人信息保护法》实施两周年 观察报告 2023 年 11 月 前 言 2021 年 8 月 20 日，十三届全国人大常委会第三十次会 议表决通过《中华人民共和国个人信息保护法》，并于 2021 年 11 月 1 日正式施行，开启我国个人信息保护法治建设新 篇章。 《个人信息保护法》共八章 74 条，坚持发展与安全并 重，对内总结我国数十年治理经验，对外吸收借鉴国际立法， 以个人信息权益保护与个人信息合理利用为内在平衡，明确 我国个人信息保护原则、个人信息处理活动规则、个人信息 跨境提供规则、个人信息处理者义务、个人信息主体权益保 障、个人信息保护机制等重点内容，为个人信息保护提供了 更具系统性、针对性和可操作性的法律遵循，回应广大人民 群众最关心最直接最现实的利益问题，有效推进依法治网和 依法用网，推动营造良好数字生态，护航数字经济健康繁荣 发展。 徒法不足以自行，法律的生命在于实施。《个人信息保 护法》的颁行意味着有法可依的问题总体上解决了，个人信 息保护相关立法工作告一段落，但仍然需要在实践中通过执 法、司法、守法等各环节推进个人信息保护法治的实施，维 护法律的权威。本报告围绕制度推进、行政执法、司法实践、 公众感知等方面，多维度观察《个人信息保护法》实施两周 年以来的主要进展。 目录 一、 制度进展观察 ..................................................................................................................... 1 （一） 个人信息出境监管制度正式出台 .................................................................. 1 （二） 重点制度配套实施细则稳步推进 .................................................................. 6 （三） 个人信息保护技术标准扎实推进 ................................................................10 二、 执法重点观察 ...................................................................................................................14 （一） 网信部门 .............................................................................................................. 14 （二） 电信行业主管部门 ............................................................................................17 （三） 公安部门 .............................................................................................................. 19 （四） 市场监督管理部门 ............................................................................................20 （五） 其他主管部门 .....................................................................................................22 三、 司法实践观察 ...................................................................................................................24 （一） 审判实践 .............................................................................................................. 24 （二） 检察实践 .............................................................................................................. 27 四、 公众感知观察 ...................................................................................................................31 （一） 用户个人信息保护感知度问卷调查 ........................................................... 31 （二） 个人信息保护数据统计分析 ......................................................................... 42 一、制度进展观察 《个人信息保护法》十年磨一剑，从基本法层面奠定了 我国个人信息保护法治的顶层设计，与此同时，《个人信息 保护法》也通过法律授权方式，授权国家网信部门等履行个 人信息保护职责的部门制定相关个人信息保护规则、标准， 细化《个人信息保护法》确立的各项制度。《个人信息保护 法》实施两年来，国家网信部门等履行个人信息保护职责的 部门，坚持促进发展和监管规范两手抓、两手都要硬，在深 入贯彻《个人信息保护法》的基础上，基于法律授权，针对 各界关切、百姓关切的突出问题，加快推进《个人信息保护 法》相关配套制度的细化落实，保障《个人信息保护法》有 效实施。 （一）个人信息出境监管制度正式出台 《个人信息保护法》第三章专章规定了个人信息跨境提 供的规则，并在第 38 条构建安全评估、认证、标准合同和 其他条件等多种个人信息出境路径，满足个人信息处理者多 样化的个人信息出境需求。《个人信息保护法》实施以来， 为进一步规范数据出境活动，保护个人信息权益，维护国家 安全和社会公共利益，促进数据跨境安全、自由流动，国家 互联网信息办公室先后推动《数据出境安全评估办法》《个 人信息出境标准合同办法》两部部门规章，并联合国家市场 监管总局发布《关于实施个人信息保护认证的公告》及《个 1 人信息保护认证实施规则》。 2023 年 9 月 28 日，国家互联网信息办公室发布《规范 和促进数据跨境流动规定（征求意见稿）》，对《数据出境 安全评估办法》、《个人信息出境标准合同办法》等数据出 境规定的施行作出细化调整，预示着国家网信部门将结合数 据出境监管实践，持续探索保障国家数据安全与保护个人权 益的平衡范式、规范和促进数据依法有序自由流动方面的中 国方案。 1．个人信息出境安全评估机制 2022 年 5 月 19 日，国家互联网信息办公室通过《数据 出境安全评估办法》，自 2022 年 9 月 1 日起施行。《数据 出境安全评估办法》共 20 条，坚持事前评估与持续监督相 结合、风险自评估与安全评估相结合，明确了数据出境安全 评估的具体适用情形、数据安全评估的主要评估内容、数据 出境安全评估的具体流程等重点事项，防范数据出境安全风 险，保障数据依法有序自由流动。 就个人信息出境安全评估的具体适用情形，《数据出境 安全评估办法》凝聚各方共识，细化《个人信息保护法》第 40 条规定数量门槛，明确关键信息基础设施运营者和处理 100 万人以上个人信息的数据处理者向境外提供个人信息、 自上年 1 月 1 日起累计向境外提供 10 万人个人信息或者 1 万人敏感个人信息的数据处理者向境外提供个人信息需要 2 申报安全评估。 就个人信息出境安全评估的主要评估内容，《数据出境 安全评估办法》聚焦个人信息出境可能对国家安全、公共利 益、个人或者组织合法权益带来的风险，统筹考虑多重因素， 将评估重点落脚于六大评估因素，包括个人信息出境的合法 性、正当性、必要性，境外接收方的数据保护水平是否达到 我国同等水平，境外接收方所在国家或地区法律和网络安全 环境对数据安全保障能力的影响，数据安全和个人信息权益 能否得到充分保障；境内处理者对境外接收方的约束能力， 境内处理者和境外接收方对我国法律遵守情况等，并规定国 家网信部门认为需要评估的其他事项作为兜底情形，以便适 应技术、商业、国内外环境的发展和变化。 就个人信息出境安全评估程序，《数据出境安全评估办 法》坚持事前评估与持续监督相结合、风险自评估与安全评 估相结合，明确了“处理者自评估——申报安全评估——省 级网信部门接收申报——国家网信部门受理与组织评估”的 科学流程，同时规定了异议复评与重新评估程序。 2．个人信息保护认证机制 2022 年 11 月 4 日，国家市场监督管理总局、国家互联 网信息办公室联合发布《关于实施个人信息保护认证的公告》 及附件《个人信息保护认证实施规则》，决定实施个人信息 保护认证，鼓励个人信息处理者通过认证提升个人信息保护 3 能力，细化落实《个人信息保护法》第 38 条个人信息保护 认证跨境路径和第 62 条个人信息保护认证服务内容。 与出境安全评估、标准合同侧重于具体出境需求的场景 化分析不同，跨境个人信息保护认证侧重于以个人信息处理 者、境外接收方双方主体为对象，对双方组织层面个人信息 保护能力、合规水平的认证，通常适用于合规建设较为完善、 境内外主体间长期稳定合作的情形。 对于开展跨境处理活动的个人信息处理者，认证依据包 括 GB/T 35273 《 信 息 安 全 技 术 个 人 信 息 安 全 规 范 》 和 TC260-PG-20222A《个人信息跨境处理活动安全认证规范》， 认证模式为“技术验证+现场审核+获证后监督”。认证实施 由个人信息处理者作为认证委托人发起认证委托，技术验证 机构按照认证方案实施技术验证并出具技术验证报告，然后 由认证机构进行现场审核并出具现场审核报告，最后经综合 评价后由认证机构作出认证决定。 对于符合认证要求的，由认证机构颁发认证证书，并在 认证 3 年有效期内通过认证机构的获证后监督，保持认证证 书的有效性，到期需延续使用的，认证委托人应当在有