个人信息保护法什么时候实行(个人信息保护法什么时候实行的)

一、个人信息保护法什么时候颁布？

10 月 13 日，个人信息保护法草案提请十三届全国人大常委会第二十二次会议初次审议。

二、信息保护法实行时间？

《中华人民共和国个人信息保护法》11月1日起施行

个人信息保护有了“安全锁”(网上中国)

应用程序过度收集个人信息、一揽子授权、强制同意、大数据“杀熟”……这些侵害公民个人信息权益的行为今后将受到制约。近日，十三届全国人大常委会第三十次会议表决通过了《中华人民共和国个人信息保护法》(以下简称“个人信息保护法”)，该法自今年11月1日起施行。作为中国首部针对个人信息保护的专门性立法，个人信息保护法将进一步强化个人信息安全监管与治理，把个人信息使用权关进法律的笼子里。

限制过度收集用户信息

“去餐厅吃饭，被要求扫码点餐，有的还必须填写姓名、出生年月、手机号码等与服务无关的个人信息。有时候想下载一款App，需要和平台方达成某种‘交易’，开放一大堆个人隐私，比如允许授权打开相册、允许打开通讯录、允许开启定位等等。”说起商家过度收集个人信息的现象，在北京工作的陈先生频频“吐槽”。他担心自己的信息可能在此过程中遭到泄露，并质疑这些收集信息方式的合法性。

全国人大常委会法工委经济法室副主任杨合庆指出，随着信息化与经济社会持续深度融合，现实生活中一些企业、机构甚至个人从商业利益等出发，随意收集、违法获取、过度使用、非法买卖个人信息，利用个人信息侵扰人民群众生活安宁、危害人民群众生命健康和财产安全等问题十分突出。

为保障个人信息处理知情权和决定权，个人信息保护法将“告知同意”作为个人信息保护核心规则。该法规定，处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。收集个人信息，应当限于实现处理目的的最小范围。同时规定，处理个人信息应当在事先充分告知的前提下取得个人同意，个人信息处理的重要事项发生变更的，应当重新向个人告知并取得同意。这意味着，该法出台后，“一揽子授权”“强制同意”等过度收集用户个人信息的行为将被限制。

“这种同意必须是建立在告知基础上的有效同意，包括‘单独同意’‘书面同意’，‘同意’后还可‘撤回’。这充分体现了法律对个人信息处理知情权和决定权的保护。”北京大学法学院教授薛军说。

防止大数据“杀熟”

同一家酒店、同舱位的机票、同样的时段，老用户比新用户要多花钱，原因是对新用户优惠力度更大。互联网平台利用大数据和算法对用户进行画像分析，从而收取不同价格等行为，被称为大数据“杀熟”。目前，包括反垄断法、电子商务法、价格法等多部法律法规已经约束这种行为。

个人信息保护法对此规定，个人信息处理者利用个人信息进行自动化决策，应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇。通过自动化决策方式向个人进行信息推送、商业营销，应当同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式。

中国信息通信研究院互联网法律研究中心主任方禹认为，在反垄断法框架下，大数据“杀熟”是一种滥用市场支配地位的行为，反垄断法已有类似的规定。个人信息保护法对此作出规定，既能在反垄断规制以外提供新的保护路径，也能从个人信息收集、使用的逻辑上应对大数据“杀熟”问题。

加强保护个人敏感信息

生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，对个人而言具有敏感性。一旦泄露或者非法使用，容易导致个人的人格尊严受到侵害或者人身、财产安全受到危害。同时，随着互联网的不断普及，针对青少年的网络暴力、网络欺诈等屡有发生，需要对青少年个人信息进行更高等级的保护。

个人信息保护法将以上这些信息都作为敏感个人信息，并要求只有在具有特定的目的和充分的必要性并采取严格保护措施的情形下，方可处理这些信息，同时应事前进行影响评估，并向个人告知处理的必要性以及对个人权益的影响。

最高人民法院7月底发布的《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》，对以“人脸识别”为代表的敏感个人信息案件审理进行全面规范；根据国家网信办此前发布的《汽车数据安全管理若干规定(征求意见稿)》，驾驶人能够随时终止汽车制造商等收集车辆位置、驾驶人或乘车人音视频等敏感个人信息的行为……随着相关法律法规出台，国家对个人信息中敏感信息的保护更加严格。

个人信息保护法专门规定，处理不满14周岁未成年人的个人信息，处理者应当取得未成年人的父母或者其他监护人的同意，并制定专门的处理规则。

中国信息安全研究院副院长左晓栋说，该规定旨在限制某些平台利用未成年人非法牟利，要求相关平台切实履行相应社会责任。“现在有的平台已经禁止未成年用户充值或‘打赏’，这就是专门针对未成年人制定个人信息处理规则的一种体现。”

强化监管和违法惩戒

个人信息处理活动涉及面广、情况复杂、主体多样、隐蔽性强，一旦发生侵害个人信息权益的行为，往往会对社会造成较严重后果。个人信息保护法对违法处理个人信息的行为设置了不同梯次的行政处罚。对未造成严重后果的轻微或一般违法行为，可由执法部门责令改正、给予警告、没收违法所得，对拒不改正的最高可处100万元罚款；对情节严重的违法行为，最高可处5000万元或上一年度营业额5%的罚款，并可以对相关责任人员作出相关从业禁止的处罚。杨合庆认为，个人信息保护法以严密的制度、严格的标准、严厉的问责，构建了权责明确、保护有效、利用规范的个人信息处理和保护制度规则。

在监管体制上，个人信息保护法规定国家网信部门负责统筹协调相关监管工作，国务院有关部门依法履行各自监管职责。对外经济贸易大学数字经济与法律创新研究中心执行主任许可说，该法采取“规则制定权相对集中，执法权相对分散”的监管架构，这源于个人信息保护法的执法属多元执法、多头执法，需要网信部门发挥统筹协调功能，统一执法标准。执法机构应根据实际情况制订符合个人信息保护法原则和规则、更细致的执法规范性文件和部门规章、司法解释和具体指导案例，将个人信息保护法落到实处。

对掌握海量用户数据的超大型互联网平台，个人信息保护法要求成立主要由外部成员组成的独立监管机构、定期进行合规审计等。中国人民大学未来法治研究院副院长丁晓东认为，这些规定重在建立事前的预防机制，从源头阻止个人信息被侵害的情形发生。而一旦发生侵害个人信息的行为，将对个人信息处理者实行过错推定原则，不能证明自己没有过错的就应当承担损害赔偿等侵权责任，这将在很大程度上减轻个人维权的难度。

三、个人信息保护法出台时间？

2021年8月20日，十三届全国人大常委会第三十次会议表决通过《中华人民共和国个人信息保护法》。自2021年11月1日起施行。

个人信息保护法是一部保护个人信息的法律条款，涉及法律名称的确立、立法模式问题、立法的意义和重要性、立法现状以及立法依据、法律的适用范围、法律的适用例外及其规定方式、个人信息处理的基本原则、与政府信息公开条例的关系、对政府机关与其他个人信息处理者的不同规制方式及其效果、协调个人信息保护与促进信息自由流动的关系、个人信息保护法在特定行业的适用问题、关于敏感个人信息问题、法律的执行机构、行业自律机制、信息主体权利、跨境信息交流问题、刑事责任问题。对个人及行业有着很大的作用。

2021年8月20日，十三届全国人大常委会第三十次会议表决通过《中华人民共和国个人信息保护法》。自2021年11月1日起施行。

四、什么是个人信息保护法？

《个人信息保护法》是以法律形式明确了个人在信息数据领域的权利的一部法律。这部法律于2021年8月20日经全国人大审议通过，并将于11月1日正式生效。它是以知情权和控制权为核心构建了我国的个人信息权利体系，规定了知情权和决定权、复制和可携带权、更正修改权、个人信息的存储期限、部分权利的可继承性以及投诉和起诉权。

五、个人信息保护法实施方案？

民法典第一百一十一条：自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。

六、个人信息保护法司法解释？

个人信息保护法是一部保护个人信息的法律条款，现尚在制订中。涉及法律名称的确立、立法模式问题、立法的意义和重要性、立法现状以及立法依据、法律的适用范围、法律的适用例外及其规定方式、个人信息处理的基本原则、与政府信息公开条例的关系、对政府机关与其他个人信息处理者的不同规制方式及其效果、协调个人信息保护与促进信息自由流动的关系、个人信息保护法在特定行业的适用问题、关于敏感个人信息问题、法律的执行机构、行业自律机制、信息主体权利、跨境信息交流问题、刑事责任问题。对个人及行业有着很大的作用。

七、中国实行的河流保护法是哪个？

《中华人民共和国水污染防治法》

《中华人民共和国环境保护法》

《中华人民共和国水法》

《太湖流域管理条例》

《中华人民共和国内河交通安全管理条例》

《中华人民共和国水路运输管理条例》

《中华人民共和国防汛条例》

《黄河水量调度条例》

《中华人民共和国水文条例》

《取水许可和水资源费征收管理条例》

《 长江河道采砂管理条例》

《淮河流域水污染防治暂行条例》

《海河独流减河永定新河河口管理办法》

八、个人信息保护法注重什么层面安全？

注重身份证信息，电话号码信息，家庭住址等

九、个人信息保护法二审稿全文？

《个人信息保护法(草案)》(二审稿)第一条在保留“保护个人信息权益，规范个人信息处理活动”以及“促进个人信息合理利用”的前提下，删除了“一审稿”中的“保障个人信息依法有序自由流动”。

《个人信息保护法(草案)》(二审稿)第六条在“一审稿”中增加了“采取对个人权益影响最小的方式”，即“处理个人信息应当具有明确、合理的目的，并应当限于实现处理目的所必要的最小范围、采取对个人权益影响最小的方式，不得进行与处理目的无关的个人信息处理”。

《个人信息保护法(草案)》(一审稿)首先确立了“个人信息权益”，这里的“权益”既包括“权利”，也包括“利益”。网络时代，海量的数据和信息以聚合形式存在于社交网络、电子商务、移动智能终端等网络平台，特别是一些大型的互联网平台已经形成对个人信息的实际控制和垄断，公民作为信息内容的主体完全不能控制和保护自己的个人信息权益，根本无法了解自己的个人信息在何时、何地被何人以何种方式非法收集、使用、加工、传输。对此，我国《民法典》第一百一十一条规定，自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。

尽管《民法典》没有就“个人信息权”作出定义，但可以清晰地看出，《民法典》明确了“个人信息权”的基本内涵，其保护的核心不在于“个人信息”本身，而重点在于规制第三人对公民个人信息的收集、使用、加工、传输等行为。因此，公民行使信息权利的基础，是基于公民作为信息主体有权知晓和决定其个人信息在任何时间、任何地方及以何种方式被任何组织或者个人收集、存储、使用、加工、传输、提供、公开。

《个人信息保护法(草案)》第二条规定：“自然人的个人信息受法律保护，任何组织、个人不得侵害自然人的个人信息权益。”个人信息权尽管在流通过程中具有财产权属性，但是个人信息权的首要价值目标是人格权属性。因此，《个人信息保护法》作为个人信息权益保护的基础性立法，应当严格限制个人信息的自由流动。

“一审稿”第六条规定：“处理个人信息应当具有明确、合理的目的，并应当限于实现处理目的所必要的最小范围，不得进行与处理目的无关的个人信息处理。”“二审稿”在“应当限于实现处理目的所必要的最小范围”之后并列增加了“采取对个人权益影响最小的方式”，即“处理个人信息应当具有明确、合理的目的，并应当限于实现处理目的所必要的最小范围、采取对个人权益影响最小的方式，不得进行与处理目的无关的个人信息处理”。关于“数据最小化”(data minimisation)，欧盟GDPR(《通用数据保护条例》)规定了对个人数据处理数量的限制，必须以满足该业务需要的最小数量为限，不得收集任何非必要的个人数据。因此，我国《个人信息保护法(草案)》应当强化“个人数据处理最小化”原则，个人信息的处理必须限于实现处理目的所必要的最小范围，严格限制对个人信息的过度处理，尤其要限制对个人信息的滥用。

完善处理个人信息的基本规则

针对网络运营者过度收集和处理公民个人信息，尤其是APP违法违规过度处理个人信息的乱象，《民法典》第一千零三十五条在《网络安全法》第四十一条“网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意”的基础上增加了“不得过度处理”个人信息的强制性规定，并附加了五个条件：一是征得该自然人或者其监护人同意，但是法律、行政法规另有规定的除外；二是公开处理信息的规则；三是明示处理信息的目的、方式和范围；四是不违反法律、行政法规的规定和双方的约定。

《个人信息保护法(草案)》(二审稿)第七条参照《民法典》第一千零三十五条和《网络安全法》第四十一条的规定，将“一审稿”中“明示个人信息处理规则”中的“明示”改为“公开”，并增加了“明示处理的目的、方式和范围”，即“处理个人信息应当遵循公开、透明的原则，公开个人信息处理规则，明示处理的目的、方式和范围”。法律中的“明示”意思为“明确表示”，而“公开”则是面对公众和社会。个人信息处理者的“个人信息处理规则”必须向社会大众公开，不是简单地“明示”。目前，“公开处理信息的规则，明示处理信息的目的、方式和范围”是我国个人信息处理的基本规则，《个人信息保护法(草案)》应当与《民法典》和《网络安全法》保持一致。

强化对未成年人个人信息的保护

2021年6月1日起施行新修订的《中华人民共和国未成年人保护法》第七十二条规定：“信息处理者通过网络处理未成年人个人信息的，应当遵循合法、正当和必要的原则。处理不满十四周岁未成年人个人信息的，应当征得未成年人的父母或者其他监护人同意，但法律、行政法规另有规定的除外。”《个人信息保护法(草案)》(一审稿)第十五条规定：“个人信息处理者知道或者应当知道其处理的个人信息为不满十四周岁未成年人个人信息的，应当取得其监护人的同意。”“二审稿”将“应当取得其监护人的同意”修改为“应当取得未成年人的父母或者其他监护人的同意”，即“个人信息处理者处理不满十四周岁未成年人个人信息的，应当取得未成年人的父母或者其他监护人的同意”。《未成年人保护法》作为我国保护未成年人的特别法，专章设立了“网络保护”，《个人信息保护法(草案)》有关未成年人的个人信息保护应当与《未成年人保护法》保持一致。

法律条文中的“知道或应当知道”，一般用于诉讼时效期间，指有证据表明权利人知道自己的权利被侵害的日期，或者根据一般规律推定权利人知道自己的权利被侵害的日期。《个人信息保护法(草案)》(一审稿)第十五条将“知道或应当知道”作为个人信息处理者判断其处理的个人信息是否为不满十四周岁的未成年人的，这似乎很难操作。从字面上理解，“知道或应当知道”很简单，但实际内容却很深奥。你说个人信息处理者知道，他会说他不知道，而且有时还真的是不知道。你说个人信息处理者虽然可能是不知道，但按一般规律推定其应当知道的，他却会说为什么我就应当知道？因此，《个人信息保护法(草案)》(二审稿)第十五条删除了“一审稿”中的“知道或应当知道”的表述，只要个人信息处理者处理的个人信息为不满十四周岁未成年人的个人信息，就意味着个人信息处理者“知道”，必须取得未成年人的父母或者其他监护人的同意。

未经个人同意不得公开个人信息

《个人信息保护法(草案)》(一审稿)第二十六条：“个人信息处理者不得公开其处理的个人信息；取得个人单独同意或者法律、行政法规另有规定的除外。”第二十七条：“在公共场所安装图像采集、个人身份识别设备，应当为维护公共安全所必需，遵守国家有关规定，并设置显著的提示标识。所收集的个人图像、个人身份特征信息只能用于维护公共安全的目的，不得公开或者向他人提供；取得个人单独同意或者法律、行政法规另有规定的除外。”

《个人信息保护法(草案)》(一审稿)第二十六条和二十七条中的除外条款是一个“二选一”条款，即“取得个人单独同意或者法律、行政法规另有规定的除外”，“二审稿”删除了“一审稿”中的“或者法律、行政法规另有规定的除外”，只保留了单项“取得个人单独同意的除外”，这就意味着未经自然人单独同意，个人信息处理者不得公开或者向他人提供其处理的个人信息。同时，《个人信息保护法(草案)》还设定了“基于个人同意而进行的个人信息处理活动，个人有权撤回其同意”的规定，“二审稿”在“一审稿”的基础上增加了“个人信息处理者应当提供便捷的撤回同意的方式”。

在实践中，经常发生个人同意进行的个人信息处理活动，但在个人信息处理期间发现个人信息处理者存在“过度处理”其个人信息的行为，该个人想撤回其之前的同意，但网络平台环境下，个人撤回其同意的行为必须得到个人信息处理者的配合，否则个人是无法实现所谓“有权撤回其同意”之目的。《个人信息保护法(草案)》(二审稿)确立的未经个人单独同意不得公开个人信息，以及“个人信息处理者应当提供便捷的撤回同意的方式”的个人信息处理规则，遵循了“以人民为中心”的发展理念，体现了数据私权至上的个人信息处理规则。

强化个人信息处理者的删除义务

《个人信息保护法(草案)》(二审稿)第四十七条规定有五种情形之一的，个人信息处理者应当主动删除个人信息，个人信息处理者未删除的，个人有权请求删除：一是处理目的已实现或者为实现处理目的不再必要；二是个人信息处理者停止提供产品或者服务，或者保存期限已届满；三是个人撤回同意；四是个人信息处理者违反法律、行政法规或者违反约定处理个人信息；五是法律、行政法规规定的其他情形。

法律、行政法规规定的保存期限未届满，或者删除个人信息从技术上难以实现的，个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。

“二审稿”进一步强化了个人信息处理者的删除义务，将“一审稿”第四十七条出现五种情形之一时，“个人信息处理者应当主动或者根据个人的请求，删除个人信息”，修改为“个人信息处理者应当主动删除个人信息；个人信息处理者未删除的，个人有权请求删除”。以上两种表述完全不同，“一审稿”中的“主动或者根据个人的请求，删除个人信息”是一种在“红旗原则”和“避风港原则”之间的选择，只要个人信息处理者选择其中之一，就符合法律的规定；“二审稿”中的“个人信息处理者应当主动删除个人信息；个人信息处者未删除的，个人有权请求删除”，显然，“二审稿”中的“删除义务”首先应当采用“红旗原则”，即“个人信息处理者应当主动删除个人信息”，只是在“个人信息处理者未删除”的情况下才适用“避风港原则”，即“个人有权请求删除”。

在实践中，“个人信息处理者未删除的，个人有权请求删除”的规定很难实施，首先，个人几乎不可能发现其个人信息被个人信息处理者主动删除的情形；其次，即使发现个人信息处理者未删除的，也不仅仅是个人“有权请求删除”的问题，而应当是强化个人信息处理者的义务，强调“个人信息处理者在接到个人的删除通知后，应当立即删除”。

个人信息处理的合规审计制度

合规性审计的性质是一种经济合规监督活动，主要指审计机构和审计人员依据国家法律、法规和财经制度，对被审计单位的生产经营管理活动及其有关资料是否合规所进行的一种监督活动。审计就其组织形式而言，一般分为内审和外审，前者是指企业内部设立的审计部门，后者是指第三方的审计机构。

《个人信息保护法(草案)》确立了个人信息处理者的合规审计制度，“一审稿”第五十三条规定：“个人信息处理者应当定期对其个人信息处理活动、采取的保护措施等是否符合法律、行政法规的规定进行审计。履行个人信息保护职责的部门有权要求个人信息处理者委托专业机构进行审计。”事实上，个人信息处理者对其个人信息处理活动是否符合法律、行政法规规定进行合规审计的前提，是基于个人信息处理者对其个人信息处理活动的内部合规管理。

个人信息处理者对个人信息的合规管理，主要是以有效防控个人数据，尤其是防控个人敏感数据合规风险为目的，以个人信息处理者对其控制的个人信息处理活动为对象，开展包括制度制定、风险识别、合规审查、风险应对、责任追究、考核评价、合规培训等有组织、有计划的管理活动。个人信息的合规管理是所有个人信息处理者的一项自律性要求，没必要规定“履行个人信息保护职责的部门有权要求个人信息处理者委托专业机构进行审计”，只有在发现个人信息处理活动存在较大风险或者发生个人信息安全事件时，才委托专业机构对其个人信息处理活动进行合规审计。

因此，“二审稿”第五十四条对“一审稿”第五十三条的内容进行了简化，修改为：“个人信息处理者应当定期对其个人信息处理活动遵守法律、行政法规的情况进行合规审计。”同时，“二审稿”的第六十三条在“一审稿”第六十条的基础上增加了“要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计”，即“履行个人信息保护职责的部门在履行职责中，发现个人信息处理活动存在较大风险或者发生个人信息安全事件的，可以按照规定的权限和程序对该个人信息处理者的法定代表人或者主要负责人进行约谈，或者要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。个人信息处理者应当按照要求采取措施，进行整改，消除隐患”。该条款中的“约谈”和第三方审计之间是一种选择关系，但是无论是对该个人信息处理者的法定代表人或者主要负责人进行约谈，还是要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计，个人信息处理者都必须按照要求采取措施，进行整改，消除隐患。

个人信息合规审计的主要目的是控制和避免企业及员工因处理个人信息不合规，引发法律责任、受到相关处罚、造成经济或声誉损失以及其他负面影响的可能性。具体到个人信息合规审计的内容，应当包括规范个人信息在收集、存储、使用、共享、转让与公开披露等信息处理环节中的相关行为，遏制个人信息非法收集、滥用、泄露等违规行为，最大限度地保护个人信息权益。因此，个人信息处理者不但要定期对个人信息的处理进行合规审计，而且要公布其审计结果，对不涉及国家秘密、商业秘密和个人隐私的个人信息审计结果应当一律公开，并对审计结果出现的问题限期进行整改，及时消除隐患。

强化互联网平台的保护义务

《个人信息保护法(草案)》(二审稿)增加了对基础性互联网平台个人信息保护义务的内容，“二审稿”第五十七条规定：“提供基础性互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，应当履行下列义务：一是成立主要由外部成员组成的独立机构，对个人信息处理活动进行监督；二是对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者，停止提供服务；三是定期发布个人信息保护社会责任报告，接受社会监督。”

本条中的“个人信息处理者”之前有三个定语：一是提供基础性互联网平台服务，二是用户数量巨大，三是业务类型复杂，这类平台就属于超级互联网平台。当前，超级互联网平台已经很难用产业经济时代的商品或者服务去界定它的性质，提供超级平台的企业也无法用“经营者”来确定它的商业属性。事实上，超级平台已经成为高度数字市场化环境下形成的数字经济基础设施，在超级平台经济体内形成了巨大的双边网络交叉效应，消费者与服务商和供应商以及平台的提供者共同构成了网状交叉协作的数字生态系统，而超级平台就是整个数字生态系统的载体，其性质是为消费者、商家提供信息、交易与物流等要素的数字基础设施。

鉴于超级平台的特殊性，“二审稿”对超级平台设定的三项个人信息保护义务中的“成立主要由外部成员组成的独立机构，对个人信息处理活动进行监督”。对此，笔者有些担忧，这可能会出现既不“独立”也不“监督”的情形，就好似《公司法》设立的独立董事制度一样，我国的独立董事制度在很多情形下是既不“独立”也不“懂事”，不能够真正起到监督的作用，其主要原因是我国没有建立第三方的独立董事市场。笔者建议，应当由国家网信部门成立或指定特定的第三方组织履行对平台个人信息处理活动的独立监督职能。

建议国家设立个人信息保护监管机构，对个人信息处理者，尤其是互联网超级平台处理个人信息等行为进行合规性监管，重点监管平台提供者对海量用户数据的控制和处理。欧盟GDPR要求欧盟成员国中每个国家都应当设置相应的数据监管机构，以对本国内部的个人数据处理活动进行有效监管，并与其他成员国之间的数据处理活动进行协调。虽然各成员国因其实际情况而在数据监管机构的具体规定上有所差异，但GDPR明确了各成员国法律中应当明晰的关于数据监管机构的问题。

信息处理者侵权责任过错推定

《个人信息保护法(草案)》(一审稿)第六十五条规定：“因个人信息处理活动侵害个人信息权益的，按照个人因此受到的损失或者个人信息处理者因此获得的利益承担赔偿责任；个人因此受到的损失和个人信息处理者因此获得的利益难以确定的，由人民法院根据实际情况确定赔偿数额。个人信息处理者能够证明自己没有过错的，可以减轻或者免除责任。”本条中的“个人信息处理者能够证明自己没有过错的，可以减轻或者免除责任”采用的是“举证责任倒置”的举证分配原则，即“能够证明自己没有过错”。

网络时代，海量的数据和信息以聚合形式存在于社交网络、电子商务、移动智能终端等网络平台，特别是一些大型的网络运营商已经形成对个人数据和信息的实际控制与垄断，公民作为数据内容的主体完全不能控制自己的个人数据和信息，根本无法了解自己的信息和数据在何时、何地被何人以何种方式非法收集、使用、加工、传输。对此，《民法典》第一百一十一条规定：“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。”可见，个人信息权益保护的重点在于如何规制个人信息处理者对公民个人信息的收集、使用、加工、传输等行为。因此，当个人信息权益受到侵害时，个人信息处理者是否应当承担赔偿的举证责任，不是由个人信息处理者能够证明自己没有过错，而应当由个人信息处理者不能证明自己没有过错。

为此，“二审稿”第六十八条将“一审稿”中的“个人信息处理者能够证明自己没有过错的，可以减轻或者免除责任”，调整为“个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任”。这是一项“过错推定”原则，即在个人信息处理者不能证明其没有过错的情况下，就推定其有过错，应承担赔偿损害责任，符合《民法典》第一千一百六十五条规定：“行为人因过错侵害他人民事权益造成损害的，应当承担侵权责任。依照法律规定推定行为人有过错，其不能证明自己没有过错的，应当承担侵权责任。”

十、个人信息保护法属于哪个部门？

个人信息保护法属于人民法院保护