個人信息保護法實施后存在法律風險提示

2021年8月20日，第十三屆全國人民代表大會常務委員會第三十次會議通過《中華人民共和國個人信息保護法》（《個人信息保護法》），該法將于2021年11月1日施行。

一、修訂的背景

《個人信息保護法》是我國首部針對個人信息保護的專門性法律，全文共八章，七十四條。《個人信息保護法》的頒布填補了個人信息保護領域高位階且具有強制約束力的法律空白，并將與《民法典》《網絡安全法》《數據安全法》共同構筑我國個人信息與數據保護的法律規范體系，標志著我國進入了更高水平的個人信息保護的法治時代。

二、主要內容解讀

1.明確界定核心概念。

《個人信息保護法》第四條規定明確了個人信息及其處理活動的法律內涵，即個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理后的信息。個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等。此外，第七十三條明確了個人信息處理者、自動化決策、去標識化、匿名化等與個人信息密切相關的法律概念。

2.確立個人信息處理基本原則

《個人信息保護法》第五條至第九條提出了處理個人信息需要遵循的原則。

一是合法、正當、必要和誠信原則。處理個人信息應當遵循合法、正當、必要和誠信原則，不得通過誤導、欺詐、脅迫等方式處理個人信息。

二是目的性原則。處理個人信息應當具有明確、合理的目的，并應當與處理目的直接相關。

三是影響最小原則。收集個人信息，應當限于實現處理目的的最小范圍，不得過度收集個人信息。

四是公開、透明原則。處理個人信息應當遵循公開、透明原則，公開個人信息處理規則，明示處理的目的、方式和范圍。

五是保證個人信息的質量原則。處理個人信息應當保證個人信息的質量，避免因個人信息不準確、不完整對個人權益造成不利影響。

六是誰處理、誰負責原則。個人信息處理者應當對其個人信息處理活動負責，并采取必要措施保障所處理的個人信息的安全。

3.明確告知同意原則

處理個人信息以告知并取得同意為原則，以無需取得同意為例外。以下情形處理個人信息的，不受告知同意原則的約束：（一）為訂立、履行個人作為一方當事人的合同所必需，或者按照依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理所必需；（二）為履行法定職責或者法定義務所必需；（三）為應對突發公共衛生事件，或者緊急情況下為保護自然人的生命健康和財產安全所必需；（四）為公共利益實施新聞報道、輿論監督等行為，在合理的范圍內處理個人信息；（五）依照《個人信息保護法》規定在合理的范圍內處理個人自行公開或者其他已經合法公開的個人信息；（六）法律、行政法規規定的其他情形。

個人信息處理者在收集處理個人信息前向被收集信息的個人履行充分的告知義務，個人信息處理的重要事項發生變更的應當重新向個人告知并取得同意，個人同意后可撤回其同意，個人信息處理者應當提供便捷的撤回同意的方式。

4.確定敏感信息處理規則

《個人信息保護法》第二十八條規定，敏感個人信息是一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息。同時，要求處理敏感信需要有特定的目的和充分的必要性并需要采取嚴格保護措施，同時個人信息處理者還需要告知個人必要性以及對個人權益的影響并取得單獨同意。 5.兩個以上個人信息處理者共同處理信息的責任分擔

《個人信息保護法》就兩個以上個人信息處理者共同處理信息（共同處理與委托處理）責任分擔進行了規定。

一是共同處理。《個人信息保護法》第二十條規定，兩個以上的個人信息處理者共同決定個人信息的處理目的和處理方式的，應當約定各自的權利和義務。但是，該約定不影響個人向其中任何一個個人信息處理者要求行使本法規定的權利。個人信息處理者共同處理個人信息，侵害個人信息權益造成損害的，應當依法承擔連帶責任。

二是委托處理。《個人信息保護法》第二十一條規定，一方委托另一方處理個人信息的情況下，應當約定委托處理的目的、期限、處理方式、個人信息的種類、保護措施以及雙方的權利和義務等。受托人需要按照約定處理個人信息，不得超出約定的處理目的、處理方式。委托合同終止，受托人應當將信息返還或刪除，不得保留。未經同意不得轉委托。

6.限制公共場所采集個人圖像、身份識別信息

《個人信息保護法》第二十六條規定，在公共場所安裝圖像采集、個人身份識別設備所收集的信息，除取得個人單獨同意外，只能用于維護公共安全的目的，并設置顯著的提示標識。

7.規范自動化決策

《個人信息保護法》第二十四條規定，自動化決策應當透明、公平、公正，不得實行不合理的差別待遇，信息推送、商業營銷須提供不針對個人特征的選項，或者向個人提供便捷的拒絕方式。通過自動化決策方式作出對個人權益有重大影響的決定，個人有權要求個人信息處理者予以說明，并有權拒絕個人信息處理者僅通過自動化決策的方式作出決定。

8.賦予個人充分權利

《個人信息保護法》明確了個人在個人信息處理活動中的各項權利，包括知情權、決定權、查詢權、復制權、更正權、補充權、刪除權、要求解釋說明的權利等。同時，對個人信息可攜帶權作了原則規定，符合國家網信部門規定條件的，個人信息處理者應當提供轉移的途徑。此外，還對死者個人信息的保護作了專門規定，明確在尊重死者生前安排的前提下，其近親屬為自身合法、正當利益，可以對死者個人信息行使查閱、復制、更正、刪除等權利。

9.明確個人信息處理者的義務

《個人信息保護法》第五章對個人信息處理者的職責和義務提出了嚴格的要求。人信息處理者應當根據個人信息的處理目的、處理方式、個人信息的種類以及對個人權益的影響、可能存在的安全風險等，制定內部管理制度和操作規程、實行分級分類管理、采取相應的安全技術措施、明確操作權限并定期開展培訓、制定實施安全事件應急預案；如果處理個人信息數量達到國家網信部門規定數量的，還應當指定個人信息保護負責人。定期對其個人信息活動進行合規審計，并在涉及敏感個人信息、自動化決策等情形時還需在事前進行個人信息保護影響評估，且評估報告及相關處理情況應至少保存3年；發生或者可能發生個人信息泄露、篡改、丟失的，應當履行個人信息泄露通知和補救義務。此外，還規定了提供基礎性互聯網平臺服務、用戶數量巨大、業務類型復雜的個人信息處理者的特定義務，推動大互聯網平臺加強合規建設，從而將合規管理體系的構建上升到法律層面。

10.明確承擔的法律責任

《個人信息保護法》規定違規處理個人信息，或者處理個人信息未履行個人信息保護義務可能承擔警告、沒收違法所得、罰款(包括對單位和責任人員)、責令暫停相關業務或者停業整頓、吊銷許可或者營業執照等行政處罰。同時還規定了民事訴訟以及公益訴訟機制，個人信息權益受到侵害的個人可通過民事訴訟向違反個人信息處理的信息處理者主張損害賠償責任。而且，如果個人信息處理者違反本法規定處理個人信息，侵害眾多個人的權益的，人民檢察院、法律規定的消費者組織和由國家網信部門確定的組織可以依法向人民法院提起訴訟。

三、結合公司實際，提出以下建議

（一）征得個人同意，保障使用信息合法

應通過《隱私權政策》等形式在明確取得個人同意的情形下方可處理個人信息，個人信息處理的重要事項發生變更，應當重新向個人告知并取得同意。

在處理敏感個人信息、向他人提供或公開個人信息等環節應取得個人的單獨同意，不得隱瞞產品或服務所具有的收集個人信息的功能。應審慎開展人臉識別相關業務，排查加油站等公共場所的采集設備。為降低合規風險，可依法設置顯著的提示標識，依據法律規定進行及時整改。

（二）加強內部管理，加強安全技術措施

建立健全個人信息安全原則及制度、個人信息分級分類規范、個人信息安全影響評估規范等個人信息保護相關的制度及規程，明確涉及個人信息處理不同崗位人員的安全職責和操作權限，定期對從業人員進行安全教育和培訓，建立發生安全事件的處罰機制；與相關人員簽署《保密協議》，并要求即使調離相關崗位或者終止勞動合同時，還需履行保密義務；根據企業個人信息分類分級的結果，對大量接觸敏感個人信息的人員可以進行背景調查，了解其犯罪記錄、誠信狀況、工作經歷等。

（三）加強安全措施，確保個人信息安全

敏感個人信息的特殊性決定了此類信息處理存在特殊限制，因此公司更應謹慎處理敏感個人信息,對個人信息做加密、去標識化等技術化處理，保障相關數據的機密性和完整性，設置嚴格的訪問控制措施，嚴把內部數據審批流程，避免承擔更加嚴重的違法責任。同時，對于風險隱患應進行有效監控，定期開展個人信息保護影響評估，制定個人信息安全事件應急預案，做到事前、事中、事后的管控。

（四）明確合作方權利義務，優化信息處理合作

與其他企業共同決定個人信息的處理目的和處理方式的，應當約定各自的權利和義務約定，明確合作方之間連帶責任后的追責和違約責任的承擔問題。公司在與第三方合作，委托處理個人信息時，首先進行個人信息保護影響評估，基于評估結果以及合作的目的和方式，以及合作關系涉及的個人信息處理活動的風險程度，就合作方之間的關系和責任承擔進行約定，并通過采取數據審計、持續監控等措施，降低風險，減少糾紛。