2021年8月20日，第十三屆全國人民代表大會常務(wù)委員會第三十次會議通過《中華人民共和國個人信息保護(hù)法》（《個人信息保護(hù)法》），該法將于2021年11月1日施行。

一、修訂的背景

《個人信息保護(hù)法》是我國首部針對個人信息保護(hù)的專門性法律，全文共八章，七十四條。《個人信息保護(hù)法》的頒布填補(bǔ)了個人信息保護(hù)領(lǐng)域高位階且具有強(qiáng)制約束力的法律空白，并將與《民法典》《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》共同構(gòu)筑我國個人信息與數(shù)據(jù)保護(hù)的法律規(guī)范體系，標(biāo)志著我國進(jìn)入了更高水平的個人信息保護(hù)的法治時代。

二、主要內(nèi)容解讀

1.明確界定核心概念。

《個人信息保護(hù)法》第四條規(guī)定明確了個人信息及其處理活動的法律內(nèi)涵，即個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息。個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等。此外，第七十三條明確了個人信息處理者、自動化決策、去標(biāo)識化、匿名化等與個人信息密切相關(guān)的法律概念。

2.確立個人信息處理基本原則

《個人信息保護(hù)法》第五條至第九條提出了處理個人信息需要遵循的原則。

一是合法、正當(dāng)、必要和誠信原則。處理個人信息應(yīng)當(dāng)遵循合法、正當(dāng)、必要和誠信原則，不得通過誤導(dǎo)、欺詐、脅迫等方式處理個人信息。

二是目的性原則。處理個人信息應(yīng)當(dāng)具有明確、合理的目的，并應(yīng)當(dāng)與處理目的直接相關(guān)。

三是影響最小原則。收集個人信息，應(yīng)當(dāng)限于實現(xiàn)處理目的的最小范圍，不得過度收集個人信息。

四是公開、透明原則。處理個人信息應(yīng)當(dāng)遵循公開、透明原則，公開個人信息處理規(guī)則，明示處理的目的、方式和范圍。

五是保證個人信息的質(zhì)量原則。處理個人信息應(yīng)當(dāng)保證個人信息的質(zhì)量，避免因個人信息不準(zhǔn)確、不完整對個人權(quán)益造成不利影響。

六是誰處理、誰負(fù)責(zé)原則。個人信息處理者應(yīng)當(dāng)對其個人信息處理活動負(fù)責(zé)，并采取必要措施保障所處理的個人信息的安全。

3.明確告知同意原則

處理個人信息以告知并取得同意為原則，以無需取得同意為例外。以下情形處理個人信息的，不受告知同意原則的約束：（一）為訂立、履行個人作為一方當(dāng)事人的合同所必需，或者按照依法制定的勞動規(guī)章制度和依法簽訂的集體合同實施人力資源管理所必需；（二）為履行法定職責(zé)或者法定義務(wù)所必需；（三）為應(yīng)對突發(fā)公共衛(wèi)生事件，或者緊急情況下為保護(hù)自然人的生命健康和財產(chǎn)安全所必需；（四）為公共利益實施新聞報道、輿論監(jiān)督等行為，在合理的范圍內(nèi)處理個人信息；（五）依照《個人信息保護(hù)法》規(guī)定在合理的范圍內(nèi)處理個人自行公開或者其他已經(jīng)合法公開的個人信息；（六）法律、行政法規(guī)規(guī)定的其他情形。

個人信息處理者在收集處理個人信息前向被收集信息的個人履行充分的告知義務(wù)，個人信息處理的重要事項發(fā)生變更的應(yīng)當(dāng)重新向個人告知并取得同意，個人同意后可撤回其同意，個人信息處理者應(yīng)當(dāng)提供便捷的撤回同意的方式。

4.確定敏感信息處理規(guī)則

《個人信息保護(hù)法》第二十八條規(guī)定，敏感個人信息是一旦泄露或者非法使用，容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財產(chǎn)安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息。同時，要求處理敏感信需要有特定的目的和充分的必要性并需要采取嚴(yán)格保護(hù)措施，同時個人信息處理者還需要告知個人必要性以及對個人權(quán)益的影響并取得單獨(dú)同意。 5.兩個以上個人信息處理者共同處理信息的責(zé)任分擔(dān)

《個人信息保護(hù)法》就兩個以上個人信息處理者共同處理信息（共同處理與委托處理）責(zé)任分擔(dān)進(jìn)行了規(guī)定。

一是共同處理。《個人信息保護(hù)法》第二十條規(guī)定，兩個以上的個人信息處理者共同決定個人信息的處理目的和處理方式的，應(yīng)當(dāng)約定各自的權(quán)利和義務(wù)。但是，該約定不影響個人向其中任何一個個人信息處理者要求行使本法規(guī)定的權(quán)利。個人信息處理者共同處理個人信息，侵害個人信息權(quán)益造成損害的，應(yīng)當(dāng)依法承擔(dān)連帶責(zé)任。

二是委托處理。《個人信息保護(hù)法》第二十一條規(guī)定，一方委托另一方處理個人信息的情況下，應(yīng)當(dāng)約定委托處理的目的、期限、處理方式、個人信息的種類、保護(hù)措施以及雙方的權(quán)利和義務(wù)等。受托人需要按照約定處理個人信息，不得超出約定的處理目的、處理方式。委托合同終止，受托人應(yīng)當(dāng)將信息返還或刪除，不得保留。未經(jīng)同意不得轉(zhuǎn)委托。

6.限制公共場所采集個人圖像、身份識別信息

《個人信息保護(hù)法》第二十六條規(guī)定，在公共場所安裝圖像采集、個人身份識別設(shè)備所收集的信息，除取得個人單獨(dú)同意外，只能用于維護(hù)公共安全的目的，并設(shè)置顯著的提示標(biāo)識。

7.規(guī)范自動化決策

《個人信息保護(hù)法》第二十四條規(guī)定，自動化決策應(yīng)當(dāng)透明、公平、公正，不得實行不合理的差別待遇，信息推送、商業(yè)營銷須提供不針對個人特征的選項，或者向個人提供便捷的拒絕方式。通過自動化決策方式作出對個人權(quán)益有重大影響的決定，個人有權(quán)要求個人信息處理者予以說明，并有權(quán)拒絕個人信息處理者僅通過自動化決策的方式作出決定。

8.賦予個人充分權(quán)利

《個人信息保護(hù)法》明確了個人在個人信息處理活動中的各項權(quán)利，包括知情權(quán)、決定權(quán)、查詢權(quán)、復(fù)制權(quán)、更正權(quán)、補(bǔ)充權(quán)、刪除權(quán)、要求解釋說明的權(quán)利等。同時，對個人信息可攜帶權(quán)作了原則規(guī)定，符合國家網(wǎng)信部門規(guī)定條件的，個人信息處理者應(yīng)當(dāng)提供轉(zhuǎn)移的途徑。此外，還對死者個人信息的保護(hù)作了專門規(guī)定，明確在尊重死者生前安排的前提下，其近親屬為自身合法、正當(dāng)利益，可以對死者個人信息行使查閱、復(fù)制、更正、刪除等權(quán)利。

9.明確個人信息處理者的義務(wù)

《個人信息保護(hù)法》第五章對個人信息處理者的職責(zé)和義務(wù)提出了嚴(yán)格的要求。人信息處理者應(yīng)當(dāng)根據(jù)個人信息的處理目的、處理方式、個人信息的種類以及對個人權(quán)益的影響、可能存在的安全風(fēng)險等，制定內(nèi)部管理制度和操作規(guī)程、實行分級分類管理、采取相應(yīng)的安全技術(shù)措施、明確操作權(quán)限并定期開展培訓(xùn)、制定實施安全事件應(yīng)急預(yù)案；如果處理個人信息數(shù)量達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量的，還應(yīng)當(dāng)指定個人信息保護(hù)負(fù)責(zé)人。定期對其個人信息活動進(jìn)行合規(guī)審計，并在涉及敏感個人信息、自動化決策等情形時還需在事前進(jìn)行個人信息保護(hù)影響評估，且評估報告及相關(guān)處理情況應(yīng)至少保存3年；發(fā)生或者可能發(fā)生個人信息泄露、篡改、丟失的，應(yīng)當(dāng)履行個人信息泄露通知和補(bǔ)救義務(wù)。此外，還規(guī)定了提供基礎(chǔ)性互聯(lián)網(wǎng)平臺服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的個人信息處理者的特定義務(wù)，推動大互聯(lián)網(wǎng)平臺加強(qiáng)合規(guī)建設(shè)，從而將合規(guī)管理體系的構(gòu)建上升到法律層面。

10.明確承擔(dān)的法律責(zé)任

《個人信息保護(hù)法》規(guī)定違規(guī)處理個人信息，或者處理個人信息未履行個人信息保護(hù)義務(wù)可能承擔(dān)警告、沒收違法所得、罰款(包括對單位和責(zé)任人員)、責(zé)令暫停相關(guān)業(yè)務(wù)或者停業(yè)整頓、吊銷許可或者營業(yè)執(zhí)照等行政處罰。同時還規(guī)定了民事訴訟以及公益訴訟機(jī)制，個人信息權(quán)益受到侵害的個人可通過民事訴訟向違反個人信息處理的信息處理者主張損害賠償責(zé)任。而且，如果個人信息處理者違反本法規(guī)定處理個人信息，侵害眾多個人的權(quán)益的，人民檢察院、法律規(guī)定的消費(fèi)者組織和由國家網(wǎng)信部門確定的組織可以依法向人民法院提起訴訟。

三、結(jié)合公司實際，提出以下建議

（一）征得個人同意，保障使用信息合法

應(yīng)通過《隱私權(quán)政策》等形式在明確取得個人同意的情形下方可處理個人信息，個人信息處理的重要事項發(fā)生變更，應(yīng)當(dāng)重新向個人告知并取得同意。

在處理敏感個人信息、向他人提供或公開個人信息等環(huán)節(jié)應(yīng)取得個人的單獨(dú)同意，不得隱瞞產(chǎn)品或服務(wù)所具有的收集個人信息的功能。應(yīng)審慎開展人臉識別相關(guān)業(yè)務(wù)，排查加油站等公共場所的采集設(shè)備。為降低合規(guī)風(fēng)險，可依法設(shè)置顯著的提示標(biāo)識，依據(jù)法律規(guī)定進(jìn)行及時整改。

（二）加強(qiáng)內(nèi)部管理，加強(qiáng)安全技術(shù)措施

建立健全個人信息安全原則及制度、個人信息分級分類規(guī)范、個人信息安全影響評估規(guī)范等個人信息保護(hù)相關(guān)的制度及規(guī)程，明確涉及個人信息處理不同崗位人員的安全職責(zé)和操作權(quán)限，定期對從業(yè)人員進(jìn)行安全教育和培訓(xùn)，建立發(fā)生安全事件的處罰機(jī)制；與相關(guān)人員簽署《保密協(xié)議》，并要求即使調(diào)離相關(guān)崗位或者終止勞動合同時，還需履行保密義務(wù)；根據(jù)企業(yè)個人信息分類分級的結(jié)果，對大量接觸敏感個人信息的人員可以進(jìn)行背景調(diào)查，了解其犯罪記錄、誠信狀況、工作經(jīng)歷等。

（三）加強(qiáng)安全措施，確保個人信息安全

敏感個人信息的特殊性決定了此類信息處理存在特殊限制，因此公司更應(yīng)謹(jǐn)慎處理敏感個人信息,對個人信息做加密、去標(biāo)識化等技術(shù)化處理，保障相關(guān)數(shù)據(jù)的機(jī)密性和完整性，設(shè)置嚴(yán)格的訪問控制措施，嚴(yán)把內(nèi)部數(shù)據(jù)審批流程，避免承擔(dān)更加嚴(yán)重的違法責(zé)任。同時，對于風(fēng)險隱患應(yīng)進(jìn)行有效監(jiān)控，定期開展個人信息保護(hù)影響評估，制定個人信息安全事件應(yīng)急預(yù)案，做到事前、事中、事后的管控。

（四）明確合作方權(quán)利義務(wù)，優(yōu)化信息處理合作

與其他企業(yè)共同決定個人信息的處理目的和處理方式的，應(yīng)當(dāng)約定各自的權(quán)利和義務(wù)約定，明確合作方之間連帶責(zé)任后的追責(zé)和違約責(zé)任的承擔(dān)問題。公司在與第三方合作，委托處理個人信息時，首先進(jìn)行個人信息保護(hù)影響評估，基于評估結(jié)果以及合作的目的和方式，以及合作關(guān)系涉及的個人信息處理活動的風(fēng)險程度，就合作方之間的關(guān)系和責(zé)任承擔(dān)進(jìn)行約定，并通過采取數(shù)據(jù)審計、持續(xù)監(jiān)控等措施，降低風(fēng)險，減少糾紛。