互聯網與大數據時代，個人信息保護構成數字社會治理與數字經濟發展的基本法，牽動著萬千公眾的切身利益，也關涉企業對于個人信息的合理利用與規范發展。

8月20日，第十三屆全國人大常委會第三十次會議表決通過《中華人民共和國個人信息保護法》，該法自2021年11月1日起正式施行。至此本法的正式頒布，為個人信息處理活動提供了明確的法律依據，為個人維護其信息權益提供了充分保障，也為企業合規處理提供了操作指引。現就本法的具體內容與立法要點解讀如下：

1、《個人信息保護法》的主要內容

《個人信息保護法》全文涵蓋了8章，74條內容，其中第一章為“總則”，主要規定了立法目的、個人信息的定義、適用范圍以及基本原則等內容。第二章為“個人信息處理基本規則”，分三節對個人信息處理的一般規定、敏感個人信息的處理規則以及國家機關處理個人信息的特別規定予以明確。第三章為“個人信息跨境提供的規則”，對于跨境提供個人信息的合規要件、處理規則、合規例外、國際協助處理規則作出規定。第四章為“個人在個人信息處理活動中的權利”，對知情權、決定權、查閱復制權、更正、補充的權利、刪除權、解釋說明權的內涵進行細化。第五章為“個人信息處理者的義務”，規定了個人信息處理者的一般安全義務、數據保護官規則、風險評估規則和泄露信息及時報告的義務。第六章為“履行個人信息保護職責的部門”，確立了以網信辦為主導的個人信息保護行政監管體系，并細化相應部門職責。第七章為“法律責任”，從民事責任、行政責任、刑事責任三個方面對違法收集、處理和利用個人信息行為應承擔的法律責任進行了規定，并創設了個人信息保護領域的公益訴訟制度。第八章為“附則”，規定了適用《個人信息保護法》的例外情形以及相關名詞定義。

2、《個人信息保護法》的要點解讀

（一）術語界定

1.個人信息：是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理后的信息。

2.個人信息的處理：包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等。

3.敏感個人信息：一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息。

（二）范圍界定

1.境內：組織、個人在中華人民共和國境內處理自然人個人信息的活動，適用本法。

2.境外：在中華人民共和國境外處理中華人民共和國境內自然人個人信息的活動，有下列情形之一的，也適用本法：以向境內自然人提供產品或者服務為目的；分析、評估境內自然人的行為；法律、行政法規規定的其他情形。另外，境外的個人信息處理者，應當在中華人民共和國境內設立專門機構或者指定代表，負責處理個人信息保護相關事務，并將有關機構的名稱或者代表的姓名、聯系方式等報送履行個人信息保護職責的部門。

（三）個人信息處理規則

1.確立個人信息處理應遵循的原則，強調處理個人信息應當遵循合法、正當、必要和誠信原則，具有明確、合理的目的，限于實現處理目的的最小范圍，公開處理規則，保證信息準確，采取安全保護措施等，并將上述原則貫穿于個人信息處理的全過程、各環節。(第五條至第九條)

2.確立以“告知-同意”為核心的個人信息處理一系列規則，要求處理個人信息應當在事先充分告知的前提下取得個人同意，并且個人有權撤回同意；重要事項發生變更的應當重新取得個人同意；不得以個人不同意為由拒絕提供產品或者服務。考慮到經濟社會生活的復雜性和個人信息處理的不同情況，本法還對基于個人同意以外合法處理個人信息的情形作了規定。(第十三條至第十九條)

3.根據個人信息處理的不同環節、不同個人信息種類，對個人信息的共同處理、委托處理、向第三方提供、公開、用于自動化決策、處理已公開的個人信息等提出有針對性的要求。(第二十一條至第二十七條)

4.專節對處理敏感個人信息作出更嚴格的限制，只有在具有特定的目的和充分的必要性的情形下，方可處理敏感個人信息，并且應當取得個人的單獨同意或者書面同意。(第二十八條至第三十二條)

5.設專節規定國家機關處理個人信息的規則，在保障國家機關依法履行職責的同時，要求國家機關處理個人信息應當依照法律、行政法規規定的權限和程序進行。(第三十三條至第三十七條)

6.禁止“大數據殺熟”等行為，個人信息保護法明確規定個人信息處理者利用個人信息進行自動化決策，應當保證決策的透明度和結果公平、公正，不得對個人在交易價格等交易條件上實行不合理的差別待遇。

（四）個人信息跨境提供規則

1.明確關鍵信息基礎設施運營者和處理個人信息達到國家網信部門規定數量的處理者，確需向境外提供個人信息的，應當通過國家網信部門組織的安全評估；對于其他需要跨境提供個人信息的，規定了經專業機構認證等途徑。(第三十八條、第四十條)

2.對跨境提供個人信息的“告知-同意”作出更嚴格的要求。(第三十九條，應告知接收方詳細信息，并取得單獨同意)

3.未經中華人民共和國主管機關批準，個人信息處理者不得向外國司法或者執法機構提供存儲于中華人民共和國境內的個人信息。(第四十一條)

4.對從事損害我國公民個人信息權益等活動的境外組織、個人，以及在個人信息保護方面對我國采取不合理措施的國家和地區，規定了可以采取的相應措施。(第四十二條、第四十三條，國家網信部門可以將其列入限制或者禁止個人信息提供清單，予以公告，并采取限制或者禁止向其提供個人信息等措施。)

（五）個人信息處理活動中個人的權利和處理者義務

1.明確在個人信息處理活動中個人的各項權利(第四十四條至第五十條)，包括知情權、決定權、查詢權、更正權、刪除權等，并要求個人信息處理者建立個人行使權利的申請受理和處理機制。

2.明確個人信息處理者的合規管理和保障個人信息安全等義務(第五十一條至第五十六條)：按照規定制定內部管理制度和操作規程，采取相應的安全技術措施，并指定負責人對其個人信息處理活動進行監督；定期對其個人信息活動進行合規審計；對處理敏感個人信息、向境外提供個人信息等高風險處理活動，事前進行風險評估；履行個人信息泄露通知和補救義務等。

3.明確提供基礎性互聯網平臺服務、用戶數量巨大、業務類型復雜的個人信息處理者的義務(第五十七條)：建立健全個人信息保護合規制度體系，成立主要由外部成員組成的獨立機構，對個人信息處理活動進行監督；遵循公開、公平、公正的原則，明確處理個人信息的規范和保護個人信息的義務；對嚴重違反法律、行政法規處理個人信息的平臺內的產品或者服務提供者，停止提供服務；定期發布個人信息保護社會責任報告，接受社會監督。

（六）履行個人信息保護職責的部門

1.國家網信部門負責統籌協調個人信息保護工作和相關監督管理工作。

2.國務院有關部門依照本法和有關法律、行政法規的規定，在各自職責范圍內負責個人信息保護和監督管理工作。

3.縣級以上地方人民政府有關部門的個人信息保護和監督管理職責，按照國家有關規定確定。

（六）法律責任

《個人信息保護法》根據個人信息處理的不同情況，對違法處理個人信息的行為設置了不同梯次的行政處罰。對未造成嚴重后果的輕微或一般違法行為，可由執法部門責令改正、給予警告、沒收違法所得，對拒不改正的最高可處一百萬元罰款；對情節嚴重的違法行為，最高可處五千萬元或上一年度營業額百分之五的罰款，并可以對相關責任人員作出相關從業禁止的處罰。同時，個人信息保護法還專門規定，對違法處理個人信息的應用程序，可以責令暫停或終止提供服務。在民事責任方面，個人信息保護法明確，處理個人信息侵害個人信息權益造成損害的，個人信息處理者如不能證明自己沒有過錯的，應當承擔損害賠償等侵權責任。

整體來看，《個人信息保護法》構建了完整的個人信息保護框架。其規定涵蓋了個人信息的范圍以及個人信息從收集、存儲到使用、加工、傳輸、提供、公開、刪除等所有處理過程；明確賦予了個人對其信息控制的相關權利，并確認與個人權利相對應的個人信息處理者的義務及法律責任；對個人信息出境問題、個人信息保護的部門職責、相關法律責任進行了規定。

3、如何合理合法采集并使用個人信息

既然個人信息如此敏感又有價值，在法律層面上又對其使用提出了什么要求呢？《民法典》第一千零三十五條規定，處理個人信息的，應當遵循合法、正當、必要原則，不得過度處理，并符合下列條件：

（一）征得該自然人或者其監護人同意，但是法律、行政法規另有規定的除外；

（二）公開處理信息的規則；

（三）明示處理信息的目的、方式和范圍；

（四）不違反法律、行政法規的規定和雙方的約定。

依照法律規定，采集個人信息必須征得自然人同意，不違背其意愿。強行采集，綁定采集，暗箱采集，非法抓取都是違法方式。個人信息中包含大量隱私，而隱私的公開權歸屬個人所有，除非法律另有規定，任何不經同意的采集行為都是對個人信息權和隱私權的侵害。現代科技手段高度發達，采集手段多種多樣，所能記入大數據的信息類型也在不斷豐富。網絡環境下人與人，人與企業之間的溝通空前密切，在使用網絡服務的時候產生的個人數據雖然不是第一手個人信息，但是也能符合法條對個人信息的定義，也應納入保護。

而采集信息的規則必須公開透明，因為通過對第一手信息的掌握，大數據演算技術可以推測出更多個人信息。如果僅限制采集這一環節，那么后續對信息的處理而產生的深層信息將成為“法外狂徒”。所以，采集到個人信息后，如何處理這些信息，如何利用這些信息，必須清晰可控，劃分好邊界，不得違反法律法規以及雙方約定的范圍。

近年來，我國加強有關個人信息的法律建設，從民法、刑法、行政法等多個方面高度重視，2012年通過《全國人民代表大會常務委員會關于加強網絡信息保護的決定》，2013年修改的《消費者權益保護法》、2016年通過的《網絡安全法》和2018年通過的《電子商務法》，初步建立了一套個人信息保護和網絡運營個人信息的規則體系。作為企業，既要在信息競爭中不落下風，也要遵守法律，還要做到真正的人性化，就必須健全企業內部的用戶信息管理系統，做到安全、合規、高效的采集和使用用戶信息，提供個性化的優質服務。