互聯(lián)網(wǎng)與大數(shù)據(jù)時代，個人信息保護(hù)構(gòu)成數(shù)字社會治理與數(shù)字經(jīng)濟(jì)發(fā)展的基本法，牽動著萬千公眾的切身利益，也關(guān)涉企業(yè)對于個人信息的合理利用與規(guī)范發(fā)展。

8月20日，第十三屆全國人大常委會第三十次會議表決通過《中華人民共和國個人信息保護(hù)法》，該法自2021年11月1日起正式施行。至此本法的正式頒布，為個人信息處理活動提供了明確的法律依據(jù)，為個人維護(hù)其信息權(quán)益提供了充分保障，也為企業(yè)合規(guī)處理提供了操作指引。現(xiàn)就本法的具體內(nèi)容與立法要點解讀如下：

1、《個人信息保護(hù)法》的主要內(nèi)容

《個人信息保護(hù)法》全文涵蓋了8章，74條內(nèi)容，其中第一章為“總則”，主要規(guī)定了立法目的、個人信息的定義、適用范圍以及基本原則等內(nèi)容。第二章為“個人信息處理基本規(guī)則”，分三節(jié)對個人信息處理的一般規(guī)定、敏感個人信息的處理規(guī)則以及國家機(jī)關(guān)處理個人信息的特別規(guī)定予以明確。第三章為“個人信息跨境提供的規(guī)則”，對于跨境提供個人信息的合規(guī)要件、處理規(guī)則、合規(guī)例外、國際協(xié)助處理規(guī)則作出規(guī)定。第四章為“個人在個人信息處理活動中的權(quán)利”，對知情權(quán)、決定權(quán)、查閱復(fù)制權(quán)、更正、補(bǔ)充的權(quán)利、刪除權(quán)、解釋說明權(quán)的內(nèi)涵進(jìn)行細(xì)化。第五章為“個人信息處理者的義務(wù)”，規(guī)定了個人信息處理者的一般安全義務(wù)、數(shù)據(jù)保護(hù)官規(guī)則、風(fēng)險評估規(guī)則和泄露信息及時報告的義務(wù)。第六章為“履行個人信息保護(hù)職責(zé)的部門”，確立了以網(wǎng)信辦為主導(dǎo)的個人信息保護(hù)行政監(jiān)管體系，并細(xì)化相應(yīng)部門職責(zé)。第七章為“法律責(zé)任”，從民事責(zé)任、行政責(zé)任、刑事責(zé)任三個方面對違法收集、處理和利用個人信息行為應(yīng)承擔(dān)的法律責(zé)任進(jìn)行了規(guī)定，并創(chuàng)設(shè)了個人信息保護(hù)領(lǐng)域的公益訴訟制度。第八章為“附則”，規(guī)定了適用《個人信息保護(hù)法》的例外情形以及相關(guān)名詞定義。

2、《個人信息保護(hù)法》的要點解讀

（一）術(shù)語界定

1.個人信息：是以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息。

2.個人信息的處理：包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等。

3.敏感個人信息：一旦泄露或者非法使用，容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財產(chǎn)安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息。

（二）范圍界定

1.境內(nèi)：組織、個人在中華人民共和國境內(nèi)處理自然人個人信息的活動，適用本法。

2.境外：在中華人民共和國境外處理中華人民共和國境內(nèi)自然人個人信息的活動，有下列情形之一的，也適用本法：以向境內(nèi)自然人提供產(chǎn)品或者服務(wù)為目的；分析、評估境內(nèi)自然人的行為；法律、行政法規(guī)規(guī)定的其他情形。另外，境外的個人信息處理者，應(yīng)當(dāng)在中華人民共和國境內(nèi)設(shè)立專門機(jī)構(gòu)或者指定代表，負(fù)責(zé)處理個人信息保護(hù)相關(guān)事務(wù)，并將有關(guān)機(jī)構(gòu)的名稱或者代表的姓名、聯(lián)系方式等報送履行個人信息保護(hù)職責(zé)的部門。

（三）個人信息處理規(guī)則

1.確立個人信息處理應(yīng)遵循的原則，強(qiáng)調(diào)處理個人信息應(yīng)當(dāng)遵循合法、正當(dāng)、必要和誠信原則，具有明確、合理的目的，限于實現(xiàn)處理目的的最小范圍，公開處理規(guī)則，保證信息準(zhǔn)確，采取安全保護(hù)措施等，并將上述原則貫穿于個人信息處理的全過程、各環(huán)節(jié)。(第五條至第九條)

2.確立以“告知-同意”為核心的個人信息處理一系列規(guī)則，要求處理個人信息應(yīng)當(dāng)在事先充分告知的前提下取得個人同意，并且個人有權(quán)撤回同意；重要事項發(fā)生變更的應(yīng)當(dāng)重新取得個人同意；不得以個人不同意為由拒絕提供產(chǎn)品或者服務(wù)。考慮到經(jīng)濟(jì)社會生活的復(fù)雜性和個人信息處理的不同情況，本法還對基于個人同意以外合法處理個人信息的情形作了規(guī)定。(第十三條至第十九條)

3.根據(jù)個人信息處理的不同環(huán)節(jié)、不同個人信息種類，對個人信息的共同處理、委托處理、向第三方提供、公開、用于自動化決策、處理已公開的個人信息等提出有針對性的要求。(第二十一條至第二十七條)

4.專節(jié)對處理敏感個人信息作出更嚴(yán)格的限制，只有在具有特定的目的和充分的必要性的情形下，方可處理敏感個人信息，并且應(yīng)當(dāng)取得個人的單獨同意或者書面同意。(第二十八條至第三十二條)

5.設(shè)專節(jié)規(guī)定國家機(jī)關(guān)處理個人信息的規(guī)則，在保障國家機(jī)關(guān)依法履行職責(zé)的同時，要求國家機(jī)關(guān)處理個人信息應(yīng)當(dāng)依照法律、行政法規(guī)規(guī)定的權(quán)限和程序進(jìn)行。(第三十三條至第三十七條)

6.禁止“大數(shù)據(jù)殺熟”等行為，個人信息保護(hù)法明確規(guī)定個人信息處理者利用個人信息進(jìn)行自動化決策，應(yīng)當(dāng)保證決策的透明度和結(jié)果公平、公正，不得對個人在交易價格等交易條件上實行不合理的差別待遇。

（四）個人信息跨境提供規(guī)則

1.明確關(guān)鍵信息基礎(chǔ)設(shè)施運營者和處理個人信息達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量的處理者，確需向境外提供個人信息的，應(yīng)當(dāng)通過國家網(wǎng)信部門組織的安全評估；對于其他需要跨境提供個人信息的，規(guī)定了經(jīng)專業(yè)機(jī)構(gòu)認(rèn)證等途徑。(第三十八條、第四十條)

2.對跨境提供個人信息的“告知-同意”作出更嚴(yán)格的要求。(第三十九條，應(yīng)告知接收方詳細(xì)信息，并取得單獨同意)

3.未經(jīng)中華人民共和國主管機(jī)關(guān)批準(zhǔn)，個人信息處理者不得向外國司法或者執(zhí)法機(jī)構(gòu)提供存儲于中華人民共和國境內(nèi)的個人信息。(第四十一條)

4.對從事?lián)p害我國公民個人信息權(quán)益等活動的境外組織、個人，以及在個人信息保護(hù)方面對我國采取不合理措施的國家和地區(qū)，規(guī)定了可以采取的相應(yīng)措施。(第四十二條、第四十三條，國家網(wǎng)信部門可以將其列入限制或者禁止個人信息提供清單，予以公告，并采取限制或者禁止向其提供個人信息等措施。)

（五）個人信息處理活動中個人的權(quán)利和處理者義務(wù)

1.明確在個人信息處理活動中個人的各項權(quán)利(第四十四條至第五十條)，包括知情權(quán)、決定權(quán)、查詢權(quán)、更正權(quán)、刪除權(quán)等，并要求個人信息處理者建立個人行使權(quán)利的申請受理和處理機(jī)制。

2.明確個人信息處理者的合規(guī)管理和保障個人信息安全等義務(wù)(第五十一條至第五十六條)：按照規(guī)定制定內(nèi)部管理制度和操作規(guī)程，采取相應(yīng)的安全技術(shù)措施，并指定負(fù)責(zé)人對其個人信息處理活動進(jìn)行監(jiān)督；定期對其個人信息活動進(jìn)行合規(guī)審計；對處理敏感個人信息、向境外提供個人信息等高風(fēng)險處理活動，事前進(jìn)行風(fēng)險評估；履行個人信息泄露通知和補(bǔ)救義務(wù)等。

3.明確提供基礎(chǔ)性互聯(lián)網(wǎng)平臺服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的個人信息處理者的義務(wù)(第五十七條)：建立健全個人信息保護(hù)合規(guī)制度體系，成立主要由外部成員組成的獨立機(jī)構(gòu)，對個人信息處理活動進(jìn)行監(jiān)督；遵循公開、公平、公正的原則，明確處理個人信息的規(guī)范和保護(hù)個人信息的義務(wù)；對嚴(yán)重違反法律、行政法規(guī)處理個人信息的平臺內(nèi)的產(chǎn)品或者服務(wù)提供者，停止提供服務(wù)；定期發(fā)布個人信息保護(hù)社會責(zé)任報告，接受社會監(jiān)督。

（六）履行個人信息保護(hù)職責(zé)的部門

1.國家網(wǎng)信部門負(fù)責(zé)統(tǒng)籌協(xié)調(diào)個人信息保護(hù)工作和相關(guān)監(jiān)督管理工作。

2.國務(wù)院有關(guān)部門依照本法和有關(guān)法律、行政法規(guī)的規(guī)定，在各自職責(zé)范圍內(nèi)負(fù)責(zé)個人信息保護(hù)和監(jiān)督管理工作。

3.縣級以上地方人民政府有關(guān)部門的個人信息保護(hù)和監(jiān)督管理職責(zé)，按照國家有關(guān)規(guī)定確定。

（六）法律責(zé)任

《個人信息保護(hù)法》根據(jù)個人信息處理的不同情況，對違法處理個人信息的行為設(shè)置了不同梯次的行政處罰。對未造成嚴(yán)重后果的輕微或一般違法行為，可由執(zhí)法部門責(zé)令改正、給予警告、沒收違法所得，對拒不改正的最高可處一百萬元罰款；對情節(jié)嚴(yán)重的違法行為，最高可處五千萬元或上一年度營業(yè)額百分之五的罰款，并可以對相關(guān)責(zé)任人員作出相關(guān)從業(yè)禁止的處罰。同時，個人信息保護(hù)法還專門規(guī)定，對違法處理個人信息的應(yīng)用程序，可以責(zé)令暫停或終止提供服務(wù)。在民事責(zé)任方面，個人信息保護(hù)法明確，處理個人信息侵害個人信息權(quán)益造成損害的，個人信息處理者如不能證明自己沒有過錯的，應(yīng)當(dāng)承擔(dān)損害賠償?shù)惹謾?quán)責(zé)任。

整體來看，《個人信息保護(hù)法》構(gòu)建了完整的個人信息保護(hù)框架。其規(guī)定涵蓋了個人信息的范圍以及個人信息從收集、存儲到使用、加工、傳輸、提供、公開、刪除等所有處理過程；明確賦予了個人對其信息控制的相關(guān)權(quán)利，并確認(rèn)與個人權(quán)利相對應(yīng)的個人信息處理者的義務(wù)及法律責(zé)任；對個人信息出境問題、個人信息保護(hù)的部門職責(zé)、相關(guān)法律責(zé)任進(jìn)行了規(guī)定。

3、如何合理合法采集并使用個人信息

既然個人信息如此敏感又有價值，在法律層面上又對其使用提出了什么要求呢？《民法典》第一千零三十五條規(guī)定，處理個人信息的，應(yīng)當(dāng)遵循合法、正當(dāng)、必要原則，不得過度處理，并符合下列條件：

（一）征得該自然人或者其監(jiān)護(hù)人同意，但是法律、行政法規(guī)另有規(guī)定的除外；

（二）公開處理信息的規(guī)則；

（三）明示處理信息的目的、方式和范圍；

（四）不違反法律、行政法規(guī)的規(guī)定和雙方的約定。

依照法律規(guī)定，采集個人信息必須征得自然人同意，不違背其意愿。強(qiáng)行采集，綁定采集，暗箱采集，非法抓取都是違法方式。個人信息中包含大量隱私，而隱私的公開權(quán)歸屬個人所有，除非法律另有規(guī)定，任何不經(jīng)同意的采集行為都是對個人信息權(quán)和隱私權(quán)的侵害。現(xiàn)代科技手段高度發(fā)達(dá)，采集手段多種多樣，所能記入大數(shù)據(jù)的信息類型也在不斷豐富。網(wǎng)絡(luò)環(huán)境下人與人，人與企業(yè)之間的溝通空前密切，在使用網(wǎng)絡(luò)服務(wù)的時候產(chǎn)生的個人數(shù)據(jù)雖然不是第一手個人信息，但是也能符合法條對個人信息的定義，也應(yīng)納入保護(hù)。

而采集信息的規(guī)則必須公開透明，因為通過對第一手信息的掌握，大數(shù)據(jù)演算技術(shù)可以推測出更多個人信息。如果僅限制采集這一環(huán)節(jié)，那么后續(xù)對信息的處理而產(chǎn)生的深層信息將成為“法外狂徒”。所以，采集到個人信息后，如何處理這些信息，如何利用這些信息，必須清晰可控，劃分好邊界，不得違反法律法規(guī)以及雙方約定的范圍。

近年來，我國加強(qiáng)有關(guān)個人信息的法律建設(shè)，從民法、刑法、行政法等多個方面高度重視，2012年通過《全國人民代表大會常務(wù)委員會關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》，2013年修改的《消費者權(quán)益保護(hù)法》、2016年通過的《網(wǎng)絡(luò)安全法》和2018年通過的《電子商務(wù)法》，初步建立了一套個人信息保護(hù)和網(wǎng)絡(luò)運營個人信息的規(guī)則體系。作為企業(yè)，既要在信息競爭中不落下風(fēng)，也要遵守法律，還要做到真正的人性化，就必須健全企業(yè)內(nèi)部的用戶信息管理系統(tǒng)，做到安全、合規(guī)、高效的采集和使用用戶信息，提供個性化的優(yōu)質(zhì)服務(wù)。