2021年8月20日，十三屆全國人大常委會第三十次會議表決通過《個人信息保護法》，該法將于2021年11月1日生效。

《個人信息保護法》全文涵蓋了八章，七十四條內容。分別為總則、個人信息處理規則、個人信息跨境提供的規則、個人在個人信息處理活動中的權利、個人信息處理者的義務、履行個人信息保護職責的部門、法律責任和附則。《個人信息保護法》與《網絡安全法》、《數據安全法》共同構建了我國關于數據主權、數據安全、網絡安全和個人信息保護的基本法律框架。對企業數據合規實踐將產生重大影響。

2021年3.15晚會曝光案例中已有三個案例涉及個人信息保護：科勒衛浴在顧客不知情未同意情況下安裝攝像頭捕捉記錄顧客人臉信息并對顧客進行識別與分類；智聯、獵聘等平臺簡歷給錢就可以隨便下載，大量簡歷流入黑市，泄露應聘者信息；多款手機APP違規收集用戶個人信息、誘導老年人下載。近期，工信部多次對APP違規調取用戶通訊錄、位置信息等問題進行通報。隨著《個人信息保護法》的出臺，監管部門勢必會進一步加強個人信息保護。本期法律風險提示將對《個人信息保護法》進行解讀，著重對與我司經營相關的條文進行分析，并提示相關工作建議。

個人信息的定義

《個人信息保護法》明確了受該法保護的個人信息的定義，同時對敏感個人信息進行了特別強調。

（一）個人信息

《個人信息保護法》第三條規定：個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理后的信息。（匿名化，是指個人信息經過處理無法識別特定自然人且不能復原的過程。）

（二）敏感個人信息

《個人信息保護法》第二十八條規定：敏感個人信息是一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息。

個人信息處理的原則與規則

（一）個人信息處理的原則

根據《個人信息保護法》第五條至第九條，處理個人信息應遵循如下6個原則：

1、合法、正當、必要和誠信

個人信息處理者應當遵循合法、正當、必要和誠信原則，不得以誤導、欺詐、脅迫等方式處理個人信息。

2、明確相關

處理個人信息應當具有明確、合理的目的，并應當與處理目的直接相關。

3、最小程度

《個人信息保護法》要求個人信息處理活動對個人權益產生的影響最小；并不得過度收集個人信息，限于滿足處理目的的最小范圍。

4、公開透明

處理個人信息應當遵循公開、透明原則。該條要求個人信息處理者應當對外公開處理規則，并向個人明示處理的目的、方式和范圍（第七條）。公開透明原則保障了個人信息主體的知情權和同意權，是個人信息處理者履行告知同意義務的前提。

5、完整準確

個人信息處理者應當避免因個人信息的不準確、不完整而損害個人權益。

6、安全保障

處理者是個人信息處理活動的直接責任人，由個人信息處理者承擔個人信息處理的法定義務和責任。個人信息處理者應當采取必要措施保障個人信息的安全。

（二）個人信息處理規則

1、處理個人信息的合法性基礎

《個人信息保護法》第十三條規定了處理個人信息的合法性基礎，即：（一）取得個人的同意；（二）為訂立、履行個人作為一方當事人的合同所必需，或者按照依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理所必需；（三）為履行法定職責或者法定義務所必需；（四）為應對突發公共衛生事件，或者緊急情況下為保護自然人的生命健康和財產安全所必需；（五）為公共利益實施新聞報道、輿論監督等行為，在合理的范圍內處理個人信息；（六）依照本法規定在合理的范圍內處理個人自行公開或者其他已經合法公開的個人信息；（七）法律、行政法規規定的其他情形。

2、告知--同意

處理個人信息應當取得個人同意，但是如果有上述第十三條項下第2項至第7項規定情形的，則不需取得同意。基于個人同意處理個人信息的，該同意應當由個人在充分知情的前提下自愿、明確作出。法律、行政法規規定應當取得個人單獨同意或者書面同意的，從其規定。個人信息處理者在處理個人信息前，應以顯著的方式、清晰易懂的語言向個人告知特定事項，但根據法律、行政法規規定應當保密或者不需要告知的情形除外。

（1）告知的內容與方式

《個人信息保護法》第十七條規定：

個人信息處理者在處理個人信息前，應當以顯著方式、清晰易懂的語言真實、準確、完整地向個人告知下列事項：

（一）個人信息處理者的名稱或者姓名和聯系方式；

（二）個人信息的處理目的、處理方式，處理的個人信息種類、保存期限；

（三）個人行使本法規定權利的方式和程序；

（四）法律、行政法規規定應當告知的其他事項。

前款規定事項發生變更的，應當將變更部分告知個人。

個人信息處理者通過制定個人信息處理規則的方式告知第一款規定事項的，處理規則應當公開，并且便于查閱和保存。

第十八條規定：

個人信息處理者處理個人信息，有法律、行政法規規定應當保密或者不需要告知的情形的，可以不向個人告知前條第一款規定的事項。

緊急情況下為保護自然人的生命健康和財產安全無法及時向個人告知的，個人信息處理者應當在緊急情況消除后及時告知。

（2）同意的方式

《個人信息保護法》第十四條規定：

基于個人同意處理個人信息的，該同意應當由個人在充分知情的前提下自愿、明確作出。法律、行政法規規定處理個人信息應當取得個人單獨同意或者書面同意的，從其規定。

個人信息的處理目的、處理方式和處理的個人信息種類發生變更的，應當重新取得個人同意。

3、保存期限最短

除法律、行政法規另有規定外，個人信息的保存期限應當為實現處理目的所必要的最短時間。

4、共同處理規則

兩個以上的個人信息處理者共同決定個人信息的處理目的和處理方式的，應當約定各自的權利和義務。個人信息處理者共同處理個人信息，侵害個人信息權益造成損害的，應當依法承擔連帶責任。

5、委托處理規則

個人信息處理者委托處理個人信息的，應當與受托人約定委托處理的目的、期限、雙方的權利和義務等內容，并對受托人的個人信息處理活動進行監督。受托人應當按照約定處理個人信息，并且未經同意不得轉委托。

6、合并分立轉移規則

個人信息處理者因合并、分立、解散、被宣告破產等原因需要轉移個人信息的，應當向個人告知接收方的名稱或者姓名和聯系方式。接收方應繼續履行個人信息處理者的義務，若變更原先的處理目的、處理方式的，應重新獲取個人同意。

7、共享個人信息規則

個人信息處理者向其他個人信息處理者提供個人信息的，應當向個人告知接收方的名稱或者姓名、聯系方式、處理目的、處理方式和個人信息的種類，并取得個人的單獨同意。接收方應當在上述范圍內處理個人信息。

8、公開個人信息規則

除非取得個人單獨同意，否則個人信息處理者不得公開其處理的個人信息。除非個人明確拒絕，否則個人信息處理者可以免于取得同意、在合理的范圍內處理個人自行公開的個人信息；但如果該等處理對個人權益有重大影響的，則需要取得個人同意。

9、敏感個人信息處理規則

（1）需具有特定的目的和充分的必要性，并采取嚴格保護措施。

（2）需要取得個人的單獨同意；法律、行政法規另有規定需取得書面同意的，或者規定處理敏感個人信息應取得相關行政許可或者作出其他限制的，從其規定。

（3）在告知內容方面，需特別向個人告知處理敏感個人信息的必要性以及對個人權益的影響。

10、自動化決策的規則

（1）禁止大數據殺熟。自動化決策應保證決策的透明度和結果公平、公正，不得對個人在交易價格等交易條件上實行不合理的差別待遇。

（2）提供其他選項或拒絕方式。通過自動化決策方式進行信息推送、商業營銷，應當同時提供不針對其個人特征的選項，或者向個人提供便捷的拒絕方式。

（3）個人享有的權利。自動化決策作出對個人權益有重大影響的決定的，個人有權要求予以說明，并有權拒絕僅通過自動化決策的方式作出決定。 個人信息處理者的義務

個人信息處理者負有合規管理及保障和人信息安全等義務，具體總結如下：

（一）安全保障

個人信息處理者應當根據個人信息的處理目的、處理方式、個人信息的種類以及對個人權益的影響、可能存在的安全風險等，采取下列安全保障措施確保個人信息處理活動符合法律、行政法規的規定，并防止未經授權的訪問以及個人信息泄露、篡改、丟失：

1、制定內部管理制度和操作規程；

2、對個人信息實行分類管理；

3、采取相應的加密、去標識化等安全技術措施；

4、合理確定個人信息處理的操作權限，并定期對從業人員進行安全教育和培訓；

5、制定并組織實施個人信息安全事件應急預案；

6、法律、行政法規規定的其他措施。

（二）指定個人信息保護負責人

處理個人信息達到國家網信部門規定數量的個人信息處理者應當指定個人信息保護負責人，負責對個人信息處理活動以及采取的保護措施等進行監督。

個人信息處理者應當公開個人信息保護負責人的聯系方式，并將個人信息保護負責人的姓名、聯系方式等報送履行個人信息保護職責的部門。

（三）定期合規審計

個人信息處理者應當定期對其處理個人信息遵守法律、行政法規的情況進行合規審計。

（四）特定情況進行事前評估

有下列情形之一的，個人信息處理者應當事前進行個人信息保護影響評估，并對處理情況進行記錄：

1、處理敏感個人信息；

2、利用個人信息進行自動化決策；

3、委托處理個人信息、向其他個人信息處理者提供個人信息、公開個人信息；

4、向境外提供個人信息；

5、其他對個人權益有重大影響的個人信息處理活動。

個人信息保護影響評估應當包括下列內容：

1、個人信息的處理目的、處理方式等是否合法、正當、必要；

2、對個人權益的影響及安全風險；

3、所采取的保護措施是否合法、有效并與風險程度相適應。

個人信息保護影響評估報告和處理情況記錄應當至少保存三年。

（五）安全事件通知

發生或者可能發生個人信息泄露、篡改、丟失的，個人信息處理者應當立即采取補救措施，并通知履行個人信息保護職責的部門和個人。通知應當包括下列事項：

1、原因和可能造成的危害；

2、個人信息處理者采取的補救措施和個人可以采取的減輕危害的措施；

3、個人信息處理者的聯系方式。

個人信息處理者采取措施能夠有效避免信息泄露、篡改、丟失造成危害的，個人信息處理者可以不通知個人；履行個人信息保護職責的部門認為可能造成危害的，有權要求個人信息處理者通知個人。

（六）平臺特殊義務

提供重要互聯網平臺服務、用戶數量巨大、業務類型復雜的個人信息處理者，應當履行下列義務：

1、按照國家規定建立健全個人信息保護合規制度體系，成立主要由外部成員組成的獨立機構對個人信息保護情況進行監督；

2、遵循公開、公平、公正的原則，制定平臺規則，明確平臺內產品或者服務提供者處理個人信息的規范和保護個人信息的義務；

3、對嚴重違反法律、行政法規處理個人信息的平臺內的產品或者服務提供者，停止提供服務；

4、定期發布個人信息保護社會責任報告，接受社會監督。

法律責任

《個人信息保護法》對違法行為設置了明確的法律責任。具體規定如下：

（一）行政責任

《個人信息保護法》第六十六條：

違反本法規定處理個人信息，或者處理個人信息未履行本法規定的個人信息保護義務的，由履行個人信息保護職責的部門責令改正，給予警告，沒收違法所得，對違法處理個人信息的應用程序，責令暫停或者終止提供服務；拒不改正的，并處一百萬元以下罰款；對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。

有前款規定的違法行為，情節嚴重的，由省級以上履行個人信息保護職責的部門責令改正，沒收違法所得，并處五千萬元以下或者上一年度營業額百分之五以下罰款，并可以責令暫停相關業務或者停業整頓、通報有關主管部門吊銷相關業務許可或者吊銷營業執照；對直接負責的主管人員和其他直接責任人員處十萬元以上一百萬元以下罰款，并可以決定禁止其在一定期限內擔任相關企業的董事、監事、高級管理人員和個人信息保護負責人。

第六十七條：

有本法規定的違法行為的，依照有關法律、行政法規的規定記入信用檔案，并予以公示。

第七十一條：

違反本法規定，構成違反治安管理行為的，依法給予治安管理處罰；

（二）民事責任

《個人信息保護法》第六十九條：

處理個人信息侵害個人信息權益造成損害，個人信息處理者不能證明自己沒有過錯的，應當承擔損害賠償等侵權責任。

前款規定的損害賠償責任按照個人因此受到的損失或者個人信息處理者因此獲得的利益確定;個人因此受到的損失和個人信息處理者因此獲得的利益難以確定的，根據實際情況確定賠償數額。

（三）刑事責任

《個人信息保護法》第七十一條：違反本法規定，；構成犯罪的，依法追究刑事責任。

工作建議

（一）厘清公司經營過程中涉及個人信息處理的業務與環節；

（二）注意履行個人信息處理者的義務。公司自身需要進行個人信息處理的，應嚴格履行《個人信息保護法》規定的個人信息處理者的義務。包括但不限于：建立相關制度與規程、對個人信息進行分級分類管理、采取相應的加密、去標識化等安全技術措施、合理確定個人信息處理的操作權限，并定期對從業人員進行安全教育和培訓、制定并組織實施個人信息安全事件應急預案。

（三）注意進行個人信息保護影響評估。處理敏感個人信息、利用個人信息進行自動化決策、委托處理個人信息、向其他個人信息處理者提供個人信息、公開個人信息、向境外提供個人信息、其他對個人權益有重大影響的個人信息處理活動時，應事前進行個人信息保護影響評估，并對處理情況進行記錄。個人信息保護影響評估報告和處理情況記錄應當至少保存三年。

（四）涉及共同處理、委托處理的，在與合作方簽署協議時應明確各方權利義務，并對受托人的個人信息處理活動進行監督。