2021年8月20日，十三屆全國人大常委會(huì)第三十次會(huì)議表決通過《個(gè)人信息保護(hù)法》，該法將于2021年11月1日生效。

《個(gè)人信息保護(hù)法》全文涵蓋了八章，七十四條內(nèi)容。分別為總則、個(gè)人信息處理規(guī)則、個(gè)人信息跨境提供的規(guī)則、個(gè)人在個(gè)人信息處理活動(dòng)中的權(quán)利、個(gè)人信息處理者的義務(wù)、履行個(gè)人信息保護(hù)職責(zé)的部門、法律責(zé)任和附則?！秱€(gè)人信息保護(hù)法》與《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》共同構(gòu)建了我國關(guān)于數(shù)據(jù)主權(quán)、數(shù)據(jù)安全、網(wǎng)絡(luò)安全和個(gè)人信息保護(hù)的基本法律框架。對企業(yè)數(shù)據(jù)合規(guī)實(shí)踐將產(chǎn)生重大影響。

2021年3.15晚會(huì)曝光案例中已有三個(gè)案例涉及個(gè)人信息保護(hù)：科勒衛(wèi)浴在顧客不知情未同意情況下安裝攝像頭捕捉記錄顧客人臉信息并對顧客進(jìn)行識(shí)別與分類；智聯(lián)、獵聘等平臺(tái)簡歷給錢就可以隨便下載，大量簡歷流入黑市，泄露應(yīng)聘者信息；多款手機(jī)APP違規(guī)收集用戶個(gè)人信息、誘導(dǎo)老年人下載。近期，工信部多次對APP違規(guī)調(diào)取用戶通訊錄、位置信息等問題進(jìn)行通報(bào)。隨著《個(gè)人信息保護(hù)法》的出臺(tái)，監(jiān)管部門勢必會(huì)進(jìn)一步加強(qiáng)個(gè)人信息保護(hù)。本期法律風(fēng)險(xiǎn)提示將對《個(gè)人信息保護(hù)法》進(jìn)行解讀，著重對與我司經(jīng)營相關(guān)的條文進(jìn)行分析，并提示相關(guān)工作建議。

個(gè)人信息的定義

《個(gè)人信息保護(hù)法》明確了受該法保護(hù)的個(gè)人信息的定義，同時(shí)對敏感個(gè)人信息進(jìn)行了特別強(qiáng)調(diào)。

（一）個(gè)人信息

《個(gè)人信息保護(hù)法》第三條規(guī)定：個(gè)人信息是以電子或者其他方式記錄的與已識(shí)別或者可識(shí)別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息。（匿名化，是指個(gè)人信息經(jīng)過處理無法識(shí)別特定自然人且不能復(fù)原的過程。）

（二）敏感個(gè)人信息

《個(gè)人信息保護(hù)法》第二十八條規(guī)定：敏感個(gè)人信息是一旦泄露或者非法使用，容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財(cái)產(chǎn)安全受到危害的個(gè)人信息，包括生物識(shí)別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個(gè)人信息。

個(gè)人信息處理的原則與規(guī)則

（一）個(gè)人信息處理的原則

根據(jù)《個(gè)人信息保護(hù)法》第五條至第九條，處理個(gè)人信息應(yīng)遵循如下6個(gè)原則：

1、合法、正當(dāng)、必要和誠信

個(gè)人信息處理者應(yīng)當(dāng)遵循合法、正當(dāng)、必要和誠信原則，不得以誤導(dǎo)、欺詐、脅迫等方式處理個(gè)人信息。

2、明確相關(guān)

處理個(gè)人信息應(yīng)當(dāng)具有明確、合理的目的，并應(yīng)當(dāng)與處理目的直接相關(guān)。

3、最小程度

《個(gè)人信息保護(hù)法》要求個(gè)人信息處理活動(dòng)對個(gè)人權(quán)益產(chǎn)生的影響最??；并不得過度收集個(gè)人信息，限于滿足處理目的的最小范圍。

4、公開透明

處理個(gè)人信息應(yīng)當(dāng)遵循公開、透明原則。該條要求個(gè)人信息處理者應(yīng)當(dāng)對外公開處理規(guī)則，并向個(gè)人明示處理的目的、方式和范圍（第七條）。公開透明原則保障了個(gè)人信息主體的知情權(quán)和同意權(quán)，是個(gè)人信息處理者履行告知同意義務(wù)的前提。

5、完整準(zhǔn)確

個(gè)人信息處理者應(yīng)當(dāng)避免因個(gè)人信息的不準(zhǔn)確、不完整而損害個(gè)人權(quán)益。

6、安全保障

處理者是個(gè)人信息處理活動(dòng)的直接責(zé)任人，由個(gè)人信息處理者承擔(dān)個(gè)人信息處理的法定義務(wù)和責(zé)任。個(gè)人信息處理者應(yīng)當(dāng)采取必要措施保障個(gè)人信息的安全。

（二）個(gè)人信息處理規(guī)則

1、處理個(gè)人信息的合法性基礎(chǔ)

《個(gè)人信息保護(hù)法》第十三條規(guī)定了處理個(gè)人信息的合法性基礎(chǔ)，即：（一）取得個(gè)人的同意；（二）為訂立、履行個(gè)人作為一方當(dāng)事人的合同所必需，或者按照依法制定的勞動(dòng)規(guī)章制度和依法簽訂的集體合同實(shí)施人力資源管理所必需；（三）為履行法定職責(zé)或者法定義務(wù)所必需；（四）為應(yīng)對突發(fā)公共衛(wèi)生事件，或者緊急情況下為保護(hù)自然人的生命健康和財(cái)產(chǎn)安全所必需；（五）為公共利益實(shí)施新聞報(bào)道、輿論監(jiān)督等行為，在合理的范圍內(nèi)處理個(gè)人信息；（六）依照本法規(guī)定在合理的范圍內(nèi)處理個(gè)人自行公開或者其他已經(jīng)合法公開的個(gè)人信息；（七）法律、行政法規(guī)規(guī)定的其他情形。

2、告知--同意

處理個(gè)人信息應(yīng)當(dāng)取得個(gè)人同意，但是如果有上述第十三條項(xiàng)下第2項(xiàng)至第7項(xiàng)規(guī)定情形的，則不需取得同意?；趥€(gè)人同意處理個(gè)人信息的，該同意應(yīng)當(dāng)由個(gè)人在充分知情的前提下自愿、明確作出。法律、行政法規(guī)規(guī)定應(yīng)當(dāng)取得個(gè)人單獨(dú)同意或者書面同意的，從其規(guī)定。個(gè)人信息處理者在處理個(gè)人信息前，應(yīng)以顯著的方式、清晰易懂的語言向個(gè)人告知特定事項(xiàng)，但根據(jù)法律、行政法規(guī)規(guī)定應(yīng)當(dāng)保密或者不需要告知的情形除外。

（1）告知的內(nèi)容與方式

《個(gè)人信息保護(hù)法》第十七條規(guī)定：

個(gè)人信息處理者在處理個(gè)人信息前，應(yīng)當(dāng)以顯著方式、清晰易懂的語言真實(shí)、準(zhǔn)確、完整地向個(gè)人告知下列事項(xiàng)：

（一）個(gè)人信息處理者的名稱或者姓名和聯(lián)系方式；

（二）個(gè)人信息的處理目的、處理方式，處理的個(gè)人信息種類、保存期限；

（三）個(gè)人行使本法規(guī)定權(quán)利的方式和程序；

（四）法律、行政法規(guī)規(guī)定應(yīng)當(dāng)告知的其他事項(xiàng)。

前款規(guī)定事項(xiàng)發(fā)生變更的，應(yīng)當(dāng)將變更部分告知個(gè)人。

個(gè)人信息處理者通過制定個(gè)人信息處理規(guī)則的方式告知第一款規(guī)定事項(xiàng)的，處理規(guī)則應(yīng)當(dāng)公開，并且便于查閱和保存。

第十八條規(guī)定：

個(gè)人信息處理者處理個(gè)人信息，有法律、行政法規(guī)規(guī)定應(yīng)當(dāng)保密或者不需要告知的情形的，可以不向個(gè)人告知前條第一款規(guī)定的事項(xiàng)。

緊急情況下為保護(hù)自然人的生命健康和財(cái)產(chǎn)安全無法及時(shí)向個(gè)人告知的，個(gè)人信息處理者應(yīng)當(dāng)在緊急情況消除后及時(shí)告知。

（2）同意的方式

《個(gè)人信息保護(hù)法》第十四條規(guī)定：

基于個(gè)人同意處理個(gè)人信息的，該同意應(yīng)當(dāng)由個(gè)人在充分知情的前提下自愿、明確作出。法律、行政法規(guī)規(guī)定處理個(gè)人信息應(yīng)當(dāng)取得個(gè)人單獨(dú)同意或者書面同意的，從其規(guī)定。

個(gè)人信息的處理目的、處理方式和處理的個(gè)人信息種類發(fā)生變更的，應(yīng)當(dāng)重新取得個(gè)人同意。

3、保存期限最短

除法律、行政法規(guī)另有規(guī)定外，個(gè)人信息的保存期限應(yīng)當(dāng)為實(shí)現(xiàn)處理目的所必要的最短時(shí)間。

4、共同處理規(guī)則

兩個(gè)以上的個(gè)人信息處理者共同決定個(gè)人信息的處理目的和處理方式的，應(yīng)當(dāng)約定各自的權(quán)利和義務(wù)。個(gè)人信息處理者共同處理個(gè)人信息，侵害個(gè)人信息權(quán)益造成損害的，應(yīng)當(dāng)依法承擔(dān)連帶責(zé)任。

5、委托處理規(guī)則

個(gè)人信息處理者委托處理個(gè)人信息的，應(yīng)當(dāng)與受托人約定委托處理的目的、期限、雙方的權(quán)利和義務(wù)等內(nèi)容，并對受托人的個(gè)人信息處理活動(dòng)進(jìn)行監(jiān)督。受托人應(yīng)當(dāng)按照約定處理個(gè)人信息，并且未經(jīng)同意不得轉(zhuǎn)委托。

6、合并分立轉(zhuǎn)移規(guī)則

個(gè)人信息處理者因合并、分立、解散、被宣告破產(chǎn)等原因需要轉(zhuǎn)移個(gè)人信息的，應(yīng)當(dāng)向個(gè)人告知接收方的名稱或者姓名和聯(lián)系方式。接收方應(yīng)繼續(xù)履行個(gè)人信息處理者的義務(wù)，若變更原先的處理目的、處理方式的，應(yīng)重新獲取個(gè)人同意。

7、共享個(gè)人信息規(guī)則

個(gè)人信息處理者向其他個(gè)人信息處理者提供個(gè)人信息的，應(yīng)當(dāng)向個(gè)人告知接收方的名稱或者姓名、聯(lián)系方式、處理目的、處理方式和個(gè)人信息的種類，并取得個(gè)人的單獨(dú)同意。接收方應(yīng)當(dāng)在上述范圍內(nèi)處理個(gè)人信息。

8、公開個(gè)人信息規(guī)則

除非取得個(gè)人單獨(dú)同意，否則個(gè)人信息處理者不得公開其處理的個(gè)人信息。除非個(gè)人明確拒絕，否則個(gè)人信息處理者可以免于取得同意、在合理的范圍內(nèi)處理個(gè)人自行公開的個(gè)人信息；但如果該等處理對個(gè)人權(quán)益有重大影響的，則需要取得個(gè)人同意。

9、敏感個(gè)人信息處理規(guī)則

（1）需具有特定的目的和充分的必要性，并采取嚴(yán)格保護(hù)措施。

（2）需要取得個(gè)人的單獨(dú)同意；法律、行政法規(guī)另有規(guī)定需取得書面同意的，或者規(guī)定處理敏感個(gè)人信息應(yīng)取得相關(guān)行政許可或者作出其他限制的，從其規(guī)定。

（3）在告知內(nèi)容方面，需特別向個(gè)人告知處理敏感個(gè)人信息的必要性以及對個(gè)人權(quán)益的影響。

10、自動(dòng)化決策的規(guī)則

（1）禁止大數(shù)據(jù)殺熟。自動(dòng)化決策應(yīng)保證決策的透明度和結(jié)果公平、公正，不得對個(gè)人在交易價(jià)格等交易條件上實(shí)行不合理的差別待遇。

（2）提供其他選項(xiàng)或拒絕方式。通過自動(dòng)化決策方式進(jìn)行信息推送、商業(yè)營銷，應(yīng)當(dāng)同時(shí)提供不針對其個(gè)人特征的選項(xiàng)，或者向個(gè)人提供便捷的拒絕方式。

（3）個(gè)人享有的權(quán)利。自動(dòng)化決策作出對個(gè)人權(quán)益有重大影響的決定的，個(gè)人有權(quán)要求予以說明，并有權(quán)拒絕僅通過自動(dòng)化決策的方式作出決定。 個(gè)人信息處理者的義務(wù)

個(gè)人信息處理者負(fù)有合規(guī)管理及保障和人信息安全等義務(wù)，具體總結(jié)如下：

（一）安全保障

個(gè)人信息處理者應(yīng)當(dāng)根據(jù)個(gè)人信息的處理目的、處理方式、個(gè)人信息的種類以及對個(gè)人權(quán)益的影響、可能存在的安全風(fēng)險(xiǎn)等，采取下列安全保障措施確保個(gè)人信息處理活動(dòng)符合法律、行政法規(guī)的規(guī)定，并防止未經(jīng)授權(quán)的訪問以及個(gè)人信息泄露、篡改、丟失：

1、制定內(nèi)部管理制度和操作規(guī)程；

2、對個(gè)人信息實(shí)行分類管理；

3、采取相應(yīng)的加密、去標(biāo)識(shí)化等安全技術(shù)措施；

4、合理確定個(gè)人信息處理的操作權(quán)限，并定期對從業(yè)人員進(jìn)行安全教育和培訓(xùn)；

5、制定并組織實(shí)施個(gè)人信息安全事件應(yīng)急預(yù)案；

6、法律、行政法規(guī)規(guī)定的其他措施。

（二）指定個(gè)人信息保護(hù)負(fù)責(zé)人

處理個(gè)人信息達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量的個(gè)人信息處理者應(yīng)當(dāng)指定個(gè)人信息保護(hù)負(fù)責(zé)人，負(fù)責(zé)對個(gè)人信息處理活動(dòng)以及采取的保護(hù)措施等進(jìn)行監(jiān)督。

個(gè)人信息處理者應(yīng)當(dāng)公開個(gè)人信息保護(hù)負(fù)責(zé)人的聯(lián)系方式，并將個(gè)人信息保護(hù)負(fù)責(zé)人的姓名、聯(lián)系方式等報(bào)送履行個(gè)人信息保護(hù)職責(zé)的部門。

（三）定期合規(guī)審計(jì)

個(gè)人信息處理者應(yīng)當(dāng)定期對其處理個(gè)人信息遵守法律、行政法規(guī)的情況進(jìn)行合規(guī)審計(jì)。

（四）特定情況進(jìn)行事前評估

有下列情形之一的，個(gè)人信息處理者應(yīng)當(dāng)事前進(jìn)行個(gè)人信息保護(hù)影響評估，并對處理情況進(jìn)行記錄：

1、處理敏感個(gè)人信息；

2、利用個(gè)人信息進(jìn)行自動(dòng)化決策；

3、委托處理個(gè)人信息、向其他個(gè)人信息處理者提供個(gè)人信息、公開個(gè)人信息；

4、向境外提供個(gè)人信息；

5、其他對個(gè)人權(quán)益有重大影響的個(gè)人信息處理活動(dòng)。

個(gè)人信息保護(hù)影響評估應(yīng)當(dāng)包括下列內(nèi)容：

1、個(gè)人信息的處理目的、處理方式等是否合法、正當(dāng)、必要；

2、對個(gè)人權(quán)益的影響及安全風(fēng)險(xiǎn)；

3、所采取的保護(hù)措施是否合法、有效并與風(fēng)險(xiǎn)程度相適應(yīng)。

個(gè)人信息保護(hù)影響評估報(bào)告和處理情況記錄應(yīng)當(dāng)至少保存三年。

（五）安全事件通知

發(fā)生或者可能發(fā)生個(gè)人信息泄露、篡改、丟失的，個(gè)人信息處理者應(yīng)當(dāng)立即采取補(bǔ)救措施，并通知履行個(gè)人信息保護(hù)職責(zé)的部門和個(gè)人。通知應(yīng)當(dāng)包括下列事項(xiàng)：

1、原因和可能造成的危害；

2、個(gè)人信息處理者采取的補(bǔ)救措施和個(gè)人可以采取的減輕危害的措施；

3、個(gè)人信息處理者的聯(lián)系方式。

個(gè)人信息處理者采取措施能夠有效避免信息泄露、篡改、丟失造成危害的，個(gè)人信息處理者可以不通知個(gè)人；履行個(gè)人信息保護(hù)職責(zé)的部門認(rèn)為可能造成危害的，有權(quán)要求個(gè)人信息處理者通知個(gè)人。

（六）平臺(tái)特殊義務(wù)

提供重要互聯(lián)網(wǎng)平臺(tái)服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的個(gè)人信息處理者，應(yīng)當(dāng)履行下列義務(wù)：

1、按照國家規(guī)定建立健全個(gè)人信息保護(hù)合規(guī)制度體系，成立主要由外部成員組成的獨(dú)立機(jī)構(gòu)對個(gè)人信息保護(hù)情況進(jìn)行監(jiān)督；

2、遵循公開、公平、公正的原則，制定平臺(tái)規(guī)則，明確平臺(tái)內(nèi)產(chǎn)品或者服務(wù)提供者處理個(gè)人信息的規(guī)范和保護(hù)個(gè)人信息的義務(wù)；

3、對嚴(yán)重違反法律、行政法規(guī)處理個(gè)人信息的平臺(tái)內(nèi)的產(chǎn)品或者服務(wù)提供者，停止提供服務(wù)；

4、定期發(fā)布個(gè)人信息保護(hù)社會(huì)責(zé)任報(bào)告，接受社會(huì)監(jiān)督。

法律責(zé)任

《個(gè)人信息保護(hù)法》對違法行為設(shè)置了明確的法律責(zé)任。具體規(guī)定如下：

（一）行政責(zé)任

《個(gè)人信息保護(hù)法》第六十六條：

違反本法規(guī)定處理個(gè)人信息，或者處理個(gè)人信息未履行本法規(guī)定的個(gè)人信息保護(hù)義務(wù)的，由履行個(gè)人信息保護(hù)職責(zé)的部門責(zé)令改正，給予警告，沒收違法所得，對違法處理個(gè)人信息的應(yīng)用程序，責(zé)令暫?；蛘呓K止提供服務(wù)；拒不改正的，并處一百萬元以下罰款；對直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處一萬元以上十萬元以下罰款。

有前款規(guī)定的違法行為，情節(jié)嚴(yán)重的，由省級以上履行個(gè)人信息保護(hù)職責(zé)的部門責(zé)令改正，沒收違法所得，并處五千萬元以下或者上一年度營業(yè)額百分之五以下罰款，并可以責(zé)令暫停相關(guān)業(yè)務(wù)或者停業(yè)整頓、通報(bào)有關(guān)主管部門吊銷相關(guān)業(yè)務(wù)許可或者吊銷營業(yè)執(zhí)照；對直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處十萬元以上一百萬元以下罰款，并可以決定禁止其在一定期限內(nèi)擔(dān)任相關(guān)企業(yè)的董事、監(jiān)事、高級管理人員和個(gè)人信息保護(hù)負(fù)責(zé)人。

第六十七條：

有本法規(guī)定的違法行為的，依照有關(guān)法律、行政法規(guī)的規(guī)定記入信用檔案，并予以公示。

第七十一條：

違反本法規(guī)定，構(gòu)成違反治安管理行為的，依法給予治安管理處罰；

（二）民事責(zé)任

《個(gè)人信息保護(hù)法》第六十九條：

處理個(gè)人信息侵害個(gè)人信息權(quán)益造成損害，個(gè)人信息處理者不能證明自己沒有過錯(cuò)的，應(yīng)當(dāng)承擔(dān)損害賠償?shù)惹謾?quán)責(zé)任。

前款規(guī)定的損害賠償責(zé)任按照個(gè)人因此受到的損失或者個(gè)人信息處理者因此獲得的利益確定;個(gè)人因此受到的損失和個(gè)人信息處理者因此獲得的利益難以確定的，根據(jù)實(shí)際情況確定賠償數(shù)額。

（三）刑事責(zé)任

《個(gè)人信息保護(hù)法》第七十一條：違反本法規(guī)定，；構(gòu)成犯罪的，依法追究刑事責(zé)任。

工作建議

（一）厘清公司經(jīng)營過程中涉及個(gè)人信息處理的業(yè)務(wù)與環(huán)節(jié)；

（二）注意履行個(gè)人信息處理者的義務(wù)。公司自身需要進(jìn)行個(gè)人信息處理的，應(yīng)嚴(yán)格履行《個(gè)人信息保護(hù)法》規(guī)定的個(gè)人信息處理者的義務(wù)。包括但不限于：建立相關(guān)制度與規(guī)程、對個(gè)人信息進(jìn)行分級分類管理、采取相應(yīng)的加密、去標(biāo)識(shí)化等安全技術(shù)措施、合理確定個(gè)人信息處理的操作權(quán)限，并定期對從業(yè)人員進(jìn)行安全教育和培訓(xùn)、制定并組織實(shí)施個(gè)人信息安全事件應(yīng)急預(yù)案。

（三）注意進(jìn)行個(gè)人信息保護(hù)影響評估。處理敏感個(gè)人信息、利用個(gè)人信息進(jìn)行自動(dòng)化決策、委托處理個(gè)人信息、向其他個(gè)人信息處理者提供個(gè)人信息、公開個(gè)人信息、向境外提供個(gè)人信息、其他對個(gè)人權(quán)益有重大影響的個(gè)人信息處理活動(dòng)時(shí)，應(yīng)事前進(jìn)行個(gè)人信息保護(hù)影響評估，并對處理情況進(jìn)行記錄。個(gè)人信息保護(hù)影響評估報(bào)告和處理情況記錄應(yīng)當(dāng)至少保存三年。

（四）涉及共同處理、委托處理的，在與合作方簽署協(xié)議時(shí)應(yīng)明確各方權(quán)利義務(wù)，并對受托人的個(gè)人信息處理活動(dòng)進(jìn)行監(jiān)督。