随着信息化社会的不断发展，个人信息保护成为了社会各界重点关注的问题。2018年9月，关于个人信息保护的法律正式被纳入全国人民代表大会的立法计划，历时近三年，2021年8月20日，十三届全国人大常委会第三十次会议表决通过了《中华人民共和国个人信息保护法》（以下简称“《个人信息保护法》”或“该法”），该法自2021年11月1日起施行。

《个人信息保护法》分为八章共七十四条，明晰了个人信息处理活动中的相关主体的权利义务边界。该法是我国首部明确规定个人信息处理规则的法律，区别于之前分散颁布的部门规章，其较高的位阶反映了该法所调整的法律关系之重要性。该法对违法处理个人信息的处罚作出了严厉的规定，全面提升了违法违规成本，除了民事责任外，相关的处罚包括责令改正、给予警告，没收违法所得，责令暂停或者终止提供服务、罚款等行政责任，以及刑事责任。其中，针对情节严重的违法处理个人信息行为，可处五千万元以下或者上一年度营业额百分之五以下罚款；该项用营业额进行处罚的规定是继《中华人民共和国反垄断法》之后，我国第二部涉及按营业收入百分比进行行政处罚的法律，可对个人信息处理者起到较强的震慑作用。

本文将简要梳理《个人信息保护法》的要点，以为个人信息处理者提供若干合规参考。

一、《个人信息保护法》的部分要点梳理

（一）个人信息及个人信息处理活动的定义

根据《个人信息保护法》第四条的规定，个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息；个人信息处理活动则包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。

根据上述规定，个人信息需具有可识别性并需与特定自然人相联系，匿名化处理后的信息不属于个人信息范畴；与《民法典》的规定相比，在个人信息处理活动的类型上，该法新增了“删除”这一类型。

（二）《个人信息保护法》的适用主体及域外效力

根据《个人信息保护法》第三条、第五十八条、第六十八条等规定，凡是在我国境内处理自然人个人信息，均适用该法。这就意味着，除法律另有规定外，无论是国家机关、企事业单位、法人企业，或者非法人组织以及自然人，其实施的个人信息处理活动都适用《个人信息保护法》。

此外，《个人信息保护法》第三条第二款规定，“在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动，有下列情形之一的，也适用本法：（一）以向境内自然人提供产品或者服务为目的；（二）分析、评估境内自然人的行为；（三）法律、行政法规规定的其他情形。”鉴于互联网的开放性以及数据的流通性，《个人信息保护法》第三条第一款在明确我国对个人信息处理活动的调整坚持以“属地管辖”为原则的同时，兼采“保护原则”，凡是属于向境内自然人提供产品或者服务为目的，或分析、评估境内自然人的行为以及法律、行政法规规定的其他情形的，无论个人信息处理活动在境内抑或在境外进行，均适用该法。

（三）个人信息处理的原则及规则

《个人信息保护法》第五条、第六条、第七条、第八条对个人信息处理进行了原则的规定，具体需遵循的原则包括合法、正当、必要和诚信原则、合法正当目的、对个人权益影响最小以及公开、透明、确保准确性原则。

对于个人信息处理的具体规则，《个人信息保护法》第二章进行了明确的规定，该等规定既明确了个人信息处理的合法性来源，也为个人信息处理者合规处理个人信息提供了清晰的指引。现将该等规则的要点概括如下：

1. 个人信息处理的合法性来源

《个人信息保护法》第十三条规定，“符合下列情形之一的，个人信息处理者方可处理个人信息：

（一）取得个人的同意；

（二）为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需；

（三）为履行法定职责或者法定义务所必需；

（四）为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需；

（五）为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息；

（六）依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息；

（七）法律、行政法规规定的其他情形。

依照本法其他有关规定，处理个人信息应当取得个人同意，但是有前款第二项至第七项规定情形的，不需取得个人同意。”

上述规定明确，除非属于该法第十三条规定的（二）至（七）项情形外，个人信息处理者需取得个人的同意方可处理个人信息。

2. 告知同意规则

《个人信息保护法》第十四条至十八条对个人信息处理的告知同意规则进行了细化的规定，具体包括：明确了第十三条第一款的“个人同意”应当是由个人在充分知情的前提下自愿、明确作出；同时，如果法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的，从其规定；且如果个人信息的处理目的、处理方式和处理的个人信息种类、保存期限发生变更的，应当重新取得个人同意；个人有权撤回其同意。要求个人信息处理者在处理个人信息前，应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知该法所列举的各个事项；个人信息处理者应当提供便捷的撤回同意的方式，处理者不得以个人不同意为由拒绝提供产品或者服务。

3. 个人信息的公开

《个人信息保护法》第二十五条规定，个人信息处理者不得公开其处理的个人信息，取得个人单独同意的除外。该条确定了个人信息以不公开为原则，取得个人的单独同意为例外。

4. 与第三方共同处理或委托第三方处理个人信息

个人信息处理者与第三方共同处理个人信息的，根据《个人信息保护法》第二十条的规定，个人信息处理者与第三方应当约定各自的权利和义务，且个人信息处理者与第三方需依法承担连带责任。

根据《个人信息保护法》第二十一条的规定，个人信息处理者委托第三方处理个人信息的，个人信息处理者除了需与受托方就委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等进行约定外，也要承担对受托人的监督义务。

5. 特殊个人信息处理：自动化决策、人脸识别

（1） 自动化决策：禁止大数据杀熟

关于“自动化决策”，《个人信息保护法》第七十三条规定，“自动化决策，是指通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等，并进行决策的活动。”这一含义与近年的网络流行语“大数据杀熟”具有紧密联系，大数据杀熟是指经营者通过大数据分析，对用户进行定位描摹，形成精准的用户画像，并对其提供特定价格的商品服务，实现“千人千面”的定价方式[1]。

《个人信息保护法》第二十四条规定，“个人信息处理者利用个人信息进行自动化决策，应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇。通过自动化决策方式向个人进行信息推送、商业营销，应当同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式。通过自动化决策方式作出对个人权益有重大影响的决定，个人有权要求个人信息处理者予以说明，并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。”

该条规定综合考虑了个人信息处理者进行自动化决策时应实现的算法透明以及个人就此享有的拒绝、要求说明等权利。

（2） 应用人脸识别的条件

《个人信息保护法》第二十六条规定，在公共场所安装图像采集、个人身份识别设备，应当为维护公共安全所必需，遵守国家有关规定，并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的，不得用于其他目的；取得个人单独同意的除外。

随着科学技术的发展，“人脸识别”的应用越来越广泛，上述规定对防止滥用人脸识别技术侵犯公民权益具有较大意义。根据上述规定，只有在用于维护公共安全、符合国家有关规定且设置了显著提示标识等三个条件的情形下，才可以在公共场所安装图像采集、个人身份识别设备，采集人脸信息、行踪轨迹信息等个人信息。

（四）个人信息出境限制

《个人信息保护法》第三章对个人信息跨境提供的规则进行了规定，其中，第三十八规定，对于确需因业务等需要，确需向境外提供个人信息的，应当具备下列四项条件之一：“（一）依照本法第四十条的规定通过国家网信部门组织的安全评估；　（二）按照国家网信部门的规定经专业机构进行个人信息保护认证；　（三）按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务；（四）法律、行政法规或者国家网信部门规定的其他条件。”

（五）过错推定责任

《个人信息保护法》第六十九条第一款规定，处理个人信息侵害个人信息权益造成损害，个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任。该条规定有利于减轻个人维护个人信息主张权利的举证负担，促进个人信息保护相关规则的具体落实。

（六）违法进行个人信息处理活动的处罚

为了更好地保护个人信息、预防和惩罚违法处理个人信息的活动，《个人信息保护法》第七章对违法进行个人信息处理活动作出了较为严厉的处罚，该等处罚既包含对个人/单位/企业的罚款，也同时要求对直接负责的主管人员和其他直接责任人进行法律、从业禁止。构成犯罪的，还将被依法追究刑事责任。

（七）个人信息权益的可诉性

《个人信息保护法》第四章对在个人信息处理活动中个人所享有的权利作出了细致的规定，为个人行使权利获得诉讼救济提供了有力的支撑。该等权利主要包括：个人对个人信息处理享有知情权与决定权；查阅复制权；符合条件时的个人信息可携带权；要求更正或补充不完整、不正确的个人信息的权利；要求个人信息处理者删除个人信息的权利；要求个人信息处理者对个人信息处理规则进行解释说明的权利等。

二、合规建议

（一）加快推进个人信息保护的制度建设、部门建设

《个人信息保护法》第五章对个人信息处理者的义务进行了详细的规定，相关主体应及时根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险制定关于个人信息保护的制度，采取合理措施，增设有关个人信息保护的工作部门、人员，加强对员工的培训，具体落实个人信息保护的相关工作。

结合《个人信息保护法》第五十一条的规定，个人信息处理者应采取的必要措施主要包括：“（一）制定内部管理制度和操作规程；（二）对个人信息实行分类管理；（三）采取相应的加密、去标识化等安全技术措施；（四）合理确定个人信息处理的操作权限，并定期对从业人员进行安全教育和培训；（五）制定并组织实施个人信息安全事件应急预案；（六）法律、行政法规规定的其他措施。”

具体而言，个人信息处理者在经营活动或履行行政职责的过程中，首先应贯彻合法、正当、必要和诚信原则，坚持为合法正当目的并采取对个人权益影响最小的方式，制定关于个人信息处理的内部管理制度和操作规程，包括个人信息收集、使用、储存、共享、跨境传输制度，以及敏感个人信息处理规则等，从而规范履行个人信息保护职责的部门、员工处理个人信息的权限，亦为进行具体的个人信息处理活动提供规范性指引；其次，应结合自身业务流程和系统设备参照《信息安全技术个人信息安全规范》（GB/T 35273—2020）及有关行业数据分级指引[2]对涉及的个人信息进行分类管理，实现对每一类别信息的适当保护，建立对应的分级管理机制；第三，个人信息处理者在信息收集、存储、使用、加工、传输、提供等活动中采取加密措施，并对个人信息进行去标识化和匿名化处理使得个人信息不再与特定主体存在关联，以切实降低个人信息泄露的风险；最后，个人信息处理者应结合自身业务和内部组织架构，制定在发生或可能发生个人信息“泄露、篡改、丢失”时的应急处理方案，相关处理方案应包括识别个人信息安全事故流程、内部上报个人信息安全事故方案，以及根据监管规定向监管机构以及外部通报个人信息安全事故方案等。

（二）妥善保存各项关于个人信息保护工作的文件、记录

鉴于《个人信息保护法》对于个人信息处理者的责任承担采取过错推定的原则，故个人信息处理者在处理个人信息的过程中应注意妥善保存有关个人信息保护工作的相关文件、记录，以免在产生纠纷或遭受处罚时无法充分证明已履行相关义务、不存在过错。

（三）关注执法机构的处罚力度以及司法机关的裁判尺度

鉴于《个人信息保护法》自2021年11月1日起施行，实践中直接援引《个人信息保护法》的规定对有关违法处理个人信息案件进行裁判的司法案例以及国家网信部门对违法处理个人信息的行政处罚案例较少。个人信息处理者应注意关注执法机构、司法机关有关《个人信息保护法》的相关动态，及时了解执法机构的处罚力度以及司法机关的裁判尺度。

（四）依法依需选择外部独立机构对个人信息保护情况进行监督、协助

对于提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，应留意《个人信息保护法》关于“由外部成员组成的独立机构”的特殊规定，依法成立由由外部成员组成的独立机构对个人信息保护情况进行监督。

考虑到个人信息的复杂性、多样性以及个人信息合规需求，企业、政府等个人信息处理者可以建立由多方组成的专业团队处理个人信息保护工作，例如委托第三方提供个人信息保护服务的同时，考虑委托熟悉个人信息保护法规的律师、法律职业工作者对个人信息处理的合法性进行把关。

[1]文铭,莫殷.大数据杀熟定价算法的法律规制[J/OL].北京航空航天大学学报(社会科学版):1-8[2021-12-24].https://er.szlib.org.cn:443/rwt/331/https/MSYXTLUQPJUB/10.13766/j.bhsk.1008-2204.2021.0250.

[2]《中华人民共和国数据安全法》第二十一条明确提出，国家建立数据分类分级保护制度。为贯彻落实国家数据分类分级保护制度，各部门和各行业都在推动制定信息安全等级保护制度。例如中国人民银行于2020年2月13日发布的《个人金融信息保护技术规范》（标准号：JR/T0171—2020）、工业和信息化部于2020年2月27日发布的《工业数据分类分级指南（试行）》等，前述规范、指南均规定了数据的分级、分类方法，并对不同级别的数据制定了不同的管理制度、安全准则。