律师事务所微信公众号(法律实务 |《个人信息保护法》的要点梳理及合规建议)

李伟斌律师事务所

随着信息社会的不断发展，个人信息保护已经成为社会各界关注的重点。2018年9月，《个人信息保护法》正式纳入全国人大立法计划，历时近三年。2021年8月20日，十三届全国人大常委会第三十次会议表决通过了《中华人民共和国个人信息保护法》(以下简称“”个人信息保护法”或“”。

《个人信息保护法》共分八章七十四条，明确了相关主体在个人信息处理活动中的权利义务边界。这部法律是我国第一部明确规定个人信息处理规则的法律，不同于之前下发的部门规章，其较高的位阶体现了这部法律所调整的法律关系的重要性。法律对非法处理个人信息的处罚作出了严格规定，全面提高了违法成本。除民事责任外，相关处罚还包括责令改正、警告、没收非法所得、责令暂停或终止服务、罚款等行政责任，以及刑事责任。其中，对非法处理个人信息情节严重的，可以处5000万元以下或者上一年度营业额5%以下的罚款；按营业额处罚的规定，是继《中华人民共和国反垄断法》之后，我国第二部涉及按营业收入百分比进行行政处罚的法律，可以对个人信息处理者产生强大的威慑作用。

本文将对《个人信息保护法》的要点进行简单梳理，为个人信息处理者提供一些合规参考。

一、梳理个人信息保护法的一些要点

(1)个人信息和个人信息处理活动的定义

根据《个人信息保护法》第四条规定，个人信息是以电子方式或者其他方式记录的与已识别或者可识别的自然人有关的各类信息，不包括匿名化后的信息。个人信息处理活动包括收集、存储、使用、处理、传输、提供、公开和删除个人信息。

根据上述规定，个人信息需要具有可识别性并与特定自然人相关，匿名化的信息不属于个人信息范畴；与民法典的规定相比，在个人信息处理活动的类型方面，这部法律新增了“删除”的类型。

(2)个人信息保护法的适用主体和域外效力

根据《个人信息保护法》第三条、第五十八条、第六十八条规定，该法适用于我国境内所有自然人的个人信息。这意味着，除法律另有规定外，个人信息保护法适用于机关、企事业单位、法人企业、非法人组织和自然人的个人信息处理活动。

此外，《个人信息保护法》第三条第二款规定“在中华人民共和国境外从事处理中华人民共和国境内自然人个人信息的活动，也适用于下列情形之一: (一)以向境内自然人提供产品或者服务为目的的；(二)对境内自然人的行为进行分析和评估；(三)法律、行政法规规定的其他情形。”鉴于互联网的开放性和数据的流通性，《个人信息保护法》第三条第一款明确，我国个人信息处理活动的调整坚持“属地管辖”原则，同时采取“保护”原则。本法适用于任何以向境内自然人提供产品或者服务为目的，或者对境内自然人的行为进行分析评估以及法律、行政法规规定的其他情形，无论个人信息处理活动是在中国境内还是境外进行。

(3)个人信息处理的原则和规则

《个人信息保护法》第五、六、七、八条规定了个人信息处理的原则。应遵循的具体原则包括合法、正当、必要和诚信原则、目的合法正当原则、对个人权益影响最小原则、公开、透明和准确原则。

至于个人信息处理的具体规则，《个人信息保护法》第二章明确规定，这些规则不仅明确了个人信息处理的合法来源，也为个人信息处理者合规处理个人信息提供了明确的指导。这些规则的要点总结如下:

1.个人信息处理的合法来源

《个人信息保护法》第十三条规定“个人信息处理者只有符合下列情形之一的，才能处理个人信息:

(1)获得个人同意；

(二)需要签订和履行以个人为一方当事人的合同，或者需要按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理的；

(三)履行法定职责或者义务所必需的；

(四)为应对突发公共卫生事件或者在紧急情况下保护自然人的生命健康和财产安全所必需的；

(五)为公共利益实施新闻报道、舆论监督等行为，在合理范围内处理个人信息；

(六)依照本法规定，在合理范围内处理个人自行公开的个人信息或者已经依法公开的其他个人信息；

(七)法律、行政法规规定的其他情形。

依照本法其他有关规定，处理个人信息应当取得个人同意，但有前款第二项至第七项规定情形之一的，不需要取得个人同意。"

上述规定明确，除本法第十三条第(二)至第(七)项规定的情形外，个人信息处理者在处理个人信息前，需要征得本人同意。

2.知情同意规则

《个人信息保护法》第十四条至第十八条规定了个人信息处理的通知和同意规则，具体包括:明确第十三条第一款中的“个人同意”应当由完全知情的个人自愿、明确地作出；同时，法律、行政法规规定处理个人信息应当征得个人同意或者书面同意的，从其规定；且个人信息的用途、方式、类型、保存期限发生变更的，应当重新取得个人同意；个人有权撤回他们的同意。要求个人信息处理者在处理个人信息之前，以明显的方式和清晰的语言真实、准确和完整地告知个人本法所列的所有事项；个人信息处理者应提供便捷的方式撤回同意，处理者不得以个人不同意为由拒绝提供产品或服务。

3.个人信息的披露

《个人信息保护法》第二十五条规定，个人信息处理者不得公开其处理的个人信息，除非取得个人同意。该条规定了个人信息保密的原则，但获得个人同意除外。

4.与第三方合作或委托第三方处理个人信息。

个人信息处理者与第三人共同处理个人信息的，根据《个人信息保护法》第二十条的规定，个人信息处理者与第三人应当约定各自的权利义务，个人信息处理者与第三人应当依法承担连带责任。

根据《个人信息保护法》第二十一条的规定，个人信息处理者委托第三方处理个人信息的，个人信息处理者不仅应当与受托人约定目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利义务，还应当承担受托人的监督义务。

5.特殊个人信息处理:自动决策和人脸识别。

(1)自动化决策:禁止大数据杀熟。

关于“自动决策”，《个人信息保护法》第七十三条规定，“自动决策是指通过计算机程序，自动分析、评估个人的行为习惯、爱好或者经济、健康、信用状况，并做出决策的活动。”这个意思和近年来的网络流行语“大数据杀熟”密切相关。大数据杀熟是指运营商通过大数据分析对用户进行定位和描述，形成用户的精准画像，以特定的价格为其提供商品和服务，实现“千人千面”的定价方式[1]。

《个人信息保护法》第二十四条规定“个人信息处理者利用个人信息进行自动决策时，应当保证决策的透明和结果的公平、公正，不得在交易价格等交易条件上对个人给予不合理的差别待遇。当信息通过自动化决策向个人推送和营销时，应同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式。对个人权益有重大影响的决策是通过自动化决策做出的，个人有权要求个人信息处理者做出说明，有权拒绝个人信息处理者仅通过自动化决策做出决策。”

这一规定综合考虑了个人信息处理者在进行自动化决策时应当实现的算法透明性，以及个人拥有的拒绝和要求解释的权利。

(2)申请人脸识别的条件

《个人信息保护法》第二十六条规定，在公共场所安装图像采集和个人识别设备，必须维护公共安全，符合有关规定，并设置明显标志。所收集的个人图像和身份信息只能用于维护公共安全的目的，不得用于其他目的；除非得到个人同意。

随着科技的发展，“人脸识别”的应用越来越广泛，上述规定对于防止滥用人脸识别技术侵害公民权益具有重要意义。根据上述规定，只有在维护公共安全、符合有关规定、设置醒目标志的条件下，才能在公共场所安装图像采集和个人识别装置，采集人脸信息、行踪信息等个人信息。

(4)个人信息出境限制

《个人信息保护法》第三章规定了跨境提供个人信息的规则，其中第三十八条规定，因业务需要确需向境外提供个人信息的，应当符合下列四个条件之一:“(一)依照本法第四十条的规定，通过网信部门组织的安全评估；(二)按照网信部的规定由专业机构进行个人信息保护认证；(三)按照网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务；(四)法律、行政法规或者网信部门规定的其他条件。”

(5)过错责任的推定

《个人信息保护法》第六十九条第一款规定，个人信息处理者在处理个人信息侵权行为对个人信息权益造成的损害时，不能证明自己无过错的，应当承担损害赔偿等侵权责任。这一规定有利于减轻个人维护个人信息主张权的举证责任，促进个人信息保护相关规则的具体落实。

(6)对非法个人信息处理活动的处罚

为了更好地保护个人信息，预防和惩治非法的个人信息处理活动，《个人信息保护法》第七章对非法的个人信息处理活动进行了严厉的处罚，不仅包括对个人/单位/企业的罚款，还要求对直接负责的主管人员和其他直接责任人员实行法律和从业禁止。构成犯罪的，还将依法追究刑事责任。

(七)个人信息权益的适宜性

《个人信息保护法》第四章对个人在个人信息处理活动中享有的权利作了详细规定，为个人行使权利、获得诉讼救济提供了有力支持。这些权利主要包括:个人对个人信息处理享有知情权和决定权；获得版权；满足条件时的个人信息携带权；更正或补充不完整和不正确的个人信息的权利；要求个人信息处理者删除个人信息的权利；要求个人信息处理者解释个人信息处理规则的权利等。

二。合规建议

(1)加快个人信息保护的制度建设和部门建设。

《个人信息保护法》第五章详细规定了个人信息处理者的义务。相关主体应当根据个人信息的目的、方式、种类及其对个人权益的影响和可能存在的安全风险，及时制定个人信息保护制度，采取合理措施，增设与个人信息保护相关的部门和人员，加强对从业人员的培训，具体落实个人信息保护的相关工作。

结合《个人信息保护法》第五十一条的规定，个人信息处理者应当采取的必要措施主要包括:“(一)制定内部管理制度和操作规程；(2)个人信息分类管理；(3)采取相应的加密、去标识等安全技术措施；(4)合理确定个人信息处理的操作权限，定期对从业人员进行安全教育培训；(五)制定并组织实施个人信息安全事件应急预案；(六)法律、行政法规规定的其他措施。”

具体而言，个人信息处理者在经营活动或履行行政职责的过程中，应首先贯彻合法、正当、必要和诚实信用原则，坚持合法、正当的目的和采用对个人权益影响最小的方法，制定个人信息处理的内部管理制度和操作规程，包括个人信息收集、使用、存储、共享、跨境传输制度、敏感个人信息处理规则等，以规范履行个人信息保护职责的部门和员工处理个人信息的权限。其次，对涉及的个人信息应结合自身业务流程和系统设备，按照《信息安全技术个人信息安全标准》(GB/T 35273—2020)和相关行业数据分类指南[2]进行分类管理，实现对每类信息的妥善保护，并建立相应的分类管理机制；三是个人信息处理者在信息采集、存储、使用、加工、传输、提供等活动中采取加密措施，对个人信息进行去身份化、匿名化处理，使个人信息不再与特定主体发生关联，有效降低个人信息泄露风险；最后，个人信息处理者要结合自身业务和内部组织架构，在个人信息“泄露、篡改、丢失”发生或可能发生时，制定应急处理预案。相关处理方案应包括识别个人信息安全事故的流程、内部报告个人信息安全事故、根据监管规定向监管机构和外部报告个人信息安全事故等。

(2)妥善保存所有关于个人信息保护的文件和记录。

鉴于《个人信息保护法》对个人信息处理者的责任采取过错推定原则，个人信息处理者在处理个人信息的过程中，应当注意妥善保存个人信息保护的相关文件和记录，避免在发生纠纷或受到处罚时，无法充分证明自己已履行相关义务且无过错。

(C)注意执法机关的处罚和司法机关的判断尺度。

鉴于《个人信息保护法》已于2021年11月1日生效，直接援引《个人信息保护法》规定审理非法处理个人信息相关案件的司法案例较少，网信部门对非法处理个人信息行为进行行政处罚的案例也较少。个人信息处理者要关注执法机关和司法机关个人信息保护法的相关动态，及时了解执法机关的处罚力度和司法机关的判断尺度。

(四)依法、根据需要选择外部独立机构监督和协助保护个人信息。

对于提供重要互联网平台服务、用户数量庞大、业务类型复杂的个人信息处理者，应注意个人信息保护法关于“由外部成员组成的独立机构”的特别规定，建立由外部成员组成的独立机构，依法监督个人信息保护工作。

考虑到个人信息的复杂性、多样性和合规性要求，企业、政府等个人信息处理者可以组建由多方组成的专业团队来处理个人信息保护，例如委托第三方提供个人信息保护服务，同时可以考虑委托熟悉个人信息保护法规的律师和法律专业人士来检查个人信息处理的合法性。

[1]温明，尹默。秒杀大数据定价算法的法律规制[J/OL]。北航学报(社会科学版):1-8 [2021-12-24]。https://er.szlib.org.cn: 443/。

[2]《中华人民共和国数据安全法》第二十一条明确，建立数据分类和等级保护制度。为落实数据分类和等级保护制度，各部门、各行业都在推进信息安全等级保护制度的建立。比如中国人民银行2020年2月13日发布的《个人金融信息保护技术规范》(标准编号:JR/T0171-2020)和工业和信息化部2020年2月27日发布的《工业数据分类分级指南(试行)》等。，都规定了数据分类和分类方法，对不同级别的数据制定了不同的管理。

关于作者

免责声明和版权声明[/s2/]

本微信文章仅供交流之用，不构成李伟斌律师事务所的任何法律意见。欢迎转发这篇微信文章。如需转载或引用本微信文章内容，请注明文章来源:李伟斌律师事务所微信微信官方账号——跨境法律直通车(ID:L-P-CN)。如果您需要专业的法律意见或对相关内容做进一步的探讨，请联系我们。