《個(gè)人信息保護(hù)法》解讀YOUR

LOGO202X.XX前言

2021年8月20日，第十三屆全國人民代表大會(huì)常務(wù)委員會(huì)第三十次會(huì)議表決通過了《中華人民共和國個(gè)人信息保護(hù)法》以下簡稱《個(gè)人信息保護(hù)法》，明確《個(gè)人信息保護(hù)法》將于2021年11月1日起施行。

進(jìn)入大數(shù)據(jù)時(shí)代，在數(shù)字化浪潮的推動(dòng)下，個(gè)人信息保護(hù)的立法陡然加速，《個(gè)人信息保護(hù)法》的出臺，不僅僅是順應(yīng)世界潮流之舉，它也是我國法律體系自我完善、自我發(fā)展的必然結(jié)果，個(gè)人信息保護(hù)牽動(dòng)著萬千公眾的切身利益，也關(guān)涉企業(yè)對于個(gè)人信息的合理利用與規(guī)范發(fā)展，《個(gè)人信息保護(hù)法》為個(gè)人信息處理活動(dòng)提供了明確的法律依據(jù)，為個(gè)人維護(hù)其個(gè)人信息權(quán)益提供了充分保障，為監(jiān)管機(jī)關(guān)的執(zhí)法活動(dòng)和企業(yè)的合規(guī)體系建設(shè)提供了重要指引。與《數(shù)據(jù)安全法》《網(wǎng)絡(luò)安全法》《密碼法》共同構(gòu)建了我國的數(shù)據(jù)治理立法框架。《個(gè)人信息保護(hù)法》發(fā)展歷程2003，國務(wù)院委托有關(guān)專家開始起草《個(gè)人信息保護(hù)法》，2005年專家建議稿已經(jīng)完成2018.9，《個(gè)人信息保護(hù)法》首次列入十三屆全國人大常委會(huì)立法規(guī)劃2020.10，《中華人民共和國個(gè)人信息保護(hù)法（草案）》提請全國人大常委會(huì)第二次審議2021.8，《個(gè)人信息保護(hù)法（草案）》提請全國人大常委會(huì)第三次審議2021.11.1，《個(gè)人信息保護(hù)法》將正式實(shí)行個(gè)人信息保護(hù)法基本架構(gòu)本法用語定義個(gè)人信息：個(gè)人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息。敏感個(gè)人信息：敏感個(gè)人信息是一旦泄露或者非法使用，容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財(cái)產(chǎn)安全受到危害的個(gè)人信息，包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個(gè)人信息。個(gè)人信息的處理：包括個(gè)人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等。個(gè)人信息處理者：是指在個(gè)人信息處理活動(dòng)中自主決定處理目的、處理方式的組織、個(gè)人。自動(dòng)化決策：是指通過計(jì)算機(jī)程序自動(dòng)分析、評估個(gè)人的行為習(xí)慣、興趣愛好或者經(jīng)濟(jì)、健康、信用狀況等，并進(jìn)行決策的活動(dòng)。去標(biāo)識化：是指個(gè)人信息經(jīng)過處理，使其在不借助額外信息的情況下無法識別特定自然人的過程。匿名化：是指個(gè)人信息經(jīng)過處理無法識別特定自然人且不能復(fù)原的過程。目的與適用范圍核心目的為了保護(hù)個(gè)人信息權(quán)益，規(guī)范個(gè)人信息處理活動(dòng)，促進(jìn)個(gè)人信息合理利用，根據(jù)憲法，制定本法。適用范圍1、在中華人民共和國境內(nèi)處理自然人個(gè)人信息的活動(dòng)，適用本法。2、在中華人民共和國境外處理中華人民共和國境內(nèi)自然人個(gè)人信息的活動(dòng)，有下列情形之一的，也適用本法：（一）以向境內(nèi)自然人提供產(chǎn)品或者服務(wù)為目的；（二）分析、評估境內(nèi)自然人的行為；（三）法律、行政法規(guī)規(guī)定的其他情形。3、自然人因個(gè)人或者家庭事務(wù)處理個(gè)人信息的，不適用本法。個(gè)人信息處理五大基本原則第五條：處理個(gè)人信息應(yīng)當(dāng)遵循合法、正當(dāng)、必要和誠信原則，不得通過誤導(dǎo)、欺詐、脅迫等方式處理個(gè)人信息。第六條：處理個(gè)人信息應(yīng)當(dāng)具有明確、合理的目的，并應(yīng)當(dāng)與處理目的直接相關(guān)，采取對個(gè)人權(quán)益影響最小的方式。第七條：收集個(gè)人信息，應(yīng)當(dāng)限于實(shí)現(xiàn)處理目的的最小范圍，不得過度收集個(gè)人信息。第八條：處理個(gè)人信息應(yīng)當(dāng)遵循公開、透明原則，公開個(gè)人信息處理規(guī)則，明示處理的目的、方式和范圍。第九條：處理個(gè)人信息應(yīng)當(dāng)保證個(gè)人信息的質(zhì)量，避免因個(gè)人信息不準(zhǔn)確、不完整對個(gè)人權(quán)益造成不利影響。企業(yè)如何合規(guī)處理員工個(gè)人信息？合法、正當(dāng)、必要、誠信、目的明確、最小范圍使用、公開透明、準(zhǔn)確完整、安全措施個(gè)人信息處理規(guī)則1，個(gè)人信息處理一般規(guī)則

前提條件

（一）取得個(gè)人的同意；（二）為訂立、履行合同或者實(shí)施人力資源管理所必需；（三）為履行法定職責(zé)或者法定義務(wù)所必需；（四）為應(yīng)對突發(fā)公共衛(wèi)生事件或者緊急情況所必需；（五）為公共利益在合理的范圍內(nèi)處理個(gè)人信息；（六）依照本法規(guī)定在合理的范圍內(nèi)處理個(gè)人自行公開或者其他已經(jīng)合法公開的個(gè)人信息；（七）法律、行政法規(guī)規(guī)定的其他情形。注：有前款第二項(xiàng)至第七項(xiàng)規(guī)定情形的，不需取得個(gè)人同意。個(gè)人信息處理規(guī)則個(gè)人信息處理規(guī)則告知要求（一）個(gè)人信息處理者的名稱或者姓名和聯(lián)系方式；（二）個(gè)人信息的處理目的、處理方式，處理的個(gè)人信息種類、保存期限；（三）個(gè)人行使本法規(guī)定權(quán)利的方式和程序；（四）法律、行政法規(guī)規(guī)定應(yīng)當(dāng)告知的其他事項(xiàng)。注：#規(guī)定應(yīng)當(dāng)保密或者不需要告知的情形的，可以不向個(gè)人告知前條第一款規(guī)定的事項(xiàng)。#緊急情況下，應(yīng)當(dāng)在緊急情況消除后及時(shí)告知。個(gè)人信息處理規(guī)則其他處理規(guī)則共同處理規(guī)則（一）共同決定個(gè)人信息的處理目的和處理方式的，應(yīng)當(dāng)約定各自的權(quán)利和義務(wù)（二）個(gè)人可以向其中任何一個(gè)個(gè)人信息處理者要求行使本法規(guī)定的權(quán)利（三）侵害個(gè)人信息權(quán)益造成損害的，應(yīng)當(dāng)依法承擔(dān)連帶責(zé)任委托處理規(guī)則委托人：約定委托處理的目的、期限、處理方式、個(gè)人信息的種類、保護(hù)措施以及雙方的權(quán)利和義務(wù)等

對受托人的個(gè)人信息處理活動(dòng)進(jìn)行監(jiān)督。受托人：按照約定處理個(gè)人信息

委托合同不生效、無效、被撤銷或者終止的，應(yīng)當(dāng)將個(gè)人信息返還或者刪除，不得保留。

未經(jīng)個(gè)人信息處理者同意，受托人不得轉(zhuǎn)委托他人處理個(gè)人信息。個(gè)人信息處理規(guī)則轉(zhuǎn)移處理規(guī)則因合并、分立、解散、被宣告破產(chǎn)等原因需要轉(zhuǎn)移個(gè)人信息的轉(zhuǎn)移方：向個(gè)人告知接收方的名稱或者姓名和聯(lián)系方式接收方：繼續(xù)履行個(gè)人信息處理者的義務(wù)

變更原先的處理目的、處理方式的，應(yīng)當(dāng)依照本法規(guī)定重新取得個(gè)人同意提供其處理的個(gè)人信息的提供方：向個(gè)人告知接收方的名稱或者姓名、聯(lián)系方式、處理目的、處理方式和個(gè)人信息的種類

取得個(gè)人的單獨(dú)同意接收方：應(yīng)當(dāng)在上述處理目的、處理方式和個(gè)人信息的種類等范圍內(nèi)處理個(gè)人信息

變更處理目的、處理方式的，需重新取得個(gè)人同意個(gè)人信息處理規(guī)則自動(dòng)化決策規(guī)則（一）保證決策的透明度和結(jié)果公平、公正，實(shí)行不合理的差別待遇。（二）通過自動(dòng)化決策方式向個(gè)人進(jìn)行信息推送、商業(yè)營銷，應(yīng)當(dāng)同時(shí)提供不針對其個(gè)人特征的選項(xiàng)，或者向個(gè)人提供便捷的拒絕方式。（三）通過自動(dòng)化決策方式作出對個(gè)人權(quán)益有重大影響的決定，個(gè)人有權(quán)要求說明，并有權(quán)拒絕公共采集規(guī)則

（一）

在公共場所安裝圖像采集、個(gè)人身份識別設(shè)備，應(yīng)當(dāng)為維護(hù)公共安全所必需

（二）遵守國家有關(guān)規(guī)定，并設(shè)置顯著的提示標(biāo)識

（三）所收集的個(gè)人圖像、身份識別信息只能用于維護(hù)公共安全的目的，不得用于其他目的

（四）取得個(gè)人單獨(dú)同意的除外個(gè)人信息處理規(guī)則針對過度收集信息、大數(shù)據(jù)殺熟、人臉信息等問題做出了明確規(guī)定，這既是對民眾呼聲的回應(yīng)，也是司法為民，維護(hù)人民權(quán)益的體現(xiàn)。也讓網(wǎng)絡(luò)空間健康發(fā)展迎來了越發(fā)清晰的發(fā)展邊界個(gè)人信息處理規(guī)則2，敏感個(gè)人信息處理規(guī)則（一）具有特定的目的和充分的必要性，并采取嚴(yán)格保護(hù)措施（二）應(yīng)當(dāng)取得個(gè)人的單獨(dú)同意（三）遵從告知要求（四）應(yīng)當(dāng)向個(gè)人告知處理敏感個(gè)人信息的必要性以及對個(gè)人權(quán)益的影響（五）處理不滿十四周歲未成年人個(gè)人信息的，應(yīng)當(dāng)取得未成年人的父母或者其他監(jiān)護(hù)人的同意，制定專門的個(gè)人信息處理規(guī)則。個(gè)人信息處理原則3，國家機(jī)關(guān)處理個(gè)人信息的特別規(guī)定（一）應(yīng)當(dāng)依照法律、行政法規(guī)規(guī)定的權(quán)限、程序進(jìn)行，不得超出履行法定職責(zé)所必需的范圍和限度。（二）履行告知義務(wù)；有法律法規(guī)規(guī)定應(yīng)當(dāng)保密或者不需要告知的情形的或者將妨礙國家機(jī)關(guān)履行法定職責(zé)的，可以不向個(gè)人告知（三）應(yīng)當(dāng)在中華人民共和國境內(nèi)存儲；向境外提供應(yīng)當(dāng)進(jìn)行安全評估（四）法律、法規(guī)授權(quán)的具有管理公共事務(wù)職能的組織為履行法定職責(zé)處理個(gè)人信息適用個(gè)人信息處理原則4，個(gè)人信息跨境規(guī)則

前提條件（一）依照本法第四十條的規(guī)定通過國家網(wǎng)信部門組織的安全評估；（二）按照國家網(wǎng)信部門的規(guī)定經(jīng)專業(yè)機(jī)構(gòu)進(jìn)行個(gè)人信息保護(hù)認(rèn)證；（三）按照國家網(wǎng)信部門制定的標(biāo)準(zhǔn)合同與境外接收方訂立合同，約定雙方的權(quán)利和義務(wù)；（四）法律、行政法規(guī)或者國家網(wǎng)信部門規(guī)定的其他條件。注：#中華人民共和國締結(jié)或者參加的國際條約、協(xié)定對向中華人民共和國境外提供個(gè)人信息的條件等有規(guī)定的，可以按照其規(guī)定執(zhí)行。#個(gè)人信息處理者應(yīng)當(dāng)采取必要措施，保障境外接收方處理個(gè)人信息的活動(dòng)達(dá)到本法規(guī)定的個(gè)人信息保護(hù)標(biāo)準(zhǔn)。第四十條關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者和處理個(gè)人信息達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量的個(gè)人信息處理者應(yīng)當(dāng)將在中華人民共和國境內(nèi)收集和產(chǎn)生的個(gè)人信息存儲在境內(nèi)。確需向境外提供的，應(yīng)當(dāng)通過國家網(wǎng)信部門組織的安全評估；法律、行政法規(guī)和國家網(wǎng)信部門規(guī)定可以不進(jìn)行安全評估的，從其規(guī)定。個(gè)人信息處理原則個(gè)人信息跨境規(guī)則——適應(yīng)國際經(jīng)貿(mào)往來的現(xiàn)實(shí)需要（一）向境內(nèi)自然人提供產(chǎn)品或者服務(wù)為目的，或分析、評估境內(nèi)自然人的行為的個(gè)人信息處理者在我國境內(nèi)設(shè)立專門機(jī)構(gòu)或者指定代表，負(fù)責(zé)個(gè)人信息保護(hù)相關(guān)事務(wù)；（二）個(gè)人信息處理者因業(yè)務(wù)等需要，確需向中華人民共和國境外提供個(gè)人信息的，應(yīng)通過國家網(wǎng)信部門組織的安全評估、專業(yè)機(jī)構(gòu)認(rèn)證、訂立標(biāo)準(zhǔn)合同、按照我國締結(jié)或參加的國際條約和協(xié)定等；（三）個(gè)人信息處理者采取必要措施保障境外接收方的處理活動(dòng)達(dá)到本法規(guī)定的保護(hù)標(biāo)準(zhǔn)；（四）跨境提供個(gè)人信息的，個(gè)人應(yīng)當(dāng)享有知情權(quán)和決定權(quán)；（五）維護(hù)國家主權(quán)、安全和發(fā)展利益，對我國采取歧視性的禁止、限制或者其他類似措施的，中華人民共和國可以根據(jù)實(shí)際情況對該國家或者地區(qū)對等采取措施。個(gè)人信息處理原則《個(gè)人信息保護(hù)法》首次提出“單獨(dú)同意”，并規(guī)定了需要單獨(dú)同意的情形，如下圖個(gè)人信息處理活動(dòng)中的權(quán)力與義務(wù)1、個(gè)人2、個(gè)人信息處理者3、履行個(gè)人信息保護(hù)職責(zé)的部門（監(jiān)管者）個(gè)人信息處理活動(dòng)中的權(quán)力與義務(wù)

1、個(gè)人（對個(gè)人在個(gè)人信息處理中的權(quán)利進(jìn)行了充分規(guī)定）個(gè)人信息處理活動(dòng)中的權(quán)力與義務(wù)

2、個(gè)人信息處理者（規(guī)定了個(gè)人信息處理者的義務(wù)）個(gè)人信息處理活動(dòng)中的權(quán)力與義務(wù)

企業(yè)的合規(guī)途徑（一）完善相關(guān)制度：制定內(nèi)部管理制度和操作規(guī)程；（二）信息分類管理：對個(gè)人信息實(shí)行分類管理；（三）采取技術(shù)措施：采取相應(yīng)的加密、去標(biāo)識化等安全技術(shù)措施；（四）合規(guī)教育培訓(xùn)：合理確定個(gè)人信息處理的操作權(quán)限，并定期對從業(yè)人員進(jìn)行安全教育和培訓(xùn)；（五）制定應(yīng)急預(yù)案：制定并組織實(shí)施個(gè)人信息安全事件應(yīng)急預(yù)案；個(gè)人信息處理活動(dòng)中的權(quán)利與義務(wù)規(guī)定了大型互聯(lián)網(wǎng)平臺的特殊義務(wù)應(yīng)按照國家規(guī)定建立健全個(gè)人信息保護(hù)合規(guī)制度體系，成立主要由外部成員組成的獨(dú)立機(jī)構(gòu)對個(gè)人信息保護(hù)情況進(jìn)行監(jiān)督；制定平臺規(guī)則，明確平臺內(nèi)產(chǎn)品