《個人信息保護法》合規遵從的八大要點

十三屆全國人大常委會第三十次會議于2020年8月20日表決通過《中華人民共和國個人信息保護法》。個人信息保護法自2021年11月1日起施行。

《個人信息保護法》是我國系統性保護個人信息的基礎法律，以保護個人信息權益，規范個人信息處理活動，促進個人信息合理利用為立法目的。該法一共8章74條，分別從總則、個人信息處理規則、個人信息跨境提供的規則、個人在個人信息處理活動中的權利、個人信息處理者的義務、履行個人信息保護職責的部門、法律責任、附則等方面作出規定。

《個人信息保護法》的出臺完善了我國在網絡安全和數據保護領域的頂層設計，補全了我國在高位階法律上專門保護個人信息規則的空白。

01

要點一：四大術語定義

1. 個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理后的信息。
2. 敏感個人信息是一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息。
3. 個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等。
4. 個人信息處理者，是指在個人信息處理活動中自主決定處理目的、處理方式的組織、個人。

02

要點二：五大處理原則

1. 合法、正當、必要、誠信原則：處理個人信息應當遵循合法、正當、必要和誠信原則，不得通過誤導、欺詐、脅迫等方式處理個人信息。
2. 目的限制原則：處理個人信息應當具有明確、合理的目的，并應當與處理目的直接相關，采取對個人權益影響最小的方式。
3. 收集最小化原則：收集個人信息，應當限于實現處理目的的最小范圍，不得過度收集個人信息。
4. 公開、透明原則：處理個人信息應當遵循公開、透明原則，公開個人信息處理規則，明示處理的目的、方式和范圍。
5. 完整性、準確性原則：處理個人信息應當保證個人信息的質量，避免因個人信息不準確、不完整對個人權益造成不利影響。

03

要點三：七項處理基礎

符合下列情形之一的，個人信息處理者方可處理個人信息：

1. 取得個人的同意；
2. 為訂立、履行個人作為一方當事人的合同所必需，或者按照依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理所必需；
3. 為履行法定職責或者法定義務所必需；
4. 為應對突發公共衛生事件，或者緊急情況下為保護自然人的生命健康和財產安全所必需；
5. 為公共利益實施新聞報道、輿論監督等行為，在合理的范圍內處理個人信息；
6. 依照本法規定在合理的范圍內處理個人自行公開或者其他已經合法公開的個人信息；
7. 法律、行政法規規定的其他情形。

依照本法其他有關規定，處理個人信息應當取得個人同意，但是有前款第二項至第七項規定情形的，不需取得個人同意。

04

要點四：兩類主體權利

1. 【撤回同意權】基于個人同意處理個人信息的，個人有權撤回其同意。個人信息處理者應當提供便捷的撤回同意的方式。
2. 【可攜權】個人請求將個人信息轉移至其指定的個人信息處理者，符合國家網信部門規定條件的，個人信息處理者應當提供轉移的途徑。

05

要點五：三重跨境規則

1. 個人信息處理者因業務等需要，確需向中華人民共和國境外提供個人信息的，應當具備下列條件之一：
2. 依照本法第四十條的規定通過國家網信部門組織的安全評估；
3. 按照國家網信部門的規定經專業機構進行個人信息保護認證；
4. 按照國家網信部門制定的標準合同與境外接收方訂立合同，約定雙方的權利和義務；
5. 法律、行政法規或者國家網信部門規定的其他條件。
6. 【關鍵信息基礎設施運營者】和【處理個人信息達到國家網信部門規定數量的個人信息處理者】，應當將在中華人民共和國境內收集和產生的個人信息存儲在境內。確需向境外提供的，應當通過國家網信部門組織的安全評估；法律、行政法規和國家網信部門規定可以不進行安全評估的，從其規定。
7. 非經中華人民共和國主管機關批準，個人信息處理者不得向【外國司法或者執法機構】提供存儲于中華人民共和國境內的個人信息。

06

要點六：兩個典型場景

1. 自動化決策及其營銷使用場景
2. 個人信息處理者利用個人信息進行自動化決策，應當保證決策的透明度和結果公平、公正，不得對個人在交易價格等交易條件上實行不合理的差別待遇；
3. 通過自動化決策方式向個人進行信息推送、商業營銷，應當同時提供不針對其個人特征的選項，或者向個人提供便捷的拒絕方式；
4. 通過自動化決策方式作出對個人權益有重大影響的決定，個人有權要求個人信息處理者予以說明，并有權拒絕個人信息處理者僅通過自動化決策的方式作出決定。
5. 公共場所采集圖像場景；
6. 在公共場所安裝圖像采集、個人身份識別設備，應當為維護公共安全所必需，遵守國家有關規定，并設置顯著的提示標識；
7. 所收集的個人圖像、身份識別信息只能用于維護公共安全的目的，不得用于其他目的；取得個人單獨同意的除外。

07

要點七：三層監管職責

國家網信部門統籌協調個人信息保護工作和相關監督管理工作國家層面，統籌監管國務院有關部門在各自職責范圍內負責個人信息保護和監督管理工作部門層面，職責范圍內監管縣級以上地方人民政府有關部門按照國家有關規定確定地方監管，基層落實

履行個人信息保護職責的部門履行下列個人信息保護職責：

1. 開展個人信息保護宣傳教育，指導、監督個人信息處理者開展個人信息保護工作；
2. 接受、處理與個人信息保護有關的投訴、舉報；
3. 組織對應用程序等個人信息保護情況進行測評，并公布測評結果；
4. 調查、處理違法個人信息處理活動；
5. 法律、行政法規規定的其他職責。

08

要點八：多項法律責任

1. 提高處罰標準，引入高管禁業、記入征信處罰
2. 違反本法規定處理個人信息，或者處理個人信息未履行本法規定的個人信息保護義務的，由履行個人信息保護職責的部門責令改正，給予警告，沒收違法所得，對違法處理個人信息的應用程序，責令暫停或者終止提供服務；拒不改正的，并處一百萬元以下罰款；對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。
3. 有前款規定的違法行為，情節嚴重的，由省級以上履行個人信息保護職責的部門責令改正，沒收違法所得，并處五千萬元以下或者上一年度營業額百分之五以下罰款，并可以責令暫停相關業務或者停業整頓、通報有關主管部門吊銷相關業務許可或者吊銷營業執照；對直接負責的主管人員和其他直接責任人員處十萬元以上一百萬元以下罰款，并可以決定禁止其在一定期限內擔任相關企業的董事、監事、高級管理人員和個人信息保護負責人。有本法規定的違法行為的，依照有關法律、行政法規的規定記入信用檔案，并予以公示。
4. 明確個人信息侵權行為的責任承擔
5. 個人信息侵權行為的歸責原則（過錯推定原則）：處理個人信息侵害個人信息權益造成損害，個人信息處理者不能證明自己沒有過錯的，應當承擔損害賠償等侵權責任。
6. 共同個人信息處理者的責任承擔（連帶責任）：兩個以上的個人信息處理者共同決定個人信息的處理目的和處理方式的，應當約定各自的權利和義務。但是，該約定不影響個人向其中任何一個個人信息處理者要求行使本法規定的權利。個人信息處理者共同處理個人信息，侵害個人信息權益造成損害的，應當依法承擔連帶責任。