个人信息保护法法律解读及法律风险提示

2021年8月20日，十三届全国人大常委会第三十次会议表决通过《个人信息保护法》，该法将于2021年11月1日生效。

《个人信息保护法》全文涵盖了八章，七十四条内容。分别为总则、个人信息处理规则、个人信息跨境提供的规则、个人在个人信息处理活动中的权利、个人信息处理者的义务、履行个人信息保护职责的部门、法律责任和附则。《个人信息保护法》与《网络安全法》、《数据安全法》共同构建了我国关于数据主权、数据安全、网络安全和个人信息保护的基本法律框架。对企业数据合规实践将产生重大影响。

2021年3.15晚会曝光案例中已有三个案例涉及个人信息保护：科勒卫浴在顾客不知情未同意情况下安装摄像头捕捉记录顾客人脸信息并对顾客进行识别与分类；智联、猎聘等平台简历给钱就可以随便下载，大量简历流入黑市，泄露应聘者信息；多款手机APP违规收集用户个人信息、诱导老年人下载。近期，工信部多次对APP违规调取用户通讯录、位置信息等问题进行通报。随着《个人信息保护法》的出台，监管部门势必会进一步加强个人信息保护。本期法律风险提示将对《个人信息保护法》进行解读，着重对与我司经营相关的条文进行分析，并提示相关工作建议。

个人信息的定义

《个人信息保护法》明确了受该法保护的个人信息的定义，同时对敏感个人信息进行了特别强调。

（一）个人信息

《个人信息保护法》第三条规定：个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。（匿名化，是指个人信息经过处理无法识别特定自然人且不能复原的过程。）

（二）敏感个人信息

《个人信息保护法》第二十八条规定：敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。

个人信息处理的原则与规则

（一）个人信息处理的原则

根据《个人信息保护法》第五条至第九条，处理个人信息应遵循如下6个原则：

1、合法、正当、必要和诚信

个人信息处理者应当遵循合法、正当、必要和诚信原则，不得以误导、欺诈、胁迫等方式处理个人信息。

2、明确相关

处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关。

3、最小程度

《个人信息保护法》要求个人信息处理活动对个人权益产生的影响最小；并不得过度收集个人信息，限于满足处理目的的最小范围。

4、公开透明

处理个人信息应当遵循公开、透明原则。该条要求个人信息处理者应当对外公开处理规则，并向个人明示处理的目的、方式和范围（第七条）。公开透明原则保障了个人信息主体的知情权和同意权，是个人信息处理者履行告知同意义务的前提。

5、完整准确

个人信息处理者应当避免因个人信息的不准确、不完整而损害个人权益。

6、安全保障

处理者是个人信息处理活动的直接责任人，由个人信息处理者承担个人信息处理的法定义务和责任。个人信息处理者应当采取必要措施保障个人信息的安全。

（二）个人信息处理规则

1、处理个人信息的合法性基础

《个人信息保护法》第十三条规定了处理个人信息的合法性基础，即：（一）取得个人的同意；（二）为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需；（三）为履行法定职责或者法定义务所必需；（四）为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需；（五）为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息；（六）依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息；（七）法律、行政法规规定的其他情形。

2、告知--同意

处理个人信息应当取得个人同意，但是如果有上述第十三条项下第2项至第7项规定情形的，则不需取得同意。基于个人同意处理个人信息的，该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定应当取得个人单独同意或者书面同意的，从其规定。个人信息处理者在处理个人信息前，应以显著的方式、清晰易懂的语言向个人告知特定事项，但根据法律、行政法规规定应当保密或者不需要告知的情形除外。

（1）告知的内容与方式

《个人信息保护法》第十七条规定：

个人信息处理者在处理个人信息前，应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项：

（一）个人信息处理者的名称或者姓名和联系方式；

（二）个人信息的处理目的、处理方式，处理的个人信息种类、保存期限；

（三）个人行使本法规定权利的方式和程序；

（四）法律、行政法规规定应当告知的其他事项。

前款规定事项发生变更的，应当将变更部分告知个人。

个人信息处理者通过制定个人信息处理规则的方式告知第一款规定事项的，处理规则应当公开，并且便于查阅和保存。

第十八条规定：

个人信息处理者处理个人信息，有法律、行政法规规定应当保密或者不需要告知的情形的，可以不向个人告知前条第一款规定的事项。

紧急情况下为保护自然人的生命健康和财产安全无法及时向个人告知的，个人信息处理者应当在紧急情况消除后及时告知。

（2）同意的方式

《个人信息保护法》第十四条规定：

基于个人同意处理个人信息的，该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的，从其规定。

个人信息的处理目的、处理方式和处理的个人信息种类发生变更的，应当重新取得个人同意。

3、保存期限最短

除法律、行政法规另有规定外，个人信息的保存期限应当为实现处理目的所必要的最短时间。

4、共同处理规则

两个以上的个人信息处理者共同决定个人信息的处理目的和处理方式的，应当约定各自的权利和义务。个人信息处理者共同处理个人信息，侵害个人信息权益造成损害的，应当依法承担连带责任。

5、委托处理规则

个人信息处理者委托处理个人信息的，应当与受托人约定委托处理的目的、期限、双方的权利和义务等内容，并对受托人的个人信息处理活动进行监督。受托人应当按照约定处理个人信息，并且未经同意不得转委托。

6、合并分立转移规则

个人信息处理者因合并、分立、解散、被宣告破产等原因需要转移个人信息的，应当向个人告知接收方的名称或者姓名和联系方式。接收方应继续履行个人信息处理者的义务，若变更原先的处理目的、处理方式的，应重新获取个人同意。

7、共享个人信息规则

个人信息处理者向其他个人信息处理者提供个人信息的，应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意。接收方应当在上述范围内处理个人信息。

8、公开个人信息规则

除非取得个人单独同意，否则个人信息处理者不得公开其处理的个人信息。除非个人明确拒绝，否则个人信息处理者可以免于取得同意、在合理的范围内处理个人自行公开的个人信息；但如果该等处理对个人权益有重大影响的，则需要取得个人同意。

9、敏感个人信息处理规则

（1）需具有特定的目的和充分的必要性，并采取严格保护措施。

（2）需要取得个人的单独同意；法律、行政法规另有规定需取得书面同意的，或者规定处理敏感个人信息应取得相关行政许可或者作出其他限制的，从其规定。

（3）在告知内容方面，需特别向个人告知处理敏感个人信息的必要性以及对个人权益的影响。

10、自动化决策的规则

（1）禁止大数据杀熟。自动化决策应保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇。

（2）提供其他选项或拒绝方式。通过自动化决策方式进行信息推送、商业营销，应当同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式。

（3）个人享有的权利。自动化决策作出对个人权益有重大影响的决定的，个人有权要求予以说明，并有权拒绝仅通过自动化决策的方式作出决定。 个人信息处理者的义务

个人信息处理者负有合规管理及保障和人信息安全等义务，具体总结如下：

（一）安全保障

个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等，采取下列安全保障措施确保个人信息处理活动符合法律、行政法规的规定，并防止未经授权的访问以及个人信息泄露、篡改、丢失：

1、制定内部管理制度和操作规程；

2、对个人信息实行分类管理；

3、采取相应的加密、去标识化等安全技术措施；

4、合理确定个人信息处理的操作权限，并定期对从业人员进行安全教育和培训；

5、制定并组织实施个人信息安全事件应急预案；

6、法律、行政法规规定的其他措施。

（二）指定个人信息保护负责人

处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人，负责对个人信息处理活动以及采取的保护措施等进行监督。

个人信息处理者应当公开个人信息保护负责人的联系方式，并将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门。

（三）定期合规审计

个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。

（四）特定情况进行事前评估

有下列情形之一的，个人信息处理者应当事前进行个人信息保护影响评估，并对处理情况进行记录：

1、处理敏感个人信息；

2、利用个人信息进行自动化决策；

3、委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息；

4、向境外提供个人信息；

5、其他对个人权益有重大影响的个人信息处理活动。

个人信息保护影响评估应当包括下列内容：

1、个人信息的处理目的、处理方式等是否合法、正当、必要；

2、对个人权益的影响及安全风险；

3、所采取的保护措施是否合法、有效并与风险程度相适应。

个人信息保护影响评估报告和处理情况记录应当至少保存三年。

（五）安全事件通知

发生或者可能发生个人信息泄露、篡改、丢失的，个人信息处理者应当立即采取补救措施，并通知履行个人信息保护职责的部门和个人。通知应当包括下列事项：

1、原因和可能造成的危害；

2、个人信息处理者采取的补救措施和个人可以采取的减轻危害的措施；

3、个人信息处理者的联系方式。

个人信息处理者采取措施能够有效避免信息泄露、篡改、丢失造成危害的，个人信息处理者可以不通知个人；履行个人信息保护职责的部门认为可能造成危害的，有权要求个人信息处理者通知个人。

（六）平台特殊义务

提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，应当履行下列义务：

1、按照国家规定建立健全个人信息保护合规制度体系，成立主要由外部成员组成的独立机构对个人信息保护情况进行监督；

2、遵循公开、公平、公正的原则，制定平台规则，明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务；

3、对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者，停止提供服务；

4、定期发布个人信息保护社会责任报告，接受社会监督。

法律责任

《个人信息保护法》对违法行为设置了明确的法律责任。具体规定如下：

（一）行政责任

《个人信息保护法》第六十六条：

违反本法规定处理个人信息，或者处理个人信息未履行本法规定的个人信息保护义务的，由履行个人信息保护职责的部门责令改正，给予警告，没收违法所得，对违法处理个人信息的应用程序，责令暂停或者终止提供服务；拒不改正的，并处一百万元以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

有前款规定的违法行为，情节严重的，由省级以上履行个人信息保护职责的部门责令改正，没收违法所得，并处五千万元以下或者上一年度营业额百分之五以下罚款，并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款，并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。

第六十七条：

有本法规定的违法行为的，依照有关法律、行政法规的规定记入信用档案，并予以公示。

第七十一条：

违反本法规定，构成违反治安管理行为的，依法给予治安管理处罚；

（二）民事责任

《个人信息保护法》第六十九条：

处理个人信息侵害个人信息权益造成损害，个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任。

前款规定的损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定;个人因此受到的损失和个人信息处理者因此获得的利益难以确定的，根据实际情况确定赔偿数额。

（三）刑事责任

《个人信息保护法》第七十一条：违反本法规定，；构成犯罪的，依法追究刑事责任。

工作建议

（一）厘清公司经营过程中涉及个人信息处理的业务与环节；

（二）注意履行个人信息处理者的义务。公司自身需要进行个人信息处理的，应严格履行《个人信息保护法》规定的个人信息处理者的义务。包括但不限于：建立相关制度与规程、对个人信息进行分级分类管理、采取相应的加密、去标识化等安全技术措施、合理确定个人信息处理的操作权限，并定期对从业人员进行安全教育和培训、制定并组织实施个人信息安全事件应急预案。

（三）注意进行个人信息保护影响评估。处理敏感个人信息、利用个人信息进行自动化决策、委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息、向境外提供个人信息、其他对个人权益有重大影响的个人信息处理活动时，应事前进行个人信息保护影响评估，并对处理情况进行记录。个人信息保护影响评估报告和处理情况记录应当至少保存三年。

（四）涉及共同处理、委托处理的，在与合作方签署协议时应明确各方权利义务，并对受托人的个人信息处理活动进行监督。