中文

企业如何应对《个人信息保护法》的出台

2021-08-23

数据合规企业如何应对《个人信息保护法》的出台

作者马清泉 ,王译萱

作者：马清泉 ,王译萱

本文目录

前言

一、《个人信息保护法》的出台历史

二、《个人信息保护法》的适用范围

三、个人信息的定义与不同类型个人信息的处理规则

（一）个人信息的定义

（二）个人信息的处理

（三）敏感个人信息

（四）未成年人个人信息

（五）死者个人信息

四、个人信息处理的七项法律基础

五、共同处理与委托处理个人信息的规则

（一）共同处理

（二）委托处理

六、公共场所图像、身份识别信息采集的条件

七、个人信息跨境提供的规则

八、个人信息主体的十项权利

九、个人信息处理者的相关义务

（一）处理个人信息的一般性义务

（二）指定个人信息保护负责人

（三）设立专门机构或指定代表

（四）互联网平台的个人信息保护义务

总结

前言

2021年8月20日，第十三届全国人大常委会第三十次会议通过《个人信息保护法》，并将于2021年11月1日生效。这是我国首次以专门立法的形式，对于个人信息保护、合理利用个人信息进行全面系统的规定。

作为国内首部专注个人信息保护的法律，《个人信息保护法》的出台势必对组织和个人处理个人信息的各项活动产生重大影响。

本文首先对《个人信息保护法》的出台历史进行回顾，随后从一般商业组织的合规视角出发，就企业应予重点关注的个人信息保护工作进行阐述与总结，共同探索数字化经济背景下企业开展个人信息保护工作的有效路径，以供相关企业参考。

《个人信息保护法》的出台历史

这部刚出台的法律，早在20年前就启动了相关立法研究。

2001年，国家成立国家信息化领导小组，下设国务院信息化工作办公室（下简称“国信办”），主要负责推动国家的信息化相关立法。

受国信办委托，个人数据保护法研究课题组承担《个人数据保护法》比较研究课题并草拟专家建议稿。

按照国信办的立法规划，《个人信息保护法》本应紧随《电子签名法》《政府信息公开条例》出台。然而，受到机构改革、立法资源制约等多重因素的影响，《个人信息保护法》的立法进程在2008年之后的数年间陷入停滞。

2010年之后，中国进入移动互联网时代，智能手机的出现重塑了互联网生态，个人信息保护也面临更多的挑战。彼时，个人信息保护相关条款被写入多部法律。但相较于分散式立法而言，个人信息保护单独立法得到了越来越多的呼吁。

2014年，中央网络安全和信息化领导小组（后更名为“中央网络安全和信息化委员会办公室”，下称“中央网信办”）宣告成立。

在其后确立的《国家信息网络专项立法计划（2014～2020）（建议）》中，就包括了网络安全法和个人信息保护法等七部法律和行政法规。至此，停滞了五年之久的个人信息保护立法工作得以重启。

2016年8月，山东女大学生徐某某被诈骗电话骗走上大学的费用后，心脏骤停离世。这一起个人信息泄露导致的恶性案件也进一步加速了个人信息保护法的立法进程。

2018年9月，鉴于社会乱象严峻，公众意识提升，监管部门重视等综合因素下，《个人信息保护法》被列入十三届全国人大常委会立法规划。

最终，从2020年10月到今年8月，在经历了三次全国人大常委会审议后，这部早在20年前就启动立法研究的法律正式出台。

《个人信息保护法》的适用范围

在《个人信息保护法》的适用范围上，根据《个人信息保护法》第三条的规定，只要在中华人民共和国境内处理自然人个人信息的活动，即适用本法。无论数据处理者是否为境外主体，个人信息的主体是否为国人，只要数据处理活动发生在境内，即适用本法。

若在中华人民共和国境外处理中华人民共和国境内自然人个人信息，符合相关情形的，也适用《个人信息保护法》。具体情况可见下表：

地域

是否适用《个人信息保护法》

境内

凡是在中华人民共和国境内处理自然人个人信息的活动，均适用《个人信息保护法》

境外

在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动，有下列情形之一的，也适用《个人信息保护法》：

（一）以向境内自然人提供产品或者服务为目的；

（二）分析、评估境内自然人的行为；

（三）法律、行政法规规定的其他情形。

对此，我们建议在中国境内从事处理自然人个人信息活动的任何主体，都要遵循《个人信息保护法》的要求。针对在中国境外从事处理自然人个人信息的主体，若涉及向境内自然人提供产品或者服务，或分析、评估境内自然人的行为，也同样应遵循《个人信息保护法》的要求。

个人信息的定义与不同类型个人信息的处理规则

根据《个人信息保护法》字义，可以认为这是一部围绕“如何对个人信息的处理进行保护”的法律，因此需要对“个人信息”的定义，以及属于“个人信息处理”的范围进行基本了解。

同时，个人信息也分为敏感个人信息、未成年人个人信息等不同类型的个人信息，以下将分别介绍。

（一）个人信息的定义

根据《个人信息保护法》第四条的规定，个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。

另外，《民法典》和《网络安全法》均对“个人信息”进行了定义：

《民法典》

《网络安全法》

第一千零三十四条

个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。

第七十六条

个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。

通过比较，我们可以看到在对个人信息的定义上，《个人信息保护法》采取了一个更为“宽进严出”的倾向，即只要是已识别或者可识别的与自然人有关的各种信息，均可能构成个人信息。另外，也明确匿名化之后的数据不再属于个人信息。

（二）个人信息的处理

针对个人信息的“处理”，应做一个更为广义的理解。根据《个人信息保护法》第四条第二款的规定，个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。

相比《个人信息保护法（草案二次审议稿）》的规定，最终出台的《个人信息保护法》对于个人信息处理的范围进行了调整，新增了“删除”。

通过增加“删除”，使得对个人信息全生命周期的保护进一步强化，也将个人信息处理者删除个人信息的活动纳入了本法关于个人信息处理活动的规制范围，可以对保护个人信息的处理行为进行更为全面的保护。

（三）敏感个人信息

1. 敏感个人信息的定义

根据《个人信息保护法》第二十八条规定，敏感个人信息是指一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。

2. 敏感个人信息的处理

根据《个人信息保护法》的要求，只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，个人信息处理者方可处理敏感个人信息。

企业在处理敏感个人信息时，应当取得个人的单独同意，无论是口头还是书面的同意；但法律、行政法规规定处理敏感个人信息应当取得书面同意的，则应取得书面同意。

同时，根据《个人信息保护法》第五十五条规定，个人信息处理者在处理敏感个人信息时，应当事前进行个人信息保护影响评估，并对处理情况进行记录。

因此，我们建议企业在了解涉及处理的个人信息类型的基础上，应区分其中的敏感个人信息类型，制定企业内部的分类分级标准，同时在处理敏感个人信息前也应进行个人信息保护影响评估，并对处理情况做好记录。

（四）未成年人个人信息

根据《个人信息保护法》第三十一条的规定，个人信息处理者处理不满十四周岁未成年人个人信息的，应当取得未成年人的父母或者其他监护人的同意。个人信息处理者处理不满十四周岁未成年人个人信息的，应当制定专门的个人信息处理规则。

对此，针对处理未满十四周岁的未成年人个人信息，我们建议企业通过在产品上设计青少年模式，以家长身份验证等方式确保处理未成年人个人信息的合规性，并制定专门的个人信息处理规则予以公示。

（五）死者个人信息

伴随着数字化和老龄化的同步推进，死者的个人信息保护问题已成为各方关注的焦点。目前，对于死者是否具有基于个人信息的人格利益，在学界仍然是一个具有争议性的问题，各国立法与司法实践对死者的个人信息保护问题也均持谨慎态度。

对此，在《欧洲通用数据保护条例》（简称“GDPR”）序言第27条明确指出，本条例不适用死者的个人数据，成员国可以对死者个人数据处理自行作出相关规定。同时，加州隐私法CCPA&CPRA也未对死者的个人信息保护做出规定。

然而，我国《个人信息保护法》在民法典确立的侵权救济机制基础上又向前迈出一步，对死者的个人信息保护问题进行回应，在立法中明确承认了死者的个人信息利益，并提出了具体的保护机制。

主要是考虑到死者的个人信息尤其是隐私信息，是不愿意为他人所知悉的，即便是自己的近亲属也不例外。而且，死者在生前通过电子邮箱或者即时通讯工具等与他人产生各种社会交往，其中也将涉及到他人的隐私，若不做任何限制的由死者的近亲属行使个人信息处理中的权利，有可能会侵害第三人的隐私权。

《个人信息保护法（草案二次审议稿）》

《个人信息保护法》

第四十九条

自然人死亡的，本章规定的个人在个人信息处理活动中的权利，由其近亲属行使。

第四十九条

自然人死亡的，其近亲属为了自身的合法、正当利益，可以对死者的相关个人信息行使本章规定的查阅、复制、更正、删除等权利；死者生前另有安排的除外。

鉴于此，在公布的二审稿的基础上，最终出台的《个人信息保护法》中提出具体的保护机制，即由死者近亲属为了自身的合法、正当利益，可以对死者的个人信息行使本章规定的查阅、复制、更正、删除等权利，但是死者生前另有安排的除外。可以认为是我国立法的一大突破。

个人信息处理的七项法律基础

根据《个人信息保护法》第十三条的规定，共列举了七项处理个人信息的法律基础。

《个人信息保护法（草案二次审议稿）》

《个人信息保护法》

第十三条

符合下列情形之一的，个人信息处理者方可处理个人信息：

（一）取得个人的同意；

（二）为订立或者履行个人作为一方当事人的合同所必需；

（三）为履行法定职责或者法定义务所必需；

（四）为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需；

（五）依照本法规定在合理的范围内处理已公开的个人信息；

（六）为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息；

（七）法律、行政法规规定的其他情形。

依照本法其他有关规定，处理个人信息应当取得个人同意，但有前款第二项至第七项规定情形的，不需取得个人同意。

第十三条

符合下列情形之一的，个人信息处理者方可处理个人信息：

（一）取得个人的同意；

（二）为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需；

（三）为履行法定职责或者法定义务所必需；

（四）为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需；

（五）为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息；

（六）依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息；

（七）法律、行政法规规定的其他情形。

依照本法其他有关规定，处理个人信息应当取得个人同意，但是有前款第二项至第七项规定情形的，不需取得个人同意。

通过比较，我们可以看到《个人信息保护法》在第二项“履行合同所必需”的法律基础下提出了人力资源管理的情形，为企业收集、处理员工的个人信息提供了更加明确的合规路径。

同时，在《个人信息保护法（草案二次审议稿）》提出“处理已公开的个人信息”这一法律基础之上，《个人信息保护法》进一步对个人信息被公开的渠道进行了细化解释，包括个人自行公开的个人信息及其他已经合法公开的个人信息。

对此，若企业未取得个人的同意即涉及处理个人信息的，建议根据该条规定，确定自身处理个人信息是否存在法律基础，否则即可能构成违规处理个人信息，产生争议与纠纷。

共同处理与委托处理个人信息的规则

企业在处理个人信息时，往往存在相关合作方，与合作方之间的关系主要有共同处理与委托处理两种情形，《个人信息保护法》分别就其责任分担进行了规定。

（一）共同处理

根据《个人信息保护法》第二十条规定，两个以上的个人信息处理者共同决定个人信息的处理目的和处理方式的，应当约定各自的权利和义务。但是，该约定不影响个人向其中任何一个个人信息处理者要求行使本法规定的权利。个人信息处理者共同处理个人信息，侵害个人信息权益造成损害的，应当依法承担连带责任。

鉴于由于其中一方侵害个人信息权益造成损害的，另一方应当依法承担连带责任，故建议企业一方面选择合适的合作方，另一方面明确约定合作方之间连带责任后的追责和违约责任的承担问题。

（二）委托处理

根据《个人信息保护法》第二十一条规定，个人信息处理者委托处理个人信息的，应当与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等，并对受托人的个人信息处理活动进行监督。

同时，也对受托人提出了三个要求，分别是：

1.受托人应当按照约定处理个人信息，不得超出约定的处理目的、处理方式等处理个人信息；

2.委托合同不生效、无效、被撤销或者终止的，受托人应当将个人信息返还个人信息处理者或者予以删除，不得保留；

3.未经个人信息处理者同意，受托人不得转委托他人处理个人信息。

根据《个人信息保护法》第五十五条规定，委托处理个人信息的，个人信息处理者应当事前进行个人信息保护影响评估，并对处理情况进行记录。

因此，我们建议企业在与第三方合作时，首先进行个人信息保护影响评估，基于评估结果以及合作的目的和方式，以及合作关系涉及的个人信息处理活动的风险程度，就合作方之间的关系和责任承担进行约定，并通过采取数据审计、持续监控等措施，降低风险，减少纠纷。

公共场所图像、身份识别信息采集的条件

根据《个人信息保护法》第二十六条规定，在公共场所安装图像采集、个人身份识别设备所收集的信息，除取得个人单独同意外，只能用于维护公共安全的目的，并设置显著的提示标识。

对此，我们建议企业排查商场、园区或其他公共场所的采集设备，为降低合规风险，可依法设置显著的提示标识，依据法律规定进行及时整改。

个人信息跨境提供的规则

针对个人信息跨境提供，《个人信息保护法》专门设置第三章就其相关规则进行规定。

根据《个人信息保护法》第三十八条规定，个人信息处理者因业务等需要，确需向中华人民共和国境外提供个人信息的，应当具备下列条件之一：

条件一	依照本法第四十条的规定通过国家网信部门组织的安全评估。
条件二	按照国家网信部门的规定经专业机构进行个人信息保护认证。
条件三	按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务。
条件四	法律、行政法规或者国家网信部门规定的其他条件。

其中，关于中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的，可以按照其规定执行。

同时，也要求个人信息处理者应当采取必要措施，保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准，实际也是增加了个人信息处理者的义务与责任。

除以上情形外，如果是关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者，应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的，应当通过国家网信部门组织的安全评估；法律、行政法规和国家网信部门规定可以不进行安全评估的，从其规定。

个人信息主体的十项权利

《个人信息保护法》第四章全面确立了个人对其个人信息处理活动的一系列权利，共计10项，包括知情、决定、限制或拒绝处理、查阅、复制、更正、补充、删除等权利，并对传统的查阅复制权进行扩张，新增了有限的转移权，即个人请求将个人信息转移至其指定的个人信息处理者，符合国家网信部门规定条件的，个人信息处理者应当提供转移的途径。

具体如下：

项	权利	法律规定
1	自动化决策相关权利	第二十四条个人信息处理者利用个人信息进行自动化决策，应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇。通过自动化决策方式向个人进行信息推送、商业营销，应当同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式。通过自动化决策方式作出对个人权益有重大影响的决定，个人有权要求个人信息处理者予以说明，并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。
2	知情权	第四十四条个人对其个人信息的处理享有知情权、决定权，有权限制或者拒绝他人对其个人信息进行处理；法律、行政法规另有规定的除外。
3	决定权
4	限制权
5	拒绝权
6	查阅权	第四十五条个人有权向个人信息处理者查阅、复制其个人信息；有本法第十八条第一款、第三十五条规定情形的除外。个人请求查阅、复制其个人信息的，个人信息处理者应当及时提供。个人请求将个人信息转移至其指定的个人信息处理者，符合国家网信部门规定条件的，个人信息处理者应当提供转移的途径。
7	复制权
8	可携带权
9	更正权	第四十六条个人发现其个人信息不准确或者不完整的，有权请求个人信息处理者更正、补充。个人请求更正、补充其个人信息的，个人信息处理者应当对其个人信息予以核实，并及时更正、补充。
10	删除权	第四十七条有下列情形之一的，个人信息处理者应当主动删除个人信息；个人信息处理者未删除的，个人有权请求删除：（一）处理目的已实现、无法实现或者为实现处理目的不再必要；（二）个人信息处理者停止提供产品或者服务，或者保存期限已届满；（三）个人撤回同意；（四）个人信息处理者违反法律、行政法规或者违反约定处理个人信息；（五）法律、行政法规规定的其他情形。法律、行政法规规定的保存期限未届满，或者删除个人信息从技术上难以实现的，个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。

个人信息处理者的相关义务

在《个人信息保护法》第五十一条至五十七条明确了个人信息处理者应当履行的基本义务，以下分别进行介绍。

（一）处理个人信息的一般性义务

个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等因素，采取措施确保个人信息处理活动符合法律、行政法规的规定，并防止未经授权的访问以及个人信息泄露、篡改。

在具体措施上有以下几种：

1. 制定内部管理制度和操作规程

我们建议企业制定《个人信息保护制度》《员工信息保密手册》《企业用户信息分级分类管理制度》等内部管理制度和操作规，将个人信息保护要求嵌入具体的业务流程，确保个人信息信息处理活动流程清晰、要求明确。

2. 对个人信息实行分类管理

我们建议企业结合不同的业务场景与数据本身的性质，针对个人信息进行分类并采取相对应的管理措施。

3. 采取相应的加密、去标识化等安全技术措施

我们建议企业根据处理的个人信息的敏感程度、重要性等，采取不同级别的加密措施，以及在通过界面展示个人信息时应采取去标识化处理等措施降低泄露风险。

4. 合理确定个人信息处理的操作权限，并定期对从业人员进行安全教育和培训

我们建议企业针对不同级别的管理人员，确定不同的操作权限，降低不同员工泄露用户个人信息的风险。同时，通过由专业人员对企业从业人员进行定期的安全教育和培训，一方面可以使企业从业人员掌握岗位职责和应急处置策略和规程，另一方面也可以在一定程度上证明企业已经承担相应的个人信息保护义务。

5. 制定并组织实施个人信息安全事件应急预案

我们建议企业提前制定人信息安全事件应急预案，并在安全事件发生后根据应急预案采取相应措施，如记录事件内容，评估事件可能造成的影响并采取必要措施控制事态、消除隐患，以及按照《国家网络安全事件应急预案》等规定及时上报等等，尽量减少个人信息安全事件导致的不良影响，降低损失。

（二）指定个人信息保护负责人

若企业属于处理个人信息达到国家网信部门规定数量的个人信息处理者，则应当指定个人信息保护负责人，由其负责对个人信息处理活动以及采取的保护措施等进行监督。

同时，企业应当公开个人信息保护负责人的联系方式，并将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门。

（三）设立专门机构或指定代表

若企业在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动，并涉及以向境内自然人提供产品或者服务为目的，或分析、评估境内自然人的行为，又或有法律、行政法规规定的其他情形，则应当在中华人民共和国境内设立专门机构或者指定代表，来负责处理个人信息保护相关事务。

同样，企业也需要将有关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门。

（四）互联网平台的个人信息保护义务

《个人信息保护法（草案二次审议稿）》

《个人信息保护法》

第五十七条

提供基础性互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，应当履行下列义务:

（一）成立主要由外部成员组成的独立机构，对个人信息处理活动进行监督；

（二）对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者，停止提供服务；

（三）定期发布个人信息保护社会责任报告，接受社会监督。

第五十八条

提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，应当履行下列义务：

（一）按照国家规定建立健全个人信息保护合规制度体系，成立主要由外部成员组成的独立机构对个人信息保护情况进行监督；

（二）遵循公开、公平、公正的原则，制定平台规则，明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务；

（三）对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者，停止提供服务；

（四）定期发布个人信息保护社会责任报告，接受社会监督。

通过比较，我们可以看到《个人信息保护法》第五十八条在《个人信息保护法（草案二次审议稿）》的基础上新增了互联网平台应当制定平台规则，要求互联网平台应当遵循公开、公平、公正的原则，制定平台规则，明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务。

该条新增内容，实际上是让互联网平台增加了对其平台内产品或服务提供者进行管理的义务。在互联网平台提供产品或服务的场景下，除了平台方本身，往往还存在平台内经营者、第三方SDK提供者等主体，但个人往往是出于对平台本身的信任而提供个人信息，因此增加该条款也是为了使得互联网平台对自身平台上的产品或服务提供者尽到管理义务，增强对互联网平台上个人信息的保护力度。

总结

通过对《个人信息保护法》规定的内容进行分析，可以看到《个人信息保护法》在坚持“以人为本”的同时，既实现了与国际个人信息保护通用原则的接轨，也结合中国国情进行了特殊考量与安排。

可以说，在承接《网络安全法》《数据安全法》的基础上，伴随《个人信息保护法》的出台，我们国家正式拉开了个人信息权益法律保护的大幕，这也是中国在当前全球数字治理中的制度贡献。

《个人信息保护法》将于2021年11月1日生效，距今也就不到三个月的时间，在这个大家越来越重视个人信息保护的时代，我们建议企业结合本文提出的合规建议，仔细阅读重要条款，特别是对本企业个人信息保护制度和个人信息处理规则进行自查，从信息出境、信息安全评估、个人信息保护影响评估、证据留痕等方面进行准备，做到未雨绸缪，提前规避合规风险，保护企业商誉，带来商业竞争力的提升。

文章.jpg