经历三次审议，广受关注的《中华人民共和国个人信息保护法》（简称“《个人信息保护法》”）最终于2021年8月20日由第十三届全国人大常务委员会第三十次会议审议通过，并将于2021年11月1日起施行。作为我国第一部有关个人信息保护的专门法律，同时也是我国信息安全领域的基础性法律，《个人信息保护法》将与《网络安全法》以及今年9月1日正式生效的《数据安全法》共同构建我国信息和数据安全领域的基本框架。

 《个人信息保护法》以“个人信息处理者”为核心规制主体，具体规则按照个人信息处理规则、跨境传输要求、主体权利、个人信息处理者义务、个人信息处理监管以及法律责任等六个方面展开。此外，《个人信息保护法》坚持同时适用于公共领域和私人领域个人信息处理活动的设置，专门规定了国家机关处理个人信息的特别规定。本文将选取《个人信息保护法》中的最为亮眼的十大要点进行解读，希望能够帮助广大个人和企业读者快速准确地了解新法规制要点，为保护个人信息和企业合规性发展提供帮助。

十大亮点

 （一）进一步扩大了域外效力

 《个人信息保护法》借鉴欧盟《通用数据保护条例》（GDPR）的做法，将“以向境内自然人提供产品或者服务为目的”和“分析、评估境内自然人的行为”情形下在境外开展的处理境内自然人个人信息的活动，纳入本法的管辖范围。对比之前出台的《网络安全法》和《数据安全法》，个人信息保护法进一步扩大了域外效力的范围，将关涉我国境内自然人的个人信息处理行为都纳入法律规制范围，旨在更大程度和范围内保护境内自然人的个人信息权益。

 （二）限制过度收集用户个人信息

 《个人信息保护法》进一步完善个人信息处理规则，特别是对应用程序（App）过度收集个人信息、“大数据杀熟”等作出有针对性规范。第一，处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。第二，收集信息的范围应当限于实现处理目的的最小范围。第三，被收集信息的保存期限应当为实现处理目的所必要的最短时间。

 （三）以“告知—同意”为信息处理的核心原则

  告知同意原则是指，处理个人信息，应在由个人在充分知情的前提下，取得个人的同意。《个人信息保护法》中有关告知同意原则的规则如下：

 其一，告知义务。个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言向个人告知个人信息的处理目的、处理方式、信息种类和保存期限等必要告知事项。法律、行政法规规定应当保密或者不需要告知的情形除外。紧急情况下为保护自然人的生命健康和财产安全无法及时向个人告知的,个人信息处理者应当在紧急情况消除后及时告知。

 其二，无需征求个人同意的例外情形：1）为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需；2）为履行法定职责或者法定义务所必需；3）为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需；4）为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息；5）依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息等。

 其三，个人具有撤回同意权。基于个人同意而进行的个人信息处理活动,个人有权撤回其同意。并且信息处理者应当提供便捷的撤回同意的方式。但是，个人撤回同意，不影响撤回同意前已进行的个人信息处理活动的效力。

 其四，个人具有不被拒绝服务权。个人信息处理者不得以个人不同意为由,拒绝提供产品或者服务。处理个人信息属于提供产品或者服务所必需的除外。

 其五，敏感信息的额外告知和单独同意。相较于处理一般个人信息的告知和同意要求，处理生物识别、医疗健康等敏感个人信息时，个人信息处理者需：1）向个人告知处理行为的必要性及对个人的影响；2）取得个人的单独同意。敏感个人信息的收集，则需要考虑是否设置专门的授权页面。

 其六，未成年人适用特殊同意规则。个人信息处理者处理不满十四周岁未成年人个人信息的，应当取得未成年人的父母或者其他监护人的同意。个人信息处理者处理不满十四周岁未成年人个人信息的，应当制定专门的个人信息处理规则。

（四）禁止强制利用个人信息进行自动化决策

 自动化决策，是指通过程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等，并进行决策的活动。比如构建用户画像并进行算法推荐、推送个性化广告或大数据杀熟等。

 首先，自动化决策应当遵守个人信息处理的一般规则，应当在充分告知个人信息处理相关事项的前提下取得个人同意，不得以个人不同意为由拒绝提供产品或者服务。

 其次，《个人信息保护法》第二十四条对自动化决策作出专门规范，要求个人信息处理者保证决策的透明度和处理结果的公平合理，不得通过自动化决策对个人在交易价格等交易条件上实行不合理的差别待遇，并在事前进行个人信息保护影响评估。

 第三，赋予个人充分的权利。个人认为自动化决策对其权益造成重大影响的,有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。通过自动化决策方式进行商业营销、信息推送,应当同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式。

（五）滥用人脸识别技术的规则

 根据《个人信息保护法》第二十六条的规定，首先，仅当为维护公共安全所必需,且遵守国家有关规定的情况下，才能在公共场所安装图像采集、个人身份识别设备。其次，在公共场所安装图像采集、个人身份识别设备，应当设置显著的提示标识。第三，所收集的个人图像、个人身份特征信息只能用于维护公共安全的目的,不得公开或者向他人提供。

 （六）敏感个人信息的特殊处理规则

 《个人信息保护法》第二十八条界定了敏感个人信息的内涵和外延。敏感个人信息是指，一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。

 个人信息处理者处理敏感个人信息需满足以下条件：1）具有特定目的和充分的必要性；2）采取严格保护措施；3）取得个人的单独同意；4）除本法第十七条第一款规定的处理一般个人信息的法定告知事项外，还要告知个人处理敏感个人信息的必要性以及对个人权益的影响。

 （七）个人信息的跨境提供规则

 《个人信息保护法》在现有规则的基础上，重构了个人信息跨境传输的监管框架。

 首先，一般情形下，个人信息跨境提供应满足“四选一加二”的条件。“四选一”是指，个人信息处理者向境外提供个人信息的，应当至少具备下列一项条件：1）已通过国家网信部门组织的安全评估；2）经专门机构进行个人信息保护认证；3）按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务；4）法律、行政法规或者国家网信部门规定的其他条件。

 此外，个人信息处理者应当满足以下两个条件：1）采取必要措施，保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准；2）向个人就境外接收方的身份、联系方式、处理目的等法定告知事项充分告知,并取得个人的单独同意。

 其次，《个人信息保护法》第四十条规定了两种向境外提供的特殊主体，即关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者。以上两种情形，应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估;法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定。

 （八）个人信息处理者的安全保护义务

 1.通用的安全保护义务

 《个人信息保护法》第五十一条规定，个人信息处理者应当采取必要措施确保个人信息处理活动合法合规,并防止未经授权的访问以及个人信息泄露或者被窃取、篡改、删除。

 个人信息处理者构建数据合规体系应当采取的必要措施有：1）制定内部管理制度和操作规程；2）对个人信息实行分类管理; 3）采取相应的加密、去标识化等安全技术措施; 4）合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训; 5)制定并组织实施个人信息安全事件应急预案等。

 此外，《个人信息保护法》第五十四条规定，个人信息处理者应当定期对其个人信息处理活动、采取的保护措施等是否合法合规进行审计。 

 2.特定主体的安全保护义务

 根据《个人信息保护法》第五十二条的规定，处理个人信息达到国家网信部门规定数量的个人信息处理者，应当履行下列义务：1）指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督；2）公开个人信息保护负责人的联系方式，并将其姓名、联系方式等报送履行个人信息保护职责的部门。

 《个人信息保护法》第五十三条规定，属于本法管辖的境外个人信息处理者,应当履行下列义务：1）在中华人民共和国境内设立专门机构或者指定代表,负责处理个人信息保护相关事务；2）将有关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门。

 《个人信息保护法》第五十八条规定，提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，应当履行下列义务：1）建立健全个人信息保护合规制度体系，成立主要由外部成员组成的独立机构对个人信息保护情况进行监督; 2）制定平台规则，明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务；3）对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者，停止提供服务; 4）定期发布个人信息保护社会责任报告，接受社会监督。

 3.特定情形下的安全保护义务

 《个人信息保护法》第五十五条规定，进行对个人有重大影响的个人信息处理活动时，应当落实事前进行风险评估,和事中处理情况记录义务。对个人有重大影响的个人信息处理活动，包括：处理敏感个人信息，利用个人信息进行自动化决策，委托处理、向其他个人信息处理者提供和公开个人信息，向境外提供个人信息等信息处理活动等。

 《个人信息保护法》第五十七条规定，发生或可能发生个人信息泄露的,应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人。其中，个人信息处理者采取措施能够有效避免信息泄露造成损害的,个人信息处理者可以不通知个人;但是,履行个人信息保护职责的部门认为个人信息泄露可能对个人造成损害的,有权要求个人信息处理者通知个人。

 （九）健全投诉举报机制

 当前，个人信息保护面临维权渠道窄、成本高、处罚侵权力度不够等问题，制约着用户的维权意愿。《个人信息保护法》进一步压实各方责任，加强有关部门查处案件的协调配合。对完善个人信息保护投诉、举报工作机制及违法处理个人信息涉嫌犯罪案件的移送提出明确要求。

 《个人信息保护法》第六十五条规定，任何组织、个人有权对违法个人信息处理活动向履行个人信息保护职责的部门进行投诉、举报。履行个人信息保护职责的部门应当公布接受投诉、举报的联系方式。此外，《个人信息保护法》还规定，收到投诉、举报的部门及时将处理结果告知投诉、举报人，这将让相关机制能够良性运转。

 （十）强化监管职责，严惩违法行为

 首先，监管主体。《个人信息保护法》第六十条规定，履行个人信息保护职责的部门包括，国家网信部门以及国务院和县级以上地方人民政府在各自职责范围内负责个人信息保护和监督管理工作的有关部门，其中国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。

 其次，监管措施。《个人信息保护法》第六十四条规定监管主体可以采取的监管措施：履行个人信息保护职责的部门发现个人信息处理活动存在较大风险或者发生个人信息安全事件的，可以依法实行以下职权：1）对该个人信息处理者的法定代表人或者主要负责人进行约谈；2）要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计；3）发现违法处理个人信息涉嫌犯罪的，应当及时移送公安机关依法处理。

 第三，法律责任。《个人信息保护法》对于侵犯个人信息的行为规定了及其严苛的法律责任。其一，除大幅度提高了对有关责任主体的罚款金额外，还规定对违法处理个人信息的应用程序，责令暂停或者终止提供服务。其二，将违法处理结果与直接负责的主管人员和其他直接责任人员的“职业生涯”挂钩。本法第六十六条规定违反本法，情节严重的，可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人等职务。其三，记入档案，予以公示。本法第六十七条规定，有本法规定的违法行为的，依照有关法律、行政法规的规定记入信用档案，并予以公示。

（本文作者：盈科刘知函律师 来源：微信公众号 知函博士商业秘密访谈）