全景解构《个人信息保护法》，助力企业进入中国个人信息保护新纪元

原创陈际红蔡鹏等中伦视界 2022-07-31

作者：

陈际红蔡鹏吴佳蔚

焦雅婷杨润陈煜烺

从2020年10月一审稿草案发布至今，历经十个月的讨论、修改，广泛关注的《个人信息保护法》于2021年8月20日经十三届全国人大常委会第三十次会议正式表决通过，将于2021年11月1日施行。

图：《个人信息保护法》思维导图

《个人信息保护法》共计八章七十四条。与《个人信息保护法（草案二次审议稿）》相比（以下简称“《二审稿》”），《个人信息保护法》进一步完善个人信息处理规则，对应用程序（APP）过度收集个人信息、大数据杀熟及非法买卖、泄露个人信息等提出针对性要求。相比《二审稿》，《个人信息保护法》的主要六大修改内容如下：

点击可查看大图

本文将针对《个人信息保护法》从六个方面进行解读并提出相应合规建议，以期从具体实施的角度帮助企业提供更落地化的实务指引。

一

确定适用范围和核心概念，设定个人信息处理的六大原则

《个人信息保护法》增加宪法作为立法依据，系宪法中关于“国家尊重和保障人权，公民的人格尊严不受侵犯，公民的通信自由和通信秘密受法律保护”[1]之规范意旨的具体落实。同时，《个人信息保护法》在个人信息处理定义中新增“删除”环节，进一步从立法层面完善对个人信息的全生命周期保护。

1、适用范围

适用范围	条文解读	合规指引
属地原则	《个人信息保护法》第三条第一款设定了法律适用范围的基本原则——属地原则。无论数据处理者是否为境外主体，无论个人信息主体是否为外国人，只要数据处理活动发生在境内，即适用本法。	任何主体在中国境内从事个人信息处理活动均应遵循《个人信息保护法》的要求。
指向原则	除以属地原则为基础外，第三条第二款明确借鉴GDPR第3条第2款[2]关于地域范围适用的规定，赋予《个人信息保护法》必要的域外适用效力，规定向境内自然人提供产品或服务，或分析、评估境内自然人的行为亦适用该法，使得该法具有了“长臂管辖”的效果。针对第二款的情形，《个人信息保护法》第五十三条还进一步参考GDPR第27条[3]的规定，要求境外的个人信息处理者在境内设立专门机构或指定代表，并向履行个人信息保护职责的部门报送相关信息。	在中国境外处理个人信息，如果涉及向境内自然人提供产品或服务，或分析、评估境内自然人的行为，亦应遵循与境内处理个人信息相同的合规要求。上述适用本法的境外企业应在境内设立专门机构或指定代表，并向履行个人信息保护职责的部门报送相关信息

2、核心概念

核心概念	条文解读	合规指引
个人信息	《个人信息保护法》第四条规定，个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。关于个人信息的定义，历经《网络安全法》《个人信息安全规范》和《民法典》的多次修正，最终确立了 “识别+关联”的判断路径。总体而言，《个人信息保护法》对个人信息的定义将采取“宽进严出”的态度，凡符合识别标准或关联标准，均可能构成个人信息。同时，还明确了匿名化之后的数据不再属于个人信息。	企业可使用“识别+关联”标准以认定所处理数据是否构成个人信息：（1）识别标准：从信息到个人，即由信息本身的特殊性即可识别出特定自然人。例如身份证号。（2）关联标准：从个人到信息，即已知特定自然人，由该特定自然人在其活动中产生的信息。例如已知特定自然人的位置信息、通话记录等。
个人信息的处理	相比《二审稿》，《个人信息保护法》对于个人信息处理的范围新增了“删除”，体现立法者对于个人信息全生命周期保护的进一步强化，也有利于将个人信息处理者删除、销毁个人信息的活动纳入本法关于个人信息处理活动的规制范围。	企业应在个人信息的收集、存储、使用、加工、传输、提供、公开、删除等全生命周期落实合规义务。

3、处理个人信息的六大基本原则

基本原则	条文解读	合规指引
合法、正当、必要、诚信原则（第五条）	《个人信息保护法》第五条规定，处理个人信息应当遵循合法、正当、必要和诚信原则，不得通过误导、欺诈、胁迫等方式处理个人信息。作为第一项基本原则，《个人信息保护法》坚持了《网络安全法》和《民法典》关于合法性要求的一贯立场，禁止采取“误导、欺诈、胁迫”等方式处理个人信息也是《个人信息保护法》对于个人信息处理者的基础和前提性要求。同时，《个人信息保护法》将《二审稿》第六条的“必要性”要求前移至第五条，与合法性要求并列作为处理个人信息的最基本原则，结合近期网信办出台的《常见类型移动互联网应用程序必要个人信息范围规定》，体现出立法者已将必要性判断作为个人信息处理活动合规性审查的核心。	相关原则对应的合规措施非常广泛，此处举例如下：不应以欺诈、诱骗、误导的方式收集个人信息；不应隐瞒产品或服务所具有的收集个人信息的功能；不应从非法渠道获取个人信息；收集的个人信息的类型应与实现产品或服务的业务功能有直接关联；具体范围可结合《常见类型移动互联网应用程序必要个人信息范围规定》予以认定；自动采集个人信息的频率应是实现产品或服务的业务功能所必需的最低频率；间接获取个人信息的数量应是实现产品或服务的业务功能所必需的最少数量。
目的明确和直接相关原则（第六条）	《个人信息保护法》第六条规定，处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息。GDPR对于该原则的表述为“目的限制”原则，即“（b）基于具体、明确、合法的目的收集个人数据，且随后不得以与该目的相违背的方式进行处理”；并单独在（c）项中规定了“最小必要原则”，表述为“（c）数据应是充足的、相关的并且限于数据处理目的最小必要范围”。同时，《个人信息安全规范》亦分别用两条来概括为b）目的明确原则和d）最小必要原则。值得注意，《个人信息保护法》在《二审稿》的基础上将“必要”的要求前移至第五条，而替代采用“与处理目的直接相关”的表述，《个人信息安全规范》[4]中将“直接关联”解释为“没有此等个人信息的参与，产品或服务的功能无法实现”；但未来对于“直接相关”的判断标准和尺度仍需进一步观察。	企业提供产品或服务涉及的各项业务功能（个人信息处理活动）应有明确、合理使用场景，并告知用户各功能对应的目的。
公开透明原则（第七条）	《个人信息保护法》第七条规定，处理个人信息应当遵循公开、透明原则，公开个人信息处理规则，明示处理的目的、方式和范围。该项原则对个人信息处理者课以公开、明示义务，同时也是对于个人信息主体知情权的保障，从而确保个人信息主体的同意是其在完全知情的基础上作出的意愿表示。实践中，此等明示义务通常以《个人信息保护规则》（或称《隐私政策》）、弹窗单独告知等形式实现，根据《个人信息保护法》第十七、三十条，所应明示的内容至少包括：1）个人信息处理者的名称或者姓名和联系方式；2）个人信息的处理目的、处理方式，处理的个人信息种类、保存期限；3）个人行使权利的方式和程序。同时，如处理敏感个人信息，信息处理者还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响。	企业应制定个人信息保护政策；所告知的信息应真实、准确、完整，包括但不限于产品运营者基本情况、个人信息收集、使用目的、范围及场景、个人信息处理方式及规则、对外共享及披露情形、个人信息主体权利保障机制、投诉处理渠道等；个人信息保护政策应公开发布且易于访问，例如，在网站主页、移动互联网应用程序安装页、以交互界面或设计等显著位置设置链接；个人信息保护政策应逐一送达个人信息主体；例如用户注册或首次运行产品时需主动提示用户阅读并勾选同意后才可继续使用。
其他原则：准确性原则（第八条）问责性原则（第九条）数据安全原则（第九条）	除上述原则，《个人信息保护法》第八条至第九条还规定了处理个人信息应当保证个人信息的质量，避免因个人信息不准确、不完整对个人权益造成不利影响（准确性原则），同时个人信息处理者应当对其个人信息处理活动负责（可问责性原则），并采取必要措施保障所处理的个人信息的安全（数据安全原则）。基于可问责性项原则和数据安全原则，《个人信息保护法》第五章进一步课以个人信息处理者应遵循的法定义务，例如指定个人信息保护负责人（第五十二条），制定内部管理制度、实行分类管理、采取安全技术措施、确定个人信息处理的操作权限、定期进行安全教育和培训、制定并组织实施个人信息安全事件应急预案（第五十一条）。	企业应综合考虑所收集个人信息的目的，开展必要的个人信息完整性和准确性审核。例如，通过公安机关提供的实名认证接口完成对个人所提供的个人信息是否满足《网络安全法》中实名制要求的必要审核；企业应当结合自身的风险程度，尽早任命个人信息保护负责人，成立相关部门，建立内部合规管理制度和相关措施（具体见第六部分）。

二

个人信息处理的基本规则和合规应对策略

1、个人信息处理活动的七项法律基础

《个人信息保护法》在第十三条列举了七项处理个人信息的法律基础，除同意外还包括（1）订立、履行合同或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需；（2）履行法定职责或法定义务；（3）应对突发公共卫生事件或紧急情况所必需；（4）为公共利益实施新闻报道、舆论监督；（5）合理范围内处理公开个人信息；及（6）法律、行政法规规定的其他情形。

《个人信息保护法》首次突破了《网络安全法》以“告知-同意”为核心的单一法律基础，对《民法典》第一千零三十五条[5]所规定的“法律、行政法规另有规定”进行了细化和扩展。相比《二审稿》，《个人信息保护法》在“履行合同所必需”的法律基础下提出了人力资源管理的情形，为企业收集、处理员工的个人信息提供了更加明确的合规路径。同时，在《二审稿》创造性提出的“处理已公开的个人信息”这一法律基础之上，《个人信息保护法》进一步对个人信息被公开的渠道进行了细化解释，包括个人自行公开的个人信息及其他已经合法公开的个人信息。

企业合规建议

对企业而言，了解和梳理个人信息处理活动的目的、范围和方式，论证其对应的法律基础将成为合规工作的基本和前提，特别是对于同意和其他合法基础的区分。一旦某处理活动适用其他合法基础，例如属于履行合同之必须，那么该等处理活动无需取得同意，除需满足合法性、必要性等基本原则及其他要求外，在隐私政策中进行披露和公示即可。虽然《个人信息保护法》还未像欧盟《通用数据保护条例》（“GDPR”）中第13条，要求数据控制者在收集数据主体个人数据时说明处理的法律基础，但是，基于正当且合理的法律基础处理个人信息，有助于企业更好地把握个人信息处理的边界，以及应对个人对个人信息处理活动提出异议的后果，进而制定对应的数据合规策略，保证个人信息的全生命周期合规。

2、获取同意的合法、有效标准

《个人信息保护法》第十四条、第十五条对基于个人同意处理个人信息的情形下，获得个人同意的有效标准及撤回同意进行规定。同意应由个人在充分知情的前提下自愿、明确作出，且可以被便捷地撤回。需要重点注意的是，《个人信息保护法》在第十四条中提到“单独同意”和“书面同意”的概念，且在后文中，为部分场景下的个人信息处理活动设定了单独同意的要求，如向其他个人信息处理者提供个人信息、公开个人信息、处理敏感个人信息、向境外提供个人信息的情形。《个人信息保护法》第十六条还规定，个人信息处理者不得以个人不同意或者撤回同意为由，拒绝提供产品或者服务。

企业合规建议

在实务中，“单独同意”要求一旦生效，将对产品界面设置、个人信息处理活动的合法前提产生较大影响，而对于“单独同意”的标准和格式要求仍未有进一步细致规定。按照立法目的，“单独同意”首先应当确保收集的“可感知性”，个人充分知情，而不应与其他个人信息处理规则一并告知；其次，“单独同意”应当排除“捆绑授权”；最后，“单独同意”应当排除“强迫或变相强迫同意”的情况，如人脸信息不属于提供产品或者服务所必需的，个人在拒绝后对产品或服务的使用不应被影响或限制。

3、个人信息处理活动的透明化

《个人信息保护法》在第十七条中列举了个人信息处理者在处理个人信息前，应当向个人告知的事项。相较于《二审稿》，《个人信息保护法》就个人信息处理者的告知义务中增加了“真实、准确、完整”三大原则。另外，《个人信息保护法》在后文中也对个人信息处理者在特定情形下应披露的内容作出规定，情形包括因合并、分立等原因需要转移个人信息、向他人提供个人信息、处理敏感个人信息、及向中华人民共和国境外提供个人信息。

企业合规建议

鉴于《个人信息保护法》此次强调的“完整性”对个人信息处理规则的文本提出了更高的要求，结合之前监管机构的实践及相关国家标准、指南来看，企业需避免使用“等、例如”等方式进行不完整列举。我们建议企业在根据业务实践制定出一份隐私政策或相关文本后，严格对照《个人信息保护法》对个人信息处理者告知义务的内容要求进行查缺补漏，确保满足法律法规的透明化要求。

4、最小限度保存个人信息

《个人信息保护法》第十九条规定了个人信息的保存期限，除法律、行政法规另有规定的情形外，均应当为实现处理目的所必要的最短时间。

在实际业务中，企业需要在个人信息处理活动的开端，即界定个人信息处理的目的，并依据目的厘清是否存在个人信息存储的法律要求及对应的时间段，如不存在，则应在目的实现时履行删除或者匿名化处理义务。

5、共同处理、委托处理及向他人提供个人信息

《个人信息保护法》第二十条、第二十一条分别就共同处理及委托处理个人信息情形进行规定。在共同处理的场景下，双方共同决定个人信息的处理目的和处理方式，应约定各自的权利和义务，如侵害个人信息权益造成损害的，双方应承担连带责任。在委托处理的场景下，双方应约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施、双方的权利和义务等，以及个人信息处理者对受托人的个人信息处理活动进行监督。其中，受托人除需遵守与个人信息处理者的约定，不得超出约定的处理目的、处理方式等外，还需遵守《个人信息保护法》第五十九条从法律层面赋予的安全保障义务及协助义务。另外，《个人信息保护法》在第二十二条及二十三条中还规定了因合并、分立、解散、被宣告破产等原因需要转移个人信息，以及向其他个人信息处理者提供个人信息时的告知义务及其他相关规定。

企业合规建议

企业在与第三方合作时，应基于合作的目的和方式约定与合作伙伴之间的关系和责任承担。在角色判断的过程中，双方的地位、个人信息处理活动的边界与其应承担的权利与义务相对应，双方应妥善协商并签订协议，在事前进行个人信息保护影响评估（《个人信息保护法》第五十五条），结合合作关系涉及的个人信息处理活动的风险程度酌情采取审计、持续监控等措施，以避免后续纠纷。

6、自动化决策的规则

《个人信息保护法》第二十四条规定，个人信息处理者如使用自动化决策，应保证决策透明和结果公平、公正，不得对个人在价格等交易条件上实行不合理的差别待遇，如市场上反映强烈的“大数据杀熟”问题。如通过自动化决策方式向个人进行信息推送、商业营销，应当同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝的方式。如个人信息处理者基于自动化决策作出对个人权益有重大影响的决定，个人有权要求其进行说明，并有权拒绝其仅仅通过自动化决策的方式作出决定。

企业合规建议

在目前用户画像、算法推荐等新技术、新应用蓬勃发展的大背景下，《个人信息保护法》对自动化决策进行的针对性规范，是对社会热点的关切和呼应。企业在实务操作中，应首先依据《个人信息保护法》第五十五条的规定在事前进行个人信息保护影响评估，其次应明确业务拟通过自动化决策将要实现的目的，如自动化决策是为向个人进行信息推送、商业营销等，应基于同意的法律基础进行个人信息处理，并提供拒绝的方式。

7、公开个人信息使用的合理边界

《个人信息保护法》在第二十五条中赋予了个人信息处理者公开个人信息时单独同意的义务。依据《个人信息保护法》第十三条，在个人自行公开或者其他已经合法公开相关个人信息之后，对于此等已公开个人信息在合理范围内的处理即具有法律基础。但是，如《个人信息保护法》第二十七条所述，尽管可以在合理的范围内进行，但个人明确拒绝的除外，且如处理对个人权益造成重大影响，应另行取得个人同意。

企业合规建议

在实践中，对处理公开个人信息之合理范围的判断可能成为实务中的重难点。结合之前的司法实践来看，个人信息主体的明确拒绝和要求删除等行为可能是判断合理边界的重要依据。我们理解，企业应从个人权益的影响角度做出评估，避免造成直接侵入性的隐私损害。

8、公共场所图像、身份识别信息采集

根据《个人信息保护法》第二十六条，在公共场所安装图像采集、个人身份识别设备所收集的信息，除取得个人单独同意外，只能用于维护公共安全的目的，并设置显著的提示标识。这一规定也与近期中央网信办、工信部、公安部、市场监管总局推进的摄像头偷窥等黑产工作相对应。我们建议企业排查工作地点、园区或其他场所的采集设备，并依据法律规定及时进行整改。

9、敏感个人信息的保护和处理规则

《个人信息保护法》第二十八条对敏感个人信息进行定义，该类信息一旦泄露或者非法使用，即容易导致自然人的人格尊严受到侵害或人身、财产安全受到危害。《个人信息保护法》第二十九条赋予了处理敏感个人信息应获得个人的单独同意的要求。另外，《个人信息保护法》此次作出的重大变化之一是明确将不满十四周岁未成年的个人信息划入敏感个人信息范畴。根据第三十一条，对于不满十四周岁未成年人的个人信息处理活动，个人信息处理者应取得其父母或其他监护人的同意，并制定专门的个人信息处理规则。

企业合规建议

由于敏感个人信息如泄露或非法使用将造成严重后果，在涉及处理部分敏感个人信息如生物识别信息、医疗健康信息、金融账户信息等领域，均设有特别法律法规进行针对性规定。在2021年7月27日，最高法颁布的《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》中，即从侵权责任、违约责任和消费者公益诉讼角度对人脸信息处理涉及的责任及要求进行说明。企业在了解涉及处理的个人信息类型的基础上，应区分其中的敏感个人信息类型，制定企业内部的分类分级标准，并采取更高水平的技术措施予以保护。针对未满十四周岁的未成年人信息，企业应在产品/服务端设计青少年模式，通过家长身份验证等方式确保个人信息处理合规，并制定专门的个人信息处理规则予以公示。

三

多元化跨境传输的合法路径，确保实现同等保护水平

自《网络安全法》实施以来，个人信息跨境传输一直备受关注但没有明确的具体要求，《个人信息保护法》系统地设计了符合中国国情的个人信息跨境传输方案，提出了多元化的合法传输路径。

点击可查看大图

1、跨境传输的通用要求

无论企业构成何种主体，只要涉及将个人信息跨境传输[6]，即需要满足以下要求：

法规要求	相关解读
采取必要措施，保障境外接收方处理个人信息的活动达到《个人信息保护法》规定的个人信息保护标准（第三十八条）	该要求为《个人信息保护法》中新增的内容，强调了企业所需采取的各项措施、需满足的各项要求所要达成的效果。结合实践经验，企业可采取签订合同、审计评估、技术监测等措施来实现。
告知个人关于个人信息跨境传输的相关情况（包括接收方的名称/姓名、联系方式、处理目的、处理方式、个人信息类型、向接收方行使权利的程序和方式等）并取得个人的单独同意（第三十九条）	对于此“单独同意”具体如何实现，如我们在前文中所述，仍需进一步的指引。
事先进行个人信息保护影响评估（第五十五条）	企业在进行评估时可参考《信息安全技术个人信息安全影响评估指南》中的方法论及流程，对是否满足个人信息处理基本原则、对个人权益的影响及安全风险以及安全保护措施有效性等进行评估，并将评估报告及处理情况至少保存三年。

2、跨境传输的路径设计

对于个人信息处理者而言，在进行个人信息跨境传输时，除满足上述通用要求以外，还需要根据自身的性质适用相应的个人信息跨境传输要求。

（1）构成关键信息基础设施运营者（Critical Information Infrastructure Operator, CIIO）或处理个人信息达到国家网信部门规定数量的个人信息处理者

在《个人信息保护法》发布前夕，《关键信息基础设施安全保护条例》（以下简称为“《关基条例》”）正式通过并将于2021年9月1日起施行。根据《关基条例》，重要行业、领域[7]的主管部门和监督管理部门负责认定该行业、领域的关键信息基础设施[8]。对于CIIO进行个人信息跨境传输的要求，《个人信息保护法》与《网络安全法》[9]一脉相承，均提出了数据本地化的要求。

企业合规建议

对于企业而言，即使不构成CIIO，若所处理的个人信息达到了国家网信部门所规定的数量，仍然需要遵循与CIIO一致的个人信息跨境传输要求。具体要求包括：

第一步，先进行数据本地化：企业应当将在中国境内收集和产生的个人信息存储在境内。

第二步，通过国家网信部门组织的安全评估：数据本地化并不意味着禁止将个人信息传输至中国境外，如果确实需要向境外提供的，则需要在通过国家网信部门组织的安全评估后再进行传输。参考网信办于2019年发布的《个人信息出境安全评估办法（征求意见稿）》，安全评估的重点在于评估个人信息跨境传输是否符合法律法规及政策规定，传输方与接收方所签署的合同是否能够保障个人信息主体合法权益、是都得到有效执行，传输方与接收方是否发生过个人信息泄露等不良事件[10]。对于安全评估的具体流程、要求等有待进一步明确。

（2）其他个人信息处理者

如果企业不构成CIIO且所处理的个人信息未达到国家网信部门所规定的数量，满足以下条件之一即可：

按照国家网信部门的规定经专业机构进行个人信息保护认证。对于如何进行认证、哪些专业机构有权进行认证则有待后续法律法规明确；或
按照国家网信部门制定的标准合同与境外接收方订立合同。尽管目前暂未发布该标准合同条款，参考GDPR下的SCCs（Standard Contractual Clauses）、东盟（ASEAN）发布的MCCs（Model Contractual Clauses）等跨境传输条款，其中至少应当包括对传输范围、方式、频率等事实的明确以及不同数据处理关系下双方的权利义务的约定等内容。
法律、行政法规或者国家网信部门规定的其他条件。

对涉及个人信息跨境传输的企业的合规建议

基于上述分析，企业首先需判断自身性质，并在此基础上设计符合自身情况的跨境传输路径。需要注意的是，除上述通用要求及特殊要求以外，企业还需关注所在的行业领域是否有其他特别的要求。以汽车行业为例，根据将于2021年10月1日起实施的《汽车数据安全管理若干规定（试行）》，汽车数据处理者应该在中国境内依法存储重要数据（包括涉及个人信息主体超过10万人的个人信息），确需向境外提供的，应当通过国家网信部门组织的数据出境安全评估并满足其他相关要求。

四

个人信息有关主权和国家安全的特殊保护机制

个人信息跨境传输可能涉及国家安全、网络安全、数据主权等多方面的问题，《个人信息保护法》中对涉及其他国家/地区的个人信息保护特殊情形作出了规定。具体来说，主要包括以下三种情形：

第一种，外国司法机构或执法机构要求提供个人信息的情形。非经主管机关批准的前提下方可提供存储在中国境内的个人信息，个人信息处理者不得擅自提供。

第二种，境外组织、个人从事不合法的个人信息处理活动的情形。若境外组织、个人从事的个人信息处理活动侵害中国公民权益或危害中国国家安全、社会公共利益，国家网信部门可以将此类组织、个人列入限制或者禁止个人信息提供清单。

第三种，其他国家/地区在个人信息保护方面对中国采取歧视性的禁止、限制等措施。在此情形下，我国可以根据实际情况对该国家或地区对等采取措施。

对于企业而言，要持续关注全球数据保护整体趋势，涉及个人信息跨境传输时紧密关注接收方所在国家/地区的法律环境及动态，在选用境外合作伙伴时对其个人信息保护技术能力、合规能力、声誉等进行充分的调查及评估，及时调整业务策略，避免影响业务活动正常平稳运行。

五

赋予个人信息主体十大权利

1、赋予个人信息主体十大法定权利，首次引入可携带权

《个人信息保护法》第四章全面规定了个人在个人信息处理活动中的十大法定权利。《个人信息保护法》与《民法典》第一千零三十七条[11]及《个人信息安全规范》第八条[12]的有关规定相衔接，同时与GDPR以及《加利福尼亚州消费者隐私法》（“CCPA”）的相关规定类似，明确了在个人信息处理活动中个人的各项权利。

《个人信息保护法》规定的法定权利与GDPR以及《加利福尼亚州消费者隐私法》（“CCPA”）的对比如下：

《个人信息保护法》	GDPR	CCPA
知情权（第四十四条）	知情权	知情权
决定权（第四十四条）	/	/
限制权（第四十四条）	限制处理权	/[13]
拒绝权（第四十四条）	拒绝权	/
查阅权（第四十五条）	访问权	访问权
复制权（第四十五条）	访问权	访问权
可携带权（第四十五条）	可携带权	可携带权
更正权（第四十六条）	更正权	/
删除权（第四十七条）	被遗忘权	删除权
自动化决策相关权利（第二十四条）	自动化决策相关权利	/
/[14]	/	要求不得出售其个人信息（Not to sale）

《个人信息保护法》第四十五条第二款首次引入了GDPR和CCPA项下的可携带权，即“个人请求将个人信息转移至其指定的个人信息处理者，符合国家网信部门规定条件的，个人信息处理者应当提供转移的途径”，该规定或将有利于打破目前国内数据领域的垄断乃至“数据孤岛”的局面，解决数据资源的封闭性问题。

2、建立申请受理和处理机制

作为企业而言，响应个人信息主体行使上述权利将构成其在《个人信息保护法》项下的法定义务，具体而言，《个人信息保护法》第五十条要求个人信息处理者应当建立便捷的个人行使权利的申请受理和处理机制，结合《个人信息安全规范》[15]及相关合规实践，企业至少应在如下几个层面参照执行：

点击可查看大图

3、死者的个人信息处理权利

《个人信息保护法》第四十九条规定，自然人死亡的，其近亲属为了自身的合法、正当利益，可以对死者的相关个人信息行使本章规定的查阅、复制、更正、删除等权利；死者生前另有安排的除外。相比《二审稿》，《个人信息保护法》对于死者近亲属行权增加了“为了自身的合法、正当利益”以及“死者生前另有安排的除外”的限制。

此项变化一方面体现立法者对于死者生前意愿的充分尊重，另一方面进一步限缩了近亲属行权的情形。未来企业在响应此等死者近亲属的请求时，将有权要求近亲属说明其行权目的，同时可对死者生前是否已对其个人信息的死后处理作出安排予以审查，如果有证据证明不符合上述法定情形，则可以拒绝响应行权请求。

六

个人信息处理者的系统性义务

1、履行个人信息保护合规基本义务

点击可查看大图

《个人信息保护法》第五十一条至五十七条明确了个人信息处理者应履行的基本义务。企业应当构建起以组织为保障、以制度为贯穿、以安全为基石的个人信息保护体系，具体包括：

（1）设立专人负责

指定个人信息保护负责人；如果企业处理个人信息达到国家网信部门规定数量，则应指定个人信息保护负责人，并在《隐私政策》或其他界面公开个人信息保护负责人的联系方式，并将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门。

对于适用《个人信息保护法》的境外个人信息处理者，则应当在中国境内设立专门机构或指定代表，并将该机构的名称或代表的姓名、联系方式等报送履行个人信息保护职责的部门。

（2）建立管理制度和流程

企业应当结合开展个人信息处理活动的具体情况，制定内部管理制度和操作规程，重点关注存在较高风险的处理场景。主要包括：

制定内部管理制度和操作规程，将个人信息保护要求嵌入业务流程，确保个人信息信息处理活动流程清晰、要求明确；
定期对个人信息处理活动开展合规审计，持续提升合规性。审计的重点在于对个人信息处理活动是否符合法律法规的要求，既包括对组织措施的审计，也包括安全审计；
开展个人信息保护影响评估。应开展评估的场景包括处理敏感个人信息，利用个人信息进行自动化决策，委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息，向境外提供个人信息等。评估内容主要包括：1）个人信息的处理目的、处理方式等是否合法、正当、必要；2）对个人权益的影响及安全风险；3）所采取的安全保护措施是否合法、有效并与风险程度相适应等。同时，评估报告及相关处理情况应至少保存3年。

（3）搭建安全防范机制

企业应当根据《个人信息保护法》及《网络安全法》、《数据安全法》等法律法规的要求，结合个人信息处理活动的具体情况，采取相应措施充分保障个人信息安全，主要包括：

按照《网络安全法》《数据安全法》等强制性要求，履行基本网络安全、数据安全义务，包括但不限于建立等级保护制度、落实数据分类分级管理、建立全流程数据安全管理制度等；
对个人信息实行分类管理；例如，结合不同的业务场景和数据本身的性质，企业应当针对个人信息进行分类并采取相对应的管理措施；
采取相应的加密、去标识化等安全技术措施；根据所处理个人信息的敏感程度、重要性等，采取不同级别的加密措施；通过界面展示个人信息时应采取去标识化处理等措施以降低泄露风险[16]；
合理确定个人信息处理的操作权限；明确内部涉及个人信息处理不同岗位的安全职责，建立发生安全事件的处罚机制；与从事个人信息处理岗位上的相关人员签署保密协议，对大量接触个人敏感信息的人员进行背景审查，以了解其犯罪记录、诚信状况等[17]；
制定并组织实施个人信息安全事件应急预案；定期对从业人员进行安全教育和培训，使其掌握岗位职责和应急处置策略和规程；安全事件发生后根据应急预案采取措施：1）记录事件内容；2）评估事件可能造成的影响并采取必要措施控制事态、消除隐患；3）按照《国家网络安全事件应急预案》等规定及时上报等[18]。

2、压实重要互联网平台的个人信息保护义务

对于提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，《个人信息保护法》第五十八条在《二审稿》的基础上新增了互联网平台应当制定平台规则，并明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务。其原因在于，互联网平台场景下可能涉及多方义务主体，因此对于个人信息的收集也可能包括平台内经营者、第三方SDK提供者等，同时鉴于实践中用户通常感知其个人信息的收集、使用主体为平台方，提供个人信息也可能系基于对头部互联网平台本身的信任，因此该条为平台进一步课以对其平台内产品或服务提供者进行管理之义务。

对头部互联网平台企业的合规建议

头部互联网平台涉及大量个人信息处理活动，应履行如下合规义务：

按照国家规定建立健全个人信息保护合规制度体系，成立由外部成员组成的独立机构对个人信息保护情况进行监督。此等独立机构可类比上市公司的独立董事、外部董事等“和公司无关的人”，与平台企业不得存在隶属关系，也不对平台负责；
遵循公开、公平、公正的原则，制定平台规则，规范平台内产品或服务提供者的个人信息活动及义务，包括但不限于要求产品或服务提供者应制定独立的个人信息保护规则、具备数据安全能力等，并在与平台内产品或服务提供者的入驻协议中将此等平台规则纳入其需履行的合同义务，以及在严重违法违规处理个人信息时停止提供平台服务的后果等；
在平台《隐私政策》等规则中明确告知用户相关产品或服务提供者处理个人信息的情形；并告知用户相关处理活动将适用相应产品或服务提供者项下的个人信息保护规则；
定期发布个人信息保护社会责任报告，接受社会监督。

3、明确委托处理者的协助义务

《个人信息保护法》第五十九条规定了委托处理者的安全义务，在《二审稿》基础上调整了义务依据和内容，其应履行的义务包括不限于《二审稿》第五章之规定，同时新增了委托处理者有义务协助个人信息处理者依法履行相关义务。结合《个人信息安全规范》[19]及良好实践，此等协助义务主要包括：

协助个人信息处理者开展个人信息保护影响评估，例如提供自身网络与数据安全能力证明材料、相关合规制度文本等；
协助个人信息控制者响应个人信息主体行权；
配合个人信息控制者对自身的审计；
协助履行与个人信息处理者签订的数据处理协议中约定的其他义务。

结语

Conclusion

随着《个人信息保护法》的通过及正式实施，中国缺少专门的个人信息保护立法的局面将就此终结，迎来个人信息保护及企业合规的新纪元，甚至可能引发行业产品设计理念与处理操作规范的巨变。企业在面临全新的法律秩序与市场环境的同时，亟需重塑内部合规体系与管理制度，依据法律法规的要求对自身合规水平进行自查自纠，结合自身数据处理活动的风险，尽早采取应对措施。

[注]

[1] 见《宪法》第三十八条、四十条规定。

[2] See Article 3 of GDPR: 2. This Regulation applies to the processing of personal data of data subjects who are in the Union by a controller or processor not established in the Union, where the processing activities are related to: (a) the offering of goods or services, irrespective of whether a payment of the data subject is required, to such data subjects in the Union; or (b) the monitoring of their behaviour as far as their behaviour takes place within the Union.

[3] See Article 27 of GDPR: The controllers or processors not established in the Union shall designate in writing a representative in the Union.

[4] 见《个人信息安全规范》第5.2条规定，对个人信息控制者的要求包括：a) 收集的个人信息的类型应与实现产品或服务的业务功能有直接关联；直接关联是指没有上述个人信息的参与，产品或服务的功能无法实现。

[5] 见《民法典》第一千零三十五条：处理个人信息的，应当遵循合法、正当、必要原则，不得过度处理，并符合下列条件：（一）征得该自然人或者其监护人同意，但是法律、行政法规另有规定的除外；…

[6] 需要注意的是，参考《信息安全技术数据出境安全评估指南》（征求意见稿）中的定义，允许境外机构、组织、个人访问查看存储在中国境内的个人信息的，同样构成个人信息跨境传输。

[7] 见《关基条例》第二条规定，本条例所称关键信息基础设施，是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。

[8] 见《关基条例》第十条规定，工作部门根据认定规则负责组织认定本行业、本领域的关键信息基础设施，及时将认定结果通知运营者，并通报国务院公安部门。

[9] 见《网络安全法》第三十七条规定，关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。

[10] 见《个人信息出境安全评估办法（征求意见稿）》第六条规定，个人信息出境安全评估重点评估以下内容：（一）是否符合国家有关法律法规和政策规定。（二）合同条款是否能够充分保障个⼈信息主体合法权益。（三）合同能否得到有效执行。（四）网络运营者或接收者是否有损害个⼈信息主体合法权益的历史、是否发生过重⼤网络安全事件。（五）网络运营者获得个⼈信息是否合法、正当。（六）其他应当评估的内容。

[11] 《中华人民共和国民法典》第一千零三十七条规定，自然人可以依法向信息处理者查阅或者复制其个人信息；发现信息有错误的，有权提出异议并请求及时采取更正等必要措施。自然人发现信息处理者违反法律、行政法规的规定或者双方的约定处理其个人信息的，有权请求信息处理者及时删除。

[12] 见《个人信息安全规范》第8条的规定。

[13] CCPA没有明确规定拒绝权、限制处理权，主要在1798.120规定，消费者有权在任何时间指示出售消费者个人信息给第三方的企业不得出售该消费者的个人信息。

[14] 尽管《个人信息保护法》未将“要求不得出售其个人信息”列为一项个人信息主体的法定权利，但《个人信息保护法》第十条在《二审稿》基础上新增规定“任何组织、个人不得非法买卖、提供或者公开他人个人信息”。

[15] 见《个人信息安全规范》第8条规定，个人信息主体的权利。

[16] 见《个人信息安全规范》第7.2条个人信息的展示限制。

[17] 见《个人信息安全规范》第11.6条人员管理与培训的规定。

[18] 见《个人信息安全规范》第10.1条个人信息安全事件应急处置和报告。

[19] 见《个人信息安全规范》第9.1条关于委托处理规定。

The End

作者简介

陈际红律师