泰和泰研析丨《个人信息保护法》落地！律师解读十二大亮点（上）

2021年8月20日，中华人民共和国第十三届全国人民代表大会常务委员会第三十次会议正式通过了《中华人民共和国个人信息保护法》，该法将于2021年11月1日正式实施。

本文将对《个人信息保护法》进行解读，分析新法新要求，助力企业把握合规红线，及时发现合规问题，降低违规风险。

• 亮点一：确定“个人信息”定义，完善数据处理环节；

• 亮点二：确立个人信息保护原则，并着重强调必要原则；

• 亮点三：明确“告知-同意”规则，丰富同意的例外情形；

• 亮点四：加强处理者责任，明确过错推定原则与共同处理者的连带责任；

• 亮点五：回应热点问题，严禁大数据杀熟、违法人脸识别；

• 亮点六：平衡个人信息流通价值，支持个人信息合法利用；

• 亮点七：完善个人敏感信息制度，加大敏感信息保护力度；

• 亮点八：完善个人信息跨境提供规则，增强数据主权意识；

• 亮点九：完善个人信息主体权利，增加可携带权；

• 亮点十：确立个人信息处理者的“个人信息保护影响评估”义务；

• 亮点十一：强化互联网平台的个人信息保护义务；

• 亮点十二：加强惩处力度，增加主要负责人职业禁令处罚措施；

2017年6月1日生效的《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第一条规定：刑法第二百五十三条之一规定的“公民个人信息”是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。《信息安全技术 个人信息安全规范》亦沿用此定义。

《个人信息保护法（一审稿）》改变了上述定义，将“个人信息”定义为“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息”。该定义扩大了个人信息的范围，即在判断某一信息是否属于个人信息时，不再要求该信息具备“识别”或“反映”功能，仅“有关”即可。《个人信息保护法》终稿将该判断标准确定下来，实质上降低了判断个人信息的难度，如发生个人信息保护纠纷，将有利于被侵权人一方。对于信息处理者而言，在处理信息前，如得出“某一信息不属于个人信息”的结论，必须谨慎对待此结论，具备红线意识。

此外，不同于《民法典》和《个人信息保护法（二审稿）》，《个人信息保护法》将“删除”纳入个人信息的处理环节，体现出删除环节对于保护个人信息的重要意义。删除是信息处理者履行合规义务的重要步骤，例如错误收集信息后应及时删除、必要存储期限到期后按时删除、个人撤回同意后应主动删除等。

较之于二审稿，《个人信息保护法》第五条正面将“合法、正当、必要”确立为处理个人信息的原则，与《民法典》第一千零三十五条“处理个人信息的，应当遵循合法、正当、必要原则”相呼应。同时，《个人信息保护法》着重强调必要原则，在第六条第一款规定了处理个人信息各环节的通用规定：处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式；在第二款则着重强调了收集个人信息环节的必要原则：收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息。

该等规定体现出《个人信息保护法》对于“非必要、不处理”的坚持，对当下普遍存在的过度索权、过度收集、超限处理等情形做出正面回应。对此，企业必须在开展涉个人信息业务前，谨慎对拟处理个人信息的种类、处理目的、处理方式等开展必要性评估，对于非必要信息从源头杜绝收集，或者明确告知收集该等非必要信息的具体目的，由信息主体自行独立判断是否同意处理。

《个人信息保护法》第十三条第一款规定了个人信息处理者可以处理个人信息的7种情形，其中第1种情形是“取得个人的同意”，第2-7种情形是无需取得个人同意的情形。该条明确了处理个人信息“同意”为原则，兼具例外情形的基本规则。

其中，相较于《个人信息保护法（二审稿）》，《个人信息保护法》增加了“按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”无需取得个人同意的例外情形。该例外情形平衡了用人单位人力资源管理需求与员工个人信息保护需求，不对用人单位过分严苛。

《个人信息保护法》第十四条、第十七条与第十三条共同构建了“告知-同意”规则，第十四条第一款规定了“同意应当由个人在充分知情的前提下自愿、明确作出”，第十七条则规定了如何实现个人知情，即“以显著方式、清晰易懂的语言真实、准确、完整地向个人告知相关事项”。值得注意的是，相较于《个人信息保护法（二审稿）》，《个人信息保护法》在第十七条增加了“真实、准确、完整”的表述，该等表述意味着，《隐私政策》等相关文件在向个人告知处理信息的种类、目的、方式时，不得使用“包括但不限于”、“等相关信息”类似表述，一揽子获取不确定的个人信息。

此外，《个人信息保护法》第十五条、第十六条明确了个人可拒绝同意，亦可撤回其同意，该规定对于APP常见的“不同意《隐私政策》，则不得使用APP”做出了回应。对于无需处理个人信息即可实现基本业务功能的APP，如用户首次打开APP被强制要求同意《隐私政策》的，该等行为已构成违反《个人信息保护法》，应立即整改并需承担相关法律责任。

《个人信息保护法》确定了对于个人信息类侵权适用过错推定的归责原则，其第六十九条第一款规定：处理个人信息侵害个人信息权益造成损害，个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任。此归责原则早在（2017）京01民终509号判决中即有所体现，该判决中，北京市第一中级人民法院认为，“在本院已经确认东航、趣拿公司存在泄露庞理鹏隐私信息的高度可能的情况下，东航和趣拿公司并未举证证明本案中庞理鹏的信息泄露的确是归因于他人……在这种情况下，东航、趣拿公司存在泄露庞理鹏隐私信息的高度可能很难被推翻。”

《个人信息保护法》还在第二十条第二款明确规定：个人信息处理者共同处理个人信息，侵害个人信息权益造成损害的，应当依法承担连带责任。

结合上述两条规定，《个人信息保护法》对于实践中常见的涉个人信息业务合作提出了较高的要求，在合作过程中造成个人信息权益损害的，各合作方如均不能证明己方无过错，则将面临对被侵权人承担连带损害赔偿责任的后果。

2021年3.15晚会曝光了科勒卫浴门店安装摄像头抓取消费者人脸识别信息，并通过AI等技术分析消费者的消费倾向，制定不同的报价方案。2021年7月，浙江绍兴市柯桥法院开庭审理胡女士诉携程侵权纠纷一案，判决被告携程“退一赔三”，宣告大数据杀熟胜诉第一案的诞生。

面对以上案例，为回应公众热切关注，《个人信息保护法》在《个人信息保护法（二审稿）》自动化决策条款的基础上，突出强调了禁止大数据杀熟，“不得对个人在交易价格等交易条件上实行不合理的差别待遇”；在图像采集及个人身份识别条款的基础上，扩大了禁止行为的范围，强调了收集的图像及身份识别信息不止“不得公开或者向他人提供”，而且“不得用于其他目的”。

相较于上文提到的《个人信息保护法》对于保护个人信息的强化，其对于处理已公开信息规则的调整可谓是亮点中的亮点。

根据《个人信息保护法（二审稿）》之规定，对于处理已公开个人信息的情况，个人信息处理者必须首先核实该等信息当初公开时所为何种用途，如果经核实发现自己即将进行的处理行为范围超出了最初公开时确定的范围，就必须另行取得个人同意；即使无法确定最初的用途范围，也应合理、谨慎进行处理。可以看出《个人信息保护法（二审稿）》对于已公开个人信息仍然贯彻了“先同意、后处理”的原则。

但是，《个人信息保护法》终稿则做出了完全不同的调整，其规定，对于已公开个人信息，个人信息处理者可以径行使用，除非个人明确拒绝。也就是说，在已公开个人信息领域，考虑到个人信息已经被个人自行公开或者经过其他途径合法公开，其隐私性和可能对个人造成的影响已有所减弱，同时由于互联网信息传输迅速、传递面广，查明最初来源较难实现，因此，《个人信息保护法》更加倾向于保障已公开个人信息流通价值，最终选择支持个人信息的合法利用，即“以可利用为原则，以个人拒绝为例外”。

未完待续，请关注“下篇”

泰和泰（北京）律师事务所沈志君律师团队长期关注互联网领域前沿法律问题，致力于为客户供优质的互联网合规法律服务及相关民商事争议解决服务。团队律师在数据合规、个人信息保护、影视著作权、互联网广告等领域有着丰富的法律服务经验，拥有成熟的法律服务方案，并在此基础上，为客户提供个性化定制法律服务方案，倾力满足每一位客户的法律服务需求。

往期数据类文章推荐

ARTICAL