隨著資訊化社會的不斷發展，個人資訊保護成為了社會各界重點關注的問題。2018年9月，關於個人資訊保護的法律正式被納入全國人民代表大會的立法計畫，歷時近三年，2021年8月20日，十三屆全國人大常委會第三十次會議表決通過了《中華人民共和國個人資訊保護法》（以下簡稱“《個人資訊保護法》”或“該法”），該法自2021年11月1日起施行。

《個人資訊保護法》分為八章共七十四條，明晰了個人資訊處理活動中的相關主體的權利義務邊界。該法是我國首部明確規定個人資訊處理規則的法律，區別於之前分散頒佈的部門規章，其較高的位階反映了該法所調整的法律關係之重要性。該法對違法處理個人資訊的處罰作出了嚴厲的規定，全面提升了違法違規成本，除了民事責任外，相關的處罰包括責令改正、給予警告，沒收違法所得，責令暫停或者終止提供服務、罰款等行政責任，以及刑事責任。其中，針對情節嚴重的違法處理個人資訊行為，可處五千萬元以下或者上一年度營業額百分之五以下罰款；該項用營業額進行處罰的規定是繼《中華人民共和國反壟斷法》之後，我國第二部涉及按營業收入百分比進行行政處罰的法律，可對個人資訊處理者起到較強的震懾作用。

本文將簡要梳理《個人資訊保護法》的要點，以為個人資訊處理者提供若干合規參考。

一、《個人資訊保護法》的部分要點梳理
（一）個人資訊及個人資訊處理活動的定義
根據《個人資訊保護法》第四條的規定，個人資訊是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種資訊，不包括匿名化處理後的資訊；個人資訊處理活動則包括個人資訊的收集、存儲、使用、加工、傳輸、提供、公開、刪除等。

根據上述規定，個人資訊需具有可識別性並需與特定自然人相聯繫，匿名化處理後的資訊不屬於個人資訊範疇；與《民法典》的規定相比，在個人資訊處理活動的類型上，該法新增了“刪除”這一類型。

（二）《個人資訊保護法》的適用主體及域外效力
根據《個人資訊保護法》第三條、第五十八條、第六十八條等規定，凡是在我國境內處理自然人個人資訊，均適用該法。這就意味著，除法律另有規定外，無論是國家機關、企事業單位、法人企業，或者非法人組織以及自然人，其實施的個人資訊處理活動都適用《個人資訊保護法》。

此外，《個人資訊保護法》第三條第二款規定，“在中華人民共和國境外處理中華人民共和國境內自然人個人資訊的活動，有下列情形之一的，也適用本法：（一）以向境內自然人提供產品或者服務為目的；（二）分析、評估境內自然人的行為；（三）法律、行政法規規定的其他情形。”鑒於互聯網的開放性以及資料的流通性，《個人資訊保護法》第三條第一款在明確我國對個人資訊處理活動的調整堅持以“屬地管轄”為原則的同時，兼采“保護原則”，凡是屬於向境內自然人提供產品或者服務為目的，或分析、評估境內自然人的行為以及法律、行政法規規定的其他情形的，無論個人資訊處理活動在境內抑或在境外進行，均適用該法。

（三）個人資訊處理的原則及規則
《個人資訊保護法》第五條、第六條、第七條、第八條對個人資訊處理進行了原則的規定，具體需遵循的原則包括合法、正當、必要和誠信原則、合法正當目的、對個人權益影響最小以及公開、透明、確保準確性原則。

對於個人資訊處理的具體規則，《個人資訊保護法》第二章進行了明確的規定，該等規定既明確了個人資訊處理的合法性來源，也為個人資訊處理者合規處理個人資訊提供了清晰的指引。現將該等規則的要點概括如下：

1. 個人資訊處理的合法性來源
《個人資訊保護法》第十三條規定，“符合下列情形之一的，個人資訊處理者方可處理個人資訊：

（一）取得個人的同意；

（二）為訂立、履行個人作為一方當事人的合同所必需，或者按照依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理所必需；

（三）為履行法定職責或者法定義務所必需；

（四）為應對突發公共衛生事件，或者緊急情況下為保護自然人的生命健康和財產安全所必需；

（五）為公共利益實施新聞報導、輿論監督等行為，在合理的範圍內處理個人資訊；

（六）依照本法規定在合理的範圍內處理個人自行公開或者其他已經合法公開的個人資訊；

（七）法律、行政法規規定的其他情形。

依照本法其他有關規定，處理個人資訊應當取得個人同意，但是有前款第二項至第七項規定情形的，不需取得個人同意。”

上述規定明確，除非屬於該法第十三條規定的（二）至（七）項情形外，個人資訊處理者需取得個人的同意方可處理個人資訊。

2. 告知同意規則
《個人資訊保護法》第十四條至十八條對個人資訊處理的告知同意規則進行了細化的規定，具體包括：明確了第十三條第一款的“個人同意”應當是由個人在充分知情的前提下自願、明確作出；同時，如果法律、行政法規規定處理個人資訊應當取得個人單獨同意或者書面同意的，從其規定；且如果個人資訊的處理目的、處理方式和處理的個人資訊種類、保存期限發生變更的，應當重新取得個人同意；個人有權撤回其同意。要求個人資訊處理者在處理個人資訊前，應當以顯著方式、清晰易懂的語言真實、準確、完整地向個人告知該法所列舉的各個事項；個人資訊處理者應當提供便捷的撤回同意的方式，處理者不得以個人不同意為由拒絕提供產品或者服務。

3. 個人資訊的公開
《個人資訊保護法》第二十五條規定，個人資訊處理者不得公開其處理的個人資訊，取得個人單獨同意的除外。該條確定了個人資訊以不公開為原則，取得個人的單獨同意為例外。

4. 與協力廠商共同處理或委託協力廠商處理個人資訊
個人資訊處理者與協力廠商共同處理個人資訊的，根據《個人資訊保護法》第二十條的規定，個人資訊處理者與協力廠商應當約定各自的權利和義務，且個人資訊處理者與協力廠商需依法承擔連帶責任。

根據《個人資訊保護法》第二十一條的規定，個人資訊處理者委託協力廠商處理個人資訊的，個人資訊處理者除了需與受託方就委託處理的目的、期限、處理方式、個人資訊的種類、保護措施以及雙方的權利和義務等進行約定外，也要承擔對受託人的監督義務。

5. 特殊個人資訊處理：自動化決策、人臉識別
（1） 自動化決策：禁止大數據殺熟
關於“自動化決策”，《個人資訊保護法》第七十三條規定，“自動化決策，是指通過電腦程式自動分析、評估個人的行為習慣、興趣愛好或者經濟、健康、信用狀況等，並進行決策的活動。”這一含義與近年的網路流行語“大資料殺熟”具有緊密聯繫，大資料殺熟是指經營者通過大資料分析，對使用者進行定位描摹，形成精准的用戶畫像，並對其提供特定價格的商品服務，實現“千人千面”的定價方式[1]。

《個人資訊保護法》第二十四條規定，“個人資訊處理者利用個人資訊進行自動化決策，應當保證決策的透明度和結果公平、公正，不得對個人在交易價格等交易條件上實行不合理的差別待遇。通過自動化決策方式向個人進行資訊推送、商業行銷，應當同時提供不針對其個人特徵的選項，或者向個人提供便捷的拒絕方式。通過自動化決策方式作出對個人權益有重大影響的決定，個人有權要求個人資訊處理者予以說明，並有權拒絕個人資訊處理者僅通過自動化決策的方式作出決定。”

該條規定綜合考慮了個人資訊處理者進行自動化決策時應實現的演算法透明以及個人就此享有的拒絕、要求說明等權利。

（2） 應用人臉識別的條件
《個人資訊保護法》第二十六條規定，在公共場所安裝圖像採集、個人身份識別設備，應當為維護公共安全所必需，遵守國家有關規定，並設置顯著的提示標識。所收集的個人圖像、身份識別資訊只能用於維護公共安全的目的，不得用於其他目的；取得個人單獨同意的除外。

隨著科學技術的發展，“人臉識別”的應用越來越廣泛，上述規定對防止濫用人臉識別技術侵犯公民權益具有較大意義。根據上述規定，只有在用於維護公共安全、符合國家有關規定且設置了顯著提示標識等三個條件的情形下，才可以在公共場所安裝圖像採集、個人身份識別設備，採集人臉資訊、行蹤軌跡資訊等個人資訊。

（四）個人資訊出境限制
《個人資訊保護法》第三章對個人資訊跨境提供的規則進行了規定，其中，第三十八規定，對於確需因業務等需要，確需向境外提供個人資訊的，應當具備下列四項條件之一：“（一）依照本法第四十條的規定通過國家網信部門組織的安全評估；　（二）按照國家網信部門的規定經專業機構進行個人資訊保護認證；　（三）按照國家網信部門制定的標準合同與境外接收方訂立合同，約定雙方的權利和義務；（四）法律、行政法規或者國家網信部門規定的其他條件。”

（五）過錯推定責任
《個人資訊保護法》第六十九條第一款規定，處理個人資訊侵害個人資訊權益造成損害，個人資訊處理者不能證明自己沒有過錯的，應當承擔損害賠償等侵權責任。該條規定有利於減輕個人維護個人資訊主張權利的舉證負擔，促進個人資訊保護相關規則的具體落實。

（六）違法進行個人資訊處理活動的處罰
為了更好地保護個人資訊、預防和懲罰違法處理個人資訊的活動，《個人資訊保護法》第七章對違法進行個人資訊處理活動作出了較為嚴厲的處罰，該等處罰既包含對個人/單位/企業的罰款，也同時要求對直接負責的主管人員和其他直接責任人進行法律、從業禁止。構成犯罪的，還將被依法追究刑事責任。

（七）個人資訊權益的可訴性
《個人資訊保護法》第四章對在個人資訊處理活動中個人所享有的權利作出了細緻的規定，為個人行使權利獲得訴訟救濟提供了有力的支撐。該等權利主要包括：個人對個人資訊處理享有知情權與決定權；查閱複製權；符合條件時的個人資訊可攜帶權；要求更正或補充不完整、不正確的個人資訊的權利；要求個人資訊處理者刪除個人資訊的權利；要求個人資訊處理者對個人資訊處理規則進行解釋說明的權利等。

二、合規建議
（一）加快推進個人資訊保護的制度建設、部門建設
《個人資訊保護法》第五章對個人資訊處理者的義務進行了詳細的規定，相關主體應及時根據個人資訊的處理目的、處理方式、個人資訊的種類以及對個人權益的影響、可能存在的安全風險制定關於個人資訊保護的制度，採取合理措施，增設有關個人資訊保護的工作部門、人員，加強對員工的培訓，具體落實個人資訊保護的相關工作。

結合《個人資訊保護法》第五十一條的規定，個人資訊處理者應採取的必要措施主要包括：“（一）制定內部管理制度和操作規程；（二）對個人資訊實行分類管理；（三）採取相應的加密、去標識化等安全技術措施；（四）合理確定個人資訊處理的操作許可權，並定期對從業人員進行安全教育和培訓；（五）制定並組織實施個人資訊安全事件應急預案；（六）法律、行政法規規定的其他措施。”

具體而言，個人資訊處理者在經營活動或履行行政職責的過程中，首先應貫徹合法、正當、必要和誠信原則，堅持為合法正當目的並採取對個人權益影響最小的方式，制定關於個人資訊處理的內部管理制度和操作規程，包括個人資訊收集、使用、儲存、共用、跨境傳輸制度，以及敏感個人資訊處理規則等，從而規範履行個人資訊保護職責的部門、員工處理個人資訊的許可權，亦為進行具體的個人資訊處理活動提供規範性指引；其次，應結合自身業務流程和系統設備參照《資訊安全技術個人資訊安全規範》（GB/T 35273—2020）及有關行業資料分級指引[2]對涉及的個人資訊進行分類管理，實現對每一類別資訊的適當保護，建立對應的分級管理機制；第三，個人資訊處理者在資訊收集、存儲、使用、加工、傳輸、提供等活動中採取加密措施，並對個人資訊進行去標識化和匿名化處理使得個人資訊不再與特定主體存在關聯，以切實降低個人資訊洩露的風險；最後，個人資訊處理者應結合自身業務和內部組織架構，制定在發生或可能發生個人資訊“洩露、篡改、丟失”時的應急處理方案，相關處理方案應包括識別個人資訊安全事故流程、內部上報個人資訊安全事故方案，以及根據監管規定向監管機構以及外部通報個人資訊安全事故方案等。

（二）妥善保存各項關於個人資訊保護工作的檔、記錄
鑒於《個人資訊保護法》對於個人資訊處理者的責任承擔採取過錯推定的原則，故個人資訊處理者在處理個人資訊的過程中應注意妥善保存有關個人資訊保護工作的相關檔、記錄，以免在產生糾紛或遭受處罰時無法充分證明已履行相關義務、不存在過錯。

（三）關注執法機構的處罰力度以及司法機關的裁判尺度
鑒於《個人資訊保護法》自2021年11月1日起施行，實踐中直接援引《個人資訊保護法》的規定對有關違法處理個人資訊案件進行裁判的司法案例以及國家網信部門對違法處理個人資訊的行政處罰案例較少。個人資訊處理者應注意關注執法機構、司法機關有關《個人資訊保護法》的相關動態，及時瞭解執法機構的處罰力度以及司法機關的裁判尺度。

（四）依法依需選擇外部獨立機構對個人資訊保護情況進行監督、協助
對於提供重要互聯網平臺服務、使用者數量巨大、業務類型複雜的個人資訊處理者，應留意《個人資訊保護法》關於“由外部成員組成的獨立機構”的特殊規定，依法成立由由外部成員組成的獨立機構對個人資訊保護情況進行監督。

考慮到個人資訊的複雜性、多樣性以及個人資訊合規需求，企業、政府等個人資訊處理者可以建立由多方組成的專業團隊處理個人資訊保護工作，例如委託協力廠商提供個人資訊保護服務的同時，考慮委託熟悉個人資訊保護法規的律師、法律職業工作者對個人資訊處理的合法性進行把關。

[1]文銘,莫殷.大資料殺熟定價演算法的法律規制[J/OL].北京航空航太大學學報(社會科學版):1-8[2021-12-24].https://er.szlib.org.cn:443/rwt/331/https/MSYXTLUQPJUB/10.13766/j.bhsk.1008-2204.2021.0250.

[2]《中華人民共和國資料安全法》第二十一條明確提出，國家建立資料分類分級保護制度。為貫徹落實國家資料分類分級保護制度，各部門和各行業都在推動制定資訊安全等級保護制度。例如中國人民銀行於2020年2月13日發佈的《個人金融資訊保護技術規範》（標準號：JR/T0171—2020）、工業和資訊化部於2020年2月27日發佈的《工業資料分類分級指南（試行）》等，前述規範、指南均規定了資料的分級、分類方法，並對不同級別的資料制定了不同的管理制度、安全準則。

免責及版權申明
本文章僅為交流之目的，不構成李偉斌律師事務所任何形式的法律意見。歡迎轉發本文章。如需轉載或引用本文章的內容，請注明文章來源。