《个人信息保护法》合规遵从的八大要点

十三届全国人大常委会第三十次会议于2020年8月20日表决通过《中华人民共和国个人信息保护法》。个人信息保护法自2021年11月1日起施行。

《个人信息保护法》是我国系统性保护个人信息的基础法律，以保护个人信息权益，规范个人信息处理活动，促进个人信息合理利用为立法目的。该法一共8章74条，分别从总则、个人信息处理规则、个人信息跨境提供的规则、个人在个人信息处理活动中的权利、个人信息处理者的义务、履行个人信息保护职责的部门、法律责任、附则等方面作出规定。

《个人信息保护法》的出台完善了我国在网络安全和数据保护领域的顶层设计，补全了我国在高位阶法律上专门保护个人信息规则的空白。

01

要点一：四大术语定义

1. 个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。
2. 敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。
3. 个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。
4. 个人信息处理者，是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。

02

要点二：五大处理原则

1. 合法、正当、必要、诚信原则：处理个人信息应当遵循合法、正当、必要和诚信原则，不得通过误导、欺诈、胁迫等方式处理个人信息。
2. 目的限制原则：处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。
3. 收集最小化原则：收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息。
4. 公开、透明原则：处理个人信息应当遵循公开、透明原则，公开个人信息处理规则，明示处理的目的、方式和范围。
5. 完整性、准确性原则：处理个人信息应当保证个人信息的质量，避免因个人信息不准确、不完整对个人权益造成不利影响。

03

要点三：七项处理基础

符合下列情形之一的，个人信息处理者方可处理个人信息：

1. 取得个人的同意；
2. 为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需；
3. 为履行法定职责或者法定义务所必需；
4. 为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需；
5. 为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息；
6. 依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息；
7. 法律、行政法规规定的其他情形。

依照本法其他有关规定，处理个人信息应当取得个人同意，但是有前款第二项至第七项规定情形的，不需取得个人同意。

04

要点四：两类主体权利

1. 【撤回同意权】基于个人同意处理个人信息的，个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。
2. 【可携权】个人请求将个人信息转移至其指定的个人信息处理者，符合国家网信部门规定条件的，个人信息处理者应当提供转移的途径。

05

要点五：三重跨境规则

1. 个人信息处理者因业务等需要，确需向中华人民共和国境外提供个人信息的，应当具备下列条件之一：
2. 依照本法第四十条的规定通过国家网信部门组织的安全评估；
3. 按照国家网信部门的规定经专业机构进行个人信息保护认证；
4. 按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务；
5. 法律、行政法规或者国家网信部门规定的其他条件。
6. 【关键信息基础设施运营者】和【处理个人信息达到国家网信部门规定数量的个人信息处理者】，应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的，应当通过国家网信部门组织的安全评估；法律、行政法规和国家网信部门规定可以不进行安全评估的，从其规定。
7. 非经中华人民共和国主管机关批准，个人信息处理者不得向【外国司法或者执法机构】提供存储于中华人民共和国境内的个人信息。

06

要点六：两个典型场景

1. 自动化决策及其营销使用场景
2. 个人信息处理者利用个人信息进行自动化决策，应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇；
3. 通过自动化决策方式向个人进行信息推送、商业营销，应当同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式；
4. 通过自动化决策方式作出对个人权益有重大影响的决定，个人有权要求个人信息处理者予以说明，并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。
5. 公共场所采集图像场景；
6. 在公共场所安装图像采集、个人身份识别设备，应当为维护公共安全所必需，遵守国家有关规定，并设置显著的提示标识；
7. 所收集的个人图像、身份识别信息只能用于维护公共安全的目的，不得用于其他目的；取得个人单独同意的除外。

07

要点七：三层监管职责

国家网信部门统筹协调个人信息保护工作和相关监督管理工作国家层面，统筹监管国务院有关部门在各自职责范围内负责个人信息保护和监督管理工作部门层面，职责范围内监管县级以上地方人民政府有关部门按照国家有关规定确定地方监管，基层落实

履行个人信息保护职责的部门履行下列个人信息保护职责：

1. 开展个人信息保护宣传教育，指导、监督个人信息处理者开展个人信息保护工作；
2. 接受、处理与个人信息保护有关的投诉、举报；
3. 组织对应用程序等个人信息保护情况进行测评，并公布测评结果；
4. 调查、处理违法个人信息处理活动；
5. 法律、行政法规规定的其他职责。

08

要点八：多项法律责任

1. 提高处罚标准，引入高管禁业、记入征信处罚
2. 违反本法规定处理个人信息，或者处理个人信息未履行本法规定的个人信息保护义务的，由履行个人信息保护职责的部门责令改正，给予警告，没收违法所得，对违法处理个人信息的应用程序，责令暂停或者终止提供服务；拒不改正的，并处一百万元以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
3. 有前款规定的违法行为，情节严重的，由省级以上履行个人信息保护职责的部门责令改正，没收违法所得，并处五千万元以下或者上一年度营业额百分之五以下罚款，并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款，并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。有本法规定的违法行为的，依照有关法律、行政法规的规定记入信用档案，并予以公示。
4. 明确个人信息侵权行为的责任承担
5. 个人信息侵权行为的归责原则（过错推定原则）：处理个人信息侵害个人信息权益造成损害，个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任。
6. 共同个人信息处理者的责任承担（连带责任）：两个以上的个人信息处理者共同决定个人信息的处理目的和处理方式的，应当约定各自的权利和义务。但是，该约定不影响个人向其中任何一个个人信息处理者要求行使本法规定的权利。个人信息处理者共同处理个人信息，侵害个人信息权益造成损害的，应当依法承担连带责任。