《个人信息保护法》重要规定及合规要点评析

一、立法历程和重要意义

2021年8月20日，经第十三届全国人大常委会第三十次会议审议后，《中华人民共和国个人信息保护法》（以下简称“《个保法》”）获得通过并公布，并将于2021年11月1日起生效实施。

《个保法》的立法历经多个重要阶段：

2018年9月7日，《个保法》首次列入十三届全国人大常委会立法规划；同年，全国人大常委会法工委会同中央网信办开始着手研究起草《个保法》；

2019年12月16日，经第十三届全国人民代表大会常务委员会第四十四次委员长会议原则通过，制定《个保法》被明确列入全国人大常委会2020年度立法工作计划；

2020年10月21日，经第十三届全国人大常委会第二十二次会议审议后，《个保法》（草案）全文公布并第一次向社会征求意见；

2021年4月29日，《个保法》（草案二次审议稿）（以下简称“《二审稿》”）在经第十三届全国人大常委会第二十八次会议审议后再次面向社会公布并征求意见。

随着全国人大常委会完成第三次审议，《个保法》正式出台。这是中国第一部专门规范个人信息保护的法律，对我国公民的个人信息权益保护以及各组织的数据隐私合规实践都将产生直接和深远的影响。同时，《个保法》还将与《网络安全法》、《数据安全法》一同构建和完善我国在信息保护和网络安全领域更加完备、全面和系统的法律保护体系，以形成规范有序的政策环境、营造良好数字生态。

由于《数据安全法》将于今年9月1日生效，《个保法》将于今年11月1日生效，对于企业而言，需要尽快充分地理解、评估这几部基础法律和相关法规对自身运营的适用，并尽快全面地部署和安排自身的合规体系的搭建，落地、落实法律的要求。

二、 重点内容概览

《个保法》共计八章七十四条。总体上看，《个保法》基于当前个人信息保护领域的重点突出问题以及我国数据保护监管的实践经验，对散见于《民法典》、《网络安全法》、《信息安全技术个人信息安全规范》等法律法规及标准中的个人信息保护相关规定进行全面的、系统性的整合，进一步强调了个人信息保护的义务和责任，针对社会热点问题加入了针对性的规定，并加大对违法行为的惩处力度。《个保法》的重点内容总结如下：

1、适用范围 

《个保法》除了规定“在中华人民共和国境内处理自然人个人信息的活动，适用本法”外，还规定了一定的域外适用效力。该法第三条第二款规定，在中国境外处理中国境内自然人个人信息的活动，如果“以向境内自然人提供产品或者服务为目的”，或者属于“分析、评估境内自然人的行为”，也适用本法。对于该等境外的个人信息处理者，《个保法》第五十三条进一步要求应当在中国境内设立专门机构或者指定代表，负责处理个人信息保护相关事务，并将有关机构或者代表的信息报送履行个人信息保护职责的部门。

2、重要定义

《个保法》第四条规定，个人信息指“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息”。“个人信息的处理”包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。

《个保法》项下的法律义务大部分针对个人信息处理者。根据第七十三条规定，“个人信息处理者”是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。

《个保法》第六十二条还规定国家网信部门统筹协调有关部门针对“小型个人信息处理者”制定专门的个人信息保护规则、标准。目前《个保法》未对“小型个人信息处理者”的定义和范围进行界定，这仍有待监管机关的后续规定做出解释。

3、处理个人信息的原则

《个保法》第五条至第九条明确了处理个人信息的基本原则，该等原则是贯穿个人信息处理活动的总体指引。这些原则包括：

3.1 合法、正当、必要和诚信原则。个人信息处理者应当遵循合法、正当、必要和诚信原则，不得以误导、欺诈、胁迫等方式处理个人信息（第五条）。该原则作为《个保法》的首要原则，是个人信息处理者实施处理活动的前提。

3.2 明确性和相关性原则。处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关（第六条）。该原则在第五条的基础上，为处理目的设定了评价标准，并将处理活动控制在“与直接处理目的相关”的范围内。

3.3 最小程度原则。《个保法》第六条从两个层面对个人信息处理的程度进行了限制：一是要求处理活动对个人权益产生的影响最小；二是不得过度收集个人信息，限于满足处理目的的最小范围（第六条）。

3.4 公开透明原则。处理个人信息应当遵循公开、透明原则。该条要求个人信息处理者应当对外公开处理规则，并向个人明示处理的目的、方式和范围（第七条）。公开透明原则保障了个人信息主体的知情权和同意权，是个人信息处理者履行“告知同意义务”的前提。

3.5 完整性和准确性原则。《个保法》第八条对处理个人信息的质量设定了评价标准，具体可从个人信息的完整性和准确性两方面切入。个人信息处理者应当避免因个人信息的不准确、不完整而损害个人权益。

3.6 安全保障原则。《个保法》第九条明确了处理者是个人信息处理活动的直接责任人，由个人信息处理者承担个人信息处理的法定义务和责任。个人信息处理者应当采取必要措施保障个人信息的安全。

4、处理个人信息的基本规则

《个保法》第二章规定了个人信息处理的规则，其中的重点要求及简要分析如下：

4.1 处理个人信息的合法性基础。符合下列情形之一的，个人信息处理者方可处理个人信息：（1）取得个人的同意；（2）为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需；（3）为履行法定职责或法定义务所必需；（4）为应对突发公共卫生事件或紧急状况下保护自然人生命健康或财产安全所必需；（5）为公共利益实施新闻报道、舆论监督等在合理范围内处理个人信息；（6）在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息；以及（7）法律、行政法规规定的其他情形。（第十三条）

4.2 处理个人信息的告知与同意要求。原则上，处理个人信息应当取得个人同意，但是如果有上述第十三条项下第（2）项至第（7）项规定情形的，则不需取得同意。基于个人同意处理个人信息的，该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定应当取得个人单独同意或者书面同意的，从其规定（第十四条）。个人信息处理者在处理个人信息前，应以显著的方式、清晰易懂的语言向个人告知特定事项，但根据法律、行政法规规定应当保密或者不需要告知的情形除外。（第十七、十八条）

4.3 个人信息的保存期限。除法律、行政法规另有规定外，个人信息的保存期限应当为实现处理目的所必要的最短时间。（第十九条）

4.4 共同处理。两个以上的个人信息处理者共同决定个人信息的处理目的和处理方式的，应当约定各自的权利和义务。个人信息处理者共同处理个人信息，侵害个人信息权益造成损害的，应当依法承担连带责任。（第二十条）上述内容系首次在法律中明确规定了“个人信息共同处理者”的情形以及对个人信息侵权行为依法承担连带责任问题。

4.5 委托处理个人信息。个人信息处理者委托处理个人信息的，应当与受托人约定委托处理的目的、期限、双方的权利和义务等内容，并对受托人的个人信息处理活动进行监督。受托人应当按照约定处理个人信息，并且未经同意不得转委托。（第二十一条）。

4.6 合并分立时的个人信息转移。个人信息处理者因合并、分立、解散、被宣告破产等原因需要转移个人信息的，应当向个人告知接收方的名称或者姓名和联系方式。接收方应继续履行个人信息处理者的义务，若变更原先的处理目的、处理方式的，应重新获取个人同意。（第二十二条）

4.7 共享个人信息。个人信息处理者向其他个人信息处理者提供个人信息的，应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意。接收方应当在上述范围内处理个人信息。（第二十三条）

4.8 公开个人信息。除非取得个人单独同意，否则个人信息处理者不得公开其处理的个人信息（第二十五条）。除非个人明确拒绝，否则个人信息处理者可以免于取得同意、在合理的范围内处理个人自行公开的个人信息；但如果该等处理对个人权益有重大影响的，则需要取得个人同意。（第二十七条）

5、自动化决策

5.1 禁止大数据杀熟。自动化决策应保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇。（第二十四条第一款）

5.2 提供其他选项或拒绝方式。通过自动化决策方式进行信息推送、商业营销，应当同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式。（第二十四条第二款）

5.3 个人享有的权利。自动化决策作出对个人权益有重大影响的决定的，个人有权要求予以说明，并有权拒绝仅通过自动化决策的方式作出决定。（第二十四条第三款）

6、处理敏感个人信息的特殊规则

《个保法》对敏感个人信息的处理规则专门进行规定。其中，敏感个人信息是指一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。（第二十八条）

处理敏感个人信息需要遵守的规则主要包括：

6.1 需具有特定的目的和充分的必要性，并采取严格保护措施。（第二十八条）

6.2 需要取得个人的单独同意；法律、行政法规另有规定需取得书面同意的，或者规定处理敏感个人信息应取得相关行政许可或者作出其他限制的，从其规定。（第二十九、三十二条）

6.3 在告知内容方面，需特别向个人告知处理敏感个人信息的必要性以及对个人权益的影响。（第三十条）

7、个人信息跨境提供规则

《个保法》明确了个人信息跨境提供的基本规则，主要包括以下方面：

7.1 法定条件。《个保法》规定向境外提供个人信息应首先满足“因业务等需要，确需向中国境外提供个人信息”的前提，同时还应具备下列条件之一：（1）通过国家网信部门组织的安全评估；（2）经专业机构进行个人信息保护认证；（3）按照国家网信部门制定的标准合同与境外接收方订立合同；或者（4）法律、行政法规或者国家网信部门规定的其他条件（第三十八条第一款）。此外，如果中国缔结或者参加的国际条约、协定对向境外提供个人信息的条件等有规定的，可以按照其规定执行。（第三十八条第二款）

7.2 特定主体的数据本地化和安全评估义务。《个保法》对关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者规定了境内存储的要求，并要求确需向境外提供的，则必须通过国家网信部门组织的安全评估。（第四十条）

7.3 告知同意要求。《个保法》首次在法律层面对个人信息的跨境提供规定了更加明确、具体且严格的告知内容和单独同意要求，具体为：应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项，并取得个人的单独同意。（第三十九条）

7.4 保护标准。个人信息处理者应当采取必要措施，保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。（第三十八条第三款）

7.5 其他特定出境情形。《个保法》规定了个人信息处理者向外国司法或者执法机构提供存储于中国境内的个人信息应经中国主管机关批准，并对损害中国公民个人信息权益的境外组织与个人采取负面清单要求。此外，《个保法》还针对在个人信息保护方面对我国采取歧视性的不合理措施的其他国家和地区的规定了对等采取措施的要求。（第四十一、四十二、四十三条）

8、个人信息主体的权利

作为个人信息保护法律制度的核心内容之一，《个保法》较为全面地规定了个人在个人信息处理活动中的权利。其中包括知情权、决定权、查询权、复制权、可携带权、请求个人信息处理者更正、补充、删除个人信息的权利，以及要求解释说明的权利。此外，《个保法》还强调了个人有权撤回对个人信息处理的同意、有权限制或拒绝处理其个人信息、拒绝自动化决策等相关权利。《个保法》亦明确要求个人信息处理者建立个人行使权利的申请受理和处理机制。

《个保法》第四十九条明确了死者个人信息保护的相关要求：其近亲属为了自身的合法、正当利益，可以对死者的相关个人信息行使本章规定的查阅、复制、更正、删除等权利。

9、强化个人信息处理者的合规管理义务

《个保法》明确了个人信息处理者的合规管理和保障个人信息安全等义务，具体包括：要求其按照规定采取必要措施确保个人信息处理活动的合规性与安全性；处理个人信息达到国家网信部门规定数量的个人信息处理者应指定个人信息保护负责人对其个人信息处理活动进行监督；定期对其个人信息处理活动进行合规审计；对处理敏感个人信息、自动化决策、向境外提供个人信息等高风险处理活动，应事前进行风险评估并对处理情况进行记录；针对个人信息泄露等安全事件履行通知和补救义务等。

10、履行个人信息保护职责的部门及职责

《个保法》第六章规定了履行个人信息保护职责的部门的相关内容，确立了个人信息保护的监管体系架构：国家网信部门负责统筹协调，国务院有关部门在各自职责范围内负责个人信息保护和监督管理工作，县级以上地方人民政府有关部门的个人信息保护和监督管理职责按照国家有关规定确定。前述部门统称为“履行个人信息保护职责的部门”。同时，《个保法》对履行个人信息保护职责的部门的个人信息保护职责范围和可采取的相应行政措施进行了详细的规定。

11、法律责任

《个保法》对违法行为加大惩处力度，设置了严格的法律责任。例如，违反本法规定处理个人信息，或者处理个人信息未履行本法规定的个人信息保护义务的，情节严重的，由省级以上履行个人信息保护职责的部门责令改正，没收违法所得，并处五千万元以下或者上一年度营业额百分之五以下罚款，并可以责令暂停相关业务或者停业整顿、吊销相关业务许可或者营业执照（第六十六条）。《个保法》还增加了“记入信用档案”的处罚机制（第六十七条），相比于《网络安全法》、《民法典》等相关规定，《个保法》对个人信息相关的违法行为处罚力度更大。

《个保法》同时对侵害个人信息权益的民事赔偿、刑事责任以及公益诉讼做出规定。具体而言，处理个人信息侵害个人信息权益造成损害，个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任（第六十九条）。违反《个保法》规定构成犯罪的，追究刑事责任（第七十一条）。个人信息处理者侵害众多个人的权益的，人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼（第七十条）。

12、其他呼应社会热点的要求

《个保法》中同时包括下列新的要求及特殊规定：

12.1 公众场所采集图像、身份识别信息的特殊要求。《个保法》对公共场所人脸识别技术的应用进行了规制，要求：在公共场所安装图像采集、个人身份识别设备，应当为维护公共安全所必需，并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的，不得用于其他目的；取得个人单独同意的除外。（第二十六条）

12.2 未成年人信息保护。《个保法》要求处理不满十四周岁未成年人个人信息应当取得未成年人的父母或者其他监护人的同意，并应当制定专门的个人信息处理规则（第三十一条）。由加强未成年人个人信息保护的社会热点和呼声，《个保法》对未满14岁的未成年人个人信息作为敏感个人信息予以严格保护，并在此基础上设计了监护人同意和专门处理规则的特殊要求。

12.3 重要互联网平台的个人信息保护义务。《个保法》在第五十八条规定 “重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”的个人信息保护义务，主要包括：（1）成立主要由外部成员组成的独立机构对个人信息保护情况进行监督；（2）制定平台规则以明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务；（3）对严重违法处理个人信息的平台内的产品或者服务提供者停止提供服务；（4）定期发布个人信息保护社会责任报告。

12.4 国家机关处理个人信息也明确纳入监管范围。《个保法》首次明确将国家机关处理个人信息的活动纳入规制范围，并规定了国家为履行法定职责处理个人信息的基本规则，包括：不得超出履行法定职责所必需的范围和限；履行告知义务；国家机关处理的个人信息原则上应当境内存储，确需向境外提供的应当进行安全评估。（第三十三至三十六条） 

三、 与二审稿对比的重点变化

《个保法》与《二审稿》在框架和体例上基本保持一致，且章节名称保持不变，但从内容上看，《个保法》除了在条文文字表述方面对《二审稿》的若干条款进行修订和完善外，相关重点修改内容和规则变化可总结为如下九个方面：

1、明确规范App个人信息保护义务和责任

与《二审稿》相比，《个保法》在第六条重申收集个人信息“应当限于实现处理目的的最小范围”，并增加了“不得过度收集个人信息”的规定，与《民法典》中“不得过度处理” 的要求保持一致。这一规定也与监管实践中频繁出现的应用程序（App）过度收集个人信息的违规问题直接有关，因此将其纳入法律规定，有助于对个人信息收集活动作出有针对性规范。在监管职责方面，《个保法》在第六十一条新增规定履行个人信息保护职责的部门应“组织对应用程序等个人信息保护情况进行测评，并公布测评结果”。在法律责任方面，《个保法》在第六十六条新增规定“对违法处理个人信息的应用程序，责令暂停或者终止提供服务”。

近年来，App个人信息保护的监管和执法活动逐渐深入开展并呈现出常态化执法的趋势。但是在监管实践中，App违法违规收集使用个人信息的行为仍是屡禁不止。基于此，《个保法》从法律层面，对App过度收集个人信息等现象进一步完善了个人信息处理规则，同时赋予了监管部门对App组织开展测评并公布测评结果的法定职权，并明确App如违反涉法律规定处理个人信息的，将面临停止或终止服务的严厉后果。

可以预见，未来App个人信息保护的监管活动将会持续开展，并在很长一段时间中将作为监管机关的工作重点之一。对于运营App的企业而言，遵守《个保法》的个人信息处理规则，避免过度收集个人信息，也将是日常合规重点内容。

2、自动化决策不得“大数据杀熟”

《个保法》在《二审稿》有关自动化决策规范的基础上，进一步规定“不得对个人在交易价格等交易条件上实行不合理的差别待遇”。（第二十四条）

“大数据杀熟”是社会公众对互联网平台利用大数据和算法对用户进行“画像”分析，从而收取不同价格等行为的概括性说法。当前，社会各方面对于用户画像、算法推荐等新技术新应用高度关注，对相关产品和服务中存在的“大数据杀熟”等问题反映强烈。基于此，《个保法》对利用个人信息进行自动化决策并产生差别待遇的现象作了有针对性规范。在平台经济领域，本规定也与《国务院反垄断委员会关于平台经济领域的反垄断指南》规定的“大数据杀熟”可能构成滥用市场支配地位差别待遇行为相呼应。

3、加强未成年人信息保护

与《二审稿》相比，《个保法》将“不满十四周岁未成年人的个人信息”纳入敏感个人信息的范围，并要求个人信息处理者对此制定专门的个人信息处理规则。

由于网络的不断普及和迅猛发展，未成年人“触网”已毫无障碍，但与此同时也产生许多侵害青少年个人信息合法权益的问题。目前，国家标准《信息安全技术 个人信息安全规范》已率先将十四周岁以下（含）儿童个人信息列为“个人敏感信息” ，《未成年人保护法》和《儿童个人信息网络保护规定》均规定信息处理者处理不满十四周岁未成年人个人信息的，应当征得未成年人的父母或者监护人同意。《儿童个人信息网络保护规定》还规定“网络运营者应当设置专门的儿童个人信息保护规则和用户协议”。

此前《二审稿》仅规定处理不满十四周岁未成年人个人信息需取得其父母或监管人同意，但《个保法》延续了上述法律法规规定，进一步将该等信息明确作为敏感个人信息予以严格保护，并要求对不满十四周岁未成年人的个人信息制定专门的处理规则。本项新增的规定有效督促相关企业或平台履行相应社会责任，加强对未成年人弱势群体的权益保护。

4、处理个人信息的合法性基础新增人力资源管理

《个保法》在《二审稿》基础上增加了一项无需取得个人同意的个人信息处理法定情形：“按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”（第十三条）。该规定为企业在劳动管理之中涉及的员工个人信息收集提供了例外的安排。

5、完善个人信息跨境提供的保护规则

关于个人信息的跨境提供的规则，《个保法》相较于《二审稿》，在个人信息跨境提供适用的四项法定条件之外，也新增了一个例外情形，即如果中国缔结或者参加的国际条约、协定对向中国境外提供个人信息的条件等有规定的，个人信息处理者可以按照其规定执行，在此种情形下并不必须具备四项法定条件之一的才可向境外提供个人信息。

此外，《个保法》进一步完善个人信息跨境提供的保护标准。第三十八条第三款明确规定：个人信息处理者应当采取必要措施，保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。本项要求为《个保法》新增内容，为各企业跨境提供个人信息的安全保护义务确定一个具体的目标，基于该规定，各企业在实践中可采取签订协议、对境外接收方开展调查、审计等措施来约束其个人信息处理活动，以满足符合法律规定的保护标准。

最后，对于向外国司法或执法机构提供境内个人信息的情形，《个保法》相较于《二审稿》完善了中国主管机关处理该等事项的监管依据，即中国主管机关根据有关法律和中国缔结或者参加的国际条约、协定，或者按照平等互惠原则，处理外国司法或者执法机构关于提供存储于境内个人信息的请求。该等依据是个人信息处理者在向外国司法或执法机构提供境内个人信息时，中国主管机关履行审批活动的判断基础。

6、明确委托处理信息的受托人义务

《二审稿》第五十八条规定“接受委托处理个人信息的受托方，应当履行本章规定的相关义务，采取必要措施保障所处理的个人信息的安全”，这意味着在《二审稿》项下，委托处理情形下的受托人需要履行与个人信息处理者相同的法律义务。《个保法》第五十九条则规定，“接受委托处理个人信息的受托人，应当依照本法和有关法律、行政法规的规定，采取必要措施保障所处理的个人信息的安全，并协助个人信息处理者履行本法规定的义务”。

从个人信息权益保护的角度看，《二审稿》的上述规定或许可以起到强化受托人责任、督促其更严格地履行个人信息保护义务的效果。但是，就委托处理个人信息实践而言，由于委托人应作为在个人信息处理活动中能够自主决定处理目的、处理方式的“个人信息处理者”，而受托人则按照委托人的指示和要求处理个人信息，如果该等规定对委托人和受托人等不同主体的义务和责任均采取相同要求，可能对不同主体对自身角色认知和具体合规实践产生误解或矛盾。而《个保法》的规定则有效、明确区分了这两类主体的义务和责任，要求受托人应采取必要措施保障信息安全，同时有义务协助个人信息处理者履行本法义务，而非直接履行与委托方（个人信息处理者）相同的法定义务。

7、完善个人信息主体权利

7.1 增加个人信息可携带权的规定。《个保法》在《二审稿》的基础上，增加了个人在个人信息处理活动中的“可携带权”。具体而言，第四十五条规定，个人请求将个人信息转移至其指定的个人信息处理者，符合国家网信部门规定条件的，个人信息处理者应当提供转移的途径。本项权利主要借鉴了境外国家和地区的立法（例如欧盟的《通用数据保护条例》），但是赋予了个人信息主体将其已向个人信息处理者提供的个人信息不受限制地转移给其他的个人信息处理者的权利，这便于用户自主且快速地将自己的个人信息在不同平台间转移。从行业发展的角度，个人信息可携带权的规定可能打破数据领域的垄断或数据孤岛局面，有利于互联网全行业的数据流通和交流，但对于企业而言，可携带权的落实也对企业的技术能力、人力物力成本提出较高的要求。

7.2 死者个人信息保护。《个保法》第四十九条对死者个人信息做出新规定：自然人死亡的，其近亲属为了自身的合法、正当利益，可以对死者的相关个人信息行使本章规定的查阅、复制、更正、删除等权利；死者生前另有安排的除外。根据该规定，死者的近亲属行使相关权利应当有合理的理由，即为了自身的合法、正当利益，并且需要尊重死者生前的安排。从立法目的上看，本规定一方面支持死者的近亲属主张死者个人信息的权利，另一方面也防止该权利被滥用，企业面对死者近亲属提出的相关权利请求时，也可依据本规定要求该近亲属提供必要的证据证明其权利主张符合实现合法、正当利益的目的。

7.3 起诉的权利。《个保法》第五十条还新增一项规定：个人信息处理者拒绝个人行使权利的请求的，个人可以依法向人民法院提起诉讼。

8、重要互联网平台的个人信息保护义务

《个保法》在《二审稿》的基础上，对属于重要互联网平台的个人信息处理者的相关定义和义务均做了调整。首先，在定义方面，《个保法》界定该处理者为“提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”，与《二审稿》相比是将“基础性互联网平台服务”修改为“重要互联网平台服务”；其次，在具体义务方面，《个保法》补充要求重要互联网平台应“按照国家规定建立健全个人信息保护合规制度体系”，并强调所成立的独立机构是对“个人信息保护情况”进行监督，而且此前《二审稿》中规定的“个人信息处理活动”。此外，《个保法》还另行新增一项义务，即“遵循公开、公平、公正的原则，制定平台规则，明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务”。

上述规定也体现了近年来监管机关越发重视对互联网巨头或重点互联网企业的监管和引导、着重要求该等企业或平台切实履行数据安全和个人信息保护等法定义务和责任的趋势。根据本规定，作为重要互联网平台的个人信息处理者，除了平台自身需严格履行个人信息保护义务外，还肩负着规范、督促平台内产品或服务提供者按照法律法规和平台规则等要求保护个人信息的重大责任。但是，“重要互联网平台服务”的判断标准和“外部成员”等定义如何界定，“个人信息保护社会责任报告”的编写方式和内容、发布频率和范围等要求如何实施，均有待后续的实施细则或监管机关的解释。

9、公开个人信息的处理要求

相较于《二审稿》，《个保法》第十三条第六项还增加了一项无需取得个人同意的个人信息处理法定情形：“依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息”。此外，《个保法》对《二审稿》项下关于已公开个人信息的处理规范做了重大调整。第二十七条规定，个人信息处理者可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息；个人明确拒绝的除外。个人信息处理者处理已公开的个人信息，对个人权益有重大影响的，应当依照本法规定取得个人同意。

上述条款是与《民法典》有关规定的衔接。《民法典》第一千零三十六条规定，处理个人信息，有下列情形之一的，行为人不承担民事责任：合理处理该自然人自行公开的或者其他已经合法公开的信息，但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外。根据《个保法》的要求，企业如在业务经营中涉及处理个人自行公开或者其他已经合法公开的个人信息的，则其可以依照《个保法》规定在合理的范围内进行处理，并且免于取得个人同意。但是如果该等处理会对个人权益产生重大影响的，则仍需取得个人同意。对于何为“重大影响”，仍有待后续观察。

四、我们的观察和建议

《个保法》作为我国第一部个人信息保护的专门法律，将成为建立我国个人信息保护法律制度的重要法律基础。

《网络安全法》、《数据安全法》、《消费者权益保护法》、《民法典》等法律及网信办、工信部、公安部等出台的一系列规范性文件为企业合规及政府执法提供了一般性法律依据，电信及互联网企业、App等互联网产品近年来尤其受到重点执法监管。随着《个保法》的出台，我们相信执法标准将更加严格、深化，且将向各个行业深入。对于不同行业及领域的企业存在很多共性的要求，包括建立合规体系、梳理数据处理和收集的要求，同时他们也可能面临不同的风险点及合规挑战。对于企业来说，需要根据《个保法》上述各方面的新要求来制定合规的策略和体系。一些共性的需要考虑的重点要求及合规步骤包括：

1、梳理个人信息收集、使用场景。了解自身收集、存储、处理、转让、共享信息的各种情况和场景，对于每种情况下的合规状况全面、细致的掌握。

2、修改相应个人信息收集同意函及隐私政策。真实、准确、完整的向个人信息主体告知信息收集的细节及其他法定事项，根据自身收集处理实践的调整完善更新相关的法律文件。

3、完善信息收集同意的流程，并增加单独同意机制。对自身的线上（如网站、App以及小程序等）、线下的各种收集场景进行评估，考虑是否修改相应的流程和同意的获得机制。

4、设置敏感信息、特殊收集情形保护的特别机制。对敏感个人信息，或采用人像识别或身份识别设备收集、使用、存储情况进行特别的评估、记录、满足法律要求的要件。

5、防范信息传输及分享可能涉及多重的潜在法律风险。重点关注并采取预防措施。对于涉及转让、获取个人信息的情况，需重点核查合规性，并注意权利义务的界定。

6、设计相应机制保证个人信息主体权利的行使。保障个人信息主体的权利可以便捷的行使，包括为死亡自然人亲属行使个人信息权利提供方式及渠道。

7、评估个人信息影响应成为企业决策重要维度。建议将个人信息保护影响评估纳入产品及服务设计阶段，在信息收集前对相关信息收集的必要性、对个人权益的影响及安全风险以及安全保护措施的合法、有效性进行评估。

8、谨慎使用自动化决策工具用于信用评估、商业营销等活动。对于使用通过自动化决策方式对个人进行经济、信用状况等方面进行评估，需在使用前进行安全影响评估，并应个人要求进行说明、提供替代性方案等。通过自动化决策方式向个人进行信息推送、商业营销，应当同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式。

9、加强个人信息保护内控管理。梳理已存储的个人信息类型及相关内部系统，加强信息的技术及管理方面的保护措施。对个人信息实行分类管理，采取相应的加密、去标识化等安全技术措施，合理确定个人信息处理的操作权限，并定期对从业人员进行安全教育和培训，确定个人信息保护负责人。

10、完善修订员工信息收集的情形。根据《个保法》，按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需的个人信息收集无需取得个人同意，但企业需考虑员工个人信息收集的必要性及合法性，并需将个人信息收集、使用情况告知个人。

对于涉及医疗医药、金融、电信、汽车、智能制造、物联网等不同行业和领域的企业，还应结合相应行业的特点以及监管的特别要求，例如对汽车行业，最近发布并将生效的《汽车数据安全管理若干规定》，进行相应的合规整理工作。

我们也会持续关注《个保法》的落地要求和措施。

1.《民法典》第1035条规定，“处理个人信息的，应当遵循合法、正当、必要原则，不得过度处理，并符合下列条件……”