文：特約研究員惕若

來源：蘇甯金融研究院

8月20日，十三屆全國(guó)人大常委會(huì)第三十次會(huì)議表決通過(guò)《中華人民共和國(guó)個人信息保護法》（以下簡稱《個人信息保護法》），自11月1日起(qǐ)施行。作爲我國(guó)首部針對(duì)個人信息保護的專門性立法，《個人信息保護法》構建了完整的個人信息保護框架，對(duì)個人信息處理規則、個人信息跨境傳輸、個人信息處理活動的權利、信息處理者的義務、監管部門職責以及罰則等作出了全面(miàn)的規定。

一

主要内容

（一）采取一般個人信息與敏感個人信息分級保護

個人信息是與已識别或者可識别的自然人有關的各種(zhǒng)信息（匿名化處理後(hòu)的信息不屬于個人信息）。個人敏感信息是一旦洩露或者非法使用，容易導緻自然人的人格尊嚴受到侵害或者人身、财産安全受到危害的個人信息，以及不滿十四周歲未成(chéng)年人的個人信息。

1、一般個人信息保護規則

處理個人信息前，應當以顯著方式、清晰易懂的語言真實、準确、完整的告知個人信息處理者的名稱或者姓名和聯系方式，個人信息的處理目的、方式、種(zhǒng)類、保存期限，個人行權的方式和程序。

處理個人信息應取得個人的明确同意，若處理的目的、方式、種(zhǒng)類發(fā)生變更，應當重新取得同意。

2、敏感個人信息保護規則

隻有在具有特定的目的和充分的必要性，并采取嚴格保護措施的情形下，個人信息處理者方可處理敏感個人信息。

除處理一般個人信息應當告知的内容外，還(hái)應當告知處理敏感個人信息的必要性以及對(duì)個人權益的影響。

處理個人敏感信息應當取得個人的單獨同意。而處理不滿十四周歲未成(chéng)年人個人信息的，應當取得其父母或者其他監護人的同意。

（二）擴大個人信息處理的合法性基礎

除取得個人同意外，明确了處理個人信息處理的多元合法性基礎：

1、爲訂立、履行合同所必需，或者依法依約實施人力資源管理所必需；

2、爲履行法定職責或者法定義務所必需；

3、爲應對(duì)突發(fā)公共衛生事(shì)件，或者緊急情況下爲保護自然人的生命健康和财産安全所必需；

4、爲公共利益在合理的範圍内處理個人信息；

5、在合理的範圍内處理個已經(jīng)合法公開(kāi)的個人信息；

6、法律、行政法規規定的其他情形。

（三）明确個人信息跨境提供的規則

1、跨境提供個人信息需同時滿足如下條件：

告知向(xiàng)境外提供個人信息的情況，包括境外接收方的名稱或者姓名、聯系方式、處理目的、處理方式、個人信息的種(zhǒng)類以及個人向(xiàng)境外接收方行使本法規定權利的方式和程序等事(shì)項。

取得個人的單獨同意，或具備其他合法性基礎。

境外接收方未被(bèi)網信部門列入限制或禁止個人信息提供清單。

2、跨境提供個人信息需遵循如下法律路徑：

關鍵信息基礎設施運營者和處理個人信息達到國(guó)家網信部門規定數量的個人信息處理者應當通過(guò)網信部門組織的安全評估，另有規定的除外。

其他個人信息處理者可選擇以下任一路徑：通過(guò)網信部門組織的安全評估，通過(guò)專業機構進(jìn)行個人信息保護認證，與境外接收方訂立網信部門制定的标準合同，或者遵循其他法定路徑。

（四）新設個人信息可攜權

個人請求將(jiāng)個人信息轉移至其指定的個人信息處理者，符合國(guó)家網信部門規定條件的，個人信息處理者應當提供轉移的途徑。

（五）完善近親屬行使死者個人信息權利的要求

自然人死亡，其近親屬可以對(duì)死者的個人信息行使一定權利，但需符合如下條件：

1、爲了自身的合法、正當利益；

2、權利類型僅包括查閱、複制、更正、删除；

3、死者生前無其他安排。

（六）明确個人信息處理者的義務，區分大小型個人信息處理者

1、采取必要措施保障個人信息處理合法合規，防範個人信息管理風險。

2、定期開(kāi)展合規審計。

3、處理個人信息對(duì)個人權益有重大影響的，應事(shì)前進(jìn)行個人信息保護影響評估，相關記錄至少保存三年。

4、發(fā)生個人信息安全事(shì)件應立即采取補救措施，并通知專職部門以及個人。

5、對(duì)于大型個人信息處理者（包括提供重要互聯網平台服務、用戶數量巨大、業務類型複雜的個人信息處理者），應當承擔額外的個人信息保護義務。

6、對(duì)于小型個人信息處理者，由網信部門制定專門的個人信息保護規則、标準。

（七）銜接民法、行政法、刑法，明确法律責任

1、提高行政處罰上限，引入高管禁業，違法行爲計入征信。

違法處理個人信息，情節嚴重的，將(jiāng)會(huì)被(bèi)沒(méi)收違法所得，至高處五千萬或上一年度營業額百分之五的罰款，責令暫停業務或停業整頓。吊銷業務許可或營業執照；直接責任人員至高將(jiāng)被(bèi)處罰款一百萬元，及被(bèi)禁止擔任董監高或個人信息保護負責人。

2、侵權責任認定采取過(guò)錯推定原則。

處理個人信息侵害個人信息權益造成(chéng)損害，個人信息處理者不能(néng)證明自己沒(méi)有過(guò)錯的，應當承擔損害賠償等侵權責任。兩(liǎng)個以上個人信息處理者共同處理個人信息，侵害個人信息權益造成(chéng)損害的，應當承擔連帶責任。

二

法律風險分析及建議

（一）處理個人信息應取得同意

取得個人合法有效同意作爲處理個人信息的合法性基礎，是個人對(duì)其個人信息的處理享有決定權的表現。若該同意是未經(jīng)充分告知前提下作出，同意的形式不符合法律要求，超範圍處理個人信息，處理情況發(fā)生變更未重新取得同意，或者未提供撤回同意的方式等，均可被(bèi)認定爲未經(jīng)個人同意處理個人信息，屬于侵犯個人決定權的行爲。

因此，基于個人同意處理個人信息的，應滿足以下要求：

1、處理個人信息前，應以顯著方式、清晰易懂的語言真實、準确、完整地告知個人信息處理者的基本情況，信息處理的目的、方式、範圍、保存期限，個人的法定權利等事(shì)項，保障個人的知情權。

2、一般應取得個人的明确同意，特殊情況下還(hái)需取得單獨同意或書面(miàn)同意。如向(xiàng)第三方提供個人信息、公開(kāi)處理的個人信息、處理敏感信息、向(xiàng)境外提供個人信息的，應取得單獨同意。

3、個人信息的處理目的、處理方式和處理的個人信息種(zhǒng)類發(fā)生變更的，應當重新取得同意。

4、提供便捷的撤回同意的方式。

（二）不得通過(guò)自動化決策實行不合理的差别待遇

自動化決策，是指通過(guò)計算機程序自動分析、評估個人的行爲習慣、興趣愛好(hǎo)或者經(jīng)濟、健康、信用狀況等，并進(jìn)行決策的活動。通過(guò)自動化決策實行不合理的差别待遇，包括歧視性定價、定向(xiàng)推送不支持關閉等行爲，均爲《個人信息保護法》所明确禁止。

禁止基于自動化決策實行不合理的差别待遇并不等于禁止自動化決策方式，個人信息處理者通過(guò)自動化決策的，應滿足以下要求：

1、保證決策的透明度和結果公平、公正，不得對(duì)個人在交易條件上實行不合理的差别待遇。

2、進(jìn)行定向(xiàng)推送時，應提供非定向(xiàng)推送的選項或便捷的拒絕方式。

3、對(duì)個人權益有重大影響的，應按照個人要求予以說明，并提供拒絕方式。

（三）個人信息跨境傳輸應滿足法定條件和路徑

原則上，個人信息處理者應將(jiāng)個人信息存儲在境内，确需向(xiàng)境外提供個人信息的，應當符合法定條件。對(duì)于關鍵信息基礎設施運營者和處理個人信息達到國(guó)家網信部門規定數量的個人信息處理者向(xiàng)境外提供個人信息的，還(hái)需通過(guò)網信部門組織的安全評估。

個人信息處理者，尤其是特定的個人信息處理者應當對(duì)信息出境事(shì)項進(jìn)行梳理，并采取以下措施：

1、修改隐私文件或其他方式，將(jiāng)出境情況充分告知個人，并征得其單獨同意，除非可以依賴其他合法性基礎。

2、與境外接收方簽署标準合同（由國(guó)家網信部門制定），或者通過(guò)個人信息保護認證，并采取包括但不限于合同約束、技術限制、定期複核、合規審計等必要措施，确保接收方妥善保護個人信息。

（四）個人信息處理者應盡安全保障義務

個人信息處理者對(duì)于信息處理負有确保處理活動合法合規、防範未經(jīng)授權的訪問和保障個人信息安全的義務，否則可能(néng)會(huì)承擔一定的過(guò)錯責任。

具體來說，個人信息處理者應根據處理目的、方式、種(zhǒng)類及對(duì)個人權益的影響、安全風險等，采取如下安保措施：

1、制定内部管理制度和操作規程。

2、對(duì)個人信息實行分類管理。

3、采取加密、去标識化等安全技術措施。

4、合理确定個人信息處理的操作權限，并定期進(jìn)行安全教育和培訓。

5、制定并組織實施個人信息安全事(shì)件應急預案。

6、個人信息處理活動對(duì)個人權益有重大影響的，應事(shì)前進(jìn)行個人信息保護影響評估。

（五）大型個人信息處理者負有額外義務

由于大型個人信息處理者（提供重要互聯網平台服務、用戶數量巨大、業務類型複雜的個人信息處理者）與小型個人信息處理者在技術水平、風險等級上存在較大差異，《個人信息保護法》強化了對(duì)大型個人信息處理者的監管，提出了額外要求。

對(duì)于大型個人信息處理者，除了需要履行一般個人信息處理者的義務，還(hái)應履行下列義務：

1、建立健全個人信息保護合規制度體系，成(chéng)立獨立機構對(duì)個人信息保護情況進(jìn)行監督；

2、制定平台規則，明确平台内産品或者服務提供者處理個人信息的規範和保護個人信息的義務；

3、對(duì)嚴重違法違規處理個人信息的平台内産品或服務提供者停止提供服務；

4、定期發(fā)布個人信息保護社會(huì)責任報告。

（六）共同個人信息處理者間承擔連帶責任

實務中，數據處理過(guò)程中可能(néng)涉及到多方主體，共同處理者（共同決定個人信息的處理目的和處理方式的個人信息處理者）侵害個人信息權益造成(chéng)損害的，互相之間承擔連帶責任，且該連帶責任不因雙方約定而排除。

爲保護一方個人信息處理者的權益，在共同處理個人信息前應注意以下幾點：

1、充分評估合作方的個人信息保護水平，以及共同處理信息的合法性、正當性、必要性，采取必要措施保障信息安全。

2、通過(guò)協議明确約定共同處理個人信息的目的、方式、範圍，各自的權利和義務，并制定個人信息應急預案。

3、引入專業個人信息保護認證機構，監督合作方合法合規處理個人信息。