信息技术迅速发展与全球网络的不断完善，使“数据信息”成为了社会生产中不可或缺的要素。在日常生活中享受着数据信息带来便捷的同时，个人信息的暴露及遭受侵害的风险也极具增大，因此，我国针对个人信息保护的立法亦提上日程。2021年8月20日，历经三审三读，第十三届全国人民代表大会常务委员会第三十次会议审议通过《个人信息保护法》并公布，自2021年11月1日起施行。

       《个人信息保护法》全篇共分为八个章节，对个人信息的定义、处理规则、跨境规则、处理者义务、部门职责及法律责任都有明确的规定。“二审稿”在“一审稿”的基础上增加了死者个人信息保护、超大型互联网平台的个人信息保护义务等重要规定；而刚刚发布《个人信息保护法》在语言表达上作出多处修改及完善外，如对不满十四周岁未成年人个人信息保护单独规定，对歧视性的禁止、限制或者其他类似措施采取对等措施等条款的修改表述等。《个人信息保护法》的出台，其最重要意义在于，对个人信息的侵犯有着明确的归责方式及相应惩罚，体现了我国对个人信息权益保护的坚定决心，侵犯“个人信息”的违法行为，情节严重的更面临的不仅仅是“最高5000万或5%营业额的罚款”的行政处罚，甚至还可能包括其他更为严苛的民事、刑事责任。

       本文将对《个人信息保护法》的亮点规定进行解读并从企业合规角度浅谈立法影响与合理化建议，仅供参考。

       本文主要内容概览：

一、个人信息保护的适用与对象

合规建议：

1.任何主体在中国境内从事个人信息处理活动均应遵循本法要求。在中国境外处理个人信息，如果涉及向境内自然人提供产品或服务，或分析、评估境内自然人的行为，亦应遵循与境内处理个人信息相同的合规要求。

       如某境外电商公司在中国未设立任何实体，但其运营的全球网站提供中文在内的多语种界面，并支持中国用户在线下单与跨境配送。在这一过程中获取到的个人信息也受本法保护。

2.企业可使用“识别+关联”标准判断处理的数据是否属个人信息：

（1）识别：从信息到个人，即由信息本身的特殊性即可识别出特定自然人。例如身份证号，手机号码指向特定个人；

（2）关联：从个人到信息，即已知特定自然人，由该特定自然人在其活动中产生的信息。例如已知特定自然人的位置信息、个人偏好等。

       企业在个人信息从收集—删除整个周期中均应履行合规义务，但将信息用作商业用途的过程中，经不可逆的匿名化处理，合法合规使用也将被允许。

二、个人信息处理的基本原则

合规建议：

1.企业不得以欺诈、诱骗、误导的方式收集个人信息；不得隐瞒产品或服务所具有的收集个人信息的功能；不应从非法渠道获取个人信息；企业须严格审核企业运营过程中的各项业务是否有对数据有直接需求并达到绝对必要。

2.企业应制定内部个人信息保护制度，具体内容可包括：传达客户/用户的信息应真实、准确、完整；明确告知个人信息收集、处理及使用目的，方式和规则；对外披露途径及投诉处理渠道等。

三、个人信息处理的具体规则

（一）单独同意

合规建议：

        个人信息处理者在收集个人信息前，应以显著的方式、清晰易懂的语言向个人告知特定事项，个人对处理其个人信息的同意应当在其充分知情的前提上自愿、明确作出。

1.应以显著方式提示用户个人，以取得对方“同意”。

2.个人信息处理者取得个人信息主体同意的手段与机制，包括：App/网站包含隐私声明、授权同意交互窗口或其他方式，如书面的协议与合同等。

3.应绝对排除“强迫或变相强迫同意”的情况，如所获取的个人信息不属于提供产品或者服务所必需的，个人在拒绝后对产品或服务的使用不应被影响或限制。

4.隐私声明中，应当包括“撤销权”功能及对该功能的解释说明，并可以快速响应（可能的）高并发的用户撤回同意需求。

5.特殊领域企业，如医药领域、金融领域等，获取个人信息还须依照行业规定，具备相应资质。

（二）告知义务

合规建议：

       个人信息处理者在处理个人信息前，可通过以下措施与机制实现合规：

1.App/网站的隐私声明，内容中应包含本法第十七条项下所规定事项。

2.修改并完善告知信息，需避免使用“等、例如”等方式进行不完整列举。

（三）共同处理、委托处理及向他人提供个人信息

合规建议：

       共同处理、委托处理的情形常出现在企业在与第三方合作时，基于不同合作的目的和方式可以进行详细洽谈并签订协议。

如委托处理个人信息，可通过以下措施与机制实现合规：

1.双方约定的协议与合同，内容包括法律条款规定的事项以及双方的义务划分；

2.受托处理方向委托人提供个人信息处理报告，证明合规性；

3.委托方进行个人信息销毁，并提供合规报告；

4.在合作处理个人信息的动态过程中采取审计、持续监控等措施，以避免后续纠纷。

（四）自动化决策

合规建议：

        为避免借助用户浏览记录，通过撞库反向识别个人身份，完善用户画像，精准营销的侵权行为，在个人信息进行自动化决策场景中，可通过以下措施与机制实现合规：

1.在商业营销、 信息推送场景下，为用户拒绝自动化决策的服务的入口（窗口、按钮）。

2.应基于同意的法律基础进行个人信息处理。

3.向用户提供可选择、自动化决策的报告。

（五）公共场所信息采集

合规建议：

       本条规定尤其提示企业在公共场所安装图像采集、个人身份识别设备所收集的信息，除取得个人单独同意外，只能用于维护公共安全的目的，且必须设置显著的提示标识。

（六）敏感信息处理规则

合规建议：

对于敏感信息处理，企业应着重注意：

1.明确哪类个人信息属于敏感信息范畴，尤其注意涉及生物识别、健康医疗等领域，保证获取该部分信息须有特定且必要目的。

2. 在App/网站中应以显著的弹窗形式向用户被告知并经其确认。

3.针对未满十四周岁的未成年人信息，企业应在产品/服务端设计青少年模式，通过家长身份验证等方式确保个人信息处理合规，并制定专门的个人信息处理规则予以公示。

四、个人信息跨境传输问题

合规建议：

在个人信息跨境传输问题上，建议企业可以通过以下措施与机制实现合规：

1.评估该个人信息是否为确需向境外提供，严格对照本法第三十八条规定的条件。

2.实现安全风险评估、对个人信息保护认证，与跨境双方制定的合同必须根据国家网信部们制定的标准合同。

3. 涉及跨境传输的个人信息处理者可在网站和App通过隐私声明，以及弹窗形式通知，或者邮件、电话形式通知，取得个人的单独同意。

4.如企业处理个人信息数量达到网信部门的规定，境内应存储，出境必评估。

五、个人信息主体享有的权利

合规建议：

企业应结合本法规定的个人信息主体享有的基本权利，为个人提供行使上述权利的充分便利，应注意以下问题：

1.涉及个人信息获取前，应对各个权利的解释说明。

2.提供用户权利的申请受理和处理机制，如网站/App可以嵌入用户各种权利请求的交互窗口。

3.定期为用户提供合规报告。

4.快速响应用户撤回同意需求。

5.注意个人信息保存期限已满后及时删除或销毁存储的个人信息。

六、个人信息处理者的义务

合规建议：

       一般个人信息处理者应依据本法五十一条的规定履行基本义务，如企业构成关键信息基础设施运营者，如掌握个人信息数量巨大，行业类型敏感，应结合本法第五十八条规定，在五十一条基本义务的基础上第一步，定期发布评估报告，接受社会监督，本法第五十八条，也是个人信息保护领域与数据安全领域的衔接。

合规建议：

       如果企业处理个人信息达到国家网信部门规定数量，则应指定个人信息保护负责人，并在公开页面公开个人信息保护负责人的联系方式，并将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门。

       适用本法的境外个人信息处理者，应当在中国境内设立专门机构或指定代表，并将该机构的名称或代表的姓名、联系方式等报送履行个人信息保护职责的部门。

合规建议：

       合规审计、评估机制和及时的补救措施是企业作为个人信息处理者保护个人信息的特殊机制。

       1. 数据处理活动的合规审计包括基于系统日志的合规审计技术和数据流转审计技术。分别用于解决内部个人信息处理合规审计和解决个人信息处理者之间的数据共享或委托处理等活动的合规审计。

       2.评估机制要注意应当评估的情形及评估的事项，注意个人信息保护影响评估报告和处理情况记录应当至少保存三年。

       3.建立个人信息保护的补救措施机制，如出现泄露、篡改等个人信息安全事件，及时分析原因，降低风险。

结语

       对于个人信息权利主体的个人来讲，本法的制定与实施，必将对个人信息的保护全方位升级，熟悉掌握个人享有的基本权利，对毫无必要的信息获取更直接的去拒绝。对于作为个人信息处理者的企业，该法已然成为未来企业处理个人信息活动必须遵循的基本准则。而从国家监管视角来看，该法律规定最高可罚款5000万元或者上一年度营业额的5%罚款，严苛的惩罚力度为个人信息保护提供了强有力的保障。

       本文从企业合规的角度出发，解读本法中企业遵循的必要法律条款，并提供合规建议，供企业参考借鉴。11月1日，本法将正式生效，未来更多真实的案例及血淋淋的处罚的出现，将从实践角度给予本法更多真实反馈，企业在未来发展中还需严格遵照，积极探索。