8月20日，第十三屆全國(guó)人大常委會(huì)第三十次會(huì)議表決通過(guò)《中華人民共和國(guó)個(gè)人信息保護(hù)法》，該法自2021年11月1日起正式施行。至此本法的正式頒布，為個(gè)人信息處理活動(dòng)提供了明確的法律依據(jù)，為個(gè)人維護(hù)其信息權(quán)益提供了充分保障，也為企業(yè)合規(guī)處理提供了操作指引。現(xiàn)就本法的具體內(nèi)容與立法要點(diǎn)解讀如下：

1、《個(gè)人信息保護(hù)法》的主要內(nèi)容

《個(gè)人信息保護(hù)法》全文涵蓋了8章，74條內(nèi)容，其中第一章為“總則”，主要規(guī)定了立法目的、個(gè)人信息的定義、適用范圍以及基本原則等內(nèi)容。第二章為“個(gè)人信息處理基本規(guī)則”，分三節(jié)對(duì)個(gè)人信息處理的一般規(guī)定、敏感個(gè)人信息的處理規(guī)則以及國(guó)家機(jī)關(guān)處理個(gè)人信息的特別規(guī)定予以明確。第三章為“個(gè)人信息跨境提供的規(guī)則”，對(duì)于跨境提供個(gè)人信息的合規(guī)要件、處理規(guī)則、合規(guī)例外、國(guó)際協(xié)助處理規(guī)則作出規(guī)定。第四章為“個(gè)人在個(gè)人信息處理活動(dòng)中的權(quán)利”，對(duì)知情權(quán)、決定權(quán)、查閱復(fù)制權(quán)、更正、補(bǔ)充的權(quán)利、刪除權(quán)、解釋說(shuō)明權(quán)的內(nèi)涵進(jìn)行細(xì)化。第五章為“個(gè)人信息處理者的義務(wù)”，規(guī)定了個(gè)人信息處理者的一般安全義務(wù)、數(shù)據(jù)保護(hù)官規(guī)則、風(fēng)險(xiǎn)評(píng)估規(guī)則和泄露信息及時(shí)報(bào)告的義務(wù)。第六章為“履行個(gè)人信息保護(hù)職責(zé)的部門(mén)”，確立了以網(wǎng)信辦為主導(dǎo)的個(gè)人信息保護(hù)行政監(jiān)管體系，并細(xì)化相應(yīng)部門(mén)職責(zé)。第七章為“法律責(zé)任”，從民事責(zé)任、行政責(zé)任、刑事責(zé)任三個(gè)方面對(duì)違法收集、處理和利用個(gè)人信息行為應(yīng)承擔(dān)的法律責(zé)任進(jìn)行了規(guī)定，并創(chuàng)設(shè)了個(gè)人信息保護(hù)領(lǐng)域的公益訴訟制度。第八章為“附則”，規(guī)定了適用《個(gè)人信息保護(hù)法》的例外情形以及相關(guān)名詞定義。

2、《個(gè)人信息保護(hù)法》的要點(diǎn)解讀

（一）術(shù)語(yǔ)界定

1.個(gè)人信息：是以電子或者其他方式記錄的與已識(shí)別或者可識(shí)別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息。

2.個(gè)人信息的處理：包括個(gè)人信息的收集、存儲(chǔ)、使用、加工、傳輸、提供、公開(kāi)、刪除等。

3.敏感個(gè)人信息：一旦泄露或者非法使用，容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財(cái)產(chǎn)安全受到危害的個(gè)人信息，包括生物識(shí)別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶(hù)、行蹤軌跡等信息，以及不滿十四周歲未成年人的個(gè)人信息。

（二）范圍界定

1.境內(nèi)：組織、個(gè)人在中華人民共和國(guó)境內(nèi)處理自然人個(gè)人信息的活動(dòng)，適用本法。

2.境外：在中華人民共和國(guó)境外處理中華人民共和國(guó)境內(nèi)自然人個(gè)人信息的活動(dòng)，有下列情形之一的，也適用本法：以向境內(nèi)自然人提供產(chǎn)品或者服務(wù)為目的；分析、評(píng)估境內(nèi)自然人的行為；法律、行政法規(guī)規(guī)定的其他情形。另外，境外的個(gè)人信息處理者，應(yīng)當(dāng)在中華人民共和國(guó)境內(nèi)設(shè)立專(zhuān)門(mén)機(jī)構(gòu)或者指定代表，負(fù)責(zé)處理個(gè)人信息保護(hù)相關(guān)事務(wù)，并將有關(guān)機(jī)構(gòu)的名稱(chēng)或者代表的姓名、聯(lián)系方式等報(bào)送履行個(gè)人信息保護(hù)職責(zé)的部門(mén)。

（三）個(gè)人信息處理規(guī)則

1.確立個(gè)人信息處理應(yīng)遵循的原則，強(qiáng)調(diào)處理個(gè)人信息應(yīng)當(dāng)遵循合法、正當(dāng)、必要和誠(chéng)信原則，具有明確、合理的目的，限于實(shí)現(xiàn)處理目的的最小范圍，公開(kāi)處理規(guī)則，保證信息準(zhǔn)確，采取安全保護(hù)措施等，并將上述原則貫穿于個(gè)人信息處理的全過(guò)程、各環(huán)節(jié)。(第五條至第九條)

2.確立以“告知-同意”為核心的個(gè)人信息處理一系列規(guī)則，要求處理個(gè)人信息應(yīng)當(dāng)在事先充分告知的前提下取得個(gè)人同意，并且個(gè)人有權(quán)撤回同意；重要事項(xiàng)發(fā)生變更的應(yīng)當(dāng)重新取得個(gè)人同意；不得以個(gè)人不同意為由拒絕提供產(chǎn)品或者服務(wù)?？紤]到經(jīng)濟(jì)社會(huì)生活的復(fù)雜性和個(gè)人信息處理的不同情況，本法還對(duì)基于個(gè)人同意以外合法處理個(gè)人信息的情形作了規(guī)定。(第十三條至第十九條)

3.根據(jù)個(gè)人信息處理的不同環(huán)節(jié)、不同個(gè)人信息種類(lèi)，對(duì)個(gè)人信息的共同處理、委托處理、向第三方提供、公開(kāi)、用于自動(dòng)化決策、處理已公開(kāi)的個(gè)人信息等提出有針對(duì)性的要求。(第二十一條至第二十七條)

4.專(zhuān)節(jié)對(duì)處理敏感個(gè)人信息作出更嚴(yán)格的限制，只有在具有特定的目的和充分的必要性的情形下，方可處理敏感個(gè)人信息，并且應(yīng)當(dāng)取得個(gè)人的單獨(dú)同意或者書(shū)面同意。(第二十八條至第三十二條)

5.設(shè)專(zhuān)節(jié)規(guī)定國(guó)家機(jī)關(guān)處理個(gè)人信息的規(guī)則，在保障國(guó)家機(jī)關(guān)依法履行職責(zé)的同時(shí)，要求國(guó)家機(jī)關(guān)處理個(gè)人信息應(yīng)當(dāng)依照法律、行政法規(guī)規(guī)定的權(quán)限和程序進(jìn)行。(第三十三條至第三十七條)

6.禁止“大數(shù)據(jù)殺熟”等行為，個(gè)人信息保護(hù)法明確規(guī)定個(gè)人信息處理者利用個(gè)人信息進(jìn)行自動(dòng)化決策，應(yīng)當(dāng)保證決策的透明度和結(jié)果公平、公正，不得對(duì)個(gè)人在交易價(jià)格等交易條件上實(shí)行不合理的差別待遇。

（四）個(gè)人信息跨境提供規(guī)則

1.明確關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者和處理個(gè)人信息達(dá)到國(guó)家網(wǎng)信部門(mén)規(guī)定數(shù)量的處理者，確需向境外提供個(gè)人信息的，應(yīng)當(dāng)通過(guò)國(guó)家網(wǎng)信部門(mén)組織的安全評(píng)估；對(duì)于其他需要跨境提供個(gè)人信息的，規(guī)定了經(jīng)專(zhuān)業(yè)機(jī)構(gòu)認(rèn)證等途徑。(第三十八條、第四十條)

2.對(duì)跨境提供個(gè)人信息的“告知-同意”作出更嚴(yán)格的要求。(第三十九條，應(yīng)告知接收方詳細(xì)信息，并取得單獨(dú)同意)

3.未經(jīng)中華人民共和國(guó)主管機(jī)關(guān)批準(zhǔn)，個(gè)人信息處理者不得向外國(guó)司法或者執(zhí)法機(jī)構(gòu)提供存儲(chǔ)于中華人民共和國(guó)境內(nèi)的個(gè)人信息。(第四十一條)

4.對(duì)從事?lián)p害我國(guó)公民個(gè)人信息權(quán)益等活動(dòng)的境外組織、個(gè)人，以及在個(gè)人信息保護(hù)方面對(duì)我國(guó)采取不合理措施的國(guó)家和地區(qū)，規(guī)定了可以采取的相應(yīng)措施。(第四十二條、第四十三條，國(guó)家網(wǎng)信部門(mén)可以將其列入限制或者禁止個(gè)人信息提供清單，予以公告，并采取限制或者禁止向其提供個(gè)人信息等措施。)

（五）個(gè)人信息處理活動(dòng)中個(gè)人的權(quán)利和處理者義務(wù)

1.明確在個(gè)人信息處理活動(dòng)中個(gè)人的各項(xiàng)權(quán)利(第四十四條至第五十條)，包括知情權(quán)、決定權(quán)、查詢(xún)權(quán)、更正權(quán)、刪除權(quán)等，并要求個(gè)人信息處理者建立個(gè)人行使權(quán)利的申請(qǐng)受理和處理機(jī)制。

2.明確個(gè)人信息處理者的合規(guī)管理和保障個(gè)人信息安全等義務(wù)(第五十一條至第五十六條)：按照規(guī)定制定內(nèi)部管理制度和操作規(guī)程，采取相應(yīng)的安全技術(shù)措施，并指定負(fù)責(zé)人對(duì)其個(gè)人信息處理活動(dòng)進(jìn)行監(jiān)督；定期對(duì)其個(gè)人信息活動(dòng)進(jìn)行合規(guī)審計(jì)；對(duì)處理敏感個(gè)人信息、向境外提供個(gè)人信息等高風(fēng)險(xiǎn)處理活動(dòng)，事前進(jìn)行風(fēng)險(xiǎn)評(píng)估；履行個(gè)人信息泄露通知和補(bǔ)救義務(wù)等。

3.明確提供基礎(chǔ)性互聯(lián)網(wǎng)平臺(tái)服務(wù)、用戶(hù)數(shù)量巨大、業(yè)務(wù)類(lèi)型復(fù)雜的個(gè)人信息處理者的義務(wù)(第五十七條)：建立健全個(gè)人信息保護(hù)合規(guī)制度體系，成立主要由外部成員組成的獨(dú)立機(jī)構(gòu)，對(duì)個(gè)人信息處理活動(dòng)進(jìn)行監(jiān)督；遵循公開(kāi)、公平、公正的原則，明確處理個(gè)人信息的規(guī)范和保護(hù)個(gè)人信息的義務(wù)；對(duì)嚴(yán)重違反法律、行政法規(guī)處理個(gè)人信息的平臺(tái)內(nèi)的產(chǎn)品或者服務(wù)提供者，停止提供服務(wù)；定期發(fā)布個(gè)人信息保護(hù)社會(huì)責(zé)任報(bào)告，接受社會(huì)監(jiān)督。

（六）履行個(gè)人信息保護(hù)職責(zé)的部門(mén)

1.國(guó)家網(wǎng)信部門(mén)負(fù)責(zé)統(tǒng)籌協(xié)調(diào)個(gè)人信息保護(hù)工作和相關(guān)監(jiān)督管理工作。

2.國(guó)務(wù)院有關(guān)部門(mén)依照本法和有關(guān)法律、行政法規(guī)的規(guī)定，在各自職責(zé)范圍內(nèi)負(fù)責(zé)個(gè)人信息保護(hù)和監(jiān)督管理工作。

3.縣級(jí)以上地方人民政府有關(guān)部門(mén)的個(gè)人信息保護(hù)和監(jiān)督管理職責(zé)，按照國(guó)家有關(guān)規(guī)定確定。

（六）法律責(zé)任

《個(gè)人信息保護(hù)法》根據(jù)個(gè)人信息處理的不同情況，對(duì)違法處理個(gè)人信息的行為設(shè)置了不同梯次的行政處罰。對(duì)未造成嚴(yán)重后果的輕微或一般違法行為，可由執(zhí)法部門(mén)責(zé)令改正、給予警告、沒(méi)收違法所得，對(duì)拒不改正的最高可處一百萬(wàn)元罰款；對(duì)情節(jié)嚴(yán)重的違法行為，最高可處五千萬(wàn)元或上一年度營(yíng)業(yè)額百分之五的罰款，并可以對(duì)相關(guān)責(zé)任人員作出相關(guān)從業(yè)禁止的處罰。同時(shí)，個(gè)人信息保護(hù)法還專(zhuān)門(mén)規(guī)定，對(duì)違法處理個(gè)人信息的應(yīng)用程序，可以責(zé)令暫?；蚪K止提供服務(wù)。在民事責(zé)任方面，個(gè)人信息保護(hù)法明確，處理個(gè)人信息侵害個(gè)人信息權(quán)益造成損害的，個(gè)人信息處理者如不能證明自己沒(méi)有過(guò)錯(cuò)的，應(yīng)當(dāng)承擔(dān)損害賠償?shù)惹謾?quán)責(zé)任。

整體來(lái)看，《個(gè)人信息保護(hù)法》構(gòu)建了完整的個(gè)人信息保護(hù)框架。其規(guī)定涵蓋了個(gè)人信息的范圍以及個(gè)人信息從收集、存儲(chǔ)到使用、加工、傳輸、提供、公開(kāi)、刪除等所有處理過(guò)程；明確賦予了個(gè)人對(duì)其信息控制的相關(guān)權(quán)利，并確認(rèn)與個(gè)人權(quán)利相對(duì)應(yīng)的個(gè)人信息處理者的義務(wù)及法律責(zé)任；對(duì)個(gè)人信息出境問(wèn)題、個(gè)人信息保護(hù)的部門(mén)職責(zé)、相關(guān)法律責(zé)任進(jìn)行了規(guī)定。

3、如何合理合法采集并使用個(gè)人信息

既然個(gè)人信息如此敏感又有價(jià)值，在法律層面上又對(duì)其使用提出了什么要求呢？《民法典》第一千零三十五條規(guī)定，處理個(gè)人信息的，應(yīng)當(dāng)遵循合法、正當(dāng)、必要原則，不得過(guò)度處理，并符合下列條件：

（一）征得該自然人或者其監(jiān)護(hù)人同意，但是法律、行政法規(guī)另有規(guī)定的除外；

（二）公開(kāi)處理信息的規(guī)則；

（三）明示處理信息的目的、方式和范圍；

（四）不違反法律、行政法規(guī)的規(guī)定和雙方的約定。

依照法律規(guī)定，采集個(gè)人信息必須征得自然人同意，不違背其意愿。強(qiáng)行采集，綁定采集，暗箱采集，非法抓取都是違法方式。個(gè)人信息中包含大量隱私，而隱私的公開(kāi)權(quán)歸屬個(gè)人所有，除非法律另有規(guī)定，任何不經(jīng)同意的采集行為都是對(duì)個(gè)人信息權(quán)和隱私權(quán)的侵害?，F(xiàn)代科技手段高度發(fā)達(dá)，采集手段多種多樣，所能記入大數(shù)據(jù)的信息類(lèi)型也在不斷豐富。網(wǎng)絡(luò)環(huán)境下人與人，人與企業(yè)之間的溝通空前密切，在使用網(wǎng)絡(luò)服務(wù)的時(shí)候產(chǎn)生的個(gè)人數(shù)據(jù)雖然不是第一手個(gè)人信息，但是也能符合法條對(duì)個(gè)人信息的定義，也應(yīng)納入保護(hù)。

而采集信息的規(guī)則必須公開(kāi)透明，因?yàn)橥ㄟ^(guò)對(duì)第一手信息的掌握，大數(shù)據(jù)演算技術(shù)可以推測(cè)出更多個(gè)人信息。如果僅限制采集這一環(huán)節(jié)，那么后續(xù)對(duì)信息的處理而產(chǎn)生的深層信息將成為“法外狂徒”。所以，采集到個(gè)人信息后，如何處理這些信息，如何利用這些信息，必須清晰可控，劃分好邊界，不得違反法律法規(guī)以及雙方約定的范圍。

近年來(lái)，我國(guó)加強(qiáng)有關(guān)個(gè)人信息的法律建設(shè)，從民法、刑法、行政法等多個(gè)方面高度重視，2012年通過(guò)《全國(guó)人民代表大會(huì)常務(wù)委員會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》，2013年修改的《消費(fèi)者權(quán)益保護(hù)法》、2016年通過(guò)的《網(wǎng)絡(luò)安全法》和2018年通過(guò)的《電子商務(wù)法》，初步建立了一套個(gè)人信息保護(hù)和網(wǎng)絡(luò)運(yùn)營(yíng)個(gè)人信息的規(guī)則體系。作為企業(yè)，既要在信息競(jìng)爭(zhēng)中不落下風(fēng)，也要遵守法律，還要做到真正的人性化，就必須健全企業(yè)內(nèi)部的用戶(hù)信息管理系統(tǒng)，做到安全、合規(guī)、高效的采集和使用用戶(hù)信息，提供個(gè)性化的優(yōu)質(zhì)服務(wù)。