《個人信息保護法》重要規定及合規要點大全

《個人信息保護法》重要規定及合規要點大全

一、立法歷程和重要意義

2021年8月20日，經第十三屆全國人大常委會第三十次會議審議后，《中華人民共和國

個人信息保護法》（以下簡稱“《個保法》”）獲得通過并公布，并將于2021年11月1

日起生效實施。

《個保法》的立法歷經多個重要階段：

2018年9月7日，《個保法》首次列入十三屆全國人大常委會立法規劃；同年，全國人大

常委會法工委會同中央網信辦開始著手研究起草《個保法》；

2019年12月16日，經第十三屆全國人民代表大會常務委員會第四十四次委員長會議原則

通過，制定《個保法》被明確列入全國人大常委會2020年度立法工作計劃；

2020年10月21日，經第十三屆全國人大常委會第二十二次會議審議后，《個保法》（草

案）全文公布并第一次向社會征求意見；

2021年4月29日，《個保法》（草案二次審議稿）（以下簡稱“《二審稿》”）在經第

十三屆全國人大常委會第二十八次會議審議后再次面向社會公布并征求意見。

隨著全國人大常委會完成第三次審議，《個保法》正式出臺。這是中國第一部專門規范個人

信息保護的法律，對我國公民的個人信息權益保護以及各組織的數據隱私合規實踐都將產生

直接和深遠的影響。同時，《個保法》還將與《網絡安全法》、《數據安全法》一同構建和

完善我國在信息保護和網絡安全領域更加完備、全面和系統的法律保護體系，以形成規范有

序的政策環境、營造良好數字生態。

由于《數據安全法》將于今年9月1日生效，《個保法》將于今年11月1日生效，對于企

業而言，需要盡快充分地理解、評估這幾部基礎法律和相關法規對自身運營的適用，并盡快

全面地部署和安排自身的合規體系的搭建，落地、落實法律的要求。

二、重點內容概覽

《個保法》共計八章七十四條。總體上看，《個保法》基于當前個人信息保護領域的重點突

出問題以及我國數據保護監管的實踐經驗，對散見于《民法典》、《網絡安全法》、《信息

安全技術個人信息安全規范》等法律法規及標準中的個人信息保護相關規定進行全面的、系

統性的整合，進一步強調了個人信息保護的義務和責任，針對社會熱點問題加入了針對性的

規定，并加大對違法行為的懲處力度。《個保法》的重點內容總結如下：

1、適用范圍

《個保法》除了規定“在中華人民共和國境內處理自然人個人信息的活動，適用本法”外，

還規定了一定的域外適用效力。該法第三條第二款規定，在中國處理中國境內自然人個

人信息的活動，如果“以向境內自然人提供產品或者服務為目的”，或者屬于“分析、評估

境內自然人的行為”，也適用本法。對于該等的個人信息處理者，《個保法》第五十三

條進一步要求應當在中國境內設立專門機構或者指定代表，負責處理個人信息保護相關事

務，并將有關機構或者代表的信息報送履行個人信息保護職責的部門。

2、重要定義

《個保法》第四條規定，個人信息指“以電子或者其他方式記錄的與已識別或者可識別的自

然人有關的各種信息，不包括匿名化處理后的信息”。“個人信息的處理”包括個人信息的

收集、存儲、使用、加工、傳輸、提供、公開、刪除等。

《個保法》項下的法律義務大部分針對個人信息處理者。根據第七十三條規定，“個人信息

處理者”是指在個人信息處理活動中自主決定處理目的、處理方式的組織、個人。

《個保法》第六十二條還規定國家網信部門統籌協調有關部門針對“小型個人信息處理者”

制定專門的個人信息保護規則、標準。目前《個保法》未對“小型個人信息處理者”的定義

和范圍進行界定，這仍有待監管機關的后續規定做出解釋。

3、處理個人信息的原則

《個保法》第五條至第九條明確了處理個人信息的基本原則，該等原則是貫穿個人信息處理

活動的總體指引。這些原則包括：

3.1合法、正當、必要和誠信原則。個人信息處理者應當遵循合法、正當、必要和誠信原則，

不得以誤導、欺詐、脅迫等方式處理個人信息（第五條）。該原則作為《個保法》的首要原

則，是個人信息處理者實施處理活動的前提。

3.2明確性和相關性原則。處理個人信息應當具有明確、合理的目的，并應當與處理目的直

接相關（第六條）。該原則在第五條的基礎上，為處理目的設定了評價標準，并將處理活動

控制在“與直接處理目的相關”的范圍內。

3.3最小程度原則。《個保法》第六條從兩個層面對個人信息處理的程度進行了限制：一是

要求處理活動對個人權益產生的影響最小；二是不得過度收集個人信息，限于滿足處理目的

的最小范圍（第六條）。

3.4公開透明原則。處理個人信息應當遵循公開、透明原則。該條要求個人信息處理者應當

對外公開處理規則，并向個人明示處理的目的、方式和范圍（第七條）。公開透明原則保障

了個人信息主體的知情權和同意權，是個人信息處理者履行“告知同意義務”的前提。

3.5完整性和準確性原則。《個保法》第八條對處理個人信息的質量設定了評價標準，具體

可從個人信息的完整性和準確性兩方面切入。個人信息處理者應當避免因個人信息的不準

確、不完整而損害個人權益。

3.6安全保障原則。《個保法》第九條明確了處理者是個人信息處理活動的直接責任人，由

個人信息處理者承擔個人信息處理的法定義務和責任。個人信息處理者應當采取必要措施保

障個人信息的安全。

4、處理個人信息的基本規則

《個保法》第二章規定了個人信息處理的規則，其中的重點要求及簡要分析如下：

4.1處理個人信息的合法性基礎。符合下列情形之一的，個人信息處理者方可處理個人信息：

（1）取得個人的同意；（2）為訂立、履行個人作為一方當事人的合同所必需，或者按照依

法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理所必需；（3）為履行法定

職責或法定義務所必需；（4）為應對突發公共衛生事件或緊急狀況下保護自然人生命健康

或財產安全所必需；（5）為公共利益實施新聞報道、輿論監督等在合理范圍內處理個人信

息；（6）在合理的范圍內處理個人自行公開或者其他已經合法公開的個人信息；以及（7）

法律、行政法規規定的其他情形。（第十三條）

4.2處理個人信息的告知與同意要求。原則上，處理個人信息應當取得個人同意，但是如果

有上述第十三條項下第（2）項至第（7）項規定情形的，則不需取得同意。基于個人同意處

理個人信息的，該同意應當由個人在充分知情的前提下自愿、明確作出。法律、行政法規規

定應當取得個人單獨同意或者書面同意的，從其規定（第十四條）。個人信息處理者在處理

個人信息前，應以顯著的方式、清晰易懂的語言向個人告知特定事項，但根據法律、行政法

規規定應當保密或者不需要告知的情形除外。（第十七、十八條）

4.3個人信息的保存期限。除法律、行政法規另有規定外，個人信息的保存期限應當為實現

處理目的所必要的最短時間。（第十九條）

4.4共同處理。兩個以上的個人信息處理者共同決定個人信息的處理目的和處理方式的，應

當約定各自的權利和義務。個人信息處理者共同處理個人信息，侵害個人信息權益造成損害

的，應當依法承擔連帶責任。（第二十條）上述內容系首次在法律中明確規定了“個人信息

共同處理者”的情形以及對個人信息侵權行為依法承擔連帶責任問題。

4.5委托處理個人信息。個人信息處理者委托處理個人信息的，應當與受托人約定委托處理

的目的、期限、雙方的權利和義務等內容，并對受托人的個人信息處理活動進行監督。受托

人應當按照約定處理個人信息，并且未經同意不得轉委托。（第二十一條）。

4.6合并分立時的個人信息轉移。個人信息處理者因合并、分立、解散、被宣告破產等原因

需要轉移個人信息的，應當向個人告知接收方的名稱或者姓名和。接收方應繼續履

行個人信息處理者的義務，若變更原先的處理目的、處理方式的，應重新獲取個人同意。（第

二十二條）

4.7共享個人信息。個人信息處理者向其他個人信息處理者提供個人信息的，應當向個人告

知接收方的名稱或者姓名、、處理目的、處理方式和個人信息的種類，并取得個人

的單獨同意。接收方應當在上述范圍內處理個人信息。（第二十三條）

4.8公開個人信息。除非取得個人單獨同意，否則個人信息處理者不得公開其處理的個人信

息（第二十五條）。除非個人明確拒絕，否則個人信息處理者可以免于取得同意、在合理的

范圍內處理個人自行公開的個人信息；但如果該等處理對個人權益有重大影響的，則需要取

得個人同意。（第二十七條）

5、自動化決策

5.1禁止大數據殺熟。自動化決策應保證決策的透明度和結果公平、公正，不得對個人在交

易價格等交易條件上實行不合理的差別待遇。（第二十四條第一款）

5.2提供其他選項或拒絕方式。通過自動化決策方式進行信息推送、商業營銷，應當同時提

供不針對其個人特征的選項，或者向個人提供便捷的拒絕方式。（第二十四條第二款）

5.3個人享有的權利。自動化決策作出對個人權益有重大影響的決定的，個人有權要求予以

說明，并有權拒絕僅通過自動化決策的方式作出決定。（第二十四條第三款）

6、處理敏感個人信息的特殊規則

《個保法》對敏感個人信息的處理規則專門進行規定。其中，敏感個人信息是指一旦泄露或

者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息，

包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息，以及不滿十

四周歲未成年人的個人信息。（第二十八條）

處理敏感個人信息需要遵守的規則主要包括：

6.1需具有特定的目的和充分的必要性，并采取嚴格保護措施。（第二十八條）

6.2需要取得個人的單獨同意；法律、行政法規另有規定需取得書面同意的，或者規定處理

敏感個人信息應取得相關行政許可或者作出其他限制的，從其規定。（第二十九、三十二條）

6.3在告知內容方面，需特別向個人告知處理敏感個人信息的必要性以及對個人權益的影響。

（第三十條）