個人信息保護法解讀

1、單擊此處編輯母版標(biāo)題樣式單擊此處編輯母版副標(biāo)題樣式個人信息保護法解讀目 錄2一、立法背景和重要意義二、立法過程和特點三、主要立法思路五、法律實施需要注意的問題四、主要內(nèi)容目 錄3一、立法背景和重要意義二、立法過程和特點三、主要立法思路五、法律實施需要注意的問題四、主要內(nèi)容 2021年8月20日，十三屆全國人大常委會第三十次會議高票表決通過了個人信息保護法，將于2021年11月1日起施行。4“十四五”規(guī)劃和2035年遠景目標(biāo)綱要提出，加強涉及國家利益、商業(yè)秘密、個人隱私的數(shù)據(jù)保護，加快推進數(shù)據(jù)安全、個人信息保護等領(lǐng)域基礎(chǔ)性立法。制定個人信息保護法，就是要將黨中央關(guān)于以人民為中心的法治理念，建設(shè)網(wǎng)

2、絡(luò)強國、數(shù)字中國、智能社會的部署要求，上升為國家意志，落實為可執(zhí)行的法律規(guī)范。一、立法背景和重要意義 （一）貫徹落實黨中央決策部署的重要舉措習(xí)近平總書記多次強調(diào)，要堅持網(wǎng)絡(luò)安全為人民、網(wǎng)絡(luò)安全靠人民，保障個人信息安全，維護公民在網(wǎng)絡(luò)空間的合法權(quán)益。黨的十九大報告提出，推動互聯(lián)網(wǎng)、大數(shù)據(jù)、人工智能和實體經(jīng)濟深度融合。黨的十九屆四中全會決定明確將數(shù)據(jù)作為新的生產(chǎn)要素。5騷擾廣告、網(wǎng)絡(luò)詐騙、大數(shù)據(jù)殺熟個人信息保護成為老百姓最關(guān)心最直接最現(xiàn)實的利益問題之一。本屆以來，全國人大代表、全國政協(xié)委員共提出提出相關(guān)議案、建議、提案共93件。 制定個人信息保護法，就是要堅持以人民為中心，適應(yīng)信息化、數(shù)字化發(fā)展的

3、新形勢、新要求，以更加完備的法律制度保護公民的人格尊嚴和利益，實現(xiàn)人民群眾對美好生活的向往。（二）維護廣大人民群眾切身利益的必然要求6關(guān)于加強網(wǎng)絡(luò)信息保護的決定，網(wǎng)絡(luò)安全法、電子商務(wù)法、消費者權(quán)益保護法、廣告法、民法典、刑法。制定個人信息保護法，要進一步增強法律規(guī)范的系統(tǒng)性、權(quán)威性和針對性，在個人信息保護方面形成更加完備的制度、提供更加有力的法律保障。 （三）完善我國個人信息保護法律體系的客觀需要7 圍繞個人信息保護展開的國際競爭日益激烈，個人信息保護成為國際網(wǎng)絡(luò)社會治理的重要議題。美歐“安全港框架協(xié)議”“隱私盾框架協(xié)議”。 我國面臨激烈的競爭和斗爭形勢。制定個人信息保護法，有利于我國參與國際

4、交流合作、維護國家利益，推動建立公平合理的個人信息保護國際治理規(guī)則。（四）保障我國參與個人信息保護國際治理的有效途徑8目 錄一、立法背景和重要意義二、立法過程和特點三、主要立法思路五、法律實施需要注意的問題四、主要內(nèi)容9二、個人信息保護法的立法過程和特點（一）立法過程一是分別立法階段；二是提出立法規(guī)劃、著手起草；三是常委會審議和通過10列入2020年度立法工作計劃 2020年10月，一審2021年4月，二審2021年8月，第三次審議并通過。1. 分別立法階段2008年十一屆全國人大常委會立法規(guī)劃提出，對個人信息保護方面的法律制度進行研究論證，視情況作出相應(yīng)安排。全國人大常委會關(guān)于加強網(wǎng)絡(luò)信息保

5、護的決定、網(wǎng)絡(luò)安全法、電子商務(wù)法、民法典。2. 列入立法規(guī)劃和計劃，著手起草 2018年，制定個人信息保護法被列入十三屆全國人大常委會立法規(guī)劃的第一類立法項目，即“條件比較成熟、任期內(nèi)擬提請審議”的法律草案。 2018年，法工委成立工作專班，會同中央網(wǎng)信辦，著手研究起草。 3. 提請常委會審議并經(jīng)三審?fù)ㄟ^11一是，由委員長會議向常委會提出個人信息保護法草案，法工委具體負責(zé)組織起草工作。二是，統(tǒng)籌安排立法工作節(jié)奏，在確保質(zhì)量的前提下，加快立法工作步伐，從2020年10月初次審議到2021年8月表決通過，前后歷時未超過一年。三是，建立溝通機制，加強協(xié)調(diào)。制定立法規(guī)劃計劃、起草、審議過程中，與中央網(wǎng)

6、信辦、工信部、公安部、人民銀行等溝通聯(lián)系。（二）立法工作特點“三個堅持”堅持人大主導(dǎo)堅持開門立法堅持問題導(dǎo)向1. 堅持人大主導(dǎo)，積極推進立法進程12一是過程全面。在立法規(guī)劃和計劃制定、前期起草以及常委會審議等全過程、各環(huán)節(jié)均廣泛聽取意見。二是范圍廣泛。聽取中央和地方國家機關(guān)、全國人大代表、專家學(xué)者、企業(yè)、行業(yè)組織、社會公眾等意見建議。三是形式多樣。書面征求意見、委托研究、網(wǎng)上公開征求意見、實地調(diào)研、專題座談等多種方式。四是針對性強。在一些關(guān)鍵節(jié)點、對一些重點問題，反復(fù)聽取各方面意見。2. 堅持開門立法，深入踐行全過程民主13強調(diào)管用好用，切實解決實際問題。積極回應(yīng)過度收集、人臉識別技術(shù)的濫用、

7、“大數(shù)據(jù)殺熟”等社會普遍關(guān)注的問題。完善細化了個人信息處理原則，增加規(guī)定了對死者的個人信息保護，以及超大型平臺的義務(wù)等。草案三審稿進一步完善相關(guān)內(nèi)容，包括將不滿十四周歲未成年人的個人信息作為敏感個人信息、增加可攜帶權(quán)等。3.堅持問題導(dǎo)向，全面回應(yīng)人民群眾關(guān)切14目 錄一、立法背景和重要意義二、立法過程和特點三、主要立法思路五、法律實施需要注意的問題四、主要內(nèi)容15三、個人信息保護法的主要立法思路“四個把握”把握好立足國情與借鑒國際經(jīng)驗的關(guān)系把握好解決突出問題和保持適度前瞻性的關(guān)系把握好個人信息保護和利用的關(guān)系把握好個人信息保護法與其他法律的關(guān)系。16（一）把握好立足國情與借鑒國際經(jīng)驗的關(guān)系立足

8、我國國情和網(wǎng)絡(luò)治理經(jīng)驗，總結(jié)相關(guān)法律法規(guī)立法和實踐。合理借鑒國際經(jīng)驗。梳理研究多個國家和地區(qū)的個人信息保護制度，密切關(guān)注國外新動向、新趨勢。 （二）把握好解決突出問題和保持適度前瞻性的關(guān)系1. 圍繞人民群眾的重大關(guān)切，有針對性地確立了相關(guān)制度。2. 制度設(shè)計保持一定包容性、靈活性和前瞻性。例如，規(guī)定個人信息可攜帶權(quán)、對超大型平臺設(shè)定特殊義務(wù)等。對于一些爭論和分歧較大、可能產(chǎn)生較大不確定性影響的理論和制度，不作明確規(guī)定，留待繼續(xù)研究探索。例如，數(shù)據(jù)產(chǎn)權(quán)、被遺忘權(quán)。17（三）把握好個人信息保護和利用的關(guān)系1. 個人信息保護法首先是權(quán)益保護法，同時在保護的基礎(chǔ)上促進高質(zhì)量、可持續(xù)發(fā)展。第一條就明確，

9、本法是為了保護個人信息權(quán)益，同時也是為了促進個人信息合理利用。2. 個人信息處理的合法性基礎(chǔ)，除了“取得個人同意”之外，還包括其他情形，包括：為訂立或者履行合同所必需、按照依法制定的勞動規(guī)章制度和依法簽訂的集體合同實施人力資源管理所必需，為履行法定職責(zé)或法定義務(wù)所必需，在合理的范圍內(nèi)處理已公開的個人信息等。（第十三條）3. 在個人信息跨境流動問題上，除了規(guī)定安全評估之外，還規(guī)定了其他可以跨境流動的情形，包括經(jīng)專業(yè)機構(gòu)認證、按照標(biāo)準(zhǔn)合同對外提供等。（第三十八條）4. 對于小型個人信息處理者、處理敏感個人信息以及人臉識別、人工智能等新技術(shù)、新應(yīng)用，適用專門的個人信息保護規(guī)則、標(biāo)準(zhǔn)。（第六十二條）1

10、8（四）把握好個人信息保護法與其他法律的關(guān)系（1）在個人信息概念首次采用了概括式的方式。（2）個人信息境內(nèi)存儲的主體，比網(wǎng)絡(luò)安全法增加了兩類：處理個人信息達到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者，國家機關(guān)。1. 對既有法律規(guī)定的吸收、承繼，保持穩(wěn)定性和延續(xù)性（1）個人信息處理等概念，與民法典保持一致。（2）在保護原則和主要規(guī)則上做好銜接。（3）在安全監(jiān)管方面避免和網(wǎng)絡(luò)安全法、數(shù)據(jù)安全法相重復(fù)。2. 創(chuàng)新和發(fā)展19目 錄一、立法背景和重要意義二、立法過程和特點三、主要立法思路五、法律實施需要注意的問題四、主要內(nèi)容20四、個人信息保護法的主要內(nèi)容（一）個人信息保護法的屬性1. 從本法和憲法、民法典

11、的關(guān)系看兩種觀點有的認為，個人信息保護法屬于民法典的特別法；有的認為，個人信息保護法兼具公法和私法的屬性。21（1）（2）隱私保護的三個階段對于本法的定位，可以從以下兩個方面來理解：個人信息保護是隱私權(quán)保護等人格權(quán)法律制度的發(fā)展。農(nóng)業(yè)社會，法律上沒有確立隱私權(quán)等平等的人格權(quán)保護。工業(yè)社會，報紙的大量發(fā)行、新傳播媒介的產(chǎn)生，19世紀末至20世紀60年代，各國逐漸確立了隱私權(quán)。信息社會。20世紀70年代以來，信息技術(shù)給隱私權(quán)帶來前所未有的威脅和挑戰(zhàn)，且許多侵害后果是不可逆的。傳統(tǒng)隱私權(quán)制度通過侵權(quán)責(zé)任法進行事后救濟的模式，不能滿足信息時代的隱私保護需要。20世紀70年代起，各國逐漸開始制定專門的個

12、人信息保護法。（3）22第二，憲法和民法典是個人信息保護法的基礎(chǔ)。憲法規(guī)定，國家尊重和保障人權(quán)，公民的人格尊嚴不受侵犯，公民的通信自由和通信秘密受法律保護。個人信息保護法規(guī)定“依據(jù)憲法、制定本法” 。同時，個人信息保護法的許多制度是在現(xiàn)有法律基礎(chǔ)上的承繼和發(fā)展。 23（二）從個人信息保護的概念體系看在個人信息保護法之前，法律之間在個人信息保護相關(guān)概念上有較大差異。個人信息保護法對個人信息、個人信息處理等個人信息保護領(lǐng)域的基本概念作了明確，為個人信息保護法律體系的協(xié)調(diào)，提供了概念體系方面的保障。（1）個人信息須是能識別具體自然人，有的是直接識別，有的是與其他信息結(jié)合識別。（2）個人信息是與自然人

13、關(guān)聯(lián)的各種信息，不限于可以直接或者間接識別自然人的信息。（3）個人信息的可識別性是相對于個人信息處理者的。（4）匿名化處理后的個人信息，由于喪失了識別性和關(guān)聯(lián)性，因此不屬于個人信息 。1.個人信息2.“個人信息權(quán)利”：知情權(quán)、決定權(quán)3.個人信息權(quán)益：個人信息之上承載的廣泛權(quán)利24（二） 本法的域外適用（1）第三條第二款：在中華人民共和國境外處理中華人民共和國境內(nèi)自然人個人信息的活動，有下列情形之一的，也適用本法：（一）以向境內(nèi)自然人提供產(chǎn)品或者服務(wù)為目的；（二）分析、評估境內(nèi)自然人的行為；（三）法律、行政法規(guī)規(guī)定的其他情形。（2）第四十一條規(guī)定：按照國際條約、協(xié)定處理有關(guān)個人信息提供的國際刑事

14、司法、行政執(zhí)法協(xié)助；非經(jīng)中華人民共和國主管機關(guān)批準(zhǔn)，個人信息處理者不得向外國司法或者執(zhí)法機構(gòu)提供存儲于中華人民共和國境內(nèi)的個人信息。（3）第四十二條規(guī)定：境外的組織、個人從事侵害中華人民共和國公民的個人信息權(quán)益，或者危害中華人民共和國國家安全、公共利益的個人信息處理活動的，國家網(wǎng)信部門可以將其列入限制或者禁止個人信息提供清單，予以公告，并采取限制或者禁止向其提供個人信息等措施。（4）第四十三條規(guī)定：任何國家或者地區(qū)在個人信息保護方面對中華人民共和國采取歧視性的禁止、限制或者其他類似措施的，中華人民共和國可以根據(jù)實際情況對該國家或者地區(qū)對等采取措施。1. 域外適用，是信息時代加強個人信息保護的客

15、觀需要。網(wǎng)絡(luò)具有虛擬性、無國界性的特點，境外組織、個人在境內(nèi)無須商業(yè)存在，即可以輕易地處理我國境內(nèi)的個人信息，我國法律有必要對其進行規(guī)范。2. 域外適用，是加強我國涉外法治建設(shè)，應(yīng)對數(shù)字經(jīng)濟時代國際競爭和斗爭的必然要求。要堅持統(tǒng)籌推進國內(nèi)法治和涉外法治，個人信息保護法規(guī)定域外適用條款，是加強涉外法治建設(shè)，維護國家主權(quán)、安全、發(fā)展利益的需要。3. 合理確定域外適用范圍。25（三）個人信息保護的基本原則1. 合法、正當(dāng)、必要和誠信原則（第五條）合法是指不能違反法律法規(guī)處理個人信息，正當(dāng)是指目的和行為應(yīng)當(dāng)正當(dāng)，必要是指處理個人信息對信息主體開展業(yè)務(wù)、履行職責(zé)應(yīng)當(dāng)是有必要的。誠信原則。針對實踐中通過誤

16、導(dǎo)、欺詐等方式處理個人信息問題比較嚴重的現(xiàn)象，規(guī)定了誠信原則。2. 目的明確和最小化原則（第六條）處理個人信息應(yīng)當(dāng)具有明確、合理的目的，應(yīng)當(dāng)與處理目的直接相關(guān)，采取對個人權(quán)益影響最小的方式；收集限于實現(xiàn)處理目的的最小范圍，不得過度收集個人信息。3. 公開、透明原則（第七條）該原則：一是要求信息處理者公開個人信息處理規(guī)則，二是要明示處理的目的、方式和范圍。 4. 信息質(zhì)量原則（第八條）信息處理者應(yīng)當(dāng)保證個人信息的質(zhì)量，避免因個人信息不準(zhǔn)確、不完整對個人權(quán)益造成不利影響。典型的是征信信息。5. 責(zé)任原則和安全保障原則（第九條）信息處理者對其個人信息處理活動負責(zé)，采取安全保護措施。26（四）個人信息

17、處理的一般規(guī)則1. “告知-同意”規(guī)則個人信息保護法將“告知同意”作為核心規(guī)則，并作了詳細規(guī)定。主要包括以下內(nèi)容：（1）信息處理者的告知義務(wù)。個人信息處理者應(yīng)當(dāng)以顯著方式、清晰易懂的語言，真實、準(zhǔn)確、完整地向個人告知相關(guān)事項，確保個人充分知情。（2）同意的方式。個人的同意應(yīng)當(dāng)是自愿、明確作出的。個人信息處理的重要事項發(fā)生變更的，應(yīng)當(dāng)重新向個人告知并取得同意。（3）特殊情況下的單獨同意、書面同意。個人信息處理者在處理敏感個人信息、向他人提供或公開個人信息、跨境轉(zhuǎn)移個人信息等情況下，應(yīng)取得個人的單獨同意。法律、行政法規(guī)規(guī)定需要書面同意的應(yīng)當(dāng)書面同意。（4）不得強迫或者變相強迫同意。個人信息處理者不

18、得以個人不同意為由，拒絕提供產(chǎn)品或者服務(wù)。（5）撤回同意。賦予個人撤回同意的權(quán)利，在個人撤回同意后，個人信息處理者應(yīng)當(dāng)停止處理或及時刪除其個人信息。27282.個人信息處理的其他合法性基礎(chǔ)：必需與合理（第十三條）考慮到經(jīng)濟社會生活的復(fù)雜性，個人信息處理的場景多樣性，個人信息保護法規(guī)定了“同意”之外的其他合法性基礎(chǔ)。 （1）為促進交易：為訂立、履行個人作為一方當(dāng)事人的合同所必需； （2）考慮勞動關(guān)系的特殊性：按照依法制定的勞動規(guī)章制度和依法簽訂的集體合同實施人力資源管理所必需； （3）為維護國家安全、公共安全、懲治違法犯罪行為：為履行法定職責(zé)或者法定義務(wù)所必需； （4）為維護公共利益之一：為應(yīng)對

19、突發(fā)公共衛(wèi)生事件，或者緊急情況下為保護自然人的生命健康和財產(chǎn)安全所必需； （5）為維護公共利益之二：為公共利益實施新聞報道、輿論監(jiān)督等行為，在合理的范圍內(nèi)處理個人信息； （6）為促進信息利用，并平衡言論自由與個人信息保護：依照本法規(guī)定在合理的范圍內(nèi)處理個人自行公開或者其他已經(jīng)合法公開的個人信息； （7）法律、行政法規(guī)規(guī)定的其他情形。293.個人信息的轉(zhuǎn)移和公開：（第二十條、第二十一條、第二十二條、第二十三條、第二十五條） （1）共同處理：共同承擔(dān)責(zé)任；可向其中任何一人要求行使權(quán)利。 （2）委托處理：委托人對處理行為負責(zé)；受托人應(yīng)當(dāng)按照約定處理個人信息，委托終止的，受托人不得再保留個人信息。 （

20、3）因合并、分立、解散、被宣告破產(chǎn)等原因轉(zhuǎn)移：接收方承繼個人信息保護義務(wù)，成為新的個人信息處理者。 （4）提供：提供方不需繼續(xù)履行個人信息保護義務(wù)；接收信息的個人信息處理者不需要取得個人同意；接收方變更原先的處理目的、處理方式的，成為新的個人信息處理者。 （5）公開：原則上不得公開，取得個人單獨同意的除外。4. 自動化決策規(guī)則（第二十四條） （1）定義：第七十三條 （二）自動化決策，是指通過計算機程序自動分析、評估個人的行為習(xí)慣、興趣愛好或者經(jīng)濟、健康、信用狀況等，并進行決策的活動。 （2）總體原則：應(yīng)當(dāng)保證決策的透明度和結(jié)果公平、公正，不得在交易價格等交易條件上實行不合理的差別待遇。 （3）

21、信息推送、商業(yè)營銷：應(yīng)當(dāng)同時提供不針對其個人特征的選項，或者向個人提供便捷的拒絕方式。 （4）重大決策：征信、錄用、判決等，個人有權(quán)要求個人信息處理者予以說明，并有權(quán)拒絕個人信息處理者僅通過自動化決策的方式作出決定。305. 在公共場所安裝攝像頭等設(shè)備的規(guī)則（第二十六條）一些經(jīng)營場所安裝監(jiān)控設(shè)備是為了維護場所的秩序、預(yù)防違法犯罪等，不能將通過該途徑收集到的客戶個人信息用于商業(yè)營銷或者非法向社會公開。但是，如果信息處理者取得個人單獨同意，則可以用于其他合法用途。（1）應(yīng)當(dāng)為維護公共安全所必須。國家機關(guān)、公共場所的管理者、經(jīng)營者在公共場所安裝相關(guān)設(shè)備，是出于打擊犯罪、治安防范、社會管理等維護公共安

22、全目的。但是，也有的組織或者個人出于純粹私人利益甚至非法目的在公共場所安裝監(jiān)控設(shè)備，侵害了他人合法權(quán)益、社會公共利益，是應(yīng)當(dāng)禁止的。（2）應(yīng)當(dāng)遵守國家規(guī)定，并設(shè)置顯著的提示標(biāo)識。目前，對于公共場所安裝監(jiān)控設(shè)備，主要是兩種類型的規(guī)定：一是規(guī)定有的場所必須安裝。反恐怖主義法第二十七條地方各級人民政府應(yīng)當(dāng)根據(jù)需要，組織、督促有關(guān)建設(shè)單位在主要道路、交通樞紐、城市公共區(qū)域的重點部位，配備、安裝公共安全視頻圖像信息系統(tǒng)等防范恐怖襲擊的技防、物防設(shè)備、設(shè)施。2015年中小學(xué)幼兒園安全防范工作規(guī)范(試行)規(guī)定，學(xué)校大門外一定區(qū)域內(nèi)。海關(guān)總署2021年海關(guān)監(jiān)管作業(yè)場所(場地)監(jiān)控攝像頭設(shè)置規(guī)范：旅客通關(guān)作業(yè)場

23、地、免稅品商店、陸路口岸邊境通道、鐵路口岸月臺等公共場所。娛樂場所管理條例規(guī)定：歌舞娛樂場所出入口、主要通道。二是規(guī)定有的場所不得安裝。公共浴室、公共衛(wèi)生間等，應(yīng)禁止安裝監(jiān)控設(shè)備。 在沒有法律明確規(guī)定的情況下，應(yīng)當(dāng)結(jié)合具體情況來確定是否有必要。（3）收集的個人信息，不得用于維護公共安全之外的其它目的。316. 關(guān)于處理公開個人信息例如向已公開的電子郵箱發(fā)送大量信息，導(dǎo)致過度打擾私人生活安寧；通過對已公開的分散的個人信息進行大數(shù)據(jù)分析，得出信息主體高度敏感的活動信息并對外發(fā)布等。第二十七條 個人信息處理者可以在合理的范圍內(nèi)處理個人自行公開或者其他已合法公開的個人信息；個人明確拒絕的除外。個人信息

24、處理者處理已公開的個人信息，對個人有重大影響的，應(yīng)當(dāng)依照本法規(guī)定取得個人同意。 （1）“個人自行公開”和“其他已合法公開”的個人信息?！皞€人自行公開”常見的是將自己的日常生活的照片、視頻等通過社交媒體等向社會公開，也有的將自己的電話、郵箱等通訊方式在網(wǎng)絡(luò)或者媒體上向社會公開?！捌渌押戏ü_”的個人信息，例如，國家機關(guān)履行信息公開等義務(wù)，媒體進行新聞報道。 （2）關(guān)于“在合理范圍內(nèi)處理” 一是對相關(guān)公開的個人信息，通常無需征得信息主體同意即可以進行處理。 二是處理行為應(yīng)當(dāng)在合理范圍內(nèi)?！昂侠矸秶睉?yīng)當(dāng)是符合正常社會觀念的處理，例如正常的新聞報道、輿論監(jiān)督對公開個人信息的傳播，征信機構(gòu)依法利用公

25、開個人信息制作信用報告等。對公開的個人信息的處理，不能違反法律規(guī)定、違反公序良俗以及對個人合法權(quán)益造成不合理的侵害，例如，不得將已公開的個人信息用于非法目的。三是如果個人明確表示拒絕，信息處理者不能處理該人的公開個人信息。2020年“校友錄”頭像案。（3）對個人有重大影響的，應(yīng)依本法規(guī)定取得個人同意。32（五）個人信息處理的特殊規(guī)則1. 敏感個人信息的處理規(guī)則敏感個人信息一旦泄露或者被非法使用，極易導(dǎo)致自然人的人格尊嚴受到侵害或者人身、財產(chǎn)安全受到危害。包括：生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息。 敏感個人信息的特殊處理規(guī)則：（1

26、）處理敏感個人信息，必須具有特定的目的和充分的必要性；（2）應(yīng)當(dāng)事前進行個人信息保護影響評估；（3）應(yīng)當(dāng)取得個人的單獨同意或者書面同意；（4）向個人告知處理敏感個人信息的必要性以及對個人權(quán)益的影響；（5）個人信息處理者處理不滿十四周歲未成年人個人信息的，應(yīng)當(dāng)取得未成年人的父母或者其他監(jiān)護人的同意，應(yīng)當(dāng)制定專門的個人信息處理規(guī)則。33“敏感個人信息”與“私密信息”（1）聯(lián)系二者在范圍上有交叉。例如私密信息通常也包括自然人的醫(yī)療健康、生物識別、行蹤軌跡等信息。（2）區(qū)別一是，界定的角度不同。私密信息是隱私權(quán)的客體，主要是從自然人是否愿意為他人所知曉的角度界定的。敏感個人信息是從個人信息被非法利用后

27、，可能產(chǎn)生的危害后果的角度來界定的。二是，范圍不完全相同。私密信息不一定屬于敏感個人信息，敏感個人信息也不一定屬于私密信息。例如，不滿十四周歲未成年人的個人信息，雖然可以分為私密信息和非私密信息，但都屬于敏感個人信息。342. 國家機關(guān)處理個人信息的規(guī)則（1）國家機關(guān)需要處理大量個人信息，負有保護個人信息的義務(wù)和重大責(zé)任。（2）在適用基本原則和具體規(guī)則等方面，國家機關(guān)與非國家機關(guān)共同適用。 我國綜合性立法模式，原因：（1）有的是相對寬松：例如無需告知：妨礙國家機關(guān)履行法定職責(zé)。（2）有的是更為嚴格：例如為履行法定職責(zé)所必需；應(yīng)當(dāng)在境內(nèi)存儲。國家機關(guān)的特殊規(guī)定綜合性立法模式，歐盟分別立法模式，美

28、國立法模式35（六）個人信息跨境提供的規(guī)則1. 明確向境外提供個人信息的途徑，包括通過國家網(wǎng)信部門組織的安全評估、經(jīng)專業(yè)機構(gòu)認證、訂立標(biāo)準(zhǔn)合同、按照我國締結(jié)或參加的國際條約和協(xié)定等。2. 要求個人信息處理者采取必要措施，保障境外接收方達到本法規(guī)定的保護標(biāo)準(zhǔn)。3. 對跨境提供個人信息的“告知同意”作出更嚴格的要求。4. 對跨境提供個人信息的安全評估、向境外司法或執(zhí)法機構(gòu)提供個人信息、限制跨境提供個人信息的措施、對外國歧視性措施的反制等作了規(guī)定。36（七）個人的權(quán)利1. 知情權(quán)、決定權(quán)：告知，要求解釋；同意，撤回同意，拒絕處理。2. 查閱權(quán)、復(fù)制權(quán)：公開透明原則的體現(xiàn)。3. 可攜帶權(quán)。歐盟通用數(shù)據(jù)

29、保護條例創(chuàng)設(shè)了個人信息可攜帶權(quán)制度。新加坡、印度和澳大利亞等國立法也作了規(guī)定。第四十五條第三款：“個人請求將個人信息轉(zhuǎn)移至其指定的個人信息處理者，符合國家網(wǎng)信部門規(guī)定條件的，個人信息處理者應(yīng)當(dāng)提供轉(zhuǎn)移的途徑?！本唧w有待網(wǎng)信部門進一步細化規(guī)定，并需要平臺等進行積極探索。4. 更正權(quán)。信息質(zhì)量原則的體現(xiàn)，主要是為了避免錯誤信息或者不完整的信息對個人產(chǎn)生不利影響。第四十六條。5. 刪除權(quán)。最小必要原則的體現(xiàn)，主要是為了避免個人信息處理者對個人信息進行不必要的保存、利用等行為。第四十七條規(guī)定，在一些情形下，個人信息處理者應(yīng)當(dāng)主動刪除個人信息；個人信息處理者未刪除的，個人有權(quán)請求刪除。這些情況包括：（1

30、）處理目的已實現(xiàn)、無法實現(xiàn)或者為實現(xiàn)處理目的不再必要；（2）個人信息處理者停止提供產(chǎn)品或者服務(wù)，或者保存期限已屆滿；（3）個人撤回同意；（4）個人信息處理者違反法律、行政法規(guī)或者違反約定處理個人信息等。（5）法律、行政法規(guī)規(guī)定的其他情形。6.死者個人信息的保護：在尊重死者生前安排的前提下，其近親屬為自身合法、正當(dāng)利益，可以對死者個人信息行使查閱、復(fù)制、更正、刪除等權(quán)利。37（八）個人信息處理者的義務(wù)大型網(wǎng)絡(luò)平臺的特別義務(wù)：（1）按照國家規(guī)定建立健全個人信息保護合規(guī)制度體系，成立主要由外部成員組成的獨立機構(gòu)，對其個人信息保護情況進行監(jiān)督；（2）遵循公開、公平、公正的原則，制定個人信息保護的平臺規(guī)

31、則；（3）對嚴重違法處理個人信息的平臺內(nèi)產(chǎn)品或者服務(wù)提供者，停止提供服務(wù)；（4）定期發(fā)布個人信息保護社會責(zé)任報告，接受社會監(jiān)督。個人信息保護法設(shè)專章明確了個人信息處理者的合規(guī)管理和保障個人信息安全等義務(wù)。主要包括：（1）采取保護措施：包括完善管理制度、采取技術(shù)措施、加強人員培訓(xùn)、制定應(yīng)急預(yù)案等。（2）設(shè)置個人信息保護負責(zé)人：適用于處理個人信息達到一定數(shù)量的個人信息處理者。（3）境外個人信息處理者，應(yīng)當(dāng)設(shè)立專門機構(gòu)或者指定代表。（4）個人信息保護影響評估。該制度適用于特定情形，包括：處理敏感個人信息、自動化決策、委托處理或者提供、公開個人信息，向境外提供個人信息等對個人權(quán)益有重大影響的處理活動。

32、（5）合規(guī)審計：應(yīng)當(dāng)定期對其處理個人信息遵守法律、行政法規(guī)的情況進行合規(guī)審計。（5）泄露通知和補救：立即采取補救措施，并將情況通知有關(guān)部門和個人。38（九）個人信息保護工作機制個人信息保護法沒有規(guī)定專門的個人信息保護部門或者機構(gòu)，但完善了個人信息保護工作機制，特別是明確了國家網(wǎng)信部門的職責(zé)。1.履行個人信息保護職責(zé)的部門：涵蓋國家網(wǎng)信部門、國務(wù)院有關(guān)部門、地方政府有關(guān)部門等所有承擔(dān)個人信息保護職責(zé)的部門。2. 個人信息保護監(jiān)管職責(zé)包括：開展宣傳教育，指導(dǎo)、監(jiān)督個人信息處理者開展個人信息保護工作，接受、處理有關(guān)投訴和舉報；組織個人信息保護測評；調(diào)查、處理違法個人信息處理活動等。 3. 國家網(wǎng)信部

33、門的統(tǒng)籌協(xié)調(diào)職責(zé)：制定個人信息保護具體規(guī)則、標(biāo)準(zhǔn)；針對小型個人信息處理者、處理敏感個人信息以及人臉識別、人工智能等新技術(shù)、新應(yīng)用，制定專門的個人信息保護規(guī)則、標(biāo)準(zhǔn)；支持研究開發(fā)和推廣應(yīng)用安全、方便的電子身份認證技術(shù)，推進網(wǎng)絡(luò)身份認證公共服務(wù)建設(shè)；推進個人信息保護社會化服務(wù)體系建設(shè)，支持有關(guān)機構(gòu)開展個人信息保護評估、認證服務(wù)；完善個人信息保護投訴、舉報工作機制。39（十）法律責(zé)任對一般違法行為：責(zé)令改正，給予警告，沒收違法所得，責(zé)令暫停或者終止提供服務(wù)；對拒不改正的：罰款：100萬以下、1萬至10萬；對情節(jié)嚴重的，由省級以上履行個人信息保護職責(zé)的部門進行處罰，措施包括：（1）最高可處五千萬元或上一年度營業(yè)額百分之五的罰款，并可以責(zé)令暫停相關(guān)業(yè)務(wù)或者停業(yè)整頓、通報有關(guān)主管部門吊銷相關(guān)業(yè)務(wù)許可或者吊銷營業(yè)執(zhí)照。（2）對直接負責(zé)的主管人員和其他直接責(zé)任人員處以罰款10萬至100萬，并可以決定禁止其在一定期限內(nèi)擔(dān)任相關(guān)企業(yè)的董事、監(jiān)事、高