《個人信息保護法》下的企業(yè)合規(guī)義務

1、個人信息保護法下的企業(yè)合規(guī)義務匯報人：XXX目錄一個人信息的處理規(guī)則二個人信息出境限制三個人在信息處理中的權利四個人信息保護措施 個人信息保護法（個保法）于2021年8月21日頒布，并于2021年11月1日起正式生效。個人信息保護法與網絡安全法和數(shù)據(jù)安全法成為構建我國數(shù)據(jù)主權、數(shù)據(jù)安全、網絡安全和個人信息保護法律框架的三個重要支柱，并對我國數(shù)字經濟發(fā)展、個人信息保護、企業(yè)數(shù)據(jù)合規(guī)實踐等產生重大且深遠影響。個保法的頒布也標志著我國個人信息保護進入新時代。引 言一個人信息的處理規(guī)則（一）什么是“個人信息”？什么是“個人信息處理”？ 個保法規(guī)定：“個人信息是以電子或者其他方式記錄的與已識別或者可識別

2、的自然人有關的各種信息，不包括匿名化處理后的信息。個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等?！币?、個人信息的處理規(guī)則 個保法對于“個人信息”和“個人信息的處理”的定義與網絡安全法、民法典和個人信息安全規(guī)范（“規(guī)范”）中的定義類似，盡管略有區(qū)別，但總體上個保法對于個人信息依然采取了較為寬泛的定義方式，強調在識別性的基礎上，與特定自然人有關的信息均可構成個人信息。一、個人信息的處理規(guī)則（二）如何處理個人信息？（從個人信息全生命周期角度討論） 個保法對于個人信息的處理規(guī)則以專章形式進行介紹，包括一般規(guī)定、敏感信息的處理規(guī)則和國家機關處理個人信息的特別規(guī)定。本文僅討

3、論其中與企業(yè)合規(guī)相關的內容。一、個人信息的處理規(guī)則1.處理的合法性基礎個保法規(guī)定了個人信息處理活動的合法性基礎，包括： 取得個人的同意； 為訂立、履行個人作為一方當事人的合同所必需，或者按照依法制定的勞動規(guī)章制度和依法簽訂的集體合同實施人力資源管理所必需； 為履行法定職責或者法定義務所必需；一、個人信息的處理規(guī)則 為應對突發(fā)公共衛(wèi)生事件，或者緊急情況下為保護自然人的生命健康和財產安全所必需；為公共利益實施新聞報道、輿論監(jiān)督等行為，在合理的范圍內處理個人信息； 依照本法規(guī)定在合理的范圍內處理個人自行公開或者其他已經合法公開的個人信息； 法律、行政法規(guī)規(guī)定的其他情形。一、個人信息的處理規(guī)則 個人信

4、息處理者需至少滿足以上合法性基礎中的任意一項才可進行個人信息處理活動。除非另有特殊情形，上述第一項的“告知+同意”原則仍是企業(yè)處理個人信息的核心合法性基礎。需要注意的是，根據(jù)上述規(guī)定，用人單位可以按照“依法制定的勞動規(guī)章制度和依法簽訂的集體合同”、為“實施人力資源管理”目的而處理勞動者的信息而無需其同意。一、個人信息的處理規(guī)則該條雖然承認了雇傭場景下用人單位處理勞動者個人信息的正當性，但也不宜將其絕對化。我們認為，如果用人單位超出日常人力資源管理的合理范圍處理個人信息、或存在某些特殊處理行為時（例如處理勞動者的敏感個人信息、員工信息出境、向他人提供員工個人信息等），仍應審慎判斷并設置告知-同意

5、機制，從而滿足個保法下的要求。一、個人信息的處理規(guī)則2.個人信息處理者的告知義務(1)告知的內容與要求告知的內容：個保法規(guī)定了個人信息處理者處理個人信息和敏感個人信息前應當告知的內容，包括： 個人信息處理者的名稱或者姓名和聯(lián)系方式；一、個人信息的處理規(guī)則 個人信息處理目的、處理方式，處理的個人信息種類、保存期限； 個人行使本法規(guī)定權利的方式和程序； 處理敏感信息的必要性（如有）； 處理敏感信息對個人權益的影響（如有）； 處理不滿十四周歲未成年人個人信息的專門的個人信息處理規(guī)則； 法律、行政法規(guī)規(guī)定應當告知的其他事項。一、個人信息的處理規(guī)則 根據(jù)個保法，“敏感個人信息”指的是“一旦泄露或者非法使

6、用，容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息”。一、個人信息的處理規(guī)則告知的要求：此外，根據(jù)個保法，個人信息處理者應當以顯著方式、清晰易懂的語言真實、準確、完整地進行告知。如果告知事項發(fā)生變更的，應當將變更部分告知個人。如果通過制定個人信息處理規(guī)則的方式進行告知的，還應當公開處理規(guī)則，便于查閱和保存。一、個人信息的處理規(guī)則(2)無需告知的情形個保法規(guī)定，企業(yè)的告知義務在一定情形下可以予以免除或延遲，包括： “法律、行政法規(guī)規(guī)定應當保密或者不需要告知的情形”，此時

7、告知可以予以免除；或者 “緊急情況下為保護自然人的生命健康和財產安全無法及時向個人告知的”，此時告知可以延遲至緊急情況消除后再及時告知。一、個人信息的處理規(guī)則3.對個人信息處理行為的同意(1)同意的要求同意的內涵：個保法規(guī)定了同意的要求，即需以個人充分知情為前提，進而自愿、明確地作出。這也意味著，如果個人信息的處理目的、處理方式和處理的個人信息種類發(fā)生變更的，應當重新取得個人同意。一、個人信息的處理規(guī)則單獨同意/書面同意：值得注意的是，個保法提出，法律、行政法規(guī)規(guī)定處理個人信息應當取得個人單獨同意或者書面同意的，應當從其規(guī)定。一、個人信息的處理規(guī)則個保法一共規(guī)定了5處需要個人單獨同意的情形，包

8、括： 個人信息處理者向其他個人信息處理者提供其處理的個人信息； 個人信息處理者公開其處理的個人信息； 在公共場所安裝圖像采集、個人身份識別設備，將所收集的個人圖像、身份識別信息用于維護公共安全以外的目的； 基于個人同意處理敏感個人信息； 個人信息處理者向境外提供個人信息。一、個人信息的處理規(guī)則 “單獨同意”的外在表現(xiàn)形式仍有待進一步明確。如按語義理解，“單獨”應與“共同”相對，因此“單獨同意”應理解為該同意僅針對一個單獨事項，而不能針對多個事項。此要求對企業(yè)可能影響較大，例如，App可能需要設置多個用戶同意界面、或在同一用戶同意界面設置多個勾選項，由用戶逐一勾選同意。由于每一用戶的選擇不同，如

9、何管理多個乃至海量用戶的同意范圍、并據(jù)此精細化管理收集的用戶個人信息，對企業(yè)也是較大的挑戰(zhàn)。一、個人信息的處理規(guī)則 需要注意的是，根據(jù)個保法上下文理解，“單獨同意”并不完全等于書面同意，書面同意只是實現(xiàn)單獨同意的方式之一。我們傾向于認為，如個人信息處理者能夠充分保證個人信息主體對上述特殊處理行為的知情權和選擇權，在某些特定場景下，個人信息主體的主動行為也可推定為實現(xiàn)了“單獨同意”。一、個人信息的處理規(guī)則(2)未成年人同意 個保法將不滿十四周歲未成年人的個人信息也劃定為敏感個人信息的一種，規(guī)定：個人信息處理者處理不滿十四周歲未成年人個人信息的，應當取得未成年人的父母或者其他監(jiān)護人的同意。且個人信

10、息處理者處理不滿十四周歲未成年人個人信息的，應當制定專門的個人信息處理規(guī)則。一、個人信息的處理規(guī)則(3)同意的撤回 對于以“告知+同意”為合法性基礎的個人信息處理活動而言，個保法規(guī)定，個人有權撤回同意且個人信息處理者應當提供便捷的撤回同意的方式。同時在個人撤回同意的情況下，個人信息處理者不得以個人撤回同意為由拒絕提供產品或服務；除非處理個人信息屬于個人信息處理者提供產品或服務所必需。一、個人信息的處理規(guī)則4.保存（個人信息存儲/銷毀環(huán)節(jié)） 個保法對個人信息保存期限的規(guī)定與規(guī)范等規(guī)定中一致，即除法律、行政法規(guī)另有規(guī)定外，個人信息的保存期限應當為實現(xiàn)處理目的所必要的最短時間。一、個人信息的處理規(guī)則

11、 由于各類個人信息處理行為的目的不同，很難劃定全社會統(tǒng)一的保存期限，個保法也未對個人信息的保存期限提出進一步要求。企業(yè)需根據(jù)行業(yè)監(jiān)管部門的特殊規(guī)定（如有）和具體處理行為的目的，設定個人信息的保存期限。一、個人信息的處理規(guī)則5.第三方處理個人信息（共同處理、委托處理、轉移、其他個人信息處理者提供） 對于個人信息處理活動中涉及由第三方處理個人信息的情況，個保法區(qū)分為4種情況：1.共同處理、2.委托處理、3.因合并、分立、解散、被宣告破產等轉移個人信息，和4.向其他個人信息處理者提供。個人信息處理者及此類第三方的具體義務如下：一、個人信息的處理規(guī)則一、個人信息的處理規(guī)則個人信息處理者義務第三方義務共

12、同處理1. 約定各自的權利和義務；2. 每一方都應響應個人向其提出的行使本法規(guī)定的權利的要求；3. 如共同處理行為侵害個人信息權益造成損害，承擔連帶責任。一、個人信息的處理規(guī)則 個人信息處理者義務第三方義務委托處理1. 與第三方（受托人）約定委托處理的目的、期限、處理的方式、個人信息的種類、保護措施以及雙方的權利義務等；2.對第三方（受托人）的個人信息處理活動進行監(jiān)督。1按照約定處理個人信息，不得超出約定范圍；2委托合同不生效、無效、被撤銷或者終止后，向個人信息處理者（委托人）返還個人信息或刪除個人信息，不得保留；3未經個人信息處理者同意，不得轉委托；4采取必要措施保障所處理的個人信息的安全，

13、并協(xié)助個人信息處理者履行本法規(guī)定的義務。一、個人信息的處理規(guī)則 個人信息處理者義務第三方義務合并、分立、解散、被宣告破產等向個人告知第三方（接收方）的名稱或姓名、聯(lián)系方式。1. 接收方應繼續(xù)履行個人信息處理者的義務；2. 接收方如變更原來的處理目的、處理方式，應按規(guī)定重新取得個人同意。一、個人信息的處理規(guī)則 個人信息處理者義務第三方義務向其他個人信息處理者提供1. 向個人告知第三方（接收方）的名稱或姓名、聯(lián)系方式、處理目的、處理方式和個人信息的種類2. 取得個人的單獨同意。1. 在個人信息處理者告知個人的范圍內處理個人信息；2. 如變更原先的處理目的、處理方式，按規(guī)定重新取得個人同意。6.公開

14、（公開披露）原則上不得公開：個保法規(guī)定，個人信息處理者不得公開其處理的個人信息，取得個人單獨同意的除外。一、個人信息的處理規(guī)則公開的個人信息的使用：對于已經公開的個人信息，個保法規(guī)定，個人信息處理者可以在合理的范圍內處理個人自行公開或者其他已經合法公開的個人信息；個人明確拒絕的除外。個人信息處理者處理已公開的個人信息，對個人權益有重大影響的，應當依照本法規(guī)定取得個人同意。一、個人信息的處理規(guī)則 上述規(guī)定確認了個人信息處理者可在合理的情況下、無需個人同意而處理個人已公開的個人信息，但如果該處理行為對個人權益會產生重大影響，則“告知-同意”規(guī)則仍應適用。一、個人信息的處理規(guī)則7.特殊個人信息處理行

15、為個保法對兩種個人信息處理行為進行特殊規(guī)定：自動化決策：自動化決策的透明性、禁止大數(shù)據(jù)殺熟：個人信息處理者應當保證決策的透明度和結果公平、公正，不得對個人在交易價格等交易條件上實行不合理的差別待遇；一、個人信息的處理規(guī)則個人信息主體對自動化決策的知情權、選擇權、拒絕權：通過自動化決策方式向個人進行信息推送、商業(yè)營銷，應當同時提供不針對其個人特征的選項，或者向個人提供便捷的拒絕方式； 通過自動化決策方式作出對個人權益有重大影響的決定，個人有權要求個人信息處理者予以說明，并有權拒絕個人信息處理者僅通過自動化決策的方式作出決定； 事前進行個人信息保護影響評估，并對處理情況進行記錄。一、個人信息的處理

16、規(guī)則公共場所安裝圖像采集、個人身份識別設備： 應當為維護公共安全所必需，遵守國家有關規(guī)定，并設置顯著的提示標識； 所收集的個人圖像、身份識別信息只能用于維護公共安全的目的，不得用于其他目的，取得個人單獨同意的除外。一、個人信息的處理規(guī)則二個人信息出境限制（一）個人信息出境的條件 個保法規(guī)定，個人信息處理者因業(yè)務等需要，確需向境外提供個人信息的，除法律、行政法規(guī)或者國家網信部門規(guī)定的其他條件外，應當具備下列條件之一：二、個人信息出境限制二、個人信息出境限制 同時，中華人民共和國締結或者參加的國際條約、協(xié)定對向中華人民共和國境外提供個人信息的條件等有規(guī)定的，可以按照其規(guī)定執(zhí)行。二、個人信息出境限制

17、（二）單獨同意和個人信息保護影響評估 個保法規(guī)定跨境傳輸個人信息應當取得個人的單獨同意，并應當向個人告知境外接收方的名稱或姓名、聯(lián)系方式、處理目的、處理方式、個人信息的種類以及個人向境外接收方行使本法規(guī)定權利的方式和程序等事項。此外，個保法還規(guī)定，個人信息處理者在向境外提供個人信息之前，應進行個人信息保護影響評估，并對處理情況進行記錄。二、個人信息出境限制（三）境外司法/執(zhí)法機構調取個人信息請求 對于境外司法或執(zhí)法機構要求提供存儲于境內的個人信息的請求，個保法規(guī)定：中華人民共和國主管機關根據(jù)有關法律和中華人民共和國締結或者參加的國際條約、協(xié)定，或者按照平等互惠原則，處理外國司法或者執(zhí)法機構關于

18、提供存儲于境內個人信息的請求。非經中華人民共和國主管機關批準，個人信息處理者不得向外國司法或者執(zhí)法機構提供存儲于中華人民共和國境內的個人信息。二、個人信息出境限制三個人在信息處理中的權利三、個人在信息處理中的權利個人的權利知情權決定權限制、拒絕權查閱、復制權轉移請求權（“可攜帶權”）更正、補充權刪除權要求解釋說明權 為維護個人的以上權利，個保法還要求個人信息處理者應當建立便捷的個人行使權利的申請受理和處理機制。如拒絕個人行使權利的請求的，應當說明理由。三、個人在信息處理中的權利四個人信息保護措施（一）必要措施 個保法規(guī)定，為防止個人信息發(fā)生未經授權的訪問以及個人信息泄露、篡改、丟失等情形，個人

19、信息處理者應當根據(jù)個人信息的處理目的、處理方式、個人信息的種類以及對個人權益的影響、可能存在的安全風險等，采取下列措施確保個人信息處理活動符合法律、行政法規(guī)的規(guī)定：四、個人信息保護措施四、個人信息保護措施必要措施制定內部管理制度和操作規(guī)程對個人信息實行分類管理采取加密、去標識化等安全技術措施合理確定個人信息處理的操作權限，并定期對從業(yè)人員進行安全教育和培訓制定并組織實施個人信息安全事件應急預案法律、行政法規(guī)規(guī)定的其他措施（二）個人信息保護負責人/部門 個保法規(guī)定，處理個人信息達到國家網信部門規(guī)定數(shù)量的個人信息處理者應當：-指定個人信息保護負責人，負責對個人信息處理活動以及采取的保護措施等進行監(jiān)

20、督；四、個人信息保護措施-公開個人信息保護負責人的聯(lián)系方式；-將個人信息保護負責人的姓名、聯(lián)系方式報送履行個人信息保護職責的部門。 目前國家網信部門對上述“規(guī)定數(shù)量”尚未有明確規(guī)定，仍需等待相關細則、解釋的出臺。四、個人信息保護措施（三）審計 個保法規(guī)定，個人信息處理者應當定期對其處理個人信息遵守法律、行政法規(guī)的情況進行合規(guī)審計。同時，履行個人信息保護職責的部門在履行職責中，發(fā)現(xiàn)個人信息處理活動存在較大風險或者發(fā)生個人信息安全事件的，有權要求個人信息處理者委托專業(yè)機構對其個人信息處理活動進行合規(guī)審計。四、個人信息保護措施（四）個人信息保護影響評估 個保法規(guī)定，個人信息處理者在信息處理活動中，有下列情形之一的，應在事前進行個人信息保護影響評估，并對處理情況進行記錄，相關評估報告和處理情況記錄應當至少保存三年：四、個人信息保護措施四、個人信息保護措施應進行個人信息影響評估的情形處理敏感個人信息利用個人信息進行自動化決策委托處理個人信息、向其他個人信息處理者提供個人信息、公開個人信息向境外提供個人信息其他對個人權益有重大影響的個人信息處理活動四、個人信息保護措施個人信息影響評估應當包含的內容個人信息的處理目的、處理方式等是否合法、正當、必要對個人權益的影響及安全風險所采取的保護措施是否合法、有效并與風險程度相適應 值得注意的是，國家市場監(jiān)督管理總局、國