《个人信息保护法》下的企业合规义务

1、个人信息保护法下的企业合规义务汇报人：XXX目录一个人信息的处理规则二个人信息出境限制三个人在信息处理中的权利四个人信息保护措施 个人信息保护法（个保法）于2021年8月21日颁布，并于2021年11月1日起正式生效。个人信息保护法与网络安全法和数据安全法成为构建我国数据主权、数据安全、网络安全和个人信息保护法律框架的三个重要支柱，并对我国数字经济发展、个人信息保护、企业数据合规实践等产生重大且深远影响。个保法的颁布也标志着我国个人信息保护进入新时代。引 言一个人信息的处理规则（一）什么是“个人信息”？什么是“个人信息处理”？ 个保法规定：“个人信息是以电子或者其他方式记录的与已识别或者可识别

2、的自然人有关的各种信息，不包括匿名化处理后的信息。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。”一、个人信息的处理规则 个保法对于“个人信息”和“个人信息的处理”的定义与网络安全法、民法典和个人信息安全规范（“规范”）中的定义类似，尽管略有区别，但总体上个保法对于个人信息依然采取了较为宽泛的定义方式，强调在识别性的基础上，与特定自然人有关的信息均可构成个人信息。一、个人信息的处理规则（二）如何处理个人信息？（从个人信息全生命周期角度讨论） 个保法对于个人信息的处理规则以专章形式进行介绍，包括一般规定、敏感信息的处理规则和国家机关处理个人信息的特别规定。本文仅讨

3、论其中与企业合规相关的内容。一、个人信息的处理规则1.处理的合法性基础个保法规定了个人信息处理活动的合法性基础，包括： 取得个人的同意； 为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需； 为履行法定职责或者法定义务所必需；一、个人信息的处理规则 为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需；为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息； 依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息； 法律、行政法规规定的其他情形。一、个人信息的处理规则 个人信

4、息处理者需至少满足以上合法性基础中的任意一项才可进行个人信息处理活动。除非另有特殊情形，上述第一项的“告知+同意”原则仍是企业处理个人信息的核心合法性基础。需要注意的是，根据上述规定，用人单位可以按照“依法制定的劳动规章制度和依法签订的集体合同”、为“实施人力资源管理”目的而处理劳动者的信息而无需其同意。一、个人信息的处理规则该条虽然承认了雇佣场景下用人单位处理劳动者个人信息的正当性，但也不宜将其绝对化。我们认为，如果用人单位超出日常人力资源管理的合理范围处理个人信息、或存在某些特殊处理行为时（例如处理劳动者的敏感个人信息、员工信息出境、向他人提供员工个人信息等），仍应审慎判断并设置告知-同意

5、机制，从而满足个保法下的要求。一、个人信息的处理规则2.个人信息处理者的告知义务(1)告知的内容与要求告知的内容：个保法规定了个人信息处理者处理个人信息和敏感个人信息前应当告知的内容，包括： 个人信息处理者的名称或者姓名和联系方式；一、个人信息的处理规则 个人信息处理目的、处理方式，处理的个人信息种类、保存期限； 个人行使本法规定权利的方式和程序； 处理敏感信息的必要性（如有）； 处理敏感信息对个人权益的影响（如有）； 处理不满十四周岁未成年人个人信息的专门的个人信息处理规则； 法律、行政法规规定应当告知的其他事项。一、个人信息的处理规则 根据个保法，“敏感个人信息”指的是“一旦泄露或者非法使

6、用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息”。一、个人信息的处理规则告知的要求：此外，根据个保法，个人信息处理者应当以显著方式、清晰易懂的语言真实、准确、完整地进行告知。如果告知事项发生变更的，应当将变更部分告知个人。如果通过制定个人信息处理规则的方式进行告知的，还应当公开处理规则，便于查阅和保存。一、个人信息的处理规则(2)无需告知的情形个保法规定，企业的告知义务在一定情形下可以予以免除或延迟，包括： “法律、行政法规规定应当保密或者不需要告知的情形”，此时

7、告知可以予以免除；或者 “紧急情况下为保护自然人的生命健康和财产安全无法及时向个人告知的”，此时告知可以延迟至紧急情况消除后再及时告知。一、个人信息的处理规则3.对个人信息处理行为的同意(1)同意的要求同意的内涵：个保法规定了同意的要求，即需以个人充分知情为前提，进而自愿、明确地作出。这也意味着，如果个人信息的处理目的、处理方式和处理的个人信息种类发生变更的，应当重新取得个人同意。一、个人信息的处理规则单独同意/书面同意：值得注意的是，个保法提出，法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的，应当从其规定。一、个人信息的处理规则个保法一共规定了5处需要个人单独同意的情形，包

8、括： 个人信息处理者向其他个人信息处理者提供其处理的个人信息； 个人信息处理者公开其处理的个人信息； 在公共场所安装图像采集、个人身份识别设备，将所收集的个人图像、身份识别信息用于维护公共安全以外的目的； 基于个人同意处理敏感个人信息； 个人信息处理者向境外提供个人信息。一、个人信息的处理规则 “单独同意”的外在表现形式仍有待进一步明确。如按语义理解，“单独”应与“共同”相对，因此“单独同意”应理解为该同意仅针对一个单独事项，而不能针对多个事项。此要求对企业可能影响较大，例如，App可能需要设置多个用户同意界面、或在同一用户同意界面设置多个勾选项，由用户逐一勾选同意。由于每一用户的选择不同，如

9、何管理多个乃至海量用户的同意范围、并据此精细化管理收集的用户个人信息，对企业也是较大的挑战。一、个人信息的处理规则 需要注意的是，根据个保法上下文理解，“单独同意”并不完全等于书面同意，书面同意只是实现单独同意的方式之一。我们倾向于认为，如个人信息处理者能够充分保证个人信息主体对上述特殊处理行为的知情权和选择权，在某些特定场景下，个人信息主体的主动行为也可推定为实现了“单独同意”。一、个人信息的处理规则(2)未成年人同意 个保法将不满十四周岁未成年人的个人信息也划定为敏感个人信息的一种，规定：个人信息处理者处理不满十四周岁未成年人个人信息的，应当取得未成年人的父母或者其他监护人的同意。且个人信

10、息处理者处理不满十四周岁未成年人个人信息的，应当制定专门的个人信息处理规则。一、个人信息的处理规则(3)同意的撤回 对于以“告知+同意”为合法性基础的个人信息处理活动而言，个保法规定，个人有权撤回同意且个人信息处理者应当提供便捷的撤回同意的方式。同时在个人撤回同意的情况下，个人信息处理者不得以个人撤回同意为由拒绝提供产品或服务；除非处理个人信息属于个人信息处理者提供产品或服务所必需。一、个人信息的处理规则4.保存（个人信息存储/销毁环节） 个保法对个人信息保存期限的规定与规范等规定中一致，即除法律、行政法规另有规定外，个人信息的保存期限应当为实现处理目的所必要的最短时间。一、个人信息的处理规则

11、 由于各类个人信息处理行为的目的不同，很难划定全社会统一的保存期限，个保法也未对个人信息的保存期限提出进一步要求。企业需根据行业监管部门的特殊规定（如有）和具体处理行为的目的，设定个人信息的保存期限。一、个人信息的处理规则5.第三方处理个人信息（共同处理、委托处理、转移、其他个人信息处理者提供） 对于个人信息处理活动中涉及由第三方处理个人信息的情况，个保法区分为4种情况：1.共同处理、2.委托处理、3.因合并、分立、解散、被宣告破产等转移个人信息，和4.向其他个人信息处理者提供。个人信息处理者及此类第三方的具体义务如下：一、个人信息的处理规则一、个人信息的处理规则个人信息处理者义务第三方义务共

12、同处理1. 约定各自的权利和义务；2. 每一方都应响应个人向其提出的行使本法规定的权利的要求；3. 如共同处理行为侵害个人信息权益造成损害，承担连带责任。一、个人信息的处理规则 个人信息处理者义务第三方义务委托处理1. 与第三方（受托人）约定委托处理的目的、期限、处理的方式、个人信息的种类、保护措施以及双方的权利义务等；2.对第三方（受托人）的个人信息处理活动进行监督。1按照约定处理个人信息，不得超出约定范围；2委托合同不生效、无效、被撤销或者终止后，向个人信息处理者（委托人）返还个人信息或删除个人信息，不得保留；3未经个人信息处理者同意，不得转委托；4采取必要措施保障所处理的个人信息的安全，

13、并协助个人信息处理者履行本法规定的义务。一、个人信息的处理规则 个人信息处理者义务第三方义务合并、分立、解散、被宣告破产等向个人告知第三方（接收方）的名称或姓名、联系方式。1. 接收方应继续履行个人信息处理者的义务；2. 接收方如变更原来的处理目的、处理方式，应按规定重新取得个人同意。一、个人信息的处理规则 个人信息处理者义务第三方义务向其他个人信息处理者提供1. 向个人告知第三方（接收方）的名称或姓名、联系方式、处理目的、处理方式和个人信息的种类2. 取得个人的单独同意。1. 在个人信息处理者告知个人的范围内处理个人信息；2. 如变更原先的处理目的、处理方式，按规定重新取得个人同意。6.公开

14、（公开披露）原则上不得公开：个保法规定，个人信息处理者不得公开其处理的个人信息，取得个人单独同意的除外。一、个人信息的处理规则公开的个人信息的使用：对于已经公开的个人信息，个保法规定，个人信息处理者可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息；个人明确拒绝的除外。个人信息处理者处理已公开的个人信息，对个人权益有重大影响的，应当依照本法规定取得个人同意。一、个人信息的处理规则 上述规定确认了个人信息处理者可在合理的情况下、无需个人同意而处理个人已公开的个人信息，但如果该处理行为对个人权益会产生重大影响，则“告知-同意”规则仍应适用。一、个人信息的处理规则7.特殊个人信息处理行

15、为个保法对两种个人信息处理行为进行特殊规定：自动化决策：自动化决策的透明性、禁止大数据杀熟：个人信息处理者应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇；一、个人信息的处理规则个人信息主体对自动化决策的知情权、选择权、拒绝权：通过自动化决策方式向个人进行信息推送、商业营销，应当同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式； 通过自动化决策方式作出对个人权益有重大影响的决定，个人有权要求个人信息处理者予以说明，并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定； 事前进行个人信息保护影响评估，并对处理情况进行记录。一、个人信息的处理

16、规则公共场所安装图像采集、个人身份识别设备： 应当为维护公共安全所必需，遵守国家有关规定，并设置显著的提示标识； 所收集的个人图像、身份识别信息只能用于维护公共安全的目的，不得用于其他目的，取得个人单独同意的除外。一、个人信息的处理规则二个人信息出境限制（一）个人信息出境的条件 个保法规定，个人信息处理者因业务等需要，确需向境外提供个人信息的，除法律、行政法规或者国家网信部门规定的其他条件外，应当具备下列条件之一：二、个人信息出境限制二、个人信息出境限制 同时，中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的，可以按照其规定执行。二、个人信息出境限制

17、（二）单独同意和个人信息保护影响评估 个保法规定跨境传输个人信息应当取得个人的单独同意，并应当向个人告知境外接收方的名称或姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项。此外，个保法还规定，个人信息处理者在向境外提供个人信息之前，应进行个人信息保护影响评估，并对处理情况进行记录。二、个人信息出境限制（三）境外司法/执法机构调取个人信息请求 对于境外司法或执法机构要求提供存储于境内的个人信息的请求，个保法规定：中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定，或者按照平等互惠原则，处理外国司法或者执法机构关于

18、提供存储于境内个人信息的请求。非经中华人民共和国主管机关批准，个人信息处理者不得向外国司法或者执法机构提供存储于中华人民共和国境内的个人信息。二、个人信息出境限制三个人在信息处理中的权利三、个人在信息处理中的权利个人的权利知情权决定权限制、拒绝权查阅、复制权转移请求权（“可携带权”）更正、补充权删除权要求解释说明权 为维护个人的以上权利，个保法还要求个人信息处理者应当建立便捷的个人行使权利的申请受理和处理机制。如拒绝个人行使权利的请求的，应当说明理由。三、个人在信息处理中的权利四个人信息保护措施（一）必要措施 个保法规定，为防止个人信息发生未经授权的访问以及个人信息泄露、篡改、丢失等情形，个人

19、信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等，采取下列措施确保个人信息处理活动符合法律、行政法规的规定：四、个人信息保护措施四、个人信息保护措施必要措施制定内部管理制度和操作规程对个人信息实行分类管理采取加密、去标识化等安全技术措施合理确定个人信息处理的操作权限，并定期对从业人员进行安全教育和培训制定并组织实施个人信息安全事件应急预案法律、行政法规规定的其他措施（二）个人信息保护负责人/部门 个保法规定，处理个人信息达到国家网信部门规定数量的个人信息处理者应当：-指定个人信息保护负责人，负责对个人信息处理活动以及采取的保护措施等进行监

20、督；四、个人信息保护措施-公开个人信息保护负责人的联系方式；-将个人信息保护负责人的姓名、联系方式报送履行个人信息保护职责的部门。 目前国家网信部门对上述“规定数量”尚未有明确规定，仍需等待相关细则、解释的出台。四、个人信息保护措施（三）审计 个保法规定，个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。同时，履行个人信息保护职责的部门在履行职责中，发现个人信息处理活动存在较大风险或者发生个人信息安全事件的，有权要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。四、个人信息保护措施（四）个人信息保护影响评估 个保法规定，个人信息处理者在信息处理活动中，有下列情形之一的，应在事前进行个人信息保护影响评估，并对处理情况进行记录，相关评估报告和处理情况记录应当至少保存三年：四、个人信息保护措施四、个人信息保护措施应进行个人信息影响评估的情形处理敏感个人信息利用个人信息进行自动化决策委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息向境外提供个人信息其他对个人权益有重大影响的个人信息处理活动四、个人信息保护措施个人信息影响评估应当包含的内容个人信息的处理目的、处理方式等是否合法、正当、必要对个人权益的影响及安全风险所采取的保护措施是否合法、有效并与风险程度相适应 值得注意的是，国家市场监督管理总局、国