《个人信息保护法》重点问题解读

《中华人民共和国个人信息保护法》（以下简称“个保法”）于2021年8月20日由第十三届全国人民代表大会常务委员会第三十次会议通过，并于11月1日正式生效。

Q1：

什么是个人信息

《个保法》第四条规定：“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。”

应注意区分匿名化与去标识化，所谓“匿名化处理”，是通过技术将个人信息处理后，无法再通过该信息识别特定自然人且不能复原。而“去标识化”，是指通过对个人信息的技术处理，使其在不借助额外信息的情况下，无法识别或者关联个人信息主体的过程。匿名化后的信息不属于个人信息，去标识化后的信息仍属于个人信息。

Q2：

什么是敏感个人信息

《个保法》第二十八条定义的“敏感个人信息”是指一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。敏感个人信息的处理适用更为严格的处理规则。

Q3：

如何处理敏感个人信息

处理敏感个人信息需要取得个人的单独同意，除《个保法》第十七条第一款规定的事项外，还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响。

Q4：

个人信息处理的原则是什么

《个保法》中明确了个人信息的处理原则，包括合法、正当、必要、诚信、明确、直接相关、公开透明、完整准确、最小影响、安全保障等。要求个人信息处理者在处理个人信息时应该极其克制，处理个人信息应该确保实现处理目的的最小必要、对个人的最小影响、对信息的最小范围，同时应提供符合标准的信息保护技术。

Q5：

个人信息处理的核心规则是什么

“告知-同意”规则是《个保法》的核心规则，《个保法》要求个人信息处理者在处理个人信息时，除了法定的情形外，均应依法告知个人，取得个人的同意，并应确保个人的同意是在其充分知情之后做出的。

不同种类的信息在不同场景应如何告知、如何确保个人充分知情、如何取得个人的有效同意在实践中各有不同的要求。目前关于如何有效“告知-同意”的《信息安全技术 个人信息告知同意指南》国家标准的讨论稿已经发布，生效后将作为依法“告知-同意”的重要依据。

Q6：

如何做到有效告知

《个保法》第十七条规定：“个人信息处理者在处理个人信息前，应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项：（一）个人信息处理者的名称或者姓名和联系方式；（二）个人信息的处理目的、处理方式，处理的个人信息种类、保存期限；（三）个人行使本法规定权利的方式和程序；（四）法律、行政法规规定应当告知的其他事项。前款规定事项发生变更的，应当将变更部分告知个人。个人信息处理者通过制定个人信息处理规则的方式告知第一款 规定事项的，处理规则应当公开，并且便于查阅和保存”。

从告知方式上，应该显著，便于个人发现，告知用的语言应该通俗易懂，清晰准确，确保个人能够充分的理解，还应当根据环境与情景的不同进行调整，优化告知内容的展现形式；收集的个人信息涉及个人敏感信息或个人信息处理规则等告知内容发生重大变化的部分，需明确标识或突出显示；将对个人信息主体产生重要的或易于引起异议或争端的内容靠前推送，以便用户自行理解并支持其后续关于同意的判断；针对特殊群体，还应提供除文本外的图片、语音或视频等适合其理解的方式对告知内容进行阐述。

从告知内容上，应该至少包含《个保法》第十七条所载明的内容，且应该内容简洁、主次分明。处理目的和规则等发生变化时，应及时重新告知个人。

Q7：

如何做到有效同意

《个保法》并未规定如何同意才是有效的，但是有效的同意应该是个人在充分知情的情况下做出的真实意思表示。因此，有效同意的前提是个人信息处理者的充分告知和个人的充分知情，基于合规风险控制的目的，个人信息处理者应保存有关的记录，以备出现争议时作为有效证据。

根据《信息安全技术 个人信息告知同意指南》（送审稿），同意的形式包括“授权同意”和“明示同意”。“授权同意”是指个人信息主体对其个人信息进行特定处理作出明确授权的行为，包括通过积极的行为作出授权（即明示同意），或者通过消极的不作为而作出授权。例如信息采集区域内的个人信息主体在被告知信息收集行为后没有离开该区域；例如个人信息主体未自行拒绝使用产品或服务，且产品或服务可通过公开可访问的隐私政策等文件了解收集使用个人信息规则。“明示同意”是指个人信息主体通过书面、口头等方式主动作出纸质或电子形式的声明，或者自主作出肯定性动作，对其个人信息进行特定处理作出明确授权的行为。“肯定性动作”包括个人信息主体主动勾选、主动点击“同意”“注册”“发送”“拨打”、主动填写或提供等。

Q8：

哪些情形需要单独同意

《个保法》规定了应该取得个人单独同意的5种法定情形：处理敏感个人信息、向其他个人信息处理者提供个人信息、公开个人信息、将公共场所收集的个人身份识别信息用于非公安安全之目的、向境外提供个人信息，应当单独取得客户的同意。

Q9：

如何做到单独同意

《个保法》规定了应该取得个人单独同意的5种法定情形，这5种法定情形在实务中可能会变成无数种场景，需要个人信息处理者根据具体的场景征求个人的单独同意。但是，单独同意的标准目前并没有法律法规或国家标准的规定，一些行政规章的规定可以参考，比如2021年5月1日实施的《网络交易监督管理办法》第十三条的规定：“收集、使用个人生物特征、医疗健康、金融账户、个人行踪等敏感信息的，应当逐项取得消费者同意。”就目前的实践要求来看，构成《个保法》要求的单独同意至少应该做到明示、逐项、不捆绑、不概括。

Q10：

个人在信息处理活动中有什么权利

《个保法》第四章规定了个人在个人信息处理中的权利，个人对其个人信息的处理享有知情权、决定权，有权限制或者拒绝他人对其个人信息进行处理，包括知悉个人信息处理规则和处理事项、同意和撤回同意，以及个人信息的查询、复制、更正、删除、拒绝、携带、转移等。还规定了自然人死亡的，其近亲属为了自身的合法、正当利益，可以对死者的相关个人信息行使本章规定的查阅、复制、更正、删除等权利；同时《个保法》要求人信息处理者应当建立便捷的个人行使权利的申请受理和处理机制。拒绝个人行使权利的请求的，应当说明理由。个人信息处理者拒绝个人行使权利的请求的，个人可以依法向人民法院提起诉讼。

Q11：

个人信息处理者合规义务有哪些

《个保法》非常强化个人信息处理者的合规管理义务，要求个人信息处理者建立完善的个人信息保护有关的制度体系，对个人信息分类管理，处理个人信息前事前评估、事中审查、定期出具自查报告，应对人员进行个人信息保护有关的培训，落实岗位职责，安排专门的个人信息负责人和负责机构，配备符合个人信息保护要求的硬件设备和安保系统，确保个人信息的安全，同时还及时更新有关的规则和安保措施。

Q12：

处理个人信息如何做到分类处理

《个人金融信息保护技术规范》根据信息遭到未经授权的查看或未经授权的变更后所产生的影响和危害，将个人金融信息按敏感程度从高到低分为C3、C2、C1三个类别。银行金融机构应根据信息的不同级别制定不同的处理规则和处理权限，提供不同级别的安全技术和保密措施。

Q13：

如何委托第三方处理个人信息

根据《个保法》第二十一条：“个人信息处理者委托处理个人信息的，应当与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等，并对受托人的个人信息处理活动进行监督。受托人应当按照约定处理个人信息，不得超出约定的处理目的、处理方式等处理个人信息；委托合同不生效、无效、被撤销或者终止的，受托人应当将个人信息返还个人信息处理者或者予以删除，不得保留。

未经个人信息处理者同意，受托人不得转委托他人处理个人信息。

Q14：

违反《个保法》面临什么处罚

《个保法》对违法行为加大惩处力度，在行政处罚方面参考了欧盟《通用数据保护条例》（General Data Protection Regulation，简称GDPR）的处罚力度，并有所提高。违反《个保法》的个人信息处理者将面临不同级别的处罚，情节严重的，将面临责令改正，没收违法所得，并处五千万元以下或者上一年度营业额百分之五以下罚款，并可以责令暂停相关业务或者停业整顿、吊销相关业务许可或者营业执照。

《个保法》第六十九条明确了个人信息侵权案件的举证责任倒置和损失计算的规则，第七十条规定了个人信息侵权案件的公益诉讼制度，增加了个人信息侵权案件中个人信息处理者的诉讼风险。

Q15：

侵害个人信息会承担什么刑事责任

《中华人民共和国刑法》第253条之一 ：违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。

违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。

窃取或者以其他方法非法获取公民个人信息的，依照第一款的规定处罚。

单位犯前三款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。

具体的量刑标准可以参考《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》。

来源：青银e刊

原标题：《《个人信息保护法》重点问题解读》

本文来源“澎湃新闻·澎湃号·政务”客户端，本文为节选。