【原】个人信息保护迎来新时代，聚焦《个人信息保护法》发布

  

2021年8月20日，中华人民共和国第十三届全国人大常委会第三十次会议表决通过了《中华人民共和国个人信息保护法》（以下简称“《个人信息保护法》”），《个人信息保护法》共八章七十四条，将于2021年11月1日起施行。

立法过程

2018年9月7日，《个人信息保护法》首次列入十三届全国人大常委会立法规划；同年，全国人大常委会法工委会同中央网信办开始着手研究起草《个人信息保护法》；

2020年10月21日，《中华人民共和国个人信息保护法（草案）》（以下简称“《一审稿》”）正式公开，向全社会公开征求意见；

2021年4月26日，第十三届全国人大常委会第二十八次会议对《中华人民共和国个人信息保护法（草案二次审议稿）》（以下简称“《二审稿》”）进行了审议；

2021年8月20日，第十三届全国人大常委会第三十次会议审议通过《个人信息保护法》，并将于2021年11月1日起施行。《个人信息保护法》共计八章七十四条。

《个人信息保护法》的适用范围

《个人信息保护法》保护的是自然人的个人信息权益，任何组织、个人不得侵害自然人的个人信息权益。根据《个人信息保护法》，在我国境内处理自然人个人信息的活动，适用《个人信息保护法》。

同时，如果是在我国境外处理我国境内自然人个人信息的活动，且该活动以向境内自然人提供产品或者服务为目的，或者分析、评估境内自然人行为的，同样适用《个人信息保护法》。

处理个人信息的原则

《个人信息保护法》第五条至第九条明确了在处理个人信息时应遵循合法、正当、必要和诚信原则、明确性和相关性原则、最小程度原则、公开透明原则、完整性和准确性原则和安全保障原则。

这几个原则从字面就很好理解，首先合法、正当、必要和诚信是处理个人信息的首要原则，也是处理个人信息合规的基础。同时，必要且最小依旧是处理个人信息时的必要原则。其次，在处理个人信息时，个人信息处理者应当向个人明示信息处理的目的、方式和范围，此条原则保障了个人信息主体的知情权和同意权，是“告知-同意”规则的前提。

个人信息处理者还需要对个人信息的安全负责，应避免由于个人信息不完整、不准确对个人权益造成的不良影响。

明确“告知-同意”规则，但有例外

个人同意，是个人信息处理者获得个人信息的合法前提，个人信息处理者在收集个人信息前需要明确告知并征得个人的同意。

对于“告知-同意”规则，需要由个人在充分知情的前提下自愿明确地表示同意，对于个人信息处理目的和方式发生变化的，需要重新取得个人同意。同时，个人也有权撤回其同意，个人信息处理者应提供便捷的撤回方式。

《个人信息保护法》第十三条规定了个人信息处理者可以处理个人信息的情形，除了取得个人同意的情形外，还规定了其中无需取得个人同意的例外情形。

这几种情形中，与企业最为密切相关的是“在合理范围内处理已公开的个人信息”和“为履行合同、实施人力资源管理所必需”。尽管前者在为企业利用个人信息的合理性上提供了一定的法律基础，但是鉴于“合理范围”难以确定，企业如果想利用该例外情形处理个人信息时还需要根据具体情况进行具体分析。

同样，对于后者，企业仍需要对于“必需”做准确的界定。例如，某些企业在首次面试员工时要求收集面试者完整的家庭信息，在大多数情况下，这显然不属于“必需”。因此，企业在收集和处理员工个人信息时，仍需要遵循合理且必要的原则，并保障员工个人信息的安全。

数据可携带权（Right to data portability）

与二审稿相比，《个人信息保护法》第四十五条增加了“数据可携带权”的规定。数据可携带权，即个人请求将个人信息转移至其指定的个人信息处理者，符合国家网信部门规定条件的，个人信息处理者应当提供转移的途径。

数据可携带权起源于欧盟的《通用数据保护条例》，在欧盟的《通用数据保护条例》中，其对数据可携带权做了较为详细的规定。

究其本质，数据可携带权实际上是数据主体对个人数据的控制力，任何公共利益和他人的合法利益不能因行使该权利而遭受损害，因此数据可携带权的行使是相对的。

这也就需要我们去进一步考虑数据可携带权的适用范围、权利的实现方式以及各种细则规定，根据目前的《个人信息保护法》，细则的相关内容由国家网信部门来制定。

禁止大数据杀熟

大数据杀熟是近期的一大热点话题，是一种人为制造不公平交易的现象。一般指平台根据已经购买过的“熟客”进行大数据分析，针对客户是否对价格敏感，从而采取不同的定价策略。

《个人信息保护法》第二十四条明确了禁止大数据杀熟，其规定个人信息处理者利用个人信息进行自动化决策，应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇。

个人信息出境需要通过保护认证和安全评估

对于个人信息出境这一行为，《个人信息保护法》针对个人信息处理者和关键信息基础设施运营者（CIIO）提出了不同的要求。首先，个人信息处理者因业务等需要，确需向中华人民共和国境外提供个人信息的需要按照国家网信部门的规定经专业机构进行个人信息保护认证和通过安全评估，此外还需要向个人告知境外接收方的详细信息和信息出境的处理目的及方式。

对于处理个人信息达到国家网信部门规定数量的个人信息处理者和关键信息基础设施运营者（CIIO），其应当通过国家网信部门组织的安全评估。

我们的观察

近年来，违法收集个人信息、违法使用个人信息以及大数据杀熟等事件时有发生，造成这些情形发生的原因主要是违法成本低廉且违法所得丰厚。《个人信息保护法》的出台将为个人信息保护带来一个新的时代，其将与《网络安全法》《数据安全法》《消费者权益保护法》《民法典》等法律法规一起为个人信息及数据提供法律保障。

同时，在《个人信息保护法》即将生效的这段时间内，各相关企业及信息处理者，应按照新规定来制定个人信息合规政策和策略。对此，我们将保持关注。