《个人信息保护法》重要规定及合规要点大全

《个人信息保护法》重要规定及合规要点大全

一、立法历程和重要意义

2021年8月20日，经第十三届全国人大常委会第三十次会议审议后，《中华人民共和国

个人信息保护法》（以下简称“《个保法》”）获得通过并公布，并将于2021年11月1

日起生效实施。

《个保法》的立法历经多个重要阶段：

2018年9月7日，《个保法》首次列入十三届全国人大常委会立法规划；同年，全国人大

常委会法工委会同中央网信办开始着手研究起草《个保法》；

2019年12月16日，经第十三届全国人民代表大会常务委员会第四十四次委员长会议原则

通过，制定《个保法》被明确列入全国人大常委会2020年度立法工作计划；

2020年10月21日，经第十三届全国人大常委会第二十二次会议审议后，《个保法》（草

案）全文公布并第一次向社会征求意见；

2021年4月29日，《个保法》（草案二次审议稿）（以下简称“《二审稿》”）在经第

十三届全国人大常委会第二十八次会议审议后再次面向社会公布并征求意见。

随着全国人大常委会完成第三次审议，《个保法》正式出台。这是中国第一部专门规范个人

信息保护的法律，对我国公民的个人信息权益保护以及各组织的数据隐私合规实践都将产生

直接和深远的影响。同时，《个保法》还将与《网络安全法》、《数据安全法》一同构建和

完善我国在信息保护和网络安全领域更加完备、全面和系统的法律保护体系，以形成规范有

序的政策环境、营造良好数字生态。

由于《数据安全法》将于今年9月1日生效，《个保法》将于今年11月1日生效，对于企

业而言，需要尽快充分地理解、评估这几部基础法律和相关法规对自身运营的适用，并尽快

全面地部署和安排自身的合规体系的搭建，落地、落实法律的要求。

二、重点内容概览

《个保法》共计八章七十四条。总体上看，《个保法》基于当前个人信息保护领域的重点突

出问题以及我国数据保护监管的实践经验，对散见于《民法典》、《网络安全法》、《信息

安全技术个人信息安全规范》等法律法规及标准中的个人信息保护相关规定进行全面的、系

统性的整合，进一步强调了个人信息保护的义务和责任，针对社会热点问题加入了针对性的

规定，并加大对违法行为的惩处力度。《个保法》的重点内容总结如下：

1、适用范围

《个保法》除了规定“在中华人民共和国境内处理自然人个人信息的活动，适用本法”外，

还规定了一定的域外适用效力。该法第三条第二款规定，在中国处理中国境内自然人个

人信息的活动，如果“以向境内自然人提供产品或者服务为目的”，或者属于“分析、评估

境内自然人的行为”，也适用本法。对于该等的个人信息处理者，《个保法》第五十三

条进一步要求应当在中国境内设立专门机构或者指定代表，负责处理个人信息保护相关事

务，并将有关机构或者代表的信息报送履行个人信息保护职责的部门。

2、重要定义

《个保法》第四条规定，个人信息指“以电子或者其他方式记录的与已识别或者可识别的自

然人有关的各种信息，不包括匿名化处理后的信息”。“个人信息的处理”包括个人信息的

收集、存储、使用、加工、传输、提供、公开、删除等。

《个保法》项下的法律义务大部分针对个人信息处理者。根据第七十三条规定，“个人信息

处理者”是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。

《个保法》第六十二条还规定国家网信部门统筹协调有关部门针对“小型个人信息处理者”

制定专门的个人信息保护规则、标准。目前《个保法》未对“小型个人信息处理者”的定义

和范围进行界定，这仍有待监管机关的后续规定做出解释。

3、处理个人信息的原则

《个保法》第五条至第九条明确了处理个人信息的基本原则，该等原则是贯穿个人信息处理

活动的总体指引。这些原则包括：

3.1合法、正当、必要和诚信原则。个人信息处理者应当遵循合法、正当、必要和诚信原则，

不得以误导、欺诈、胁迫等方式处理个人信息（第五条）。该原则作为《个保法》的首要原

则，是个人信息处理者实施处理活动的前提。

3.2明确性和相关性原则。处理个人信息应当具有明确、合理的目的，并应当与处理目的直

接相关（第六条）。该原则在第五条的基础上，为处理目的设定了评价标准，并将处理活动

控制在“与直接处理目的相关”的范围内。

3.3最小程度原则。《个保法》第六条从两个层面对个人信息处理的程度进行了限制：一是

要求处理活动对个人权益产生的影响最小；二是不得过度收集个人信息，限于满足处理目的

的最小范围（第六条）。

3.4公开透明原则。处理个人信息应当遵循公开、透明原则。该条要求个人信息处理者应当

对外公开处理规则，并向个人明示处理的目的、方式和范围（第七条）。公开透明原则保障

了个人信息主体的知情权和同意权，是个人信息处理者履行“告知同意义务”的前提。

3.5完整性和准确性原则。《个保法》第八条对处理个人信息的质量设定了评价标准，具体

可从个人信息的完整性和准确性两方面切入。个人信息处理者应当避免因个人信息的不准

确、不完整而损害个人权益。

3.6安全保障原则。《个保法》第九条明确了处理者是个人信息处理活动的直接责任人，由

个人信息处理者承担个人信息处理的法定义务和责任。个人信息处理者应当采取必要措施保

障个人信息的安全。

4、处理个人信息的基本规则

《个保法》第二章规定了个人信息处理的规则，其中的重点要求及简要分析如下：

4.1处理个人信息的合法性基础。符合下列情形之一的，个人信息处理者方可处理个人信息：

（1）取得个人的同意；（2）为订立、履行个人作为一方当事人的合同所必需，或者按照依

法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需；（3）为履行法定

职责或法定义务所必需；（4）为应对突发公共卫生事件或紧急状况下保护自然人生命健康

或财产安全所必需；（5）为公共利益实施新闻报道、舆论监督等在合理范围内处理个人信

息；（6）在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息；以及（7）

法律、行政法规规定的其他情形。（第十三条）

4.2处理个人信息的告知与同意要求。原则上，处理个人信息应当取得个人同意，但是如果

有上述第十三条项下第（2）项至第（7）项规定情形的，则不需取得同意。基于个人同意处

理个人信息的，该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规

定应当取得个人单独同意或者书面同意的，从其规定（第十四条）。个人信息处理者在处理

个人信息前，应以显著的方式、清晰易懂的语言向个人告知特定事项，但根据法律、行政法

规规定应当保密或者不需要告知的情形除外。（第十七、十八条）

4.3个人信息的保存期限。除法律、行政法规另有规定外，个人信息的保存期限应当为实现

处理目的所必要的最短时间。（第十九条）

4.4共同处理。两个以上的个人信息处理者共同决定个人信息的处理目的和处理方式的，应

当约定各自的权利和义务。个人信息处理者共同处理个人信息，侵害个人信息权益造成损害

的，应当依法承担连带责任。（第二十条）上述内容系首次在法律中明确规定了“个人信息

共同处理者”的情形以及对个人信息侵权行为依法承担连带责任问题。

4.5委托处理个人信息。个人信息处理者委托处理个人信息的，应当与受托人约定委托处理

的目的、期限、双方的权利和义务等内容，并对受托人的个人信息处理活动进行监督。受托

人应当按照约定处理个人信息，并且未经同意不得转委托。（第二十一条）。

4.6合并分立时的个人信息转移。个人信息处理者因合并、分立、解散、被宣告破产等原因

需要转移个人信息的，应当向个人告知接收方的名称或者姓名和。接收方应继续履

行个人信息处理者的义务，若变更原先的处理目的、处理方式的，应重新获取个人同意。（第

二十二条）

4.7共享个人信息。个人信息处理者向其他个人信息处理者提供个人信息的，应当向个人告

知接收方的名称或者姓名、、处理目的、处理方式和个人信息的种类，并取得个人

的单独同意。接收方应当在上述范围内处理个人信息。（第二十三条）

4.8公开个人信息。除非取得个人单独同意，否则个人信息处理者不得公开其处理的个人信

息（第二十五条）。除非个人明确拒绝，否则个人信息处理者可以免于取得同意、在合理的

范围内处理个人自行公开的个人信息；但如果该等处理对个人权益有重大影响的，则需要取

得个人同意。（第二十七条）

5、自动化决策

5.1禁止大数据杀熟。自动化决策应保证决策的透明度和结果公平、公正，不得对个人在交

易价格等交易条件上实行不合理的差别待遇。（第二十四条第一款）

5.2提供其他选项或拒绝方式。通过自动化决策方式进行信息推送、商业营销，应当同时提

供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式。（第二十四条第二款）

5.3个人享有的权利。自动化决策作出对个人权益有重大影响的决定的，个人有权要求予以

说明，并有权拒绝仅通过自动化决策的方式作出决定。（第二十四条第三款）

6、处理敏感个人信息的特殊规则

《个保法》对敏感个人信息的处理规则专门进行规定。其中，敏感个人信息是指一旦泄露或

者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，

包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十

四周岁未成年人的个人信息。（第二十八条）

处理敏感个人信息需要遵守的规则主要包括：

6.1需具有特定的目的和充分的必要性，并采取严格保护措施。（第二十八条）

6.2需要取得个人的单独同意；法律、行政法规另有规定需取得书面同意的，或者规定处理

敏感个人信息应取得相关行政许可或者作出其他限制的，从其规定。（第二十九、三十二条）

6.3在告知内容方面，需特别向个人告知处理敏感个人信息的必要性以及对个人权益的影响。

（第三十条）