金鹏研究 | 《个人信息保护法》要点梳理及企业合规建议

引言

Introduction

2021年8月20日，中华人民共和国第十三届全国人民代表大会常务委员会第三十次会议表决通过了《中华人民共和国个人信息保护法》（以下简称“《个保法》”），该法将于2021年11月1日起施行。《个保法》共有8章74个条文，是我国首部针对个人信息保护的综合性、基础性立法，在我国综合构建了以“告知-同意”为核心的权利导向型个人信息保护模式，与早些时候出台的《中华人民共和国网络安全法》《中华人民共和国数据安全法》一同构成我国信息安全领域的基础性法律体系。

《个保法》在立法过程中借鉴了欧盟《通用数据保护条例》（General Data Protection Regulation，以下简称“GDPR”）等域外经验，回应了我国实践中产生的“大数据杀熟”、跨境信息流动、人脸识别等具体问题，强化了数据主体的个人信息权益，加重了个人信息处理者的义务，为企业进行个人信息处理提出了更为明确的义务要求及合规指引，也给企业带来了多元法律风险。本文旨在梳理《个保法》的重要规则，并为企业应对《个保法》出台带来的合规义务提供分析和建议。

一

《个保法》要点梳理

01

提高处罚金额上限，增加企业违规成本

《个保法》第七章规定了个人信息处理者未履行个人信息保护义务或违法处理个人信息时应承担的法律责任。立法者建构了民事、行政、刑事三位一体的个人信息权益救济体系，加大了对违法违规行为的处罚力度，增加信息处理者的违规成本。随着社会公众对个人信息保护的意识的提高，企业若违反个人信息保护义务，除了可能面临监管机构的高额行政罚款，信息主体的民事侵权损害赔偿之外，甚至可能面临企业自身商誉损害，导致丧失商业机会的风险。

（1）《个保法》加重企业作为信息处理者违法违规的一般法律责任，强调APP等应用程序违法处理个人信息的责任。企业违反《个保法》的规定处理个人信息，或者未履行《个保法》规定的个人信息保护义务的，“由履行个人信息保护职责的部门责令改正，给予警告，没收违法所得……拒不改正的，并处一百万元以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款”。而对APP等应用程序违法处理个人信息的情形，立法者单独规定了“责令暂停或者终止提供服务”的法律责任。（第六十六条）

（2）《个保法》提高了企业处理者违反个人信息保护义务的处罚金额上限，并明确企业高管承担企业个人信息保护合规管理责任。根据《个保法》第六十六条第二款，对于违法处理个人信息或未履行个人保护义务的，情节严重的，处理者可能被相关部门处以“责令改正，没收违法所得、并处五千万元以下或者上一年度营业额百分之五以下罚款、责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照”。此外，直接责任人员和直接负责的主管人员还可能被处以“十万元以上一百万元以下罚款”以及被“禁止在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人”。高额的罚款金额上限及企业高管禁业措施将对企业及其管理者施加了更大的威慑，倒逼其引入合规措施。

（3）《个保法》明确了过错推定原则，减轻信息主体的举证责任。“处理个人信息侵害个人信息权益造成损害，个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任。”（第六十九条）该条还明确规定了个人信息权益损害赔偿责任的计算标准，“按照个人因此受到的损失或者个人信息处理者因此获得的利益确定”，前述损失及获得的利益难以确定的，可以由人民法院根据实际情况确定赔偿数额。

行政处罚力度的加大增加了企业的违法成本，过错推定原则的确立及赔偿标准的确定规范扭转了此前个人信息维权成本高、赔偿数额低、举证难度大的局面。近年，我国已在网络数据安全及个人信息保护领域出台多个法律法规，在2021年11月1日《个保法》生效之前，企业应当利用这段窗口期，采取积极措施应对，提高个人信息保护方面的投入，构建个人信息保护内部控制机制，以满足合规要求。

02

建构知情-同意为核心的个人信息保护机制

《个保法》借鉴了域外经验，构建了以告知-同意为核心的个人信息保护模式。“知情-同意”是法律确定的个人信息保护的核心规则，也是保障信息主体对其个人信息处理的知情权和决定权的重要手段。

《个保法》进一步完善了个人信息处理的合法基础。对于个人一般信息的处理，《个保法》构建了原则上以“知情-同意”作为个人信息处理的合法性基础的模式，对信息主体的知情权和同意机制提出了具体的要求。首先，《个保法》明确“取得个人的同意”后个人信息处理者方可处理个人信息（第十三条）。个人信息处理者应当在充分告知（告知内容包括个人信息处理者的名称、姓名和联系方式；个人信息的处理目的、处理方式、处理的个人信息种类、保存期限；个人行使个人信息保护法权利的方式和程序，及法律规定应当告知的其他事项）的前提下，取得个人“在充分知情的前提下自愿、明确地”作出的同意。如在处理个人信息过程中，个人信息的处理目的、处理方式及处理的个人信息种类等核心事项发生变更，则个人信息处理者必须重新充分告知信息主体，并重新取得同意。（第十四条）前述同意可以由个人作出，也可由个人撤回，个人信息处理者应当为信息主体提供便捷的撤回同意的方式。

大数据时代下单一的“知情-同意”保护模式迎来新挑战。为平衡个人信息权益与其他等位阶利益间的矛盾冲突，使《个保法》更具实操性，《个保法》突破了《网络安全法》中单一地以“知情-同意”作为个人信息处理的合法来源的做法，引入了多元合法性基础，并增加兜底性条款为日后进一步扩展合法性基础预留了空间。

（“知情-同意”机制下个人信息处理的思维路径图）

03

个人信息识别及分层保护

为克服实践中争议较大的“一揽子同意”条款的形式性弊端，并为特殊类别的信息提供更高程度的保护，《个保法》对于不同种类的信息提出了程度不同的保护要求，并首次引入单独同意和书面同意的概念。

除前文所述一般情形下的“知情-同意”模式之外，《个保法》针对敏感个人信息、跨境提供个人信息、未成年人个人信息及高风险个人信息处理活动等特殊场景设置了特殊的“告知-同意”要求，即“单独同意”。

《个保法》规定了如下适用“单独同意”的特殊场景：

（“单独同意”适用情形项下个人信息处理的思维路径图）

《个保法》明确提出“个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由，拒绝提供产品或者服务”（第十六条），对企业传统的个人信息收集与处理机制提出了新的挑战。企业应积极开展内部审查，识别并对现有个人信息进行分类，调整现行制度及修订“告知-同意”的格式文本，针对不同类别的个人信息，设置不同程度的个人信息保护，以应对新规带来的合规要求。

二

企业合规方案建议

个人信息处理者是《个保法》项下个人信息保护义务的直接责任者，《个保法》施行后，给企业增加了更严格的合规要求，企业也将面临较高的行政及民事法律风险。因此，企业应当在处理个人信息时积极履行个人信息保护的义务，并寻求合规综合方案以规避风险。其中，企业建构个人信息内部合规制度，是降低企业民事及行政法律风险的有效解决方案。

企业内部建构个人信息保护合规机制对企业防范风险具有重要意义。一方面，完善的内部合规机制有利于企业识别自身现有及潜在风险，明确《个保法》下的民事、行政责任并进行合规整改，在个人信息处理过程中控制风险，“防患于未然”；另一方面，在《个保法》明确规定过错推定责任的前提下，企业内部拥有一套有效的、完善的、具有实操性的合规机制、配之以充分的执行及定期严格的审查及更新，可以成为企业已尽合理努力履行个人信息保护义务的有效证明，从而进一步说明企业在个人信息处理过程中无过错，从而一定程度可降低或者免除企业的行政或民事责任。

《个保法》第五章对个人信息处理者的义务进行了规定，为企业寻求个人信息保护合规提出了管理层面的规范指引，明确了个人信息处理者在处理个人信息时应当遵守的规则，也强调了个人信息处理者的管理责任。这是个人信息处理者在个人信息保护方面最直观的合规义务。

01

制定企业个人信息保护内部管理制度

个人信息的分类、评估，以及企业个人信息保护风险识别是企业保护个人信息的前提条件。企业应当根据《个保法》的要求，根据个人信息的性质进行识别、评估，分类，并根据不同类别的个人信息制定不同的保护措施。此外，企业制定内部管理制度和操作规范的过程中应该当结合企业所在行业的一般性风险及企业自身的特别情况，识别个人信息处理过程中信息处理对个人权利的影响，从而评估企业个人信息处理过程中的现有或潜在行政风险及民事风险。

针对已识别出的风险，企业可以根据自身实际情况，从以下几个方面出发，综合考量并构建企业风险控制制度：

（1）制定事先个人信息保护影响评估制度；

（2）采取相应的加密、去标识化的安全技术措施；

（3）合理确定个人信息处理流程中员工个人的操作权限，规避员工个人行为造成企业违法违规的风险；

（4）指定个人信息保护负责人，构建企业内部个人信息处理过程的监督机制；

（5）由外部独立机构对个人信息处理过程进行审查监督；

（6）审查内部规范的执行及落地情况，定期根据实际情况及法律发展对企业内部制度进行及时更新。

02

培养企业内部合规意识及开展合规制度培训

企业应当加强对从业人员的个人信息保护合规制度的安全教育和培训。提高员工对个人信息保护领域风险的认知，告知企业员工违法违规行为的严重后果，并在培训中展现企业对个人信息保护的重视，及对不合规行为的零容忍态度。

对于企业平台上的其他产品或服务提供者，企业也需要制定具体的平台规则，明确相关平台使用者应当承担的个人信息保护义务，制定相关倡议，培养平台各类主体的合规意识。企业还可以制定个人信息处理规范，对于违反法律法规处理个人信息的直接责任人采取“停止提供服务”等措施。

03

加强对个人信息合规风险的应急预案建设

企业应当事先建立应急预案机制，以对可能发生紧急的合规风险有所准备。出现合规风险后，企业应当及时响应，采取补救措施，避免信息进一步泄露或者损失扩大。另一方面积极开展企业自查，了解内部违反法律法规及企业内部规定的合规义务的情况，并对违规行为的直接负责人展开内部调查，固定调查证据，切割企业责任与个人责任；另一方面，积极配合相关监管部门的调查，提供相关证据，并在事后总结合规风险发生的原因，排查制度瑕疵，并根据经验教训更新内部合规制度，避免遭遇更大的合规风险。

04

加强敏感信息保护及完善跨境流动信息处理流程

个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等，对个人敏感信息施行高于其他一般类型个人信息的标准的保护措施。为加强敏感个人信息的保护，企业应事先对敏感个人信息进行事前个人信息保护影响评估（第五十五条），完善敏感信息充分告知及获取单独同意的机制，对敏感信息采用加密或备份等保护手段，并针对敏感信息的使用状况定期开展风险评估并报送风险评估报告，以满足《个保法》的合规义务。

三

小结

《个保法》将于2021年11月1日施行。我们建议企业应当抓紧窗口期，结合《个保法》的具体规定，尽快构建企业个人信息保护内部合规制度，以降低企业在《个保法》生效后可能面临的民事及行政风险。但具体情况下，企业应如何应对《个保法》的影响，影响的强度、具体的风险评估以及应对措施等，还需要综合评估企业自身情况作出具体合规安排，相关企业应尽快寻求专家意见。

作者介绍

赵琦娴 律师

手机：18520523332

邮箱：zqx@kingpound.com

广州金鹏律师事务所

中国广州仲裁委员会仲裁员

广州互联网法院特邀调解员

入选“广东省涉外律师领军人才库”

赵琦娴律师擅长办理与公司有关纠纷、合同类纠纷、新型担保类纠纷等争议解决。

刘雨祺

手机：18819442592

刘雨祺毕业于中国人民大学，获法律硕士学位。

主要从事诉讼仲裁、合同纠纷、投融资争议解决、公司法律事务等。

▪ 往期推荐 ▪

全国优秀律师事务所

金鹏律师事务所成立于1993年，是广州第一家市属合伙制律师事务所，目前已发展成为华南地区最具规模的综合大型律师事务所之一，曾获全国优秀律师事务所、司法部律师行业创先争优活动示范点、广东省文明律师事务所、广州市十佳律师事务所，汤森路透ALB2021《亚洲法律杂志》中国区域市场排名十五佳华南地区本地律所等50多项荣誉称号。

深耕粤港澳

服务大湾区，沿着“一带一路”拓展

国内办公室

境外办公室

忠信勤勉      厚德重法