个人信息保护法40问：从企业合规角度

2021-08-27

01.个人信息保护法（下称“个保法”）的适用范围？

以属地原则为主，以属人原则为辅。

属地原则：在中华人民共和国境内处理自然人个人信息的活动，适用个保法。

属人原则：在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动：（1）以向境内自然人提供产品或者服务为目的；（2）分析、评估境内自然人的行为；（3）其他。

注：这里的属人原则面向的对象是我国境内的自然人。

02.国外企业可能落入中国个保法规制的范畴嘛？

根据个保法第三条的规定，国外企业在中国境内的处理个人信息活动直接适用个保法。但是对于国外企业在中国境外处理的个人信息并不当然不适用个保法，如果国外企业销售的产品或者服务对象是面向中国境内自然人的，或者存在分析、评估中国境内自然人行为的数据活动，都需要适用个保法。

03.哪些数据属于个人信息？

按照个保法第四条的规定，个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。按照我们的理解，个人信息的关键特性在于可识别性，只要是可以直接或间接识别出具体自然人的信息，不论其存储、记录的方式是何种，都可以认定为个人信息。同时规定，匿名化处理后的个人信息因其不具有了可识别性而顺畅流通。建议把个人信息当作数据分级分类制度中的核心部分进行保护。

04.哪些行为属于个人信息的处理活动？

我们将对于个人信息的各类活动定义为处理活动。根据个保法第四条第二款的规定，个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。从一开始的收集、存储信息，到中间的使用、加工、传输，最后的提供、公开、删除等活动，整个流程我们可以理解为个人信息的全生命周期。对于全生命周期内的个人信息处理活动，都属于个保法规制的范围。

05.个人信息保护法（下称“个保法”）的适用范围？

根据个保法第五、六、七条的规定，企业在处理个人信息时需要遵循以下基本原则：（1）合法、正当、必要、诚信的原则；（2） 目的的明确、直接相关原则；（3）准确性原则；（4）公开透明原则；（5）告知同意原则。

06.个人信息保护法（下称“个保法”）的适用范围？

根据个保法第十三条的规定，企业处理个人信息的合法性来源包括以下7项：（1）个人同意；（2）合同所必需或者劳动规章和集体合同实施人力资源管理所必需；（3）为履行法定义务所必需；（4）应对突发公共卫生事件或其他紧急事件所必需；（5）为公共利益实施新闻报道、舆论监督等；（6）已合法公开；（7）其他。其中，第5、6项仅限于在合理的范围内处理个人信息。换句话说，企业要处理个人信息必须要事先满足以上七项之一。

07.个人信息保护法（下称“个保法”）的适用范围？

个保法以及个人信息安全规范将个人信息、敏感个人信息、个人生物识别信息进行区分，三种情形下的告知义务有相同点也有不同点。相同点在于形式上，都要求通过显著、清晰且易懂的方式告知个人必要事项，保证个人在作出决定前得到充分的知情。 

不同点在于告知内容的不同。个人信息的告知内容要求最少，敏感个人信息其次，个人生物识别信息要求更高。根据敏感性的程度不同，告知内容也在层层加码。 

个人信息的必要告知事项包括： 

个人信息处理者名称或者姓名和联系方式； 

个人信息的处理目的、处理方式，处理的个人信息种类、保存期限； 

个人行使个保法规定权利的方式和程序以及其他需要告知的事项。敏感个人信息的增加必要告知事项： 

处理敏感个人信息的必要性 

对个人权益的影响 个人生物识别信息的再增加必要告知事项： 

收集、使用个人生物识别信息的目的、方式和范围 

个人生物识别信息的存储时间等

若上述必要告知事项发生变更，需履行告知义务，第一时间告知个人。

08.企业要取得个人的同意需要满足哪些基本要求？

个人同意看似简单，实则严格。对于个人同意，企业不仅需要满足基本的要求，还需要满足部分特殊要求。

基本要求包括：（1）需为个人的自主选择提供便利，不得限制更不得欺骗，保证个人同意的自愿性。并且需得到个人明确的同意。（2）一旦个人信息处理的目的、处理方式和处理的个人信息种类发生变更，都需要告知个人并重新取得个人的同意。（3）需提供便捷的途径，便于个人随时撤回自己的同意权。同时，不得以个人不同意处理或撤回同意为由，拒绝提供产品或服务，但是处理个人信息是该服务或产品所必需的除外。

09.企业要取得个人的同意有哪些特殊要求？

根据《信息安全技术个人信息安全规范》的标准要求，对于个人信息的同意只需获得用户的授权同意即可，但是对于敏感个人信息而言，企业还需要另外取得用户的单独同意方可处理敏感个人信息，而该次同意有更高的标准，即获得用户的“明示同意”。相对于授权同意而言，明示同意需要用户作出主动声明或肯定性动作，包括主动勾选☑等。 

如果企业的产品或服务涉及人脸识别、指纹识别等，收集的数据还将涉及个人生物识别信息。在敏感个人信息的基础上，这类个人生物识别信息的收集还需要再次获得个人明示同意。

10.个人信息的保存期限是永久的嘛？

个人信息的保存期限不仅不是永久的，反而是极其有限的。企业获得个人的同意而收集到个人信息，之后并非一劳永逸，还需要关注存储时间的问题，做好删除工作。根据个保法第十九条规定，个人信息的保存期限应当为实现处理目的所必要的最短时间。也就是说，当企业完成了当初收集个人信息时所描述的处理目的时，就到了个人信息的最后生命周期，即需要进行删除操作。该删除操作无需个人主动作出，而是企业主动进行删除操作。

11.企业享有个人信息处理的决定权嘛？

不享有。根据个保法的规定，个人享有对于自己个人信息处理的决定权，个人作为数据主体才享有个人信息的所有权，因此企业无法自主决定个人信息的处理。

12.个人想来查阅、复制自己的个人信息，企业答不答应？

根据个保法的规定，在个人提出查阅、复制其个人信息的请求时，企业有义务及时提供，不得不满足。

13.个人请求将其个人信息转移到其他同行，企业答不答应？

个人请求将其个人信息转移到其他同行，这是个人在行使可携带权，对于该权利的行使，个保法规定了企业需承担相应的义务。如果该携带符合国家网信部门规定条件的，企业应当提供转移的途径。

14.个人请求变更其个人信息的，企业答不答应？

根据个保法第四十六条的规定，个人请求更正、补充其个人信息的，企业应当对其个人信息予以核实，并及时更正、补充。

15.企业在什么情况下需要主动删除个人信息？

处理目的已实现、无法实现或者为实现处理目的不再必要； 

个人信息处理者停止提供产品或者服务，或者保存期限已届满； 

个人撤回同意； 

个人信息处理者违反法律、行政法规或者违反约定处理个人信息； 

法律、行政法规规定的其他情形。 

以上五种情况下，企业需要主动删除个人信息。如果法律法规规定的保存期限未届满，或者删除个人信息从技术上难以实现的，企业应当停止除存储并采取必要的安全保护措施之外的处理。

16.企业对于个人信息处理规则有释明义务嘛？

有。根据个保法第四十八条的规定，个人有权要求个人信息处理者对其个人信息处理规则进行解释说明。

17.自然人死亡后，其近亲属主张数据权利的，企业如何选择？

根据个保法第四十九条的规定，自然人死亡的，其近亲属为了自身的合法、正当利益，可以对死者的相关个人信息行使本章规定的查阅、复制、更正、删除等权利。当然死者生前另有安排的除外。

18.企业所控制的个人信息可以随意共享给其他企业嘛？

不可以。企业不仅不可以随意的共享所掌握的个人信息，反而需要遵循严格的个人信息流动规则。

个人信息传输方与个人之间：个人信息传输方在传输前需要完成告知和同意两项工作。向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意。 

个人信息传输方与接收方之间：

双方的协议内容需包括委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等；

个人信息传输者需对接收方的个人信息处理活动进行监督；

双方之间的协议不得影响个人的基本数据权利； 

一旦发生侵害个人信息权益并造成损害的，承担连带责任； 

接收方不得随意传输其他方，除非经个人信息处理者同意 

个人信息接收方与个人之间：个人信息接收方需保障个人对于基本权利的行使，若需变更原先的处理目的、处理方式等，仍然需要获得个人的同意。

19.企业被收购后，个人信息怎么处理？

根据个保法第二十二条的规定，个人信息处理者因合并、分立、解散、被宣告破产等原因需要转移个人信息的，应当向个人告知接收方的名称或者姓名和联系方式。接收方应当继续履行个人信息处理者的义务。接收方变更原先的处理目的、处理方式的，应当依照个保法规定重新取得个人同意。

20.企业出于商业目的，如何合规的进行用户画像？

个保法第二十四条对于用户画像做出了明确的规定。企业需要满足以下合规要求： 

需保证用户画像的透明度和结果的公平公正； 

不得提供用户画像来进行杀熟等不合理的差别待遇； 

需要同步提供个人拒绝用户画像的选项或者其他便捷的拒绝方式； 

用户画像的结果可能涉及个人重大权益时，个人有权要求企业进行说明，并有权拒绝该结果。

21.已经网上公开的个人信息，企业可以随意下载使用嘛？

根据个保法第二十七条的规定，企业可以处理个人自行公开或者其他已经合法公开的个人信息，但是需在合理的范围内处理。我们认为该合理的范围可以具体解释为处理的目的、方式等边界的合理性，企业对于“二次公开”的个人信息需要在该个人信息初次公开的处理目的、方式范围内行使。这里面最典型的案例就是LinkedIn与HIQ公司之间的公开信息使用之争。 

同时，法律规定个人具有拒绝权，一旦个人发现其公开的个人信息被其他企业处理，其可以拒绝该企业处理其已公开的个人信息。 

如果企业通过采集公开的个人信息进行处理，可能会发生对个人重大权益影响的，需要提前取得个人的同意。

22.敏感个人信息是哪些？

列举式：包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。 

概括式：一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息。 

总结来说，相对于个人信息而言，敏感个人信息的关键特性在于其敏感性。

23.敏感个人信息的特殊合规要求？

1. 单独明示同意。上面已经提到，相对于授权同意而言，明示同意需要用户作出主动声明或肯定性动作，包括主动勾选☑等。 

2. 需告知其他事项。在个人信息规定必要告知事项基础上，还需要告知两项内容，即处理敏感个人信息的必要性和对个人权益的影响。 

3. 行政许可事项。个保法第三十二条规定，若存在其他规定要求处理敏感个人信息应当取得相关行政许可或者作出其他限制的，从其规定。

24.未成年人的个人信息如何合规处理？

对于大部分互联网企业的客户群体包括未成年人，特别是很多的游戏企业，未年成人是占比相当大的客户群体，需要高度重视未成年人的个人信息处理规则。我国法律将14周岁以下成年人的个人信息归类到敏感个人信息中。因此企业需按照敏感个人信息的合规要求处理该类信息，同时还需要关注不满十四周岁未成年人个人信息的特殊要求： 

需取得未成年人的父母或者其他监护人的同意

面向不满十四周岁未成年人的个人信息制定专门的个人信息处理规则

25.跨国企业对于中国人的个人信息如何存储和跨境？

按照人保法的规定，两种特殊主体掌握的个人信息原则上需本地化存储，例外情况下可走安全评估出境。 

关键信息基础设施运营者：根据最新的《关键信息基础设施安全保护条例》来认定。

大规模个人信息处理者：按照《网络安全审查办法（修订草案）》的规定，目前看该大规模指的是100万用户级。其余主体的个人信息不要求本地化存储，但需满足其他传输限制。

26.跨国企业可以采取哪些合规方式来跨境传输个人信息？

本次人保法并未要求一般主体的个人信息本地化存储，但是对于个人信息跨境进行了诸多限制。根据第三十八条的规定，目前我国的个人信息跨境传输存在四种通关路径：（1）通过国家网信办组织的安全评估；（2）经专业机构完成个人信息保护认证；（3）标准合同条款；（4）缔结或参加的国际条约、协定等。 

我们认为，对于第1、2条的通关路径，是具有中国特色的跨境传输方式，通关难度较大，目前也不清楚具体的评估规则、认证方式、操作流程。对于第3条，该条借鉴了GDPR的经验。而第4条，其实是第三十八条的第二款，我们认为该条借鉴了GDPR的充分性认定，通过国家或地区层面的协定来认定对方达到了充分性保护，以此畅通彼此之间的数据传输。

27.向境外传输个人信息还需要满足哪些合规要求？

在境外的保护措施上：企业需保障境外接收方处理个人信息的活动达到个保法规定的个人信息保护标准，类似于GDPR的充分性保护要求。 

在对个人的关系上：仍然需要满足告知➕同意的原则。应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使个保法规定权利的方式和程序等事项，并取得个人的单独同意。

28.企业可以将国内用户的个人信息传输给国外执法机构嘛？

根据个保法第四十一条的规定，原则上禁止将国内用户的个人信息传递给国外的司法或执法机构，除非经主管部门的批准。因此企业应当慎重将个人信息传递给国外具有政府背景的机构。但是如果出于司法或者行政监管的需要，按照当地的法律需要将相关个人信息传递给司法或者行政机构时，企业如何解决冲突，可能需要进一步探讨。

29.企业需开展的合规工作具体包括哪些？

根据个保法第五十一条的规定，下列措施是企业需要完成的合规工作：（1）制定内部管理制度和操作规程；（2）对个人信息实行分类管理；（3）采取相应的加密、去标识化等安全技术措施；（4）合理确定个人信息处理的操作权限，并定期对从业人员进行安全教育和培训；（5）制定并组织实施个人信息安全事件应急预案。 

个人信息保护作为数据合规中的重大，我们认为内部管理制度和操作规程，完全可以和其他数据保护、网络安全等合规要求进行结合，通过制定全面的数据合规管理体系，来达到一个体系多个效果的最终目的。

30.企业需新设人员嘛？

按照个保法的要求，处理个人信息如果达到一定数量，企业应当指定具体的个人信息保护负责人。该负责人的职责在于负责对个人信息处理活动以及采取的保护措施等进行监督。 

同时，企业还应当向社会公开其个人信息保护负责人的联系方式，并且将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门。

31.境外的企业在中国需要设立个人信息保护负责人嘛？

需要。根据个保法第五十三条的规定，中华人民共和国境外的个人信息处理者，应当在中华人民共和国境内设立专门机构或者指定代表，负责处理个人信息保护相关事务，并将有关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门。

32.企业的个人信息保护工作是否需要进行审计？

根据个保法第五十四条的规定，个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。同时还需要完成事前的个人信息保护影响评估工作。

33.企业在什么情况下需要进行事前的个人信息保护影响评估工作？

按照法律的列举，在以下5种情况下，企业需要进行事前的个人信息保护影响评估工作，同时对于处理情况进行记录： 

处理敏感个人信息； 

利用个人信息进行自动化决策；

委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息； 

向境外提供个人信息；

其他对个人权益有重大影响的个人信息处理活动。

34.个人信息保护影响评估的内容应当包括哪些？

（1）个人信息的处理目的、处理方式等是否合法、正当、必要；（2）对个人权益的影响及安全风险；（3）所采取的保护措施是否合法、有效并与风险程度相适应。

35.个人信息保护影响评估报告和处理情况记录有保存时限嘛?

个人信息保护影响评估报告和处理情况记录应当至少保存三年。

36.企业如果发生个人信息安全事件，如何处理？

如果企业发生或者可能发生个人信息泄露、篡改、丢失的，个人信息处理者应当立即采取补救措施，并通知履行个人信息保护职责的部门和个人。通知应当包括下列事项： 

发生或者可能发生个人信息泄露、篡改、丢失的信息种类、原因和可能造成的危害； 

个人信息处理者采取的补救措施和个人可以采取的减轻危害的措施； 

个人信息处理者的联系方式。

个人信息处理者采取措施能够有效避免信息泄露、篡改、丢失造成危害的，个人信息处理者可以不通知个人；履行个人信息保护职责的部门认为可能造成危害的，有权要求个人信息处理者通知个人。

37.对于平台类的互联网企业，有何特殊的合规义务嘛？

提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，应当履行下列义务： 

按照国家规定建立健全个人信息保护合规制度体系，成立主要由外部成员组成的独立机构对个人信息保护情况进行监督； 

遵循公开、公平、公正的原则，制定平台规则，明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务； 

对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者，停止提供服务；

定期发布个人信息保护社会责任报告，接受社会监督。

38.如果企业的数据来源于其他的企业，有何合规要求？

如果企业的数据来源于其他企业，该接受企业依然需要采取必要措施保障所处理的个人信息的安全，并协助个人信息处理者履行个保法规定的义务。

39.个人信息的监管部门有哪些？

国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。国务院有关部门依照个保法和有关法律、行政法规的规定，在各自职责范围内负责个人信息保护和监督管理工作。 

县级以上地方人民政府有关部门的个人信息保护和监督管理职责，按照国家有关规定确定。

40.个人信息保护不力，企业可能遭遇什么监管风险？

（1）可能被提起公益诉讼。个人信息处理者违反个保法规定处理个人信息，侵害众多个人的权益的，人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。 

（2）可能被行政处罚。情节严重的，可能被没收违法所得，并处五千万元以下或者上一年度营业额百分之五以下罚款，并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款，并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。

本文作者：

声明：

本文由德恒律师事务所律师原创，仅代表作者本人观点，不得视为德恒律师事务所或其律师出具的正式法律意见或建议。如需转载或引用本文的任何内容，请注明出处。