《个人信息保护法》视域下企业十大数据合规义务解析

引言

《中华人民共和国个人信息保护法》已于2021年11月1日起正式施行。截至2020年12月，我国网民规模达9.89亿，手机网民规模达9.86亿[1]，国内主流应用商店可下载的在架活跃App达到267万款，安卓、苹果App分别为105万款、162万款[2]，个人信息的收集和使用已经渗透到了工作、生活的各角落，侵犯个人信息的行为也频频发生。全国人大常委会法工委经济法室副主任杨合庆介绍，《个人信息保护法》通过构建个人信息收集、使用、保护的一系列规则，明确个人信息处理活动中的权利义务边界，构建全面、系统、完善的法律制度规则，切实将广大人民群众网络空间合法权益维护好、保障好、发展好。[3]本法的实施可谓是民之所望,施政所向,顺势而为正是时候。

作为网络安全与数据合规领域的法律从业者，我们现结合之前实操的案例，从企业角度精选《个人信息保护法》十大合规义务进行简要评析并提出合规建议。

一、明确三个重要概念

（一）个人信息：《个人信息保护法》第四条第一款规定，个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。

判定某项信息是否属于个人信息，应考虑以下两条路径（之一）:一是识别，即从信息到个人，由信息本身的特殊性识别出特定自然人，个人信息应有助于识别出特定个人；二是关联，即从个人到信息，如已知特定自然人，则由该特定自然人在其活动中产生的信息（如个人位置信息、个人通话记录、个人浏览记录等）即为个人信息。具体可参考GB/T 35273-2020《信息安全技术个人信息安全规范》（以下简称为《个人信息安全规范》）附录A《个人信息示例》。

（二）敏感个人信息：《个人信息保护法》第二十八条规定，敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。具体可参考《个人信息安全规范》附录A《个人敏感信息判定》。

（三）个人信息处理：《个人信息保护法》第四条第二款规定：个人信息的处理包括收集、存储、使用、加工、传输、提供、公开、删除等。即包括数据的全生命周期的处理流程。

二、法定义务解读及合规建议

法定义务一：遵循个人信息“目的明确-最小范围” 处理规则

第六条 处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息。

解读：本条是有关个人信息处理中的目的性和必要性要求。

所谓目的性，指的是在个人信息处理过程中，需要符合一定的合理目的，且该目的需要具备较为明确的要素，同时需要注意该目的性的要求应当与企业自身所提供的商品和服务具有一定的关联性。

所谓必要性，指的是在个人信息处理过程中，需要收集与企业自身经营活动密切相关的个人信息，不得收集无关且多余的个人信息。实践中，大量企业违规收集个人信息，甚至收集与其提供商品或服务无关的个人信息，这些行为都是被禁止的。

【合规建议】个人信息处理者应依据目的明确、最小必要原则，严格在自身的业务需求范围内收集个人信息。如App运营者应按照《常见类型移动互联网应用程序必要个人信息范围规定》，排查本企业所收集的个人信息是否超过了该规定针对常见的39类App所列出的必要个人信息范围。

法定义务二：遵循个人信息“告知-同意”处理规则

第十三条 符合下列情形之一的,个人信息处理者方可处理个人信息:

(一)取得个人的同意;

(二) 为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需；

(三)为履行法定职责或者法定义务所必需;

(四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;

(五)为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息;

(六) 依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息；

（七）法律、行政法规规定的其他情形。

依照本法其他有关规定，处理个人信息应当取得个人同意，但是有前款第二项至第七项规定情形的，不需取得个人同意。

第十四条 基于个人同意处理个人信息的，该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的，从其规定。

个人信息的处理目的、处理方式和处理的个人信息种类发生变更的，应当重新取得个人同意。

第十五条 基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。

个人撤回同意，不影响撤回前基于个人同意已进行的个人信息处理活动的效力。

第十七条 个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:

(一)个人信息处理者的身份和联系方式;

(二)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;

(三)个人行使本法规定权利的方式和程序;

(四)法律、行政法规规定应当告知的其他事项。

前款规定事项发生变更的,应当将变更部分告知个人。

个人信息处理者通过制定个人信息处理规则的方式告知第一款规定事项的,处理规则应当公开,并且便于查阅和保存。

解读：“告知”和“同意”均为处理个人信息的核心原则。处理个人信息，应在事先充分告知的前提下取得个人同意，不得误导、欺诈、胁迫等；不得以个人不同意为由拒绝提供产品或者服务；信息处理者应当提供便捷的撤回同意的方式。

与草案相比，正式稿在处理个人信息的合法理由中，额外增加了附条件的“实施人力资源管理所必须”作为处理个人信息的合法理由，这是立法者充分考虑了实践困难的明显体现。员工信息保护曾对个人信息保护带来挑战，理由是用人单位处理员工个人信息时，因雇佣关系的天然失衡而难以取得员工“平等自愿”的同意，而基于《劳动合同》所获取的员工个人信息范围极其有限且使用范围狭窄。正式稿的这一增补对于企业而言提供了明确的适用准则，降低了员工个人信息处理风险的不确定性。^[4]

告知义务的两种例外情形包括：1）法定保密或豁免告知第十七条第一款；2）碰到紧急情况可事后告知。如针对第一种情形，最为典型的是根据《中华人民共和国反恐怖主义法》第五十一的规定，即公安机关在调查恐怖活动的案件中，可以获得事先告知豁免。

第十五所规定的“个人撤销权”仅仅是基于第十三条第一款情形下予以适用，除此之外法律并未授权个人此权限。

【合规建议】个人信息处理者应当以显著方式、清晰易懂的语言进行告知，如在用户首次使用App时用简简洁的语言告知《隐私政策》主要条款，而在具体的《隐私政策》中则通过加粗、下划线、斜杠等形式清晰提示用户相关内容。如果告知事项发生变更的，应当将变更部分告知个人。如果通过制定个人信息处理规则的方式进行告知的，还应当公开处理规则，便于查阅和保存，如App用户进入主功能界面后，通过 4 次（含）以内的点击等操作，能够访问到隐私政策。

综合《个人信息保护法》的相关条款内容，当个人信息处理存在以下情形的，需要取得个人单独同意：1）向第三方提供其处理的个人信息；2）公开其所处理的个人信息；3）在公共场所收集的个人图像和个人身份信息用于维护公共安全之外的目的；4）处理敏感个人信息；5）向境外提供个人信息。

针对“个人撤销权”，根据个人信息合规的实务经验，企业可以通过在App页面的显著位置设置撤回同意的按键、在“联系我们”栏目明示联系电话且安排专人应答的方式，保障用户及时行使撤回同意的权利。

法定义务三：保证自动化决策的透明度和结果公平、公正

第二十四条 个人信息处理者利用个人信息进行自动化决策，应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇。通过自动化决策方式向个人进行信息推送、商业营销，应当同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式。

通过自动化决策方式作出对个人权益有重大影响的决定，个人有权要求个人信息处理者予以说明，并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。

解读：本条是针对人工智能中自动化决策的规范，是个人信息处理者及精准广告从业者较为关心的条款。其与欧盟GDPR中的第二十二条相类似，此外，我国《个人信息安全规范》第7.5条（b）项和《电子商务法》第十八条也有类似规定。自动化决策是指通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等，并进行决策的活动。与草案相比，本条明确了个人信息处理者应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇，所规制的就是算法推荐、大数据杀熟等情形。

【合规建议】在实务中建议个人信息处理者需要同时设置不针对其个人特征的选项，以保证交易的公平性。具体操作方式总结如下：

1）首先获得第十三条的合法处理理由以进行自动化决策，即应当在充分告知个人信息处理相关事项的前提下取得个人同意，不得以个人不同意为由拒绝提供产品或者服务；

2）在正式进行自动化决策前，应当就自动化决策的透明和公平性做好充分说明；

3）在自动化决策用于信息推送和商业营销时，提供不针对其个人特征的选项或提供便捷拒绝方式；

4）仅通过自动化决策作出对个人权益有重大影响的决定的，应保障个人释明权和拒绝权；由此，建议产品设计中尽量避免仅仅通过自动化决策作出对个人权益有重大影响的决定，可以考虑在产品设计之初引入人工复核决策机制。

法定义务四：遵循敏感个人信息“单独同意”和严格保护的处理规则

第二十九条　处理敏感个人信息应当取得个人的单独同意；法律、行政法规规定处理敏感个人信息应当取得书面同意的，从其规定。

第三十条　个人信息处理者处理敏感个人信息的，除本法第十七条第一款规定的事项外，还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响；依照本法规定可以不向个人告知的除外。

第三十一条　个人信息处理者处理不满十四周岁未成年人个人信息的，应当取得未成年人的父母或者其他监护人的同意。

个人信息处理者处理不满十四周岁未成年人个人信息的，应当制定专门的个人信息处理规则。

解读：与草案相比，不满十四周岁未成年人的个人信息被正式纳入敏感信息范围，给予整体更加严格的保护。敏感个人信息处理的严格限制体现在：1）处理前提是特定目的和充分的必要性，并已采取严格保护措施；2）基于个人“单独同意”（法律、行政法规规定处理敏感个人信息应当取得书面同意的，从其规定），没有其他合法处理理由；3）除第17条第1款规定的处理一般个人信息的法定告知事项外，还要告知个人处理敏感个人信息的必要性以及对个人权益的影响；4）处理不满十四周岁的未成年人个人信息的，应当取得其父母或者监护人同意，并应当制定专门的个人信息处理规则。

【合规建议】企业在实务中需从以下四点重点把握敏感个人信息处理规则：1）个人信息处理者应在自身的业务范围内确定用户敏感个人信息处理的必要性；2）在申请收集用户的个人敏感信息时需同步告知用户其特定目的，且该目的须明确、容易理解；3）根据《网络交易监督管理办法》第十三条第二款规定，“网络交易经营者收集、使用个人生物特征、医疗健康、金融账户、个人行踪等敏感信息的，应当逐项取得消费者同意。”可见，对敏感个人信息的处理有别于一般信息，“单独同意”需要逐项授权；4）在《隐私政策》等面对用户的协议中针对不满十四周岁的未成年人制定专门的个人信息处理规则；企业平台应设置未成年人模式。

法定义务五：遵循个人信息跨境流动处理规则

第三十八条　个人信息处理者因业务等需要，确需向中华人民共和国境外提供个人信息的，应当具备下列条件之一：

（一）依照本法第四十条的规定通过国家网信部门组织的安全评估；

（二）按照国家网信部门的规定经专业机构进行个人信息保护认证；

（三）按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务；

（四）法律、行政法规或者国家网信部门规定的其他条件。

中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的，可以按照其规定执行。

个人信息处理者应当采取必要措施，保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。

第三十九条　个人信息处理者向中华人民共和国境外提供个人信息的，应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项，并取得个人的单独同意。

第四十条 关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估；法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定。”

       解读：《个人信息保护法》对个人信息跨境需要满足的必要前提进行了整合和梳理，并将向个人主体的告知和获取个人主体的单独同意作为另一必要前提条件。

值得一提的是，除必要前提外，《个人信息保护法》要求个人信息处理者采取必要措施保障境外接收方处理个人信息的活动达到《个人信息保护法》的保护标准，并承诺按照中国缔结或者参加的国际条约、协定对向中国境外提供个人信息的条件等有规定的，可以按照其规定执行。该条款反映了《个人信息保护法》在确保自身数据资产流入同等保护水平环境的同时，不断探索在全球数据流动圈中的新局面。

特殊企业仅能适用“安全评估”要件办理信息出境。这里的特殊企业有两种，即关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者，其都应当坚持在个人信息存储在中国境内的原则。确需向境外提供时，仅能适用“通过国家网信部门组织的安全评估”一种要件，而不能适用第38条所列的个人信息保护认证或者签订标准合同要件。

【合规建议】企业在实务中可从以下三点重点把握个人信息出境规则：1）在《隐私政策》等面对用户的协议中，对个人信息存放地域（境内、境外哪个国家或地区）予以详细说明；2）一般个人信息处理者确需向中华人民共和国境外提供个人信息时，可采用个人信息保护认证或者签订标准合同的方式；3）被认定为关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者，确需向境外提供个人信息的，须向国家网信部门申请安全评估。

法定义务六：对个人信息的安全保障义务

第五十一条　个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等，采取下列措施确保个人信息处理活动符合法律、行政法规的规定，并防止未经授权的访问以及个人信息泄露、篡改、丢失：

（一）制定内部管理制度和操作规程；

（二）对个人信息实行分类管理；

（三）采取相应的加密、去标识化等安全技术措施；

（四）合理确定个人信息处理的操作权限，并定期对从业人员进行安全教育和培训；

（五）制定并组织实施个人信息安全事件应急预案；

（六）法律、行政法规规定的其他措施。

解读：本条明确了个人信息处理者对个人信息的安全保障义务。本条融合了《网络安全法》第二十五条、第二十六条、第三十九条以及第四十条的相关义务，要求个人信息处理者建立完备的管理制度对个人信息进行分级分类管理，同时要求其运用相应技术手段，保证个人信息的安全、自主和可控。另外，还需要在日常工作中引入相关机制对相关从业人员进行必要培训，并制定和实施相应应急预案。

【合规建议】个人信息处理者在日常运营中应全面采取第51条所列的各项措施，其中，安全技术措施列举了两种：加密，及时对数据进行密码变换以产生密文；去标志化，即保留个体颗粒度，采用假名、加密、哈希函数等替代对个人信息的标识。其他技术措施应当根据《个人信息安全规范》中有关个人信息的存储时间和方式等问题进行了技术上的规范调整。内部人员的管理，则主要包括确定操作权限和定期的教育培训。

法定义务七：指定个人信息保护负责人

第五十二条　处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人，负责对个人信息处理活动以及采取的保护措施等进行监督。

个人信息处理者应当公开个人信息保护负责人的联系方式，并将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门。

第五十三条　本法第三条第二款规定的中华人民共和国境外的个人信息处理者，应当在中华人民共和国境内设立专门机构或者指定代表，负责处理个人信息保护相关事务，并将有关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门。

解读：需指定个人信息保护负责人的情形为处理个人信息达到国家网信部门规定数量。个人信息保护负责人对外披露的要求仅限于联系方式，但需报送履行个人信息保护职责的部门的信息则包括姓名和联系方式。

需要注意的是，根据《数据安全管理办法》（征求意见稿）第十七条的规定，“网络运营者以经营为目的收集重要数据或个人敏感信息的，应当明确数据安全责任人。数据安全责任人由具有相关管理工作经历和数据安全专业知识的人员担任，参与有关数据活动的重要决策，直接向网络运营者的主要负责人报告工作。”因此，如果个人信息处理者存在处置个人敏感信息和重要数据情形的，其应当明确具备一定的专业背景和特长的数据安全的负责人，这对企业在人力资源选拔层面提出了相当大的挑战和要求。

对于适用本法的境外个人信息处理者，《个人信息保护法》要求设立境内专门机构或指定境内代表，并要求向履行个人信息保护职责的部门报送的义务，该项规定弥补了一直以来针对境外机构监管的敞口，与《个人信息保护法》的域外管辖扩展落地直接呼应，也是与欧盟GDPR等域外个人信息保护法的机制保持一致性的对等要求。

【合规建议】第一，无论是涉及处理个人敏感信息和重要数据的个人信息处理者，还是本法第52条所规定的处理个人信息达到国家网信部门规定数量的个人信息处理者，都应当配备个人信息保护负责人，对企业的个人信息保护进行监管和负责。关于“规定数量”具体为多少，目前可以参照《个人信息安全规范》第11.1条的规定（之一）“1) 主要业务涉及个人信息处理，且从业人员规模大于200人；2） 处理超过100万人的个人信息，或预计在12个月内处理超过100万人的个人；3）处理超过10万人的个人敏感信息的。”第二，对于可能触发《个人信息保护法》适用的境外个人信息处理者应做好设立中国境内机构或指定代表的报送准备。

法定义务八：依法委托专业机构开展审计工作

第五十四条　个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。

解读：第54条的合规审计义务，使用的是“应当”，对“应当”的理解等同于“必须”，是一种强制性规定。虽然目前法律并未规定个人信息处理审计的时间，但是本条规定了定期审计意味着《个人信息保护法》对个人信息处理者的监管将会是长期存在的现象。关于审计的具体要求，可参照《个人信息安全规范》第11.7条的规定，“对个人信息控制者的要求包括：（a）应对个人信息保护政策、相关规程和安全措施的有效性进行审计；（b）应建立自动化审计系统，监测记录个人信息处理活动；（c）审计过程形成的记录应能对安全事件的处置、应急响应和事后调查提供支撑；（d）应防止非授权访问、篡改或删除审计记录；（e）应及时处理审计过程中发现的个人信息违规使用、滥用等情况；（f）审计记录和留存时间应当符合法律法规的要求。”

【合规建议】个人信息处理者应建立自动化审计系统，定期自查或聘请专业的律师事务所等第三方机构对其自身个人信息治理的合规性进行审查，并根据审查结果进行整改。

法定义务九：事前风险评估义务

第五十五条　有下列情形之一的，个人信息处理者应当事前进行个人信息保护影响评估，并对处理情况进行记录：

（一）处理敏感个人信息；

（二）利用个人信息进行自动化决策；

（三）委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息；

（四）向境外提供个人信息；

（五）其他对个人权益有重大影响的个人信息处理活动。

第五十六条　个人信息保护影响评估应当包括下列内容：

（一）个人信息的处理目的、处理方式等是否合法、正当、必要；

（二）对个人权益的影响及安全风险；

（三）所采取的保护措施是否合法、有效并与风险程度相适应。

个人信息保护影响评估报告和处理情况记录应当至少保存三年。

解读：此处“个人信息保护影响评估”与GB/T 39335-2020《信息安全技术 个人信息安全影响评估指南》中的“个人信息安全影响评估” （Personal Information Security Impact Assessment, “PISIA”或“PIA”）概念一致，又简称为“事前风险评估”，是指针对个人信息处理活动，检验其合法合规程度，判断其对个人信息主体合法权益造成损害的各种风险，以及评估用于保护个人信息主体的各项措施有效性的过程。欧盟《通用数据保护条例》（GDPR）下有一个类似的法律制度安排——个人数据保护影响评估（Data Protection Impact Assessment，“DPIA”）。根据GDPR第35条，在数据处理活动可能会给个人数据主体的权利和自由造成高风险时，数据控制者应当履行DPIA的法定义务。

对于评估责任主体，按照《信息安全技术 个人信息安全影响评估指南》4.4条之规定，组织内的责任部门（通常为法务部门、合规部门或信息安全部门）可根据部门的具体能力配备情况，选择自行开展个人信息安全影响评估工作，或聘请外部独立第三方来承担具体的个人信息安全影响评估工作。评估不仅可以识别可能导致个人信息主体权益遭受损害的风险，还可以通过处理情况记录的方式，帮助企业在政府、相关机构或商业伙伴的调查、执法、合规性审计中，证明已经遵守了个人信息保护与数据安全等方面的合规要求。特别是在《个人信息保护法》第69条确定了企业责任“过错推定”的情况下，实施风险评估并留存相关记录，有助于证明企业不存在过错从而减轻或免除赔偿责任。

    【合规建议】对于企业来说，合理评估并处置个人信息处理活动存在的安全风险，是遵循相关法规的合规要求，更是主动应对大数据时代信息风险的应有之义。企业应根据实际情况定期自查或聘请外部独立第三方来承担具体的个人信息安全影响评估工作。同时还应注意企业档案保管制度中对应添加个人信息保护影响报告和处理情况记录保存时间至少三年的期限性要求。

法定义务十：大型互联网平台特别义务

第五十八条　提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，应当履行下列义务：

（一）按照国家规定建立健全个人信息保护合规制度体系，成立主要由外部成员组成的独立机构对个人信息保护情况进行监督；

（二）遵循公开、公平、公正的原则，制定平台规则，明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务；

（三）对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者，停止提供服务；

（四）定期发布个人信息保护社会责任报告，接受社会监督。

解读：提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者对平台内的交易和个人信息处理活动具有强大的控制力和支配力，因此在个人信息保护方面应当承担更多的法律义务。《个人信息保护法》第58条的规定是为了提高大型互联网平台经营业务的透明度，完善平台治理，强化外部监督，形成全社会共同参与的个人信息保护机制。我们认为这样的探索非常有益，也是个人信息保护发展的必然路径。

    【合规建议】按照立法的监管思路，大型互联网平台应内外合力，严格履行以下义务：1）平台内建立健全有关处理和保护个人信息的规则，2）引入主要由外部成员组成的独立机构监督个人信息处理活动，3）对平台内产品或服务违规行为的管理，以及4）通过发布社会责任报告接受社会监督。

三、合规义务对应的罚则

《个人信息保护法》第七章涉及企业未履行个人信息保护义务的法律责任，包含行政责任、民事责任和刑事责任三类，此外，还包含公益诉讼。

(一)行政处罚责任

1.  违反本法规定处理个人信息，或者处理个人信息未履行本法规定的个人信息保护义务的，由履行个人信息保护职责的部门责令改正，给予警告，没收违法所得；

2.  对违法处理个人信息的应用程序，责令暂停或者终止提供服务；

3.  拒不改正的，并处一百万元以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

4.  情节严重的：1）责令改正，没收违法所得；2）并处五千万元以下或者上一年度营业额百分之五以下罚款；3）责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照；4）对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款，并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。

5.  有本法规定的违法行为，记入信用档案，并予以公示；

6.  违反治安管理行为的，依法给予治安管理处罚。

（二）民事侵权损害赔偿责任

1.   处理个人信息侵害个人信息权益造成损害，个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任；

2.   损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定；

3.   获得的利益难以确定的，根据实际情况确定赔偿数额。

（三）刑事责任

构成犯罪的，依法追究刑事责任。

相比本领域的其他法律规定，《个人信息保护法》的违法处罚力度大幅提升，其中最显而易见的便是处罚金额的设置。此外，《个人信息保护法》罚则中另一突出规定是明确将个人信息保护作为检察院公益诉讼的案由——其第70条规定，个人信息处理者违反本法规定处理个人信息，侵害众多个人的权益的，人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。2021年8月21日，最高人民检察院下发《关于贯彻执行个人信息保护法推进个人信息保护公益诉讼检察工作的通知》。《通知》明确，根据个人信息保护法有关规定，各级检察机关在履行公益诉讼检察职责时应当突出重点、从严把握以下方面：生物识别、宗教信仰、特殊身份、医疗健康、金融账号、行踪轨迹等敏感个人信息应当严格保护；儿童、妇女、残疾人、老年人、军人等特殊群体的个人信息需要特别保护；教育、医疗、就业、养老、消费等重点领域处理的个人信息，以及处理100万人以上的大规模个人信息应当重点保护；对因时间、空间等联结形成的特定对象的个人信息加强精准保护。检察机关要用足用好《人民检察院公益诉讼办案规则》中关于调查核实权的有关规定，充分运用科技手段，借助公安、工信等部门的专业技术力量，完善检察技术人员参加公益诉讼办案机制。上述规定进一步明确检察机关在侦办个人信息保护公益诉讼案件时可以借助公安、工信等部门的技术手段，这极大地增加了企业的法律风险，有可能因公益诉讼上升至刑事案件，因此值得相关企业高度重视。

结语

《个人信息保护法》在借鉴国际成熟的保护原则和立法经验基础上，结合我国国情，将之前相关法律、法规、标准中的实施经验和成熟措施上升为法律规范，在制度设计、维权途径、处罚力度等方面具有诸多创新和突破之处，完善了我国个人信息保护法律保护体系，提升了我国个人信息保护标准。从其影响范围来看，一切涉及到个人信息的采集、存储、使用、加工、传输、提供、公开等活动的企业都会受到本法的影响，与个人信息处理关系越密切的企业受到的影响越大。因此，我们建议在个人信息保护法正式生效前，相关企业应提前开展合规性审查。具体而言，应梳理、识别企业中涉及个人信息处理的各类业务类型；针对涉及个人信息处理的业务类型，围绕数据全生命周期的各个环节进行排查，例如，个人信息处理活动是否有合法性基础、处理活动是否符合个人的通常预期、是否涉及个人信息跨境提供、是否涉及事前风险评估等。针对合规审查中发现的问题，相关企业应及时制定相应的整改措施，并按照下个月即将生效的《数据安全法》和刚刚通过的《个人信息保护法》的要求，加快数据安全体系建设，提高企业的数据管理能力。

注释：

[1]中国互联网络信息中心（CNNIC）：《第47次中国互联网络发展状况统计报告》，2021年2月。

[2]国家计算机网络应急技术处理协调中心（CNCERT/CC）：《2020中国互联网网络安全报告》，2021年6月。

[3]马喆、侯艳：《个人信息保护法今年11月1日起施行 如何保护互联网时代的个人信息安全？》，来源：央广网。

[4]周扬等：《个人信息保护法》正式稿之重点条款导览，参见https://mp.weixin.qq.com/s/PAcl4fAduOTPhbatM8YDPQ

作者简介：张良律师，胡昕宇律师

盈科全国网络数据安全合规中心