近年来，随着以互联网为代表的移动技术飞速发展，全球进入数字经济时代，数据已成为和土地、资本、劳动力、技术等并列的关键生产要素，而个人信息在数据中占据相当大的比例。技术的发展给人们的生活带来巨大便捷，但个人信息泄露事件也屡屡发生，个人信息保护逐渐成为各国立法机构关注的重要议题。

截至目前，全球已经有128个国家和地区制定了与个人信息保护有关的法律法规。[1]其中，欧盟的《通用数据保护条例》（GDPR）、美国加州的《隐私权法案》（CPRA）成为很多国家立法的重要参考。

我国作为数字经济大国，也在构建个人信息保护的法律体系。其中，《刑法修正案（九）》增加侵犯公民个人信息罪等罪名，《网络安全法》确立个人信息保护原则，《电子商务法》对电子商务平台的经营者提出保护个人信息的要求，《民法典》在“个人权编”设立专章规范隐私权和个人信息保护，《数据安全法》对数据提出安全保护措施，此外国家还制定和出台了多部部门规章和国家标准，我国个人信息保护的法律体系逐步得到完善。

2021年8月20日，《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）经第十三届全国人大常委会第三十次会议审议通过，并将于2021年11月1日起施行。《个人信息保护法》将与《网络安全法》《数据安全法》共同构建起我国个人信息保护的基本框架，向个人信息处理者提出新的合规要求。

一、个人信息的概念

《个人信息保护法》第四条规定，“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。”

◆相关法律对比评析

在个人信息的定义上，《个人信息保护法》与GDPR类似，都将已识别与可识别的自然人有关的信息纳入保护范围。相比较而言，CPRA通过“定义+列举+排除”的方式把个人信息限定为“直接或间接地识别、关联、描述、能够合理地与某一特定消费者或家庭相关联或可以合理地与之相关的信息”，其保护范围更加明确。

需要注意的是，《个人信息保护法》并未沿用《网络安全法》对个人信息的定义。《网络安全法》第七十六条规定，“个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息”。从文义来解释，《个人信息保护法》中个人信息的外延更大，这有待于《个人信息保护法》正式施行后，由实施细则、配套法规、司法实践等予以明确。

二、《个人信息保护法》中个人信息处理的原则和规则

1.个人信息处理原则

《个人信息保护法》在总则部分确立了处理个人信息时应遵循的原则，主要包括：合法、正当、必要、诚信原则（第五条），最小必要原则（第六条），公开、透明原则（第七条），准确、完整原则（第八条），主体负责原则（第九条），安全保障原则（第九条）。这些原则与世界范围内个人信息保护的原则趋同，与《网络安全法》《民法典》等我国先前立法的规定基本一致，贯穿于《个人信息保护法》的全文。

个人信息处理者尤其要注意以下两项原则。

（1）更严格的最小必要原则

《个人信息保护法》第六条规定，“处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息。”

参考《深圳经济特区数据管理条例》，最小必要原则的常见具体情形包括：

1）处理个人信息的种类、范围应当与处理目的直接关联；

2）处理个人信息的数量应当为实现处理目的所必需的最少数量；

3）处理个人信息的频率应当为实现处理目的所必需的最低频率；

4）个人数据存储期限应当为实现处理目的所必需的最短时间；

5）建立最小授权的个人信息访问控制策略；等等。

◆相关法律对比评析

对照GDPR的数据最小化原则，其主要要求收集个人信息的类型与数量最小化，并未明确要求对个人权益的影响最小化。从这一点来看，《个人信息保护法》的最小必要原则对个人信息处理者提出了更严苛的要求。

（2）准确、完整原则

《个人信息保护法》第八条规定，“处理个人信息应当保证个人信息的质量，避免因个人信息不准确、不完整对个人权益造成不利影响。”相应地，《个人信息保护法》赋予了个人更正权，其第四十六条规定，“个人发现其个人信息不准确或者不完整的，有权请求个人信息处理者更正、补充。个人请求更正、补充其个人信息的，个人信息处理者应当对其个人信息予以核实，并及时更正、补充。”

◆相关法律对比评析

参照GDPR的规定，个人信息处理者应贯彻“质量保证原则”，同时关注个人信息的“准确性”和“完整性”。[2]

◆对个人信息处理者安全保护义务的思考

第一，前述个人信息处理原则应贯穿于收集、存储、使用、加工、传输、提供、公开、删除等个人信息处理的全生命周期。

第二，要满足“最低频率”“最短时间”等最小必要原则，对于个人信息处理企业来说有一定的难度，因为对企业进行规制的不仅包括法律法规，还有国家标准、行业标准等多种规定。企业要达到最小必要的要求，应当将个人信息安全评估工作常态化，如评估所处理个人信息的类型、企业的法定义务、业务的运作模式等，结合行业特点针对性地满足法律法规的各项要求，如《网络安全法》要求对登录日志保留6个月、《电子商务法》要求对订单信息存储3年、《数据安全法》要求处理个人数据必须单独授权同意等。

第三，个人信息处理者在收集个人信息时应采取一定措施辨别信息来源是否可靠、个人信息是否准确；在收集个人信息后，如果个人信息发生变化应及时更新；并采取措施保障个人信息安全，使其免于丢失或损害。

2. 个人信息处理规则

《个人信息保护法》确立了以“告知＋同意”为核心的个人信息处理规则，充分体现了对个人权益的保护。从《个人信息保护法》第十三条的规定看出，取得个人同意是处理个人信息的基础，而且第十四条明确这种“同意”必须以个人“充分知情”“自愿”“明确”为前提；同时，第十五、十六条赋予个人对其同意的撤回权，并禁止个人信息处理者以不同意或撤回同意为由拒绝提供产品或者服务。

除此以外，《个人信息保护法》还规定了五类个人信息处理者需要取得“单独同意”的情况，包括向其他个人信息处理者提供其处理的个人信息（第二十三条），公开其处理的个人信息（第二十五条），在公共场所出于公共安全以外的目的而收集个人图像、身份识别信息（第二十六条），处理敏感个人信息（第二十九条），向境外提供个人信息（第三十九条）。

◆相关法律对比评析

从个人信息的处理规则来看，《个人信息保护法》对个人信息处理者提出了比GDPR和CPRA更高的要求。《个人信息保护法》不仅采用GDPR以个人同意为前提的信息处理规则，同时对特殊情形下的“单独同意”提出明确要求，而GDPR并无此类要求。

◆对个人信息处理者安全保护义务的思考

第一，收集个人信息应当采用合法方式，不得通过隐瞒、欺诈、误导等不正当手段收集个人信息，且收集的目的应与实现数据产品或服务的功能直接相关；

第二，收集、处理个人信息应当明示个人信息处理规则，不得向用户提供冗长、复杂的用户协议，建议使用弹窗、隐私条款、常见问题等更容易送达用户的形式，且上述形式的文字排版不应造成用户阅读困难。

第三，不得要求用户提供“一揽子”授权，针对法律规定的特殊处理行为，必须制定单独的处理规则，不能仅在个人信息使用协议中进行披露。

注释：

[1]:https://unctad.org/page/data-protection-and-privacy-legislation-worldwide.

[2]:黄凯，等. 迎接个人信息保护新篇章——《个人信息保护法》要点评析[EB/OL]. 合规思维，2021-8-24.

作者简介：王俊林 律师

王俊林律师，北京市盈科律师事务所高级合伙人、盈科北京管委会副主任、盈科北京知识产权法律事务部（一部）主任。 王俊林律师长期专注于竞争法（反垄断与反不正当竞争法）、知识产权法及其交叉领域的诉讼实务及研究，擅于处理上述法律领域涉及的商事争议解决及合规风险控制等。业务范围包括对企业竞争行为分析及抗辩、反垄断民商诉讼及调查、并购交易及经营者集中反垄断审查申报、不正当竞争及知识产权维权诉讼、网络安全及数据保护、重大民商事诉讼仲裁、合规管理及培训等。