2021年8月20日，万众瞩目的《个人信息保护法》正式发布，并将于11月1日生效。《个人信息保护法》将成为我国首部专门针对个人信息保护的系统性、综合性法律。本期内容对《个人信息保护法》进行全面分析与解读，探讨个保法与数安法、网安法之间的联动关系，并提供企业数据保护的相关合规指引。

• 《个人信息保护法》正式稿之重点条款导览　[周杨、辛小天、史蕾，北京德和衡律师事务所]

第一章 总则部分
1、个人信息权益被提升为宪法赋予的根本权利
2、个人信息的定义采用宽入口设计
3、适用范围采用属地属人双重适用原则
4、重要原则新增合法正当诚信原则、质量原则和协同治理原则

第二章 个人信息处理规则
5、七大处理个人信息的合法理由，新增实施人力资源管理所必须作为合法理由
6、“单独同意”成为重要的同意形式
7、保密义务和紧急情况称为豁免告知的法定情形
8、“共同处理”替代了“共同控制”概念，并将二者共同推向责任承担的前台
9、向第三方提供的告知同意要求更为严格
10、自动化决策及其营销使用场景合并规制，捋顺逻辑且禁止大数据杀熟
11、公开个人信息及使用公开的个人信息的特别限制
12、公共场所采集图像的特别安排
13、设专节对处理敏感个人信息作出严格限制，将特定身份和不满十四周岁未成年人的个人信息纳入敏感信息范围

第三章 个人信息跨境提供的规则
14、捋顺了个人信息跨境提供需要满足的前提条件，探索全球数据流动新局面
15、跨境合作标准合同呼之欲出
16、个人数据管制和反制条款与《数据安全法》协同一致

第四章 个人在个人信息处理活动中的权利
17、个人信息主体权利的全面构建
18、逝者个人信息保护规则进一步完善，个人信息保护结构更加立体

第五章 个人信息处理者的义务
19、个人信息处理者的义务
20、建立境内外个人信息保护的人员对接机制
21、DPIA强制义务场景具象化
22、增加基础性互联网平台的社会责任

第六章 履行个人信息保护职责的部门
23、个人信息保护职责部门的定义、层级及职责范围更加清晰
24、推动标准和认证体系建设

第七章 法律责任
25、显著提高行政责任处罚标准，引入高管禁业处罚
26、明确了民事责任赔偿制度，明确采用过错推定责任原则
27、公益诉讼制度正式落地

• 聚光灯下的新篇章——简评《个人信息保护法》　[段志超、蔡克蒙、王雨婷、胡敏喆，汉坤律师事务所]

一、最终稿对二审稿的核心修订

《个人信息保护法》最终稿对二审稿的核心修订包括：

- 完善个人信息处理的合法基础，将人力资源管理所必需纳入合法性基础的范围，并进一步明确了处理公开信息这一合法性基础的适用范围；
- 点名“大数据杀熟”，强化对自动化决策的监管，保障个人获得公平交易条件的权利；
- 进一步将敏感个人信息的处理范围限定在“只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下”；
- 创设性新增个人信息“可携带权”，强化个人对其个人信息的控制权，保障个人信息在不同平台之间的自由流动；
- 强化移动应用程序监管；
- 首次提出了“小型个人信息处理者”的概念，为未来豁免小型企业特定个人信息保护义务奠定了规范基础；
- 保障个人诉权，明确处理者拒绝个人行使个人信息权利请求的可诉性；将消费者组织纳入公益诉讼体系。

二、人力资源和公开信息处理：个人信息处理的多元合法基础的进一步调整
（一）人力资源管理
（二）处理公开的个人信息的规则

三、大数据杀熟和个性化营销：自动化决策的规范和限制
（一）大数据杀熟
（二）个性化营销
（三）对个人权益有重大影响的决定

四、敏感个人信息处理：单独同意是否是唯一合法基础？

五、可携带权：有待本地化的他山之石

六、应用程序相关责任和小型个人处理者：个人信息保护监管执法的“一增一减”

七、个人诉权和公益诉讼：个人信息相关诉讼的应对

• 《个人信息保护法》亮点解读和数据三法合规体系联动　[李瑞、贾申、钟俊鹏、李梦涵，中伦律师事务所]

由于三法各有侧重又相互交叉，企业在合规工作中对三部基础性法律所构建的合规体系均需给予重视。为此，我们简单归纳了一些三法之间的共性及个性，企业可在合规工作的不同环节中予以关注：

● 个人信息处理原则：个保法确立的“最小必要+知情同意”原则比网安法和数安法中的有关原则更加明确、具体，且规范了个人信息管理全流程
● 个人信息泄露报告制度：个保法沿袭和补充了网安法规定的个人信息泄露报告制度
● 国家安全保护：个保法、数安法和网安法均关注网络安全与数据合规领域的国家安全保护
● 数据境内存储义务
● 数据跨境流动：三法针对不同主体提出不同要求
● 司法协助方面：非经批准不得为外国司法或执法机构提供境内数据
● 评估制度：评估机制在三法中都具有重要地位，针对不同场景设置不同评估要求
● 负责人制度：明确网络安全/数据安全/个人信息保护的负责人
● 统一的工作协调与统筹机制：包括个人信息保护在内的数据安全领域均采“三阶层”监管架构

• 《个人信息保护法》重要规定及合规要点评析　[董潇、郭超、郭静荷，君合律师事务所]

对于企业来说，需要根据《个保法》上述各方面的新要求来制定合规的策略和体系。一些共性的需要考虑的重点要求及合规步骤包括：

1、梳理个人信息收集、使用场景。了解自身收集、存储、处理、转让、共享信息的各种情况和场景，对于每种情况下的合规状况全面、细致的掌握。

2、修改相应个人信息收集同意函及隐私政策。真实、准确、完整的向个人信息主体告知信息收集的细节及其他法定事项，根据自身收集处理实践的调整完善更新相关的法律文件。

3、完善信息收集同意的流程，并增加单独同意机制。对自身的线上（如网站、App以及小程序等）、线下的各种收集场景进行评估，考虑是否修改相应的流程和同意的获得机制。

4、设置敏感信息、特殊收集情形保护的特别机制。对敏感个人信息，或采用人像识别或身份识别设备收集、使用、存储情况进行特别的评估、记录、满足法律要求的要件。

5、防范信息传输及分享可能涉及多重的潜在法律风险。重点关注并采取预防措施。对于涉及转让、获取个人信息的情况，需重点核查合规性，并注意权利义务的界定。

6、设计相应机制保证个人信息主体权利的行使。保障个人信息主体的权利可以便捷的行使，包括为死亡自然人亲属行使个人信息权利提供方式及渠道。

7、评估个人信息影响应成为企业决策重要维度。建议将个人信息保护影响评估纳入产品及服务设计阶段，在信息收集前对相关信息收集的必要性、对个人权益的影响及安全风险以及安全保护措施的合法、有效性进行评估。

8、谨慎使用自动化决策工具用于信用评估、商业营销等活动。对于使用通过自动化决策方式对个人进行经济、信用状况等方面进行评估，需在使用前进行安全影响评估，并应个人要求进行说明、提供替代性方案等。通过自动化决策方式向个人进行信息推送、商业营销，应当同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式。

9、加强个人信息保护内控管理。梳理已存储的个人信息类型及相关内部系统，加强信息的技术及管理方面的保护措施。对个人信息实行分类管理，采取相应的加密、去标识化等安全技术措施，合理确定个人信息处理的操作权限，并定期对从业人员进行安全教育和培训，确定个人信息保护负责人。

10、完善修订员工信息收集的情形。根据《个保法》，按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需的个人信息收集无需取得个人同意，但企业需考虑员工个人信息收集的必要性及合法性，并需将个人信息收集、使用情况告知个人。

• 《个人信息保护法》来了，自动化决策怎么做　[史宇航（顾问），汇业律师事务所]

根据《个人信息保护法》，结合我们服务各类企业数字化、智能化转型的经验，自动化决策的合规要点包括但不限于：

1、以个人信息保护影响评估为基础

根据《个人信息保护法》《个人信息安全影响评估指南》（GB/T 39335-2020）的要求与推荐开展评估工作，评估工作全程留痕，相关的工作日志与工作成果将成为发生争议或面临检查时的有力支撑材料。

2、提升决策过程的透明度

结合《电子商务法》《反垄断法》《价格法》《消费者权益保护法》的要求，重视自动化决策系统正式上线前的测试环境，妥善保存测试数据、文档、整改方案，专门设置结果验证环节。

3、使用合规的系统信息推送、商业营销

结合《广告法》《消费者权益保护法》等法律中关于商业推广的要求，在系统中赋予用户更多选择权，设置提供不针对其个人特征的选项，或提供便捷的拒绝方式。如果使用第三方系统，则需要在前期的供应商筛选以及合同中确保第三方的系统能够满足法律要求，给予用户选择权。

4、避免算法单独作出对个人权益有重大影响的决定

在对个人权益有重大影响的决定的场景下，如信贷、健康咨询、劳动、教育等场景下，对自动化决策的结果引入人工审核。

5、通过隐私政策建立完善的沟通机制

隐私政策是连接个人与信息处理者的“桥梁”，在隐私政策中应当包括：1）对利用个人信息进行的自动化决策的环节和必要性进行逐一说明；2）对拒绝自动化决策的方式进行说明；3）列明联系方式，方便个人要求解释自动化决策。

6、面向诉讼开展自动化决策合规

《个人信息保护法》的颁布会极大地提升全民个人信息保护意识，并掀起维权热潮。因此，企业的个人信息合规措施应当能够在法庭上经得起对方律师与法官的“检验”，重点在于将合规措施与电子数据的取证工作有机结合在一起，设计合规措施时即从证据的真实性、合法性、关联性考虑具体措施的可行性，实现风险控制与合规成本的平衡。

7、面向个人信息全生命周期开展自动化决策的合规工作

自动化决策虽然只是数据生命周期中的一个环节，但合规工作需要面向整个生命周期进行部署。个人信息收集的合法性直接决定了能够进行哪些应用；如果涉及第三方，则会涉及双方的合同权利、义务。各种场景，不一而足。

• 关于金融机构“个人信息”的若干思考　[汪灵罡，方达律师事务所]

一、金融机构掌握哪些“个人信息
1.1 员工相关个人信息
1.2 客户相关个人信息
1.3 业务合作方相关个人信息

二、一般性“个人信息”与“敏感个人信息”

三、“衍生个人信息”怎么看

四、交易信息是“个人信息”吗？

五、云上存储“个人信息”的合规性

• 《个人信息保护法》正式稿与二审稿对比　[陈际红、蔡鹏、吴佳蔚、焦雅婷、杨润、陈煜烺，北京市中伦律师事务所]