编者按

《中华人民共和国个人信息保护法》（以下简称《个保法》）于11月1日正式生效。《个保法》在内容上借鉴先进海外地区的立法经验，吸收了《民法典》、《个人信息安全规范》、《网络安全法》、《电子商务法》、《数据安全法》等法规中涉及个人信息保护的有益内容，从个人信息处理规则、个人信息跨境提供规则、个人信息主体权利、个人信息处理者的义务、以及个人信息保护和合规义务等具体方面，为个人信息主体的权益提供了全面的保障。本期专题中王捷律师将我国《个保法》与海外九大主要地区的个人信息保护法案从十个维度进行横向对比，分析各国/地区在数据保护方面的异同点、主要合规要点，供出海互联网企业及大量接触个人信息的相关岗位人员参考。

目录

一、法律适用范围与域外适用效力

（一）我国个保法解读

《个保法》在第一章“总则”中就本法的适用范围进行了明确的规定。

● 首先，其明确规定过了“在中华人民共和国境内处理自然人个人信息的活动，适用本法”。可见，我国个保法采取了“属地原则”，明确了其适用范围之一针对的是“处理中国境内自然人信息的活动”，本法适用的个人信息主体，是指在中国境内的自然人个人，而无论该自然人是中国人还是外国人。换言之，即便是外国人主体，当其是在中国境内产生了个人数据，且被中国境内的组织、个人进行了个人信息的处理行为，则将会落入我国个保法的管辖和保护范围内。

举例说明　

一款主要为境内用户提供购物服务的国内电商类App，在其服务过程中，收集了某位身处中国境内的外国人主体的个人信息时，则该电商类App在中国境内处理该等外国个人主体的个人信息时，需要遵守我国个保法的规定。而至于该电商类App对外国人主体个人信息的处理行为，是否还会落入该外国人所属国家或其他第三方国家/地区的个人信息保护法的适用范围，或海外地区的法律是否对本场景下的个人信息处理活动享有管辖权，则还需结合该海外地区的数据保护法案的适用范围进行分析。

● 其次，我国个保法明确了它也是具有域外适用效力的，体现在第三条第二款的规定：“在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动，有下列情形之一的，也适用本法：
（一）以向境内自然人提供产品或者服务为目的；
（二）分析、评估境内自然人的行为；
（三）法律、行政法规规定的其他情形。”

可见，我国个保法借鉴了欧盟GDPR，明确了其具有必要的域外适用效力，规定了当向境内自然人提供产品或服务，或分析、评估境内自然人的行为亦适用个保法的规定。

举例说明　

回到刚才的例子，假如该电商类App在新加坡部署了数据中心，并在新加坡（中国境外）处理该外国人的数据，鉴于该App是以向中国境内自然人提供服务的，且该外国人亦身处中国境内，因此仍然落入我国个保法的适用范围，需要遵守我国数据保护法律法规的相关要求。

● 特别需要注意的是，对于境外的个人信息处理者，我国个保法明确要求了应当在中国境内设立专门机构或者指定代表，负责处理个人信息保护相关事务，并将有关机构或者代表的信息报送履行个人信息保护职责的部门。

但对比于欧盟GDPR的地域适用范围，我国个保法的规定还是有细微的区别。　

欧盟GDPR是由“稳定的安排/组织设立机构（establishment）”，以及“服务目标/开展业务过程中（in the context of the activities）”两个标准共同确立的，而我国个保法的地域适用范围则是由“处理行为发生地”和“服务目标”确定的。这里的异同体现在“稳定的安排/组织设立机构（establishment）”与“在境内进行处理”，是不一样的。根据我国个保法的要求，只要处理自然人个人信息的活动发生在我国境内，或者以向我国境内自然人提供产品或者服务为目的，就会被纳入个保法的管辖，而不管是否需要在我国境内具有稳定的安排或设有机构（establishment）。

● 当然，我国个保法亦明确了其不适用的情形，包括：

（1）自然人因个人或者家庭事务而处理个人信息的，不适用本法。
（2）法律对各级人民政府及其有关部门组织实施的统计、档案管理活动中的个人信息处理有规定的，适用其规定。”

（二）海外主要个人信息保护法律对比

二、个人信息处理规则与特别注意事项

（一）我国个保法解读

I、个人信息保护的原则

我国个保法第五条到第十一条确立了个人信息处理应遵循的原则，强调处理个人信息应当遵循合法、正当、必要和诚信原则，具有明确、合理的目的并与处理目的直接相关，采取对个人权益影响最小的方式，限于实现处理目的的最小范围，公开处理规则，保证信息质量，采取安全保护措施等。

归纳来看，可以理解为主要的七大原则：　

1、合法、正当、必要和诚信原则

是指处理个人信息时，一方面，应当具有合法性的基础、具有正当的理由、并应满足必要性的要求（对个人信息的处理应当限定在为了实现处理目的所必要的范围内），另一方面，要遵守诚信原则，不得通过误导、欺诈、胁迫等方式处理个人信息。

2、目的明确、合理原则

相比于《二审稿》，个保法新增了“采取对个人权益影响最小的方式”，即将个人权益的影响程度作为是否明确、合理的判断标准，再次特别强调了，信息的收集范围与处理目的应当直接关联，并应该限制在实现目的的最小范围内（最小必要原则，不得过度收集个人信息）。

3、公开、透明原则

是指，处理个人信息，一方面应该对企业、组织是如何处理用户的个人信息进行公开；另一方面，还应通过这些公开的政策、规则来明确展示企业、组织在处理个人信息方面的具体目的、处理方式和处理范围。

4、质量原则

相比于《二审稿》，个保法新增了“保证个人信息的质量”的要求，其具体内涵是指，为实现个人信息的处理目的，企业、组织应当对其所处理的个人信息保证准确，并在有变化时候进行及时的更新。

5、安全保护原则

没有数据安全的保障，就没有对数据的有力保护，安全是保护的关键前提，企业、组织应当对其个人信息处理活动负责，并采取必要措施保障所处理的个人信息的安全。

6、禁止非法处理原则

个保法明确列举了8大“禁止性行为”，给企业、个人划定了清晰的红线：任何组织、个人不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息；不得从事危害国家安全、公共利益的个人信息处理活动。

7、共同治理原则

个人信息保护是一项需要个人、企业、行业组织、监管部门等各方面共同协作、参与的事项，一方面，国家通过建立、健全个人信息保护制度，对侵害个人信息权益的行为进行预防和惩治；另一方面，也需要通过加强个人信息保护宣传教育工作，推动形成政府、企业、相关行业组织、社会公众共同参与个人信息保护的良好环境。

II、“告知-同意”是核心规则

我国个保法明确了以“告知—同意”为我国个人信息保护的核心规则（核心的合法性基础），一方面，为个人对其个人信息处理的知情权和决定权提供了重要的保障；另一方面，以“同意”作为合法理由处理个人信息，必须赋予用户撤回同意的权利。这与GDPR的规则设置是非常类似的。　

对于如何进行告知，个保法明确了，企业不仅要真实、准确、完整地向个人“充分告知”与处理个人信息的各类事项（包括处理者身份、联系方式、处理目的、处理方式、信息种类、保存期限、个人行使权力的方式和程序等等），还需要以显著方式、清晰易懂的方式进行，并且在重要事项发生变更时，还应重新取得个人的同意，而不能“一次了事”。

对于如何获得同意，则要求个人需要在“充分知情”的前提下，作出自愿的、明确的同意，而不能是被强迫的、不平等的，也不能是含糊的、不清晰的情况下作出。

值得一提的是，本次个保法在处理个人信息的合法理由中，新增了“实施人力资源管理所必需”作为处理个人信息的合法理由之一，但在使用这一合法理由时，应特别注意这是附条件的，只有是满足了“依法制定的劳动规章制度”和“依法签订的集体合同”才可以，而何为“依法制定”和“依法签订”，就为作为用人单位的企业在处理员工的个人信息时留下了非常值得研究的实操空间以及合规空间，也对企业在处理员工个人信息时，提出了更进一步的合规要求。

III、“单独同意”是特别规则

与此同时，我国个保法还针对“法律、行政法规等专门规定的特殊情况”，特别设置了特殊的单独同意规则。　

1、处理敏感个人信息情形：

例如，企业在处理个人敏感信息时，除了在隐私政策中，向用户告知处理敏感个人信息的具体种类、处理的必要性、对个人的影响，采取严格的保护措施外，还需要在该特定场景触发时，通过如单独弹窗、单独页面展示等方式向个人告知，并获得个人的单独的、明示有效的同意，而不能是“概括同意”，“一揽子同意/捆绑授权”，更不能是“默认同意”。

2、处理儿童个人信息情形：

例如，在企业收集不满14周岁的未成年人个人信息的场景下，企业还应当取得未成年人的父母或者其他监护人的同意。

3、向其他个人信息处理者提供个人信息情形：

例如，在企业向其他第三方合作伙伴（其他个人信息处理者）提供、转移个人信息的场景下，除了需要向个人履行告知义务（个保法规定了告知内容的法定要求），进行事前的风险评估外，还应当取得个人的单独同意。

而对于前述情况下作为数据接收方的第三方合作伙伴，除了应该在传输方告知个人的范围内处理个人信息，还应该在接收方企业变更原先的处理目的和方式时，重新取得个人的同意。

4、在公共场所安装图像采集、个人身份识别设备的情形：

这是本次个保法新增的内容，与目前大量企业滥用摄像头收集个人信息、特别是人脸识别信息等情况有关，也与今年8月1日出台的最高人民法院《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》起到遥相呼应的效果。

与此相关的企业应特别关注和留意，在安装图像采集、个人身份识别设备时，应当：

（1）是为了维护公共安全所必需——限制收集目的
（2）在遵守国家有关规定的同时，还应设置显著的提示标识——明确告知方式
（3）特别需要注意的是，企业因此而收集的个人图像、身份识别信息，只能用于维护公共安全的目的，不得用于其他目的；但取得个人单独同意的除外——限制处理用途

5、公开个人信息的情形：

个保法明确规定了，原则上不得公开，但取得个人单独同意的除外。

值得注意的是，在使用公开个人信息方面，我国个保法参考海外数据保护法规，也提供了“选择退出”的规定：

（1）对于个人自行公开或者其他已经合法公开的个人信息，除非个人明确拒绝，个人信息处理者可以在合理范围内处理；
（2）对于处理已公开的个人信息，而对个人权益有重大影响的，个人信息处理者应当取得个人同意。

IV、豁免告知作为例外规则

本次个保法不仅在告知的内容要求上和告知的形式上作出了进一步的细化要求，还确立了两种个人信息处理者可以进行豁免的告知情形：　

（1）基于保密义务的豁免：当有法律、行政法规规定应当保密或者不需要告知的情况下，可以不向个人告知个人信息处理者的名称或者姓名和联系方式。
（2）基于紧急情况的豁免：为保护自然人的生命健康和财产安全而无法及时向个人告知的情况下，可以在紧急情况发生之时不进行告知，但是应当在紧急情况消除后及时告知。

V、共同处理承担连带责任规则

本次个保法正式确定了共同处理者的概念（共同决定个人信息的处理目的和处理方式的），也是新增内容之一。　

与欧盟GDPR以及先前出台的个人信息规范不同的是，个保法在概念上没有区分个人信息控制者和处理者，而是通过明确规定 “在共同处理个人信息时，在侵害个人信息权益造成损害的情况，应当一起依法承担连带责任”的方式，确立了由共同处理者一起面向个人数据主体去承担连带责任。

提醒企业注意的是，在发生共同处理的情况下，应该通过合同的方式与第三方明确约定双方的权利与义务，明确各自需要承担的责任，要求第三方共同满足个人信息安全的要求，同时亦需要向个人数据主体进行有效的告知。

VI、自动化决策应确保透明公平公正，并有权进行拒绝的规则

这可能是本次个保法最为关注也受到最大热议的亮点之一，明确了广大用户关注的自动化决策的规制，即应“保证决策的透明度和结果公平公正”且“不得对个人在交易价格等交易条件上实行不合理的差别待遇”。　

要求企业在自动化决策最为普遍的应用场景“信息推送、商业营销”中，应当向个人提供“不针对其个人特征的选项”，或者“向个人提供便捷的拒绝方式”。

特别是，对于对用户的个人权益造成重大影响的情况，法律明确为个人主提供了要求解释清楚的权利以及进行明确拒绝的权利。

本条的出现，在实务中，引起了非常多与个性化推荐有关的企业的关注，特别是精准广告的行业企业，在接下来的实际应用中，相信会有更多的实务难题出现。但从最基本的合规注意事项而言，企业可以关注以下基本的合规逻辑：

（1）以充分、全面、清晰告知用户，以及取得用户的个人同意为合法性基础，其确保该同意是自愿、明确的；
（2）对企业所进行的自动化决策的透明和公平性进行解释与说明；
（3）当自动化决策是用于为了信息推送，或商业广告推广时，应为用户提供可以退出的途径，以及不进行个人特征推送的选项；
（4）仅通过自动化决策作出对个人权益有重大影响的决定的，在用户要求解析说明，或用户明确提出拒绝时，应保障其权利机制的实现，并考虑增加人工决策的方式。

（二）海外主要个人信息保护法律对比

鉴于个人信息处理的规则是一个比较复杂的分析类事项，一方面，不同国家的数据保护法律会有不同的规定，不仅对于特殊类型个人信息有不同的概念与分类，而且也会对不同特殊类型的个人信息有特别的规则，另一方面，在大量的实务操作过程中，还需要结合具体的业务场景、前提和多方面的维度进行综合考虑。以下表格仅就个人敏感信息的定义以及处理要求和一些特殊点进行扼要对比。

三、数据本地化存储要求

（一）我国个保法解读

1、明确了个人信息以境内存储为原则

● 我国个保法明确规定了个人信息的存储地点应当以境内存储为原则，应当存储在境内的具体情形包括：　

（1）国家机关处理的个人信息；
（2）关键信息基础设施运营者（CIIO）在境内收集和产生的个人信息；
（3）即使不构成CIIO，如果个人信息处理者在境内收集和产生的个人信息的数量达到国家网信部门规定的数量的，也应当存储在境内。

● 个保法特别强调了关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者，应当将在境内收集和产生的个人信息存储在境内，不得向境外传输。如果的确需要向境外提供个人信息的，应当通过国家网信部门组织的安全评估。　

换言之，对于关键信息基础设施等重要数据的储存、利用、控制和管辖，我国提出了明确的本地化存储的要求，其基本逻辑是，任何中国公司或者外国公司在我国境内采集和存储与个人信息和关键领域相关数据时，必须使用我国境内的服务器。

这是我国作为主权国家行使“数据主权"的重要体现之一，也与我国《网络安全法》基于保障网络数据安全的考量，明确要求在境内存储“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据"的要求一脉相承。

2、企业合规扼要建议

从前面分析可知，我国个保法并非像某些主权国家（例如俄罗斯）一样对本地化存储进行了非常严格的要求，而是对特定的主体提出了本地化存储的要求以及安全评估的义务。企业以及特别是涉及国际业务的企业，在处理个人信息的时候，需要关注是否受到本地化存储的要求限制：　

Step 1：判断是否落入必须进行本地化存储的主体范围。
如果是，则需要进行数据本地化存储，即企业应当将在中国境内收集和产生的个人信息存储在境内。

Step 2：判断是否有的确有需要向境外提供的必要。
即企业需要结合业务的实际情况与业务运作安排等维度，综合考虑与确认该等数据出境的必要性。

Step 3：判断是否已经通过国家网信部门组织的安全评估。
我国的数据本地化要求并没有一刀切地完全禁止将个人信息传输至中国境外，对于确实需要向境外提供的，则需要在通过国家网信部门组织的安全评估后再进行传输。

根据网信办2019年《个人信息出境安全评估办法（征求意见稿）》的要求，企业在进行安全评估时候，并非完成了内部的自我评估就结束，而是应当向所在地的省级网信部门进行个人信息出境安全评估的申报动作。安全评估的重点包括：

（1）评估个人信息跨境传输是否符合法律法规及政策规定；
（2）传输方与接收方所签署的合同是否能够充分保障个人信息主体合法权益；
（3）合同是否得到有效执行；
（4）传输方与接收方是否发生过有损害个人信息主体合法权益的历史、是否发生过重大网络安全事件；
（5）传输方获得个人信息是否合法、正当。

（二）海外主要个人信息保护法律对比

从上述各国或地区要求本地化的数据类型来看，大致可以分为三种类型：　

（1）数据保护法律中没有明确要求进行本地化存储的，但可能在进行跨境传输时候提供了严格的限制。例如欧盟GDPR、新加坡地区等。

（2）对数据类型进行划分，针对不同的数据类型提出不同的本地化存储要求。例如印度，划分为关键个人数据、敏感个人数据和一般个人数据，关键的个人数据必须存储在印度境内，但也提供了例外条件；对于敏感的个人数据，必须存储在印度境内，但其副本可以按照跨境转移的要求进行传输到印度境外。

（3）对收集数据的主体进行了划分，并针对不同的特定主体提出了不同的本地化存储要求。例如印尼要求只有公共电子系统运营商才必须将其电子系统和数据放置在印度尼西亚本地。

四、数据跨境传输规则与要求

（一）我国个保法解读

1、跨境提供个人信息的前置条件

我国个保法正式确立了我国个人信息跨境流动的规则体系，规定个人信息以在境内存储为原则，并确定了需要在满足法律规定的条件下可以向境外提供个人信息的规则。

可见，我国基于个人信息的跨境流动将会影响到个人隐私安全、企业利益甚至国家安全，以及数据的跨境流动具有不可逆的特性，采取了对个人信息跨境传输活动进行事前监管的方式。　

个保法第三十八条明确规定，个人信息处理者因业务等需要，确需向中华人民共和国境外提供个人信息的，应当至少具备下列一项条件：

（一）依照本法第四十条的规定通过国家网信部门组织的安全评估；
（二）按照国家网信部门的规定经专业机构进行个人信息保护认证；
（三）按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务；
（四）法律、行政法规或者国家网信部门规定的其他条件。

我国缔结或者参加的国际条约、协定对向境外提供个人信息的条件等有规定的，可以按照其规定执行。

首先，从法条本义解析出发，至少满足其中一项条件即可，但实践中，如果能同时满足其他条件，亦为更佳。

其次，需要注意的是，安全评估或个人信息保护认证，并非企业自我评估或自我认证就可以，而是两者都需要由国家网信部门的安排与组织下进行。根据2019网信办发布的《个人信息出境安全评估办法（征求意见稿）》，与安全评估的相关规则还处在征求意见阶段，暂未见其他进一步的强制规定与政策指南。

所以，尽管目前还没有具体的由国家网信部门指定的标准合同，但相比前两者来说，目前跨国企业在进行个人信息跨境传输时较为可行的方式，是采取“与境外接收方订立合同”的方式，通过要求提供方与接收方公司签订合同以约定双方在个人信息处理和保护的权利和义务。

2、跨境提供个人信息的基础要求

跨境传输是个人信息处理活动的一种，因此，在满足“前置条件”的情况下，企业在向境外提供个人信息的时候，仍需要继续按照我国个保法的基础要求进行，主要包括：　

（1）向数据主体告知境外接收方的身份和联系方式，个人信息的处理目的、处理方式，个人信息的种类、数据主体对应权利，以及保存期限（且应当为实现处理目的所必要的最短时间等）；
（2）获得数据主体的单独同意；
（3）进行事先的个人信息保护影响评估（DPIA或PIA）
（4）采取必要措施，保障境外接收方处理个人信息的活动达到个保法要求的个人信息保护标准；
（5）确保境外接收方没有落入国家网信部门的黑名单（列入限制或者禁止提供个人信息的公告清单）。

3、跨境提供个人信息的对等要求

我国个保法确立了信息跨境传输的“对等原则”，即，如果信息接收国家和地区在个人信息保护方面对我国采取歧视性的禁止、限制或者其他类似措施，作为我国可以根据实际情况对该国家或者地区采取对等的禁止、限制或其他类似的措施。在这样的情况下，当个人信息是向该等国家或地区提供的时候，则会受到相应的限制，需要视情况而具体分析。

4、跨境提供个人信息的特殊要求

A.在向境外提供个人信息时候，还需要特别关注被传输的个人信息的性质，以及数量问题。　

对于关键信息基础设施运营者，以及处理个人信息达到国家网信部门规定数量的个人信息处理者，应当：

● 将在境内收集和产生的个人信息存储在境内；
● 确需向境外提供的，应当通过国家网信部门组织的安全评估；但法律、行政法规和国家网信部门规定可以不进行安全评估的，从其规定。

关于“关键信息基础设施”的认定，在刚刚生效的《关键信息基础设施安全保护条例》中有所体现，主要是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。

关于“个人信息达到国家网信部门规定数量”的界定，可参考本年7月份网信办发布的《网络安全审查办法（修订草案征求意见稿）》，2017年网信办发布的《个人信息和重要数据出境安全评估办法（征求意见稿）》以及2021年10月29日发布的关于《数据出境安全评估办法（征求意见稿）》中的规定。

B.在协助境外司法执行方面的规定　

我国个保法在这方面设置了非常高的门槛，明确规定了，对于存储在我国境内的个人信息，如果没有经过我国主管机关的批准，不得向外国司法或者执法机构进行提供。可见，我国对此情形下亦强调并采取了事前监管原则，即便进行了各种安全评估、获得数据主体同意、进行个人信息保护认证等方式也不能成为可以向境外司法或执法机构提供的前置条件，而唯有获得中国主管机关的明确批准，才能流出境外。

（二）海外主要个人信息保护法律对比

五、数据主体在个人信息处理活动中的权利

（一）我国个人信息保护法解读

1、知情权　

个人信息主体对于自己的个人信息是如何被收集、使用、处理的进行充分的知悉和了解，是最为基础的权利，也与我国个保法要求企业、个人等信息处理者需要履行告知义务，获得用户的自愿明确的同意相辅相成。

企业在处理个人信息时，应通过明示个人信息保护政策让个人信息主体清晰地了解到有关个人信息处理的各项内容与规则，包括但不限于企业的主体身份、联系方式等基本情况、所收集的个人信息的具体类型与范围、个人信息的收集方式、存储期限、数据出境的处理规则、个人信息处理和使用的目的、使用方式与范围等等。

2、决定权　

个人信息主体对自己的个人信息权利享有自主决定的权利是保护数据主体权利的核心内容，有权决定是否接受个人信息处理者对其个人信息的收集、使用和处理。企业在处理个人信息时应该对个人信息主体的决定权提供充分的保障，例如通过主动勾选同意协议、通过区分必要与附加业务功能来为个人信息主体提供是否选择接受服务功能等方式进行。

3、限制权　

个人信息主体的限制权是决定权的延伸体现，例如个人信息主体有权要求企业、组织在收集个人信息的时候应当限于实现处理目的的最小范围，不得过度收集个人信息；有权要求企业、组织在处理个人信息的时候仅在已经告知和获得同意的限定范围内进行使用，如果超出已约定的范围或者超出合理合法的范围的，则需要另外再行告知与获得同意。

4、拒绝权　

个人信息主体的拒绝权也可以理解为决定权的延伸体现，例如，对于不是非必需提供个人信息才能使用的某些业务功能，个人信息主体可以拒绝提供。我国四部门在2021年3月联合发布的《常见类型移动互联网应用程序必要个人信息范围规定》进行了明确要求与呼应，明确规定了移动互联网应用程序（App）运营者不得因用户不同意收集非必要个人信息，而拒绝用户使用App基本功能服务。我国个保法也在个人信息处理规则中，通过要求个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由，拒绝提供产品或者服务（但处理个人信息属于提供产品或者服务所必需的除外）来进一步保障了个人信息主体实现拒绝权的可能性。

5、查询、复制权　

个人信息主体有权对自己被收集和处理的个人信息进行查看、访问与复制，但是也给出了豁免条款，例如企业、组织在处理个人信息时候被法律所要求应当进行保密或者不需要进行告知的情形。

本次个保法还特别新增了数据可携权，这个权利在此前的一审、二审稿中都没有体现过。该权利明确要求了当个人信息主体在请求将其个人信息转移到其指定的其他个人信息处理者的时候，如果也符合了网信办规定的条件的，则个人信息处理者应当为该个人主体提供转移的途径。

6、更正、补充权　

个人信息也会有一个动态的变化，赋予个人信息主体的修正、更改的权利非常重要，因为不准确、不完整的个人信息，不仅会对个人在生活、工作中造成影响，也会为企业在处理个人信息时候带来其他风险（特别是涉及征信、金融、医疗等敏感特殊领域与情况）。因此，在个人信息主体提出要求对自己的个人信息进行更正、补充或其他异议的时候，企业、组织等个人信息处理者应该及时进行回复、处理，核实个人信息的准确性，并对错误、不完整的信息进行及时的纠正与补充。

7、删除权　

个人信息主体的删除权是数据主体权利保护方面的重要体现，在其他国家或地区可能也有不同的称呼，例如镲除权、被遗忘权（会有具体细微的区别）。

对比之前的草案，个保法在删除理由中新增了“处理目的无法实现”，同时还就个人信息处理者提供了关于删除权的救济保障的规定，即在个人信息主体要求行使删除权的时候，而实际上其他法律法规要求的保存期限尚未届满，或技术上存在很大困难的，则个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理，以作为对数据主体行使删除权而企业或组织等信息处理者又无法满足时候的救济。

同时，需要特别注意的是，原则上，在一些特别的情形下，个人信息处理者应当主动删除个人信息。如果个人信息处理者没有主动删除的，则我国个保法赋予了个人有权请求个人信息处理者进行删除。因此，作为企业，在处理用户个人信息时候，应特别注意这些情形：

（1）处理目的已实现、无法实现或者为实现处理目的不再必要；
（2）个人信息处理者停止提供产品或者服务，或者保存期限已届满；
（3）个人撤回同意；
（4）个人信息处理者违反法律、行政法规或者违反约定处理个人信息；
（5）法律、行政法规规定的其他情形。

8、解释说明权　

如前所述，企业应当向用户明确告知个人信息的处理规则以及相关的各项内容，这是对个人信息主体的各项权利的有效保障，因此，个保法赋予了个人信息主体有权请求企业对其个人信息处理规则进行解释说明的权利，当个人提起该要求时，作为个人信息处理者的企业、组织应该进行及时的反馈与答复。

9、关于逝者个人信息的近亲属继承权　

这也是本次个保法新增的亮点内容之一。从全球角度来看，法律对于逝者的个人信息保护与隐私权保护，很多国家还在不断探索中，有部分国家有明确的立法规定，例如美国HIPPA对逝者在医疗方面的隐私保护。

我国个保法也为逝者的个人信息保护提供了一定程度的保护，在自然人死亡情况下，当该逝者的近亲属是为了自身的合法、正当利益的，其近亲属可以对逝者的相关个人信息行使包括个保法规定的查阅、复制权、更正权、删除权等相关权利，但如果逝者在生前通过协议、约定等方式另有安排的除外。

可见，逝者近亲属行使的逝者数据主体权利的法定基础是明确的，包括合法、正当、或遵从逝者生前的安排等。同时，对于可以行使的权利类型也给出了较为明确的规定，包括查阅权、复制权、更正权和删除权等可以由近亲属等继承人实现的权利。

10、行使个人权利的途径　

如果没有个人权利有效的实现途径，上述个人信息主体的权利将会仅是纸上谈兵。

因此我国个保法，特别在本章的最后，增加并明确要求企业、组织等个人信息处理者应当建立便捷的、可真正触达的、方便用户（个人信息主体）行使数据主体权利的途径，包括申请受理途径和具体可落地的处理机制。

同时，明确要求企业、组织等个人信息处理者在拒绝个人行使权利的请求的，应当明确说明其具体的理由。在遭受个人信息处理者拒绝行使数据主体权利请求的的时候，用户个人有权向法院提起诉讼，以获得有效的司法救济。

（二）海外主要个人信息保护法律对比

六、数据影响评估（DPIA/PIA）要求

（一）我国个人信息保护法解读

本次个保法没有就笼统性的场景对需要进行数据影响评估作出规定，而是针对具体的处理活动作为判断是否需要进行DPIA/PIA的基准点，个人信息处理者应当在数据处理活动之前进行数据影响评估的情况（事前风险评估）包括：

1、处理敏感个人信息
2、利用个人信息进行自动化决策
3、委托处理个人信息
4、向其他个人信息处理者提供个人信息
5、公开个人信息
6、向境外提供个人信息
7、以及其他对个人权益有重大影响的个人信息处理活动

不管是否是CIIO，还是重要的数据处理者，只要是落入我国个保法立法语境下“个人信息处理者”的范畴，就可以根据上述法定的情况来判断是否需要执行DPIA/PIA。

同时，个保法还对DPIA/PIA应当包括的内容作出了明确的规定：

1、个人信息的处理目的、处理方式等是否合法、正当、必要；
2、对个人权益的影响及安全风险；
3、所采取的保护措施是否合法、有效并与风险程度相适应。

另外，在企业档案保管制度要求方面，个保法亦通过明确的法律规定对企业提出了具体的保存期限要求，即，个人信息处理者应当对个人信息保护影响报告和处理情况的记录至少保存三年。

（二）海外主要个人信息保护法律对比

七、关于发生安全事件时数据泄露通知的要求

（一）我国个人信息保护法解读

GDPR第33和34条规定了在发生个人数据泄露的情形时，数据控制者通知监管机构和受影响数据主体的要求，强制要求数据控制者应当在发现数据泄露的72小时内将个人数据泄露的情况报告监管机构，除非个人数据泄露不太可能会对自然人的权利和自由造成风险。如果数据泄露可能对自然人的权利和自由产生较高风险，数据控制者还应当立即将个人数据泄露的情况通知数据主体。

我国个保法在参考和借鉴海外数据保护立法的基础上，亦通过明确的法律规定，对数据泄露通知作出具体的要求：

1、明确了需要执行数据泄露通知义务的情况：

个保法要求，个人信息处理者在发生或者可能发生（1）个人信息泄露；（2）个人信息被篡改；以及（3）个人信息丢失的情况下，需要履行数据泄露通知的义务。　

从目前的规定来看，触发数据泄露通知的情形主要在两大点：

一是，只要是个人信息遭受了泄露等情形的，不管该等个人信息是否是敏感类型的个人信息、还是一般的个人信息，都可能需要启动到数据泄露通知制度；

二是，明确了触发通知的具体场景，包括遭遇泄露、被篡改以及丢失的情况。个保法没有就具体遭遇泄露的个人信息的数量进行规定，可以看出，其不以“数量的多少”来判定是否需要启动数据泄露通知制度，而是以是否确实“发生了泄露、篡改和丢失”的实质情况，以及是否“对数据主体造成危害的”定性上作为启动数据泄露通知制度的主要判定基准。

2、明确了履行数据泄露通知义务的主体：

与GDPR类似，在我国个保法的立法语境下，要求“个人信息处理者”承担数据泄露通知的义务，即，有权并能自主决定个人数据处理的目的、方式的企业、组织和个人都会成为履行数据泄露通知的义务主体。

3、明确了数据泄露需要通知的对象：

参考海外数据立法经验，我国个保法也对被通知的对象分为两类主体：

（1）数据监管部门：履行个人信息保护职责的部门；
（2）数据主体本身：个人用户。　

但是，我国个保法没有像部分海外数据法律的规定一样，以数据泄露事件的数量与规模作为是否通知数据监管部门的判断基础，而是明确规定了，只要发生或可能发生个人信息泄露、篡改、丢失的情况下，个人信息处理者都应当通知履行个人信息保护职责的监管部门。鉴于我国目前在个人信息监管方面仍处于多头监管的状态，在通知数据监管部门的要求及范围等方面，仍期待接下来的司法解释、政策指南给出更多的指导规定。

关于是否需要通知到“个人信息主体”，我国个保法也提供了一定的豁免情形。如果个人信息处理者能够及时立即地采取措施，并能够有效避免信息泄露、篡改、丢失所造成的危害的话，则发生了数据泄露事件的个人信息处理者可以不通知到个人信息主体。但请注意，个保法对于“选择不通知”的豁免是规定了比较严格的条件的，既要求个人信息处理者需要“立即”采取措施，也要求该等措施是能够“有效避免”对个人信息主体的危害的。

同时，还对“选择不通知”的豁免给出了限制条件，即当履行个人信息保护职责的部门认为数据泄露事件可能造成危害的，则对应的数据监管部门有权要求个人信息处理者通知到个人。

4、明确数据泄露通知中应该包含的内容：

确认了是否启动数据泄露通知后，关于通知中应当包含哪些具体的内容，也是通知制度中的关键部分。我国个保法对此也作出了明确的规定，通知应当包括：　

（1）发生或者可能发生个人信息泄露、篡改、丢失的信息种类；
（2）发生的原因；
（3）本事件可能造成的危害；
（4）个人信息处理者采取的补救措施；
（5）个人可以采取的减轻危害的措施；
（6）个人信息处理者的联系方式

5、通知时间的限制要求：

海外部分较发达地区的数据保护法律对数据泄露通知的形式、时间以及通知程序作出明确的规定。目前，我国个保法中，在通知的时间要求上并没有例如“72小时”或者“两个工作日”的规定，而是采取“立即采取补救措施”+“及时通知”的要求。企业在发生数据泄露事件后，在执行通知的形式、时间和流程上的具体要求，也需要接下来进一步的司法解释、指南和标准来进行阐明，为企业提供更加具体的实操指示。

（二）海外主要个人信息保护法律对比

八、数据保护官（DPO/个人信息保护负责人）任命要求

（一）我国个人信息保护法解读

本次个保法通过立法的形式，明确规定了应当指定个人信息保护负责人的具体情况。结合2020年10月1日生效的《信息安全技术 个人信息安全规范》（简称“35273-2020规范”）中关于个人信息保护负责人的规定，我们进行扼要分析如下：

1、需要设立个人信息保护负责人的情况

根据个保法的规定，当处理个人信息达到国家网信部门规定数量的个人信息处理者，应当指定个人信息保护负责人。

而关于何谓达到“国家网信部门规定数量的个人信息处理者”，如前所述，可以参考2021年7月份网信办发布的《网络安全审查办法（修订草案征求意见稿）》，以及2017年网信办发布的《个人信息和重要数据出境安全评估办法（征求意见稿）》中的规定。　

而在35273—2020规范中，也有关于应对设立个人信息保护负责人的具体规定。根据该规范中的要求，当企业满足以下条件之一，则应设置专职的个人信息保护负责人和个人信息保护工作机构：

（1）主要业务涉及个人信息处理，且从业人员规模大于200人；
（2）或处理超过100万人的个人信息，或预计在12个月内处理超过100万人的个人信息；
（3）或处理超过10万人的个人敏感信息的。

2、个人信息保护负责人的主要职责

我国个保法在关于个人信息保护负责人的主要职责方面以比较宏观的方式进行了表述，即其需要“负责对个人信息处理活动以及采取的保护措施等进行监督”，体现出的是，以期希望通过个人信息保护负责人的动态合规动作，来推动静态的个人信息保护制度的执行与落实，并进行持续性的监督。

同时，对于个人信息保护负责人的身份有明确的法律要求，即：

（1）公开身份
明确要求了个人信息处理者应当将个人信息保护负责人的联系方式进行公开（常见的通过隐私政策、隐私声明条款、公司官网等方式进行）；以及

（2）报送监管部门
明确要求个人信息处理者应将该负责个人信息保护的负责人员的姓名、联系方式等向履行个人信息保护职责的部门进行报送。　

而在35273—2020规范中，除了监督的职责外，我们还看到关于个人信息保护负责人更为具体的职责内容要求，并采取了“包括但不限于”的宽泛性表达，以期更能满足后续不断发展的个人信息保护立法与执法的变化。对于个人信息保护负责人和个人信息保护工作机构的主要职责，我们主要归纳为：

（1）统筹：全面统筹实施组织内部的个人信息安全工作，对个人信息安全负直接责任；
（2）计划的制定与落实：组织制定个人信息保护工作计划并督促落实；
（3）政策+制度的创建与维护：制定、签发、实施、定期更新个人信息保护政策和相关规程；
（4）权限管理：建立、维护和更新组织所持有的个人信息清单（包括个人信息的类型、数量、来源、接收方等）和授权访问策略；
（5）DPIA：开展个人信息安全影响评估，提出个人信息保护的对策建议，督促整改安全隐患；
（6）培训：组织开展个人信息安全培训；
（7）事前检测：在产品或服务上线发布前进行检测，避免未知的个人信息收集、使用、共享等处理行为；
（8）处理投诉：公布投诉、举报方式等信息并及时受理投诉举报；
（9）合规审计：进行安全审计；
（10）监督与沟通：与监督、管理部门保持沟通，通报或报告个人信息保护和事件处置等情况。

3、关于个人信息保护负责人的资质和角色定位要求

个保法中暂未见对个人信息保护负责人在资质要求上的特殊规定，但从实践中来看，也只有具备熟悉个人信息保护法律法规、具备法律专业背景的，以及能真正理解和处理与个人信息保护、数据安全的专业人士才能够胜任。　

在35273—2020规范中，则对个人信息保护负责人和个人信息保护工作机构提出了在资质和角色定位上的要求：

（1）专业背景要求：由具有相关管理工作经历和个人信息保护专业知识的人员担任；
（2）向管理层直接汇报：参与有关个人信息处理活动的重要决策直接向组织主要负责人汇报工作。
（3）保障独立履行职责：为其提供必要的资源，保障其独立履行职责。

● 需要提醒注意的是，与欧盟GDPR中提及的“欧盟代表”类似，个保法中也有相似的规定，需要注意与“个人信息保护负责人”的角色进行区别。　

根据我国个保法中，对于适用中国个人信息保护的境外个人信息处理者，应当在境内设立专门的机构或通过指定境内代表，来负责处理个人信息保护相关的事务。同时，要求该等境外的个人信息处理者向履行个人信息保护职责的部门报送关于境内的专门机构或境内指定代表的姓名及联系方式。对于可能落入我国个保法管辖范围的境外个人信息处理者，应注意做好设立中国境内机构或指定代表的准备及对应的报送工作。

● 从企业个人信息合规的角度来看，一方面，需要任命合格的个人信息负责人，来帮助企业更好地遵守个人信息保护法规的要求；另一方面，通过设立个人信息保护工作部门，来提高企业在个人信息风险上的抵御能力，例如通过设立数据保护委员会以协调各部门在个人信息保护与数据安全保护方面的工作开展，并在发生安全事件时可以进行及时快速的反馈与响应处理；同时，还在注意通过制度来确保个人信息保护负责人的独立性和独立地位，以确保其可以独立地、专业地履行个人信息保护的职责，作出全面、准确且合理的决策。

（二）海外主要个人信息保护法律对比

九、个人信息处理者的主要义务

（一）我国个人信息保护法解读

1、制定企业内部的管理制度和操作规程

企业应当结合自身的业务发展情况，特别是业务开展过程中所涉及到的个人信息处理活动的具体情况，将个人信息保护的基本要求嵌入到业务流程中去，以制定出一套适合公司特有业务场景的内部管理制度，并通过执行性强的操作程序，进一步清晰地明确和落实个人信息全生命周期中的各个合规细节和要求，以实现通过制度和管理达到有效保障个人信息安全的目的。

2、建立个人信息分级、分类的管理制度

从确保个人信息的安全角度考虑，我国个保法要求企业对个人信息进行分级、分类的管理，这是企业进行个人信息安全风险防范与管理的技术方案之一。

我国《网络安全法》要求网络运营者应当采取数据分类、重要数据备份和加密等措施；《数据安全法》也以立法的形式确认了国家通过建立数据分类分级制度来实现对数据的保护。

因此，企业应当结合不同的业务场景和数据本身的属性，就所收集到的个人信息制定个人信息的分级分类目录、技术标准，并采取对应的安全管理措施。

3、建立数据安全制度并采取安全技术措施

同样也是从技术安全的角度着手，我国个保法要求企业采取相应的加密、去标识化等安全技术措施。在35273-2020规范中，也要求企业在传输和存储个人敏感信息时，应采用加密等安全措施的要求；以及提出了要求企业在收集个人信息后，应立即进行去标识化处理的建议。　

因此，一方面，企业需要根据其所处理的个人信息的属性、种类、敏感程度等特征，采取不同级别的加密措施，特别是涉及敏感信息的处理时候，应采用符合国家标准的密码管理技术；另一方面，在涉及需要通过界面进行个人信息展示的时候，或其他需要进行对外转让、披露的情况下，企业应该根据个人信息的性质，采取去标识化处理、匿名化处理的技术措施，以达到可以有效降低个人信息泄露风险的目的。与此同时，企业应当注意将不同类别的敏感信息进行分开存储，例如，企业需要将可用于恢复识别个人的信息，与去标识化后的信息进行分开存储；将个人生物识别信息应与个人身份信息分开存储等。

4、建立个人信息权限管理制度，安全教育与培训制度

企业在进行个人信息保护工作的过程中，如何对内部人员进行有效的管理，特别是对大量处理和接触用户个人信息的人员，是合规工作中非常重要的一环。我国个保法要求企业通过设立权限管理制度，合理确定内部人员对个人信息处理的操作权限，并定期对从业人员进行安全教育和个人信息合规培训。　

因此，企业应当对个人信息，特别是个人敏感信息的控制（如个人信息的访问、查看、修改、删除、复制、销毁等操作行为），建立合理、有效的个人信息权限管理制度。例如：

（1）按照业务流程的需求作为授权操作的触发条件；
（2）对被授权访问个人信息的人员，建立最小授权的访问控制策略（使其只能访问职责所需的最小必要的个人信息）；
（3）对个人信息的重要操作设置内部审批流程；
（4）对大量接触个人敏感信息的从业人员进行背景审查，签署保密协议；
（5）对企业内部员工进行定期进行安全教育和个人信息合规培训，帮助员工，特别是从事个人信息处理岗位的相关人员熟悉，个人信息保护工作的处理原则和合法、合规地处理用户个人信息的方式。

5、制定并落实个人信息安全事件应急机制

我国个保法规定，企业应当制定、并组织实施个人信息安全事件的应急预案，在安全事件发生后，企业应当根据应急预案采取如下措施，包括：

（1）对个人信息安全事件进行记录；
（2）对个人信息安全事件可能造成的影响进行评估；
（3）采取及时、必要、有效的措施对个人信息安全事件可能造成的影响进行有效的控制、及时止损；
（4）根据《国家网络安全事件应急预案》等相关规定，对个人信息安全事件及时上报给监管部门等。

在日常的企业经营中，企业也应注意对个人信息安全事件和应急预案进行演练，以保证在发生类似事件时候可以及时进行响应和处理。

另外，关于个保法规定，当发生个人信息泄露事件后，企业应当履行个人信息泄露的通知和补救义务。关于此点，具体请见【七、关于发生安全事件时数据泄露通知的要求】。

6、任命个人信息保护负责人

关于此点，具体请见【八、数据保护官（DPO/个人信息保护负责人）任命要求】。

7、定期进行合规审计

我国个保法对个人信息的处理活动和合规保护工作提出了定期开展合规审计的要求。因此，为了保证个人信息处理活动的持续合规性，企业应当建立定期的合规审计制度，并重点对个人信息处理活动、个人信息保护政策、个人信息保护的管理制度与操作规程、技术安全措施等部分，进行有效的合规审计。

8、进行事前风险评估与建立数据影响评估制度

关于此点，具体请见【六、数据影响评估（DPIA/PIA）要求】。

9、关于“守门人规则”

我国个保法就“提供基础型互联网平台服务、用户量巨大、业务复杂的重要互联网企业”提出了特殊的合规义务。这主要是因为平台型企业涉及到多种类型的个人信息处理者主体，且涉及了大量的用户个人信息的处理，因此，个保法对此类重要的互联网平台企业，赋予了要求其对平台内的产品或服务提供者进行管理的法律义务，俗称“守门人规则”。　

因此，对于涉及大量用户个人信息处理的头部互联网平台企业，应特别注意：

（1）建立健全个人信息保护合规制度体系，成立独立机构对个人信息保护情况进行监督，且该独立机构需要由例如独立董事、外部咨询机构、独立律所专业人员、外聘专家等外部独立人士组成。
（2）遵循公开、公平、公正的原则，制定合理的平台规则，对平台内的产品或服务提供者关于“处理个人信息的规范”和“保护个人信息的义务”进行明确。例如，要求平台内的服务提供者配备独立的隐私政策、提供足够的安全技术保护措施等。
（3）发现平台内的产品或服务提供者出现严重违反法律、法规去处理个人信息的情况时，应对其采取必要的处罚措施、并停止为其提供服务。
（4）定期发布个人信息保护社会责任报告，接受社会监督。

10、法律、行政法规规定的其他措施

最后，个保法采取了兜底条款，以向企业明确，企业还需要遵守除个保法以外的其他相关法律、行政法规的规定，以应对未来个人信息合规法律体系构建过程中可能出现的各类新情况、新要求。

（二）海外主要个人信息保护法律对比

鉴于在不同国家和地区的数据保护法律中，个人信息处理者需要遵守的法律义务均有非常具体、细致的规定，对于特殊的情况或场景也可能会有特别的规定，且一些国家和地区的数据保护法律中，会对个人信息控制者与处理者（controller）的角色、责任和义务进行区分，考虑到本问题的复杂性，下面的表格仅就企业在个人信息处理活动中，需要注意的部分基础义务进行扼要列示。

十、数据保护监管机构与违反数据保护法的处罚规定

（一）我国个人信息保护法解读

A．数据保护监管机构

1、明确了履行数据保护职责的具体部门　

首先，在本次个保法中，对履行我国个人信息保护职责的具体监管部门进行了明确，主要包括：

（1）中央层面：国家网信部门
我国个保法明确了国家网信部门是负责统筹协调个人信息保护工作和相关监督管理工作的。可见，通过明确了中央网信办、国家网信办等国家网信部门的职能，更便于我国从统一的高度，建立一套集中、高效的个人信息保护监管体系。

（2）中央层面：国务院有关部门
同时，明确了工业和信息化部、司法部、公安部、工商总局、中国人民银行等不同的国务院部门，在各自职权范围内，负责个人信息保护和监管工作，从而更好地照顾了不同行业、不同领域、不同部门在个人信息保护方面的差异性。

（3）地方层面：县级以上地方人民政府有关部门
我国个保法，还从地方层面，明确了由县级以上地方人民政府有关部门，按照国家有关规定确定，履行个人信息保护和监督管理职责；从而更好地确保了个人信息保护工作在地方层面得到更为有效的落实和保障。

2、明确了数据保护监管部门的具体职责　

我国个保法明确了履行个人信息保护职责的部门的基本职责，归纳而言，包括以下职务与责任：

（1）教育：开展个人信息保护的宣传教育；
（2）指导：对个人信息保护工作进行指导；
（3）监督：就个人信息保护工作进行监督；
（4）接受投诉：接受与个人信息保护相关的投诉、举报；
（5）处理举报：对与个人信息保护相关的投诉、举报进行处理；
（6）调查：对违法的个人信息处理活动进行调查；
（7）处理：发现违法的个人信息处理活动必须按法律规定进行严格处理；
（8）其他职责：法律、行政法规规定的其他职务与责任。

3、将评估标准与认证体系纳入到个人信息保护的服务体系建设中　

我国个保法通过专门条款，明确了中央层面的数据保护部门的特殊职责，即，从了前述规定的基本职责外，国家网信部门和国务院有关部门，还应当：

（1）制定个人信息保护的规则和标准：
不仅需要制定个人信息保护的具体规则、标准；还需要针对新技术、新应用，制定专门的个人信息保护规则、标准（例如小型个人信息处理者、处理敏感个人信息以及人脸识别、人工智能等）；

（2）支持认证技术：
对研究、开发和推广应用安全、方便的电子身份认证技术进行支持，并推进网络身份认证公共服务的建设；

（3）支持个人信息保护评估、认证服务：
推进个人信息保护社会化服务体系的建设，并对有关机构开展个人信息保护评估、认证服务的工作给予支持；

（4）完成投诉、举报机制
这一点需要结合我国个保法第六十一条来看，通过明确了个人信息保护投诉、举报工作机制来进一步完善与个人信息保护有关的检举机制。

从投诉、举报主体来看，任何组织和个人都可以进行投诉、举报，而不管该主体是否与被投诉、举报的个人信息处理活动有关，这更有利于推动“个人信息保护，人人有责”的社会共同治理的氛围搭建。

从接受投诉、举报处理的部门来看，则只要是收到投诉、举报的部门，不管是中央层面的、还是地方层面的，只要是履行个人信息保护职责的部门都必须进行受理。因此，对应的数据保护监管部门不仅应当“公开接受投诉、举报的联系方式”，还应当依法进行“及时的处理”，并将处理结果“告知”投诉人、举报人。

4、明确数据保护部门可以采取的措施　

我国个保法明确了履行个人信息保护职责的部门在执法的过程中可以采取的措施，这些具体的措施包括：

（1）询问：有权对个人信息处理活动有关的当事人进行询问，例如负责公司数据保护工作的负责人、高层管理人员、实施了侵犯个人信息行为的有关人员等；
（2）调查：有权对与个人信息处理活动有关的情况展开具体的调查；
（3）查阅：有权对当事人与个人信息处理活动有关的合同、记录、账簿以及其他有关资料进行查阅；
（4）复制：有权对第（3）点提及的有关资料进行复制；
（5）实施现场检查：有权对涉嫌违法个人信息处理活动进行现场的检查与调查；这可能意味着可能会对企业整个个人信息全生命周期的各节点进行具体的调查；
（6）检查设备、物品：有权检查与个人信息处理活动有关的设备、物品；
（7）查封设备、物品：对有证据证明是违法个人信息处理活动的设备、物品，有权进行查封；
（8）扣押设备、物品：对有证据证明是违法个人信息处理活动的设备、物品，有权进行扣押。

5、明确了个人信息保护的约谈制度　

我国个保法将“个人信息保护的约谈制度”进行了法定化，关于“约谈”的主要触发条件包括：

（1）发现个人信息处理活动存在较大风险；或
（2）发生个人信息安全事件的；

则，此时数据保护监管部门可以按照规定的权限和程序，对该个人信息处理者的法定代表人或者主要负责人进行约谈。如果不进行约谈的，则也可以要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。

而在完成约谈或完成合规审计后，该个人信息处理者应当按照要求采取对应的有效措施，对存在风险的个人信息处理活动或安全事件进行整改，从而达到有效消除个人信息隐患的目的。

如果过程中，还发现该等违法的个人信息处理活动是涉嫌犯罪的，则数据保护监管部门应当及时移送公安机关进行依法处理。

B．违反数据保护的处罚规定

1、明确了违反个人信息保护规定的法律责任

（1）行政责任　

我国个保法借鉴了欧盟  GDPR中2000万欧元或者是上一年度全球营收的4% （两者取其高）的高额罚款规定，也对违反个保法规定处理个人信息，或者处理个人信息未履行个保法规定的个人信息保护义务的行为，设置了高额处罚规定，具体而言，处罚措施包括：

（a）责令改正
（b）给予警告
（c）没收违法所得
（d）对违法处理个人信息的应用程序，责令暂停或者终止提供服务；
（e）处以罚款：

在拒不改正的情况下，可以处以罚款，就罚款金额来说，区分一般情节和严重情节，具体而言，包括：

维度	单位最高罚款		直接负责的主管人员和其他直接责任人员最高罚款
一般情节	100万以下		1万以上，10万以下
严重情节	罚 款	5000万以下或者上一年度营业额5% 以下罚款	10万以上，100万以下
	附 加 责 任	责令暂停相关业务	禁止其在一定期限内担任相关企业的：董事、监事、高级管理人员和个人信息保护负责人
		停业整顿
		通报有关主管部门吊销相关业务许可或者吊销营业执照

（2）民事责任 -- 明确了个人信息违法的过错推定原则　

这可能是作为个人信息处理者的企业、组织最值得关注的规定之一。我国个保法明确了个人信息民事侵权赔偿适用的是“过错推定原则”，这意味着“由于处理个人信息而侵害了个人信息权益并造成损害的，推定行为人有过错，如果行为人不能证明自己没有过错的，则应当承担损害赔偿的侵权责任”。

因此，对于作为个人信息处理者的企业、组织来说，过错推定原则的适用要求企业、组织在处理个人信息时候，需要高度、时刻注意如何证明自己是已经

（a）“严格制定了”企业内部的个人信息保护制度；
（b）并“严格地遵守和履行了”该等个人信息保护制度；
（c）并对该等个人信息的整体合规程进行了有效的“记录和留存证明”

从而更好地完成了“自证合规+合规留痕”的整套合规动作。

而对于损害赔偿损失的确定，则以“可证明损失或获益的，以具体损失或获益承担赔偿责任；难以计算损失或获益的，根据实际情况确定”作为计算赔偿额的原则。

（3）治安管理处罚责任与刑事责任　

我国个保法通过“违反本法规定，构成违反治安管理行为的，依法给予治安管理处罚；构成犯罪的，依法追究刑事责任”的规定，明确就个人信息违法行为可能引发的治安管理处罚责任与刑事责任进行了明确的划分。

（4）信用惩戒责任　

本次个保法还特别规定了“对违反个人信息保护规定的主体施以信信用惩戒制度”，明确了会将作为个人信息处理者的企业、组织的违反个人信息保护规定的违法行为，记入信用档案，并予以公示，以达到提高了个人信息违法成本，起到社会警示作用的目的。

2、明确了国家机关不履行个人信息保护义务的法律责任　

国家机关不履行个保法关于个人信息保护义务的规定，需要承担对应的法律责任，包括：

（1）由其上级机关或者履行个人信息保护职责的部门责令改正；
（2）对直接负责的主管人员和其他直接责任人员依法给予处分；
（3）履行个人信息保护职责的部门的工作人员玩忽职守、滥用职权、徇私舞弊，尚不构成犯罪的，依法给予处分。

3、明确了个人信息的公益诉讼制度

（1）触发条件　

可以提起个人信息公益诉讼的触发条件是：“违反个保法的规定” + “侵害众多个人的权益的行为”，该等行为被认为是民事诉讼法中规定的“损害社会公共利益的行为”，因此可以提起个人信息公益诉讼。

（2）起诉主体　

（a）人民检察院；
（b）法律规定的消费者组织；
（c）由国家网信部门确定的组织。

司法实践中，人民检察院和消费者保护协会为保护大多数消费者主体的公共利益，也经常作为公益诉讼的起诉主体，在接下来的个人信息保护中，也将可以作为公益起诉主体以更好地维护了大多数公众的个人信息主体权益。

（二）海外主要个人信息保护法律对比

作者介绍

王捷 执业律师，垦丁W&W国际法律团队创始人，联合国世界丝绸之路委员会专家，广东省法学会信息通讯法学研究会理事，荷兰RuG国际经济法与商法硕士，专注于网络法领域的研究和实务，特别是互联网产品合规、出海合规以及全球数据保护与个人信息保护合规，已为多家知名互联网公司及大中型外资企业提供专业法律服务，覆盖智能终端制造、IOT、人工智能、云计算与服务、社交网络平台、移动互联网、电子商务及平台、短视频视听直播、网络游戏、以及个人信息保护、数据安全等行业领域。

王捷律师曾在阿里巴巴大文娱集团、国际律所与海外仲裁委员会工作，拥有10年的科技型公司实务经验与中外律所从业背景，深耕海内外多条业务线。专业能力模块包括产品风险管控、业务流程搭建、风险分析评估、数据保护与合规、纠纷案件处理、竞对攻防布局、政府监管合规、海外公司治理、投资项目管理等。她能更准确理解客户核心需求，快速响应并提供基础到战略的有效支持，并为各类出海互联网企业拓展印度、东南亚、中东、非洲、欧美等新兴及重要市场提供有效的合规解决方案与落地支持。

同时为出海互联网法律观察公众号主理人，合著《互联网全球数据合规法律观察报告》，并输出多篇专业互联网与数据合规文章，部分文章刊登于国际知名专业数据库中。

联系方式：13650790754