2021年8月20日，万众瞩目的《个人信息保护法》正式发布，并将于11月1日生效。《个人信息保护法》将成为我国首部专门针对个人信息保护的系统性、综合性法律。本期内容对《个人信息保护法》进行全面分析与解读，探讨个保法与数安法、网安法之间的联动关系，并提供金融机构个人信息保护相关合规指引。

• 《个人信息保护法》正式稿之重点条款导览　[周杨、辛小天、史蕾，北京德和衡律师事务所]

第一章 总则部分
1、个人信息权益被提升为宪法赋予的根本权利
2、个人信息的定义采用宽入口设计
3、适用范围采用属地属人双重适用原则
4、重要原则新增合法正当诚信原则、质量原则和协同治理原则

第二章 个人信息处理规则
5、七大处理个人信息的合法理由，新增实施人力资源管理所必须作为合法理由
6、“单独同意”成为重要的同意形式
7、保密义务和紧急情况称为豁免告知的法定情形
8、“共同处理”替代了“共同控制”概念，并将二者共同推向责任承担的前台
9、向第三方提供的告知同意要求更为严格
10、自动化决策及其营销使用场景合并规制，捋顺逻辑且禁止大数据杀熟
11、公开个人信息及使用公开的个人信息的特别限制
12、公共场所采集图像的特别安排
13、设专节对处理敏感个人信息作出严格限制，将特定身份和不满十四周岁未成年人的个人信息纳入敏感信息范围

第三章 个人信息跨境提供的规则
14、捋顺了个人信息跨境提供需要满足的前提条件，探索全球数据流动新局面
15、跨境合作标准合同呼之欲出
16、个人数据管制和反制条款与《数据安全法》协同一致

第四章 个人在个人信息处理活动中的权利
17、个人信息主体权利的全面构建
18、逝者个人信息保护规则进一步完善，个人信息保护结构更加立体

第五章 个人信息处理者的义务
19、个人信息处理者的义务
20、建立境内外个人信息保护的人员对接机制
21、DPIA强制义务场景具象化
22、增加基础性互联网平台的社会责任

第六章 履行个人信息保护职责的部门
23、个人信息保护职责部门的定义、层级及职责范围更加清晰
24、推动标准和认证体系建设

第七章 法律责任
25、显著提高行政责任处罚标准，引入高管禁业处罚
26、明确了民事责任赔偿制度，明确采用过错推定责任原则
27、公益诉讼制度正式落地

• 聚光灯下的新篇章——简评《个人信息保护法》　[段志超、蔡克蒙、王雨婷、胡敏喆，汉坤律师事务所]

一、最终稿对二审稿的核心修订
《个人信息保护法》最终稿对二审稿的核心修订包括：
- 完善个人信息处理的合法基础，将人力资源管理所必需纳入合法性基础的范围，并进一步明确了处理公开信息这一合法性基础的适用范围；
- 点名“大数据杀熟”，强化对自动化决策的监管，保障个人获得公平交易条件的权利；
- 进一步将敏感个人信息的处理范围限定在“只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下”；
- 创设性新增个人信息“可携带权”，强化个人对其个人信息的控制权，保障个人信息在不同平台之间的自由流动；
- 强化移动应用程序监管；
- 首次提出了“小型个人信息处理者”的概念，为未来豁免小型企业特定个人信息保护义务奠定了规范基础；
- 保障个人诉权，明确处理者拒绝个人行使个人信息权利请求的可诉性；将消费者组织纳入公益诉讼体系。

二、人力资源和公开信息处理：个人信息处理的多元合法基础的进一步调整
（一）人力资源管理
（二）处理公开的个人信息的规则

三、大数据杀熟和个性化营销：自动化决策的规范和限制
（一）大数据杀熟
（二）个性化营销
（三）对个人权益有重大影响的决定

四、敏感个人信息处理：单独同意是否是唯一合法基础？

五、可携带权：有待本地化的他山之石

六、应用程序相关责任和小型个人处理者：个人信息保护监管执法的“一增一减”

七、个人诉权和公益诉讼：个人信息相关诉讼的应对

• 《个人信息保护法》亮点解读和数据三法合规体系联动　[李瑞、贾申、钟俊鹏、李梦涵，中伦律师事务所]

由于三法各有侧重又相互交叉，企业在合规工作中对三部基础性法律所构建的合规体系均需给予重视。为此，我们简单归纳了一些三法之间的共性及个性，企业可在合规工作的不同环节中予以关注：

● 个人信息处理原则：个保法确立的“最小必要+知情同意”原则比网安法和数安法中的有关原则更加明确、具体，且规范了个人信息管理全流程
● 个人信息泄露报告制度：个保法沿袭和补充了网安法规定的个人信息泄露报告制度
● 国家安全保护：个保法、数安法和网安法均关注网络安全与数据合规领域的国家安全保护
● 数据境内存储义务
● 数据跨境流动：三法针对不同主体提出不同要求
● 司法协助方面：非经批准不得为外国司法或执法机构提供境内数据
● 评估制度：评估机制在三法中都具有重要地位，针对不同场景设置不同评估要求
● 负责人制度：明确网络安全/数据安全/个人信息保护的负责人
● 统一的工作协调与统筹机制：包括个人信息保护在内的数据安全领域均采“三阶层”监管架构

• 关于金融机构“个人信息”的若干思考　[汪灵罡，方达律师事务所]

一、金融机构掌握哪些“个人信息”？

1.1 员工相关个人信息

在员工招聘和持续雇佣过程中，金融机构必然会掌握大量的职位申请人和正式员工的个人信息，以及这些人员的近亲属、紧急联络人等额外的个人信息。这部分信息与金融机构的金融交易无关，系日常行政管理中获得的纯自然人身份信息。

1.2 客户相关个人信息

在与客户建立业务关系的过程中，自然人获取了大量的自然人客户信息自不待言。对于非自然人机构客户，中国人民银行的反洗钱反恐融资监管规则要求金融机构在尽职调查（due diligence）过程中必须去收集和掌握大量的机构客户法人代理、授权办理业务的人员、实际控制人、“受益所有人（ultimate beneficiary owner）等个人信息。

这部分信息对于金融机构能否与客户建议业务关系、提供金融服务和金融产品，至关重要。缺少了其中的某些部分，可能会导致双方无法顺利建立业务关系、达成金融交易。

客户相关的个人信息，在中国人民银行过往的监管法规中（如《关于发布金融行业标准做好个人金融信息保护技术管理工作的通知》，银发[2020]45号文），又被称为“个人金融信息”。

1.3 业务合作方相关个人信息

在与合作各方建立业务合作关系的过程中，金融业监管法规往往会要求金融对拟合作方的服务能力、专业资质、公司治理、财务状况等诸方面进行审慎的尽职调查，在这个过程中，金融机构也不可避免地会掌握一定的个人信息，应予严格保密。

《个人信息保护法》对于金融机构通过何种渠道收集、获得个人信息并不作区别。换言之，金融机构只要掌握了“个人信息”，无论是主动搜集还是意外获取，都应予以合理保护。

二、一般性“个人信息”与“敏感个人信息”

《个人信息保护法》将“敏感个人信息”作为“个人信息”的子概念和特别概念，其用意显然是要将“敏感个人信息”从一般性“个人信息”中区别和突出出来。《个人信息保护法》在第28条关于“敏感个人信息”的定义中，特别地列举了“金融账户”，我们可以合理地推断《个人信息保护法》是将金融机构所掌握的客户的“个人信息”归类为“敏感个人信息”这一特别类型。

《个人信息保护法》第28条在描述“敏感个人信息”所指的“账户”，不能机械、狭隘地理解为是在中国人民银行或国家外汇管理局账户管理系统中开立的人民币或外汇结算账户，而应理解为在金融机构业务管理系统中开立的可识别客户并关联其业务损益的所有记录。比如，金融机构往往为不开立账户的客户在业务系统中开立“客户号”，这个“客户号”应等同于“金融账户”。

三、“衍生个人信息”怎么看

在当前互联网保险、互联网消费金融、指纹支付等互联网业务模式下，用户的交易习惯、消费偏好等客户“个人信息”的往往会被综合分析。这些交易相关“敏感个人信息”经过总结、归纳、演绎后得到的“衍生个人信息”，对金融机构的风险管理和业务拓展都具有很高的价值。

“衍生个人信息”是通过对客户“敏感个人信息”的挖掘而获得的，其本身的性质仍然是“敏感个人信息”。特别值得注意的是，《个人信息保护法》第4条规定“个人信息不包括匿名化处理后的信息”。这即意味着，如果“衍生个人信息”已经脱离了具体化的自然人，且其信息源是来自于某个自然人群体，而能够实现不指向具体某个自然人的“匿名化”，那么这一类的“衍生个人信息”就不再是《个人信息保护法》所定义和适用的“个人信息”，而是转化为金融机构自有的商业信息、商业秘密、知识产权。

四、交易信息是“个人信息”吗？

从《个人信息保护法》第四条对“个人信息”的定义来看，认定某一类信息是否属于“个人信息”的关键，是其能否被利用来“识别”出自然人；如果可以，那么这一类信息就是“个人信息”，如果不能，则不是“个人信息”。

在与客户建立业务关系后，金融服务和金融产品交易相关的信息是否属于“个人信息”呢？不同类型的金融机构，其经营的业务内容相距甚远极大。但即使是同一类金融机构，由于其持有的具体业务资格不一样，能够提供的产品和服务也存在一定的差异。“交易信息”是否能够识别出个人，完全取决于具体的业务，不能泛泛一概而论。

点击查看示例：　

五、云上存储“个人信息”的合规性

在“云”储存中，经营“云”储存的运营商即使注册在中国，金融机构上传到“云”储存虚拟服务器上的数据和信息并无法保证定位在中国。《个人信息保护法》第40条规定：“关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者，应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的，应当通过国家网信部门组织的安全评估；法律、行政法规和国家网信部门规定可以不进行安全评估的，从其规定。”虽然目前尚无法规明确定义“关键信息基础设施运营者”和“处理个人信息达到国家网信部门规定数量的个人信息处理者”，但由于金融事关国家安全、国际民生，金融机构将“个人信息”存储在中国境内“云”储存运营商经营的“云”上，是否完全符合《个人信息保护法》第40条“将在中国境内收集和产生的个人信息存储在境内”之规定，有待于网信和金融监管机构后续的进一步解释。

• 《个人信息保护法》正式稿与二审稿对比　[陈际红、蔡鹏、吴佳蔚、焦雅婷、杨润、陈煜烺，北京市中伦律师事务所]