一、修订的背景

《个人信息保护法》是我国首部针对个人信息保护的专门性法律，全文共八章，七十四条。《个人信息保护法》的颁布填补了个人信息保护领域高位阶且具有强制约束力的法律空白，并将与《民法典》《网络安全法》《数据安全法》共同构筑我国个人信息与数据保护的法律规范体系，标志着我国进入了更高水平的个人信息保护的法治时代。

二、主要内容解读

1.明确界定核心概念。

《个人信息保护法》第四条规定明确了个人信息及其处理活动的法律内涵，即个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。此外，第七十三条明确了个人信息处理者、自动化决策、去标识化、匿名化等与个人信息密切相关的法律概念。

2.确立个人信息处理基本原则

《个人信息保护法》第五条至第九条提出了处理个人信息需要遵循的原则。

一是合法、正当、必要和诚信原则。处理个人信息应当遵循合法、正当、必要和诚信原则，不得通过误导、欺诈、胁迫等方式处理个人信息。

二是目的性原则。处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关。

三是影响最小原则。收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息。

四是公开、透明原则。处理个人信息应当遵循公开、透明原则，公开个人信息处理规则，明示处理的目的、方式和范围。

五是保证个人信息的质量原则。处理个人信息应当保证个人信息的质量，避免因个人信息不准确、不完整对个人权益造成不利影响。

六是谁处理、谁负责原则。个人信息处理者应当对其个人信息处理活动负责，并采取必要措施保障所处理的个人信息的安全。

3.明确告知同意原则

处理个人信息以告知并取得同意为原则，以无需取得同意为例外。以下情形处理个人信息的，不受告知同意原则的约束：（一）为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需；（二）为履行法定职责或者法定义务所必需；（三）为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需；（四）为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息；（五）依照《个人信息保护法》规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息；（六）法律、行政法规规定的其他情形。

个人信息处理者在收集处理个人信息前向被收集信息的个人履行充分的告知义务，个人信息处理的重要事项发生变更的应当重新向个人告知并取得同意，个人同意后可撤回其同意，个人信息处理者应当提供便捷的撤回同意的方式。

4.确定敏感信息处理规则

《个人信息保护法》第二十八条规定，敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。同时，要求处理敏感信需要有特定的目的和充分的必要性并需要采取严格保护措施，同时个人信息处理者还需要告知个人必要性以及对个人权益的影响并取得单独同意。

5.两个以上个人信息处理者共同处理信息的责任分担

《个人信息保护法》就两个以上个人信息处理者共同处理信息（共同处理与委托处理）责任分担进行了规定。

一是共同处理。《个人信息保护法》第二十条规定，两个以上的个人信息处理者共同决定个人信息的处理目的和处理方式的，应当约定各自的权利和义务。但是，该约定不影响个人向其中任何一个个人信息处理者要求行使本法规定的权利。个人信息处理者共同处理个人信息，侵害个人信息权益造成损害的，应当依法承担连带责任。

二是委托处理。《个人信息保护法》第二十一条规定，一方委托另一方处理个人信息的情况下，应当约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等。受托人需要按照约定处理个人信息，不得超出约定的处理目的、处理方式。委托合同终止，受托人应当将信息返还或删除，不得保留。未经同意不得转委托。

6.限制公共场所采集个人图像、身份识别信息

《个人信息保护法》第二十六条规定，在公共场所安装图像采集、个人身份识别设备所收集的信息，除取得个人单独同意外，只能用于维护公共安全的目的，并设置显著的提示标识。

7.规范自动化决策

《个人信息保护法》第二十四条规定，自动化决策应当透明、公平、公正，不得实行不合理的差别待遇，信息推送、商业营销须提供不针对个人特征的选项，或者向个人提供便捷的拒绝方式。通过自动化决策方式作出对个人权益有重大影响的决定，个人有权要求个人信息处理者予以说明，并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。

8.赋予个人充分权利

《个人信息保护法》明确了个人在个人信息处理活动中的各项权利，包括知情权、决定权、查询权、复制权、更正权、补充权、删除权、要求解释说明的权利等。同时，对个人信息可携带权作了原则规定，符合国家网信部门规定条件的，个人信息处理者应当提供转移的途径。此外，还对死者个人信息的保护作了专门规定，明确在尊重死者生前安排的前提下，其近亲属为自身合法、正当利益，可以对死者个人信息行使查阅、复制、更正、删除等权利。

9.明确个人信息处理者的义务

《个人信息保护法》第五章对个人信息处理者的职责和义务提出了严格的要求。人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等，制定内部管理制度和操作规程、实行分级分类管理、采取相应的安全技术措施、明确操作权限并定期开展培训、制定实施安全事件应急预案；如果处理个人信息数量达到国家网信部门规定数量的，还应当指定个人信息保护负责人。定期对其个人信息活动进行合规审计，并在涉及敏感个人信息、自动化决策等情形时还需在事前进行个人信息保护影响评估，且评估报告及相关处理情况应至少保存3年；发生或者可能发生个人信息泄露、篡改、丢失的，应当履行个人信息泄露通知和补救义务。此外，还规定了提供基础性互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者的特定义务，推动大互联网平台加强合规建设，从而将“合规管理体系”的构建上升到法律层面。

10.明确承担的法律责任

《个人信息保护法》规定违规处理个人信息，或者处理个人信息未履行个人信息保护义务可能承担警告、没收违法所得、罚款(包括对单位和责任人员)、责令暂停相关业务或者停业整顿、吊销许可或者营业执照等行政处罚。同时还规定了民事诉讼以及公益诉讼机制，个人信息权益受到侵害的个人可通过民事诉讼向违反个人信息处理的信息处理者主张损害赔偿责任。而且，如果个人信息处理者违反本法规定处理个人信息，侵害众多个人的权益的，人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。

三、结合公司实际，提出以下建议

（一）征得个人同意，保障使用信息合法

应通过《隐私权政策》等形式在明确取得个人同意的情形下方可处理个人信息，个人信息处理的重要事项发生变更，应当重新向个人告知并取得同意。

在处理敏感个人信息、向他人提供或公开个人信息等环节应取得个人的单独同意，不得隐瞒产品或服务所具有的收集个人信息的功能。应审慎开展人脸识别相关业务，排查加油站等公共场所的采集设备。为降低合规风险，可依法设置显著的提示标识，依据法律规定进行及时整改。

（二）加强内部管理，加强安全技术措施

建立健全个人信息安全原则及制度、个人信息分级分类规范、个人信息安全影响评估规范等个人信息保护相关的制度及规程，明确涉及个人信息处理不同岗位人员的安全职责和操作权限，定期对从业人员进行安全教育和培训，建立发生安全事件的处罚机制；与相关人员签署《保密协议》，并要求即使调离相关岗位或者终止劳动合同时，还需履行保密义务；根据企业个人信息分类分级的结果，对大量接触敏感个人信息的人员可以进行背景调查，了解其犯罪记录、诚信状况、工作经历等。

（三）加强安全措施，确保个人信息安全

敏感个人信息的特殊性决定了此类信息处理存在特殊限制，因此公司更应谨慎处理敏感个人信息,对个人信息做加密、去标识化等技术化处理，保障相关数据的机密性和完整性，设置严格的访问控制措施，严把内部数据审批流程，避免承担更加严重的违法责任。同时，对于风险隐患应进行有效监控，定期开展个人信息保护影响评估，制定个人信息安全事件应急预案，做到事前、事中、事后的管控。

（四）明确合作方权利义务，优化信息处理合作

与其他企业共同决定个人信息的处理目的和处理方式的，应当约定各自的权利和义务约定，明确合作方之间连带责任后的追责和违约责任的承担问题。公司在与第三方合作，委托处理个人信息时，首先进行个人信息保护影响评估，基于评估结果以及合作的目的和方式，以及合作关系涉及的个人信息处理活动的风险程度，就合作方之间的关系和责任承担进行约定，并通过采取数据审计、持续监控等措施，降低风险，减少纠纷。

听.讼是专业的法律咨询平台tingsonglaw.com，如您有任何法律问题需要咨询，欢迎致电律师。