8月20日，第十三届全国人大常委会第三十次会议表决通过《中华人民共和国个人信息保护法》，该法自2021年11月1日起正式施行。至此本法的正式颁布，为个人信息处理活动提供了明确的法律依据，为个人维护其信息权益提供了充分保障，也为企业合规处理提供了操作指引。现就本法的具体内容与立法要点解读如下：

1、《个人信息保护法》的主要内容

《个人信息保护法》全文涵盖了8章，74条内容，其中第一章为“总则”，主要规定了立法目的、个人信息的定义、适用范围以及基本原则等内容。第二章为“个人信息处理基本规则”，分三节对个人信息处理的一般规定、敏感个人信息的处理规则以及国家机关处理个人信息的特别规定予以明确。第三章为“个人信息跨境提供的规则”，对于跨境提供个人信息的合规要件、处理规则、合规例外、国际协助处理规则作出规定。第四章为“个人在个人信息处理活动中的权利”，对知情权、决定权、查阅复制权、更正、补充的权利、删除权、解释说明权的内涵进行细化。第五章为“个人信息处理者的义务”，规定了个人信息处理者的一般安全义务、数据保护官规则、风险评估规则和泄露信息及时报告的义务。第六章为“履行个人信息保护职责的部门”，确立了以网信办为主导的个人信息保护行政监管体系，并细化相应部门职责。第七章为“法律责任”，从民事责任、行政责任、刑事责任三个方面对违法收集、处理和利用个人信息行为应承担的法律责任进行了规定，并创设了个人信息保护领域的公益诉讼制度。第八章为“附则”，规定了适用《个人信息保护法》的例外情形以及相关名词定义。

2、《个人信息保护法》的要点解读

（一）术语界定

1.个人信息：是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。

2.个人信息的处理：包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。

3.敏感个人信息：一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。

（二）范围界定

1.境内：组织、个人在中华人民共和国境内处理自然人个人信息的活动，适用本法。

2.境外：在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动，有下列情形之一的，也适用本法：以向境内自然人提供产品或者服务为目的；分析、评估境内自然人的行为；法律、行政法规规定的其他情形。另外，境外的个人信息处理者，应当在中华人民共和国境内设立专门机构或者指定代表，负责处理个人信息保护相关事务，并将有关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门。

（三）个人信息处理规则

1.确立个人信息处理应遵循的原则，强调处理个人信息应当遵循合法、正当、必要和诚信原则，具有明确、合理的目的，限于实现处理目的的最小范围，公开处理规则，保证信息准确，采取安全保护措施等，并将上述原则贯穿于个人信息处理的全过程、各环节。(第五条至第九条)

2.确立以“告知-同意”为核心的个人信息处理一系列规则，要求处理个人信息应当在事先充分告知的前提下取得个人同意，并且个人有权撤回同意；重要事项发生变更的应当重新取得个人同意；不得以个人不同意为由拒绝提供产品或者服务。考虑到经济社会生活的复杂性和个人信息处理的不同情况，本法还对基于个人同意以外合法处理个人信息的情形作了规定。(第十三条至第十九条)

3.根据个人信息处理的不同环节、不同个人信息种类，对个人信息的共同处理、委托处理、向第三方提供、公开、用于自动化决策、处理已公开的个人信息等提出有针对性的要求。(第二十一条至第二十七条)

4.专节对处理敏感个人信息作出更严格的限制，只有在具有特定的目的和充分的必要性的情形下，方可处理敏感个人信息，并且应当取得个人的单独同意或者书面同意。(第二十八条至第三十二条)

5.设专节规定国家机关处理个人信息的规则，在保障国家机关依法履行职责的同时，要求国家机关处理个人信息应当依照法律、行政法规规定的权限和程序进行。(第三十三条至第三十七条)

6.禁止“大数据杀熟”等行为，个人信息保护法明确规定个人信息处理者利用个人信息进行自动化决策，应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇。

（四）个人信息跨境提供规则

1.明确关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的处理者，确需向境外提供个人信息的，应当通过国家网信部门组织的安全评估；对于其他需要跨境提供个人信息的，规定了经专业机构认证等途径。(第三十八条、第四十条)

2.对跨境提供个人信息的“告知-同意”作出更严格的要求。(第三十九条，应告知接收方详细信息，并取得单独同意)

3.未经中华人民共和国主管机关批准，个人信息处理者不得向外国司法或者执法机构提供存储于中华人民共和国境内的个人信息。(第四十一条)

4.对从事损害我国公民个人信息权益等活动的境外组织、个人，以及在个人信息保护方面对我国采取不合理措施的国家和地区，规定了可以采取的相应措施。(第四十二条、第四十三条，国家网信部门可以将其列入限制或者禁止个人信息提供清单，予以公告，并采取限制或者禁止向其提供个人信息等措施。)

（五）个人信息处理活动中个人的权利和处理者义务

1.明确在个人信息处理活动中个人的各项权利(第四十四条至第五十条)，包括知情权、决定权、查询权、更正权、删除权等，并要求个人信息处理者建立个人行使权利的申请受理和处理机制。

2.明确个人信息处理者的合规管理和保障个人信息安全等义务(第五十一条至第五十六条)：按照规定制定内部管理制度和操作规程，采取相应的安全技术措施，并指定负责人对其个人信息处理活动进行监督；定期对其个人信息活动进行合规审计；对处理敏感个人信息、向境外提供个人信息等高风险处理活动，事前进行风险评估；履行个人信息泄露通知和补救义务等。

3.明确提供基础性互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者的义务(第五十七条)：建立健全个人信息保护合规制度体系，成立主要由外部成员组成的独立机构，对个人信息处理活动进行监督；遵循公开、公平、公正的原则，明确处理个人信息的规范和保护个人信息的义务；对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者，停止提供服务；定期发布个人信息保护社会责任报告，接受社会监督。

（六）履行个人信息保护职责的部门

1.国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。

2.国务院有关部门依照本法和有关法律、行政法规的规定，在各自职责范围内负责个人信息保护和监督管理工作。

3.县级以上地方人民政府有关部门的个人信息保护和监督管理职责，按照国家有关规定确定。

（六）法律责任

《个人信息保护法》根据个人信息处理的不同情况，对违法处理个人信息的行为设置了不同梯次的行政处罚。对未造成严重后果的轻微或一般违法行为，可由执法部门责令改正、给予警告、没收违法所得，对拒不改正的最高可处一百万元罚款；对情节严重的违法行为，最高可处五千万元或上一年度营业额百分之五的罚款，并可以对相关责任人员作出相关从业禁止的处罚。同时，个人信息保护法还专门规定，对违法处理个人信息的应用程序，可以责令暂停或终止提供服务。在民事责任方面，个人信息保护法明确，处理个人信息侵害个人信息权益造成损害的，个人信息处理者如不能证明自己没有过错的，应当承担损害赔偿等侵权责任。

整体来看，《个人信息保护法》构建了完整的个人信息保护框架。其规定涵盖了个人信息的范围以及个人信息从收集、存储到使用、加工、传输、提供、公开、删除等所有处理过程；明确赋予了个人对其信息控制的相关权利，并确认与个人权利相对应的个人信息处理者的义务及法律责任；对个人信息出境问题、个人信息保护的部门职责、相关法律责任进行了规定。

3、如何合理合法采集并使用个人信息

既然个人信息如此敏感又有价值，在法律层面上又对其使用提出了什么要求呢？《民法典》第一千零三十五条规定，处理个人信息的，应当遵循合法、正当、必要原则，不得过度处理，并符合下列条件：

（一）征得该自然人或者其监护人同意，但是法律、行政法规另有规定的除外；

（二）公开处理信息的规则；

（三）明示处理信息的目的、方式和范围；

（四）不违反法律、行政法规的规定和双方的约定。

依照法律规定，采集个人信息必须征得自然人同意，不违背其意愿。强行采集，绑定采集，暗箱采集，非法抓取都是违法方式。个人信息中包含大量隐私，而隐私的公开权归属个人所有，除非法律另有规定，任何不经同意的采集行为都是对个人信息权和隐私权的侵害。现代科技手段高度发达，采集手段多种多样，所能记入大数据的信息类型也在不断丰富。网络环境下人与人，人与企业之间的沟通空前密切，在使用网络服务的时候产生的个人数据虽然不是第一手个人信息，但是也能符合法条对个人信息的定义，也应纳入保护。

而采集信息的规则必须公开透明，因为通过对第一手信息的掌握，大数据演算技术可以推测出更多个人信息。如果仅限制采集这一环节，那么后续对信息的处理而产生的深层信息将成为“法外狂徒”。所以，采集到个人信息后，如何处理这些信息，如何利用这些信息，必须清晰可控，划分好边界，不得违反法律法规以及双方约定的范围。

近年来，我国加强有关个人信息的法律建设，从民法、刑法、行政法等多个方面高度重视，2012年通过《全国人民代表大会常务委员会关于加强网络信息保护的决定》，2013年修改的《消费者权益保护法》、2016年通过的《网络安全法》和2018年通过的《电子商务法》，初步建立了一套个人信息保护和网络运营个人信息的规则体系。作为企业，既要在信息竞争中不落下风，也要遵守法律，还要做到真正的人性化，就必须健全企业内部的用户信息管理系统，做到安全、合规、高效的采集和使用用户信息，提供个性化的优质服务。

听.讼是专业的法律咨询平台tingsonglaw.com，如您有任何法律问题需要咨询，欢迎致电律师。