2021年8月20日，中華人民共和國第十三屆全國人大常委會(huì)第三十次會(huì)議表決通過了《中華人民共和國個(gè)人信息保護(hù)法》（以下簡稱“《個(gè)人信息保護(hù)法》”），《個(gè)人信息保護(hù)法》共八章七十四條，將于2021年11月1日起施行。

立法過程

2018年9月7日，《個(gè)人信息保護(hù)法》首次列入十三屆全國人大常委會(huì)立法規(guī)劃；同年，全國人大常委會(huì)法工委會(huì)同中央網(wǎng)信辦開始著手研究起草《個(gè)人信息保護(hù)法》；

2020年10月21日，《中華人民共和國個(gè)人信息保護(hù)法（草案）》（以下簡稱“《一審稿》”）正式公開，向全社會(huì)公開征求意見；

2021年4月26日，第十三屆全國人大常委會(huì)第二十八次會(huì)議對(duì)《中華人民共和國個(gè)人信息保護(hù)法（草案二次審議稿）》（以下簡稱“《二審稿》”）進(jìn)行了審議；

2021年8月20日，第十三屆全國人大常委會(huì)第三十次會(huì)議審議通過《個(gè)人信息保護(hù)法》，并將于2021年11月1日起施行?！秱€(gè)人信息保護(hù)法》共計(jì)八章七十四條。

《個(gè)人信息保護(hù)法》的適用范圍

《個(gè)人信息保護(hù)法》保護(hù)的是自然人的個(gè)人信息權(quán)益，任何組織、個(gè)人不得侵害自然人的個(gè)人信息權(quán)益。根據(jù)《個(gè)人信息保護(hù)法》，在我國境內(nèi)處理自然人個(gè)人信息的活動(dòng)，適用《個(gè)人信息保護(hù)法》。

同時(shí)，如果是在我國境外處理我國境內(nèi)自然人個(gè)人信息的活動(dòng)，且該活動(dòng)以向境內(nèi)自然人提供產(chǎn)品或者服務(wù)為目的，或者分析、評(píng)估境內(nèi)自然人行為的，同樣適用《個(gè)人信息保護(hù)法》。

處理個(gè)人信息的原則

《個(gè)人信息保護(hù)法》第五條至第九條明確了在處理個(gè)人信息時(shí)應(yīng)遵循合法、正當(dāng)、必要和誠信原則、明確性和相關(guān)性原則、最小程度原則、公開透明原則、完整性和準(zhǔn)確性原則和安全保障原則。

這幾個(gè)原則從字面就很好理解，首先合法、正當(dāng)、必要和誠信是處理個(gè)人信息的首要原則，也是處理個(gè)人信息合規(guī)的基礎(chǔ)。同時(shí)，必要且最小依舊是處理個(gè)人信息時(shí)的必要原則。其次，在處理個(gè)人信息時(shí)，個(gè)人信息處理者應(yīng)當(dāng)向個(gè)人明示信息處理的目的、方式和范圍，此條原則保障了個(gè)人信息主體的知情權(quán)和同意權(quán)，是“告知-同意”規(guī)則的前提。

個(gè)人信息處理者還需要對(duì)個(gè)人信息的安全負(fù)責(zé)，應(yīng)避免由于個(gè)人信息不完整、不準(zhǔn)確對(duì)個(gè)人權(quán)益造成的不良影響。

明確“告知-同意”規(guī)則，但有例外

個(gè)人同意，是個(gè)人信息處理者獲得個(gè)人信息的合法前提，個(gè)人信息處理者在收集個(gè)人信息前需要明確告知并征得個(gè)人的同意。

對(duì)于“告知-同意”規(guī)則，需要由個(gè)人在充分知情的前提下自愿明確地表示同意，對(duì)于個(gè)人信息處理目的和方式發(fā)生變化的，需要重新取得個(gè)人同意。同時(shí)，個(gè)人也有權(quán)撤回其同意，個(gè)人信息處理者應(yīng)提供便捷的撤回方式。

《個(gè)人信息保護(hù)法》第十三條規(guī)定了個(gè)人信息處理者可以處理個(gè)人信息的情形，除了取得個(gè)人同意的情形外，還規(guī)定了其中無需取得個(gè)人同意的例外情形。

這幾種情形中，與企業(yè)最為密切相關(guān)的是“在合理范圍內(nèi)處理已公開的個(gè)人信息”和“為履行合同、實(shí)施人力資源管理所必需”。盡管前者在為企業(yè)利用個(gè)人信息的合理性上提供了一定的法律基礎(chǔ)，但是鑒于“合理范圍”難以確定，企業(yè)如果想利用該例外情形處理個(gè)人信息時(shí)還需要根據(jù)具體情況進(jìn)行具體分析。

同樣，對(duì)于后者，企業(yè)仍需要對(duì)于“必需”做準(zhǔn)確的界定。例如，某些企業(yè)在首次面試員工時(shí)要求收集面試者完整的家庭信息，在大多數(shù)情況下，這顯然不屬于“必需”。因此，企業(yè)在收集和處理員工個(gè)人信息時(shí)，仍需要遵循合理且必要的原則，并保障員工個(gè)人信息的安全。

數(shù)據(jù)可攜帶權(quán)（Right to data portability）

與二審稿相比，《個(gè)人信息保護(hù)法》第四十五條增加了“數(shù)據(jù)可攜帶權(quán)”的規(guī)定。數(shù)據(jù)可攜帶權(quán)，即個(gè)人請(qǐng)求將個(gè)人信息轉(zhuǎn)移至其指定的個(gè)人信息處理者，符合國家網(wǎng)信部門規(guī)定條件的，個(gè)人信息處理者應(yīng)當(dāng)提供轉(zhuǎn)移的途徑。

數(shù)據(jù)可攜帶權(quán)起源于歐盟的《通用數(shù)據(jù)保護(hù)條例》，在歐盟的《通用數(shù)據(jù)保護(hù)條例》中，其對(duì)數(shù)據(jù)可攜帶權(quán)做了較為詳細(xì)的規(guī)定。

究其本質(zhì)，數(shù)據(jù)可攜帶權(quán)實(shí)際上是數(shù)據(jù)主體對(duì)個(gè)人數(shù)據(jù)的控制力，任何公共利益和他人的合法利益不能因行使該權(quán)利而遭受損害，因此數(shù)據(jù)可攜帶權(quán)的行使是相對(duì)的。

這也就需要我們?nèi)ミM(jìn)一步考慮數(shù)據(jù)可攜帶權(quán)的適用范圍、權(quán)利的實(shí)現(xiàn)方式以及各種細(xì)則規(guī)定，根據(jù)目前的《個(gè)人信息保護(hù)法》，細(xì)則的相關(guān)內(nèi)容由國家網(wǎng)信部門來制定。

禁止大數(shù)據(jù)殺熟

大數(shù)據(jù)殺熟是近期的一大熱點(diǎn)話題，是一種人為制造不公平交易的現(xiàn)象。一般指平臺(tái)根據(jù)已經(jīng)購買過的“熟客”進(jìn)行大數(shù)據(jù)分析，針對(duì)客戶是否對(duì)價(jià)格敏感，從而采取不同的定價(jià)策略。

《個(gè)人信息保護(hù)法》第二十四條明確了禁止大數(shù)據(jù)殺熟，其規(guī)定個(gè)人信息處理者利用個(gè)人信息進(jìn)行自動(dòng)化決策，應(yīng)當(dāng)保證決策的透明度和結(jié)果公平、公正，不得對(duì)個(gè)人在交易價(jià)格等交易條件上實(shí)行不合理的差別待遇。

個(gè)人信息出境需要通過保護(hù)認(rèn)證和安全評(píng)估

對(duì)于個(gè)人信息出境這一行為，《個(gè)人信息保護(hù)法》針對(duì)個(gè)人信息處理者和關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者（CIIO）提出了不同的要求。首先，個(gè)人信息處理者因業(yè)務(wù)等需要，確需向中華人民共和國境外提供個(gè)人信息的需要按照國家網(wǎng)信部門的規(guī)定經(jīng)專業(yè)機(jī)構(gòu)進(jìn)行個(gè)人信息保護(hù)認(rèn)證和通過安全評(píng)估，此外還需要向個(gè)人告知境外接收方的詳細(xì)信息和信息出境的處理目的及方式。

對(duì)于處理個(gè)人信息達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量的個(gè)人信息處理者和關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者（CIIO），其應(yīng)當(dāng)通過國家網(wǎng)信部門組織的安全評(píng)估。

我們的觀察

近年來，違法收集個(gè)人信息、違法使用個(gè)人信息以及大數(shù)據(jù)殺熟等事件時(shí)有發(fā)生，造成這些情形發(fā)生的原因主要是違法成本低廉且違法所得豐厚?！秱€(gè)人信息保護(hù)法》的出臺(tái)將為個(gè)人信息保護(hù)帶來一個(gè)新的時(shí)代，其將與《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《消費(fèi)者權(quán)益保護(hù)法》《民法典》等法律法規(guī)一起為個(gè)人信息及數(shù)據(jù)提供法律保障。

同時(shí)，在《個(gè)人信息保護(hù)法》即將生效的這段時(shí)間內(nèi)，各相關(guān)企業(yè)及信息處理者，應(yīng)按照新規(guī)定來制定個(gè)人信息合規(guī)政策和策略。對(duì)此，我們將保持關(guān)注。