《中華人民共和國個人信息保護(hù)法》厘清了個人信息、敏感個人信息、自動化決策、去標(biāo)識化、匿名化的基本概念，從適用范圍、個人信息處理的基本原則、處理規(guī)則、跨境傳輸規(guī)則等多個方面對個人信息保護(hù)進(jìn)行了全面規(guī)定，個人信息保護(hù)領(lǐng)域各主體的行為從此也有了更明確的法律依據(jù)。本文將淺析《中華人民共和國個人信息保護(hù)法》，以期為各方提供些許參考。

《個人信息保護(hù)法》一共分為8章74條，在有關(guān)法律的基礎(chǔ)上，進(jìn)一步明確了個人信息處理活動中的權(quán)利義務(wù)邊界，細(xì)化、完善了個人信息保護(hù)應(yīng)遵循的原則和個人信息處理規(guī)則?！秱€人信息保護(hù)法》第一條規(guī)定“為了保護(hù)個人信息權(quán)益，規(guī)范個人信息處理活動，促進(jìn)個人信息合理利用，根據(jù)憲法，制定本法?！痹摬糠伞案鶕?jù)憲法”制定，意味著《個人信息保護(hù)法》已經(jīng)成為了信息保護(hù)的基本法，也意味著個人信息保護(hù)權(quán)上升為公民的一項基本權(quán)利。

何謂“個人信息”？我國《個人信息保護(hù)法》第四條給出了如下定義：“個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息?！?/strong>

其實關(guān)于“個人信息”的定義，各部法律在具體的界定方法、概念的內(nèi)涵均存在區(qū)別。從國際角度橫向比較，中國的《個人信息保護(hù)法》與GDPR（General Data Protection Regulation，即通用數(shù)據(jù)保護(hù)條例）在定義上更加類似，二者都將所有可識別和已識別的自然人有關(guān)的個人信息都納入了調(diào)整范圍，保護(hù)范圍更廣，且都將匿名化信息排除在了個人信息范圍之外。而CCPA（California Consumer Privacy Act，即美國加州隱私保護(hù)法）則采用定義、列舉、排除并行的方式對個人信息進(jìn)行界定，強(qiáng)調(diào)“合理性”，進(jìn)一步限制了個人信息的范圍，CCPA排除適用的信息類型也遠(yuǎn)遠(yuǎn)多于GDPR與《個人信息保護(hù)法》。三者具體比較可參見下表。

從國內(nèi)角度縱向?qū)Ρ?，《個人信息保護(hù)法》的定義與《中華人民共和國民法典》（以下簡稱“民法典”）、《中華人民共和國網(wǎng)絡(luò)安全法》（以下簡稱“網(wǎng)絡(luò)安全法”）、《信息安全技術(shù) 個人信息安全規(guī)范》（以下簡稱“個人信息安全規(guī)范”）中對個人信息的定義近似，但略有區(qū)別，具體可參見下表。

通過比較可以看到，《個人信息保護(hù)法》通過內(nèi)涵和外延較為寬泛的定義方式，最大程度上保證了本法的廣泛適用，也最大限度保障了個人信息的保護(hù)，維護(hù)了個人信息主體的權(quán)益。

個人信息與個人隱私呈交叉關(guān)系，即有的個人隱私屬于個人信息，而有的個人隱私則不屬于個人信息。隱私無法包含公開的個人信息，個人信息亦無法包含生活安寧和沒有形成記錄的隱私。

具體來說，隱私重在隱匿，而個人信息重在識別，隱私具有當(dāng)事人不愿公開的主觀因素，而個人信息不涉及當(dāng)事人的主觀因素，只關(guān)注客觀上是否能識別特定自然人?！半[私”的定義可以參見《民法典》第一千零三十二條之規(guī)定：“隱私是自然人的私人生活安寧和不愿為他人知曉的私密空間、私密活動、私密信息?！薄八饺恕迸c“不愿為他人知曉”是《民法典》關(guān)于“隱私”定義的核心字眼。

《民法典》在第一千零三十四條中對“個人信息”進(jìn)行了如下界定：“個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等。”《民法典》還將“個人信息”進(jìn)一步劃分為了私密信息和非私密信息：“個人信息中的私密信息，適用有關(guān)隱私權(quán)的規(guī)定；沒有規(guī)定的，適用有關(guān)個人信息保護(hù)的規(guī)定。”

個人信息和敏感個人信息呈包含關(guān)系，敏感個人信息首先是個人信息。敏感個人信息與個人信息劃分的標(biāo)準(zhǔn)是信息的敏感度，強(qiáng)調(diào)的是對信息主體造成不良影響的可能性，因此立法對敏感個人信息的保護(hù)標(biāo)準(zhǔn)更為嚴(yán)格，保護(hù)程度更高。

具體來說，《個人信息保護(hù)法》第二十八條將敏感個人信息定義為一旦泄露或者非法使用，容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財產(chǎn)安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息。個人信息處理者只有在具有特定的目的和充分的必要性，并且采取嚴(yán)格保護(hù)措施的情形下，才可以處理敏感個人信息。

《個人信息保護(hù)法》第七十三條分別對“去標(biāo)識化”與“匿名化”進(jìn)行了定義：“去標(biāo)識化，是指個人信息經(jīng)過處理，使其在不借助額外信息的情況下無法識別特定自然人的過程?！?/strong>“匿名化，是指個人信息經(jīng)過處理無法識別特定自然人且不能復(fù)原的過程?！?/strong>由此可見，去標(biāo)識化后的信息，在滿足一定條件下，仍可以識別到特定自然人，即去標(biāo)識化后的信息仍可進(jìn)行復(fù)原。而匿名化后的信息，在任何情況下都無法識別到特定自然人，且無法復(fù)原。兩者從內(nèi)涵上類似于GDPR語境下的匿名化與假名化（GDPR 將匿名化信息定義為“已識別或可識別的自然人無關(guān)的信息或者以數(shù)據(jù)主體不可識別或不再可識別的方式匿名呈現(xiàn)的數(shù)據(jù)”，將假名化定義為“在采取某種方式對個人數(shù)據(jù)進(jìn)行處理后，如果沒有額外的信息就不能識別數(shù)據(jù)主體的處理。”前者不再適用 GDPR,后者仍作為個人信息，依舊適用 GDPR），兩種不同的技術(shù)區(qū)別在于數(shù)據(jù)是否可以被重新識別，匿名化要求該信息無法再識別到特定自然人。即使是在歐盟，判斷企業(yè)在實操過程中是否實現(xiàn)了匿名化，也是一項較為困難的事情，就如歐盟第29條工作組在其意見中指出一樣：“真正的數(shù)據(jù)匿名化是一個極高的標(biāo)準(zhǔn)，數(shù)據(jù)控制者往往無法真正實現(xiàn)數(shù)據(jù)的匿名化。”

根據(jù)個保法的定義判斷二者的關(guān)鍵在于，經(jīng)過處理后的信息是否能夠復(fù)原且識別到特定自然人。去標(biāo)識化后的信息因為仍有可能識別到特定自然人，故屬于個人信息；而匿名化處理之后的信息，因無法識別特定自然人且不能復(fù)原，故匿名化后的信息不屬于個人信息，處理這類匿名化信息，不受《個人信息保護(hù)法》的保護(hù)。

《個人信息保護(hù)法》第三條規(guī)定：在中華人民共和國境內(nèi)處理自然人個人信息的活動，適用本法。在中華人民共和國境外處理中華人民共和國境內(nèi)自然人個人信息的活動，有下列情形之一的，也適用本法：（一）以向境內(nèi)自然人提供產(chǎn)品或者服務(wù)為目的；（二）分析、評估境內(nèi)自然人的行為；（三）法律、行政法規(guī)規(guī)定的其他情形。

由此可見，《個人信息保護(hù)法》采取了類似于 GDPR 的綜合立法模式，管轄范圍不僅包括境內(nèi)的個人信息處理行為，還包括了境外部分特定行為，將使用范圍擴(kuò)展至了域外，產(chǎn)生了“長臂管轄”的效果，同時，也與《數(shù)據(jù)安全法》在法律適用上進(jìn)行了銜接。

但《個人信息保護(hù)法》與GDPR也存在區(qū)別：一、《個人信息保護(hù)法》強(qiáng)調(diào)“屬地原則”，而GDPR以“營業(yè)地/設(shè)立地”為標(biāo)準(zhǔn)。二、GDPR以“保護(hù)主體”為標(biāo)準(zhǔn)：即使有關(guān)個人數(shù)據(jù)處理活動的控制者或處理者不在歐盟設(shè)立，但若其為歐盟境內(nèi)的數(shù)據(jù)主體提供商品或服務(wù)、或?qū)Πl(fā)生在歐盟境內(nèi)的數(shù)據(jù)主體的活動進(jìn)行監(jiān)控，也將同樣適用GDPR。對標(biāo)GDPR“保護(hù)主體”規(guī)則，《個人信息保護(hù)法》對域外適用也進(jìn)行了規(guī)定，當(dāng)有關(guān)個人數(shù)據(jù)處理活動的控制者或處理者以向境內(nèi)自然人提供產(chǎn)品或者服務(wù)為目的、為分析、評估境內(nèi)自然人的行為而進(jìn)行數(shù)據(jù)處理行為時，也應(yīng)當(dāng)適用《個人信息保護(hù)法》。從域外適用的范圍看，GDPR的范圍更寬泛，中國《個人信息保護(hù)法》在地域范圍上做了適當(dāng)延伸，但相較GDPR而言更為克制，也體現(xiàn)了個保法的謙抑性。

《個人信息保護(hù)法》與《民法典》、《網(wǎng)絡(luò)安全法》一脈相承，保持和延續(xù)了個人信息處理的原則和規(guī)定。

“最小影響、最小范圍、最短時間”規(guī)則是個保法必要原則與誠信原則的具體化。而個保法要求個人信息處理者處理個人信息必須具有明確、合理的目的，否則不能進(jìn)行處理活動，也充分體現(xiàn)了個保法中的合法、正當(dāng)原則。

《個人信息保護(hù)法》在第五條中明確了個人信息處理者需要遵循的處理原則：合法、正當(dāng)、必要和誠信，個人信息處理者不得通過誤導(dǎo)、欺詐、脅迫等方式處理個人信息。在該原則的指引下，《個人信息保護(hù)法》又進(jìn)行了進(jìn)一步細(xì)化，明確了個人信息處理者在進(jìn)行個人信息處理活動時需要遵守的，與處理目的相對應(yīng)的“最小影響、最小范圍、最短時間”規(guī)則，具體可參見《個人信息保護(hù)法》第六條與第十九條之規(guī)定。個保法第六條明確個人信息處理者“處理個人信息應(yīng)當(dāng)具有明確、合理的目的，并應(yīng)當(dāng)與處理目的直接相關(guān)，采取對個人權(quán)益影響最小的方式。收集個人信息，應(yīng)當(dāng)限于實現(xiàn)處理目的的最小范圍，不得過度收集個人信息?！眰€保法對個人信息處理者處理活動的嚴(yán)格限定體現(xiàn)了“最小影響”與“最小范圍”的要求；而《個人信息保護(hù)法》第十九條規(guī)定“除法律、行政法規(guī)另有規(guī)定外，個人信息的保存期限應(yīng)當(dāng)為實現(xiàn)處理目的所必要的最短時間?！斌w現(xiàn)了“最短時間”的要求。

而在實踐中，大量APP存在收集過量信息的行為。2021年3月12日，中央網(wǎng)信辦、工業(yè)和信息化部、市場監(jiān)管總局、公安部等有關(guān)部門聯(lián)合發(fā)布了《常見類型移動互聯(lián)網(wǎng)應(yīng)用程序必要個人信息范圍規(guī)定》，列舉了“常見類型APP的必要個人信息范圍”。對APP采集個人信息的范圍進(jìn)行了一定的限制，而在《個人信息保護(hù)法》生效以后，有關(guān)監(jiān)管部門將會對有關(guān)個人信息處理進(jìn)行更嚴(yán)格的監(jiān)管。

作為個人信息處理者的企業(yè)，應(yīng)當(dāng)充分結(jié)合《個人信息保護(hù)法》的合法、正當(dāng)、必要和誠信原則與“最小影響、最小范圍、最短時間”規(guī)則，積極進(jìn)行自查自糾，對自身信息處理行為的目的正當(dāng)性與處理必要性進(jìn)行充分說明，明確提供基本功能服務(wù)所必須收集的個人信息范圍，并與業(yè)務(wù)部門及時溝通調(diào)整實際收集個人信息的范圍，以確保符合《個人信息保護(hù)法》的要求。

“告知-同意”原則，是指信息處理者在收集個人信息前，應(yīng)當(dāng)對信息主體就有關(guān)個人信息處理有關(guān)事宜進(jìn)行充分告知，征得信息主體明確同意后方能進(jìn)行收集的原則。這也是本次個保法中最為核心的處理規(guī)則。

近年來，隨著《網(wǎng)絡(luò)安全法》、《民法典》等相關(guān)法律法規(guī)的出臺，“告知-同意”原則已儼然成為了我國個人信息處理活動的合法性基礎(chǔ)。其中，《網(wǎng)絡(luò)安全法》更是將個人信息主體的“同意”視為個人信息處理的唯一合法性基礎(chǔ)，這一規(guī)定雖然體現(xiàn)了對個人信息主體權(quán)利的尊重和保障，但是忽略了實務(wù)中大量存在的涉及訂立或履行合同所必需、履行法定職責(zé)或法定義務(wù)、公共利益等多種個人信息處理場景?！睹穹ǖ洹冯m規(guī)定了同意的例外情形，但也僅限于處理自然人自行公開或其他已公開信息的情形以及維護(hù)公共利益或者自然人合法權(quán)益的情形。相較于《網(wǎng)絡(luò)安全法》和《民法典》，《個人信息保護(hù)法》采用了與GDPR一致的立法邏輯，將“告知-同意”確立為個人信息處理規(guī)則的核心，但《個人信息保護(hù)法》規(guī)定了更多無需征得個人同意的例外情形，在這些例外情形下，無需取得個人同意，即可處理個人信息。

但是無論是何種合法性事由，個人信息處理者都需要履行事先告知的義務(wù)。相比于《網(wǎng)絡(luò)安全法》、《民法典》，《個人信息保護(hù)法》對于告知義務(wù)規(guī)定的較為詳細(xì)，給企業(yè)在法律層面做出了明確的指引，但企業(yè)在不同場景下如何具體落實告知同意原則，后續(xù)可參考《信息安全技術(shù) 個人信息告知同意指南（征求意見稿）》。

與同意規(guī)則一樣，告知規(guī)則也有不適用的情形，即在特定的情形下，處理者不負(fù)有告知的義務(wù)。個保法對告知的例外規(guī)定體現(xiàn)在第十八條和第三十五條，《個人信息保護(hù)法》第十八條規(guī)定：“個人信息處理者處理個人信息，有法律、行政法規(guī)規(guī)定應(yīng)當(dāng)保密或者不需要告知的情形的，可以不向個人告知前條第一款規(guī)定的事項。緊急情況下為保護(hù)自然人的生命健康和財產(chǎn)安全無法及時向個人告知的，個人信息處理者應(yīng)當(dāng)在緊急情況消除后及時告知”；《個人信息保護(hù)法》第三十五條規(guī)定：“國家機(jī)關(guān)為履行法定職責(zé)處理個人信息，應(yīng)當(dāng)依照本法規(guī)定履行告知義務(wù)；有本法第十八條第一款規(guī)定的情形，或者告知將妨礙國家機(jī)關(guān)履行法定職責(zé)的除外”?？梢?，個保法對免于告知的情況主要體現(xiàn)在法律、行政法規(guī)另有規(guī)定、緊急情況下為保護(hù)自然人的生命健康和財產(chǎn)安全、告知將妨礙國家機(jī)關(guān)履行法定職責(zé)的情形。例如《反恐怖主義法》第51條規(guī)定，公安機(jī)關(guān)調(diào)查恐怖活動，有權(quán)向有關(guān)單位和個人收集、調(diào)取相關(guān)信息和材料。有關(guān)單位和個人應(yīng)當(dāng)如實提供。在一些緊急情況下，可以事后告知。

由于在現(xiàn)實生活中存在的利益眾多，公共利益、法定職責(zé)、國家利益、自然人的生命健康和財產(chǎn)安全等利益有時會存在沖突，所以，“同意+例外”規(guī)制方式，給予了個人信息處理更靈活的空間，也能夠更好地保護(hù)國家和公民的利益。但是我們發(fā)現(xiàn)，相較于《個人信息安全規(guī)范》第5.6條之規(guī)定，《個人信息保護(hù)法》大大壓縮了理論上可以具有合法性的情形，簡化了處理個人信息處理的合法性基礎(chǔ)，可能給后續(xù)落地帶來新的問題，使得一些具有正當(dāng)性的個人信息處理情形陷入于法無據(jù)的困境。

科技是把雙刃劍，《個人信息保護(hù)法》在吸納《電子商務(wù)法》和《個人信息安全規(guī)范》關(guān)于定向推送和個性化展示的規(guī)定基礎(chǔ)上，對“自動化決策”作出專門限制，增加了“禁止大數(shù)據(jù)殺熟”條款，明確規(guī)定“自動化決策應(yīng)保證透明度和結(jié)果公平、公正，不得對個人在交易價格等交易條件上實行不合理的差別待遇。”豐富了對歧視性定價、算法歧視問題的規(guī)制路徑。

《個人信息保護(hù)法》第二十四條中還明確“通過自動化決策方式向個人進(jìn)行信息推送、商業(yè)營銷，應(yīng)當(dāng)同時提供不針對其個人特征的選項，或者向個人提供便捷的拒絕方式?！眰€保法在賦予個人主體拒絕權(quán)的基礎(chǔ)上要求個人信息處理者提供“便捷”的拒絕方式，為用戶提供退出或關(guān)閉個性化展示模式的選項，對信息處理者有較強(qiáng)的制約，信息處理者的責(zé)任進(jìn)一步加重。

撤回同意，實質(zhì)為個人信息主體意思表示的撤銷，即個人信息主體基于“告知-同意”原則，取消自己已經(jīng)作出的“同意”的意思表示。

個人信息主體行使撤回同意權(quán)利的時間不應(yīng)僅局限于信息的收集階段，因為在同意收集個人信息的初始階段，個人信息主體往往很難理解、判斷做出該同意將面臨何種后果。根據(jù)《個人信息保護(hù)法》規(guī)定可知，個人信息主體撤回同意的權(quán)利可以在個人信息的收集、使用、保存、共享等全生命周期內(nèi)行使，而個人信息主體一旦行使權(quán)利，即包含了對個人信息使用全過程中的處分。個人信息主體所撤回的個人同意，對于已經(jīng)發(fā)生的個人信息處理行為，沒有溯及力，但是個人信息處理者應(yīng)主動刪除內(nèi)部所存儲的個人信息。

相較于《個人信息保護(hù)法》，GDPR中個人信息主體行使撤銷同意權(quán)的范圍更為廣泛。在GDPR中，不論數(shù)據(jù)處理活動是否是基于數(shù)據(jù)主體同意而進(jìn)行的，數(shù)據(jù)主體在任何情況下均可撤回其同意。而《個人信息保護(hù)法》規(guī)定，個人信息主體僅可對基于其個人同意的處理活動撤回同意。個人信息主體撤回同意之后，個人信息處理的合法性基礎(chǔ)將不復(fù)存在。作為個人信息處理者，必須立即停止數(shù)據(jù)處理行為，并根據(jù)《個人信息保護(hù)法》中的相關(guān)規(guī)定對其留存的個人信息進(jìn)行處理，并且不得以撤回同意為由，拒絕提供產(chǎn)品或者服務(wù)。

根據(jù)《個人信息保護(hù)法》第十五條的規(guī)定，個人信息處理者應(yīng)當(dāng)提供“便捷”的撤回同意方式，我們理解便捷的方式，包括但不限于將撤回的按鈕置于醒目的位置，與“同意”的選項相對應(yīng)，給與對應(yīng)撤回的選項等等，其困難程度不能高于“同意”的方式，企業(yè)在落地實施的過程中，可以參考《信息安全技術(shù)個人信息告知同意指南（征求意見稿）》第9.3條同意的撤回的規(guī)定。另外，由于數(shù)據(jù)的可復(fù)制性，個人信息處理者在處理個人信息的過程中，可能將個人信息向其他第三方共享、提供、委托處理等等，在這些情況下，個人信息處理者還需要在共享、提供、委托處理等環(huán)節(jié)設(shè)置相應(yīng)的聯(lián)動機(jī)制，保證在個人信息主體撤回同意后，這些第三方個人信息接收方能夠按照個保法的要求進(jìn)行刪除。

對于影響個人利益的重大事項，例如向第三方提供個人信息、個人信息出境等，《個人信息保護(hù)法》要求個人信息處理者需要取得該個人的“單獨同意”。單獨同意區(qū)別于《個人信息保護(hù)法》下的一般同意規(guī)則，個人信息處理者需僅針對單一事項取得個人信息主體授權(quán)同意，而不得通過一攬子授權(quán)的方式。

在《個人信息保護(hù)法》項下，個人信息處理者需要征得個人單獨同意的場景如下：

就“單獨同意”的適用頻率和行業(yè)普適性而言，《個人信息保護(hù)法》第二十三、二十九、三十九條相較于其他兩條更高，也是許多企業(yè)無法避免的。作為個人信息處理者的企業(yè)應(yīng)從個人信息的敏感度、場景進(jìn)行風(fēng)險分析，基于處理行為的類型去區(qū)別實施不同的同意方式，并為實現(xiàn)不同的同意匹配新型的同意機(jī)制。

那么什么是“單獨同意”，如何取得“單獨同意”，根據(jù)《信息安全技術(shù)個人信息告知同意指南（征求意見稿）》第8條及9.2.2條的規(guī)定，“單獨同意”是指通過“增強(qiáng)式告知”或“即時提示”等方式，單獨向個人信息主體告知處理個人信息的目的、方式和范圍、以及存儲時間、安全措施等規(guī)則，并由個人信息主體明示同意（主動作出確認(rèn)性動作），不應(yīng)與其他不相關(guān)的目的或業(yè)務(wù)功能相捆綁或混同在其他同意事項中，不應(yīng)通過“同意個人信息保護(hù)政策”等方式一攬子獲得同意?！霸鰪?qiáng)式告知”，指采用個人信息主體不可繞過的方式（如設(shè)置專門頁面或單獨步驟）向個人信息主體告知相關(guān)信息，以協(xié)助其作出是否授權(quán)同意的決定。具體到企業(yè)的業(yè)務(wù)場景中，可以根據(jù)特定的業(yè)務(wù)功能，采用單獨的交互式界面或紙質(zhì)頁面向個人信息主體告知相關(guān)信息，并向其提供可分項選擇同意的機(jī)制，如勾選、點亮等方式。

目前大數(shù)據(jù)行業(yè)的快速發(fā)展依賴于數(shù)據(jù)的共享與流動，《個人信息保護(hù)法》對單獨同意的要求，意味著強(qiáng)監(jiān)管時代的到來，在后續(xù)落實階段，可能會給大數(shù)據(jù)行業(yè)個人信息的數(shù)據(jù)生態(tài)帶來巨大的改變，企業(yè)在個人信息保護(hù)領(lǐng)域都需要構(gòu)建全生命周期的數(shù)據(jù)合規(guī)管理體制，特別是數(shù)據(jù)的對外提供，此時，如何在不對外提供數(shù)據(jù)的情況下實現(xiàn)數(shù)據(jù)的價值呢？隱私計算或能在一定程度上實現(xiàn)“數(shù)據(jù)的可用不可見”。例如“聯(lián)邦學(xué)習(xí)”強(qiáng)調(diào)雙方原始數(shù)據(jù)皆無流轉(zhuǎn)，不存在對外提供、共享數(shù)據(jù)的情況，雙方采用多方計算、同態(tài)加密等算法以及可信執(zhí)行環(huán)境等，使用高強(qiáng)度加密算法確保數(shù)據(jù)的安全，解決了數(shù)據(jù)合作方之間互不信任而又可釋放數(shù)據(jù)價值。

《個人信息保護(hù)法》對敏感個人信息處理者的特殊要求可以總結(jié)為三句話：目的限定更嚴(yán)、告知事項更多、同意機(jī)制更嚴(yán)。

根據(jù)《個人信息保護(hù)法》規(guī)定：“敏感個人信息是一旦泄露或者非法使用，容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財產(chǎn)安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息。只有在具有特定的目的和充分的必要性，并采取嚴(yán)格保護(hù)措施的情形下，個人信息處理者方可處理敏感個人信息。”由此可見，除敏感個人信息原有定義外（詳見上文），《個人信息保護(hù)法》還將未成年個人信息明確列為敏感個人信息，加以重點保護(hù)，此時還需要注意，《兒童個人信息網(wǎng)絡(luò)保護(hù)規(guī)定》同樣將不滿十四周歲的未成年人定義為兒童，因此，企業(yè)在遵守《個人信息保護(hù)法》的同時，還需要遵守《兒童個人信息網(wǎng)絡(luò)保護(hù)規(guī)定》的規(guī)定。

《個人信息保護(hù)法》設(shè)專節(jié)對處理敏感個人信息作出更嚴(yán)格的限制，第二十九條至第三十條對敏感個人信息的處理規(guī)則上作出要求。其他章節(jié)中，第五十五條對敏感個人信息事前影響評估進(jìn)行規(guī)定，第六十二條提出監(jiān)管將制定專門的個人信息保護(hù)規(guī)則、標(biāo)準(zhǔn)。

對于數(shù)據(jù)跨境的要求，我國已有多部法律法規(guī)以及國家標(biāo)準(zhǔn)進(jìn)行規(guī)制，例如《數(shù)據(jù)安全法》、《網(wǎng)絡(luò)安全法》、《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》及《網(wǎng)絡(luò)安全審查辦法》等，因此需要結(jié)合其他法律法規(guī)共同理解。

首先，《個人信息保護(hù)法》進(jìn)一步完善了個人信息跨境提供規(guī)則，相比《網(wǎng)絡(luò)安全法》，《個人信息保護(hù)法》擴(kuò)展了適用于數(shù)據(jù)本地化的適用主體范圍，除關(guān)鍵信息基礎(chǔ)設(shè)施運營者以外，還增加了個人信息達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者，其中對于“規(guī)定數(shù)量”，還有待國家網(wǎng)信部門的細(xì)化規(guī)定出臺?！秱€人信息保護(hù)法》第四十條規(guī)定：“關(guān)鍵信息基礎(chǔ)設(shè)施運營者和處理個人信息達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者，應(yīng)當(dāng)將在中華人民共和國境內(nèi)收集和產(chǎn)生的個人信息存儲在境內(nèi)。確需向境外提供的，應(yīng)當(dāng)通過國家網(wǎng)信部門組織的安全評估；法律、行政法規(guī)和國家網(wǎng)信部門規(guī)定可以不進(jìn)行安全評估的，從其規(guī)定?！边@與《網(wǎng)絡(luò)安全法》第三十七條規(guī)定基本上保持一致。

作為個人信息處理者，如需向境外傳輸數(shù)據(jù)，首先應(yīng)當(dāng)判斷其擬出境的數(shù)據(jù)是否涉及數(shù)據(jù)本地化要求，只有在不涉及數(shù)據(jù)本地化要求的情況下，才能進(jìn)一步考慮個人信息出境需要滿足哪些具體條件。需要特別注意的是，根據(jù)《數(shù)據(jù)安全法》第三十一條及《網(wǎng)絡(luò)安全法》第三十七條之規(guī)定，企業(yè)還需要判斷是否涉及重要數(shù)據(jù)，否則即使是一般數(shù)據(jù)處理者，也同樣需要遵守主要數(shù)據(jù)境內(nèi)存儲，境外提供需要單獨進(jìn)行安全評估的要求。

其次，當(dāng)不涉及數(shù)據(jù)本地化要求的情況下，例如個人信息主體需要向境外提供個人信息的情況，《個人信息保護(hù)法》第三十八條規(guī)定了四項數(shù)據(jù)出境的合規(guī)路徑：1、通過國家網(wǎng)信部門組織的安全評估；2、接受專業(yè)機(jī)構(gòu)進(jìn)行的個人信息保護(hù)認(rèn)證；3、與境外接收方簽訂根據(jù)國家網(wǎng)信部門制定的標(biāo)準(zhǔn)合同（類似于GDPR下的SCC條款），約定雙方的權(quán)利義務(wù)；4、提供了符合法律規(guī)定的兜底條件。

再者，《個人信息保護(hù)法》對個人信息跨境流動需要滿足的必要條件進(jìn)行了充分整合，并將向個人主體的告知和獲取個人主體的單獨同意作為另一必要前提條件。《個人信息保護(hù)法》第三十九條規(guī)定：“個人信息處理者向中華人民共和國境外提供個人信息的，應(yīng)當(dāng)向個人告知境外接收方的名稱或者姓名、聯(lián)系方式、處理目的、處理方式、個人信息的種類以及個人向境外接收方行使本法規(guī)定權(quán)利的方式和程序等事項，并取得個人的單獨同意?！眰€保法要求個人信息處理者提前告知并獲取個人信息主體同意的義務(wù)可以被視為數(shù)據(jù)出境行為的前置條件。

最后，《個人信息保護(hù)法》對境外的個人信息處理者也作出了更嚴(yán)格的規(guī)定。根據(jù)《個人信息保護(hù)法》第五十三條之規(guī)定，中國境外的個人信息處理者，需設(shè)立境內(nèi)專門機(jī)構(gòu)或指定境內(nèi)代表，并要求履行溝通渠道的報送義務(wù)，這也彌補了一直以來針對境外機(jī)構(gòu)監(jiān)管的敞口。

個人信息處理者負(fù)有配合個人信息主體行使權(quán)利的義務(wù)。個保法明確了個人信息主體享有的一系列權(quán)利，實則也是對個人信息處理者的合規(guī)性也提出了更高的要求。個人信息處理者應(yīng)注意從以下幾方面加強(qiáng)自身內(nèi)部的合規(guī)建設(shè)。

根據(jù)《個人信息保護(hù)法》第五十一條的規(guī)定，個人信息處理者應(yīng)建立內(nèi)部合規(guī)制度，企業(yè)可以結(jié)合《個人信息保護(hù)法》及其他關(guān)聯(lián)法律法規(guī)、國家標(biāo)準(zhǔn)、指南等的規(guī)定，結(jié)合自身業(yè)務(wù)特點進(jìn)行補充調(diào)整。具體而言可以從以下幾方面著手落實。

首先，個人信息處理者應(yīng)制定關(guān)于個人信息保護(hù)的內(nèi)控合規(guī)管理制度與配套操作流程。其次，個人信息處理者應(yīng)對個人信息分類分級管理、分別保護(hù)，尤其應(yīng)對敏感個人信息、出境個人信息、未成年個人信息等采取更嚴(yán)格的保護(hù)措施。再者，個人信息處理者應(yīng)對其所處理的個人信息采用相應(yīng)的加密（可參考《信息安全技術(shù) 信息系統(tǒng)密碼應(yīng)用基本要求》GB/T 39786-2021）、去標(biāo)識化（可參考《信息安全技術(shù) 個人信息去標(biāo)識化指南》GB/T 35273—2020）等安全技術(shù)措施，最大程度保護(hù)個人信息安全。最后，個人信息處理者應(yīng)合理確定個人信息處理的操作權(quán)限并參考《國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》的規(guī)定制定相關(guān)預(yù)案。

根據(jù)《個人信息保護(hù)法》第五十二條規(guī)定，對于處理個人信息達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者，應(yīng)當(dāng)指定個人信息保護(hù)負(fù)責(zé)人，負(fù)責(zé)對個人信息處理活動以及采取的保護(hù)措施等進(jìn)行監(jiān)督。

《個人信息保護(hù)法》中尚未對“國家網(wǎng)信部門規(guī)定數(shù)量”進(jìn)行明確規(guī)定，可參考《個人信息安全規(guī)范》第十一條：滿足以下條件之一的組織，都應(yīng)當(dāng)設(shè)立專職的個人信息保護(hù)負(fù)責(zé)人和個人信息保護(hù)工作機(jī)構(gòu)：（1）主要業(yè)務(wù)涉及個人信息處理，且從業(yè)人員規(guī)模大于200人；（2）處理超過100萬人的個人信息，或預(yù)計在12個月內(nèi)處理超過100萬人的個人信息；（3）處理超過10萬人的個人敏感信息的。

對高風(fēng)險信息處理活動進(jìn)行個人信息保護(hù)影響評估，是個人信息處理者合規(guī)經(jīng)營、持續(xù)自主運轉(zhuǎn)的要求，也是個人信息處理者滿足自證要求的保障。

在個保法出臺之前，《個人信息安全規(guī)范》等有關(guān)文件雖對個人信息保護(hù)影響評估也有所規(guī)定，但并非強(qiáng)制性，故大多數(shù)企業(yè)也并未將此作為一項必備的內(nèi)控手段。此次《個人信息保護(hù)法》第五十五、五十六條對需要進(jìn)行個人信息保護(hù)影響評估的情形與個人信息保護(hù)影響評估應(yīng)包括的內(nèi)容進(jìn)行了詳實規(guī)定，從基本法的高度將個人信息保護(hù)影響評估提升為了一項對個人信息處理者的強(qiáng)制性要求，作為個人信息處理者的企業(yè)需要更加注意，并且予以貫徹落實。

《個人信息保護(hù)法》在處罰的措施的多樣性與處罰力度方面較之前的立法有了大幅度提升。特別是第六十六條中規(guī)定的大額罰款，不僅借鑒了GDPR中2,000萬歐元或者企業(yè)上一年度全球營收的百分之四（兩者取其高）罰款的嚴(yán)厲處罰思路，更將罰款力度增加到上一年度營業(yè)額的百分之五。

總體而言，《個人信息保護(hù)法》的責(zé)任追究體系十分完整，涵蓋了民事、行政與刑事領(lǐng)域，且十分嚴(yán)厲，具體可參見下表。

如何平衡個人信息權(quán)益的保護(hù)和數(shù)字經(jīng)濟(jì)發(fā)展兩者之間的關(guān)系，是當(dāng)代社會必須要面對的命題?！秱€人信息保護(hù)法》根據(jù)憲法制定，是我國個人信息保護(hù)的基本法，具有優(yōu)先適用的效力。個保法為監(jiān)管機(jī)關(guān)的執(zhí)法活動和企業(yè)的合規(guī)體系建設(shè)提供了重要指引，也是中國對當(dāng)前全球數(shù)字治理的制度貢獻(xiàn)。