《个人信息保护法》重要规定及合规要点大全.pdf

《个人信息保护法》重要规定及合规要点大全

一、立法历程和重要意义

2021年8月20日，经第十三届全国人大常委会第三十次会议审议后，《中华人民共和国

个人信息保护法》（以下简称“《个保法》”）获得通过并公布，并将于2021年11月1

日起生效实施。

《个保法》的立法历经多个重要阶段：

2018年9月7日，《个保法》首次列入十三届全国人大常委会立法规划；同年，全国人大

常委会法工委会同中央网信办开始着手研究起草《个保法》；

2019年12月16日，经第十三届全国人民代表大会常务委员会第四十四次委员长会议原则

通过，制定《个保法》被明确列入全国人大常委会2020年度立法工作计划；

2020年10月21日，经第十三届全国人大常委会第二十二次会议审议后，《个保法》（草

案）全文公布并第一次向社会征求意见；

2021年4月29日，《个保法》（草案二次审议稿）（以下简称“《二审稿》”）在经第

十三届全国人大常委会第二十八次会议审议后再次面向社会公布并征求意见。

随着全国人大常委会完成第三次审议，《个保法》正式出台。这是中国第一部专门规范个人

信息保护的法律，对我国公民的个人信息权益保护以及各组织的数据隐私合规实践都将产生

直接和深远的影响。同时，《个保法》还将与《网络安全法》、《数据安全法》一同构建和

完善我国在信息保护和网络安全领域更加完备、全面和系统的法律保护体系，以形成规范有

序的政策环境、营造良好数字生态。

由于《数据安全法》将于今年9月1日生效，《个保法》将于今年11月1日生效，对于企

业而言，需要尽快充分地理解、评估这几部基础法律和相关法规对自身运营的适用，并尽快

全面地部署和安排自身的合规体系的搭建，落地、落实法律的要求。

二、重点内容概览

《个保法》共计八章七十四条。总体上看，《个保法》基于当前个人信息保护领域的重点突

出问题以及我国数据保护监管的实践经验，对散见于《民法典》、《网络安全法》、《信息

安全技术个人信息安全规范》等法律法规及标准中的个人信息保护相关规定进行全面的、系

统性的整合，进一步强调了个人信息保护的义务和责任，针对社会热点问题加入了针对性的

规定，并加大对违法行为的惩处力度。《个保法》的重点内容总结如下：

1、适用范围

《个保法》除了规定“在中华人民共和国境内处理自然人个人信息的活动，适用本法”外，

还规定了一定的域外适用效力。该法第三条第二款规定，在中国境外处理中国境内自然人个

人信息的活动，如果“以向境内自然人提供产品或者服务为目的”，或者属于“分析、评估

境内自然人的行为”，也适用本法。对于该等境外的个人信息处理者，《个保法》第五十三

条进一步要求应当在中国境内设立专门机构或者指定代表，负责处理个人信息保护相关事

务，并将有关机构或者代表的信息报送履行个人信息保护职责的部门。

2、重要定义

《个保法》第四条规定，个人信息指“以电子或者其他方式记录的与已识别或者可识别的自

然人有关的各种信息，不包括匿名化处理后的信息”。“个人信息的处理”包括个人信息的

收集、存储、使用、加工、传输、提供、公开、删除等。

《个保法》项下的法律义务大部分针对个人信息处理者。根据第七十三条规定，“个人信息

处理者”是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。

《个保法》第六十二条还规定国家网信部门统筹协调有关部门针对“小型个人信息处理者”

制定专门的个人信息保护规则、标准。目前《个保法》未对“小型个人信息处理者”的定义

和范围进行界定，这仍有待监管机关的后续规定做出解释。

3、处理个人信息的原则

《个保法》第五条至第九条明确了处理个人信息的基本原则，该等原则是贯穿个人信息处理

活动的总体指引。这些原则包括：

3.1合法、正当、必要和诚信原则。个人信息处理者应当遵循合法、正当、必要和诚信原则，

不得以误导、欺诈、胁迫等方式处理个人信息（第五条）。该原则作为《个保法》的首要原

则，是个人信息处理者实施处理活动的前提。

3.2明确性和相关性原则。处理个人信息应当具有明确、合理的目的，并应当与处理目的直

接相关（第六条）。该原则在第五条的基础上，为处理目的设定了评价标准，并将处理活动

控制在“与直接处理目的相关”的范围内。

3.3最小程度原则。《个保法》第六条从两个层面对个人信息处理的程度进行了限制：一是

要求处理活动对个人权益产生的影响最小；二是不得过度收集个人信息，限于满足处理目的

的最小范围（第六条）。

3.4公开透明原则。处理个人信息应当遵循公开、透明