1、個人信息保護法解讀及對企業經營的影響XXX目錄了解個人信息保護法個人信息及敏感個人信息的定義個人信息處理原則個人信息處理規則個人在個人信息處理中的權利個人信息處理者的義務個人信息保護對企業經營的影響了解個人信息保護法有關機構超出所辦理業務的需要，收集大量非必要或完全無關的個人信息。比如，一些商家在辦理積分卡時，要求客戶提供身份證號碼、工作機構、受教育程度、婚姻狀況、子女狀況等信息；一些銀行要求申辦信用卡的客戶提供個人黨派信息、配偶資料乃至聯系人資料等。過度收集社會上出現了大量兜售房主信息、股民信息、商務人士信息、車主信息、電信用戶信息、患者信息的現象，并形成了一個新興的產業。比如，個人在辦理購

2、房、購車、住院等手續之后，相關信息被有關機構或其工作人員賣給房屋中介、保險公司、母嬰用品企業、廣告公司等。非法買賣有關機構未獲法律授權、未經本人許可或者超出必要限度地披露他人個人信息。比如，有些銀行通過網站、有關媒體披露欠款者的姓名、證件號碼、通信地址等信息；有的學校在校園網上公示師生缺勤的原因，或者擅自公布貧困生的詳細情況。擅自披露有關機構在未經法律授權或者本人同意的情況下，將所掌握的個人信息提供給其他機構。比如，銀行、保險公司、航空公司等機構之間未經客戶授權或者超出授權范圍共享客戶信息。擅自提供法治藍皮書了解個人信息保護法全國人民代表大會關于加強網絡信息保護的決定2012年工業和信息化部電

3、信和互聯網用戶個人信息保護管理規定2013年關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋2017年網絡安全法2016年個人信息安全規范2020年個人信息保護法2021年了解個人信息保護法個人信息保護法首次列入十三屆全國人大常委會立法規則2018.9個人信息保護法（草案）提請全國人大常委會首次審議個人信息保護法（三次審議稿）提請全國人大常委會第三次審議2021.8個人信息保護法（二次審議稿）提請全國人大常委會第二次審議2021.4個人信息保護法正式實施2021.112020.10了解個人信息保護法立法目的立法宗旨適用范圍個人信息定義保護原則保護主體1個人信息處理者保護主體2其他組織和個

4、人保護主體3國家第一章 總則第二章 處理規則權利來源：取得個人同意或者法律、行政法規規定個人同意要件個人撤回同意權及其保障處理個人信息前的告知義務及例外信息保存期限共同處理個人信息委托處理個人信息個人信息轉移個人信息共享自動化決策信息公開：一般不得公開、公共監控、已公開信息敏感個人信息定義及處理原則敏感個人信息取得個人同意的特別規定（單獨同意）處理敏感個人信息的告知義務 對未成年人個人信息的保護 第三章 跨境提供規則國家機關處理個人信息的特別規定1、不得超限；2、告知義務；3、境內存儲、境外提供需進行安全評估；4、其他跨境提供需滿足的條件及保障告知義務、單獨同意關鍵信息和超量信息存儲及提供審批

5、規定懲處措施和對等措施第四章 個人權利知情、決定權更正、補充權請求解釋權個人信息處理者對以上權利的保障個人的訴權查閱、復制權請求刪除權死者近親屬權利第五章 處理者義務一般義務：規程、分類、技術、教培、應急超量：負責人合規審計影響評估情形及內容三類（網、大、雜）處理者的特殊義務境外：境內機構或代表接受委托的受托人義務第六章 國家部門職責第七章 法律責任部門主體：國家網信部門、國務院有關部門、縣級以上政府部門職責內容：1、宣傳教育，指導、監督；2、處理投訴舉報；3、組織測評；4、調查、處理違法活動可采取措施：詢問、查閱復制、現場檢查、擴大檢查、約談審計、移送公安投訴、舉報權行政責任：責令改正，給予

6、警告，沒收違法所得，責令暫停或者終止提供服務;拒不改正，處以罰款；情節嚴重，罰款加倍、停業整頓、通報吊證；計入信檔國家機關不履職的責任民事責任：過錯推定公益訴訟治安處罰與刑事責任第八章 附則不適用：自然人因個人或者家庭事務處理個人信息的；適用其他規定：法律對各級人民政府及其有關部門組織實施的統計、檔案管理活動中的個人信息處理有規定的，適用其規定施行時間：2021年11月1日起施行其他內容請關注后續法規及規章個人信息及敏感個人信息的定義個人信息保護法 第四條第一款個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理后的信息。01個人信息02個人信息保護法第

7、二十八條第一款敏感個人信息是一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息。敏感個人信息個人信息處理原則3公開透明原則個人信息保護法第七條規定，處理個人信息應當遵循公開、透明原則，公開個人信息處理規則，明示處理的目的、方式和范圍。1合法、正當、必要、誠信原則個人信息保護法第五條規定，處理個人信息應當遵循合法、正當、必要和誠信原則，不得通過誤導、欺詐、脅迫等方式處理個人信息。質量及安全保障原則4個人信息保護法第八條、第九條還規定了處理個人信息應當保

8、證個人信息的質量，避免因個人信息不準確、不完整對個人權益造成不利影響；個人信息處理者應當對其個人信息處理活動負責，并采取必要措施保障所處理的個人信息的安全。目的明確和最小必要原則2個人信息保護法第六條規定，處理個人信息應當具有明確、合理的目的，并應當與處理目的直接相關，采取對個人權益影響最小的方式。收集個人信息，應當限于實現處理目的的最小范圍，不得過度收集個人信息。個人信息處理規則LOREM IPSUM DOLOR SIT AMET, CONSECTETUR ADIPISICING ELIT, SED DO EIUSMOD TEMPOR INCIDIDUNT UT LABORE ET DOLO

9、RE MAGNA ALIQUA. UT ENIM AD MINIM VENIAM個人信息處理者的權利來源基于個人同意法律規定，無需取得個人同意個人信息處理規則LOREM IPSUM DOLOR SIT AMET, CONSECTETUR ADIPISICING ELIT, SED DO EIUSMOD TEMPOR INCIDIDUNT UT LABORE ET DOLORE MAGNA ALIQUA. UT ENIM AD MINIM VENIAM基于個人同意個人同意的法律要件撤回同意權不得拒絕提供服務告知義務充分知情自愿明確法律、行政法規規定應當取得單獨同意或者書面同意處理目的、處理方式和

10、個人信息種類發生變更的從其規定重新取得個人同意個人權利處理者義務效力基于個人同意的情形下，個人有權撤回同意處理者應當提供便捷的撤回同意方式不影響撤回前活動效力原則不得以個人不同意為由，拒絕提供產品服務例外處理個人信息屬提供產品服務所必需的除外告知標準告知內容處理前告知、顯著、清晰易懂、真實準確完整名稱/姓名和聯系方式；處理目的、處理方式、個人信息種類和保存期限；個人行權方式和程序；其他處理規則應當公開、便于查閱和保存例外情形法律、行政法規規定應當保密或者不需要告知緊急情況下為保護自然人的生命健康和財產安全無法及時向個人告知的個人信息處理規則LOREM IPSUM DOLOR SIT AMET,

11、 CONSECTETUR ADIPISICING ELIT, SED DO EIUSMOD TEMPOR INCIDIDUNT UT LABORE ET DOLORE MAGNA ALIQUA. UT ENIM AD MINIM VENIAM法律規定，無需個人同意為訂立、履行個人作為一方當事人的合同所必需，或者按照依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理所必需為履行法定職責或者法定義務所必需為應對突發公共衛生事件，或者緊急情況下為保護自然人的生命健康和財產安全所必需為公共利益實施新聞報道、輿論監督等行為，在合理的范圍內處理個人信息依照本法規定在合理的范圍內處理個人自行公開或者

12、其他已經合法公開的個人信息法律、行政法規規定的其他情形123456個人信息處理規則0201委托處理合約：約定委托處理的目的、期限、處理方式、個人信息的種類、保護措施以及雙方的權利和義務等監督權：委托人對受托人的個人信息處理活動進行監督不得超委托：受托人不得超出約定的處理目的、處理方式等處理個人信息返還處理：委托合同不生效、無效、被撤銷或者終止的，受托人應當將個人信息返還個人信息處理者或者予以刪除，不得保留不得轉委托：未經個人信息處理者同意，受托人不得轉委托他人處理個人信息共同處理定義：兩個以上的個人信息處理者共同決定個人信息的處理目的和處理方式個人行權的獨立性：信息處理者之間的約定不影響個人向

13、其中任何一個個人信息處理者要求行使本法規定的權利主體責任的連帶性：信息處理者共同處理個人信息，侵害個人信息權益造成損害的，應當依法承擔連帶責任個人信息處理規則個人信息移轉個人信息共享共享前告知及取得單獨同意：個人信息處理者向其他個人信息處理者提供其處理的個人信息的，應當向個人告知接收方的名稱或者姓名、聯系方式、處理目的、處理方式和個人信息的種類，并取得個人的單獨同意。范圍限度：接收方應當在上述處理目的、處理方式和個人信息的種類等范圍內處理個人信息。變更需重新取得個人同意：接收方變更原先的處理目的、處理方式的，應當依照本法規定重新取得個人同意。必要性及告知義務：個人信息處理者因合并、分立、解散、

14、被宣告破產等原因需要轉移個人信息的，應當向個人告知接收方的名稱或者姓名和聯系方式。義務的承繼：接收方應當繼續履行個人信息處理者的義務。變更需重新取得個人同意：接收方變更原先的處理目的、處理方式的，應當依照本法規定重新取得個人同意。個人信息處理規則禁止不合理差別待遇：個人信息處理者利用個人信息進行自動化決策，應當保證決策的透明度和結果公平、公正，不得對個人在交易價格等交易條件上實行不合理的差別待遇。提供無特征選項及拒絕方式：通過自動化決策方式向個人進行信息推送、商業營銷，應當同時提供不針對其個人特征的選項，或者向個人提供便捷的拒絕方式。個人有權要求說明及拒絕：通過自動化決策方式作出對個人權益有重

15、大影響的決定，個人有權要求個人信息處理者予以說明，并有權拒絕個人信息處理者僅通過自動化決策的方式作出決定。自動化決策個人信息處理規則個人信息安全規范僅對“授權同意”進行定義，即授權同意包括明示同意和通過消極的不作為而作出的授權，而個人信息保護法首次提出了“單獨同意”的概念，并規定了許多個人信息處理者需要取得單獨同意的情形。個人在個人信息中的權利LOREM IPSUM DOLOR SIT AMET, CONSECTETUR ADIPISICING ELIT, SED DO EIUSMOD TEMPOR INCIDIDUNT UT LABORE ET DOLORE MAGNA ALIQUA. UT

16、 ENIM AD MINIM VENIAM個人對其個人信息的處理享有知情權、決定權，有權限制或者拒絕他人對其個人信息進行處理；法律、行政法規另有規定的除外。知情、決定權處理者在特定情況下應當主動刪除個人信息，未刪除的，個人有權請求刪除請求刪除權個人有權向個人信息處理者查閱、復制其個人信息；有本法第十八條第一款、第三十五條規定情形的除外。個人請求將個人信息轉移至其指定的個人信息處理者，符合國家網信部門規定條件的，個人信息處理者應當提供轉移的途徑。查閱復制移轉權個人有權要求處理者對其個人信息處理規則進行解釋說明請求解釋權個人發現其個人信息不準確或者不完整的，有權請求個人信息處理者更正、補充，對此，

17、處理者應當對其個人信息予以核實，并及時更正、補充。更正、補充權自然人死亡的，其近親屬為了自身的合法、正當利益，可以對死者的相關個人信息行使本章規定的查閱、復制、更正、刪除等權利；死者生前另有安排的除外。死者近親屬權利訴權個人信息處理者應當建立便捷的個人行使權利的申請受理和處理機制。拒絕個人行使權利的請求的，應當說明理由。個人信息處理者拒絕個人行使權利的請求的，個人可以依法向人民法院提起訴訟。個人信息處理者的義務LOREM IPSUM DOLOR SIT AMET, CONSECTETUR ADIPISICING ELIT, SED DO EIUSMOD TEMPOR INCIDIDUNT UT

18、 LABORE ET DOLORE MAGNA ALIQUA. UT ENIM AD MINIM VENIAM告知個人信息處理方式制定內部管理制度和操作規程；對個人信息實行分類管理；采取相應的加密、去標識化等安全技術措施；合理確定個人信息處理的操作權限，并定期對從業人員進行安全教育和培訓；制定并組織實施個人信息安全事件應急預案；法律、行政法規規定的其他措施一般義務達到國家網信部門規定數量的個人信息處理者應當指定個人信息保護負責人，負責對個人信息處理活動以及采取的保護措施等進行監督超量處理個人信息應當在中華人民共和國境內設立專門機構或者指定代表境外提供個人信息具體情形：處理敏感個人信息；自動化決策；委托處理個人信息、信息共享、公開信息；向境外提供個人信息；其他內容：處理目的和方式是否合法、正當、必要；對個人權益的影響及安全風險；保護措施是否合法、有效并與風險程度相適應；保存三年。影響評估受托人應當采取必要措施保障所處理的個人信息的安全，并協助個人信息處理者履行本法規定的義務接受委托的受托人義務建立健全個人信息保護合規制度體系，外部獨立機構進行監督；制定平臺規則明確平臺內個人信息處理者的義務；嚴重違反，停止提供服務發布社會責任報告，接受社會監督（重要互聯網平臺、用戶數量巨大、業務類型復雜）特殊義務合規審計個人信息處理者應當定期對其處理個人信息遵守法律、行政法規的情況進