《中华人民共和国个人信息保护法》（下称“《个保法》”）于2021年8月20日由第十三届全国人民代表大会常务委员会第三十次会议通过，将于2021年11月1日起施行。此前，关于公民个人信息保护规则主要由《民法典》、《网络安全法》以及国家推荐标准《信息安全技术 个人信息安全规范》（下称“《个人信息安全规范》”）构筑，法律规定较为原则，标准则欠缺强制力，个人信息保护的法律规制存在诸多困境，《个保法》的出台极大地解决这一问题。

《个保法》立足我国实际，同时借鉴了国际上先进的立法观点，历经三次审议及两次公开征求意见，系统构建了我国信息保护的法律框架。就《个保法》规范的具体问题，经整理如下：

一、厘清了7个基本概念

《个保法》对个人信息、个人敏感信息、个人信息处理、个人信息处理者、自动化决策、匿名化、去标识化进行了明确到的定义。其中，对个人信息的定义，除《民法典》、《个人信息安全规范》已经采取的“识别说”标准，《个保法》还借鉴了“关联说”，扩大了个人信息的可能范围。同时，《个保法》明确“个人信息不包括匿名化处理后的信息”，既界定了本法规范的范围，也为个人信息的利用留足了空间。

对个人信息处理的定义，相比《民法典》的规定，增加了“个人信息的删除”，全面规定了个人信息的处理流程。

七个具体定义如下：

个人信息：个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。

敏感个人信息：敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。

个人信息处理：包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。

个人信息处理者：是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。

自动化决策：是指通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等，并进行决策的活动。

去标识化：是指个人信息经过处理，使其在不借助额外信息的情况下无法识别特定自然人的过程。

匿名化：是指个人信息经过处理无法识别特定自然人且不能复原的过程。

二、确立了域外管辖规则

数据作为一种生产要素，已经成为世界各国争夺的重要资源，数据安全，亦是国家安全的重要组成部分。此次《个保法》借鉴了GDPR的规定，在管辖范围上，强调属地原则的同时，规定了特殊情形下的域外管辖效力，对在境外处理我国境内自然人个人信息的活动，具有（一）以向境内自然人提供产品或者服务为目的；（二）分析、评估境内自然人的行为；（三）法律、行政法规规定的其他情形的，也适用本法。并且要求具备以上情形的境外个人信息处理者，在境内设立专门机构或指定代表，负责处理个人信息保护相关事务，并将有关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门。

三、确定了个人信息的处理的原则和要求

《个保法》确定了处理个人信息应遵循合法、正当、必要、诚信、公开、透明原则，并要求处理个人信息应当具有合理目的，在最小范围收集、以影响最小的方式进行处理，同时强调应保证个人信息的质量。既明确了个人信息收集的行为规范，也关注了收集到信息的适用性。

四、详细规范了个人信息处理的规则

（一）个人信息处理的原则——取得个人同意

对于个人信息处理的原则性要求，《个保法》在延续了《民法典》授权同意的要求外，进行了更为详尽的规定。

第一，在逻辑上明确了取得个人同意的前提是保障个人充分的知情，并在第十七条明确个人信息处理者需告知的事项：个人信息处理者的名称和联系方式，个人信息的处理目的、处理方式，处理的个人信息种类、保存期限，个人行使权利的方式和程序等，并强调告知的事项发生变更后，需将变更事项重新告知；

第二，明确规定了个人信息的保存期限应当为实现处理目的所必要的最短时间；

第三，构筑了不同意与撤回同意的规则：首先，应提供便捷的撤回同意的方式，其次，个人撤回同意，不影响撤回前基于个人同意已进行的个人信息处理活动的效力，再次，除处理个人信息属于提供产品或者服务所必需的情形外，个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由，拒绝提供产品或者服务；最后，撤回同意后，个人信息处理者应当主动删除个人信息，个人亦有权要求删除。

（二）个人信息处理的例外规定

《个保法》首次以法条规定的形式明确可以不经个人同意处理个人信息的情形。其中，需要特别注意的是，对于已经公开的个人信息，原则上可以处理，但个人明确拒绝的除外，同时，个人信息处理者处理已公开的个人信息，对个人权益有重大影响的，依然要求取得个人同意。具体例外规定如下：

为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需；

为履行法定职责或者法定义务所必需；

为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需；

为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息；

依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息；

法律、行政法规规定的其他情形。

五、规定了需信息主体“单独同意”的情形

《个保法》有数出明确使用了“单独同意”的表述，具体如下（本图引自网络）：

同时，应注意的是，对于“单独同意”的形式，《个保法》并未明确规定，《个人信息安全规范》5.4C款以及9.2条I款有单独告知同意的相关表述，均要充分告知单项事项并征得同意。在未有新的解释的条件下，为确保处理信息行为的合规性，可参照《个人信息安全规范》适用。

六、确立了个人信息的提供、委托处理、转移规则

《个保法》第二十一至二十三条明确了个人信息的提供、委托处理、以及处理者主体变更情形下的转移规则，其中个人信息的提供、转移均需向个人信息主体告知接收方的名称与联系方式，提供个人信息的还需告知接收方处理目的、处理方式并取得单独同意。本条的规定使得目前实践中个人信息处理者仅在用户规则中告知向关联方提供的方式已不能适应法规要求，需进行更为完善的告知。

  但值得注意的是，《个保法》对个人信息委托处理的规定则着眼于委托方与受托方的关系，强调委托方对受托方的明确要求与监督，以及受托方返还信息的义务，而未对是否需要明确告知受托方的名称、联系方式作出规定。而从逻辑上看，委托处理亦需提供信息，因此，对于委托处理信息情形下是否需向个人告知受托方的信息以及是否需单独同意，尚待进一步明确。

七、对利用大数据进行自动化决策、个性化推送进行规制

伴随着大数据产业的发展，“大数据”杀熟已经成为广为人知的概念，本次《个保法》明确个人信息处理者利用个人信息进行自动化决策时，不得对个人在交易价格等交易条件上实行不合理的差别待遇。

对于个性化推送项目，则要求同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式。

八、明晰了个人在个人信息处理活动中的权利

在传统的知情权、决定权、查阅权、复制权、 更正权、删除权之外，本次《个保法》明确规定了个人拥有“可携带权”，指个人请求将个人信息转移至其指定的个人信息处理者，符合国家网信部门规定条件的，个人信息处理者应当提供转移的途径。与《个人信息安全规范》第8.6条相比，《个保法》规定对可指定转移的个人信息种类未再进行限制，但这并不意味着所有个人信息均可要求转移，具体哪些信息可以要求转移，则要看国家网信部门对条件的设置。

本次《个保法》还增设了信息主体死亡后，近亲属可以行使的相关权利，更好的保障了个人信息主体的权益。

同时，对个人可要求个人信息处理者删除个人信息的情形也进行了清晰的规定，并对无法删除情形下数据的处理进行了安排，具体如下：

（一）处理目的已实现、无法实现或者为实现处理目的不再必要；

（二）个人信息处理者停止提供产品或者服务，或者保存期限已届满；

（三）个人撤回同意；

（四）个人信息处理者违反法律、行政法规或者违反约定处理个人信息；

（五）法律、行政法规规定的其他情形。

法律、行政法规规定的保存期限未届满，或者删除个人信息从技术上难以实现的，个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。

九、对个人信息跨境传输进行分类规定

对个人信息的跨境传输，《个保法》主要进行了三个层次的规定：首先，需要将个人信息提供至境外的，需保障个人知情权并取得单独同意；其次，根据向境外提供信息情形的不同，设置了不同的要求，分别是通过国家网信部门组织的安全评估、按照国家网信部门的规定经专业机构进行个人信息保护认证、按照国家网信部门制定的标准合同与境外接收方订立合同；最后，对于关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者确需向境外提供信息的，要求必须通过国家网信部门组织的安全评估。

十、详细规定了个人信息处理者义务

《个保法》对个人信息处理者设置了多层次、多方位的义务规则，首先，对于所有个人信息处理者，要求建立信息管理、保护制度，定期进行合规审理，发生安全事故时采取补救措施及通知履行信息保护职责的部门；第二，对于大规模的个人信息处理者（处理个人信息达到国家网信部门规定数量的个人信息处理者），需指定个人信息保护负责人；第三，对于适用本法管辖的境外个人信息处理者，必须在境内设立机构或代表，并将信息报送履行个人信息保护职责的部门；第四，对于采取特定行为的个人信息处理者（如处理敏感个人信息、利用个人信息进行自动化决策等），需事前进行个人信息保护影响评估；最后，对于有重大影响的个人信息处理者，要求成立外部独立监督机构、制定平台规则、阻断违法活动、定期发布履责报告等。

十一、明确了司法救济措施

对于个人信息处理者拒绝个人行使权利请求的，个人可以直接向人民法院提起诉讼；对于侵害众多个人的权益的，人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起公益诉讼。并且，对于个人信息处理者处理个人信息侵害个人信息权益造成损害，实施过推定原则，由个人信息处理者证明其行为不存在过错，这一方面减轻了个人的举证责任，另一方面对个人信息处理者行为合法合规性提出了更高的要求。