个人信息保护法企业合规启示报告 h t i g 政策 b u m o c . 5 上篇 个人信息处理新变局 前言 近年来，伴随着数字经济发展，对个人信息的采集和 利用成为一种“刚需”。个人信息保护不断涌现出新问题， 随意收集、违法获取、过度使用、非法买卖个人信息等情况 “野火烧不尽”。信息数据的挖掘利用与个人保护之间张 力 扩 大 ，急 需 专 门 法 律 对 个 人 信 息 处 理 活 动 提 供 规 范 样 m o c . 5 本。 放眼全球，个人信息保护立法在如火如荼地展开，目 前已经有 128 个国家通过立法保护个人信息和隐私。欧 b u 盟《通用数据保护条例》、美国加利福尼亚州隐私保护法的 出台，在国际上颇具影响力。 h t i g 《个人信息保护法》在此背景下被纳入立法进程，并在 各方推动下不断提速，千呼万唤始出来。2021 年 8 月 20 日， 《中华人民共和国个人信息保护法》由第十三届全国人 民代表大会常务委员会第三十次会议通过，自 2021 年 11 月 1 日起施行。 《个人信息保护法》共 8 章 74 条。在有关法律的基础 上，该法进一步细化、完善个人信息保护应遵循的原则和 个人信息处理规则，明确个人信息处理活动中的权利义务 边界，健全个人信息保护工作体制机制。该法成为我国迈 入数字化社会，彰显“以人为本”的法律制度里程碑，也是 我国为全球数字治理贡献的中国方案。 南方财经全媒体集团合规科技研究院长期关注个人 个人信息保护法企业合规启示报告 信息保护议题，持续跟踪报道立法进程、监管动态、公众呼 声。借《个人信息保护法》落地之际推出解读报告，分析当 前“ 大 数 据 杀 熟 ”、强 制 同 意、人 脸 识 别、超 大 型 平 台 义 务 等多项热点。 报告分为上下两篇，上篇《个人信息处理新变局》梳理 m o c . 5 立法路径与模式，聚焦个人信息处理逻辑的转变，下篇《企 业风险研判》则将目光放到企业合规的重点与难点，以及 新的信息处理机制在数字经济发展中面临的新挑战。 b u 本篇将展现近 20 年来个人信息保护的不断完善与发 展 ；厘清个人信息相关概念 ；拆解“告知—同意”为核心原 h t i g 则的个人信息处理规范，解读围绕这一核心规则给企业带 来的信息处理模式变革。 版权声明 本报告版权为南方财经全媒体集团合规科技研究院所有，并受法律保护。 其他媒体、网站或个人以转载、摘编或其他方式使用本报告内容的，必须注明“来 源：南方财经全媒体集团合规科技研究院”字样，否则不得进行商业性的原版原 式转载，也不得歪曲和篡改本报告所发布的内容。违反上述声明者，我们将依法 追究其相关法律责任。 contents 上篇 个人信息处理新变局 目录 P01 / 一、背景 P01 / （一）个人信息保护的立法时间表（2009-2021） P04 / （二）关于个人信息处理的其他立法 P05 / （三）相关概念厘清 P05 / 1. 个人信息、隐私与敏感个人信息 P06 / 2. 去标识化、匿名化 P07 / P07 / （一） “告知-同意”处理规则 P08 / 1. 现实困境 P09 / 2. 信息处理模式转变 P09 / 3. 合规要点 P13 / （二）自动化决策 P13 / P14 / P16 / P17 / P18 / m o c . 5 二、企业处理个人信息模式的变革 h t i g b u 1. 确立算法自动化决策治理框架 2. 信息处理者责任增加 3. 合规要点 4. 落地难点 （三）撤回同意 P19 / 1. 对信息处理者要求更严格 P19 / 2. 合规要点 P20 / （四）删除权 P20 / 1. 课以信息处理者更重义务 P22 / 2. 合规要点 P23 / （五） “告知-同意”之外情形 P23 / 1. 同意的例外情形 P25 / 2. 告知的例外情形 P33 / 学术指导 P33 / 致谢 个人信息保护法企业合规启示报告 一、背景 纵观《个人信息保护法》立法路程，走过近二十年。这期间，互联 网高速发展，大数据时代来到。伴随着高频、高速、高密度的数据交流 传输，作为原材料的个人信息的滥用问题相伴而至。这些年，对个人 信息保护的立法呼声越来越高，急需一部专门法律定分止争。 《个人信 息保护法》应运而生。 m o c . 5 （一）个人信息保护的立法时间表（2009-2021） 我国《个人信息保护法》的立法时间跨度长。2003 年，彼时的国 b u 务院信息化办公室部署立法研究工作，2005 年，相关学者完成《个人 信 息 保 护 法（专 家 建 议 稿）》，但 受 多 重 因 素 的 影 响 ， 《个 人 信 息 保 护 法》一度陷入停滞。 h t i g 2009 年至 2018 年，关于个人信息保护的规定零星散落于多部法 律中。2017 年，受全国人大法工委和中央网信办委托，中国社会科学 院法学研究所副所长、研究员周汉华起草了《个人信息保护法（专家建 议稿）》。 2018 年， 《个人信息保护法》被纳入十三届全国人大常委会立法 规划，正式拉开立法序幕；2020 年 10 月，第十三届全国人大常委会第 二十二次会议对《个人信息保护法（草案）》进行首次审议，至 2021 年 8 月 17 日， 《个人信息保护法（草案）》进入三审。同年 8 月 20 日，十三 届 全 国 人 大 常 委 会 第 三 十 次 会 议 表 决 通 过《个 人 信 息 保 护 法》，自 2021 年 11 月 1 日起施行。 1 上篇 个人信息处理新变局 h t i g 2 b u m o c . 5 个人信息保护法企业合规启示报告 （续上表） h t i g 3 b u m o c . 5 上篇 个人信息处理新变局 （续上表） h t i g m o c . 5 b u （二）关于个人信息处理的其他立法 过去，我国已有多部法律文件涉及个人信息处理，这些规范比较 分散，呈现出碎片化的特征。 4 个人信息保护法企业合规启示报告 如《宪法》 《民法典》分别规定了“公民的通信自由和通信秘密” “自 然人的个人信息”受法律保护， 《刑法》确定了侵犯个人信息的相关罪 名， 《数据安全法》 《网络安全法》等也有对个人信息保护大篇幅的规 定，详细法律法规条款参见报告附录。 h t i g m o c . 5 b u （三）相关概念厘清 1. 个人信息、隐私与敏感个人信息 《民法典》将隐私定义为：自然人的私人生活安宁和不愿为他人知 晓的私密空间、私密活动、私密信息。在第 1034 条第 3 款个人信息的 定义下，区分了私密信息和非私密信息， “ 个人信息中的私密信息，适 用有关隐私权的规定；没有规定的，适用有关个人信息保护的规定。” 个 人 隐 私 与 个 人 信 息 呈 交 叉 关 系 ，即 有 的 个 人 隐 私 属 于 个 人 信 息，而有的个人隐私则不属于个人信息 ；有的个人信息特别是涉及个 5 上篇 个人信息处理新变局 人私生活的敏感信息属于个人隐私，但也有一些个人信息因高度公开 而不属于隐私 ①。 《个人信息保护法》第二十八条将敏感个人信息定义为一旦泄露或 者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全 受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、 金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。 敏 感 信 息 与 个 人 信 息 的 区 别 在 于 ，前 者 是“ 一 旦 泄 露 或 非 法 使 m o c . 5 用”，就容易造成个人名誉、身心健康受到损害或歧视性待遇等，因此 立法对其的保护标准更为严格。 2. 去标识化、匿名化 b u 匿名化的三个要件：一是个人信息必须经过处理，二是处理后的 数据无法识别特定自然人，三是数据不能复原 ②。 h t i g 这一概念在《个人信息保护法》中得到明确： “ 匿名化是指个人信 息经过处理无法识别特定自然人且不能复原的过程”。 根 据《信 息 安 全 技 术 个 人 信 息 去 标 识 化 指 南》 （GB/T 379642019），去标识化的定义为通过对个人信息的技术处理，使其在不借 助额外信息的情况下，无法识别个人信息主体的过程。 《个人信息保护 法》保留了该定义，表述为“个人信息经过处理，使其在不借助额外信 息的情况下无法识别特定自然人的过程。” 去标识化和匿名化都是个人隐私安全的技术防护手段，二者的主 要区别在于，去标识化后的信息也属于个人信息，如果与其他额外信息 结合，可以识别个人信息主体，通常也称为重标识；而匿名化处理之后， 个人信息控制者不能直接或间接地再次识别个人信息，匿名化后的信 息不属于个人信息，且无法与额外信息结合识别出个人信息主体。 6 个人信息保护法企业合规启示报告 二、企业处理个人信息模式的变革 理 解 个 人 信 息 保 护 ，必 须 先 理 解 个 人 信 息 权 在 中 国 语 境 下 的 含 义。个人信息权具有控制自己信息的积极权利面向。个人具有知情、 同意、删除等权利，有权控制信息处理者、运营者如何使用自己的信 息 ③。 m o c . 5 《个人信息保护法》立法贯穿“信息自决”主线，体现在赋予个人同 意撤回、决定权、查阅权、复制权、更正权、删除权等方面 ④ 。最终新增 的“数据可携带权”也给予了个人自主权，个人在面对信息处理者的不 平等地位差距时，拥有了与其抗衡的“武器”。这也给企业的个人信息 处理逻辑带来变化。 h t i g b u （一） “告知-同意”处理规则 “告知-同意”原则，指信息处理者在收集个人信息时，应当对信息 主体就有关个人信息被收集、处理和利用的情况进行充分告知，并征 得信息主体明确同意的原则 ⑤。 早在 2012 年， 《全国人民代表大会常务委员会关于加强网络信息 保护的决定》首次在法律文件中确定了个人信息收集的“用户同意原 7 上篇 个人信息处理新变局 则 ”⑥ 。 近 年 来 ，随 着《网 络 安 全 法》和《民 法 典》等 法 律 法 规 的 出 台 ， “告知-同意”原则已发展成为我国目前个人信息保护最主要的合法性 基础。 《个人信息保护法》也将“告知-同意”确立为个人信息处理规则的 核心。但是， “ 告知-同意”这项基础原则在实操场景中会遇到各类现 实问题，有时甚至无法实现。 m o c . 5 1. 现实困境 1.1“ 隐私政策”无人读、不可读、读不懂 ⑦ 国外有研究成