前言

2021年11月1日，《中华人民共和国个人信息保护法》（以下简称“《个保法》”） 正式生效，将与早先实施的《网络安全法》、《数据安全法》，共同构成中国管理数据处理和网络安全问题的综合框架。

《个保法》有些类似于欧盟的GDPR。GDPR是最早颁布并在世界范围被广泛使用的数据安全法，为欧洲企业所熟知，但是这两个法规之间还是存在一些重要差异。

本文我们将联合TMO Group，一起为大家解读《个保法》背景下企业数据合规体系的新特征，以及它对您的电商业务有什么重要影响，为实施个人信息和数据管理提供实操指引。

《个保法》的立法背景

在过去的20年中，中国互联网飞速发展；数字经济占中国GDP的近40%，位居全球第二；IT 巨头迅速赶上西方同行，2020 年腾讯的市值超过了 Facebook。截至 2020 年底，中国拥有 9.89 亿在线用户，是目前世界上拥有网民群体最大的国家。

之前中国政府对这个领域一直比较宽松和鼓励，但是随着数字技术的飞速发展，随之而来的数据安全与泄露事件开始频繁发生，对整个社会和个人产生的重大影响。数据隐私成为社会日益关注的领域，2016 年中国政府正式出台了《网络安全法》, 规范了涉及互联网基础设施、互联网服务提供商和国家网络安全。今年相继出台了《数据安全法》和《个保法》，和《网络安全法》一起共同构成中国管理数据处理和网络安全问题的综合框架。

相关基本术语

我们先一起了解一下《个保法》中使用的几个关键术语。

个人信息

《个保法》第四条规定：“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。”故包括电子邮件、电话、信用卡号或地址等这些在电子商务中经常使用的信息。从技术上来讲，任何特定格式的个人信息都属于“个人信息”。

和GDPR相比，《个保法》的“个人信息”同欧盟GDPR规定的“个人数据”是同等概念，但是同《数据安全法》中的“数据”却不相同，后者所称的“数据”，“是指任何以电子或者其他方式对信息的记录”（《数据安全法》第三条），是信息的表现形式。

匿名化和去标识化

去标识化，是指个人信息经过处理，使其在不借助额外信息的情况下无法识别特定自然人的过程。匿名化，是指个人信息经过处理无法识别特定自然人且不能复原的过程。如果个人信息经过匿名化处理，它就不再是《个保法》所规范的范畴，例如您不必担心百度统计等服务会在您的网站上收集用户行为数据。

敏感个人信息

《个保法》第二十八条定义的“敏感个人信息”是指一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。敏感个人信息的处理适用更为严格的处理规则。

如果您的企业需要处理医疗信息或未成年人的信息；或您使用和存储任何用户基于位置追踪的数据：如帮助用户通过定位获取最近的网站/店铺/商品，或跟踪实体店的客流量，您都将面临额外的挑战，您需要先获得同意才能处理此类数据并执行更严格的保护措施。

个人信息处理者

《个保法》第七十三条中定义的个人信息处理者，是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。

这相当于 GDPR 中的“数据控制者”一词：它被定义为决定收集和处理个人信息、制定规则和定义程序的组织或个人。GDPR 的“数据处理者”，在 《个保法》 中被称为“受托人”。当 GDPR 大量讨论“数据处理者”和“数据控制者”的不同功能和职责时，《个保法》 就简单多了。从本质上讲，它说“受托人”应该按照与“个人信息处理者”的协议来处理所有事情，但受托人应当审核该协议是否符合《个保法》关于信息处理者的基本要求。

适用于何处和适用于谁？

《个保法》第三条规定该法适用于在中国境内收集和处理中华人民共和国境内自然人个人信息的活动。同时，它也适用于以下情况的中国境外企业或个人收集个人信息：

该信息用于为中国的“自然人”提供服务

信息用于分析和评估中国“自然人”的行为

改点和GDPR 有相似之处。当处理欧盟公民的数据时，GDPR 适用于非欧盟数据运营商。同样，《个保法》适用于非中国实体，只要它们是在中国处理任何“自然人”的个人信息时。我们将在后面章节单独解读这类从中国境外处理信息的例子。

《个保法》的核心规则

1. 处理个人信息的先决条件。根据《个保法》第十三条规定，企业开始收集、处理个人信息时应当先征得个人同意。除非：企业与此人签订了法律合同，处理他们的个人信息是履行合同的一部分；公共卫生/安全紧急情况；个人已披露此信息；基于公共利益的新闻报道/民意调查；履行法定职责/义务。

2. 同意

《个保法》的核心原则之一是告知和同意。《个保法》第十四条规定，基于个人同意处理个人信息的，该同意应当由个人在充分知情的前提下自愿、明确作出。

“明示同意”是指个人信息主体通过书面、口头等方式主动作出纸质或电子形式的声明，或者自主作出肯定性动作，对其个人信息进行特定处理作出明确授权的行为。“肯定性动作”包括个人信息主体主动勾选、主动点击“同意”“注册”“发送”“拨打”、主动填写或提供等。目前虽没有任何明令规范哪种实用形式达到告知-同意，《信息安全技术 个人信息告知同意指南》国家标准的讨论稿已经发布，生效后将作为依法“告知-同意”的重要依据。

此外，在企业开始处理个人信息之前，需要用显著方式、清晰易懂的语言真实、准确、完整地

向个人提供以下信息：个人信息处理者的姓名或名称以及联系方式；个人信息处理的目的和处理方式、处理的个人信息的类别、保存期限；个人行使本法令规定的权利、方法和程序；

从实践上来看，需要在指引格式旁边提供所有以上这些点的内容，如果是一大段文字的话，就提供可以指引去相关文件的链接。

3. 单独同意

《个保法》规定了应该取得个人单独同意的5种法定情形：处理敏感个人信息(第二十九条）、向其他个人信息处理者提供个人信息（第二十三条）、公开个人信息（第二十五条）、将公共场所收集的个人身份识别信息用于非公共安全之目的（第二十六条）、向境外提供个人信息（第三十九条），应当单独取得客户的同意。

4. 保留期

虽然法律没有对保留期限的长度作出任何硬性限制，但在第十九条中规定：个人信息保留期限为实现个人信息处理目的所需的最短期限。《个保法》对保留期限没有硬性限制，但在某些行业会有具体的行业要求，比如《劳动合同法》要求单位对于离职员工的劳动合同文本，至少保存２年等。建议在遵守中国强制性规定的情况下，以“最短时间”标准保存个人信息。

5. 个人信息保护原则

《个保法》设定了一些企业在处理个人信息时应遵守的原则，这些原则与 GDPR 也颇为相似。

《个保法》中列出的原则，包括处理个人信息时应遵循“合法”和“诚信”的原则，禁止以“误导”方式处理（第五条）。个人信息的处理应“明确、合理”，并限于达到目的所需的最小范围（第六条）。“公开透明”，披露处理个人信息的目的、范围和规则（第七条）。个人信息的处理应确保信息的质量，个人不应因信息不准确或不完整而遭受不利后果（第 八条）。处理者应采取适当的安全措施来保护他们收集的个人信息（第九条）。最后，禁止非法收集、处理、出售、购买、披露个人信息（第十条）。

6. 信息主体的合法权利

《个保法》确立了信息主体（也就是被收集信息的人）的基本权利。本质上，每个人都有权访问、删除或修改部分或全部个人信息，和完全撤回处理个人信息的同意。改点在 GDPR 中也规定了。

《个保法》第五十条规定企业应当建立便民机制，受理和处理个人行使权利的申请，但没有具体要求如何处理这些申请。企业可以通过网站上的表格、通过电子邮件、或通过纸质申请，以及为用户提供在其个人账户中管理此类需求是最理想的方式。它没有对处理此类申请设定任何具体的时间限制，只是提到应该“及时”进行。

7. 个人信息跨境提供

《个保法》对于境外企业若想处理中国个人信息还有附加规定，除了常规要求，企业应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项，并取得个人的单独同意。此外，对于“关键信息基础设施运营商”（指通信、能源、金融、交通、供水等行业，可能影响国家安全的企业），以及信息传输量超过规定数量的情况，企业必须先接受政府安全评估，然后才能开始传输任何信息。

在其他情况下（对于非关键的、低于限制的信息传输），企业需通过政府特别机关的“个人信息保护认证”，并且确保与处理信息的境外企业的合同“符合国家网信部门制定的标准合同”。此类认证或标准合同的细节目前尚无法获得，可以参考GDPR的部分内容。

最后，境外的个人信息处理者，应当在中华人民共和国境内设立专门机构或者指定代表，负责处理个人信息保护相关事务，并将有关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门。

 自动化决策

《个保法》中有一项引人注目的规定是涉及所谓的“自动决策”。随着机器学习和人工智能技术在电子商务领域变得越来越普遍，它们最常见的实际实现是人工智能驱动的“推荐产品”和“动态定价”的功能（一种基于客户某些行为特征和其他信息动态调整价格以实现利润最大化的做法）。

《个保法》第七十三条定义自动化决策是指通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等，并进行决策的活动。

《个保法》第二十四条规定“ 个人信息处理者利用个人信息进行自动化决策，应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇。通过自动化决策方式向个人进行信息推送、商业营销，应当同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式。”

自动化决策和“大数据杀熟”可不一样。在没有人工干预的情况下，以计算机技术算法、大数据、人工智能作出决策，根据自动化决策实行合理的差别对待是允许的。而“大数据杀熟”指的是利用数据分析在交易价格上实行不合理差别待遇。所以，除了对自动化决策进行评估和制定并公开自动化决策的规则外， 企业需要对差异性进行合理化解释，保证公平公正。不能单纯只依靠自动化决策，最终决策应由人工做出。

违反《个保法》面临什么处罚

在轻微违规的情况下，作为初犯，政府相关部门将给予其警告并责令改正。并没收与违规相关的任何非法收入。如果企业拒绝纠正问题，将会带来更严重的后果。企业最高可处以 100 万元人民币（15 万美元）的罚款；负责任的个人最高 10万 人民币（15,000 美元），加上特定的惩罚：社会征信体系的记录。

在“严重违规”的情况下，罚款金额可高达 5000 万元人民币（750 万美元），或企业收入的 5%。有趣的是，法律并没有明确规定是在中国产生的收入，还是在全球产生的收入，将作为罚款计算的基础。

最后，根据法律规定，并不是企业非法处理或处理了个人信息才构成违规，如果企业未能采取必要措施保护数据，也可能被视为不合规。

《个保法》合规检查清单

下面是一个简短的合规检查清单，您可以使用它来初步检测您企业是否符合新的《个保法》。

结论

一方面，《个保法》更严格的规范了企业在运营其在线业务时的职责与管控力度，如近期的雅虎和领英都将“具有挑战性的法律环境”作为退出中国的原因之一。另一方面，它确实为我们每一个互联网用户提供了防止滥用和错误处理个人信息的保护。如果没有法规加以制止，那么在如此丰富的数字生态系统中，个人信息窃取和非法个人信息交易将会蓬勃发展。