总体而言，个人信息保护的立法体系主要包括以下几个层面：

1. 宪法。本次通过的《个人信息保护法》即在二审稿基础上新增明确其立法依据为宪法。

2. 全国人大及其常委会通过的法律。主要包括《网络安全法》《民法典·人格权编·隐私权和个人信息保护》《个人信息保护法》《未成年人保护法》《数据安全法》《刑法》等。

3. 两高一部的司法解释/通知。主要包括《关于依法惩处侵害公民个人信息犯罪活动的通知》《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》等。

4. 各部门发布的规章和规范性文件。主要包括《电信和互联网用户个人信息保护规定》《互联网个人信息安全保护指南》《App违法违规收集使用个人信息行为认定方法》《儿童个人信息网络保护规定》《App违法违规收集使用个人信息自评估指南》《个人信息出境安全评估办法（征求意见稿）》等。

5. 国家标准。主要包括《信息安全技术 公共及商用服务信息系统个人信息保护指南》《信息安全技术 个人信息安全规范》《信息安全技术 个人信息安全影响评估指南》《信息安全技术 个人信息去标识化指南》《信息安全技术 移动智能终端个人信息保护技术要求》《信息安全技术 移动互联网应用APP收集个人信息基本规范（征求意见稿）》《信息安全技术 个人信息告知同意指南（征求意见稿）》《信息安全技术 个人信息安全工程指南（报批稿）》《信息技术 安全技术 生物特征识别信息的保护要求（征求意见稿）》等。

除此之外，还有一些特殊行业的监管规则。具体如：

（1）健康医疗行业：《人口健康信息管理办法》《国家健康医疗大数据标准、安全和服务管理办法（试行）》《国家健康医疗大数据标准、安全和服务管理办法（试行）》《信息安全技术 健康医疗数据安全指南》等。

（2）金融行业：《人民银行关于银行业金融机构做好个人金融信息保护工作的通知》《中国人民银行关于银行业金融机构进一步做好客户个人金融信息保护工作的通知》《银行业金融机构数据治理指引的通知》《信息安全技术 金融信息服务安全规范》《个人金融信息保护技术规范》（金融行业标准）等。

（3）交通运输行业：《汽车数据安全管理若干规定（试行）》《关于规范快递与电子商务数据互联共享的指导意见》《智能交通 数据安全服务》《交通运输 信息安全规范》等。

1. 以“关联说”取代“识别说”，并规范境内所有个人信息处理活动和部分境外处理境内自然人个人信息活动

根据《民法典》的规定，个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息。

而本次《个人信息保护法》第四条则明确，个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。虽然仅仅是几字之差，但《个人信息保护法》规定的个人信息保护范围更广，吸收了近年以来学界和实务界对个人信息保护的经验，更适应大数据和人工智能时代对个人信息的保护要求。

此外，《个人信息保护法》的适用范围涵盖中国境内所有的个人信息处理活动；以及在中国境外以向境内自然人提供产品/服务为目的，或者为了分析、评估境内自然人的行为，而处理中国境内自然人个人信息的活动。

2. 个人信息处理以“个人同意”规则为核心，且须遵循法定原则并落实安全保障责任

根据《个人信息保护法》的规定，个人信息的处理包括对个人信息的收集、存储、使用、加工、传输、提供、公开、删除全流程。对个人信息进行处理，需要满足以下条件：

（1）除特定情形外【1】，处理行为需取得信息主体的同意。个人信息处理应当以个人在充分知情[2]的前提下自愿、明确作出同意的规则为核心；基于信息主体同意处理个人信息的，还应当允许个人撤回同意。处理目的、处理方式和处理的个人信息种类发生变更的，还应当重新取得个人同意。

（2）遵循合法、正当、必要、诚信、公开、透明的基本原则。具体而言，处理个人信息，应当具有明确、合理的目的，公开个人信息处理规则，明示处理的目的、方式和范围；收集个人信息，应当限于实现处理目的的最小范围。

（3）具备安全保障能力。具体而言，个人信息处理者应当采取必要措施保障所处理的个人信息的安全；同时保证个人信息的质量，避免因个人信息不准确、不完整对个人权益造成不利影响。

3. 涉及第三方的个人信息处理应当保障个人信息主体的知情权，且不得降低保护标准

涉及第三方的个人信息处理主要包括以下几种情形：

（1）两个以上的个人信息处理者共同处理：应当约定各自的权利和义务，且因侵害个人信息权益造成损害的，应当依法承担连带责任。

[1] 主要包括：①为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需；②为履行法定职责或者法定义务所必需；③为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需；④为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息；⑤依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息；⑥法律、行政法规规定的其他情形。

[2] 应当告知信息主体：①个人信息处理者的名称或者姓名和联系方式；②个人信息的处理目的、处理方式，处理的个人信息种类、保存期限；③个人行使本法规定权利的方式和程序。

（2）委托第三方处理：应当与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等，并对受托人的个人信息处理活动进行监督。未经个人信息处理者同意，受托人不得转委托他人处理个人信息。

（3）因合并、分立、解散、被宣告破产等原因需要转移个人信息：应当告知接收方的名称或者姓名和联系方式，接收方应当继续履行个人信息处理者的义务；变更原先的处理目的、处理方式的，应当重新取得个人同意。

（4）向第三方提供处理的个人信息：应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。

4.个人信息跨境提供需进行事前影响评估，满足特定条件；且特殊主体处理的个人信息必须境内存储

个人信息跨境提供的，需要满足以下要求：

（1）应当进行事前影响评估；

（2）应当具备下列条件之一：①依照本法第四十条的规定通过国家网信部门组织的安全评估；②按照国家网信部门的规定经专业机构进行个人信息保护认证；③按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务；④法律、行政法规或者国家网信部门规定的其他条件。

（3）应当保障知情权并取得个人单独同意：向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项，并取得个人的单独同意。

（4）特殊主体处理的个人信息需境内存储，出境须经安全评估：关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者，应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的，应当通过国家网信部门组织的安全评估。

5.个人信息应当及时删除

除法律、行政法规另有规定外，个人信息的保存期限应当为实现处理目的所必要的最短时间。发生以下情形之一时，个人信息应当及时删除：

（1）处理目的已实现、无法实现或者为实现处理目的不再必要；

（2）个人信息处理者停止提供产品或者服务，或者保存期限已届满；

（3）个人撤回同意；

（4）个人信息处理者违反法律、行政法规或者违反约定处理个人信息；

（5）委托处理个人信息情况下，委托合同不生效、无效、被撤销或者终止的，受托人应当及时删除；

6. 敏感个人信息的处理需遵循更高的保护标准

敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息。本次通过的《个人信息保护法》在此前二审稿的基础上，明确了不满十四周岁未成年人的个人信息均属于敏感个人信息。处理敏感个人信息，需要：

（1）具有特定的目的和充分的必要性，并采取严格保护措施；

（2）取得个人的单独同意；

（3）向个人告知处理敏感个人信息的必要性以及对个人权益的影响；

（4）处理不满十四周岁未成年人个人信息的，应当取得未成年人的父母或者其他监护人的同意并制定专门的个人信息处理规则。

（5）进行事前影响评估。

7. 特殊个人信息处理者需遵循更高的保护标准

（1）处理数量巨大的个人信息处理者：处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人，负责对个人信息处理活动以及采取的保护措施等进行监督。同时，个人信息处理者应当公开个人信息保护负责人的联系方式，并将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门。

（2）重要平台型个人信息处理者：提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，应当：①按照国家规定建立健全个人信息保护合规制度体系，成立主要由外部成员组成的独立机构对个人信息保护情况进行监督；②遵循公开、公平、公正的原则，制定平台规则，明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务；③对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者，停止提供服务；④定期发布个人信息保护社会责任报告，接受社会监督。

8. 违反个人信息保护行为的责任承担

违反个人信息保护的，可能需要承担以下责任：

（1）行政责任：包括被要求改正、警告、责令暂停或终止提供服务，没收违法所得，最高五千万元或上一年度营业额5%的罚款、停业整顿、吊销许可证、吊销营业执照、治安管理处罚等；

（2）民事责任：损害赔偿（举证责任倒置，且有公益诉讼机制）

（3）刑事责任：侵犯公民个人信息罪、帮助信息网络犯罪活动罪等。

尽管多大量的个人信息处理活动属于需要指定个人信息保护负责人/需要境内存储、委托第三方处理个人信息和向第三方提供个人信息的区别、个人单独同意和书面同意的具体要求、安全评估的具体负责机构和标准、影响评估的具体标准、向境外提供个人信息可签订的标准合同等问题都有待在实践过程中进一步明确；但无论如何，《个人信息保护法》都将于2021年11月1日起施行；而该法规定的违反个人信息保护的责任后果又极其严重，如何为落实个人信息保护法做好合规准备将是各企业必然需要面临的问题。

我们认为，现阶段，除大型互联网企业外，对于一般的企业而言，至少可以从以下几个方面开展个人信息保护的合规准备工作：

1. 规范企业劳动用工的个人信息保护制度

劳动用工是每家企业均会遇到的涉及个人信息处理的环节。本次《个人信息保护法》在二审稿的基础上，新增明确了，“按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需的，……不需要取得个人同意”。

但这并不意味着，企业不需要规范劳动用工的个人信息保护制度。

在此之前，企业处理个人信息的合法性来源（无需取得个人同意的情形）主要包括：

（1）《劳动合同法》第七条和第八条规定，用人单位应当建立职工名册备查；用人单位有权了解劳动者与劳动合同直接相关的基本情况。

（2）《劳动合同法实施条例》第八条规定，职工名册应当包括劳动者的：姓名、性别、公民身份号码、户籍地址及现住址、联系方式、用工形式、用工起始时间、劳动合同期限等。

然而，该等规定所涉及的个人信息类别是极其有限的；实践中，用人单位从获取求职者简历、到委托第三方对求职者进行背景调查甚至心理评估，再到要求求职者进行入职体检，再到员工入职后在签到打卡、门禁指纹、生产线管理、病事假管理等过程中，都需要涉及员工大量个人信息，甚至是敏感个人信息；因此用人单位有必要结合企业实际，梳理招聘及劳动用工过程中可能涉及的个人信息处理行为，建立企业劳动用工的个人信息保护制度（将个人信息保护制度融入企业现有的规章制度、集体合同；或者为其设计新增必要的管理流程，如制定符合法律规定的个人信息保护政策、建立员工个人信息分级分类保护机制、设计不同的员工个人信息访问权限、定期开展员工个人信息保护培训并做好留痕、建立员工个人信息安全事件应急机制，涉及员工个人信息跨境流动时的同意获取及影响评估等。

2. 梳理业务流程中可能会涉及到的个人信息处理活动

具体而言，业务流程中可能会涉及到个人信息处理活动的环节主要包括：

（1）直接面向自然人客户的个人信息收集、存储、使用、加工、存储、删除等（如通过办理会员卡等收集的客户个人信息）；

（2）通过合作伙伴获取客户或潜在客户的个人信息（如投放精准广告）；

（3）因为客户提供产品或服务需要，而从客户处获取第三方主体的个人信息并对其进行处理（如为客户提供快件收寄服务而获取、处理收寄件方个人信息）；

（4）将自身经营过程中获取的个人信息提供或委托给第三方处理（如委托第三方开展经营战略咨询、精准广告投放等服务而提供客户信息）。

针对上述业务流程中涉及到的个人信息处理活动，企业需要从个人信息收集获取的个人信息授权范围、个人信息处理目的等方面开始，全流程设计个人信息保护制度，修改业务合同；如有必要，还需要调整企业内控审批流程、增设对业务相关方的资质及个人信息保护能力的评估，并与业务相关方签订明确个人信息保护义务的文件，以确保个人信息保护制度能够在业务开展过程中得到执行。

3.梳理企业运营的网页、软件、APP、小程序所涉及的个人信息处理活动

如企业有运营网页、软件、APP或者小程序的，还需要梳理运营该等网页、软件、APP或小程序过程中涉及的个人信息处理活动，并根据《关于开展App违法违规收集使用个人信息专项治理的公告》《App违法违规收集使用个人信息行为认定方法》《App违法违规收集使用个人信息自评估指南》《移动互联网应用程序（App）安全认证实施规则》等规定，自行或者委托第三方/使用第三方工具开展自查，制定/修订企业个人信息保护政策，并针对自查发现的问题进行调整。

4.自查企业对经营过程中获取的个人信息的保护措施，防范个人信息保护安全漏洞

防范企业存储的个人信息发生泄漏、被删除、被篡改等事故，是个人信息保护的重中之重。具体而言，企业至少需要从以下方面自查以下最基本的个人信息保护措施：

（1）使用的个人信息系统是否通过网络安全等级保护测评，是否符合相应的强制性国家标准要求；

（2）对存储的个人信息是否采取了加密措施，是否有分级访问制度；

（3）是否有个人信息文件的管理、报废制度/要求；

（4）对离职员工、供应商或合作方是否有个人信息保护制约措施。

5.考虑对特殊个人信息处理行为开展影响评估

根据《个人信息保护法》第五十五条的规定，有下列情形之一的，个人信息处理者应当事前进行个人信息保护影响评估，并对处理情况进行记录：

（一）处理敏感个人信息；

（二）利用个人信息进行自动化决策；

（三）委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息；

（四）向境外提供个人信息；

（五）其他对个人权益有重大影响的个人信息处理活动。

根据前述梳理，如果企业在个人信息处理活动中涉及到上述情形的（尤其注意处理不满十四周岁未成年人个人信息即属于处理敏感个人信息），企业有必要尽快自行或委托第三方开展个人信息保护影响评估，留存相应记录，并根据评估结果对个人信息保护措施予以改进。

欧盟GDPR颁布以来，尤其是欧盟成员国监管机构先后以违反GDPR为由对H&M、英国航空公司、万豪酒店、谷歌、Facebook等企业开出高额罚单以来，随着我国《网络安全法》的施行、APP侵害用户权益专项整治活动的开展，围绕网络安全、个人信息保护的行政执法案例的增多，个人信息保护合规问题在国内各行业日益受到广泛并热切的关注。

《个人信息保护法》对个人信息保护要求并非仅仅针对互联网企业，个人信息保护和数据安全合规也定将成为未来企业兼并收购、上市融资等所需要尽职调查和重点关注的领域；尽管相关监管细则还有待在实践过程中进一步明确、完善，但各企业都需要为个人信息保护的内控制度建设做好准备。我们也期待，个人信息保护和大数据/人工智能时代的技术/经济发展能够形成良性互动，在保护个人生活安宁的同时增加社会便捷与效率。