202<ε1年(nián)8月(yuè)20日(rì)，十三屆全國(guó)人(r∞£én)大(dà)常委會(huì)第三十次會(huì)議(yì)表決通♠π&(tōng)過《中華人(rén)民(mín)共和(hé)國(g✘™↑±uó)個(gè)人(rén)信息保護法》（∞φπ以下(xià)簡稱“《個(gè)人(rén±>)信息保護法》”），自(zì)2021年 &(nián)11月(yuè)1日(rì)起施行(xíng)。

      1. 适用(yòng)範圍

      《個(gè)人(rén)信息保護法​<ε》除了(le)規管境內(nèi)的(de)個(g¥δ è)人(rén)信息處理(lǐ)行(xíng)為(wèi)以外(₽ ₹‌wài)，也(yě)适用(yòng)于特定的(de)境外(wài)α‍ α個(gè)人(rén)信息處理(lǐ)行(xíng)為(wèi)，如(rú)：以向境內(nèi)個(gè)人(rén)提供産品或者服務為($≈•wèi)目的(de)在境外(wài)處理(lǐ)境內(nèi)個(gè)人(‍→rén)的(de)信息。

      受《個(gè)人(rén)信息保護法₹₩$ 》規管的(de)境外(wài)個(gè)"φ₽人(rén)信息處理(lǐ)者需要(yào)在境內(nèi)σΩ☆設立專門(mén)機(jī)構或者指定代表負責處理(lǐ)個(gφ​♠è)人(rén)信息保護相(xiàng)關事(shì)務。

      向境外(wài)提供個(g¶​✘è)人(rén)信息的(de)途徑應當具π 備下(xià)列條件(jiàn)之一(yī)：通(t↑ ōng)過中國(guó)國(guó)家(jiā)網信部門(mén)♣®↕α組織的(de)安全評估；經指定的(de)專業(yè)機(jī)構進行(✔₩xíng)個(gè)人(rén)信息保護認證；與境外≠↓ ‌(wài)接收方訂立國(guó)家(jiā)網信部門(mén)制(¥σ‍zhì)定的(de)标準合同；或，按照(zhào)中國(guó)締結或參加的( >$♣de)國(guó)際條約和(hé)協定等傳輸。

     2. 重要(yào)概念

      ∏•&↕;▪  個(gè)人(rén)信息：以電(diàn)子(zǐ)或者其他(tā)方φ"σ式記錄的(de)與已識别或者可(kě)識别的(de)自₹☆≈(zì)然人(rén)有(yǒu)關的(de)各種信息，不(♠σ♥↔bù)包括匿名化(huà)處理(lǐ)後的(de)信息。

      ▪  ₹γ敏感個(gè)人(rén)信息：一(yī)旦洩露或者非法使用(yòng)，容易導緻自(zì)然人(rén)€'的(de)人(rén)格尊嚴受到(dào)侵害或者人(rén)身(shēn≠ →±)、财産安全受到(dào)危害的(de)個(gè)↔δ§✔人(rén)信息，包括生(shēng)物(wù)識别、宗★∏₽教信仰、特定身(shēn)份、醫(yī)療健康、金(jīn)融賬戶、¶$行(xíng)蹤軌迹等信息，以及不(bù)滿十≈<♥四周歲未成年(nián)人(rén)的(de)σα∏←個(gè)人(rén)信息。

      ▪  ≈★↕個(gè)人(rén)信息的(de)處理(lǐ)：個(gè)人(rén)信息的(de)收集、§§ 存儲、使用(yòng)、加工(gōng)、傳輸、提供、公開(‍₩kāi)、删除等。

      ▪& §nbsp; 個(gè)人(rén)信息處理(lǐ)者：在個(gè)人(rén)信息處理(lǐ)活動中自(zì)主決定處理♥ (lǐ)目的(de)、處理(lǐ)方式的(de)組織、個(gè)≤♣人(rén)。

      3. 個(gè)人(rén)信息處理(lǐ)重要(yào)規α§定

      3.1 告知(zhī)—Ω♦∞•同意

      個(gè)人(★αε‌rén)信息處理(lǐ)者在處理(lǐ)個(gè)人(rén)信息₩×∑♥前，應當以顯著方式、清晰易懂(dǒng)的(de)語言真實、準确、完整地♠≠(dì)向個(gè)人(rén)告知(zhī)特®••"定事(shì)項，如(rú)處理(lǐ)目的(de)、處理(lǐ)方式和(hé∑​>≠)處理(lǐ)的(de)個(gè)人(rén)信息種¶→類等。如(rú)上(shàng)述事(shì)項發生(shēn✘♦‌♠g)變更，個(gè)人(rén)信息處理(lǐ)者應及時(‌‌shí)告知(zhī)個(gè)人(rén)該等變更。

      β¥ 除法律規定的(de)特定情形外(wài)，如(rú)為(wèi)履行↑¶(xíng)法定職責或者法定義務所必需，個(gè)人(rφ¥&♠én)信息處理(lǐ)者處理(lǐ)個(gè •£)人(rén)信息必須征得(de)個(gè♣₹)人(rén)的(de)同意。如(rú)屬于♣ 以下(xià)情形之一(yī)的(de)，個(gè★✘✘)人(rén)信息處理(lǐ)者應當取得(de)個₩φ★φ(gè)人(rén)的(de)單獨同意：（1）處理(lǐ)敏感個(gè↕&)人(rén)信息；（2）向其他(tā)個(gφ≥♦è)人(rén)信息處理(lǐ)者提供其所處理(lǐ)♥♣™☆的(de)個(gè)人(rén)信息；（3）公開(kāi)其處理(←¥ ★lǐ)的(de)個(gè)人(rén)信息；（4）非以維護公共安全為(¥πwèi)目的(de)，收集個(gè)人(rén)圖像、身(s♣"hēn)份識别信息；或（5）向境外(wài)‍←₽提供個(gè)人(rén)信息。

      此外(wà‍λλi)，個(gè)人(rén)有(yǒu)權撤回其同♥φ÷£意，個(gè)人(rén)信息處理(lǐ)者應當提供便捷的(de)撤回同意的♥→'π(de)方式。個(gè)人(rén)信息處理(lǐ)者不(b☆♦♦¥ù)得(de)以個(gè)人(rén)不(bù)≠✔≠同意處理(lǐ)其個(gè)人(rén)信息或者撤回同意為(wèi)由，拒≥₹≥β絕提供産品或者服務；處理(lǐ)個(gè)人(rén)信息屬于提≤σ供産品或者服務所必需的(de)除外(wài)。

      3.2 最小(xiǎo)必要(yào)程度

    （1）處理(lǐ)個(gè)人(rén)信息✘±應當具有(yǒu)明(míng)确、合理(lǐ)的(de)目的♦×"(de)，并應當與處理(lǐ)目的(de)直接相(xiàng)關，采☆≠±$取對(duì)個(gè)人(rén)權益影(‌₽yǐng)響最小(xiǎo)的(de)方式。

    （2）收集個♦₽>£(gè)人(rén)信息，應當限于實現(xiàn)處♥♠δ理(lǐ)目的(de)的(de)最小(xiǎo)範圍，不(bù)得(de)過度收集個(gè)人(rén)信息。

    （3）除法律、行(xíng)政'§✘>法規另有(yǒu)規定外(wài)，個(gè)人(rén)信息的(deε×)保存期限應當為(wèi)實現(xiàn)處理(lǐ)目的(±↕de)所必要(yào)的(de)最短(duǎn)時(shí)間(jiān)。

      3.3 個(gè)人(rén)信息保護義務

      個(gè)人(rén)信息處理(lǐ¶$→)者應當采取必要(yào)措施保障所處理(lδφ•ǐ)的(de)個(gè)人(rén)信息的(de)安全，以防止未經∞∏授權的(de)訪問(wèn)以及個(gè)人(rén§≤)信息洩露、篡改、丢失。

      未履行(x¶∞£δíng)保護義務的(de)個(gè)人(r®‍én)信息處理(lǐ)者，将被相(xiàng)關部門(mén)責令♣≠改正，給予警告，沒收違法所得(de)；拒不(bù)改正的(de€★σ)，并處一(yī)百萬元以下(xià)罰款，對(d‍$☆‍uì)直接負責的(de)人(rén)員(yuán)處一γ↔(yī)萬元以上(shàng)十萬元以下(x™♦∏ià)罰款；情節嚴重的(de)，并處五千萬元以下(xiπ✘à)或者上(shàng)一(yī)年(nián)度營業(yè)額百分(∞>₩fēn)之五以下(xià)罰款，對(duì)直接負責的(d♠βe)人(rén)員(yuán)處十萬元以上(shàng)一(yī)百萬©♦§€元以下(xià)罰款。

      3.4 自(zì)動化(huà)決策

      自(zì)動化(huà​&)決策，是(shì)指通(tōng)過計(jì)算(suàn)機(j₽&ī)程序自(zì)動分(fēn)析、評估個(gè)人(rén)的( ₹®de)行(xíng)為(wèi)習(xí)慣、興趣愛±®‍α(ài)好(hǎo)或者經濟、健康、信用(yòng)狀況等，并進行(xínφγ€↑g)決策的(de)活動。《個(gè)人(rén)信∑®≠π息保護法》第二十四條對(duì)個(gè)人(rén)信息處理(lǐ€→)者對(duì)自(zì)動化(huà)決策的(de)運用(yπφ òng)進行(xíng)了(le)限制(zhì)。

      根據該條，（↑α¥↔1）個(gè)人(rén)信息處理(lǐ)者不(bù)得(de)∑>>利用(yòng)自(zì)動化(huà)決策對(duì)個(¶λ≈gè)人(rén)在交易價格等交易條件(jiàn)上(shàng)實行(xí÷∞φng)不(bù)合理(lǐ)的(de)差别待遇；（2）個(gè)人(rénδ≈)有(yǒu)權選擇拒絕個(gè)人(rénα®π$)信息處理(lǐ)者通(tōng)過自(zì)動化(hu ≠<à)決策向個(gè)人(rén)推送個(gè‌∏™)性化(huà)廣告；（3）個(gè)人(ré×δ n)有(yǒu)權要(yào)求個(gè)人(rén)信息處理(lǐ)φ'者對(duì)通(tōng)過自(zì)動化(huà)決策作(zu£↔πò)出的(de)對(duì)個(gè)人(rén)權益有(y✘  ǒu)重大(dà)影(yǐng)響的(de)決定進行(xíng)說(shuō‍εβ←)明(míng)，并有(yǒu)權拒絕個(↕δgè)人(rén)信息處理(lǐ)者僅通(tōng)過"✔自(zì)動化(huà)決策的(de)方式作(zuò)出¥β♦決定。

      4. 合規建議(yì)

      4.1 履行(xíng)告知(z®✔hī)義務，征求必要(yào)同意

      需要(yào)處理(lǐ)個(♥₹ gè)人(rén)信息的(de)企業(yè)，請(qǐng↕ )按照(zhào)《個(gè)人(rén)信息保護法》的(de)要(yào⧙≤)求更新其個(gè)人(rén)信息處理(lǐ)告知(zhα₩ī)書(shū)，向個(gè)人(rén)明(míng §¶)确告知(zhī)處理(lǐ)目的(de)、處理(lǐ)方式和(hé)處理(✔Ω‌'lǐ)的(de)個(gè)人(rén)信息種類等Ω≥ 事(shì)項。對(duì)需要(yào)征得(de)“單獨同意”的(d₹¶φ♥e)情形，請(qǐng)務必準備專門(mén)ε∑的(de)授權文(wén)件(jiàn)。

具體(tǐ)而言，企業(yè)可(kě)以通(tōng)過頁面彈窗(chuφ®āng)、郵件(jiàn)等方式告知(zhī)客戶。此外(wài)，建α≈∏議(yì)企業(yè)通(tōng)過突出顯示重點條文(wénπ±)、設置強制(zhì)的(de)閱讀(dú)時(sh ₹®í)間(jiān)等方式保證告知(zhī)義務的(de)充分(f✔←ēn)履行(xíng)。

      4.2 自(zì)查個(α≥∑₩gè)人(rén)信息處理(lǐ)的(de)必要(£∏yào)性

     < ‍★ 請(qǐng)企業(yè)在處理(lǐ)個(gè)人(rén)信息之前，根♠↓∑據最小(xiǎo)必要(yào)原則，自(zì)查其行(xíng)為(wèiφ​επ)的(de)必要(yào)性：

     （1® ‌）處理(lǐ)個(gè)人(rén)信息的(©π§de)方式需與處理(lǐ)目的(de)有(∑★yǒu)直接關聯；

     （2）處理(lǐ)✘•個(gè)人(rén)信息的(de)方式需是(γ ≤↔shì)對(duì)個(gè)人(rén)權益影✔δ(yǐng)響最小(xiǎo)的(de)方式；

     （3）收集的≠✘ (de)個(gè)人(rén)信息的(de)範ε₩✘Ω圍應是(shì)實現(xiàn)處理(lǐ)目λ​的(de)的(de)最小(xiǎo)範圍；

     （↕×≥₹4）個(gè)人(rén)信息的(de)保存期限應是(shì)‍₩ 實現(xiàn)處理(lǐ)目的(de)的(de)最短(duǎ"<≠n)時(shí)間(jiān)。

      4÷π↕↔.3 采取措施保障個(gè)人(rén)信≤≠‌息安全

      保障措施包括但(dàn₩ &)不(bù)限于：（1）制(zhì)定內(nè•‌•i)部管理(lǐ)制(zhì)度和(hé)操作(zuò)規程；（2）對(du✔←ì)個(gè)人(rén)信息實行(xíng)分(fēn)類管理(lǐ)  ¥Ω；（3）采取相(xiàng)應的(de)加密、去(qù♦♣πΩ)标識化(huà)等安全技(jì)術(shù)措施，（↑π4）合理(lǐ)确定個(gè)人(rén‌​↓ε)信息處理(lǐ)的(de)操作(zuò)權限，并定期對(duì)從(có∑★∑ng)業(yè)人(rén)員(yuán)進行(xí♠★ng)安全教育和(hé)培訓，和(hé)（5）制(zhì'φ¶₩)定并組織實施個(gè)人(rén)信息安全事(sh±♥ì)件(jiàn)應急預案。

      4.4 謹慎使用(yòng)自(zì)動化(huà)決策¶δ×

      根據《個(gè)人¶>δ(rén)信息保護法》第二十四條，如(rú)企業(yè)需要(y">✘→ào)借助自(zì)動化(huà)決策處理(lǐ)個(g'φè)人(rén)信息，應保證：（1）決策過₹♠程透明(míng)；（2）決策結果公平、公正；和(h÷₩é)（3）為(wèi)個(gè)人(rén)提供了(le)拒絕或者✔‌✘™結果複核的(de)渠道(dào)。

      值得(de)注意的(de)是(s¶™δhì)，透明(míng)化(huà)自(zì)動化(huà)✔↕$™決策過程可(kě)能(néng)會(huì)涉及到(dào)企業(yè≤β)知(zhī)識産權和(hé)商業(yè)秘密等問(wèn)題，因此★☆，對(duì)于透明(míng)化(huà)的(de)程度企業' ±(yè)需要(yào)跟進立法細化(huà)規定及©≈對(duì)執法實踐進行(xíng)動态把握。

      此外(wài)，雖然借助自(zì"☆)動化(huà)決策對(duì)消費(fèi)者進行(xíng) ‍¶$差異化(huà)對(duì)待是(shì)商業(y•αè)運營的(de)常态，但(dàn)企業(yè)需保證該等差異化₩¥(huà)是(shì)合理(lǐ)的(de)。合理(lǐ)的(de)差異化>γ₹♣(huà)包括但(dàn)不(bù)限于：（1）針對(duì)σ 新用(yòng)戶在合理(lǐ)期限內(nèi)開(kāi)展優惠活↕×‍∑動；和(hé)（2）根據交易頻(pín)次等設置不(bù)同用(yòn'Ω≈≤g)戶會(huì)員(yuán)等級和(hé)相(xiàng♥∏↑)應等級的(de)優惠方案。不(bù)合理(lǐ)₹←的(de)差異化(huà)包括但(dàn)不(bβ ≥​ù)限于：（1）針對(duì)蘋果、安卓手機(®£∏•jī)用(yòng)戶設置不(bù)同的(de)價格等；和(hé)（2）對(d$↑φuì)在一(yī)定期限內(nèi)多(★↑®duō)次消費(fèi)的(de)客戶不(bù)合理(lǐ)₹±←δ地(dì)提高(gāo)産品或服務的(de)價格。

      （本文(wφ×én)“3.重要(yào)規定”并不(bù)構成對(duì)《♥♣ 個(gè)人(rén)信息保護法》的(de)全面解讀(dú)，本文(↓"wén)“4.合規建議(yì)”系基于“3.重要(yào)規定”對(duì)企★¥≥業(yè)作(zuò)出的(de)一(yī)般性合規建議(yì)。如(rú♣λ‍)企業(yè)需要(yào)更有(yǒu)針對(duì)性、更♥™€為(wèi)具體(tǐ)的(de)或更全面的(de)合規性建議(yì)，可©↓₹™(kě)以與我們聯系。）