（一）《個(gè)人信息保護(hù)法》十大變化亮點(diǎn)

《個(gè)人信息保護(hù)法》由八章七十四條組成，其內(nèi)容涵蓋了個(gè)人信息處理、個(gè)人信息跨境傳輸、個(gè)人信息主體權(quán)利、個(gè)人信息處理者義務(wù)、監(jiān)管機(jī)構(gòu)個(gè)人信息保護(hù)職責(zé)及適用法律責(zé)任。《個(gè)人信息保護(hù)法》相較于《個(gè)人信息保護(hù)法（草案二次審議稿）》在個(gè)人信息處理規(guī)則、個(gè)人信息跨境傳輸、個(gè)人信息主體權(quán)利、個(gè)人信息處理者義務(wù)方面均有創(chuàng)新性變化。具體如下：

1、新增職場(chǎng)數(shù)據(jù)處理的合法依據(jù)

《個(gè)人信息保護(hù)法》第十三條中創(chuàng)新性提出“實(shí)施人力資源管理所必需”作為個(gè)人信息處理的合法依據(jù)之一。企業(yè)在個(gè)人信息保護(hù)中，出于人力資源管理目的而存在的雇主與雇員關(guān)系上固有的不平衡性，導(dǎo)致對(duì)于員工個(gè)人信息處理的同意無(wú)法享有充分自由權(quán)利，企業(yè)對(duì)員工個(gè)人信息的保護(hù)相較于對(duì)客戶個(gè)人信息的保護(hù)而言略顯滯后。

企業(yè)在使用“實(shí)施人力資源管理所必需”作為處理員工個(gè)人信息的合法性依據(jù)時(shí)，應(yīng)僅限于按照依法制定的勞動(dòng)規(guī)章制度和依法簽訂的集體合同實(shí)施人力資源管理所必需的場(chǎng)景，審視職場(chǎng)數(shù)據(jù)處理的“必要性”，防止該合法依據(jù)淪為濫用員工數(shù)據(jù)的“擋箭牌”。同時(shí)也應(yīng)遵循透明度原則，及時(shí)制定相關(guān)政策文件來(lái)保障員工合法權(quán)益。企業(yè)在實(shí)踐中可參考“【安永觀察】企業(yè)人力資源管理場(chǎng)景下的個(gè)人信息保護(hù)關(guān)注點(diǎn)”開(kāi)展員工個(gè)人信息保護(hù)工作。

2、限制對(duì)已公開(kāi)個(gè)人信息的處理

《個(gè)人信息保護(hù)法》第十三條、第二十七條對(duì)于已公開(kāi)個(gè)人信息的處理范圍進(jìn)行了細(xì)化與限定，目前的要求與《民法典》第一千零三十六條要求一致。個(gè)人信息處理者“可在合理范圍內(nèi)”處理“個(gè)人自行公開(kāi)或者其他已經(jīng)合法公開(kāi)的個(gè)人信息”，即要求處理者審核個(gè)人信息來(lái)源的合法性，明確個(gè)人信息處理的合理性，防止惡意泄露或惡意公開(kāi)的個(gè)人信息被進(jìn)一步處理。

另外，企業(yè)應(yīng)保障個(gè)人的拒絕權(quán)，提供用戶拒絕的途徑，當(dāng)個(gè)人明確拒絕處理其公開(kāi)的個(gè)人信息時(shí)，應(yīng)停止處理；當(dāng)企業(yè)處理已公開(kāi)的個(gè)人信息對(duì)個(gè)人權(quán)益有重大影響時(shí)，應(yīng)依法取得個(gè)人同意。

3、限制公共場(chǎng)所采集個(gè)人圖像、身份識(shí)別信息

《個(gè)人信息保護(hù)法》第二十六條明確，出于維護(hù)公共安全目的，在公共場(chǎng)所安裝圖像采集、個(gè)人身份識(shí)別設(shè)備的，應(yīng)顯著標(biāo)識(shí)以進(jìn)行告知；收集的個(gè)人圖像、身份識(shí)別信息不能用于除維護(hù)公共安全以外的目的，除非取得個(gè)人單獨(dú)的同意。

根據(jù)今年315晚會(huì)曝光的人臉識(shí)別亂象以及最新的公共場(chǎng)所人臉識(shí)別案件，企業(yè)收集人臉信息用于商業(yè)營(yíng)銷(xiāo)目的時(shí)，僅在門(mén)店區(qū)域進(jìn)行顯著標(biāo)識(shí)已無(wú)法滿足收集的合法性，除非獲得個(gè)人的單獨(dú)同意。對(duì)企業(yè)來(lái)說(shuō)合規(guī)的門(mén)檻已大大提升，企業(yè)應(yīng)審慎開(kāi)展人臉識(shí)別相關(guān)業(yè)務(wù)，具體可參照2021年8月1日正式施行的《最高人民法院關(guān)于審理使用人臉識(shí)別技術(shù)處理個(gè)人信息相關(guān)民事案件適用法律若干問(wèn)題的規(guī)定》執(zhí)行。

4、強(qiáng)調(diào)自動(dòng)化決策的公平透明，避免算法歧視

《個(gè)人信息保護(hù)法》第二十四條細(xì)化了利用個(gè)人信息進(jìn)行自動(dòng)化決策的要求，明確企業(yè)應(yīng)保證決策的透明度和結(jié)果的公平、公正性，不得利用算法實(shí)行價(jià)格歧視等差別性待遇。這一要求從立法層面有力回應(yīng)了“大數(shù)據(jù)殺熟”的現(xiàn)象，表明了國(guó)家對(duì)個(gè)人權(quán)益的尊重和保障。

其次，通過(guò)自動(dòng)化決策向個(gè)人推送消息、商業(yè)營(yíng)銷(xiāo)時(shí)，企業(yè)應(yīng)保障個(gè)人的選擇和拒絕權(quán)，即企業(yè)應(yīng)同時(shí)提供非個(gè)性化推薦的內(nèi)容（如提供關(guān)閉個(gè)性化推薦的功能）或者提供便捷的營(yíng)銷(xiāo)信息退訂的渠道。

最后，若企業(yè)使用自動(dòng)化決策作出對(duì)個(gè)人權(quán)益有重大影響的決定時(shí)，個(gè)人有權(quán)拒絕僅通過(guò)自動(dòng)化決策作出的決定；當(dāng)個(gè)人提出異議時(shí)，企業(yè)可采用人工介入的方式進(jìn)行決定；對(duì)個(gè)人權(quán)益有重大影響的場(chǎng)景，可參考GDPR自動(dòng)化決策相關(guān)指引說(shuō)明，如信貸審批、工作錄用、大學(xué)錄取等場(chǎng)景。

5、擴(kuò)充個(gè)人信息出境的合法依據(jù)，限制境外司法調(diào)取個(gè)人信息

《個(gè)人信息保護(hù)法》第三十八條拓展了個(gè)人信息出境的合法依據(jù)，“中華人民共和國(guó)締結(jié)或者參加的國(guó)際條約、協(xié)定”可作為個(gè)人信息出境的合法依據(jù)之一，但不能作為境外司法調(diào)取境內(nèi)存儲(chǔ)的個(gè)人信息的豁免依據(jù)?！秱€(gè)人信息保護(hù)法》第四十一條明確了，境外司法調(diào)取境內(nèi)存儲(chǔ)的個(gè)人信息應(yīng)在獲得中華人民共和國(guó)主管機(jī)關(guān)批準(zhǔn)后，處理者方能提供。該要求與《數(shù)據(jù)安全法》第三十六條關(guān)于數(shù)據(jù)出境的要求相呼應(yīng)。這些變化一方面體現(xiàn)出國(guó)家對(duì)于數(shù)據(jù)經(jīng)濟(jì)全球化趨勢(shì)的支持和重視，另一方面也體現(xiàn)了對(duì)國(guó)家安全、企業(yè)和個(gè)人信息主體合法權(quán)益的重視與保障。

6、完善個(gè)人信息主體的權(quán)利

《個(gè)人信息保護(hù)法》第四十五條新增了個(gè)人信息可攜帶權(quán)，它是個(gè)人信息查詢、復(fù)制權(quán)的重要補(bǔ)充。當(dāng)個(gè)人提出此類(lèi)請(qǐng)求時(shí)，若符合國(guó)家網(wǎng)信部門(mén)規(guī)定條件，個(gè)人信息處理者應(yīng)提供個(gè)人信息轉(zhuǎn)移的途徑。GDPR、CCPA等國(guó)外隱私法中也規(guī)定了數(shù)據(jù)可攜帶權(quán)，使用戶能夠自我管理和重復(fù)使用個(gè)人信息，增強(qiáng)用戶對(duì)個(gè)人信息的控制權(quán)，促進(jìn)數(shù)據(jù)流動(dòng)，有助于防范企業(yè)數(shù)據(jù)壟斷、數(shù)據(jù)不正當(dāng)競(jìng)爭(zhēng)。已按照GDPR等法規(guī)要求建立個(gè)人信息主體權(quán)利響應(yīng)的流程和機(jī)制的企業(yè)，可利用已有合規(guī)基礎(chǔ)落實(shí)個(gè)人權(quán)利保障工作。

7、強(qiáng)調(diào)對(duì)個(gè)人權(quán)益的影響

《個(gè)人信息保護(hù)法》第五十五條將個(gè)人信息處理者風(fēng)險(xiǎn)評(píng)估義務(wù)，更名為個(gè)人信息保護(hù)影響評(píng)估義務(wù)，借鑒了GDPR中DPIA數(shù)據(jù)保護(hù)影響評(píng)估和GB/T 35273-2020《個(gè)人信息安全規(guī)范》中個(gè)人信息安全影響評(píng)估的定義和要求。

同時(shí)，全文中多處將“對(duì)個(gè)人的影響”更改為“對(duì)個(gè)人權(quán)益的影響”。根據(jù)GB/T 39335-2020《個(gè)人信息安全影響評(píng)估指南》中的舉例，對(duì)個(gè)人權(quán)益的影響可從四個(gè)維度考慮 ：“限制個(gè)人自主決定權(quán)”、“引發(fā)差別性待遇”、“個(gè)人名譽(yù)受損或遭受精神壓力”、“人身財(cái)產(chǎn)受損”，可供企業(yè)參考借鑒。企業(yè)在實(shí)踐中不僅要保障個(gè)人信息的安全性，還應(yīng)保障個(gè)人的合法權(quán)益。

8、完善個(gè)人信息安全事件的處理要求

《個(gè)人信息保護(hù)法》第五十七條修訂了個(gè)人信息安全事件處理的要求，明確了個(gè)人信息處理者在“發(fā)生或者可能發(fā)生”個(gè)人信息“泄露、篡改、丟失”時(shí)，應(yīng)當(dāng)立即采取補(bǔ)救措施，并通知履行個(gè)人信息保護(hù)職責(zé)的部門(mén)和個(gè)人。與《民法典》、《網(wǎng)絡(luò)安全法》、《消費(fèi)者權(quán)益保護(hù)法》的要求一脈相承。企業(yè)在實(shí)踐中不僅要保護(hù)個(gè)人信息的保密性，還應(yīng)保護(hù)個(gè)人信息的完整性和可用性，也就是傳統(tǒng)的安全CIA三屬性。對(duì)于風(fēng)險(xiǎn)隱患也應(yīng)進(jìn)行有效監(jiān)控，做到事前、事中、事后的管控。

9、壓實(shí)“守門(mén)人”職責(zé)

《個(gè)人信息保護(hù)法》第五十八條完善了重要互聯(lián)網(wǎng)平臺(tái)方的義務(wù)，除成立獨(dú)立機(jī)構(gòu)監(jiān)督個(gè)人信息保護(hù)情況和發(fā)布社會(huì)責(zé)任報(bào)告外，平臺(tái)方還需制定平臺(tái)規(guī)則以明確產(chǎn)品或服務(wù)提供者處理個(gè)人信息的規(guī)范和保護(hù)個(gè)人信息的義務(wù)。該條要求加強(qiáng)了重要互聯(lián)網(wǎng)平臺(tái)的個(gè)人信息保護(hù)責(zé)任，通過(guò)平臺(tái)實(shí)現(xiàn)個(gè)人信息治理，助力個(gè)人信息保護(hù)相關(guān)法律義務(wù)履行的有效落地。平臺(tái)內(nèi)產(chǎn)品或服務(wù)提供者可對(duì)照事先明確的規(guī)范和義務(wù)進(jìn)行自查，減少錯(cuò)誤成本，健全營(yíng)商環(huán)境。與此同時(shí)，該要求有助于防范平臺(tái)濫用“守門(mén)人”職責(zé)，保障公平性。

10、明確受托人的協(xié)助義務(wù)

《個(gè)人信息保護(hù)法》第五十九條補(bǔ)充完善了受托人的義務(wù)，受托人除需采取必要措施保障個(gè)人信息安全外，還需協(xié)助個(gè)人信息處理者履行相關(guān)義務(wù)。具體如何協(xié)助處理者履行義務(wù)可參考國(guó)際個(gè)人信息管理體系標(biāo)準(zhǔn)ISO27701，標(biāo)準(zhǔn)中要求受托人向處理者提供適當(dāng)?shù)男畔ⅲ员闾幚碚咦C明其履行了相關(guān)義務(wù)；協(xié)助處理者履行個(gè)人行權(quán)響應(yīng)相關(guān)的義務(wù)，如協(xié)助處理者及時(shí)響應(yīng)更正個(gè)人信息、刪除個(gè)人信息等請(qǐng)求。