《中华人民共和国个人信息保护法》解读

《中华人民共和国个人信息保护法》于2021年11月1日起正式施行，这是我国首部专门针对个人信息保护的法律，确立了个人信息处理的基本规则，为个人信息权益保护提供了法律保障。

一、立法背景与意义

1. 立法背景

随着数字经济的快速发展，个人信息处理活动日益频繁，个人信息泄露、滥用等问题突出，严重侵害公民个人信息权益。为规范个人信息处理活动，保护个人信息权益，促进个人信息合理利用，制定本法。

2. 立法意义

• 保护公民权益：明确个人信息权益，保障公民对个人信息的控制权
• 规范处理活动：确立个人信息处理的基本规则，规范处理行为
• 促进合理利用：在保护个人信息权益的前提下，促进个人信息合理利用
• 完善法律体系：与《网络安全法》《数据安全法》共同构成网络安全法律体系

二、适用范围

在中华人民共和国境内处理自然人个人信息的活动，适用本法。在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动，有下列情形之一的，也适用本法：

• 以向境内自然人提供产品或者服务为目的
• 分析、评估境内自然人的行为
• 法律、行政法规规定的其他情形

三、个人信息处理规则

1. 处理原则

• 合法正当：处理个人信息应当遵循合法、正当、必要和诚信原则
• 目的明确：具有明确、合理的目的，并限于实现处理目的的最小范围
• 公开透明：公开个人信息处理规则，明示处理的目的、方式、范围
• 质量保证：保证个人信息的准确、完整，及时更新
• 安全保障：采取必要措施保障个人信息安全

2. 处理合法性基础

处理个人信息应当取得个人同意，但有下列情形之一的除外：

• 为订立、履行合同所必需
• 为履行法定职责或者法定义务所必需
• 为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需
• 为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息
• 依照本法规定在合理的范围内处理已公开的个人信息
• 法律、行政法规规定的其他情形

3. 单独同意

处理敏感个人信息、向他人提供个人信息、公开个人信息、在公共场所安装图像采集、个人身份识别设备，应当取得个人的单独同意。

4. 撤回同意

基于个人同意处理个人信息的，个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。

四、个人信息处理者的义务

1. 一般义务

• 制定内部管理制度和操作规程
• 对个人信息实行分类管理
• 采取相应的加密、去标识化等安全技术措施
• 合理确定个人信息处理的操作权限，并定期对从业人员进行安全教育和培训
• 制定并组织实施个人信息安全事件应急预案
• 法律、行政法规规定的其他措施

2. 特定情形下的义务

• 委托处理：委托他人处理个人信息，应当与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务
• 共同处理：两个以上的个人信息处理者共同决定个人信息的处理目的和处理方式的，应当约定各自的权利和义务
• 向第三方提供：向其他个人信息处理者提供其处理的个人信息的，应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意
• 公开个人信息：公开其处理的个人信息，应当取得个人的单独同意

五、个人在个人信息处理活动中的权利

• 知情权：有权知悉个人信息处理规则和处理情况
• 决定权：有权限制或者拒绝他人对其个人信息进行处理
• 查阅复制权：有权查阅、复制其个人信息
• 更正补充权：发现其个人信息不准确或者不完整的，有权请求个人信息处理者更正、补充
• 删除权：在法定情形下，有权请求个人信息处理者删除其个人信息
• 撤回同意权：有权撤回其同意
• 规则解释权：有权要求个人信息处理者对其个人信息处理规则进行解释说明

六、法律责任

1. 行政责任

违反本法规定处理个人信息，或者处理个人信息未履行本法规定的个人信息保护义务的，由履行个人信息保护职责的部门责令改正，给予警告，没收违法所得，对违法处理个人信息的应用程序，责令暂停或者终止提供服务；拒不改正的，并处一百万元以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

情节严重的，由省级以上履行个人信息保护职责的部门责令改正，没收违法所得，并处五千万元以下或者上一年度营业额百分之五以下罚款，并可以责令暂停相关业务或者停业整顿、吊销相关业务许可证或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款，并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。

2. 民事责任

处理个人信息侵害个人信息权益造成损害，个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任。损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定；个人因此受到的损失和个人信息处理者因此获得的利益难以确定的，根据实际情况确定赔偿数额。

3. 刑事责任

违反本法规定，构成违反治安管理行为的，依法给予治安管理处罚；构成犯罪的，依法追究刑事责任。