《個(gè)人信息保護(hù)法》對(duì)企業(yè)的十大影響

發(fā)布日期：2021-08-27 15:28 信息來(lái)源：中心

2021年8月20日《中華人民共和國(guó)個(gè)人信息保護(hù)法》（簡(jiǎn)稱“《個(gè)人信息保護(hù)法》”）由第十三屆全國(guó)人民代表大會(huì)常務(wù)委員會(huì)第三十次會(huì)議審議通過(guò)并公布，將于2021年11月1日起施行。《個(gè)人信息保護(hù)法》實(shí)施之后，將與2017年6月1日實(shí)施的《網(wǎng)絡(luò)安全法》、以及2021年9月1日起生效的《數(shù)據(jù)安全法》一起，成為我國(guó)網(wǎng)絡(luò)空間管理和數(shù)據(jù)保護(hù)的“三駕馬車”。

《個(gè)人信息保護(hù)法》共八章，總計(jì)七十四個(gè)條款。其中，第一章為“總則”，第二章為“個(gè)人信息處理規(guī)則”（包含第一節(jié)“一般規(guī)定”、第二節(jié)“敏感個(gè)人信息的處理規(guī)則”、第三節(jié)“國(guó)家機(jī)關(guān)處理個(gè)人信息的特別規(guī)定”），第三章為“個(gè)人信息跨境提供的規(guī)則”，第四章為“個(gè)人在個(gè)人信息處理活動(dòng)中的權(quán)利”，第五章為“個(gè)人信息處理者的義務(wù)”，第六章為“履行個(gè)人信息保護(hù)職責(zé)的部門”，第七章為“法律責(zé)任”，第八章為“附則”。本文重點(diǎn)解讀《個(gè)人信息保護(hù)法》將對(duì)企業(yè)產(chǎn)生的十大影響。

一、企業(yè)應(yīng)關(guān)注個(gè)人信息權(quán)益，并注意域外適用

《民法典》第一百一十一條中提到，自然人的個(gè)人信息受法律保護(hù)。而《個(gè)人信息保護(hù)法》第二條中將個(gè)人信息明確定義為一項(xiàng)權(quán)益，即“個(gè)人信息權(quán)益”。這是在目前互聯(lián)網(wǎng)背景之下為了規(guī)范個(gè)人信息處理活動(dòng)，促進(jìn)個(gè)人信息合理利用的應(yīng)有之舉。

根據(jù)《個(gè)人信息保護(hù)法》第四條，個(gè)人信息是以電子或者其他方式記錄的與已識(shí)別或者可識(shí)別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息。個(gè)人信息的處理包括個(gè)人信息的收集、存儲(chǔ)、使用、加工、傳輸、提供、公開(kāi)、刪除等。

因此，企業(yè)在實(shí)際經(jīng)營(yíng)之中，特別是在數(shù)據(jù)收集、使用和傳輸?shù)倪^(guò)程中，應(yīng)關(guān)注個(gè)人信息權(quán)益，防止個(gè)人信息泄露、個(gè)人信息過(guò)度采集等侵權(quán)行為的發(fā)生，否則將承擔(dān)民事、行政、甚至刑事的相關(guān)責(zé)任。

此外，在法域適用方面，企業(yè)應(yīng)當(dāng)注意《個(gè)人信息保護(hù)法》不僅適用于在我國(guó)境內(nèi)處理自然人個(gè)人信息的活動(dòng)，也適用于在境外處理我國(guó)境內(nèi)自然人個(gè)人信息的活動(dòng)。例如，以向境內(nèi)自然人提供產(chǎn)品或者服務(wù)為目的，分析、評(píng)估境內(nèi)自然人的行為等。這對(duì)有跨境業(yè)務(wù)的企業(yè)而言，提出了更高的合規(guī)要求，值得關(guān)注。

二、企業(yè)在處理個(gè)人信息時(shí)應(yīng)滿足七大原則

對(duì)于企業(yè)來(lái)說(shuō)，在處理個(gè)人信息時(shí)，應(yīng)滿足以下七大原則：“遵循合法、正當(dāng)、必要和誠(chéng)信原則”（第五條）、“具有明確、合理的目的”（第六條，即“目的限定原則”）、“采取對(duì)個(gè)人權(quán)益影響最小的方式……限于實(shí)現(xiàn)處理目的的最小范圍，不得過(guò)度收集個(gè)人信息”（第六條，即“最小必要原則”）、“遵循公開(kāi)、透明原則”（第七條）、“保證個(gè)人信息的質(zhì)量”（第八條，即“質(zhì)量原則”）、“對(duì)其個(gè)人信息處理活動(dòng)負(fù)責(zé)”（第九條，即“可問(wèn)責(zé)性”原則）、“采取必要措施保障所處理的個(gè)人信息的安全”（第九條，即“數(shù)據(jù)安全”原則）。

滿足以上七大原則，對(duì)于個(gè)人信息處理者來(lái)說(shuō)，是最基本的原則性要求。此外，對(duì)于企業(yè)來(lái)說(shuō)，根據(jù)《個(gè)人信息保護(hù)法》第十條的規(guī)定，不得非法收集、使用、加工、傳輸他人個(gè)人信息，不得非法買賣、提供或者公開(kāi)他人個(gè)人信息，也不得從事危害國(guó)家安全、公共利益的個(gè)人信息處理活動(dòng)，這也是對(duì)企業(yè)在數(shù)據(jù)收集和處理活動(dòng)過(guò)程中提出的基本合法性要求。

三、企業(yè)應(yīng)注意區(qū)分知情同意的不同情形

對(duì)于企業(yè)來(lái)說(shuō)，通常來(lái)說(shuō)，只有取得個(gè)人的同意，方可處理個(gè)人信息，這是“告知—同意”的核心原則的體現(xiàn)。企業(yè)還應(yīng)當(dāng)注意單獨(dú)同意或者書面同意的問(wèn)題，也即根據(jù)《個(gè)人信息保護(hù)法》第十四條的規(guī)定，法律、行政法規(guī)規(guī)定處理個(gè)人信息應(yīng)當(dāng)取得個(gè)人單獨(dú)同意或者書面同意的，從其規(guī)定。這對(duì)特殊情形下的知情同意（例如第三十一條有關(guān)未成年人個(gè)人信息采集，應(yīng)取得其父母或其他監(jiān)護(hù)人的同意），提出了更高的要求。

但也需要注意，根據(jù)《個(gè)人信息保護(hù)法》第十三條的規(guī)定，還有“不需取得個(gè)人同意”的其他特殊情形，也即：（1）為訂立、履行個(gè)人作為一方當(dāng)事人的合同所必需，或者按照依法制定的勞動(dòng)規(guī)章制度和依法簽訂的集體合同實(shí)施人力資源管理所必需；（2）為履行法定職責(zé)或者法定義務(wù)所必需；（3）為應(yīng)對(duì)突發(fā)公共衛(wèi)生事件，或者緊急情況下為保護(hù)自然人的生命健康和財(cái)產(chǎn)安全所必需；（4）為公共利益實(shí)施新聞報(bào)道、輿論監(jiān)督等行為，在合理的范圍內(nèi)處理個(gè)人信息；以及（5）依照本法規(guī)定在合理的范圍內(nèi)處理個(gè)人自行公開(kāi)或者其他已經(jīng)合法公開(kāi)的個(gè)人信息（第十三條第二項(xiàng)至第六項(xiàng)）。以上特殊情形，對(duì)于普通企業(yè)的人力資源管理提供了方便之門，也為政府部門在應(yīng)對(duì)突發(fā)公共衛(wèi)生事件時(shí)進(jìn)行數(shù)據(jù)合法收集提供了法律依據(jù)。對(duì)于從事新聞報(bào)道、輿論監(jiān)督的企業(yè)而言，如果是為公共利益在合理的范圍內(nèi)處理個(gè)人信息的，也可以不用取得個(gè)人同意。另外，對(duì)于緊急情況下為保護(hù)自然人的生命健康和財(cái)產(chǎn)安全所必需，以及個(gè)人自行公開(kāi)的情形，也不需要獲得知情同意。

對(duì)于需要知情同意的情形，在個(gè)人信息的處理目的、處理方式和處理的個(gè)人信息種類發(fā)生變更的，應(yīng)當(dāng)重新取得個(gè)人同意（第十四條）。并且，企業(yè)還應(yīng)當(dāng)保障個(gè)人的撤回同意權(quán)，也即基于個(gè)人同意處理個(gè)人信息的，個(gè)人有權(quán)撤回其同意，個(gè)人信息處理者應(yīng)當(dāng)提供便捷的撤回同意的方式（第十五條）。針對(duì)撤回同意的情形，個(gè)人撤回同意，不影響撤回前基于個(gè)人同意已進(jìn)行的個(gè)人信息處理活動(dòng)的效力（第十五條）。在個(gè)人不同意處理其個(gè)人信息或者撤回同意的情況下，個(gè)人信息處理者不得因此而拒絕提供產(chǎn)品或者服務(wù)，但處理個(gè)人信息屬于提供產(chǎn)品或者服務(wù)所必需的除外（第十六條）。

四、企業(yè)在共同處理和委托處理中承擔(dān)不同責(zé)任

對(duì)于共同處理的情形，也即兩個(gè)以上的個(gè)人信息處理者共同決定個(gè)人信息的處理目的和處理方式的，應(yīng)當(dāng)約定各自的權(quán)利和義務(wù)。但是，該約定不影響個(gè)人向其中任何一個(gè)個(gè)人信息處理者要求行使本法規(guī)定的權(quán)利（第二十條）。也即，用戶有權(quán)向共同處理的任意一方行使權(quán)利，合同只能在合作企業(yè)內(nèi)部發(fā)生效力，而一旦發(fā)生侵害個(gè)人信息權(quán)益造成損害的，企業(yè)都應(yīng)當(dāng)依法承擔(dān)連帶責(zé)任。

對(duì)于委托處理的情形，也即個(gè)人信息處理者委托處理個(gè)人信息的，應(yīng)當(dāng)與受托人約定委托處理的目的、期限、處理方式、個(gè)人信息的種類、保護(hù)措施以及雙方的權(quán)利和義務(wù)等，并對(duì)受托人的個(gè)人信息處理活動(dòng)進(jìn)行監(jiān)督（第二十一條）。而受托人應(yīng)當(dāng)按照約定處理個(gè)人信息，不得超出約定的處理目的、處理方式等處理個(gè)人信息；委托合同不生效、無(wú)效、被撤銷或者終止的，受托人應(yīng)當(dāng)將個(gè)人信息返還個(gè)人信息處理者或者予以刪除，不得保留。這對(duì)委托方和受托方的數(shù)據(jù)活動(dòng)都提出了相應(yīng)的合規(guī)要求。

此外，對(duì)于因合并、分立、解散、被宣告破產(chǎn)等原因需要轉(zhuǎn)移個(gè)人信息的，企業(yè)應(yīng)當(dāng)向個(gè)人告知接收方的名稱或者姓名和聯(lián)系方式。接收方應(yīng)當(dāng)繼續(xù)履行個(gè)人信息處理者的義務(wù)。接收方變更原先的處理目的、處理方式的，應(yīng)當(dāng)依照本法規(guī)定重新取得個(gè)人同意（第二十二條）。而企業(yè)向其他個(gè)人信息處理者提供其處理的個(gè)人信息的，應(yīng)當(dāng)向個(gè)人告知接收方的名稱或者姓名、聯(lián)系方式、處理目的、處理方式和個(gè)人信息的種類，并取得個(gè)人的單獨(dú)同意。接收方應(yīng)當(dāng)在上述處理目的、處理方式和個(gè)人信息的種類等范圍內(nèi)處理個(gè)人信息。接收方變更原先的處理目的、處理方式的，應(yīng)當(dāng)依照本法規(guī)定重新取得個(gè)人同意（第二十三條）。

五、企業(yè)應(yīng)避免大數(shù)據(jù)殺熟，規(guī)范自動(dòng)化決策

大數(shù)據(jù)殺熟在互聯(lián)網(wǎng)電商領(lǐng)域中時(shí)有發(fā)生，對(duì)消費(fèi)者的權(quán)益造成了損害，產(chǎn)生了非常不良的影響。《個(gè)人信息保護(hù)法》第二十四條對(duì)此進(jìn)行了明確的規(guī)制，也即，個(gè)人信息處理者利用個(gè)人信息進(jìn)行自動(dòng)化決策，應(yīng)當(dāng)保證決策的透明度和結(jié)果公平、公正，不得對(duì)個(gè)人在交易價(jià)格等交易條件上實(shí)行不合理的差別待遇。其中，自動(dòng)化決策是指通過(guò)計(jì)算機(jī)程序自動(dòng)分析、評(píng)估個(gè)人的行為習(xí)慣、興趣愛(ài)好或者經(jīng)濟(jì)、健康、信用狀況等，并進(jìn)行決策的活動(dòng)（第七十三條）。

而且，通過(guò)自動(dòng)化決策方式向個(gè)人進(jìn)行信息推送、商業(yè)營(yíng)銷，應(yīng)當(dāng)同時(shí)提供不針對(duì)其個(gè)人特征的選項(xiàng)，或者向個(gè)人提供便捷的拒絕方式。也即，對(duì)于企業(yè)來(lái)說(shuō)，個(gè)性化推送的廣告商業(yè)模式之外，還需要提供非個(gè)性化和可以拒絕的選項(xiàng)。

此外，對(duì)于企業(yè)來(lái)說(shuō)，還需要注意通過(guò)自動(dòng)化決策方式作出對(duì)個(gè)人權(quán)益有重大影響的決定，個(gè)人有權(quán)要求個(gè)人信息處理者予以說(shuō)明，并有權(quán)拒絕個(gè)人信息處理者僅通過(guò)自動(dòng)化決策的方式作出決定。因此，企業(yè)應(yīng)注意區(qū)分有重大影響的決定情形，并給用戶拒絕的權(quán)利。

六、企業(yè)應(yīng)嚴(yán)格限制對(duì)敏感個(gè)人信息（包括未成年人信息）的處理

《個(gè)人信息保護(hù)法》第二十八條~第三十條對(duì)敏感個(gè)人信息的內(nèi)容進(jìn)行了介紹，企業(yè)應(yīng)注意對(duì)敏感個(gè)人信息的處理活動(dòng)要更加小心謹(jǐn)慎。這是因?yàn)?，敏感個(gè)人信息一旦泄露或者非法使用，容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財(cái)產(chǎn)安全受到危害。例如，生物識(shí)別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個(gè)人信息（第二十八條）。

因此，目前法律規(guī)定，只有在具有特定的目的和充分的必要性，并采取嚴(yán)格保護(hù)措施的情形下，個(gè)人信息處理者方可處理敏感個(gè)人信息。而且，處理敏感個(gè)人信息應(yīng)當(dāng)取得個(gè)人的單獨(dú)同意；法律、行政法規(guī)規(guī)定處理敏感個(gè)人信息應(yīng)當(dāng)取得書面同意的，從其規(guī)定（第二十九條）。此外，個(gè)人信息處理者處理敏感個(gè)人信息的，除一般的告知事項(xiàng)外，還應(yīng)當(dāng)向個(gè)人告知處理敏感個(gè)人信息的必要性以及對(duì)個(gè)人權(quán)益的影響，但依法可以不向個(gè)人告知的除外（第三十條）。

此外，對(duì)于處理不滿十四周歲未成年人個(gè)人信息（亦屬于敏感個(gè)人信息）的情形，企業(yè)應(yīng)當(dāng)取得未成年人的父母或者其他監(jiān)護(hù)人的同意，而且對(duì)于該類信息，企業(yè)還應(yīng)當(dāng)制定專門的個(gè)人信息處理規(guī)則（第三十一條）。

七、企業(yè)應(yīng)注意完善個(gè)人信息跨境提供規(guī)則

《個(gè)人信息保護(hù)法》第三章是有關(guān)“個(gè)人信息跨境提供的規(guī)則”的法律要求，可以稱為“中國(guó)版?zhèn)€人信息跨境流動(dòng)規(guī)則”。作為一般要求，個(gè)人信息處理者因業(yè)務(wù)等需要向境外提供個(gè)人信息時(shí)，應(yīng)當(dāng)具備下列條件之一：

（1）依法通過(guò)國(guó)家網(wǎng)信部門組織的安全評(píng)估；

（2）按照國(guó)家網(wǎng)信部門的規(guī)定經(jīng)專業(yè)機(jī)構(gòu)進(jìn)行個(gè)人信息保護(hù)認(rèn)證；

（3）按照國(guó)家網(wǎng)信部門制定的標(biāo)準(zhǔn)合同與境外接收方訂立合同，約定雙方的權(quán)利和義務(wù)；

（4）法律、行政法規(guī)或者國(guó)家網(wǎng)信部門規(guī)定的其他條件。

在向境外提供個(gè)人信息時(shí)，企業(yè)應(yīng)注意：

● 個(gè)人信息處理者應(yīng)當(dāng)采取必要措施，保障境外接收方處理個(gè)人信息的活動(dòng)達(dá)到本法規(guī)定的個(gè)人信息保護(hù)標(biāo)準(zhǔn)（第三十八條）；

● 個(gè)人信息處理者應(yīng)當(dāng)向個(gè)人告知境外接收方的名稱或者姓名、聯(lián)系方式、處理目的、處理方式、個(gè)人信息的種類以及個(gè)人向境外接收方行使本法規(guī)定權(quán)利的方式和程序等事項(xiàng)，并取得個(gè)人的單獨(dú)同意（第三十九條）；

● 個(gè)人信息處理者應(yīng)當(dāng)事前進(jìn)行個(gè)人信息保護(hù)影響評(píng)估，并對(duì)處理情況進(jìn)行記錄（第五十五條）。

此外，對(duì)于關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者（CIIO）和處理個(gè)人信息達(dá)到國(guó)家網(wǎng)信部門規(guī)定數(shù)量的個(gè)人信息處理者而言，應(yīng)當(dāng)將在中華人民共和國(guó)境內(nèi)收集和產(chǎn)生的個(gè)人信息存儲(chǔ)在境內(nèi)。確需向境外提供的，應(yīng)當(dāng)通過(guò)國(guó)家網(wǎng)信部門組織的安全評(píng)估；法律、行政法規(guī)和國(guó)家網(wǎng)信部門規(guī)定可以不進(jìn)行安全評(píng)估的，從其規(guī)定（第四十條）。

八、企業(yè)應(yīng)關(guān)注個(gè)人信息主體享有的十大權(quán)利

《個(gè)人信息保護(hù)法》第四章規(guī)定了“個(gè)人在個(gè)人信息處理活動(dòng)中的權(quán)利”，主要包括“享有知情權(quán)、決定權(quán)”（即知情權(quán)、決定權(quán)，第四十四條）、“有權(quán)限制或者拒絕他人對(duì)其個(gè)人信息進(jìn)行處理” （即限制權(quán)、拒絕權(quán)，第四十四條）、“有權(quán)向個(gè)人信息處理者查閱、復(fù)制其個(gè)人信息”（即查閱權(quán)、復(fù)制權(quán)，第四十五條）、 “個(gè)人信息處理者應(yīng)當(dāng)提供將個(gè)人信息轉(zhuǎn)移至其指定的個(gè)人信息處理者的途徑”（即可攜帶權(quán)，第四十五條）、“有權(quán)請(qǐng)求個(gè)人信息處理者更正、補(bǔ)充”（即更正權(quán)，第四十六條）、“個(gè)人有權(quán)請(qǐng)求個(gè)人信息處理者主動(dòng)刪除個(gè)人信息”（即刪除權(quán)，第四十七條）、自動(dòng)化決策相關(guān)權(quán)利（第二十四條）

此外，個(gè)人還有權(quán)要求個(gè)人信息處理者對(duì)其個(gè)人信息處理規(guī)則進(jìn)行解釋說(shuō)明（第四十八條）。自然人死亡的，其近親屬為了自身的合法、正當(dāng)利益，可以對(duì)死者的相關(guān)個(gè)人信息行使本章規(guī)定的查閱、復(fù)制、更正、刪除等權(quán)利（第四十九條）。對(duì)于個(gè)人信息處理者來(lái)說(shuō)，應(yīng)當(dāng)建立便捷的個(gè)人行使權(quán)利的申請(qǐng)受理和處理機(jī)制，拒絕個(gè)人行使權(quán)利的請(qǐng)求的，應(yīng)當(dāng)說(shuō)明理由（第五十條）。

九、企業(yè)應(yīng)承擔(dān)作為個(gè)人信息處理者的相應(yīng)義務(wù)

《個(gè)人信息保護(hù)法》第五章規(guī)定了“個(gè)人信息處理者的義務(wù)”，其中提到，作為個(gè)人信息處理者，企業(yè)應(yīng)當(dāng)：

● 根據(jù)個(gè)人信息的處理目的、處理方式、個(gè)人信息的種類以及對(duì)個(gè)人權(quán)益的影響、可能存在的安全風(fēng)險(xiǎn)等，采取措施（例如制定制度、分類管理、加密、去標(biāo)識(shí)化、制定并組織實(shí)施應(yīng)急預(yù)案等）確保個(gè)人信息處理活動(dòng)符合法律、行政法規(guī)的規(guī)定，并防止未經(jīng)授權(quán)的訪問(wèn)以及個(gè)人信息泄露、篡改、丟失（第五十一條）；

● 處理個(gè)人信息達(dá)到國(guó)家網(wǎng)信部門規(guī)定數(shù)量的個(gè)人信息處理者應(yīng)當(dāng)指定個(gè)人信息保護(hù)負(fù)責(zé)人，負(fù)責(zé)對(duì)個(gè)人信息處理活動(dòng)以及采取的保護(hù)措施等進(jìn)行監(jiān)督；公開(kāi)個(gè)人信息保護(hù)負(fù)責(zé)人的聯(lián)系方式，并將個(gè)人信息保護(hù)負(fù)責(zé)人的姓名、聯(lián)系方式等報(bào)送履行個(gè)人信息保護(hù)職責(zé)的部門（第五十二條）；

● 處理境內(nèi)個(gè)人信息的境外個(gè)人信息處理者，應(yīng)當(dāng)在中華人民共和國(guó)境內(nèi)設(shè)立專門機(jī)構(gòu)或者指定代表，負(fù)責(zé)處理個(gè)人信息保護(hù)相關(guān)事務(wù)，并將有關(guān)機(jī)構(gòu)的名稱或者代表的姓名、聯(lián)系方式等報(bào)送履行個(gè)人信息保護(hù)職責(zé)的部門（第五十三條）；

● 定期對(duì)其處理個(gè)人信息遵守法律、行政法規(guī)的情況進(jìn)行合規(guī)審計(jì)（第五十四條）；

● 對(duì)于處理敏感個(gè)人信息、利用個(gè)人信息進(jìn)行自動(dòng)化決策、向境外提供個(gè)人信息等情形，事前進(jìn)行個(gè)人信息保護(hù)影響評(píng)估，并對(duì)處理情況進(jìn)行記錄（至少保存三年，第五十五條）；

● 發(fā)生或者可能發(fā)生個(gè)人信息泄露、篡改、丟失的，個(gè)人信息處理者應(yīng)當(dāng)立即采取補(bǔ)救措施，并通知履行個(gè)人信息保護(hù)職責(zé)的部門和個(gè)人（第五十七條）；

● 提供重要互聯(lián)網(wǎng)平臺(tái)服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的個(gè)人信息處理者，應(yīng)當(dāng)成立主要由外部成員組成的獨(dú)立機(jī)構(gòu)對(duì)個(gè)人信息保護(hù)情況進(jìn)行監(jiān)督、制定有關(guān)個(gè)人信息保護(hù)的平臺(tái)規(guī)則、定期發(fā)布個(gè)人信息保護(hù)社會(huì)責(zé)任報(bào)告等（第五十八條）。

十、企業(yè)應(yīng)要規(guī)避侵犯?jìng)€(gè)人信息行為的法律責(zé)任

《個(gè)人信息保護(hù)法》第七章“法律責(zé)任”部分重點(diǎn)介紹了侵犯?jìng)€(gè)人信息行為的各種責(zé)任，代表了目前對(duì)此類行為的嚴(yán)監(jiān)管的風(fēng)向，作為企業(yè)以及企業(yè)的管理者而言，應(yīng)特別注意以下法律責(zé)任：

● 違反本法規(guī)定處理個(gè)人信息，或者處理個(gè)人信息未履行本法規(guī)定的個(gè)人信息保護(hù)義務(wù)的，由履行個(gè)人信息保護(hù)職責(zé)的部門責(zé)令改正，給予警告，沒(méi)收違法所得，對(duì)違法處理個(gè)人信息的應(yīng)用程序，責(zé)令暫停或者終止提供服務(wù)；拒不改正的，并處一百萬(wàn)元以下罰款；對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處一萬(wàn)元以上十萬(wàn)元以下罰款（第六十六條）；

● 情節(jié)嚴(yán)重的，由省級(jí)以上履行個(gè)人信息保護(hù)職責(zé)的部門責(zé)令改正，沒(méi)收違法所得，并處五千萬(wàn)元以下或者上一年度營(yíng)業(yè)額百分之五以下罰款，并可以責(zé)令暫停相關(guān)業(yè)務(wù)或者停業(yè)整頓、通報(bào)有關(guān)主管部門吊銷相關(guān)業(yè)務(wù)許可或者吊銷營(yíng)業(yè)執(zhí)照；對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處十萬(wàn)元以上一百萬(wàn)元以下罰款，并可以決定禁止其在一定期限內(nèi)擔(dān)任相關(guān)企業(yè)的董事、監(jiān)事、高級(jí)管理人員和個(gè)人信息保護(hù)負(fù)責(zé)人（第六十七條）；

● 處理個(gè)人信息侵害個(gè)人信息權(quán)益造成損害，個(gè)人信息處理者不能證明自己沒(méi)有過(guò)錯(cuò)的，應(yīng)當(dāng)承擔(dān)損害賠償?shù)惹謾?quán)責(zé)任，該損害賠償責(zé)任按照個(gè)人因此受到的損失或者個(gè)人信息處理者因此獲得的利益確定；個(gè)人因此受到的損失和個(gè)人信息處理者因此獲得的利益難以確定的，根據(jù)實(shí)際情況確定賠償數(shù)額（第六十九條）；

● 違反本法規(guī)定，構(gòu)成違反治安管理行為的，依法給予治安管理處罰；構(gòu)成犯罪的，依法追究刑事責(zé)任（第七十一條）。

由此可見(jiàn)，在法律責(zé)任方面，《個(gè)人信息保護(hù)法》從行政處罰、民事賠償、刑事責(zé)任等多個(gè)維度都予以了規(guī)制。特別地，在行政處罰方面，不僅可以處罰企業(yè)本身（最高至上一年度營(yíng)業(yè)額百分之五），還可以對(duì)直接負(fù)責(zé)的主管人員和其他責(zé)任人員處以近百萬(wàn)的罰款，這無(wú)疑使得企業(yè)在個(gè)人信息保護(hù)方面的合規(guī)需求更為迫切。

此外，對(duì)于個(gè)人信息處理者違反本法規(guī)定處理個(gè)人信息，侵害眾多個(gè)人的權(quán)益的，人民檢察院、法律規(guī)定的消費(fèi)者組織和由國(guó)家網(wǎng)信部門確定的組織可以依法向人民法院提起訴訟（第七十條），這種“公益”訴訟也使得監(jiān)管的風(fēng)險(xiǎn)來(lái)自各個(gè)方向，對(duì)企業(yè)提出了更高的潛在合規(guī)要求。

總之，《個(gè)人信息保護(hù)法》對(duì)個(gè)人信息保護(hù)提出了更高的要求，作為企業(yè)來(lái)說(shuō)，應(yīng)當(dāng)關(guān)注其對(duì)企業(yè)合規(guī)工作所帶來(lái)的影響，從而有效規(guī)避風(fēng)險(xiǎn)，保障企業(yè)的正常經(jīng)營(yíng)和持續(xù)發(fā)展。

特別鳴謝：北京高文律師事務(wù)所

潘聰律師