《个人信息保护法》:中国数据合规要点

FreeGuideOnline 最新 2026-06-19

《个人信息保护法》:中国数据合规要点

本教程专为希望系统掌握中国《个人信息保护法》(PIPL)核心合规框架的初学者设计。全文无废话,均为可直接落地的关键知识点。

一、为什么这部法律与你息息相关

《个人信息保护法》于2021年11月1日正式施行,是中国第一部专门针对个人信息保护的综合性法律。它不只约束互联网大厂,而是适用于所有在中国境内处理自然人个人信息的组织和个人。无论你是一家咖啡馆记录会员电话,还是一家跨国公司分析中国用户行为,一旦处理行为涉及中国境内的个人信息,就必须遵守。违法后果极其严厉——最高可处五千万元或上一年度营业额百分之五的罚款,并可能承担刑事责任。

核心宗旨:个人信息处理者必须遵循“告知-同意”为核心的规则体系,确保处理的“合法、正当、必要与诚信”。

二、法律保护的“个人信息”到底是什么

准确界定“个人信息”和“敏感个人信息”是合规的起点。

2.1 个人信息的定义

个人信息是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。典型示例:

  • 基本身份信息:姓名、出生日期、身份证号、住址。
  • 通信信息:手机号、电子邮箱。
  • 生物识别信息:人脸、指纹、声纹。
  • 网络身份标识:IP地址、Cookie、设备ID。
  • 行踪轨迹、消费记录、健康生理信息等。

只要某个信息能单独或结合其他信息识别到特定个人,就属于个人信息。

2.2 敏感个人信息:更严格的保护等级

敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息。包括:

  • 生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息。
  • 不满十四周岁未成年人的个人信息

处理敏感个人信息必须具备特定的目的和充分的必要性,并采取更严格的保护措施。核心要求是:必须取得个人的单独同意(不可与一般同意捆绑),并告知处理敏感个人信息的必要性及对个人的影响。

三、处理个人信息的七大必备法律基础

不能随意处理个人信息,必须至少符合下列一项法律规定,否则即为违法:

  1. 取得个人的同意:最普遍的基础。同意必须由个人在充分知情的前提下自愿、明确作出。
  2. 为订立、履行个人作为一方当事人的合同所必需:例如,网购时必须收集收货地址。
  3. 为履行法定职责或者法定义务所必需:如雇主为员工代扣代缴个税。
  4. 为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需:如突发急救时调取患者病历。
  5. 为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息
  6. 依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息:但个人明确拒绝的除外,且对个人权益有重大影响的仍需取得同意。
  7. 法律、行政法规规定的其他情形

对于除同意外的其它基础,处理者需能向监管机构自证“必要性”,避免泛化解释。

四、同意机制的核心操作要点

同意不是一走了之的格式条款。法律构建了三层同意结构:

4.1 一般同意

形式灵活,可以是主动勾选、点击等积极行为。沉默、预选勾选或不作为不构成有效同意。隐私政策必须清晰易懂,单独显著展示关键条款。

4.2 单独同意

在五种高风险场景下,必须让用户以独立动作明确表示意愿,不能混在一般用户协议中:

  • 向第三方提供个人信息。
  • 公开个人信息。
  • 处理敏感个人信息。
  • 在公共场所安装图像采集、个人身份识别设备(维护公共安全除外),用于其他目的。
  • 向境外提供个人信息。

实践上,通常采用弹窗单独确认、独立的同意按钮或书面授权等形式。

4.3 书面同意

法律、行政法规规定必须取得书面同意的,从其规定。例如,某些金融征信查询。

关键规定:个人信息处理者必须提供便捷的撤回同意的方式,撤回同意后应停止处理,且撤回前基于同意而进行的处理效力不受影响。

五、必须履行的核心合规义务清单

合规不仅是取得同意,还需要建立一整套内部治理与外部告知体系。

5.1 充分告知

处理前必须向个人告知:处理者的名称和联系方式、处理目的与方式、处理的个人信息种类和保存期限、个人行使权利的方式和程序等。告知必须真实、准确、完整,使用通俗易懂的语言。

5.2 最小必要原则

收集个人信息应当限于实现处理目的的最小范围,不得过度收集。不能因用户拒绝提供非必要信息而拒绝服务。

5.3 数据保护影响评估

以下场景必须事前进行个人信息保护影响评估,并保留评估报告至少三年:

  • 处理敏感个人信息。
  • 利用个人信息进行自动化决策(如用户画像、算法推荐)。
  • 委托处理、向第三方提供、公开个人信息。
  • 向境外提供个人信息。
  • 其他对个人权益有重大影响的处理活动。

评估内容应包括:处理目的、方式的合法正当必要性;对个人权益的影响及风险;所采取的保护措施是否与风险程度相适应。

5.4 安全保障义务

应采取加密、去标识化、访问控制、制定内部管理制度和安全事件应急预案等技术和管理措施,防止信息泄露、篡改、丢失。发生泄露事件时,必须立即采取补救措施,并通知履行个人信息保护职责的部门和个人。

5.5 指定专职人员与定期审计

处理个人信息达到一定数量(如处理超过100万人个人信息或10万人敏感个人信息)的处理者,应当指定个人信息保护负责人,公开联系方式,并定期对其处理活动进行合规审计。

六、向第三方提供与委托处理的红线

合作共享数据时,必须厘清以下关系:

  • 向其他个人信息处理者提供:必须取得个人的单独同意,并告知接收方身份、联系方式、处理目的和方式、个人信息种类。接收方应在上述目的范围内处理,若变更目的需重新取得同意。
  • 委托处理:委托方与受托方必须签订合同,明确委托目的、期限、处理方式、信息种类和保护措施等。受托方不得转委托,委托处理结束后应返还或删除个人信息。委托关系不转移责任,委托方仍对个人负责。

七、个人享有的权利及如何响应

个人对其信息享有一系列权利,处理者必须建立便捷的申请受理和处理机制。

  • 查阅、复制权:可请求查阅或复制其个人信息,处理者应及时提供。
  • 更正、补充权:发现信息不准确或有遗漏的,有权要求更正补充。
  • 删除权:当处理目的已实现或无法实现、停止提供服务、个人撤回同意、处理违反法律等情形下,处理者应当主动删除;未删除的,个人有权要求删除。
  • 可携带权:个人请求将个人信息转移至其指定的处理者,符合网信部门规定条件的,处理者应当提供转移的途径。
  • 解释说明权:有权要求处理者对个人信息处理规则进行解释说明。
  • 死者近亲属权:自然人死亡后,其近亲属为了自身合法、正当利益,可以查阅、复制、更正、删除死者相关个人信息,除非死者生前另有安排。

处理者必须在收到个人请求后及时响应,且不得设置不合理障碍或收取费用(超出合理范围的可收取成本费)。

八、自动化决策与算法推荐合规

自动化决策是指通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等,并进行决策的活动。法律明确要求:

  • 必须保证决策的透明度,处理结果应公平、公正。
  • 不得对个人在交易价格等交易条件上实行不合理的差别待遇(大数据杀熟)。
  • 进行信息推送、商业营销时,必须提供不针对个人特征的选项,或者提供便捷的拒绝方式。
  • 做出对个人权益有重大影响的决定时,个人有权要求处理者予以说明,并有权拒绝仅通过自动化决策的方式作出决定。

九、个人信息跨境提供的规则

向中华人民共和国境外提供个人信息的,必须满足下列条件之一:

  • 通过国家网信部门组织的安全评估(关键信息基础设施运营者、处理大量个人信息者适用)。
  • 经专业机构进行个人信息保护认证。
  • 按照标准合同与境外接收方订立合同,约定双方权利义务。
  • 法律、行政法规或者国家网信部门规定的其他条件。

同时,必须取得个人的单独同意,并履行告知义务(告知境外接收方身份、联系方式、处理目的方式、个人信息种类以及个人向境外接收方行使权利的方式等)。

特殊要求:处理个人信息达到国家网信部门规定数量的处理者,应当将在境内收集和产生的个人信息存储在境内。确需向境外提供的,必须通过安全评估。

十、严厉的法律责任与个人行动建议

违法处理个人信息将面临多重后果:

  • 行政责任:警告、没收违法所得、暂停或终止服务、巨额罚款,直接负责人员罚款并可禁业。
  • 信用记录:行为记入信用档案并公示。
  • 民事责任:承担损害赔偿等侵权责任,适用过错推定原则(即处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任)。
  • 刑事责任:构成犯罪的,依法追究刑事责任。
  • 公益诉讼:人民检察院、消费者组织等可依法提起公益诉讼。

个人如何自我保护

  • 阅读隐私政策时重点看信息收集种类、用途、第三方共享情况、行使权利的路径。
  • 主动行使撤销同意、拒绝个性化推荐等权利。
  • 发现违法违规行为,向网信、市场监管等部门投诉举报。

总结:《个人信息保护法》将“告知-同意”和“必要原则”嵌入数据处理全生命周期。组织必须从制度、技术、人员三个维度构建合规体系,将个人信息保护从被动合规变为主动信任建设。立即对照清单,开展内部差距分析,是当下最紧迫的行动。