（一）《個人信息保護法》十大變化亮點

《個人信息保護法》由八章七十四條組成，其內容涵蓋了個人信息處理、個人信息跨境傳輸、個人信息主體權利、個人信息處理者義務、監管機構個人信息保護職責及適用法律責任。《個人信息保護法》相較于《個人信息保護法（草案二次審議稿）》在個人信息處理規則、個人信息跨境傳輸、個人信息主體權利、個人信息處理者義務方面均有創新性變化。具體如下：

1、新增職場數據處理的合法依據

《個人信息保護法》第十三條中創新性提出“實施人力資源管理所必需”作為個人信息處理的合法依據之一。企業在個人信息保護中，出于人力資源管理目的而存在的雇主與雇員關系上固有的不平衡性，導致對于員工個人信息處理的同意無法享有充分自由權利，企業對員工個人信息的保護相較于對客戶個人信息的保護而言略顯滯后。

企業在使用“實施人力資源管理所必需”作為處理員工個人信息的合法性依據時，應僅限于按照依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理所必需的場景，審視職場數據處理的“必要性”，防止該合法依據淪為濫用員工數據的“擋箭牌”。同時也應遵循透明度原則，及時制定相關政策文件來保障員工合法權益。企業在實踐中可參考“【安永觀察】企業人力資源管理場景下的個人信息保護關注點”開展員工個人信息保護工作。

2、限制對已公開個人信息的處理

《個人信息保護法》第十三條、第二十七條對于已公開個人信息的處理范圍進行了細化與限定，目前的要求與《民法典》第一千零三十六條要求一致。個人信息處理者“可在合理范圍內”處理“個人自行公開或者其他已經合法公開的個人信息”，即要求處理者審核個人信息來源的合法性，明確個人信息處理的合理性，防止惡意泄露或惡意公開的個人信息被進一步處理。

另外，企業應保障個人的拒絕權，提供用戶拒絕的途徑，當個人明確拒絕處理其公開的個人信息時，應停止處理；當企業處理已公開的個人信息對個人權益有重大影響時，應依法取得個人同意。

3、限制公共場所采集個人圖像、身份識別信息

《個人信息保護法》第二十六條明確，出于維護公共安全目的，在公共場所安裝圖像采集、個人身份識別設備的，應顯著標識以進行告知；收集的個人圖像、身份識別信息不能用于除維護公共安全以外的目的，除非取得個人單獨的同意。

根據今年315晚會曝光的人臉識別亂象以及最新的公共場所人臉識別案件，企業收集人臉信息用于商業營銷目的時，僅在門店區域進行顯著標識已無法滿足收集的合法性，除非獲得個人的單獨同意。對企業來說合規的門檻已大大提升，企業應審慎開展人臉識別相關業務，具體可參照2021年8月1日正式施行的《最高人民法院關于審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規定》執行。

4、強調自動化決策的公平透明，避免算法歧視

《個人信息保護法》第二十四條細化了利用個人信息進行自動化決策的要求，明確企業應保證決策的透明度和結果的公平、公正性，不得利用算法實行價格歧視等差別性待遇。這一要求從立法層面有力回應了“大數據殺熟”的現象，表明了國家對個人權益的尊重和保障。

其次，通過自動化決策向個人推送消息、商業營銷時，企業應保障個人的選擇和拒絕權，即企業應同時提供非個性化推薦的內容（如提供關閉個性化推薦的功能）或者提供便捷的營銷信息退訂的渠道。

最后，若企業使用自動化決策作出對個人權益有重大影響的決定時，個人有權拒絕僅通過自動化決策作出的決定；當個人提出異議時，企業可采用人工介入的方式進行決定；對個人權益有重大影響的場景，可參考GDPR自動化決策相關指引說明，如信貸審批、工作錄用、大學錄取等場景。

5、擴充個人信息出境的合法依據，限制境外司法調取個人信息

《個人信息保護法》第三十八條拓展了個人信息出境的合法依據，“中華人民共和國締結或者參加的國際條約、協定”可作為個人信息出境的合法依據之一，但不能作為境外司法調取境內存儲的個人信息的豁免依據。《個人信息保護法》第四十一條明確了，境外司法調取境內存儲的個人信息應在獲得中華人民共和國主管機關批準后，處理者方能提供。該要求與《數據安全法》第三十六條關于數據出境的要求相呼應。這些變化一方面體現出國家對于數據經濟全球化趨勢的支持和重視，另一方面也體現了對國家安全、企業和個人信息主體合法權益的重視與保障。

6、完善個人信息主體的權利

《個人信息保護法》第四十五條新增了個人信息可攜帶權，它是個人信息查詢、復制權的重要補充。當個人提出此類請求時，若符合國家網信部門規定條件，個人信息處理者應提供個人信息轉移的途徑。GDPR、CCPA等國外隱私法中也規定了數據可攜帶權，使用戶能夠自我管理和重復使用個人信息，增強用戶對個人信息的控制權，促進數據流動，有助于防范企業數據壟斷、數據不正當競爭。已按照GDPR等法規要求建立個人信息主體權利響應的流程和機制的企業，可利用已有合規基礎落實個人權利保障工作。

7、強調對個人權益的影響

《個人信息保護法》第五十五條將個人信息處理者風險評估義務，更名為個人信息保護影響評估義務，借鑒了GDPR中DPIA數據保護影響評估和GB/T 35273-2020《個人信息安全規范》中個人信息安全影響評估的定義和要求。

同時，全文中多處將“對個人的影響”更改為“對個人權益的影響”。根據GB/T 39335-2020《個人信息安全影響評估指南》中的舉例，對個人權益的影響可從四個維度考慮 ：“限制個人自主決定權”、“引發差別性待遇”、“個人名譽受損或遭受精神壓力”、“人身財產受損”，可供企業參考借鑒。企業在實踐中不僅要保障個人信息的安全性，還應保障個人的合法權益。

8、完善個人信息安全事件的處理要求

《個人信息保護法》第五十七條修訂了個人信息安全事件處理的要求，明確了個人信息處理者在“發生或者可能發生”個人信息“泄露、篡改、丟失”時，應當立即采取補救措施，并通知履行個人信息保護職責的部門和個人。與《民法典》、《網絡安全法》、《消費者權益保護法》的要求一脈相承。企業在實踐中不僅要保護個人信息的保密性，還應保護個人信息的完整性和可用性，也就是傳統的安全CIA三屬性。對于風險隱患也應進行有效監控，做到事前、事中、事后的管控。

9、壓實“守門人”職責

《個人信息保護法》第五十八條完善了重要互聯網平臺方的義務，除成立獨立機構監督個人信息保護情況和發布社會責任報告外，平臺方還需制定平臺規則以明確產品或服務提供者處理個人信息的規范和保護個人信息的義務。該條要求加強了重要互聯網平臺的個人信息保護責任，通過平臺實現個人信息治理，助力個人信息保護相關法律義務履行的有效落地。平臺內產品或服務提供者可對照事先明確的規范和義務進行自查，減少錯誤成本，健全營商環境。與此同時，該要求有助于防范平臺濫用“守門人”職責，保障公平性。

10、明確受托人的協助義務

《個人信息保護法》第五十九條補充完善了受托人的義務，受托人除需采取必要措施保障個人信息安全外，還需協助個人信息處理者履行相關義務。具體如何協助處理者履行義務可參考國際個人信息管理體系標準ISO27701，標準中要求受托人向處理者提供適當的信息，以便處理者證明其履行了相關義務；協助處理者履行個人行權響應相關的義務，如協助處理者及時響應更正個人信息、刪除個人信息等請求。