个人信息保护法解读，企业该如何接招？

《个人信息保护法(草案)》发布，该法以保护个人信息权益，规范个人信息处理活动，保障个人信息依法有序自由流动，促进个人信息合理使用为立法宗旨，规定了个人、企业、国家机关多主体对个人信息保护的权利与义务。

个人信息保护法(草案)内容公布

那么该法会对企业有何影响?企业该怎么开展数据合规工作?本文将对以上问题进行阐述。

1. 个人信息保护法的适用于全行业

草案规定个人信息处理者对于个人信息使用的仅适用于境内，对于跨境处理个人信息者需要设立专门机构或者制定代表。明确了个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，对于个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等活动。组织、个人在中华人民共和国境内处理自然人个人信息活动，对于跨境处理个人信息者，应在境内设立专门机构或者制定代表。必要的情况下域外适用效力，以充分保护我国境内个人的权益。

具体参照：第三条、第四条、第五十二条、第六十八条

2. 聚焦了个人信息的使用场景

草案规定了个人信息处理者在大数据分析、数据共享分发、数据跨境等具体场景下的相关规定。在利用个人信息进行自动化决策时，个人认为自动化决策对其权益造成重大影响的，有权要求个人信息处理者予以说明，并有权拒绝。利用自动化决策进行商业营销、信息推送时，应当提供不针对个人特征的选项。

对于向境外提供个人信息的，至少需具备网信部门组织的安全评估、网信部门规定的经专业机构进行个人信息的保护认证、与境外接收方订立合同虚达到本法律法规规定的个人信息保护标准及法律法规规定的其他标准其中之一方可进行。

草案规定在个人信息共享分发、境外传输活动前应进行风险评估，包括：目的、处理方式、影响及风险程度、保护措施、风险程度等，并将评估报告保留至少三年。

具体参照：第二十五条，第二十六条，第三十八条，第五十四条

3. 增强了个人信息的处理要求

草案明确了信息处理者在处理个人信息时需要取得个人同意，违者从严处罚。并对敏感个人信息进行了定义，具体包括：种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等。强调只有特定的目的和充分的必要性，方可处理敏感个人信息，且要单独取得个人同意或书面同意，并告知处理敏感个人信息的必要性和对个人的影响。对于违反个人信息使用的，根据相关法律、行政法规，从严处理。

具体参照：第二十九条——第三十二条

4. 明确了个人信息的个人权力及处理者义务

草案与民法典第1034-1039条相衔接，对个人信息处理中的个人权利和信息处理者的义务进行了具体规定。个人权利具体包括：知情权、决定权、查询权、更正权、删除权、解释说明权等。对于个人信息处理者拒绝个人行使权利的请求，应说明理由。

对于个人信息处理者，有义务采取必要措施确保个人信息处理活动符合法律、法规的规定。包括管理制度建设、个人信息分类分级管理、加密去标识化措施及其他安全技术措施。并制定个人信息保护负责人对其监督。境外的个人信息处理者则需要在境内设立专门机构或者指定代表。

个人信息保护者需定期对个人信息进行审计、风险评估，发现有个人信息泄露的，应当立即采取补救措施，通知履行个人信息保护的部门和个人。

具体参照：第四十四条——第五十五条

5. 加大对违法行为的处罚力度

草案对违法行为加大了处罚力度，违反个人信息保护法最高可处五千万元或年度营业额百分之五罚款。对于违反《个人信息保护法》处理个人信息或者没有采取必要保护措施的，没收违法所得。拒不改正的，处100万以下罚款，直接负责的主管人员和其他直接负责责任人员，处一万以上十万以下罚款。情节严重的，由履行个人信息保护职责的部门责令改正，没收违法所得，并处五千万以下或者上一年度营业额百分之五以下罚款，并可以责令暂停业务、停业整顿、吊销业务许可证或者吊销营业执照。

具体参照：第六十二条

从GDPR看个人信息保护法

GDPR被视为当前最为全面、严格的数据保护法案。通过比较我国《个人信息保护法(草案)》与GDPR的异同，可以更好地帮助企业应对数据全球流动的挑战，并让企业从其他国家的合规实践中为在中国部署数据合规措施提供