作者：金茂律师事务所  万波 律师  王书玥 律师助理  吕卓然 实习生

《个人信息保护法》全篇共分为八个章节，对个人信息的定义、处理规则、跨境规则、处理者义务、部门职责及法律责任都有明确的规定。“二审稿”在“一审稿”的基础上增加了死者个人信息保护、超大型互联网平台的个人信息保护义务等重要规定；而《个人信息保护法》在语言表达上作出多处修改及完善外，如对不满十四周岁未成年人个人信息保护单独规定，对歧视性的禁止、限制或者其他类似措施采取对等措施等条款的修改表述等。《个人信息保护法》的出台，其最重要意义在于，对个人信息的侵犯有着明确的归责方式及相应惩罚，体现了我国对个人信息权益保护的坚定决心，侵犯“个人信息”的违法行为，情节严重的更面临的不仅仅是“最高5000万或5%营业额的罚款”的行政处罚，甚至还可能包括其他更为严苛的民事、刑事责任。

本文将从企业合规角度浅谈立法影响与合理化建议，仅供参考。

一、企业合规管理的概念

合规管理，是指以有效防控合规风险为目的，以企业和员工经营管理行为为对象，开展包括合规方略、合规目标、系统合规制度制定、合规风险识别、组织良好实践、合规审查、风险应对、责任追究、合规绩效评价、合规培训等有组织、有计划的管理活动。十余年来，我国行政监管部门针对重点行业、重要企业陆续出台了一系列合规政策或指引。例如，2006年10月，中国银监会发布了《商业银行合规风险管理指引》；2007年7月，中国证监会发布了《证券公司合规管理试行规定》；2007年9月，中国保监会发布了《保险公司合规管理指引》；2016年国资委指定了中国石油天然气集团有限公司、中国移动通信集团有限公司、招商局集团有限公司、中国东方电气集团有限公司、中国铁路工程集团有限公司等五家央企作为合规管理试点企业；2017年12月，国家质量监督检验检疫总局和国家标准化管理委员会联合发布《合规管理体系指南》；2018年11月，国资委发布《中央企业合规管理指引（试行）》；2018年12月，发改委等七部门联合发布《企业境外经营合规管理指引》。推动中央企业全面加强合规管理，加快提升依法合规经营管理水平，着力打造法治央企，保障企业持续健康发展。

二、《个人信息保护法》下企业法定义务解读及合规建议

个保法下“个人信息”的法定含义

《个保法》第四条对于“个人信息”的法律界定与GDPR的规定较为类似，倾向于较广泛定义，即“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息”。相对于《民法典》第一千零三十四条的“识别”要求，这一定义无疑扩大了个人信息的认定范围，即只需要具备相关性，而不再要求必须具备识别性。

合规建议：对于作为信息处理者的广大企业而言，为保险起见，原则上需要将与某一自然人相关的全部信息都纳入个人信息保护范畴，并基于这一逻辑与认知尽快制定、完善企业自身的个人信息保护合规制度和体系。

此外，企业还应当注意，切勿仅将“个人信息”限制在数字化记录载体范畴。根据《个保法》的规定，个人信息不仅包括电子化方式储存和记录的自然人有关信息，还应当包括通过纸质文本及其他物理方式记录的自然人有关信息，典型的例如企业纸质员工档案中记载的有关个人信息，此类个人信息也必须纳入保护范畴。

 遵循“告知－同意”为核心的个信处理规则

相关法条：

第十三条 符合下列情形之一的,个人信息处理者方可处理个人信息:

(一)取得个人的同意;

(二) 为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需；

(三)为履行法定职责或者法定义务所必需;

(四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;

(五)为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息;

(六) 依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息；

(七）法律、行政法规规定的其他情形。

依照本法其他有关规定，处理个人信息应当取得个人同意，但是有前款第二项至第七项规定情形的，不需取得个人同意。

第十四条 基于个人同意处理个人信息的，该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的，从其规定。

个人信息的处理目的、处理方式和处理的个人信息种类发生变更的，应当重新取得个人同意。

第十五条 基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。

个人撤回同意，不影响撤回前基于个人同意已进行的个人信息处理活动的效力。

第十七条 个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:

(一)个人信息处理者的身份和联系方式;

(二)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;

(三)个人行使本法规定权利的方式和程序;

(四)法律、行政法规规定应当告知的其他事项。

前款规定事项发生变更的,应当将变更部分告知个人。

个人信息处理者通过制定个人信息处理规则的方式告知第一款规定事项的,处理规则应当公开,并且便于查阅和保存。

“告知”和“同意”均为处理个人信息的核心原则。处理个人信息，应在事先充分告知的前提下取得个人同意，不得误导、欺诈、胁迫等；不得以个人不同意为由拒绝提供产品或者服务；信息处理者应当提供便捷的撤回同意的方式。综合《个人信息保护法》的相关条款内容，当个人信息处理存在以下情形的，需要取得个人单独同意：1）向第三方提供其处理的个人信息；2）公开其所处理的个人信息；3）在公共场所收集的个人图像和个人身份信息用于维护公共安全之外的目的；4）处理敏感个人信息；5）向境外提供个人信息。

与草案相比，正式稿在处理个人信息的合法理由中，额外增加了附条件的“实施人力资源管理所必须”作为处理个人信息的合法理由，这是立法时充分考虑了实践困难的明显体现。员工信息保护曾对个人信息保护带来挑战，因为用人单位处理员工个人信息时，因雇佣关系的天然失衡而难以取得员工“平等自愿”的同意，而基于《劳动合同》所获取的员工个人信息范围极其有限且使用范围狭窄。正式稿的这一增补对于企业而言提供了明确的适用准则，降低了员工个人信息处理风险的不确定性。

合规建议：在企业合规中，个人信息处理者应当以显著方式、清晰易懂的语言进行告知，如在用户首次使用App时用简洁的语言告知《隐私政策》主要条款，而在具体的《隐私政策》中则通过加粗、下划线、斜杠等形式清晰提示用户相关内容。如果告知事项发生变更的，应当将变更部分告知个人。如果通过制定个人信息处理规则的方式进行告知的，还应当公开处理规则，便于查阅和保存，如App用户进入主功能界面后，通过4次（含）以内的点击等操作，能够访问到隐私政策。

企业处理敏感个人信息应按照更为严格的规则限制

相关法条：

第二十九条　处理敏感个人信息应当取得个人的单独同意；法律、行政法规规定处理敏感个人信息应当取得书面同意的，从其规定。

第三十条　个人信息处理者处理敏感个人信息的，除本法第十七条第一款规定的事项外，还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响；依照本法规定可以不向个人告知的除外。

第三十一条　个人信息处理者处理不满十四周岁未成年人个人信息的，应当取得未成年人的父母或者其他监护人的同意。

与草案相比，不满十四周岁未成年人的个人信息被正式纳入敏感信息范围，从整体上给予更加严格的保护。敏感个人信息处理的严格限制体现在：1）处理前提是特定目的和充分的必要性，并已采取严格保护措施；2）基于个人“单独同意”（法律、行政法规规定处理敏感个人信息应当取得书面同意的，从其规定），没有其他合法处理理由；3）除第17条第1款规定的处理一般个人信息的法定告知事项外，还要告知个人处理敏感个人信息的必要性以及对个人权益的影响；4）处理不满十四周岁的未成年人个人信息的，应当取得其父母或者监护人同意，并应当制定专门的个人信息处理规则。

合规建议：针对敏感个人信息，企业在实务中需从以下四点重点把握处理规则：1）个人信息处理者应在自身的业务范围内确定用户敏感个人信息处理的必要性；2）在申请收集用户的个人敏感信息时需同步告知用户其特定目的，且该目的须明确、容易理解；3）根据《网络交易监督管理办法》第十三条第二款规定，“网络交易经营者收集、使用个人生物特征、医疗健康、金融账户、个人行踪等敏感信息的，应当逐项取得消费者同意。”可见，对敏感个人信息的处理有别于一般信息，“单独同意”需要逐项授权；4）在《隐私政策》等面对用户的协议中针对不满十四周岁的未成年人制定专门的个人信息处理规则；企业平台应设置未成年人模式。

企业自动化决策需精准营销

相关法条：

第二十四条 个人信息处理者利用个人信息进行自动化决策，应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇。通过自动化决策方式向个人进行信息推送、商业营销，应当同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式。

通过自动化决策方式作出对个人权益有重大影响的决定，个人有权要求个人信息处理者予以说明，并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。

随着互联网和数据分析技术的飞速发展和广泛运用，企业实现了商业模式的完全重构，例如企业利用所掌握的用户信息绘制用户画像以实现精准营销，但随之而来的大数据杀熟、区别定价以及广告骚扰等负面问题成为企业商业模式合规路上的拦路虎。与草案相比，本条明确了个人信息处理者应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇，所规制的就是算法推荐、大数据杀熟等情形，其与欧盟GDPR中的第二十二条相类似。此外，我国《个人信息安全规范》第7.5条（b）项和《电子商务法》第十八条也有类似规定。

合规建议：个人信息处理者需要同时设置不针对其个人特征的选项，以保证交易的公平性。建议操作如下：

1）企业进行自动化决策，通常应取得信息主体的有效同意作为信息处理的合法性依据；

2）在进行自动化决策前，应当针对自动化决策的透明性和公平性予以充分说明，且不得在价格等交易条件上实行不合理的差别对待；

3）自动化决策用于信息推送和商业营销时，提供不针对其个人特征的选项或提供便捷拒绝方式；

4）仅通过自动化决策作出对个人权益有重大影响的决定的，应保障个人释明权和拒绝权。

 遵循法定程序传输跨境个人信息

相关法条：

第三十八条 个人信息处理者因业务等需要，确需向中华人民共和国境外提供个人信息的，应当具备下列条件之一：

（一）依照本法第四十条的规定通过国家网信部门组织的安全评估；

（二）按照国家网信部门的规定经专业机构进行个人信息保护认证；

（三）按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务；

（四）法律、行政法规或者国家网信部门规定的其他条件。

中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的，可以按照其规定执行。

个人信息处理者应当采取必要措施，保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。

第三十九条 个人信息处理者向中华人民共和国境外提供个人信息的，应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项，并取得个人的单独同意。

第四十条 关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估；法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定。

《个人信息保护法》对个人信息跨境需要满足的必要前提进行了整合和梳理，并将向个人主体的告知和获取个人主体的单独同意作为另一必要前提条件。

值得一提的是，除必要前提外，《个人信息保护法》要求个人信息处理者采取必要措施保障境外接收方处理个人信息的活动达到《个人信息保护法》的保护标准，并承诺按照中国缔结或者参加的国际条约、协定对向中国境外提供个人信息的条件等有规定的，可以按照其规定执行。同时，根据既有的《网络安全法》及配套规则的立法逻辑，数据出境的前提条件是数据的本地化存储。针对数据本地化问题，《个人信息保护法》第40条规定关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者，应当将在境内收集和产生的个人信息存储在境内。特殊企业仅能适用“安全评估”要件办理信息出境。这里的特殊企业有两种，即关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者，其都应当坚持在个人信息存储在中国境内的原则。确需向境外提供时，仅能适用“通过国家网信部门组织的安全评估”一种要件，而不能适用第38条所列的个人信息保护认证或者签订标准合同要件。此规定打破了《网络安全法》所要求的关键信息基础设施运营者在境内运营中收集和产生的个人信息均应在境内存储的局限，体现了支持个人信息自由跨境流动的趋势。

合规建议：企业在实务中可从以下三点重点把握个人信息出境规则：

1）在《隐私政策》等面对用户的协议中，对个人信息存放地域（境内、境外哪个国家或地区）予以详细说明；

2）一般个人信息处理者确需向中华人民共和国境外提供个人信息时，可采用个人信息保护认证或者签订标准合同的方式；

3）被认定为关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者，确需向境外提供个人信息的，须向国家网信部门申请安全评估。

企业须依法履行个人信息的安全保障义务

相关法条：

第五十一条　个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等，采取下列措施确保个人信息处理活动符合法律、行政法规的规定，并防止未经授权的访问以及个人信息泄露、篡改、丢失：

（一）制定内部管理制度和操作规程；

（二）对个人信息实行分类管理；

（三）采取相应的加密、去标识化等安全技术措施；

（四）合理确定个人信息处理的操作权限，并定期对从业人员进行安全教育和培训；

（五）制定并组织实施个人信息安全事件应急预案；

（六）法律、行政法规规定的其他措施。

第五十二条　处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人，负责对个人信息处理活动以及采取的保护措施等进行监督。

个人信息处理者应当公开个人信息保护负责人的联系方式，并将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门。

第五十三条　本法第三条第二款规定的中华人民共和国境外的个人信息处理者，应当在中华人民共和国境内设立专门机构或者指定代表，负责处理个人信息保护相关事务，并将有关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门。

第五十四条　个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。

第五十五条　有下列情形之一的，个人信息处理者应当事前进行个人信息保护影响评估，并对处理情况进行记录：

（一）处理敏感个人信息；

（二）利用个人信息进行自动化决策；

（三）委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息；

（四）向境外提供个人信息；

（五）其他对个人权益有重大影响的个人信息处理活动。

第五十六条　个人信息保护影响评估应当包括下列内容：

（一）个人信息的处理目的、处理方式等是否合法、正当、必要；

（二）对个人权益的影响及安全风险；

（三）所采取的保护措施是否合法、有效并与风险程度相适应。

个人信息保护影响评估报告和处理情况记录应当至少保存三年。

《个人信息保护法》明确了个人信息处理者对个人信息的安全保障义务，融合了《网络安全法》第二十五条、第二十六条、第三十九条以及第四十条的相关义务，要求个人信息处理者建立完备的管理制度对个人信息进行分级分类管理，同时要求其运用相应技术手段，保证个人信息的安全、自主和可控。另外，还需要在日常工作中引入相关机制对相关从业人员进行必要培训，并制定和实施相应应急预案。（51条）个人信息处理者在日常运营中应全面采取第51条所列的各项措施，其中，安全技术措施列举了两种：加密，及时对数据进行密码变换以产生密文；去标志化，即保留个体颗粒度，采用假名、加密、哈希函数等替代对个人信息的标识。其他技术措施应当根据《个人信息安全规范》中有关个人信息的存储时间和方式等问题进行了技术上的规范调整。内部人员的管理，则主要包括确定操作权限和定期的教育培训。

《个人信息保护法》规定需指定个人信息保护负责人的情形为处理个人信息达到国家网信部门规定数量。（52条）需要注意的是，根据《数据安全管理办法》（征求意见稿）第十七条的规定，“网络运营者以经营为目的收集重要数据或个人敏感信息的，应当明确数据安全责任人。数据安全责任人由具有相关管理工作经历和数据安全专业知识的人员担任，参与有关数据活动的重要决策，直接向网络运营者的主要负责人报告工作。”

合规建议：如果个人信息处理者存在处置个人敏感信息和重要数据情形的，其应当明确具备一定的专业背景和特长的数据安全的负责人，对企业的个人信息保护进行监管和负责，这对企业在人力资源选拔层面提出了相当大的挑战和要求。关于“规定数量”具体为多少，目前可以参照《个人信息安全规范》第11.1条的规定（之一）“1) 主要业务涉及个人信息处理，且从业人员规模大于200人；2）处理超过100万人的个人信息，或预计在12个月内处理超过100万人的个人；3）处理超过10万人的个人敏感信息的。”第二，对于可能触发《个人信息保护法》适用的境外个人信息处理者应做好设立中国境内机构或指定代表的报送准备。对于适用本法的境外个人信息处理者，《个人信息保护法》要求设立境内专门机构或指定境内代表，并要求向履行个人信息保护职责的部门报送的义务，该项规定弥补了一直以来针对境外机构监管的敞口，与《个人信息保护法》的域外管辖扩展落地直接呼应，也是与欧盟GDPR等域外个人信息保护法的机制保持一致性的对等要求（53条）。

《个人信息保护法》明确了定期审查对个人信息处理者的监管将会是长期存在的现象（54条）。关于审计的具体要求，可参照《个人信息安全规范》第11.7条的规定，“对个人信息控制者的要求包括：（a）应对个人信息保护政策、相关规程和安全措施的有效性进行审计；（b）应建立自动化审计系统，监测记录个人信息处理活动；（c）审计过程形成的记录应能对安全事件的处置、应急响应和事后调查提供支撑；（d）应防止非授权访问、篡改或删除审计记录；（e）应及时处理审计过程中发现的个人信息违规使用、滥用等情况；（f）审计记录和留存时间应当符合法律法规的要求。”个人信息处理者应建立自动化审计系统，定期自查或聘请专业的律师事务所等第三方机构对其自身个人信息治理的合规性进行审查，并根据审查结果进行整改。

企业应履行事前风险评估义务

相关法条

第五十五条　有下列情形之一的，个人信息处理者应当事前进行个人信息保护影响评估，并对处理情况进行记录：

（一）处理敏感个人信息；

（二）利用个人信息进行自动化决策；

（三）委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息；

（四）向境外提供个人信息；

（五）其他对个人权益有重大影响的个人信息处理活动。

第五十六条　个人信息保护影响评估应当包括下列内容：

（一）个人信息的处理目的、处理方式等是否合法、正当、必要；
（二）对个人权益的影响及安全风险；

（三）所采取的保护措施是否合法、有效并与风险程度相适应。

个人信息保护影响评估报告和处理情况记录应当至少保存三年。

个保法中的“个人信息保护影响评估”应与GB/T 39335-2020《信息安全技术个人信息安全影响评估指南》中的“个人信息安全影响评估”（Personal Information Security Impact Assessment, “PISIA”或“PIA”）概念一致，又简称为“事前风险评估”，是指针对个人信息处理活动，检验其合法合规程度，判断其对个人信息主体合法权益造成损害的各种风险，以及评估用于保护个人信息主体的各项措施有效性的过程。欧盟《通用数据保护条例》（GDPR）下有一个类似的法律制度安排——个人数据保护影响评估（Data Protection Impact Assessment，“DPIA”）。根据GDPR第35条，在数据处理活动可能会给个人数据主体的权利和自由造成高风险时，数据控制者应当履行DPIA的法定义务。

合规建议：对于企业来说，合理评估并处置个人信息处理活动存在的安全风险，是遵循相关法规的合规要求，更是主动应对大数据时代信息风险的应有之义。对于评估责任主体，按照《个人信息安全影响评估指南》4.4条之规定，组织内的责任部门（通常为法务部门、合规部门或信息安全部门）可根据部门的具体能力配备情况,选择自行开展个人信息安全影响评估工作，或聘请外部独立第三方来承担具体的个人信息安全影响评估工作。评估不仅可以识别可能导致个人信息主体权益遭受损害的风险，还可以通过处理情况记录的方式，帮助企业在政府、相关机构或商业伙伴的调查、执法、合规性审计中，证明已经遵守了个人信息保护与数据安全等方面的合规要求。特别是在《个人信息保护法》第69条确定了企业责任“过错推定”的情况下，实施风险评估并留存相关记录，有助于证明企业不存在过错从而减轻或免除赔偿责任。

大型互联网平台须履行特别义务

相关法条：

第五十八条　提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，应当履行下列义务：

（一）按照国家规定建立健全个人信息保护合规制度体系，成立主要由外部成员组成的独立机构对个人信息保护情况进行监督；

（二）遵循公开、公平、公正的原则，制定平台规则，明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务；

（三）对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者，停止提供服务；

（四）定期发布个人信息保护社会责任报告，接受社会监督。

第六十二条 国家网信部门统筹协调有关部门依据本法推进下列个人信息保护工作：

（二）针对小型个人信息处理者、处理敏感个人信息以及人脸识别、人工智能等新技术、新应用，制定专门的个人信息保护规则、标准；

提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者对平台内的交易和个人信息处理活动具有强大的控制力和支配力，因此在个人信息保护方面应当承担更多的法律义务。根据第58条的规定，重要互联网平台通过采取平台自身引入由外部成员组成的独立机构对个人信息保护情况进行监督、制定有关处理和保护个人信息的平台规则、平台内产品或服务违规行为的管理，以及通过发布社会责任报告进行社会监督四种方式增强对“守门人”企业的监管。

合规建议：该条规定意在加强超大互联网平台的个人信息保护义务，亦符合目前互联网产业的法治现状。按照立法的监管思路，大型互联网平台应内外合力，严格履行以下义务：

1）平台内建立健全有关处理和保护个人信息的规则；

2）引入主要由外部成员组成的独立机构监督个人信息处理活动；

3）对平台内产品或服务违规行为的管理，以及通过发布社会责任报告接受社会监督。

而相较于重要互联网平台，小型个人信息处理者处理个人信息的活动通常不会造成系统性的风险，其在执行个人信息保护法也显的负担过重，因此《个人信息保护法》针对企业规模大小，区分设定企业处理个人信息的义务，第62条第（二）款规定，针对小型个人信息处理者、处理敏感个人信息以及人脸识别、人工智能等新技术、新应用，应制定专门的个人信息保护规则、标准。

三、《个人信息保护法》下合规义务对应的罚则

《个人信息保护法》第七章涉及企业未履行个人信息保护义务的法律责任，包含行政责任、民事责任和刑事责任三类，此外，还包含公益诉讼。

（一）行政处罚责任

1. 违反本法规定处理个人信息，或者处理个人信息未履行本法规定的个人信息保护义务的，由履行个人信息保护职责的部门责令改正，给予警告，没收违法所得；

2. 对违法处理个人信息的应用程序，责令暂停或者终止提供服务；

3. 拒不改正的，并处一百万元以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

4. 情节严重的：1）责令改正，没收违法所得；2）并处五千万元以下或者上一年度营业额百分之五以下罚款；3）责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照；4）对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款，并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。

5. 有本法规定的违法行为，记入信用档案，并予以公示；

6. 违反治安管理行为的，依法给予治安管理处罚。

（二）民事侵权损害赔偿责任

1. 处理个人信息侵害个人信息权益造成损害，个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任；

2. 损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定；

3. 获得的利益难以确定的，根据实际情况确定赔偿数额。

（三）刑事责任

构成犯罪的，依法追究刑事责任。

相比本领域的其他法律规定，《个人信息保护法》的违法处罚力度大幅提升，其中最显而易见的便是处罚金额的设置。此外，《个人信息保护法》罚则中另一突出规定是明确将个人信息保护作为检察院公益诉讼的案由。8月21日，最高人民检察院下发《关于贯彻执行个人信息保护法推进个人信息保护公益诉讼检察工作的通知》。《通知》明确，根据个人信息保护法有关规定，各级检察机关在履行公益诉讼检察职责时应当突出重点、从严把握以下方面：生物识别、宗教信仰、特殊身份、医疗健康、金融账号、行踪轨迹等敏感个人信息应当严格保护；儿童、妇女、残疾人、老年人、军人等特殊群体的个人信息需要特别保护；教育、医疗、就业、养老、消费等重点领域处理的个人信息，以及处理100万人以上的大规模个人信息应当重点保护；对因时间、空间等联结形成的特定对象的个人信息加强精准保护。上述规定进一步明确检察机关在侦办个人信息保护公益诉讼案件时可以借助公安、工信等部门的技术手段，这极大地增加了企业的法律风险，有可能因公益诉讼上升至刑事案件，因此值得相关企业高度重视。

四、结语

《个人信息保护法》在借鉴国际成熟的保护原则和立法经验基础上，结合我国国情，将之前相关法律、法规、标准中的实施经验和成熟措施上升为法律规范。从其影响范围来看，一切涉及到个人信息的采集、存储、使用、加工、传输、提供、公开等活动的企业都会受到本法的影响，与个人信息处理关系越密切的企业受到的影响越大。因此，在个人信息保护法正式生效前，相关企业应提前开展合规性审查，包括梳理、识别企业中涉及个人信息处理的各类业务类型；针对涉及个人信息处理的业务类型，围绕数据全生命周期的各个环节进行排查，针对合规审查中发现的问题，相关企业应及时制定相应的整改措施，并按照下个月即将生效的《数据安全法》和刚刚通过的《个人信息保护法》的要求，加快数据安全体系建设，提高企业的数据管理能力。

附件：十国/地区个人信息保护法合规适用范围与域外效力比对