2021年8月20日，《中华人民共和国个人信息保护法》由中华人民共和国第十三届全国人民代表大会常务委员会第三十次会议审议通过，并将自2021年11月1日起正式施行。历经三次审议、两次征求意见，备受海内外瞩目的《个人信息保护法》终千呼万唤始公布。《个人信息保护法》共八章七十四条，集合众多专家智慧结晶，作为我国第一部专项针对个人信息的立法，展示了诸多制度亮点，具有重要的里程碑意义，也为企业数据合规提供了新规范。

星来律师特就《个人信息保护法》与企业合规相关的十大要点展开评议，聚焦告知同意实现路径与豁免、数据跨境传输、企业治理、权利义务、法律责任等关键条款，解构当前个人信息保护监管体系，以期为企业迎接“个保法”时代，开展/更新合规管理起参考之效。

*说明：本篇为上篇，特就前述一至五个要点进行评析。

一、明监管：中国对个人信息保护监管矩阵

国家层面-统筹管理：

地方层面-具体实施（以北京为例）：

二、知适用：境外适用效力的特殊规定

《个人信息保护法》在境内适用的基础上，还创设了“长臂管辖条款”，即境外适用效力条款：

（1）境内适用：在中华人民共和国境内处理自然人个人信息的活动，适用本法；

（2）境外适用：在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动，有下列情形之一的，也适用本法：

此外，根据第五十三条的规定，适用《个人信息保护法》的境外个人信息处理者，应当在中华人民共和国境内设立专门机构或者指定代表，负责处理个人信息保护相关事务，并将有关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门。

三、辨概念：“自然人”、“个人（敏感）信息”及“处理-删除”活动新含义

从上述法律适用规定来看，为准确理解“处理自然人个人信息”的活动，有以下三组概念需进行辨析：

四、新出路：处理活动的合法性基础

与过去《信息安全技术 个人信息安全规范》（GB/T 35273-2020）中将“收集个人信息时的授权同意”兼“征得授权同意的例外”模式作为个人信息处理的合法性基础不同，《个人信息保护法》与欧盟GDPR相似，直接将取得信息主体同意作为处理个人信息的合法性基础之一，与之并列的还有以下六种情形（换言之，即无需征得授权同意的情形）：

五、找方案：“告知同意”如何实现？

《个人信息保护法》就处理一般个人信息与敏感信息作出了不同的获取授权同意的要求，笔者梳理了相关的法律规定：

结合上述规定，就不同信息类型实现告知同意提供如下解读：

（一） 处理一般个人信息：

1、隐私政策编写要点

● 处理者基本情况，包括主体身份、联系方式；

● 区分基础业务功能与拓展业务功能，分列各个功能下处理个人信息拟实现的目的；

● 逐项就处理个人信息的目的分别说明基于何种目的拟收集何种信息、进行何种处理，涉及敏感信息的，需在隐私政策中做特别标识；

● 提供个人信息后可能存在的安全风险，及不提供个人信息可能产生的影响；

● 对外共享、转让、公开披露个人信息的目的、涉及的个人信息类型、接收个人信息的第三方类型，以及各自的安全和法律责任；

● 接入的SDK名称及功能；

● 数据存储方式、期限、涉及数据出境情况等个人信息处理规则；

● 处理者具备的数据安全能力，以及采取的个人信息保护措施，具备的相关合规管理资质；

● 个人信息主体权利响应机制的实现路径，和个人信息主体询问、投诉的渠道和机制，以及外部纠纷解决机构及联络方式。

2、隐私政策展示要点

● 在App首次运行或用户首次注册时，应当通过弹窗等明显方式提示户阅读隐私政策；

● 不得默认勾选、同意隐私政策；

● 隐私政策更新，应当提前以通知、公告、弹窗或者其他显著方式提示用户阅读并询问是否接受；

● 进入App/网站主界面后，用户只需进行最多不超过4次点击即可访问隐私政策。

3、获取用户授权同意要点

● 征得用户同意前（特别是未接受隐私政策前），不得开始收集个人信息或打开可收集个人信息的权限；

● 收集一般个人信息，如不需单独同意的，处理者可在首次收集个人信息前，向个人信息主体告知收集的信息类型及默认的权限，并允许用户在告知页面可进行权限开放更改，例如：不得核心业务功能与拓展业务功能捆绑获取用户同意，用户不同意收集非必要个人信息或打开非必要权限，不得因此拒绝提供核心业务功能；

● 用户重新作出授权权限设置的，不得擅自更改其设置的可收集个人信息权限状态；

● 实际收集的个人信息或打开的可收集个人信息权限，不得超出用户授权范围：

● 如利用用户个人信息和算法进行个性化展示，应当允许用户进行自主勾选，提供非定向推送信息的选项；

● 个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由，拒绝提供产品或者服务。如新增业务功能申请收集的个人信息超出用户原有同意范围，若用户不同意，不得拒绝提供原有业务功能，新增业务功能取代原有业务功能的除外；

● 个人信息的处理目的、方式和个人信息种类发生变更的，应当重新取得个人同意。

（二） 处理个人敏感信息：

在适用前述一般个人信息保护的基础上，特别注意以下内容：

1、单独同意获取要点

● 首次收集个人敏感信息时，应当在收集前通过“弹窗”等特别提示，再次告知用户的信息类型、目的（目的需具有充分必要性，建议引入个人信息保护影响评估）、对敏感信息的特殊保护方式（可写入隐私政策，在弹窗页面附隐私政策链接）并请求用户以勾选、点击同意等方式作出明确授权；

● 不得要求用户一次性同意打开多个可收集个人敏感信息的权限，应当以逐个点击或确认的方式，取得用户明示同意。

2、儿童（未满十四周岁）信息保护要点

● 制定《儿童隐私保护政策/声明》，落实《网络安全法》下的实名制义务，对用户年龄进行审核，如用户年龄经审核低于14周岁，建议处理者特别提示《儿童隐私保护政策/声明》，内容要点应囊括：

◎ 儿童特别说明：提示未满十四儿童需与监护人共同阅读隐私政策，征得监护人同意使用相关产品/服务；

◎ 儿童监护人特别说明：说明产品/服务的内容，儿童使用该产品/服务可能产生的帮助或不良影响，征得儿童监护人双重同意（同意儿童使用产品/服务、同意提供儿童个人信息）的必要性；

◎ 前述所列的隐私政策中将个人信息相关的内容特别调整为儿童个人信息的特殊保护方式及投诉、响应渠道；

◎ 隐私政策的内容应尽可能易于理解。

● 为确保儿童用户能读懂前述《儿童隐私保护政策/声明》中的“儿童特别提示”，进而作出接受儿童隐私政策的行为系有效行为，建议处理者在儿童用户勾选接受前设置验证步骤，例如勾选指定字符、对语句进行排列（例如打乱“已阅读隐私政策并征得监护人同意”语句，请用户依次点击字符重新排序）；

● 如确认系儿童用户使用后，应严格收集的个人信息的类型和使用期限，切实遵守“最小必要”原则；等。