《個人信息保護法》已于2021年11月1日正式實施，這是我國第一部專門針對個人信息保護的法律，其與《網絡安全法》、《數據安全法》等法律一起構成規范性、系統性、完整性的保護體系，共同為公民個人信息權益保護提供切實有力的法律保障。

個保法為個人信息的處理提供了明確的法律依據，為個人維護正當隱私權益提供充分保障，更為信息處理者如何運營掌握的個人信息數據，提供了操作指引以及法律紅線。

本文將從“告知-同意”原則、敏感信息的特別規定、數據治理中的合規要求、從業人員可能涉及的行政和刑事責任等四個方面解讀個人信息保護法的主要內容。

01 告知-同意原則

“告知-同意”原則是個人信息保護法最核心的法律原則之一，法條中明確了告知需要涵蓋的幾方面內容，包括告知時間、告知形式要求、告知內容要求以及告知事項。一種較為常見的告知書是我們日常使用APP時需勾選的知情同意書或者授權書，通常協議文本內會涵蓋非常多的內容事項，如打車軟件的定位授權等。此外，需要提示注意的是，相關技術規范中并不將此協議作為用戶與信息處理者之間的合同約定來對待，換言之，無法依據合同違約責任來主張維權。

法條第13條用列舉的方式規定了7項可以處理個人信息的情形，包括：

1.取得個人的同意；2.為訂立、履行合同所必需，或者實施人力資源管理所必需；3.為履行法定職責或者法定義務所必需；4.為應對突發公共衛生事件，或者緊急情況下為保護自然人的生命健康和財產安全所必需；5.為實施新聞報道、輿論監督等行為處理個人信息；6.合理的范圍內處理已經公開的個人信息；7.法律、行政法規規定的其他情形。

除第1條為同意外，其余6條為例外事項，即不需要取得個人同意。以下通過兩個場景簡要示例：

場景一：銀行的反洗錢義務

履行法律規定的反洗錢義務、執行關聯方/關系人管理、履行信息披露義務是或否不需要個人同意？這里可能存在兩種情況，一是銀行配合偵查，如涉及電信詐騙；二是銀行主動調查，如涉訴證據相關。前一種可落入“法律、行政法規規定不需要告知”的例外情形，后一種則無法免除告知義務。

場景二：會議錄音錄像

銀行日常經營的辦公場所具有半公開的特性，特別是營業網點設置監控錄像基于公共安全的，無需取得個人同意，但應當設置顯著標識，并且該信息只能用于維護公共安全目的。除此以外，如不存在其他例外情形，則需要取得個人同意，同時錄音信息含個人聲紋信息，屬于敏感個人信息，還需要取得相關個人的單獨同意，會議場景如各種周、月例會等。

02 敏感信息的特別規定

《個人信息保護法》把敏感個人信息作為重要的一個章節專門列出，強調了敏感個人信息的重要性，通過概括加列舉的方式說明敏感信息的內容，并強調處理敏感信息需取得單獨同意。

參考《信息安全技術 個人信息安全規范》、《個人金融信息保護技術規范》這兩項業務標準，對于敏感信息的范圍規定的非常詳盡。需要說明的是，技術標準與法律最重要的差別之一是是否有強制效力，技術標準是無強制效力的。

03 數據治理中的合規要求

《個人信息保護法》對于信息處理者提出了具體的工作要求，包括制定管理制度和規程；對個人信息實行分類管理；采取加密、去標識化等、技術措施；合理確定操作權限，并定期進行教育和培訓；制定應急預案；其他措施等六項。

除在組織內的工作要求外，法律還要求處理特定事項前需進行評估，包括處理敏感個人信息、自動化決策、委托處理、向境外提供個人信息、其他對個人權益有重大影響的個人信息處理活動等。

04 從業人員可能涉及的行政、刑事責任

《個人信息保護法》規定的處罰標準為1-10萬罰款，情節嚴重的為10-100萬罰款。近兩年以來，央行針對個人信息領域的違法行為已經出具了多份處罰，包含單位及個人。

此外，《刑法》及相關司法解釋同樣規定了情節嚴重的標準，其中特別規定，如果在提供服務過程中違規提供個人信息，相關數量減半計算。

法條第七十一條規定：違反本法規定，構成違反治安管理行為的，依法給予治安管理處罰；構成犯罪的，依法追究刑事責任。在《刑法修正案（九）》中將“出售、非法提供公民個人信息罪”和“非法獲取公民個人信息罪”整合為了“侵犯公民個人信息罪”。

其中，兩高司法解釋對“情節嚴重”進行了界定：

《個人信息保護法》作為個人信息保護領域的基礎性專門法律，其與《民法典》、《數據安全法》、《消費者權益保護法》等法律共同編織成一張個人信息保護網，構筑了強有力的法律威懾，有效遏制違法違規侵害個人信息權益的行為，金融從業人員更要時刻敲響警鐘，規范自身行為，合法合規開展業務活動。

我們的使命：普及數據管理知識、發展數據管理工程師行業、改變中國企業數據管理現狀、提高企業數據資產管理能力、推動企業走進大數據時代。

我們的愿景：凝聚行業力量、打造數據工程師全鏈條平臺，培養不同層級數據工程師人才、構建數據工程師生態圈。

我們的價值觀：分享數據管理知識，持續提升數據管理和運營能力。