数安商用密码

个保法实施后被问最多的8个问题:合规部门的实操答疑

个保法自 2021 年 11 月 1 日施行后,合规部门被问得最多的,往往不是宏大的条文,而是"到底什么算敏感信息""什么时候要单独同意""加密是不是必须的"这类实操问题。本文用一问一答的方式,把高频的 8 个问题讲清楚。本文为通俗解读,具体条文以官方发布的法律文本为准,重大合规决策请咨询专业法律意见。

1. 个保法什么时候施行?适用范围是什么?

《个人信息保护法》自 2021 年 11 月 1 日起施行。它适用于在中华人民共和国境内处理自然人个人信息的活动;在境外处理境内自然人个人信息,若以向境内提供产品或服务、分析评估境内自然人行为等为目的,也适用本法。

2. 什么是敏感个人信息?包括哪些?

敏感个人信息是一旦泄露或被非法使用,容易导致自然人人格尊严受到侵害或人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。处理敏感个人信息应具有特定目的和充分必要性,并采取严格保护措施。

3. 什么情况下需要取得个人的“单独同意”?

处理敏感个人信息、向第三方提供个人信息、公开个人信息、将公共场所采集的图像/身份识别信息用于公共安全以外目的、向境外提供个人信息等情形,通常需要取得个人的单独同意,而不能用一揽子概括授权代替。

4. 收集个人信息要遵守哪些基本原则?

应遵循合法、正当、必要和诚信原则,处理个人信息要有明确、合理的目的,并限于实现处理目的的最小范围,遵循公开透明原则,明示处理规则。不得过度收集、不得误导或胁迫。

5. 个人信息可以跨境传输吗?

可以,但需满足条件。向境外提供个人信息一般应通过国家网信部门组织的安全评估、专业机构的个人信息保护认证,或与境外接收方订立标准合同等路径之一,并履行告知和取得单独同意等义务。具体以现行规定为准。

6. 违反个保法会受到什么处罚?

情节严重的,可由主管部门责令改正、没收违法所得,并处最高五千万元或上一年度营业额百分之五以下罚款,可责令暂停或终止服务,并对直接负责的主管人员和其他直接责任人员处以罚款;还可能影响信用记录。

7. 企业需要指定个人信息保护负责人吗?

处理个人信息达到国家网信部门规定数量的个人信息处理者,应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督。境外处理者还应在境内设立专门机构或指定代表。

8. 个人信息加密是“必须”的吗?

个保法要求个人信息处理者采取加密、去标识化等技术措施以及相应的管理措施,确保个人信息处理活动符合法律规定并防止未经授权的访问。因此加密、去标识化是法律明确列举的安全技术手段,对敏感个人信息尤其应当落实。

💡
个保法、数据安全法、网络安全法常常叠加适用。把"最小必要收集 + 单独同意 + 加密去标识化 + 可审计"这几条做扎实,能同时覆盖三法的多数基础要求。

结论

个保法落地的关键,是把抽象条文翻译成产品和流程里的具体动作:哪些字段算敏感、同意怎么收、数据怎么加密、谁能访问、出境怎么走。需要我们结合你们的系统做一次个人信息处理合规梳理,可联系工程团队