近日，十三届全国人大常委会第三十次会议表决通过了《个人信息保护法》，该法自2021年11月1日起施行。这是我国首次以单独法律的形式规定了对公民个人信息内容的保护。

一、出台《个人信息保护法》的必要性

1.是对《民法典》内容的一种延伸扩展。《民法典》在第四编人格权中第六章就规定了隐私权和个人信息保护相关的内容，一是对隐私权的定义，侵害隐私权的行为要素做了规范，二是个人信息作为隐私权的一个更具象的内容，该章节中重点对“个人信息”进行了规范，要求在处理个人信息的时候应当遵循合法、正当、必要原则，不得过度处理并符合一定要求，特别强调了信息处理者不得泄露或者篡改其收集、存储的个人信息。除此之外，国家机关、承担行政职能的法定机构及其工作人员在履行职责过程中对知悉的自然人隐私或者个人信息，应当予以保密，不得泄露或者向他人非法提供。

2.是现实必要性。随着如今互联网的普及发展，我们的任何个人信息都能够被大数据收集整合测写，能够精确地判断识别一个人，引发数据歧视。若个人信息没有相关规章制度加以保护，那么相当于任何人都曝光在互联网中无处遁形，有时候出于对个人信息所体现出来的财产属性的追逐，如：大数据“杀熟”、贩卖个人信息等，所有人都随时可能有隐私泄露甚至个人生活被扰乱的可能性，因此《个人信息保护法》的出台及其有必要性。

二、《个人信息保护法》的主要内容解读

1.在《民法典》基础上，《个人信息保护法》做了更加具体的规定与区分。第四条明确了个人信息包括以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，这意味着绝大多数与自然人相关的信息都可以纳入保护范围，体现了个人信息保护法广泛的保护范围。此外，明确将匿名化处理后的信息排除在外，这表明在大力保护个人信息权益的同时，也希望个人信息处理者能够采用匿名化等技术，以保障正常的信息处理活动。信息的处理中明确指出处理个人信息应该合法、正当、必要；第六条明确指出处理个人信息应该具有合理的目的，应该与处理的目的直接相关，应该对个人的权益影响最小，任何组织、个人都不得非法买卖、提供或者公开他人个人信息；不得从事危害国家安全、公共利益的个人信息处理活动。

2.《个人信息保护法》制定了个人信息处理的规则。法条第十三条明确了在处理个人信息前要保证个人的知情权，个人信息处理者不得以个人不同意或者撤回同意为由拒绝提供产品或者服务，处理个人信息属于提供产品或者服务所必需的除外。其中，还规定了“按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”的条文，为企业需要处理员工的个人信息的情形提供了法律依据。

3.《个人信息保护法》区分了敏感个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。将不满十四周岁的未成年人的个人信息纳入敏感个人信息范畴，加强了对未成年人个人信息保护的力度。并且在处理敏感个人信息的时候要求更高，需要个人的单独同意，还需要提前告知必要性和影响力。

4.《个人信息保护法》规定了个人信息跨境提供的合法性基础，包括通过国家网信部门组织的安全评估、按照国家网信部门的规定经专业机构进行个人信息保护认证、按照国家网信部门制定的标准合同与境外接收方订立合同并约定双方的权利和义务等，并且规定了中华人民共和国缔结或者参加的国际条约、协定也可以作为合法基础。

5.《个人信息保护法》规定了履行个人信息保护职责部门的职责。国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。对于个人信息处理活动有任何疑问的任何组织、个人都有权向履行个人信息保护职责的部门进行投诉、举报。收到投诉、举报的部门应当依法及时处理，并将处理结果告知投诉、举报人。

6.规定了个人及个人信息处理者对个人信息的权利义务，其中对重要的一点是个人信息的可携带性。个人请求将个人信息转移至其指定的个人信息处理者，符合国家网信部门规定条件的，个人信息处理者应当提供转移的途径。

三、《个人信息保护法》对企业的启示

1. 《个人信息保护法》第十三条中以“按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”为企业需要处理员工的个人信息的情形提供了法律依据。因为劳动关系中从属性的存在，员工的“同意”往往难以被认定为是自由做出，使得企业处理员工个人信息困难重重，以“按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”作为合法基础为企业处理信息预留空间的同时又有着较强的限定，可以避免企业对正当利益合法基础的滥用，也体现了个人信息保护法严格的规制目标。

2.切实履行告知与说明义务。《个人信息保护法》第十七条规定个人信息处理者在处理个人信息前，应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知。因此企业须保证其开展自动化决策的透明度和结果的公平、公正，不得借此在交易价格等交易条件上实行不合理的差别待遇。企业应向客户明确其通过自动化决策将要实现的目的，如向用户开展信息推送、商业营销等活动，应在用户知情并同意的基础上进行个人信息处理，并为用户提供拒绝的方式。

3.由于该法对敏感个人信息的保护要求更高，法律责任更重。因此企业更应谨慎处理敏感个人信息, 避免承担更加严重的违法责任。企业内部应对涉及的个人信息实行分级分类管理，将个人信息区分为一般个人信息和个人敏感信息，分别明确个人信息主体同意的方式，分别采取对应的技术措施和权限管理措施。