核心提示 11月1日，《中華人民共和國個人信息保護法》正式施行，明確了個人信息和敏感個人信息的處理規則，完善個人信息保護投訴、舉報工作機制，從嚴懲治違法行為，全方位保護個人信息安全。電網企業在為千家萬戶提供服務的過程中，需要處理大量個人信息。應從內外兩方面著手落實個人信息保護法相關要求，對內深化個人信息保護的組織、機制和流程建設；對外明確并落實個人信息的處理規則，規范個人信息處理者的數據處理行為。

　　這是我國首部針對個人信息保護的專門法律

　　《中華人民共和國個人信息保護法》（以下簡稱個人信息保護法）于今年8月經十三屆全國人大常委會第三十次會議表決通過，11月1日生效實施。個人信息保護法共8章74條，是我國首部針對個人信息保護的專門法律。

　　個人信息保護法聚焦隨意收集、違法獲取、過度使用、非法買賣個人信息等突出問題和人民群眾的重大關切，通過立法建立權責明確、保護有效、利用規范的制度規則，旨在解決利用個人信息侵擾人民群眾生活安寧、危害人民群眾生命健康和財產安全的問題，在保障個人信息權益的基礎上，促進信息數據依法合理有效利用，推動數字經濟持續健康發展。

　　個人信息保護法主要有哪些內容

　　●進一步明確個人信息處理的合法性基礎

　　個人信息保護法確立了“告知-同意”這一個人信息處理的核心規則——除非法律法規另有規定，取得個人同意方可處理個人信息。告知是同意的前提，個人信息處理者在處理個人信息前，應當告知個人信息的處理目的和處理方式、處理的個人信息種類、個人行使權利的方式和程序等事項。

　　個人信息保護法延續民法典的規定，擴展了“同意”以外個人信息處理的合法性基礎，將訂立或履行合同所必需、保護自然人的重大利益以及公共利益等納入個人信息處理合法基礎的范圍。

　　●進一步增強對個人信息主體權益的保護

　　個人信息保護法第四章規定了個人在個人信息處理中的權利，包括享有知情權、決定權、查閱權、復制權，在個人信息不準確和不完整情況下的更正權和補充權，以及符合特定條件的刪除權。

　　個人信息保護法其他章節也體現了對個人信息主體權益的保護，包括撤回同意的權利、自動化決策下個人信息主體的權利，以及死者的個人信息權益。基于個人同意處理個人信息的，個人有權撤回其同意。通過自動化決策方式作出對個人權益有重大影響的決定時，個人信息主體有權要求個人信息處理者予以說明，并且有權拒絕僅通過自動化決策方式作出的決定。同時，個人信息處理者還應當同時提供不針對其個人特征的選項，或者向個人提供拒絕自動化決策的方式。本法規定了死者的個人信息權益，在自然人死亡后，其個人信息權利由其近親屬行使。

　　●明確個人信息的出境規則

　　個人信息保護法明確一般情況和特殊情況下的個人信息出境規則。個人信息處理者因業務等需要，確實需要向境外提供個人信息的，要進行個人信息保護認證，與境外接收方訂立合同，或符合法律、行政法規、國家網信部門規定的其他條件方可出境。特殊情況，即關鍵信息基礎設施運營者和處理個人信息達到國家網信部門規定數量的個人信息處理者，確需向境外提供個人信息的，應當通過國家網信部門組織的安全評估。

　　本法通過出口管制和對等反制措施進行個人信息出境管理，并嚴格禁止未經批準向外國司法或者執法機構提供個人信息。

　　●細化個人信息處理者企業內部管理義務

　　個人信息保護法要求個人信息處理者采取措施確保個人信息處理活動符合法律、行政法規的規定，防止未經授權的訪問以及個人信息的泄露，包括制定內部管理制度和操作規程，對個人信息實行分類管理，采取相應的加密、去標識化等安全技術措施，合理確定個人信息處理的操作權限并定期對從業人員進行安全教育和培訓等。針對用戶數量巨大、業務類型復雜的基礎性互聯網平臺，本法提出了新的義務要求，包括成立由外部成員組成的獨立機構，監督個人信息處理活動等。

　　個人信息保護法規定，個人信息處理者應當按要求設置個人信息保護負責人，公開負責人的聯系方式并向個人信息保護部門報送；應定期對其處理個人信息遵守法律、行政法規的情況進行合規審計。同時，個人信息處理者應在開展處理敏感個人信息、利用個人信息進行自動化決策、委托處理個人信息、提供個人信息、公開個人信息以及向境外提供個人信息等對個人權益有重大影響的個人信息處理活動前，進行個人信息保護影響評估。

　　應從內外兩方面著手，規范處理個人信息

　　國家電網有限公司作為關系國家能源安全、國民經濟命脈的國有重點骨干企業，為千家萬戶提供服務的過程中要處理大量個人信息。應從內外兩方面著手落實個人信息保護法相關要求，對內強化內功，深化公司個人信息保護的組織、機制和流程建設；對外明確并落實個人信息的處理規則，規范個人信息處理者的數據處理行為。

　　●深化企業內部的個人信息保護組織、機制、流程建設

　　一是細化完善個人信息內部安全管理制度。建立內部管理制度和操作規程，至少覆蓋個人信息收集、存儲、使用、加工、傳輸、提供、公開等個人信息處理全生命周期流程；參照《電信和互聯網服務用戶個人信息保護分級指南》等規定對個人信息進行分類管理。根據個人信息分類的結果，采取不同的安全技術措施，對敏感程度較高的個人信息采取更嚴格的安全技術措施，以降低可能面臨的風險；內部操作權限配置應符合最小授權的訪問控制策略，使被授權訪問個人信息的人員只能訪問職責所需的最小必要的個人信息，且僅具備完成職責所需的最少的數據操作權限；定期開展從業人員安全教育和培訓，同時按要求設置個人信息保護負責人。

　　二是制定并組織實施個人信息安全事件應急預案。個人信息保護法明確將“制定并組織實施個人信息安全事件應急預案”上升為個人信息處理者的義務。除制定并組織實施應急預案外，應參照《信息安全技術個人信息安全規范》第10條的要求，定期組織內部人員開展相關應急響應培訓和應急演練，促使相關人員更好地掌握應急處置時的崗位職責和應急處置策略、規程。

　　三是針對對個人權益有重大影響的個人信息處理活動開展個人信息保護影響評估，并定期對其處理個人信息遵守法律、行政法規的情況開展合規審計。個人信息保護影響評估報告和處理情況記錄應至少保存三年。

　　四是做好證據留痕以防范“過錯推定”責任。個人信息保護法規定，處理個人信息侵害個人信息權益造成損害，個人信息處理者不能證明自己沒有過錯的，應當承擔損害賠償等侵權責任。應對個人信息處理活動以及履行個人信息保護相關工作做好工作記錄及存檔，防范因不能舉證而承擔相關責任。

　　●明確個人信息的處理規則，規范個人信息處理者的數據處理活動

　　應落實個人信息處理活動的合法基礎，強化告知同意義務，確保各項處理個人信息的場景均具備合法基礎。除法律、行政法規另有規定的，處理個人信息應獲得個人的同意，并采取顯著方式、清晰易懂的語言向個人告知個人信息處理規則。在必要的情況下，處理個人信息要獲得個人單獨或書面的同意。

　　應規范收集、存儲、刪除等各環節的個人信息處理活動。除法律、行政法規另有規定外，個人信息的保存期限應當為實現處理目的所必要的最短時間。應結合業務目的確定個人信息的保存期限，按法律法規期限進行存儲。

　　謹慎對待個人信息出境。關鍵信息基礎設施運營者和處理個人信息達到國家網信部門規定數量的個人信息處理者，應當堅持個人信息存儲在中國境內的原則。確需向境外提供個人信息時，僅“通過國家網信部門組織的安全評估”進行信息出境。

　　（作者單位：國家電網有限公司大數據中心）