2020年10月21日，《中华人民共和国个人信息维护法（草案）》正式揭露，向全社会揭露征求定见。

  2021年4月26日，第十三届全国人大常委会第二十八次会议对《中华人民共和国个人信息维护法（草案二次审议稿）》进行了审议。

  2021年8月20日，第十三届全国人大常委会第三十次会议审议经过《中华人民共和国个人信息维护法》，并将于2021年11月1日起施行。

  《中华人民共和国个人信息维护法》厘清了个人信息、灵敏个人信息、自动化决议计划、去标识化、匿名化的基本概念，从适用规划、个人信息处理的基本准则、处理规矩、跨境传输规矩等多个方面临个人信息维护进行了全面规矩，个人信息维护范畴各主体的行为从此也有了更清晰的法令依据。

  《中华人民共和国个人信息维护法》是我国首部完好规矩个人信息处理规矩的法令。作为我国个人信息维护结构中重要的组成部分，《个人信息维护法》从立法开端就一向备受瞩目。

  《个人信息维护法》总共分为8章74条，在有关法令的根底上，进一步清晰了个人信息处理活动中的权力职责鸿沟，细化、完善了个人信息维护应遵从的准则和个人信息处理规矩。《个人信息维护法》第一条规矩“为了维护个人信息权益，标准个人信息处理活动，促进个人信息合理运用，依据宪法，拟定本法。”该部法令“依据宪法”拟定，意味着《个人信息维护法》现已成为了信息维护的基本法，也意味着个人信息维护权上升为公民的一项基本权力。

  何谓“个人信息”？我国《个人信息维护法》第四条给出了如下界说：“个人信息是以电子或许其他方法记载的与已辨认或许可辨认的自然人有关的各种信息，不包含匿名化处理后的信息。”

  其实关于“个人信息”的界说，各部法令在详细的界定方法、概念的内在均存在差异。从世界视点横向比较，我国的《个人信息维护法》与GDPR（General Data Protection Regulation，即通用数据维护法令）在界说上愈加相似，二者都将一切可辨认和已辨认的自然人有关的个人信息都纳入了调整规划，维护规划更广，且都将匿名化信息扫除在了个人信息规划之外。

  而CCPA（California Consumer Privacy Act，即美国加州隐私维护法）则选用界说、罗列、扫除并行的方法对个人信息进行界定，着重“合理性”，进一步约束了个人信息的规划，CCPA扫除适用的信息类型也远远多于GDPR与《个人信息维护法》。三者详细比较可拜见下表。

  从国内视点纵向比照，《个人信息维护法》的界说与《中华人民共和国民法典》（以下简称“民法典”）、《中华人民共和国网络安全法》（以下简称“网络安全法”）、《信息安全技能 个人信息安全标准》（以下简称“个人信息安全标准”）中对个人信息的界说近似，但略有差异，详细可拜见下表。

  经过比较能够看到，《个人信息维护法》经过内在和外延较为广泛的界说方法，最大程度上保证了本法的广泛适用，也最大极限保证了个人信息的维护，维护了个人信息主体的权益。

  个人信息与个人隐私呈穿插联系，即有的个人隐私归于个人信息，而有的个人隐私则不归于个人信息。

  隐私无法包含揭露的个人信息，个人信息亦无法包含日子安宁和没有构成记载的隐私。

  详细来说，隐私重在藏匿，而个人信息重在辨认，隐私具有当事人不肯揭露的主观因素，而个人信息不触及当事人的主观因素，只重视客观上是否能辨认特定自然人。

  “隐私”的界说能够拜见《民法典》第一千零三十二条之规矩：“隐私是自然人的私家日子安宁和不肯为别人知晓的私密空间、私密活动、私密信息。”“私家”与“不肯为别人知晓”是《民法典》关于“隐私”界说的中心字眼。

  《民法典》在第一千零三十四条中对“个人信息”进行了如下界定：“个人信息是以电子或许其他方法记载的能够独自或许与其他信息结合辨认特定自然人的各种信息，包含自然人的名字、出生日期、身份证件号码、生物辨认信息、住址、电话号码、电子邮箱、健康信息、行迹信息等。”

  《民法典》还将“个人信息”进一步区分为了私密信息和非私密信息：“个人信息中的私密信息，适用有关隐私权的规矩；没有规矩的，适用有关个人信息维护的规矩。”

  灵敏个人信息与个人信息区分的标准是信息的灵敏度，着重的是对信息主体形成不良影响的或许性，因而立法对灵敏个人信息的维护标准更为严峻，维护程度更高。

  详细来说，《个人信息维护法》第二十八条将灵敏个人信息界说为一旦走漏或许不合法运用，简单导致自然人的人格尊严遭到损害或许人身、产业安全遭到损害的个人信息，包含生物辨认、宗教信仰、特定身份、医疗健康、金融账户、行迹轨道等信息，以及不满十四周岁未成年人的个人信息。个人信息处理者只要在具有特定的意图和充沛的必要性，而且采纳严峻维护办法的景象下，才干够处理灵敏个人信息。

  在承认个人信息界说和规划时，“去标识化”和“匿名化”是非常重要的概念，两者都是为了维护个人隐私安全的技能防护手法，具有必定的共通性，可是二者也存在着明显差异。

  《个人信息维护法》第七十三条别离对“去标识化”与“匿名化”进行了界说：“去标识化，是指个人信息经过处理，使其在不凭借额定信息的状况下无法辨认特定自然人的进程。”“匿名化，是指个人信息经过处理无法辨认特定自然人且不能恢复的进程。”

  由此可见，去标识化后的信息，在满意必定条件下，仍能够辨认到特定自然人，即去标识化后的信息仍可进行恢复。而匿名化后的信息，在任何状况下都无法辨认到特定自然人，且无法恢复。

  两者从内在上相似于GDPR语境下的匿名化与化名化（GDPR 将匿名化信息界说为“已辨认或可辨认的自然人无关的信息或许以数据主体不行辨认或不再可辨认的方法匿名出现的数据”，将化名化界说为“在采纳某种方法对个人数据进行处理后，假如没有额定的信息就不能辨认数据主体的处理。”

  前者不再适用 GDPR，后者仍作为个人信息，仍旧适用 GDPR），两种不同的技能差异在于数据是否能够被从头辨认，匿名化要求该信息无法再辨认到特定自然人。即便是在欧盟，判别企业在实操进程中是否完成了匿名化，也是一项较为困难的作业，就如欧盟第29条作业组在其定见中指出相同：“真实的数据匿名化是一个极高的标准，数据控制者往往无法真实完成数据的匿名化。”

  依据个保法的界说判别二者的要害在于，经过处理后的信息是否能够恢复且辨认到特定自然人。去标识化后的信息因为仍有或许辨认到特定自然人，故归于个人信息；而匿名化处理之后的信息，因无法辨认特定自然人且不能恢复，故匿名化后的信息不归于个人信息，处理这类匿名化信息，不受《个人信息维护法》的维护。

  《个人信息维护法》第三条规矩：在中华人民共和国境内处理自然人个人信息的活动，适用本法。在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动，有下列景象之一的，也适用本法：（一）以向境内自然人供给产品或许服务为意图；（二）剖析、评价境内自然人的行为；（三）法令、行政法规规矩的其他景象。

  由此可见，《个人信息维护法》采纳了相似于 GDPR 的归纳立法形式，统辖规划不只包含境内的个人信息处理行为，还包含了境外部分特定行为，将运用规划扩展至了域外，发生了“长臂统辖”的作用，一起，也与《数据安全法》在法令适用进步行了联接。

  但《个人信息维护法》与GDPR也存在差异：一、《个人信息维护法》着重“属地准则”，而GDPR以“运营地/设登时”为标准。二、GDPR以“维护主体”为标准：即便有关个人数据处理活动的控制者或处理者不在欧盟树立，但若其为欧盟境内的数据主体供给产品或服务、或对发生在欧盟境内的数据主体的活动进行监控，也将相同适用GDPR。

  对标GDPR“维护主体”规矩，《个人信息维护法》对域外适用也进行了规矩，当有关个人数据处理活动的控制者或处理者以向境内自然人供给产品或许服务为意图、为剖析、评价境内自然人的行为而进行数据处理行为时，也应当适用《个人信息维护法》。从域外适用的规划看，GDPR的规划更广泛，我国《个人信息维护法》在地域规划上做了恰当延伸，但相较GDPR而言更为抑制，也表现了个保法的谦抑性。

  《个人信息维护法》与《民法典》、《网络安全法》一脉相承，坚持和连续了个人信息处理的准则和规矩。“最小影响、最小规划、最短时刻”规矩是个保法必要准则与诚信准则的详细化。而个保法要求个人信息处理者处理个人信息有必要具有清晰、合理的意图，不然不能进行处理活动，也充沛表现了个保法中的合法、合理准则。

  《个人信息维护法》在第五条中清晰了个人信息处理者需求遵从的处理准则：合法、合理、必要和诚信，个人信息处理者不得经过误导、诈骗、钳制等方法处理个人信息。在该准则的指引下，《个人信息维护法》又进行了进一步细化，清晰了个人信息处理者在进行个人信息处理活动时需求恪守的，与处理意图相对应的“最小影响、最小规划、最短时刻”规矩，详细可拜见《个人信息维护法》第六条与第十九条之规矩。

  个保法第六条清晰个人信息处理者“处理个人信息应当具有清晰、合理的意图，并应当与处理意图直接相关，采纳对个人权益影响最小的方法。搜集个人信息，应当限于完成处理意图的最小规划，不得过度搜集个人信息。”

  个保法对个人信息处理者处理活动的严峻约束表现了“最小影响”与“最小规划”的要求；而《个人信息维护法》第十九条规矩“除法令、行政法规还有规矩外，个人信息的保存期限应当为完成处理意图所必要的最短时刻。”表现了“最短时刻”的要求。

  而在实践中，很多APP存在搜集过量信息的行为。2021年3月12日，中心网信办、工业和信息化部、市场监管总局、公安部等有关部分联合发布了《常见类型移动互联网使用程序必要个人信息规划规矩》，罗列了“常见类型APP的必要个人信息规划”。对APP搜集个人信息的规划进行了必定的约束，而在《个人信息维护法》收效今后，有关监管部分将会对有关个人信息处理进行更严峻的监管。

  作为个人信息处理者的企业，应当充沛结合《个人信息维护法》的合法、合理、必要和诚信准则与“最小影响、最小规划、最短时刻”规矩，活跃进行自查自纠，对本身信息处理行为的意图合理性与处理必要性进行充沛说明，清晰供给基本功用服务所有必要搜集的个人信息规划，并与事务部分及时交流调整实践搜集个人信息的规划，以保证契合《个人信息维护法》的要求。

  “奉告-赞同”准则，是指信息处理者在搜集个人信息前，应当对信息主体就有关个人信息处理有关事宜进行充沛奉告，征得信息主体清晰赞同后方能进行搜集的准则。这也是本次个保法中最为中心的处理规矩。

  近年来，跟着《网络安全法》、《民法典》等相关法令法规的出台，“奉告-赞同”准则已俨然成为了我国个人信息处理活动的合法性根底。其间，《网络安全法》更是将个人信息主体的“赞同”视为个人信息处理的仅有合法性根底，这一规矩尽管表现了对个人信息主体权力的尊重和保证，可是疏忽了实务中很多存在的触及缔结或施行合同所必需、施行法定职责或法界说务、公共利益等多种个人信息处理场景。

  《民法典》虽规矩了赞同的破例景象，但也仅限于处理自然人自行揭露或其他已揭露信息的景象以及维护公共利益或许自然人合法权益的景象。

  相较于《网络安全法》和《民法典》，《个人信息维护法》选用了与GDPR一起的立法逻辑，将“奉告-赞同”确立为个人信息处理规矩的中心，但《个人信息维护法》规矩了更多无需征得个人赞同的破例景象，在这些破例景象下，无需获得个人赞同，即可处理个人信息。

  可是无论是何种合法性事由，个人信息处理者都需求施行事前奉告的职责。比较于《网络安全法》、《民法典》，《个人信息维护法》关于奉告职责规矩的较为详细，给企业在法令层面做出了清晰的指引，但企业在不同场景下怎么详细实行奉告赞同准则，后续可参阅《信息安全技能 个人信息奉告赞同攻略（征求定见稿）》。

  与赞同规矩相同，奉告规矩也有不适用的景象，即在特定的景象下，处理者不负有奉告的职责。个保法对奉告的破例规矩表现在第十八条和第三十五条，《个人信息维护法》第十八条规矩：“个人信息处理者处理个人信息，有法令、行政法规规矩应当保密或许不需求奉告的景象的，能够不向个人奉告前条第一款规矩的事项。紧迫状况下为维护自然人的生命健康和产业安全无法及时向个人奉告的，个人信息处理者应当在紧迫状况消除后及时奉告”；《个人信息维护法》第三十五条规矩：“国家机关为施行法定职责处理个人信息，应当按照本法规矩施行奉告职责；有本法第十八条第一款规矩的景象，或许奉告将阻碍国家机关施行法定职责的在外”。

  可见，个保法对免于奉告的状况首要表现在法令、行政法规还有规矩、紧迫状况下为维护自然人的生命健康和产业安全、奉告将阻碍国家机关施行法定职责的景象。例如《反法》第51条规矩，公安机关查询恐怖活动，有权向有关单位和个人搜集、调取相关信息和资料。有关单位和个人应当照实供给。在一些紧迫状况下，能够过后奉告。

  因为在现实日子中存在的利益很多，公共利益、法定职责、国家利益、自然人的生命健康和产业安全等利益有时会存在抵触，所以，“赞同+破例”规制方法，给予了个人信息处理更灵敏的空间，也能够更好地维护国家和公民的利益。

  可是咱们发现，相较于《个人信息安全标准》第5.6条之规矩，《个人信息维护法》大大紧缩了理论上能够具有合法性的景象，简化了处理个人信息处理的合法性根底，或许给后续落地带来新的问题，使得一些具有合理性的个人信息处理景象堕入于法无据的窘境。

  科技是把双刃剑，《个人信息维护法》在吸纳《电子商务法》和《个人信息安全标准》关于定向推送和个性化展现的规矩根底上，对“自动化决议计划”作出专门约束，添加了“制止大数据杀熟”条款，清晰规矩“自动化决议计划应保证透明度和成果公平、公平，不得对个人在买卖价格等买卖条件上施行不合理的差别待遇。”丰厚了对轻视性定价、算法轻视问题的规制途径。

  《个人信息维护法》第二十四条中还清晰“经过自动化决议计划方法向个人进行信息推送、商业营销，应当一起供给不针对其个人特征的选项，或许向个人供给快捷的回绝方法。”个保法在赋予个人主体回绝权的根底上要求个人信息处理者供给“快捷”的回绝方法，为用户供给退出或封闭个性化展现形式的选项，对信息处理者有较强的约束，信息处理者的职责进一步加剧。

  撤回赞同，本质为个人信息主体意思表明的吊销，即个人信息主体依据“奉告-赞同”准则，吊销自己现已作出的“赞同”的意思表明。个人信息主体行使撤回赞同权力的时刻不该仅局限于信息的搜集阶段，因为在赞同搜集个人信息的初始阶段，个人信息主体往往很难了解、判别做出该赞同将面临何种结果。

  依据《个人信息维护法》规矩可知，个人信息主体撤回赞同的权力能够在个人信息的搜集、运用、保存、同享等全生命周期内行使，而个人信息主体一旦行使权力，即包含了对个人信息运用全进程中的处置。

  个人信息主体所撤回的个人赞同，关于现已发生的个人信息处理行为，没有溯及力，可是个人信息处理者应自动删去内部所存储的个人信息。相较于《个人信息维护法》，GDPR中个人信息主体行使吊销赞同权的规划更为广泛。

  在GDPR中，不管数据处理活动是否是依据数据主体赞同而进行的，数据主体在任何状况下均可撤回其赞同。而《个人信息维护法》规矩，个人信息主体仅可对依据其个人赞同的处理活动撤回赞同。个人信息主体撤回赞同之后，个人信息处理的合法性根底将不复存在。作为个人信息处理者，有必要当即中止数据处理行为，并依据《个人信息维护法》中的相关规矩对其留存的个人信息进行处理，而且不得以撤回赞同为由，回绝供给产品或许服务。

  依据《个人信息维护法》第十五条的规矩，个人信息处理者应当供给“快捷”的撤回赞同方法，咱们了解快捷的方法，包含但不限于将撤回的按钮置于醒意图方位，与“赞同”的选项相对应，给与对应撤回的选项等等，其困难程度不能高于“赞同”的方法，企业在落地施行的进程中，能够参阅《信息安全技能个人信息奉告赞同攻略（征求定见稿）》第9.3条赞同的撤回的规矩。

  别的，因为数据的可仿制性，个人信息处理者在处理个人信息的进程中，或许将个人信息向其他第三方同享、供给、托付处理等等，在这些状况下，个人信息处理者还需求在同享、供给、托付处理等环节设置相应的联动机制，保证在个人信息主体撤回赞同后，这些第三方个人信息接纳方能够按照个保法的要求进行删去。

  关于影响个人利益的严重事项，例如向第三方供给个人信息、个人信息出境等，《个人信息维护法》要求个人信息处理者需求获得该个人的“独自赞同”。

  独自赞同差异于《个人信息维护法》下的一般赞同规矩，个人信息处理者需仅针对单一事项获得个人信息主体授权赞同，而不得经过一揽子授权的方法。在《个人信息维护法》项下，个人信息处理者需求征得个人独自赞同的场景如下：

  就“独自赞同”的适用频率和职业普适性而言，《个人信息维护法》第二十三、二十九、三十九条相较于其他两条更高，也是许多企业无法防止的。作为个人信息处理者的企业应从个人信息的灵敏度、场景进行危险剖析，依据处理行为的类型去差异施行不同的赞同方法，并为完成不同的赞同匹配新式的赞同机制。

  那么什么是“独自赞同”，怎么获得“独自赞同”，依据《信息安全技能个人信息奉告赞同攻略（征求定见稿）》第8条及9.2.2条的规矩，“独自赞同”是指经过“增强式奉告”或“即时提示”等方法，独自向个人信息主体奉告处理个人信息的意图、方法和规划、以及存储时刻、安全办法等规矩，并由个人信息主体明示赞同（自动作出承认性动作），不该与其他不相关的意图或事务功用相绑缚或混淆在其他赞同事项中，不该经过“赞同个人信息维护方针”等方法一揽子获得赞同。

  “增强式奉告”，指选用个人信息主体不行绕过的方法（如设置专门页面或独自过程）向个人信息主体奉告相关信息，以帮忙其作出是否授权赞同的决议。详细到企业的事务场景中，能够依据特定的事务功用，选用独自的交互式界面或纸质页面向个人信息主体奉告相关信息，并向其供给可分项挑选赞同的机制，如勾选、点亮等方法。

  现在大数据职业的快速开展依赖于数据的同享与活动，《个人信息维护法》对独自赞同的要求，意味着强监管年代的到来，在后续实行阶段，或许会给大数据职业个人信息的数据生态带来巨大的改动，企业在个人信息维护范畴都需求构建全生命周期的数据合规办理体制，特别是数据的对外供给，此刻，怎么在不对外供给数据的状况下完成数据的价值呢？

  隐私核算或能在必定程度上完成“数据的可用不行见”。例如“联邦学习”着重两边原始数据皆无流通，不存在对外供给、同享数据的状况，两边选用多方核算、同态加密等算法以及可信实行环境等，运用高强度加密算法保证数据的安全，处理了数据合作方之间互不信赖而又可开释数据价值。

  《个人信息维护法》对灵敏个人信息处理者的特殊要求能够总结为三句话：意图约束更严、奉告事项更多、赞同机制更严。

  依据《个人信息维护法》规矩：“灵敏个人信息是一旦走漏或许不合法运用，简单导致自然人的人格尊严遭到损害或许人身、产业安全遭到损害的个人信息，包含生物辨认、宗教信仰、特定身份、医疗健康、金融账户、行迹轨道等信息，以及不满十四周岁未成年人的个人信息。只要在具有特定的意图和充沛的必要性，并采纳严峻维护办法的景象下，个人信息处理者方可处理灵敏个人信息。”

  由此可见，除灵敏个人信息原有界说外（详见上文），《个人信息维护法》还将未成年个人信息清晰列为灵敏个人信息，加以重点维护，此刻还需求留意，《儿童个人信息网络维护规矩》相同将不满十四周岁的未成年人界说为儿童，因而，企业在恪守《个人信息维护法》的一起，还需求恪守《儿童个人信息网络维护规矩》的规矩。

  《个人信息维护法》设专节对处理灵敏个人信息作出更严峻的约束，第二十九条至第三十条对灵敏个人信息的处理规矩上作出要求。其他章节中，第五十五条对灵敏个人信息事前影响评价进行规矩，第六十二条提出监管将拟定专门的个人信息维护规矩、标准。

  关于数据跨境的要求，我国已有多部法令法规以及国家标准进行规制，例如《数据安全法》、《网络安全法》、《要害信息根底设施安全维护法令》及《网络安全检查方法》等，因而需求结合其他法令法规一起了解。

  首要，《个人信息维护法》进一步完善了个人信息跨境供给规矩，比较《网络安全法》，《个人信息维护法》扩展了适用于数据本地化的适用主体规划，除要害信息根底设施运营者以外，还添加了个人信息到达国家网信部分规矩数量的个人信息处理者，其间关于“规矩数量”，还有待国家网信部分的细化规矩出台。

  《个人信息维护法》第四十条规矩：“要害信息根底设施运营者和处理个人信息到达国家网信部分规矩数量的个人信息处理者，应当将在中华人民共和国境内搜集和发生的个人信息存储在境内。确需向境外供给的，应当经过国家网信部分安排的安全评价；法令、行政法规和国家网信部分规矩能够不进行安全评价的，从其规矩。”

  这与《网络安全法》第三十七条规矩基本上坚持一起。作为个人信息处理者，如需向境外传输数据，首要应当判别其拟出境的数据是否触及数据本地化要求，只要在不触及数据本地化要求的状况下，才干进一步考虑个人信息出境需求满意哪些详细条件。

  需求特别留意的是，依据《数据安全法》第三十一条及《网络安全法》第三十七条之规矩，企业还需求判别是否触及重要数据，不然即便是一般数据处理者，也相同需求恪守首要数据境内存储，境外供给需求独自进行安全评价的要求。

  其次，当不触及数据本地化要求的状况下，例如个人信息主体需求向境外供给个人信息的状况，《个人信息维护法》第三十八条规矩了四项数据出境的合规途径：

  再者，《个人信息维护法》对个人信息跨境活动需求满意的必要条件进行了充沛整合，并将向个人主体的奉告和获取个人主体的独自赞同作为另一必要前提条件。

  《个人信息维护法》第三十九条规矩：“个人信息处理者向中华人民共和国境外供给个人信息的，应当向个人奉告境外接纳方的称号或许名字、联系方法、处理意图、处理方法、个人信息的品种以及个人向境外接纳方行使本法规矩权力的方法和程序等事项，并获得个人的独自赞同。”个保法要求个人信息处理者提早奉告并获取个人信息主体赞同的职责能够被视为数据出境行为的前置条件。

  最终，《个人信息维护法》对境外的个人信息处理者也作出了更严峻的规矩。依据《个人信息维护法》第五十三条之规矩，我国境外的个人信息处理者，需树立境内专门安排或指定境内代表，并要求施行交流途径的报送职责，这也弥补了一向以来针对境外安排监管的敞口。

  个人信息处理者负有合作个人信息主体行使权力的职责。个保法清晰了个人信息主体享有的一系列权力，实则也是对个人信息处理者的合规性也提出了更高的要求。个人信息处理者应留意从以下几方面加强本身内部的合规建造。

  依据《个人信息维护法》第五十一条的规矩，个人信息处理者应树立内部合规准则，企业能够结合《个人信息维护法》及其他相关法令法规、国家标准、攻略等的规矩，结合本身事务特色进行弥补调整。

  首要，个人信息处理者应拟定关于个人信息维护的内控合规办理准则与配套操作流程。

  其次，个人信息处理者应对个人信息分类分级办理、别离维护，特别应对灵敏个人信息、出境个人信息、未成年个人信息等采纳更严峻的维护办法。

  再者，个人信息处理者应对其所处理的个人信息选用相应的加密（可参阅《信息安全技能 信息系统暗码使用基本要求》GB/T 39786-2021）、去标识化（可参阅《信息安全技能 个人信息去标识化攻略》GB/T 35273—2020）等安全技能办法，最大程度维护个人信息安全。

  最终，个人信息处理者应合理承认个人信息处理的操作权限并参阅《国家网络安全事情应急预案》的规矩拟定相关预案。

  依据《个人信息维护法》第五十二条规矩，关于处理个人信息到达国家网信部分规矩数量的个人信息处理者，应当指定个人信息维护担任人，担任对个人信息处理活动以及采纳的维护办法等进行监督。

  《个人信息维护法》中没有对“国家网信部分规矩数量”进行清晰规矩，可参阅《个人信息安全标准》第十一条：满意以下条件之一的安排，都应当树立专职的个人信息维护担任人和个人信息维护作业安排：（1）首要事务触及个人信息处理，且从业人员规划大于200人；（2）处理超越100万人的个人信息，或估计在12个月内处理超越100万人的个人信息；（3）处理超越10万人的个人灵敏信息的。

  对高危险信息处理活动进行个人信息维护影响评价，是个人信息处理者合规运营、继续自主工作的要求，也是个人信息处理者满意自证要求的保证。

  在个保法出台之前，《个人信息安全标准》等有关文件虽对个人信息维护影响评价也有所规矩，但并非强制性，故大多数企业也并未将此作为一项必备的内控手法。

  此次《个人信息维护法》第五十五、五十六条对需求进行个人信息维护影响评价的景象与个人信息维护影响评价应包含的内容进行了详实规矩，从基本法的高度将个人信息维护影响评价提高为了一项对个人信息处理者的强制性要求，作为个人信息处理者的企业需求愈加留意，而且予以贯彻实行。

  《个人信息维护法》在处分的办法的多样性与处分力度方面较之前的立法有了大幅度提高。特别是第六十六条中规矩的大额罚款，不只学习了GDPR中2,000万欧元或许企业上一年度全球营收的百分之四（两者取其高）罚款的严峻处分思路，更将罚款力度添加到上一年度运营额的百分之五。

  整体而言，《个人信息维护法》的职责追查系统非常完好，涵盖了民事、行政与刑事范畴，且非常严峻，详细可拜见下表。

  怎么平衡个人信息权益的维护和数字经济开展两者之间的联系，是今世社会有必要要面临的出题。《个人信息维护法》依据宪法拟定，是我国个人信息维护的基本法，具有优先适用的效能。个保法为监管机关的法律活动和企业的合规系统建造供给了重要指引，也是我国对当时全球数字管理的准则奉献。