《个人信息保护法》中企业对个人信息处理的业务合规要求

2021年8月20日，十三届全国人大常委会第三十次会议表决通过《中华人民共和国个人信息保护法》（简称“《个保法》”），自2021年11月1日起施行。

企业对个人信息处理的业务合规工作刻不容缓、迫在眉睫，加大对侵犯个人信息行为的惩处力度。

一、处理个人信息必须遵循合法正当诚信原则、个人权益影响最小原则、公开透明原则和准确完整原则。

二、处理个人信息必须在个人充分知情的前提下，取得自愿、明确的同意。

三、个人信息处理者处理不满十四周岁未成年人个人信息的，必须取得未成年人的父母或者其他监护人的同意，并且必须制定专门的个人信息处理规则。

四、个人信息处理者在处理个人信息前必须以显著方式、清晰易懂的语言向个人告知，必须将信息处理规则公开，且便于查阅和保存。

五、利用个人信息进行自动化决策，必须保证决策的透明度和结果公平合理（“禁止大数据杀熟”）。

六、在公共场所安装图像采集、个人身份识别设备，只能用于维护公共安全的目的，必须严格按照法定条件使用收集的个人图像、个人身份信息。

七、个人信息处理者必须合理、谨慎地处理个人已公开信息，符合被公开时的用途。

八、个人信息处理者必须具有特定目的和充分必要性，才可处理敏感个人信息。

    一旦泄露或者非法使用，可能导致个人受到歧视或者人身、财产安全受到严重危害的个人信息均属于敏感个人信息，包括：种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等。

九、个人信息处理者必须制定企业内部规程、分类管理、安全培训，采取必要措施确保个人信息处理活动符合法律、行政法规的规定，并防止未经授权的访问以及个人信息泄露或者被窃取、篡改、删除。

十、处理个人信息达到国家网信部门规定数量的个人信息处理者必须指定个人信息保护负责人，负责对个人信息处理活动以及采取的保护措施等进行监督。个人信息处理者必须公开个人信息保护负责人的联系方式，并将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门。

十一、境外的个人信息处理者，必须在境内设立专门机构或者指定代表，负责处理个人信息保护相关事务，并将有关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门。

十二、个人信息处理者必须定期对其个人信息处理活动遵守法律、行政法规的情况进行合规审计。

十三、个人信息处理者必须事前进行风险评估，并对处理情况进行记录。并且风险评估报告和处理情况记录至少保存三年以上。

十四、个人信息处理者发现个人信息泄露的，必须立即采取补救措施，并通知履行个人信息保护职责的部门和个人。

十五、提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，必须成立主要由外部成员组成的独立监督机构，定期发布个人信息保护责任报告，接受社会监督。