（2026年）中华人民共和国个人信息保护法（2021版）培训课件

中华人民共和国个人信息保护法（2021版）培训目录02个人信息定义与处理活动01法律概述与适用范围03个人信息处理原则04敏感信息处理规定05禁止行为与特殊场景06合规责任与国家角色法律概述与适用范围01立法目的与核心目标促进个人信息合理利用在保障权益的前提下，平衡数据流动与隐私保护的关系，推动数字经济健康发展，避免“一刀切”限制数据价值释放。规范个人信息处理活动通过构建以“告知-同意”为核心的规则体系，严格限定个人信息收集、存储、使用等环节的合法性，防止过度采集和滥用。保护个人信息权益明确自然人个人信息受法律保护，禁止任何组织或个人侵害个人信息权益，确立个人信息处理活动中的权利边界与责任义务。境内与境外适用范围境内适用场景涵盖以向境内自然人提供产品或服务为目的的处理活动，包括分析评估境内自然人行为等，无论处理者是否在境内设立机构。境外特殊管辖对境外处理境内自然人个人信息且符合特定情形的行为（如针对境内市场），同样适用本法，体现域外效力。关键信息基础设施运营者限制要求其境内存储个人信息，确需向境外提供的需通过安全评估，强化重要数据出境管控。非关键信息基础设施运营者认证对累计向境外提供10万人以上非敏感信息或1万人以下敏感信息的，需通过专业机构认证并备案。个人信息保护基本原则合法正当必要诚信原则处理活动需有明确法律依据，目的合理且手段正当，禁止欺诈、误导等不诚信行为。收集范围限于实现目的的最小需求，处理方式应选择对个人权益影响最低的路径。公开处理规则并确保信息准确完整，建立纠错机制防止错误信息损害个人权益。最小必要与影响最小化公开透明与质量保障个人信息定义与处理活动02根据《个人信息保护法》第四条，个人信息需满足“以电子或其他方式记录”“与已识别或可识别的自然人相关”两大要件，明确排除了匿名化信息，体现了对自然人身份关联性的严格要求。个人信息的定义及示例法律定义的核心要素包括但不限于个人基本资料（姓名、生日）、生物识别信息（人脸、指纹）、网络身份标识（用户ID）、财产信息（金融账户）、行踪轨迹等，覆盖了自然人社会活动的多维度数据。示例的广泛性与典型性如生物识别、医疗健康、金融账户等信息因直接关联人格尊严与人身安全，需遵循更严格的处理规则，体现法律对高风险数据的差异化保护。敏感个人信息的特殊保护收集环节的限制：必须限于实现处理目的的最小范围，禁止过度收集，例如App不得强制索取与功能无关的通讯录权限。个人信息处理活动贯穿数据全生命周期，需严格遵循合法、正当、必要原则，确保处理行为与目的直接相关且对个人权益影响最小化。使用与加工的合规要求：处理者需保证信息准确性，避免因错误数据导致歧视性决策，如金融风控中不得基于不完整的信用记录拒绝服务。传输与提供的风险控制：跨境提供个人信息需通过安全评估，境内共享需取得单独同意，防止数据滥用，如企业间合作时需签订数据保护协议。删除义务的触发条件：当存储期限届满或处理目的已实现时，处理者应及时删除或匿名化数据，例如用户注销账号后需彻底清除其历史记录。处理活动的类型与范围匿名化需达到“无法识别特定自然人且不可复原”的技术标准，例如通过数据脱敏技术去除身份证号后四位并打乱关联字段。与去标识化的区别：去标识化信息仍可能通过额外信息重新识别（如加密密钥保留），因此不享受匿名化的豁免待遇。匿名化的法律标准允许匿名化数据自由流通：统计机构可基于匿名化数据发布行业报告，无需取得个人同意，促进数据要素市场化。技术实现的挑战：需防范“重识别攻击”，如通过多源数据交叉比对还原身份，要求处理者采取动态脱敏、差分隐私等进阶技术保障匿名效果。匿名化应用场景与限制匿名化信息的排除个人信息处理原则03合法、正当、必要与诚信原则合法性原则必要与诚信原则正当性原则要求个人信息处理行为必须符合《个人信息保护法》《网络安全法》《数据安全法》等法律法规，禁止以任何形式规避法律义务。例如，未经授权收集身份证号、生物识别信息等敏感数据即属违法。强调处理目的需符合社会公共利益或个人权益保护，不得滥用信息谋取不正当利益。如企业利用用户画像进行大数据“杀熟”即违背正当性。处理范围应严格限于实现目的所需，禁止过度收集；同时需诚实守信，不得通过隐瞒、虚假宣传等方式误导个人。例如，APP强制索要与功能无关的通讯录权限即违反必要性。确保个人在同意前全面了解信息处理风险，例如通过分层展示、突出关键条款等方式提升可读性，避免冗长晦涩的文本。充分知情权同意需基于个人真实意愿，禁止默认勾选或捆绑授权。如用户拒绝个性化广告推送时，不得降低服务质量。自愿明确同意01020304处理者需明示处理目的、方式及范围，如通过隐私政策清晰告知用户数据用途，避免“隐藏条款”或模糊表述。规则公开义务当处理目的、方式变更（如新增共享第三方）时，需重新取得同意，确保授权始终与处理行为匹配。动态重新同意公开透明与知情同意要求最小范围与影响最小化存储期限限制在实现目的后及时删除或匿名化数据，如电商平台应在订单完成后规定期限内清除用户支付信息。最小影响措施选择对个人权益影响最小的技术手段，例如匿名化处理数据以降低泄露风险。最小必要收集仅采集与处理目的直接相关的信息，如导航APP无需收集用户性别、年龄等非必要字段。敏感信息处理规定04敏感信息的类别与识别生物识别信息包括指纹、声纹、虹膜、面部特征等具有唯一性的生物特征数据，这些信息一旦泄露可能导致身份冒用或人身安全风险。涵盖身份证号、护照号等特定身份标识，以及病历、体检报告等医疗健康数据，此类信息关联个人核心隐私与社会权益。银行账户、交易记录等金融数据，以及GPS定位、住宿记录等行踪信息，其非法使用可能直接危害财产和人身安全。特定身份与健康信息金融与行踪轨迹信息处理条件与严格保护措施目的限定与必要性审查处理敏感信息需基于特定目的且具备充分必要性，例如医疗诊断必须使用健康数据时方可收集，并需评估替代方案可行性。02040301加密与访问控制采用端到端加密、匿名化技术存储传输数据，实施最小权限访问原则，确保仅授权人员可接触敏感信息。明示告知与单独同意应向个人清晰告知处理敏感信息的必要性、范围及影响，取得单独书面同意，不得与其他授权捆绑或默认勾选。定期安全审计建立日志记录和监测机制，每季度进行安全风险评估，及时修补系统漏洞，防范数据泄露或篡改。未成年人信息特殊保护处理14周岁以下未成年人信息需取得父母或监护人明示同意，并通过二次验证确认监护人身份真实性。监护人同意机制禁止基于未成年人信息进行用户画像或个性化推荐，教育类应用需剥离身份标识后使用行为数据。内容过滤与使用限制设立未成年人信息泄露快速响应通道，优先冻结账户并通知监护人，24小时内向网信部门报告处置情况。专项应急预案010203禁止行为与特殊场景05大数据杀熟的限制与公平性新规明确要求平台不得利用算法对同一商品或服务向不同用户实施价格歧视，必须遵循“同一商品、同一时间、同等条件、所有用户同价”的原则。01平台需公开透明地展示价格形成机制，确保用户充分知情，避免通过隐蔽手段进行价格操纵。02违规处罚措施对违反规定的平台，法律设定了包括罚款、暂停服务等严厉处罚，情节严重的可吊销营业执照。03用户遭遇大数据杀熟时可向监管部门举报，平台需配合调查并提供定价依据，维权过程更加便捷。04要求企业定期对算法进行公平性审计，确保自动化决策系统不包含歧视性逻辑。05用户知情权保障技术合规审查消费者维权渠道禁止差别定价收集个人信息必须与处理目的直接相关，禁止以“可能未来有用”为由超范围收集数据。目的限定原则过度收集的防止与最小化仅允许收集实现服务功能所必需的最少信息类型和数量，例如导航APP不得索要通讯录权限。最小必要标准当业务功能变更导致信息需求变化时，需重新获取用户同意，不得沿用旧授权。动态授权管理建立定期清理机制，对超出保存期限的非必要信息进行匿名化或删除处理。数据生命周期控制人脸识别与公共场所设备规范显著提示义务特殊保护要求在公共场所部署人脸识别设备时，需设置醒目标识告知采集范围、用途及存储周期。公共安全限定所采集的生物识别信息仅能用于维护公共安全目的，禁止用于商业分析或个性化营销。对敏感个人信息处理需取得单独同意，并采取加密存储等更高等级的保护措施。合规责任与国家角色06个人信息处理者应采取必要技术和管理措施（如加密、访问控制）确保个人信息安全，防止泄露、篡改或丢失，并制定应急预案。处理者需定期开展个人信息保护影响评估，对数据处理活动进行合规性审查，记录处理过程以备监管检查。委托第三方处理个人信息时，处理者应通过合同明确其安全责任，并监督其履行情况，承担连带责任。发生信息泄露等事件时，处理者应立即采取补救措施，通知监管部门和受影响个人，并承担相应法律责任。处理者的安全义务与责任安全保障义务合规审计责任第三方监督义务侵权补救责任国家制度建设与宣传教育法律体系完善国家需建立健全配套法规（如数据分类分级标准），细化个人信息收集、存储、传输等环节的操作规范。社会协同治理推动企业、行业协会、公众共同参与，通过行业自律公约、公益诉讼等方式形成多元共治格局。监管机制强化设立专门个人信息保护监管机构，建立投诉举报渠道，对违法行为实施行政处罚或信用惩戒。国际合作与规则互认与其他国家签订双边或多边司法协助协议，完善跨境个人信息侵权案件的调查取证