《个人信息保护法》下的企业合规义务

作者 | 吕长军 中国传媒大学法律硕士校外导师

编辑 | 布鲁斯

2021年8月，我国《个人信息保护法》三读通过，标志着我国对个人信息的立法保护方面上升到了新的高度；但相对应的是，作为“信息处理者”[1]的企业也有了法律上新的义务，包括：制度完备义务、安全保障义务、个人信息分级分类义务、内部权限管理义务、信息质量与算法合规义务、信息主体权益保障义务、事前风险评估义务（例如事前个人信息保护影响评估）、合规审计义务、以及特殊处理者的义务等，因此需要依法建立起符合法律要求的个人信息及数据[2]合规体系。

一、企业建立个人信息及数据合规体系的价值

《个人信息保护法》中对企业提出了建立个人信息保护合规体系的要求，似乎企业负担加重，但实际上企业按照《个人信息保护法》的要求来进行合规操作有诸多的价值：

其一，合规价值。我国先后出台的《网络安全法》、《数据安全法》和《个人信息保护法》三部法律不仅构建起个人信息和数据保护的基本框架， 而且均明确要求企业建立数据（或个人信息）合规制度，而《个人信息保护法》更是要求大型互联网平台、业务类型复杂的企业 “应当按照国家规定建立健全个人信息合规制度体系”[3]；同时，诸多境外数据保护法律法规如GDPR等也要求企业建立数据及个人信息保护合规体系。可以说，建立个人信息及数据合规体系已经成为现代企业的一项重要法律义务。

其二， 品牌价值和市场竞争力。在强调个人数据与隐私保护的大环境下，企业在数据安全和隐私保护方面的有效努力，最终会得到合作方的认可，更为重要的是可以得到消费者的最后认同，这无疑将提升企业的品牌价值和市场竞争力。

其三，降低企业风险及减少损失。任何企业在个人信息及数据方面不合规的行为，均有可能产生行政调查、侵权诉讼、媒体曝光、甚至刑事案件等后果，将可能会为企业带来重大的经济和声誉损失，包括行政处罚、诉讼赔偿、刑事处罚、客户流失等。

其四，有助于应对行政监管或诉讼。企业的个人信息及数据合规体系的完备，可以在一定程度上证明企业已充分尽到数据及个人信息保护的义务，可以有效助力企业应对监管执法和诉讼抗辩。

二、《个人信息保护法》第51条下企业的合规义务

在《个人信息保护法》中，第51条集中阐述了个人信息处理者的主要合规义务，包括制度建设、信息分类、技术措施、人员管理和应急预案五个基本方面以及兜底的其他措施。

第51条规定：

个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等，采取下列措施确保个人信息处理活动符合法律、行政法规的规定，并防止未经授权的访问以及个人信息泄露、篡改、丢失：

（一）制定内部管理制度和操作规程；

（二）对个人信息实行分类管理；

（三）采取相应的加密、去标识化等安全技术措施；

（四）合理确定个人信息处理的操作权限，并定期对从业人员进行安全教育和培训；

（五）制定并组织实施个人信息安全事件应急预案；

（六）法律、行政法规规定的其他措施。

1、制定公司内部管理制度和操作规程

《个人信息保护法》要求个人信息处理者（企业）内部应建立完善的个人信息保护制度以及操作规程。

1）健全内部管理制度

对企业而言，了解和梳理企业个人信息处理活动的目的、范围和方式，是进行信息处理管理的基础。在此基础上，需要整理、制定适应企业内部的个人信息相关制度，包括但不限于：（1）个人信息收集、传输及处理制度；（2）个人用户信息收集及处理告知制度；（3）个人信息安全保护制度（包括传输、使用及数据库安全等）；（4）信息分级分类管理制度；（5）个人信息风险评估制度 ;（6）审计制度等。

除上述重要制度外，企业内部管理制度中还应有应急预案制度、个人信息出境管理制度等。（详见下文）

内部制度应具有合规性、可行性、完备性；也即既要符合法律法规要求，又要从企业自身实际情况出发，可操作，同时应注意全面覆盖相应各个业务条线， 具有完备性。

2）制定个人信息收集、传输、存储及处理操作流程

流程与制度相辅相成。企业应注意“个人信息处理全流程管理”的重要性，实施从个人信息收集、传输、存储到处理、删除等各环节的衔接和涵盖全流程的管理，并在流程中应注意严格的权限管理。

3）设置网络安全负责人、个人信息保护负责人等专职人员

《网络安全法》要求网络运营者设置专门安全管理机构和安全管理负责人，《信息安全技术 个人信息安全规范》规定了个人信息控制者应当设置个人信息保护负责人，而GDPR则要求设置数据保护官。

《个人信息保护法》没有硬性要求所有的企业均设立“个人信息保护负责人”，而是要求如果处理个人信息达到一定”数量”, 则应设置个人信息保护负责人[4]，但“数量”并未予以明确标准。当涉及的个人信息数据量较大时，企业应当考虑设定个人信息保护负责人，由其进行相关工作的统筹和管理，在有必要的情况下可以考虑成立相关部门，负责建立内部合规管理制度和相关措施乃至推行制度及措施的实施。

2、个人信息实行分级分类管理

《网络安全法》、《数据保护法》和《个人信息保护法》都提出要将数据进行分级分类管理。无论从合规或管理效率而言， 企业都有必要对数据进行分级分类管理。

首先，梳理企业信息库存。搞清企业目前拥有哪些个人信息（数据）、承载个人信息的数据位于何处、如何流动以及与哪些部门相关，是在企业中创建个人信息保护合规框架的基础。

其次，明确所需信息， 去除非必要信息。对个人信息的处理，应满足《个人信息法》第6条提出的 “明确合理目的”以及“个人权益影响最小”两个原则。因此，企业应当明确其需要哪些类型的个人信息，通过清单等形式将所需信息的内容和目的进行陈列，同时，应在企业系统中去除非必要的信息，并严格要求各部门不再进行收集或储存。

再次，对需要处理的信息进行分级分类，以便进一步的管理，包括处理权限、流程等工作的区分。

其中，企业应对以下两类信息进行甄别并加以特别关注：

1）敏感个人信息。 敏感个人信息包括种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等信息。这类信息多与人身、财产安全相关，因此受到法律特别保护，相关的程序和保护措施要求较之一般个人信息要严格。

2）未成年人（未满十四周岁）个人信息。 我国法律要求对该类信息的处理应依法取得其监护人的同意。

需要注意的是， 企业收集的个人信息， 不仅仅指收集的外部个人信息， 也包括对内部员工的个人信息。虽然《个人信息保护法》提出因对内部员工“人力资源管理”从而可以进行各种个人信息的收集、处理， 但绝不意味着可以忽略内部员工个人信息权益的保护。

3、个人信息安全保护措施

在网络环境下，数据安全是个人信息保护的基础，而保障数据安全是个人信息处理者的一项重要且基础的工作，同时也是一项法律义务。我国《网络安全法》要求网络运营者保障网络安全、维护网络数据的完整性、保密性和可用性[5]；《数据安全法》强制性规定了数据处理者保障数据安全的法律义务[6]， 《个人信息保护法》则要求企业采用安全技术措施来保护其所处理的个人信息。

企业实施个人信息安保措施要害在于体系化、堵漏洞、覆盖全流程；常见的技术手段包括如建立防火墙、匿名化、加密、去标识化等。去标识化[7]是指一种对标识符进行处理，使其处理后的信息无法识别到特定个人信息主体的数据处理方式。匿名化[8] ，是指通过对个人信息的技术处理，使得个人信息主体无法被识别或者关联，且处理后的信息不能被复原的过程。

匿名化后的数据，不需要遵守有关个人信息保护的条款， 但仍应遵守数据保护的法律规定。

4、个人信息处理权限及安全教育与培训

个人信息处理权限制度经过多年企业界的实践， 被证明是一项较好的对个人信息及数据管理的机制，《个人信息保护法》将该机制直接列为企业的一项法律义务。该机制的要点在于：

1）设立内部分工和权限制度。将个人信息的收集、储存、使用等处理环节，以及风险监控、合规等工作进行明确的分工，并根据分工和信息分级分类情况，对不同员工设置对应级别的权限。

2） 全员参与（而非重点人员参与）安全与权限培训。通过个人信息与数据的安全教育与培训，牢固树立数据安全意识，明确各自权限所在， 防止人为造成数据泄露。

5、个人信息安全事件应急制度

合规工作虽能防患于未然，但并不能完全排除风险。随着技术进步和企业产品迭代，安全漏洞总难以避免，因此企业应当制定数据安全事件应急预案并定期演练，以备不时之需。我国《网络安全法》中已规定网络运营者应当制定网络安全事件应急预案[9]，及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险；在发生危害网络安全的事件时，及时启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告。

《个人信息保护法》再次强调企业应建立个人信息安全事件应急预案并定期进行演练，并将此作为企业的一项法律义务。

三、《个人信息保护法》下企业的其他合规义务

除第51条外，《个人信息保护法》还在其他条文中规定了企业的一些重要的合规义务， 主要包括：

1、收集、处理个人信息的充分告知义务

《个人信息保护法》再次强调了个人信息收集与处理的“告知-同意”原则。对于需要收集个人信息的企业而言，应制定出明确的个人信息保护政策（《隐私政策》），真实、完整的向用户告知企业的基本情况、个人信息收集、使用目的、范围及场景、个人信息处理方式及规则、对外共享及披露情形、个人信息主体权利保障机制、投诉处理渠道等。

个人信息保护政策应公开发布且应送达个人信息主体， 由用户在注册或首次运行产品时阅读并勾选同意后才可继续使用。如涉及个人信息会被用于用户画像和个性化展示的，则应在《隐私政策》中征得用户的同意，充分保障用户知情权；而在进行自动化决策前，应当就自动化决策的透明和公平性做好充分说明。

需要特别注意的是，《个人信息保护法》要求对于收集个人敏感信息的，应取得用户的单独同意[10]，因此企业不能采取过去的概约性、打包式的同意，而应单独提示用户勾选同意方可。

2、信息主体权益保障义务（应提供个人信息查阅复制、修正、移转及删除服务）

《个人信息保护法》明确了在个人信息处理活动中个人的各项权利，包括知情权、决定权、限制权、拒绝权、查阅、复制权、可携权、更正、补充权、删除权。既然个人享有一系列个人信息权利，也意味着个人信息处理者负有配合个人权利行使的义务。企业需要根据用户个人的需求，灵活和准确地响应数据主体访问查询、更正、删除、移转等要求。

1）接受信息主体的要求，提供个人信息查阅、复制的途径及服务

长期以来，不少互联网平台将用户信息视为重要的财产性权益，而用户想了解平台到底掌握自己哪些信息却有时连查询的渠道、途径都没有。GDPR开了个人信息严格保护的先河，确认个人有查询权，即有权要求互联网公司（信息控制者）提供掌握本人信息的明细清单。

《个人信息保护法》也规定了企业应为用户提供个人信息查阅、复制的法律义务，因此企业也应制定相应的接受用户要求、核实身份、汇总信息、提供信息的制度和流程。

2）接受信息主体的要求， 提供个人信息修正的途径及服务

《个人信息保护法》第十五条规定了信息主体对个人信息的修改权，企业应为个人信息处理者提供修正的途径和服务。相应的，企业应建立起修正沟通渠道、内部修正机制等。

3）接受信息主体的要求，提供移转的途径及服务

《个人信息保护法》第十五条规定了信息主体对个人信息的可携带权，即个人请求将个人信息转移至其指定的个人信息处理者，符合国家网信部门规定条件的，个人信息处理者应当提供转移的途径。该规定不仅有利于个人自由处理其个人信息，也有利于打破数据垄断和数据孤岛现象。而作为企业也应就此制定移转的内部操作流程。

4）接受信息主体的要求，提供便捷删除服务

《个人信息保护法》第十五条规定了“基于个人同意而进行的个人信息处理活动，个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式”。

撤回同意，是个人信息主体处分自身权利的一种方式。企业应确定撤回方式、撤回渠道等响应机制，并应保证用户行使权力的便利性，符合“便捷原则”。

虽然法律未解释何为“便捷”， 但按照通常的理解，“撤回”的难度不应大于“同意”的难度。

因此，企业可在企业主网页、APP登录入口等显著页面安置“撤回”的链接或选项， 并提供明晰的操作指导。企业内部因数据的修改和删除有可能涉及多个部门，故应建立一系列的操作流程，并应研判其中的风险。

3、数据与算法的合规义务

1）数据质量的检查和审视，防止因数据质量引发歧视

算法以数据为基础， 数据不准确，则算法结果、数据分析结论则基本不会准确，有可能会对相关数据主体带来负面评价，从而导致其合法权益受到影响。

《个人信息保护法》第8条规定：

“处理个人信息应当保证个人信息的质量，避免因个人信息不准确、不完整对个人权益造成不利影响。”

《个人信息保护法》将保证个人信息质量作为企业的法定义务，从企业的角度说，则应建立检查和审视数据的相应制度和流程， 以保障数据获取的准确度。

2）保证算法公平合理， 防止不合理差别待遇

互联网时代“算法为王”。算法推荐是搜索引擎、社交软件、电子商务等几乎所有平台的标配。平台用代码、算法替代了传统的内容分发过程中编辑的角色，提高了服务效率的同时，也会导致例如大数据杀熟、劣质内容泛滥等一系列侵犯用户权利的现象。也正因为算法推荐下的社会问题层出不穷，国家开始通过立法手段进行干预，并在《个人信息保护法》下初步确立了算法问责制，这在我国还是首次。

《个人信息保护法》第二十四条规定，

个人信息处理者利用个人信息进行自动化决策，应当保证决策的透明度和结果公平、公正。

算法的透明性、公平及公正性本属于伦理范畴， 《个人信息保护法》将它上升到了法律的高度， 成为相关企业的法律义务。它要求个人信息处理者必须对所用算法进行检查和审视，保证自动化决策的透明度和结果的公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇。

3) 自动化决策（算法），需遵循“明确合理目的”以及“个人权益影响最小”两个原则

《个人信息保护法》第六条规定，企业进行自动化决策，需遵循“明确合理目的”以及“个人权益影响最小”两个原则，而且在自动化决策对个人权益造成重大影响时，应“向个人提供便捷的拒绝方式”， 也即赋予个人主体拒绝权。这对于长期以来通过个性化推荐、通过用户画像为用户提供各种信息服务的企业来说，产生较强的影响和制约。

4、事前风险评估义务[11]

根据《个人信息保护法》的规定，在下列情况中，企业应当进行事前风险评估，且应将风险评估报告和处理情况记录至少保存三年：

1）处理敏感个人信息;

2）利用个人信息进行自动化决策;

3） 委托处理个人信息、向他人提供个人信息、公开个人信息;

4） 向境外提供个人信息;

5）其他对个人有重大影响的个人信息处理活动。

我国《数据安全法》中仅规定“重要数据”的处理者应当对其数据活动定期开展风险评估,并向有关主管部门报送风险评估报告[12]；《个人信息保护法》则明确在涉及“敏感个人信息”、“自动化决策”、“委托处理”、“向第三方提供”、“对外公开”、“跨境提供”等情形下赋予所有的个人信息处理者以“事前评估”的义务。

因此，风险评估将成为作为信息处理者的企业的一项经常性工作， 应将其制度化、常态化，在保证评估质量的情况下尽量实现高效、快捷。

笔者认为，风险评估报告应当包括本组织涉及的个人信息种类、数量, 收集、存储、使用、委托、提供等的情况,面临的安全风险及其应对措施等。

5、合规审计义务

《个人信息保护法》要求定期对企业处理个人信息遵守法律、行政法规的情况进行合规审计[13]。但由谁审计、具体审计内容、审计标准尚未有明确规定，企业应未雨绸缪，参照《个人信息保护法》、《网络安全法》、《数据保护法》三部基本法律中相对具体的规定，制定出应对审计的方案。笔者认为，主要内容应包括：

1） 审查内部管理制度和个人信息备忘录的完备性和合规性；

2） 定期审计个人信息处理和管理工作；

3） 审计履行个人信息查阅复制、修正、移转及删除义务情况（信息主体权益保障情况）；

4） 审核风险评估报告及记录情况；

5） 审核个人信息相关的合同及其他法律文书；

6） 根据个人信息及数据相关法律法规的更新，及时调整内部制度的情况。

6、委托外部进行个人信息处理的合规义务

《个人信息保护法》并非不允许进行个人信息的外部委托处理， 但是应区分“共同处理”与“委托处理”， 其中，共同处理应取得信息主体的充分授权。

在数字经济发展迅猛的今天， 数据外部委托处理已经极为常见， 比如云服务，SAAS服务等， 均需要数据的外部存储与处理。委托处理虽不必取得信息主体的授权，但是，《个人信息保护法》生效后，在对委托第三方（受托人）处理的情况下，委托处理个人信息之前，应事先进行个人信息保护影响评估，并对处理情况进行记录。

双方应签订书面委托合同, 其中应清楚载明委托事项、受托人权限、期间等事项， 尤其是委托受托人进行信息处理不应超过个人权利主体的授权权限或相关法律授予的权限。

7、跨境数据传输的合规义务

《个人信息保护法》并非禁止个人信息跨境传输，而是规定了实现数据跨境传输的必要条件以及制度性框架，并引入了国际上一些较为成熟的做法，如标准合同机制等。但是，在操作层面还有待于进一步的制度以及有关部门的指导性意见去进行细化，包括标准合同模板、国家网信部门的评估流程及标准、认证部门及认证标准、不对等国家的清单等[14]。因此，在跨境数据流动场景中，企业应严格按照《个人信息保护法》、《网络安全法》与《数据安全法》的规定， 慎重处理跨境数据传输的问题。

对于企业(尤其是互联网企业)而言，《个人信息保护法》要求的企业合规内容多而杂，可能涉及企业多个部门，因此企业应根据自身实际情况有一个完整的应对思路和方案， 所有部门都应当做好调整和配合的准备。

我国的《个人信息保护法》吸收了国外立法的优秀做法以及过往国内实践宝贵经验，可谓是“集大成者”，真正把我国对个人信息保护提升到了新的水平；但“徒法不足以自行”，个人信息保护法还有待于包括企业在内的各方一起努力，才能真正起到保护公民个人信息、维护公民网络空间权益以及促进信息合理利用的作用。

注释：

[1] 个人信息处理者不仅仅包括企业，也包括政府部门、事业单位等；本文主要讨论企业的合规义务。

[2] 数据是信息的载体， 个人信息在网络环境下通常以数据形式存在，故在网络时代个人信息保护和数据保护不可分离。

[3] 参见《个人信息保护法》第58条。

[4] 参见《个人信息保护法》第五十二条：处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人，负责对个人信息处理活动以及采取的保护措施等进行监督。个人信息处理者应当公开个人信息保护负责人的联系方式，并将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门。

[5] 参见《网络安全法》第10条。

[6] 参见《数据安全法》 第25条。

[7] 参见《信息安全技术 个人信息安全规范》（GB/T 35273-2020）3.15条：通过对个人信息的处理，使其在不借助额外信息的情况下，无法识别个人信息主体的过程。

[8] 参见《信息安全技术 个人信息安全规范》（GB/T 35273-2020）第3.14条规定。

[9] 参见《网络安全法》第 25 条。

[10] 参见《个人信息保护法》第 29 条。

[11] 参见《个人信息保护法》第 55 条。

[12] 参见《数据安全法》 第28条.

[13] 《个人信息保护法》第54条规定：个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。

[14] 参见《个人信息保护法》第38条、第40条、第43条。

（本文仅代表作者观点，不代表知产力立场）

图片来源 | 网络

声明：本文来自知产力，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。