個人信息保護法解讀：企業合規要求與義務履行*

高軼峰，張楠馳

（安永（中國）企業咨詢有限公司，上海 200120）

0 引 言

2021年8月20日，《中華人民共和國個人信息保護法》（以下簡稱“個人信息保護法”）已由中華人民共和國第十三屆全國人民代表大會常務委員會第三十次會議正式通過，并于2021年11月1日正式施行。這部法律的頒布歷經三次全國人大會議審議，歷時303天，標志著中國跨入了在個人信息保護領域具有符合自身特色的專門法律的新時代。

1 個人信息保護法對企業的合規要求

法律法規的要求是企業開展業務的合規底線，不容忽視。企業應結合以下合規紅線，審視自身個人信息處理相關的業務，積極應對個人信息保護合規。

1.1 技術及法律進步需要

在個人信息保護法中，明確了個人信息處理的七項合法依據。“同意”作為企業大部分場景使用的個人信息處理合法依據之一（第十三條），也規定了其他需要取得同意/單獨同意的場景。同時，對于同意的有效性（第十四條）、撤回同意（第十五條）、拒絕同意（第十六條）、重新獲得個人的同意（第十四條、第二十二條、第二十三條）等進行了規定，企業在客戶觸點要求更多的同意和控制，如表1所示。

表1 個人信息處理中需要獲取“同意”的場景

除“同意”外，企業可以通過履約、履責等合法依據對個人信息進行處理，詳細情況如表2所示。

表2 個人信息處理的合法依據

對企業來說，應特別注意避免將個人信息主體置于“被動”或“無感知”的情形，慎重使用“為履行個人作為一方當事人的合同”作為合法依據的情形。若使用“履約”作為合法依據，應充分驗證和證明處理的個人信息確為履行個人作為一方當事人的合同“所必需”。同時應注意目的限制，若要將基于合同目的收集個人信息用于其他目的時，應尋求其他的合法依據。

另外，企業在個人信息保護中，出于人力資源管理目的而存在的雇主與雇員關系上固有的不平衡性，導致對于員工個人信息處理的同意無法享有充分自由權利，企業對員工個人信息的保護相較于對客戶個人信息的保護而言略顯滯后。企業在使用“實施人力資源管理所必需”作為處理員工個人信息的合法性依據時，應僅限于按照依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理所必需的場景，審視職場數據處理的“必要性”，防止該合法依據淪為濫用員工數據的“擋箭牌”。同時也應遵循透明度原則，及時制定相關政策文件來保障員工合法權益。

若企業在公共場所采集個人圖像、身份識別信息，應恰當選擇其處理的合法性依據。根據個人信息保護法第二十六條，出于維護公共安全目的，在公共場所安裝圖像采集、個人身份識別設備的，應顯著標識以進行告知；收集的個人圖像、身份識別信息不能用于除維護公共安全以外的目的，除非取得個人單獨的同意。結合近期公共場所人臉識別案件，企業收集人臉信息用于商業營銷目的時，僅在門店區域進行顯著標識已無法滿足收集的合法性，除非獲得個人的單獨同意。采集人臉信息對企業來說合規的門檻已大大提升，企業應審慎開展人臉識別相關業務。

1.2 保障個人信息主體的權利

在個人信息保護法第四章中明確了個人在個人信息處理活動中的權利，包括知情權、決定權、限制處理或拒絕權、查閱和復制權、可攜帶權、更正和補充權等。其中，可攜帶權是個人信息查詢、復制權的重要補充，當個人提出此類請求時，若符合國家網信部門規定條件，個人信息處理者應提供個人信息轉移的途徑。GDPR、CCPA等國外隱私法中也規定了數據可攜帶權，使用戶能夠自我管理和重復使用個人信息，增強用戶對個人信息的控制權，促進數據流動，有助于防范企業數據壟斷、數據不正當競爭[1]。

另外，用戶可以在個人信息的收集、使用、保存、共享等全生命周期內行使撤回權利。同時企業應向個人信息主體明示撤回同意的方法，確保該方法便捷易操作，且能及時獲得響應。對于“便捷”和企業及時響應的落地，可參考《App違法違規收集使用個人信息行為認定方法》第六條執行，對于撤回同意不應設置不必要或不合理條件，未及時響應用戶撤回同意操作，需人工處理的，應承諾時限內（承諾時限不得超過15個工作日，無承諾時限的，以15個工作日為限）完成核查和處理。個人撤回同意，但不影響撤回前基于個人同意已進行的個人信息處理活動的效力，企業仍可保留同意撤回之前對于個人信息的處理活動與結果。

企業在應用自動化決策算法時，也應保障個人信息主體權利。個人信息保護法第二十四條明確企業應保證決策的透明度和結果的公平、公正性，不得利用算法實行價格歧視等差別性待遇。這一要求從立法層面有力回應了“大數據殺熟”的現象，表明了國家對個人權益的尊重和保障。其次，通過自動化決策向個人推送消息、商業營銷時，企業應保障個人的選擇和拒絕權，即企業應同時提供非個性化推薦的選項或者提供便捷的營銷信息退訂的渠道。最后，若企業使用自動化決策作出對個人權益有重大影響的決定時（如信貸審批、工作錄用、大學錄取等場景）[2]，個人有權拒絕僅通過自動化決策作出的決定；當個人提出異議時，企業可采用人工介入的方式進行決定。

1.3 與受托人約定必要保護義務

個人信息保護法第二十一條、第五十九條明確，企業在業務委托合同中應與受托人約定處理目的、期限、處理方式、信息種類、保護措施以及雙方的權利與義務。同時企業有責任對受托人的個人信息處理活動進行監督，確保受托人處理行為依照合同約束開展。監督行為可通過對受托人的現場審查、發放評估問卷等形式定期開展，同時保留記錄存檔。

接受委托處理個人信息的受托人，應當履行個人信息保護法規定的相關義務，同時有義務協助個人信息處理者履行個人信息保護法的要求。

1.4 個人信息出境遵循評估原則

根據個人信息保護法第三章，企業涉及個人信息出境時，應遵循“境內存儲”原則，確有必要向境外提供個人信息的，應事先進行個人信息保護影響評估，明確個人信息出境的合法依據。企業特別是跨國公司、境外企業需審慎處理個人信息出境。個人信息出境的合法依據如表3所示。

表3 個人信息出境的合法依據

個人信息出境的告知與同意原則：企業向境外提供個人信息，需向個人告知境外接收方的名稱或者姓名、聯系方式、處理目的、處理方式、個人信息的種類以及個人向境外接收方行使權利的方式和程序，并確保取得個人的單獨同意。值得注意的是，GDPR中“同意”是個人信息出境的合規依據之一，但是在個人信息保護法中獲取“單獨同意”是個人信息出境的必選項。

境外司法調取個人信息的事先批準原則：對于企業涉及案件調查、訴訟請求需向境外執法或司法機構提供存儲于境內的個人信息時，需經由中華人民共和國主管機關批準。

1.5 管理證據留痕以應對歸責

根據個人信息保護法第六十九條，違反個人信息保護法規定處理個人信息，侵害個人權益造成損害，企業無法證明無過錯的，需要承擔賠償責任。企業對于已采取的安全保護措施需要保留盡職證據鏈，以自證清白。通過對個人信息保護體系中關鍵證據的梳理，尋求主動合規。而這種主動性可以通過以下三步進行實現：

第一步：從個人信息保護體系構成要素入手，梳理分析流程操作；

第二步：綜合專業知識與監管資料解讀，羅列各流程節點中的關鍵控制點；

第三步：形成證據鏈列表，并檢查有效性。

2 企業如何履行個人信息處理者義務

企業如何體系化應對個人信息保護法合規要求，提升個人信息保護能力，履行個人信息處理義務，企業可從治理層、策略層、技術層三個層面進行設計與落實，由點及面、由表及里地履行企業作為處理者的義務，實現企業個人信息保護全面地、動態地合規，幫助企業構建個人信息保護治理藍圖，實現個人信息保護合規的可持續化。

2.1 治理層義務

有效的跨職能協作和明確的問責制將是證明個人信息保護關鍵能力的重要組成部分。個人信息保護組織職能可根據“三道防線”原則進行劃分，同時應與“C”級人員保持聯系。

第一道防線：主要職責是業務層面和操作層面的個人信息保護，企業的業務部門（如銷售、運營、市場等）、職能部門（如人力資源、IT等）承擔在實際工作中踐行和落實個人信息全生命周期保護要求的職責，如開展個人信息安全影響評估、收集個人信息前獲得用戶授權等。

第二道防線：主要職責是個人信息保護風險管理，由個人信息保護辦公室、法律合規部、內控團隊等承擔企業整體個人信息風險管理工作，如制定企業整體個人信息保護策略、開展整體個人信息風險評估、提供合規建議等。

第三道防線：主要職責是對個人信息保護的審計，由企業的審計監督部門負責，負責驗證關鍵績效指標、審查訪問流程和程序、個人信息保護框架驗證等。

表4為個人信息保護三道防線示例，企業可根據自身組織架構和職能分布，設計符合企業內部情況的個人信息保護治理體系。

表4 個人信息保護三道防線示例

2.2 策略層義務

2.2.1 個人信息分類分級保護

個人信息保護法要求企業對個人信息實行分類管理，《中華人民共和國數據安全法》明確要求對數據進行分類分級保護。企業應對個人信息進行統一分類，確保各類個人信息在任何時候都得到適當的保護。企業個人信息分類分級工作和企業數據分類分級工作可結合開展，如表5所示。

個人信息分類：企業可基于自身行業特性，參考GB/T 35273—2020《信息安全技術 個人信息安全規范》和行業標準確定企業內部個人信息分類標準，全面識別企業涉及的個人信息。

個人信息分級：各行業對個人信息或者數據可參考上述標準中的定級要素進行定級，即根據數據安全性遭受破壞后影響對象和影響程度進行數據分級。

分級保護策略：企業應根據個人信息生命周期進行風險管控，包括分級權限管理、敏感個人信息加密/脫敏、安全審計等多個方面。

2.2.2 個人信息保護影響評估

個人信息保護法規定個人信息處理者涉及以下場景之一，應開展“事前”的個人信息保護影響評估：

第一，處理敏感個人信息；

第二，利用個人信息進行自動化決策；

第三，委托處理個人信息、向其他個人信息處理者提供個人信息、公開個人信息；

第四，向境外提供個人信息；

第五，其他對個人權益有重大影響的個人信息處理活動。

個人信息保護影響評估應圍繞個人信息的處理目的、方式等的合法、正當、必要性展開，評估對個人權益的影響及安全風險以及所采取的安全保護措施的合法、有效性。個人信息保護影響評估報告和處理情況記錄應當至少保存三年。

個人信息安全影響評估可分為合規差距評估和盡責性風險評估兩類[3]。

合規差距評估：識別個人信息處理活動已采取的安全控制措施，與相關法律、法規或標準的具體要求之間的差距，如產品或服務年度評估、新活動或服務符合法規基線評估、經營或法規環境變化時的評估等。

盡責性風險評估：企業可選取對個人權益可能產生高風險的個人信息處理活動進行盡責性風險評估，盡可能降低對個人權益的不利影響。高風險個人信息處理活動包括處理敏感個人信息、利用個人信息進行自動化決策、委托處理個人信息、向他人提供個人信息、公開個人信息、向境外提供個人信息、其他對個人有重大影響的個人信息處理活動。

個人信息保護影響評估流程如圖1所示。

圖1 個人信息保護影響評估流程

第一，評估觸發。新的產品或服務發布前，業務部門應識別是否涉及個人信息處理活動，根據判定條件觸發評估。

第二，評估準備。在評估前對個人信息處理過程進行全面的調研，了解業務邏輯流轉情況，梳理涉及個人信息處理活動的內外部相關方、信息系統、數據類型等。

第三，風險識別。根據梳理的個人信息處理情況，分析個人信息保護策略的執行情況、相關法律法規與政策標準的符合性情況，識別存在的風險。

第四，風險評價。綜合分析個人信息處理活動對個人權益的影響程度和個人信息處理活動發生安全事件的可能性要素，得出風險等級。

第五，風險處置。根據個人信息保護風險等級結果，采取相應的風險處置措施，對中高風險事項應限期整改。

第六，生成報告。完成評估流程并落實風險處置措施后，將個人信息安全影響評估報告送至相關部門審核，審核通過后，業務部門方可開展該個人信息處理活動。

2.2.3 個人信息最小化管理

如圖2所示，個人信息的最小化管理涉及個人信息收集、使用、存儲、銷毀的全生命周期環節，應重點關注以下三個方面：

圖2 企業個人信息最小化管理示例

數據收集最小化：數據收集的活動應遵循“非必要不采集”的原則進行開展。個人信息字段收集得越多意味著企業對個人信息的保護責任越大。企業在進行個人信息收集活動前，可結合以下因素，判斷個人信息收集是否符合最小化原則：

其一，是否為法律法規要求所必須？

其二，該處理是否真的能實現目的？

其三，是否有其他對用戶影響更低的方式實現目的？

其四，若有，其他方式是否投入成本太高？

其五，該數據是否為履行合同或安全風控所收集？

其六，對用戶權益是否有影響？

其七，用戶是否能從中獲益？

權限控制最小化：企業在個人信息的使用中，應根據“須知模型”確保權限控制最小化。企業可根據業務需求，對權限控制進行管理，確保符合最小化要求。權限控制最小化可體現在包括應用系統的訪問及獲取數據的權限控制、系統間數據接口的權限管控、辦公數據管控等。

存儲時間最小化：個人信息的存儲時限除滿足一些行業的特殊監管要求外，企業應當設定個人信息存儲的時間并且在超出期限后進行定期刪除或匿名化處理。企業個人信息存儲時限可根據業務必要保留時長、法律法規要求、行業公允的有效數據時限、用戶體驗等方面進行定義。

2.2.4 個人信息安全事件應急響應

個人信息保護法（第五十七條）明確了個人信息處理者對于個人信息安全事件的責任和義務，明確個人信息處理者在“發生或者可能發生”個人信息“泄露、篡改、丟失”時，應當立即采取補救措施，并通知履行個人信息保護職責的部門和個人。與《中華人民共和國民法典》《中華人民共和國網絡安全法》《中華人民共和國消費者權益保護法》的要求一脈相承。企業在實踐中不僅要保護個人信息的保密性，還應保護個人信息的完整性和可用性。對于風險隱患也應進行有效監控，做到事前、事中、事后的管控。

企業應根據自身業務及組織架構制定可執行的個人信息安全事件應急響應流程和預案，并定期組織相關方開展演練。個人信息安全事件應急響應流程如下：

第一，識別階段：企業應定義上報的渠道，可通過投訴、員工報告、供應商報告等渠道獲得個人信息安全事件的報告。同時，還應通過相關的技術檢測、輿情監測及時發現個人信息安全事件或疑似事件。

第二，處理階段：各業務/部門隱私保護負責人在確認事件級別及開展影響性分析后，應上報個人信息相關主管人員。在確認事件后，應組織協調各業務部門、IT部門開展事件的處理。

第三，通報階段：確認事件等級后，相關主管人員應根據各地監管要求，進行外部監管機構及受影響用戶的通報。目前部分行業監管已有明確要求，如《中國人民銀行金融消費者權益保護實施辦法》中明確了信息泄露、毀損、丟失時的上報時效、上報對象和上報內容。

第四，關閉階段：事件處理完畢后，相關主管人員應對結果進行確認，并組織相關部門開展事件的復盤，避免個人信息安全事件的再次發生。

2.3 技術層義務

2.3.1 數據加密

數據加密是企業對客戶個人信息保護的有力保障。個人信息保護法第五十一條要求個人信息處理者采取相應的加密、去標識化等安全技術措施保障個人信息安全。

數據加密關注數據在傳輸中的加密及存儲中的加密，具體情況如表6所示。

表6 數據加密措施示例

隨著個人信息的廣泛使用、監管力度的加強，企業既要滿足業務需求、實現個人信息流動的安全與高效，又要積極響應監管要求、落實個人信息保護機制，于是隱私計算技術成為破解數據加密保護與數據價值利用矛盾的一劑良方。隱私計算能實現數據不出域情況下的數據“可用不可見”。根據中國信通院統計，目前隱私計算主要應用于聯合風險、聯合營銷、智能醫療、智能政務等領域[4]。企業可根據自身業務場景選擇適合的隱私計算技術，當前主流的隱私計算技術主要體現為多方安全計算、聯邦學習、可信執行環境。

2.3.2 數據去標識化和匿名化

數據去標識化和匿名化是企業打開數據主動權的重要方式。去標識化是指通過對個人信息的技術處理，使其在不借助額外信息的情況下，無法識別或者關聯個人信息主體的過程。匿名化是指通過對個人信息的技術處理，使個人信息主體無法被識別或者關聯，且處理后的信息不能被復原的過程。

企業日常運營中，可通過去標識化技術如泛化技術、抑制技術、擾亂技術等來大大降低個人信息在流動及處理過程中的泄露風險，如圖3所示。企業在收集個人信息后，宜立刻進行去標識化處理；在個人信息展示界面宜采取去標識化處理等措施，降低個人信息泄露風險[5]。

圖3 數據生命周期保護技術示例

個人信息經匿名化處理后所得的信息不屬于個人信息。匿名化對企業的價值體現在——個人信息匿名化后可向第三方提供、合法地進行數據共享；也可用于統計分析和注銷賬戶后的匿名數據保存，便于企業開展數據價值的進一步挖掘。

在實踐中，個人信息去標識化并非完全消除個人信息泄露的風險，企業同時也應防范重標識攻擊，避免攻擊者通過其他維度或關聯信息進行關聯或推斷。

3 結 語

《中華人民共和國個人信息保護法》的發布，于公民個人來說代表著國家在尊重和保障人權方面所做出的積極努力，將我國憲法“個人人格尊嚴和自由不受侵犯”精神落實到具體個人信息保護立法之中；于企業來說，處罰條款中“五千萬或上年營業額百分之五”這一高額罰款力度時刻威懾著企業自律，約束企業依法履行個人信息處理者義務作為合規經營的紅線。因此，安永希望通過本篇解讀能幫助企業破局個人信息保護難點，找到賦能長效合規的鑰匙。