個人信息保護法解讀：常見合規場景與應對*

施建俊，王 瑾

（安永（中國）企業咨詢有限公司，上海 200120）

0 引 言

《中華人民共和國個人信息保護法》（以下簡稱“個人信息保護法”）的發布為企業的個人信息保護實務提出了新的挑戰。我們已經通過觀察法案變化亮點，解讀了企業的合規策略與能力建構重點，企業只有通過破解個人信息保護難點，才能找到賦能長效合規的解決方案。那么隨著企業數字化步伐的加速、數據戰略的擴展，面對當前快速迭代的產品、海量的數據價值挖掘和日益嚴峻的威脅局勢，企業應該如何應對？基于企業普遍面臨的問題，選取了三個常見的合規場景，與大家共同探討其應對策略。

1 產品隱私設計

面對新型的技術時，企業除了考慮該如何使用這項技術創造業務價值，也應該考慮是否尊重了用戶的隱私權利。在思考這些問題的同時，企業也面臨著一個巨大的痛點：隱私保護動作的滯后性將會帶來更高的成本投入與溝通內耗。

為了解決這些問題，原生隱私設計（Privacy by Design，PbD）的概念被提出并付諸實踐。

企業可以通過建立系統的工程方法，將隱私保護納入完整的產品開發流程中。這一過程中，企業不僅需要關注產品隱私設計流程、建立相應的隱私管理體系，更要著重關注該如何將此策略應用在設計實踐中。

1.1 建立隱私設計的管理機制

在產品開發和系統設計之初定義數字化產品隱私功能需求，能夠有效地實現對用戶隱私數據權利的主張與產品的隱私合規，圖1就是較為完善的隱私嵌入研發的全生命周期示例。企業建立隱私設計的機制和流程往往無法一蹴而就，而是需要通過跨職能協作、快速迭代和優化方能建立起高效的管理機制。

圖1 隱私嵌入研發全生命周期示例

1.1.1 自上而下的管理機制建設

在隱私設計管理機制定義初期，需要企業高層意志明確，自上而下地推動流程機制的建立，明確各部門協作分工的基調，堅定隱私保護團隊與業務部門之間是合作模式，而非監察模式。針對安全成熟度較高的大企業，應立足于國內外隱私標準，結合業內最佳實踐，基于企業本身的隱私保護管理體系形成一整套隱私設計開發管理框架。而對于大部分中小型企業，可以以“小步快跑”的形式，針對業務特點、產品特性建立最重要的流程和指引。比如SDK提供商，應優先針對SDK開發需求進行明確，并在上線前進行檢測。

1.1.2 自上而下的管理機制建設

企業應建立項目關鍵節點，根據產品研發項目管理流程，選擇合適的節點開展隱私安全評審工作，并明確在各個節點各人員的角色分工及職責要求。“三步走”的實施步驟可為企業提供參考：

第一步，需求分析。應至少包含對于隱私合規需求與業務需求的界定，由業務團隊和隱私合規團隊共同確認最終的產品需求。

第二步，產品設計與開發。業務團隊根據產品需求，輸出產品設計說明書，經隱私合規團隊評估合規性并溝通修改后，形成最終版的產品設計說明書，交付技術開發團隊進行產品開發及編碼實現。

第三步，測試與實施。測試團隊與業務團隊在測試運行中確保系統能夠滿足隱私保護要求，并出具測試報告交由隱私合規團隊進行審核以確認上線。

1.2 關注熱點——移動App隱私合規設計

移動App隱私合規是當前炙手可熱的話題，如何保證在不斷開發迭代的過程中均不會出現問題，保證每一個發布的新版本都滿足個人信息保護的合規要求，將安全和個人信息保護的要求嵌入DevOps流程中至關重要。

企業在移動App開發流程中實現原生隱私設計的初期，可能無法覆蓋全生命周期的所有環節。企業可以選重要的流程進行卡點，比如產品需求階段的隱私合規評審、產品上線前的隱私檢查、第三方SDK[1]的引入檢查等。

以引入新的SDK為例，當由于業務的需求引入新的SDK時，需要對SDK進行隱私合規評審。同時，App提供者還應該要求SDK提供方對其安全能力進行說明，提供安全評估報告，并通過合同等形式共同約定雙方在防止惡意行為、安全漏洞響應、數據安全防護、個人信息安全保護方面各自應承擔的責任和義務，并做到信息披露及時、準確。一旦確認引入新的SDK，應將個人信息保護需求作為非功能性故事用例提出交付開發團隊，如表1所示，明確SDK嵌入使用的具體開發要求與相應的測試用例。

表1 SDK的個人信息保護要求示例

產品上線前，隱私合規部門除了對開發團隊提供的測試驗證文檔進行審閱以確保滿足隱私合規要求外，還可以考慮將自動化掃描工具嵌入CI/CD流程中，對可能存在的隱私風險如SDK超頻收集個人信息、授權前收集個人信息、后臺調用等風險進行識別。

此外，除了SDK的合規使用，根據移動App的個人信息收集使用合規[2]還應當重點關注以下幾個方面：

其一，移動App的隱私政策內容及展示。除了內容需要清晰易于查閱，包含收集使用的個人信息及其目的、App運營者的基本信息等內容外，還需要在用戶首次啟動App時通過彈窗的方式或單獨的頁面提示隱私政策。彈窗至少要包括3個元素：隱私政策內容的重點介紹、訪問鏈接、同意/拒絕選項。

其二，個人信息收集時的授權同意。在收集用戶個人信息時，又分為用戶主動提交個人信息和App自動收集個人信息。當用戶主動提交個人信息時，需要獲得用戶授權，針對個人敏感信息，應獲取用戶的單獨授權，向用戶明示收集、使用個人信息的目的、方式和范圍。當App自動收集個人信息時，應注意僅能在用戶授權同意后（一般在同意隱私政策之后）開始進行收集。同時，應當在隱私政策中聲明所收集個人信息的方式、類型、頻率和目的等。

其三，系統權限的申請與調用。移動App調用系統權限屬于個人信息收集的一種方式。在實踐中，App會調用位置信息、拍照等系統權限以獲取用戶的GPS定位信息或頭像等個人信息。在App隱私合規設計時，推薦的做法是為每個系統功能設計一個單獨的彈窗，明確App啟動時需獲取系統權限的場景，以及后續業務場景中需要獲取的系統權限。通過此設計也可以實現在下次啟動App時，對用戶選擇“禁止”的功能進行單獨彈窗。

其四，用戶權利的實現。移動App應為用戶提供查詢、修改、刪除個人信息，注銷賬號，撤回同意，投訴等用戶隱私需求的渠道。例如，用戶提交的個人信息、評論、收藏的功能等應當可以進行訪問、修改和刪除；又如根據合規要求，移動App中應提供賬號注銷的功能，除了前端提供注銷按鈕方便用戶進行注銷，還應將后臺的賬號所涉及的個人信息進行去標識化處理，如手機號碼、地址等信息。若移動App會根據用戶個人信息、行為數據等進行個性化推送，移動App應為用戶提供關閉個性化推送的開關。

總之，個人信息的保護不應該是一種事后的控制，僅在合規問題出現后才進行補救。伴隨著公民隱私保護意識的覺醒，隱私與安全性逐漸也成為各大知名產品的宣傳點和競爭優勢。在產品需求、開發、上線的過程中嵌入隱私設計，將個人信息保護的要求考慮在內，不但能達到事半功倍的效果，更能為品牌贏得更多消費者的信任。

2 當隱私遇到大數據

在當今的企業運營過程中，數據不再僅僅是停留在信息系統后臺的信息載體，而是為業務賦能的寶貴資源。通過分布式存儲等基礎設施來高效處理來自多渠道的海量大數據，已然成為企業使用數據賦能的不二選擇。為保證企業靈活運用大數據賦能業務的同時落實個人信息保護，我們建議企業在應用大數據技術過程中應當關注五大重點。

2.1 數據合法基礎：多渠道個人信息處理的授權同意管理

授權同意管理是企業個人信息保護的關鍵能力之一，而對于企業數據處理能力的核心系統——大數據平臺來說，授權同意管理直接影響著其合法利用個人信息為業務賦能的能力。

針對不同的個人信息數據源，企業在獲得個人同意的過程中可能面臨不同的挑戰：

一種情況是，第一方數據的挑戰。

企業通過自建的個人信息收集渠道或觸點所收集得來的用戶個人信息。企業對第一方數據收集的方式、具體信息類型、收集頻率、用戶旅程等有著直接的決定權。盡管企業可以通過隱私協議、彈窗或其他交互形式來獲得用戶的授權同意，但由于大數據處理目的繁多且存在較大的可擴展性，仍需企業在用戶界面、文本和交互形式等方面設法滿足用戶充分知情的法律規定。

另一種情況是，第三方數據的挑戰。

模式A：企業通過在第三方平臺建立用戶觸點所間接收集的個人信息，如微信、天貓用戶資料等。企業往往對這部分數據的獲得方式有一定的控制權，但所收集的具體方式和類型、頻率等會受到第三方平臺的限制。該情況下，企業在主動獲得用戶授權同意的同時，還需遵守渠道平臺的統一規則以及平臺與用戶之間的個人信息保護政策中所規定的條款。

模式B：企業通過第三方服務間接獲得的用戶在第三方觸點所留下的個人信息，如企業進行在線廣告投放后所獲得的用戶設備、行為信息。企業獲得這部分數據時往往不會與用戶有直接的接觸。企業往往會通過合同的形式來約定數據處理的范圍以及數據安全、獲取授權同意的責任歸屬，但企業通常較難驗證第三方數據的實際授權情況。

挑戰不止于收集個人信息時獲得授權同意。在保證合法性基礎的前提下，如何基于授權同意來對大數據的處理方式進行限制，也是企業使用大數據技術應當關注的重點與難點。此外，根據個人信息保護法第十五條，基于個人同意處理個人信息的，個人有權撤回其同意。企業除了在用戶觸點保障用戶撤回授權同意的權利，內部數據處理平臺中也應當及時同步授權狀態。

面對繁雜的授權同意管理，我們提出以下幾點建議：

第一，企業應建立組織內一致、高顆粒度的用戶授權管理機制。在大數據處理系統中，通過技術手段實現對用戶授權同意狀態的自動化管理，保證用戶提供、改變、撤回授權同意，以及在用戶授權同意情況較為模糊的情況下，有效管理相關聯的數據處理活動，并留下合規性審計證據。

第二，企業應建立完善的數據引入管理機制。企業在向大數據平臺導入數據時，均應進行個人信息保護影響評估，確保數據在大數據平臺中的處理活動在用戶授權范圍內。針對三方數據，應在合同條款中明確數據合法性的責任、使用目的的限制等要求，并在必要時進行適當的盡職調查。

第三，企業應實施隱私設計機制以實現多觸點、細粒度的用戶授權同意管理機制，確保采集一方數據的觸點在設計之初便有著細顆粒度的用戶授權同意機制，并通過用戶界面為用戶提供充分的透明性和決定權。

針對內控相對較弱的中小企業，在風險控制與業務的天平之間更容易傾向于后者，負責法務和安全的團隊往往對業務部門的管控水平較低；此外，在整個數據生態鏈中，中小企業與互聯網平臺等第三方數據提供方的議價能力也較弱，往往會成為合規風險轉移的接受方；同時，大數據平臺安全和隱私管控的增強往往需要更多的資源投入和更專業龐大的團隊支撐。在內外交困的形勢下，中小企業較難形成復雜的授權同意管理機制。針對這種情況，我們建議中小企業對數據來源進行梳理并對其合規風險進行評估，在保證一方數據的合法性的前提下，通過減少非必要數據和匿名化等手段降低對三方數據的依賴性，從數據來源上盡可能地降低合規風險。

2.2 弱化身份指向：個人信息的去標識化處理

去標識化是企業實施個人信息保護、有效降低個人信息安全風險的重要手段之一，也是打開數據主動權的重要方式。將大數據平臺內用于業務處理的個人信息進行必要的去標識化處理，并與原始信息進行隔離存儲并實施嚴格的訪問控制，將會很大程度上降低數據泄露的風險。在實踐中，如何確保去標識化的有效性、降低重標識風險，與此同時確保信息的業務價值不被損害，為諸多企業帶來了不小的挑戰。

企業應意識到，去標識化工作不僅僅是脫敏處理，而應是完整的管理閉環，就此我們提出以下三點建議：

第一，制定、實施數據分級分類及保護制度，對大數據平臺中存儲的數據進行發現和識別，并針對不同敏感級別的數據采取不同的保護措施。

第二，針對不同級別和類別的個人信息，建立適用于企業不同場景的個人信息去標識化技術指引。企業可參考相關指南[3]制定去標識化的標準和指引，對于部分特殊行業，還可參考行業監管部門的指導性建議，如金融行業的信息保護技術規范[4]就提供了個人金融信息隱藏規則的示例。

第三，恰當采用統一的平臺和工具來進行數據去標識化處理，保證實施規則與設計要求相符合，實施效果可控，防止出現依賴于工程師安全意識而導致去標識化效果無效的情況出現。

2.3 個人權益保護：大數據處理和自動化決策的監督管理

基于大數據的智能決策為業務目的賦能，是大數據的價值所在，也是大數據的“危險”之處。若大數據算法由于設計本身或訓練數據集的偏差而導致算法帶有歧視，同時企業對大數據處理結果缺乏有效控制，那么除了“大數據殺熟”，還可能會對個人信息主體其他合法權益帶來更加嚴重、隱蔽的損害。

個人信息保護法第二十四條做出規定：“通過自動化決策方式作出對個人權益有重大影響的決定，個人有權要求個人信息處理者予以說明，并有權拒絕個人信息處理者僅通過自動化決策的方式作出決定。”并在第五十五至五十六條中要求，利用個人信息進行自動化決策前，應進行個人信息保護影響評估，對個人權益的影響及安全風險等方面進行評估。

企業在業務運營過程中，應當建立大數據處理結果和自動化決策的監督和管理機制：

第一，在算法設計與模型訓練時應對算法的歧視、數據集的偏差進行有效評估和管控，合理平衡個人信息主體權利，并建立問責追責制度。

第二，在進行個人信息自動化決策處理前，應進行個人信息保護影響評估，分析決策結果對個人信息主體合法權益的影響，進行用例審閱和審批，并在使用過程中定期（至少每年一次）進行影響評估，以在必要情況下進一步采取保護個人信息主體的措施。

第三，在大數據平臺數據處理與自動化決策的功能下，應當提供有效的人工干預能力，并支持對自動化決策結果進行人工復核。

第四，建立透明性機制，為個人信息主體提供便利的查詢、咨詢和投訴渠道，為處理機制進行充分的說明和解釋，并提供不針對個人的選項與停止自動化決策的服務方式。

第五，提供救濟渠道，在個人信息主體權益受到損害時，為主體提供救濟和補助、補償。

2.4 安全基礎保障：大數據平臺的網絡安全技術防護

對于大數據平臺來說，大數據常見開源架構在設計初期對安全的考慮不足和大數據的天然特性等因素，給企業也帶來了新的安全風險。然而，這些平臺級別的安全風險會直接或間接導致數據泄露的風險，如大量不同類型及不同敏感程度的數據匯聚所導致的數據泄露風險、組件自身安全管控措施不足所導致的訪問控制缺失風險、用戶擁有較大的自由度而導致的越權風險以及服務器及開放服務數量所導致的運維風險等。

由于大數據平臺的安全所涉及的領域復雜多樣，我們在此僅針對其安全技術防護思路提出如下五個高階建議：

第一，大數據平臺選商時應對其安全能力進行評估，選擇具有相關安全認證的產品，并在合同中進行相關責任的明確。尤其針對很多中小型企業，其安全技術內審能力仍有待提高，對廠商存在較高的依賴性，安全認證與合同規定可能是行之有效的第一層保障。

第二，建立覆蓋數據全生命周期的安全防護，如數據源的認證、傳輸加密、數據加密存儲、數據流動檢測等技術。

第三，引入身份認證和訪問控制機制，包括用戶和組件，防止數據的未授權訪問。針對成熟度較高及角色復雜的企業，應考慮針對不同的用戶采取不同級別和類型的數據的細粒度訪問權限控制。

第四，從被動防御向主動檢測轉變，提前識別數據泄露風險。利用用戶行為日志，結合業務使用場景制定規則，對異常行為進行分析與監控，主動發現數據泄露的隱患點，及時采取補救措施。

第五，保證大數據平臺基礎設施安全，如針對主流平臺建立基本安全配置基線，確保所有組件的配置項符合基線要求。

總之，大數據中的個人信息保護不僅關乎合規，更關乎著客戶對企業的信任。企業應當視挑戰為機遇，將個人信息保護打造成為企業大數據應用中的內生能力和核心價值，使其為企業賦能的同時幫助企業與客戶間建立信賴。

3 致勝應急響應

許多企業為了達到合規的目標，已經建立了針對個人信息安全事件的響應計劃和應急預案。然而在實踐中，企業往往面臨著從組織架構、響應流程到技術支持、協作分工等諸多挑戰。主要包括：

第一，職責分工不明且缺少及時的資源支持，導致實踐處理時機延誤。

第二，安全事件識別能力不足，難以發現或收集事件的相關信息。

第三，缺乏數據流轉與血緣信息，難以快速定位影響范圍和泄露渠道。

第四，安全防御覆蓋面不足，無法全面檢測潛在事件。

第五，事件記錄不充足，難以滿足事件分析的必要需求。

3.1 事前準備，謀定而后動

挑戰在前，企業應當如何應對？制勝應急響應還應從事前準備做起，可從人員、技術、流程三個方面入手。

人員方面的準備包括：個人信息相關事件的應急響應，不僅僅是一個技術問題。針對大型的企業，關鍵職能如信息技術、公共關系、法務、人力資源和內控等部門，都應作為應急響應小組的成員，從專業角度提供事件處理的意見與建議，幫助企業更好地解決事件所帶來的影響；而針對中小型企業，公司內部應當至少指定一位事件接口人進行協調，并賦予該同事在緊急情況下調配資源的權限。事件響應外包專家也是國外的最常見做法，以應對企業人員技能缺失的情況。

業務部門，作為個人信息的負責人，有責任和義務為事件的響應提供支持。

接受委托為企業處理個人信息的受托人，應當充分知曉其在應急響應中的職責以及事件發生時的溝通機制，必要時成為應急響應小組的編外成員。

技術方面的準備包括：安全體系建設相對成熟的企業應結合業務場景、IT系統對所面臨的個人信息安全風險進行威脅建模，構建自己的多層級縱深防御體系，鋪排基于網絡、終端、應用、數據的監測體系，實現多渠道日志的集成與聯動分析，基于威脅場景進行監控，建立不同數據處理角色的基準與風險評分，識別異常行為。

預算相對有限的中小型企業可以考慮采用開源的日志系統，并基于風險最小的數據泄露場景提取最關鍵的日志信息進行分析，比如關鍵系統的重要數據操作日志、遠程訪問日志等進行聚合，分析各種潛在威脅，并定義相應的安全等級按照高中低危告警并通知IT或安全團隊進行處理。比如針對提供專業客服的企業，可考慮將客服系統的接線日志與客戶關系管理系統中查詢用戶個人信息的日志進行關聯分析，識別出客服人員的異常行為，例如查詢用戶數量遠大于接線日志，則可能存在濫用權限查詢用戶個人信息的風險。

流程方面的準備包括：檢測應急響應預案是否有實操價值的最佳方式便是開展演練工作。演練方式應當根據業務場景、涉及人員等因素進行選擇，讓應急響應演練不再是一紙文書，而是意識提升或流程檢測的手段。目前主流的應急響應演練方式可分為：提升企業管理層應急響應和執行團隊意識及流程熟悉度的桌面沙盤演練；檢測單個系統或特定崗位（如安全運維中心）應急響應部分功能的實際演練，如紅藍對抗；檢測企業綜合響應能力的全面演練。

3.2 事中應對，亡羊補牢未為遲

面對當前不斷精進的攻擊手段以及靈活的業務合作生態，個人信息安全事件的發生已經難以避免。但企業仍能通過各種手段，將此類事件的損失降到可接受范圍內，減少對個人信息主體及企業造成的危害。我們建議，當事件發生時，企業需要關注的是如何進行快速止損以及事件的溯源取證。

當企業識別到可能發生或已發生的個人信息事件時，可通過數據樣本對比等方式，確定可能受影響的數據源，并對于可能受影響的數據源制定可行的遏制措施，以防止事件擴大[5]。對于這些遏制措施所帶來的業務影響，應急響應小組與相應業務部門應當進行評估與協商，管理層應當在損失與影響之間進行權衡與決策。

個人信息相關事件可能是由不同類型的原因造成的，企業根據其自身具備的條件所采取的遏制措施也有所不同。以下舉兩個常見的事件類型：

對于外部攻擊導致的事件，我們應進行如下處理：

第一，分析受影響主機的相關日志（例如主機進程、網絡日志等）以及潛在可疑文件進行排查，調查并溯源黑客的攻擊方及攻擊路徑。

第二，盡快下線受影響服務器。如果主機下線會影響到關鍵業務，應盡可能切斷主機的外網訪問權限。

第三，根據調查過程中發現的攻擊方式、攻擊路徑以及可疑文件等整理出本次事件相關的IOC，并通過SIEM或EDR等安全解決方案檢查黑客橫向入侵的痕跡。

第四，對受到黑客橫向移動影響的主機進行排查，確認橫向移動是否成功，并對所有受影響主機進行清理。如果有必要，建議重裝系統后上線。

第五，緊急處置完成后，應考慮對受影響系統進行后續安全加固工作，例如安裝補丁。

3.3 事后復盤，前事不忘后事之師

事件結束之后，首要任務便是事件的總結與復盤，防止事件再度發生，并進一步提升事件的應急響應效率。應急響應小組應識別出在實際事件響應和調查分析過程中遇到的問題，可以分為兩類：

一方面，進行安全事件根本原因分析。根據過往經驗，我們從賬號管理、安全基線、數據安全、日志及監控四個維度總結了部分可能導致企業個人信息安全事件的不當控制如表2所示。

表2 安全事件根本原因示例

另一方面，研究應急響應流程問題。應急小組可以通過召開復盤會議的形式，組織應急響應涉及的人員對整個過程的執行步驟和效果進行反饋。

針對尚未發布應急響應預案的企業，在復盤階段，參與到事件應急響應的成員應記錄自身在應急響應過程中執行的操作，向應急響應負責人反饋，由信息安全部門主導制定和發布個人信息相關的應急響應預案，為之后類似事件的發生提供響應指南。

針對已發布應急響應預案的企業，應急響應預案應根據應急演練效果和實際應急響應流程，對應急響應預案進行迭代更新。在復盤階段，應急小組應結合實際情況，判斷應急流程是否按照應急響應預案嚴格執行，實際過程是否與預案有偏差，并究其原因進行相應優化。

事件復盤結束后，應急響應負責人應歸檔保存事件響應調查過程中的證據，形成事件調查報告，以供公司管理層、投資方、監管部門及履行個人信息保護職責的部門后續查閱。

企業同時也應防范重標識攻擊，避免攻擊者通過其他維度或關聯信息進行關聯或推斷。

4 結 語

作為中國首部個人信息保護方面的專門法律，《中華人民共和國個人信息保護法》的頒布將引領整個社會步入一個新的篇章。同時，亦如《中華人民共和國網絡安全法》生效后的四年以來，監管部門不斷完善其支撐條例與執法細則，可以預見的是未來會有更多垂直行業、細分領域的個人信息保護的標準、指南以及行政管理細則出臺和落地。我們也期待各個企業能主動進取、審慎經營，化合規挑戰為機遇，共同構建可信的生態。