个人信息保护法解读：企业合规要求与义务履行*

高轶峰，张楠驰

（安永（中国）企业咨询有限公司，上海 200120）

0 引 言

2021年8月20日，《中华人民共和国个人信息保护法》（以下简称“个人信息保护法”）已由中华人民共和国第十三届全国人民代表大会常务委员会第三十次会议正式通过，并于2021年11月1日正式施行。这部法律的颁布历经三次全国人大会议审议，历时303天，标志着中国跨入了在个人信息保护领域具有符合自身特色的专门法律的新时代。

1 个人信息保护法对企业的合规要求

法律法规的要求是企业开展业务的合规底线，不容忽视。企业应结合以下合规红线，审视自身个人信息处理相关的业务，积极应对个人信息保护合规。

1.1 技术及法律进步需要

在个人信息保护法中，明确了个人信息处理的七项合法依据。“同意”作为企业大部分场景使用的个人信息处理合法依据之一（第十三条），也规定了其他需要取得同意/单独同意的场景。同时，对于同意的有效性（第十四条）、撤回同意（第十五条）、拒绝同意（第十六条）、重新获得个人的同意（第十四条、第二十二条、第二十三条）等进行了规定，企业在客户触点要求更多的同意和控制，如表1所示。

表1 个人信息处理中需要获取“同意”的场景

除“同意”外，企业可以通过履约、履责等合法依据对个人信息进行处理，详细情况如表2所示。

表2 个人信息处理的合法依据

对企业来说，应特别注意避免将个人信息主体置于“被动”或“无感知”的情形，慎重使用“为履行个人作为一方当事人的合同”作为合法依据的情形。若使用“履约”作为合法依据，应充分验证和证明处理的个人信息确为履行个人作为一方当事人的合同“所必需”。同时应注意目的限制，若要将基于合同目的收集个人信息用于其他目的时，应寻求其他的合法依据。

另外，企业在个人信息保护中，出于人力资源管理目的而存在的雇主与雇员关系上固有的不平衡性，导致对于员工个人信息处理的同意无法享有充分自由权利，企业对员工个人信息的保护相较于对客户个人信息的保护而言略显滞后。企业在使用“实施人力资源管理所必需”作为处理员工个人信息的合法性依据时，应仅限于按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需的场景，审视职场数据处理的“必要性”，防止该合法依据沦为滥用员工数据的“挡箭牌”。同时也应遵循透明度原则，及时制定相关政策文件来保障员工合法权益。

若企业在公共场所采集个人图像、身份识别信息，应恰当选择其处理的合法性依据。根据个人信息保护法第二十六条，出于维护公共安全目的，在公共场所安装图像采集、个人身份识别设备的，应显著标识以进行告知；收集的个人图像、身份识别信息不能用于除维护公共安全以外的目的，除非取得个人单独的同意。结合近期公共场所人脸识别案件，企业收集人脸信息用于商业营销目的时，仅在门店区域进行显著标识已无法满足收集的合法性，除非获得个人的单独同意。采集人脸信息对企业来说合规的门槛已大大提升，企业应审慎开展人脸识别相关业务。

1.2 保障个人信息主体的权利

在个人信息保护法第四章中明确了个人在个人信息处理活动中的权利，包括知情权、决定权、限制处理或拒绝权、查阅和复制权、可携带权、更正和补充权等。其中，可携带权是个人信息查询、复制权的重要补充，当个人提出此类请求时，若符合国家网信部门规定条件，个人信息处理者应提供个人信息转移的途径。GDPR、CCPA等国外隐私法中也规定了数据可携带权，使用户能够自我管理和重复使用个人信息，增强用户对个人信息的控制权，促进数据流动，有助于防范企业数据垄断、数据不正当竞争[1]。

另外，用户可以在个人信息的收集、使用、保存、共享等全生命周期内行使撤回权利。同时企业应向个人信息主体明示撤回同意的方法，确保该方法便捷易操作，且能及时获得响应。对于“便捷”和企业及时响应的落地，可参考《App违法违规收集使用个人信息行为认定方法》第六条执行，对于撤回同意不应设置不必要或不合理条件，未及时响应用户撤回同意操作，需人工处理的，应承诺时限内（承诺时限不得超过15个工作日，无承诺时限的，以15个工作日为限）完成核查和处理。个人撤回同意，但不影响撤回前基于个人同意已进行的个人信息处理活动的效力，企业仍可保留同意撤回之前对于个人信息的处理活动与结果。

企业在应用自动化决策算法时，也应保障个人信息主体权利。个人信息保护法第二十四条明确企业应保证决策的透明度和结果的公平、公正性，不得利用算法实行价格歧视等差别性待遇。这一要求从立法层面有力回应了“大数据杀熟”的现象，表明了国家对个人权益的尊重和保障。其次，通过自动化决策向个人推送消息、商业营销时，企业应保障个人的选择和拒绝权，即企业应同时提供非个性化推荐的选项或者提供便捷的营销信息退订的渠道。最后，若企业使用自动化决策作出对个人权益有重大影响的决定时（如信贷审批、工作录用、大学录取等场景）[2]，个人有权拒绝仅通过自动化决策作出的决定；当个人提出异议时，企业可采用人工介入的方式进行决定。

1.3 与受托人约定必要保护义务

个人信息保护法第二十一条、第五十九条明确，企业在业务委托合同中应与受托人约定处理目的、期限、处理方式、信息种类、保护措施以及双方的权利与义务。同时企业有责任对受托人的个人信息处理活动进行监督，确保受托人处理行为依照合同约束开展。监督行为可通过对受托人的现场审查、发放评估问卷等形式定期开展，同时保留记录存档。

接受委托处理个人信息的受托人，应当履行个人信息保护法规定的相关义务，同时有义务协助个人信息处理者履行个人信息保护法的要求。

1.4 个人信息出境遵循评估原则

根据个人信息保护法第三章，企业涉及个人信息出境时，应遵循“境内存储”原则，确有必要向境外提供个人信息的，应事先进行个人信息保护影响评估，明确个人信息出境的合法依据。企业特别是跨国公司、境外企业需审慎处理个人信息出境。个人信息出境的合法依据如表3所示。

表3 个人信息出境的合法依据

个人信息出境的告知与同意原则：企业向境外提供个人信息，需向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使权利的方式和程序，并确保取得个人的单独同意。值得注意的是，GDPR中“同意”是个人信息出境的合规依据之一，但是在个人信息保护法中获取“单独同意”是个人信息出境的必选项。

境外司法调取个人信息的事先批准原则：对于企业涉及案件调查、诉讼请求需向境外执法或司法机构提供存储于境内的个人信息时，需经由中华人民共和国主管机关批准。

1.5 管理证据留痕以应对归责

根据个人信息保护法第六十九条，违反个人信息保护法规定处理个人信息，侵害个人权益造成损害，企业无法证明无过错的，需要承担赔偿责任。企业对于已采取的安全保护措施需要保留尽职证据链，以自证清白。通过对个人信息保护体系中关键证据的梳理，寻求主动合规。而这种主动性可以通过以下三步进行实现：

第一步：从个人信息保护体系构成要素入手，梳理分析流程操作；

第二步：综合专业知识与监管资料解读，罗列各流程节点中的关键控制点；

第三步：形成证据链列表，并检查有效性。

2 企业如何履行个人信息处理者义务

企业如何体系化应对个人信息保护法合规要求，提升个人信息保护能力，履行个人信息处理义务，企业可从治理层、策略层、技术层三个层面进行设计与落实，由点及面、由表及里地履行企业作为处理者的义务，实现企业个人信息保护全面地、动态地合规，帮助企业构建个人信息保护治理蓝图，实现个人信息保护合规的可持续化。

2.1 治理层义务

有效的跨职能协作和明确的问责制将是证明个人信息保护关键能力的重要组成部分。个人信息保护组织职能可根据“三道防线”原则进行划分，同时应与“C”级人员保持联系。

第一道防线：主要职责是业务层面和操作层面的个人信息保护，企业的业务部门（如销售、运营、市场等）、职能部门（如人力资源、IT等）承担在实际工作中践行和落实个人信息全生命周期保护要求的职责，如开展个人信息安全影响评估、收集个人信息前获得用户授权等。

第二道防线：主要职责是个人信息保护风险管理，由个人信息保护办公室、法律合规部、内控团队等承担企业整体个人信息风险管理工作，如制定企业整体个人信息保护策略、开展整体个人信息风险评估、提供合规建议等。

第三道防线：主要职责是对个人信息保护的审计，由企业的审计监督部门负责，负责验证关键绩效指标、审查访问流程和程序、个人信息保护框架验证等。

表4为个人信息保护三道防线示例，企业可根据自身组织架构和职能分布，设计符合企业内部情况的个人信息保护治理体系。

表4 个人信息保护三道防线示例

2.2 策略层义务

2.2.1 个人信息分类分级保护

个人信息保护法要求企业对个人信息实行分类管理，《中华人民共和国数据安全法》明确要求对数据进行分类分级保护。企业应对个人信息进行统一分类，确保各类个人信息在任何时候都得到适当的保护。企业个人信息分类分级工作和企业数据分类分级工作可结合开展，如表5所示。

个人信息分类：企业可基于自身行业特性，参考GB/T 35273—2020《信息安全技术 个人信息安全规范》和行业标准确定企业内部个人信息分类标准，全面识别企业涉及的个人信息。

个人信息分级：各行业对个人信息或者数据可参考上述标准中的定级要素进行定级，即根据数据安全性遭受破坏后影响对象和影响程度进行数据分级。

分级保护策略：企业应根据个人信息生命周期进行风险管控，包括分级权限管理、敏感个人信息加密/脱敏、安全审计等多个方面。

2.2.2 个人信息保护影响评估

个人信息保护法规定个人信息处理者涉及以下场景之一，应开展“事前”的个人信息保护影响评估：

第一，处理敏感个人信息；

第二，利用个人信息进行自动化决策；

第三，委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息；

第四，向境外提供个人信息；

第五，其他对个人权益有重大影响的个人信息处理活动。

个人信息保护影响评估应围绕个人信息的处理目的、方式等的合法、正当、必要性展开，评估对个人权益的影响及安全风险以及所采取的安全保护措施的合法、有效性。个人信息保护影响评估报告和处理情况记录应当至少保存三年。

个人信息安全影响评估可分为合规差距评估和尽责性风险评估两类[3]。

合规差距评估：识别个人信息处理活动已采取的安全控制措施，与相关法律、法规或标准的具体要求之间的差距，如产品或服务年度评估、新活动或服务符合法规基线评估、经营或法规环境变化时的评估等。

尽责性风险评估：企业可选取对个人权益可能产生高风险的个人信息处理活动进行尽责性风险评估，尽可能降低对个人权益的不利影响。高风险个人信息处理活动包括处理敏感个人信息、利用个人信息进行自动化决策、委托处理个人信息、向他人提供个人信息、公开个人信息、向境外提供个人信息、其他对个人有重大影响的个人信息处理活动。

个人信息保护影响评估流程如图1所示。

图1 个人信息保护影响评估流程

第一，评估触发。新的产品或服务发布前，业务部门应识别是否涉及个人信息处理活动，根据判定条件触发评估。

第二，评估准备。在评估前对个人信息处理过程进行全面的调研，了解业务逻辑流转情况，梳理涉及个人信息处理活动的内外部相关方、信息系统、数据类型等。

第三，风险识别。根据梳理的个人信息处理情况，分析个人信息保护策略的执行情况、相关法律法规与政策标准的符合性情况，识别存在的风险。

第四，风险评价。综合分析个人信息处理活动对个人权益的影响程度和个人信息处理活动发生安全事件的可能性要素，得出风险等级。

第五，风险处置。根据个人信息保护风险等级结果，采取相应的风险处置措施，对中高风险事项应限期整改。

第六，生成报告。完成评估流程并落实风险处置措施后，将个人信息安全影响评估报告送至相关部门审核，审核通过后，业务部门方可开展该个人信息处理活动。

2.2.3 个人信息最小化管理

如图2所示，个人信息的最小化管理涉及个人信息收集、使用、存储、销毁的全生命周期环节，应重点关注以下三个方面：

图2 企业个人信息最小化管理示例

数据收集最小化：数据收集的活动应遵循“非必要不采集”的原则进行开展。个人信息字段收集得越多意味着企业对个人信息的保护责任越大。企业在进行个人信息收集活动前，可结合以下因素，判断个人信息收集是否符合最小化原则：

其一，是否为法律法规要求所必须？

其二，该处理是否真的能实现目的？

其三，是否有其他对用户影响更低的方式实现目的？

其四，若有，其他方式是否投入成本太高？

其五，该数据是否为履行合同或安全风控所收集？

其六，对用户权益是否有影响？

其七，用户是否能从中获益？

权限控制最小化：企业在个人信息的使用中，应根据“须知模型”确保权限控制最小化。企业可根据业务需求，对权限控制进行管理，确保符合最小化要求。权限控制最小化可体现在包括应用系统的访问及获取数据的权限控制、系统间数据接口的权限管控、办公数据管控等。

存储时间最小化：个人信息的存储时限除满足一些行业的特殊监管要求外，企业应当设定个人信息存储的时间并且在超出期限后进行定期删除或匿名化处理。企业个人信息存储时限可根据业务必要保留时长、法律法规要求、行业公允的有效数据时限、用户体验等方面进行定义。

2.2.4 个人信息安全事件应急响应

个人信息保护法（第五十七条）明确了个人信息处理者对于个人信息安全事件的责任和义务，明确个人信息处理者在“发生或者可能发生”个人信息“泄露、篡改、丢失”时，应当立即采取补救措施，并通知履行个人信息保护职责的部门和个人。与《中华人民共和国民法典》《中华人民共和国网络安全法》《中华人民共和国消费者权益保护法》的要求一脉相承。企业在实践中不仅要保护个人信息的保密性，还应保护个人信息的完整性和可用性。对于风险隐患也应进行有效监控，做到事前、事中、事后的管控。

企业应根据自身业务及组织架构制定可执行的个人信息安全事件应急响应流程和预案，并定期组织相关方开展演练。个人信息安全事件应急响应流程如下：

第一，识别阶段：企业应定义上报的渠道，可通过投诉、员工报告、供应商报告等渠道获得个人信息安全事件的报告。同时，还应通过相关的技术检测、舆情监测及时发现个人信息安全事件或疑似事件。

第二，处理阶段：各业务/部门隐私保护负责人在确认事件级别及开展影响性分析后，应上报个人信息相关主管人员。在确认事件后，应组织协调各业务部门、IT部门开展事件的处理。

第三，通报阶段：确认事件等级后，相关主管人员应根据各地监管要求，进行外部监管机构及受影响用户的通报。目前部分行业监管已有明确要求，如《中国人民银行金融消费者权益保护实施办法》中明确了信息泄露、毁损、丢失时的上报时效、上报对象和上报内容。

第四，关闭阶段：事件处理完毕后，相关主管人员应对结果进行确认，并组织相关部门开展事件的复盘，避免个人信息安全事件的再次发生。

2.3 技术层义务

2.3.1 数据加密

数据加密是企业对客户个人信息保护的有力保障。个人信息保护法第五十一条要求个人信息处理者采取相应的加密、去标识化等安全技术措施保障个人信息安全。

数据加密关注数据在传输中的加密及存储中的加密，具体情况如表6所示。

表6 数据加密措施示例

随着个人信息的广泛使用、监管力度的加强，企业既要满足业务需求、实现个人信息流动的安全与高效，又要积极响应监管要求、落实个人信息保护机制，于是隐私计算技术成为破解数据加密保护与数据价值利用矛盾的一剂良方。隐私计算能实现数据不出域情况下的数据“可用不可见”。根据中国信通院统计，目前隐私计算主要应用于联合风险、联合营销、智能医疗、智能政务等领域[4]。企业可根据自身业务场景选择适合的隐私计算技术，当前主流的隐私计算技术主要体现为多方安全计算、联邦学习、可信执行环境。

2.3.2 数据去标识化和匿名化

数据去标识化和匿名化是企业打开数据主动权的重要方式。去标识化是指通过对个人信息的技术处理，使其在不借助额外信息的情况下，无法识别或者关联个人信息主体的过程。匿名化是指通过对个人信息的技术处理，使个人信息主体无法被识别或者关联，且处理后的信息不能被复原的过程。

企业日常运营中，可通过去标识化技术如泛化技术、抑制技术、扰乱技术等来大大降低个人信息在流动及处理过程中的泄露风险，如图3所示。企业在收集个人信息后，宜立刻进行去标识化处理；在个人信息展示界面宜采取去标识化处理等措施，降低个人信息泄露风险[5]。

图3 数据生命周期保护技术示例

个人信息经匿名化处理后所得的信息不属于个人信息。匿名化对企业的价值体现在——个人信息匿名化后可向第三方提供、合法地进行数据共享；也可用于统计分析和注销账户后的匿名数据保存，便于企业开展数据价值的进一步挖掘。

在实践中，个人信息去标识化并非完全消除个人信息泄露的风险，企业同时也应防范重标识攻击，避免攻击者通过其他维度或关联信息进行关联或推断。

3 结 语

《中华人民共和国个人信息保护法》的发布，于公民个人来说代表着国家在尊重和保障人权方面所做出的积极努力，将我国宪法“个人人格尊严和自由不受侵犯”精神落实到具体个人信息保护立法之中；于企业来说，处罚条款中“五千万或上年营业额百分之五”这一高额罚款力度时刻威慑着企业自律，约束企业依法履行个人信息处理者义务作为合规经营的红线。因此，安永希望通过本篇解读能帮助企业破局个人信息保护难点，找到赋能长效合规的钥匙。