尚权推荐SHANGQUAN RECOMMENDATION

个人信息保护法构建了权责明确、保护有效、利用规范的个人信息处理和保护制度规则，对企业个人信息数据安全合规提出了新考验。企业应当准确理解数据合规中的个人信息，把握处理个人信息的原则，建立有效的个人信息数据合规管理体系。

近年来，随着大数据、云计算、人工智能、5G通信等新兴技术兴起，数据经济快速发展。2021年11月1日起实施的《中华人民共和国个人信息保护法》，以严密的制度、严格的标准、严厉的责任，构建了权责明确、保护有效、利用规范的个人信息处理和保护制度规则。这对企业个人信息数据安全合规提出了新考验。个人信息作为企业数据的核心内容之一，如何保护个人信息安全是企业数据合规的重中之重。

企业数据合规中的个人信息

企业在适用个人信息保护法构建数据合规体系时，首先要厘清两个概念：个人信息的含义、“个人信息处理”行为类别。根据个人信息保护法第四条的规定：“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。”即，凡是涉及与个人主体相关的，能够进行个体识别的信息都属于个人信息，比如电话号码、身份证号码、家庭住址、教育背景、亲属关系等。个人信息，又分为一般个人信息和敏感个人信息。个人信息保护法第二十八条规定：“敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息”。因此，敏感个人信息包括但不限于指纹、声纹、面部识别特征、医疗和金融数据等。

按照个人信息保护法的有关规定，个人信息统一规范的处理行为类别，包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等行为。因此，企业个人信息处理行为不仅仅包含收集行为，还包含存储、使用、加工等一系列行为，这些处理行为都将受到个人信息保护法的规制，也应当纳入企业数据合规的范畴。

企业处理个人信息的原则

“知情-同意”原则。大数据时代，个人信息在商业分析、决策支持等方面具有重要价值。个人信息保护法明确了企业主体在处理个人信息时应当严格遵守“知情-同意”原则，企业必须基于个人同意才能处理个人信息，且该同意应当由个人在充分知情的前提下自愿、明确作出。“知情-同意”原则是企业处理个人行为应遵守的核心原则，但“知情-同意”不是处理个人信息的唯一合法性基础。为有效实现个人信息权益保护和个人信息合理利用之间的动态平衡，个人信息保护法扩充了处理个人信息的合法性基础，即特殊同意规则：为促进企业合理收集和利用个人信息，签订和履行合同所必需时、基于公共卫生或公共安全需要、基于法定义务处理个人信息均属于正当合法的处理行为，无需信息主体同意即可以收集使用个人信息，但必须严格限制适用上述范围。

最小必要原则。个人信息保护法第六条规定：“处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息”。这被称为“最小必要原则”，企业在适用该原则时应当遵守相关领域或行业的部门规章、国家标准等，从必要个人信息范围、最小影响、直接关联、最小类型、最小频度、最小数量、最小权限等维度，从个人信息的收集、储存、使用、删除等生命周期，对“最小必要原则”进行全面适用。

此外，企业在处理个人信息时，还应当遵守个人信息保护法规定的合法、正当、必要和诚信原则以及公开、透明原则；不得误导、欺诈、胁迫信息主体，要向信息主体公开个人信息处理规则、明示处理目的和处理方式以及范围。

需要注意的是，敏感个人信息比一般个人信息对信息主体的人身、财产安全带来的危害更严重，且在不同场景下会表现出不同的风险。因此，企业在处理敏感个人信息时，除应当遵守“知情-同意”原则和最小必要原则外，还应当注意以下四个方面的限制：首先，处理敏感信息必须基于特定目的和充分的必要性，且信息处理者已采取严格的保护措施。其次，除基于个人的单独同意或书面同意外，不存在其他合法事由。再次，征得同意的告知事项中，需增加告知处理敏感个人信息的必要性以及对个人权益的影响。最后，处理不满十四周岁的未成年人个人信息，企业应当取得未成年人的父母或者其他监护人的同意。

如何建立个人信息数据合规管理体系

在企业内部设置专门负责人。个人信息保护法虽然没有要求所有企业应当设立个人信息保护责任人，而是要求处理个人信息达到一定“数量”的企业应当设置个人信息保护责任人，但无论是大型互联网平台企业还是中小型传统企业，只要涉及个人信息处理工作，均应该设立专门的责任人统筹、管理个人信息保护和利用工作。设置的专门责任人，对企业自身的个人信息数据合规具有重要意义，也能作为诉讼或者执法过程中证明“已尽到充分合理注意义务”的证据。

建立完善的个人信息合规管理制度。企业内部建立一套完善的个人信息合规管理制度，既有助于降低企业数据泄露和不当处理个人信息的风险，又可以在未来个人信息侵权事件中或执法检查时，证明企业已采取必要的措施保护个人信息。在涉及个人信息保护的诉讼案件中，完善的个人信息管理制度及对制度的执行记录可以作为企业证明“无过错”的初步证据。

建立个人信息数据分级管理与保护制度。不同类型的数据，风险等级不同。企业自行获得的个人信息分为一般个人信息和敏感个人信息。对于一般个人信息，企业应当采取“明示同意授权”的方式进行采集，主动明确告知收集数据的范围、目的及用途。对于处理敏感个人信息，还须严格遵守“必要性与目的性”原则和基于场景的“知情-同意”原则，与产品或服务无关的用户个人信息不得采集。当处理个人信息事项发生变更时，企业应当重新取得用户同意，且明确告知风险以及信息处理的目的。

定期开展企业内部合规审计。内部审计可以帮助企业及时发现存在的问题与疏漏，发现违反个人信息保护法的场景，在动态流程中控制风险。在进行合规审计时，企业应当重点关注高风险个人信息处理行为，并及时对相关业务重整。　　

违反个人信息保护规则的法律责任　

行政责任。在个人信息数据合规方面，企业违反个人信息保护法，将面临更多元且更严格的行政责任。在一般违法行为之外，个人信息保护法设置了“情节严重”的违法行为，企业违法，最高不仅可能面临“五千万元以下或者上一年度营业额百分之五以下罚款”，还可能面临被责令暂停相关业务、停业整顿、吊销许可证或营业执照的风险；直接负责的主管人员和其他直接责任人员，不仅将面临“十万元以上一百万元以下罚款”，还可能面临在一定期限内禁止担任相关企业的董事、监事等高级管理人员和个人信息保护责任人。更重要的是，无论企业还是主管人员或直接责任人涉及此类违法行为，都会被记入信用档案，且进行公示。

民事责任。个人信息保护法还规定了民事诉讼和公益诉讼制度。个人信息受到侵害的个人可以提起民事诉讼，按照《中华人民共和国民法典》的规定主张损害赔偿的侵权责任，根据个人因此受到的损失或者个人信息处理者因此获得的利益，确定损害赔偿数额。

刑事责任。违反个人信息保护法的规定，构成犯罪的，将面临刑事责任处罚。《中华人民共和国刑法》第二百五十三条之一规定，违反国家有关规定，向他人出售或者提供公民个人信息的行为涉嫌侵犯公民个人信息犯罪。构成该罪，情节严重的，处三年以上七年以下有期徒刑，并处罚金。公司、企业、机关等单位构成该罪，对单位判处罚金，直接负责的主管人员和其他直接责任人员按照侵犯公民个人信息罪处罚。

来源：民主与法制时报

作者单位：北京市百瑞律师事务所