正式施行｜美創科技淺談《個人資訊保護法》企業合規建設指南

自《資料安全法》正式施行後，11月1日即今天，《中華人民共和國個人資訊保護法》正式施行，標誌著我國資料安全和個人資訊保護已進入監管新時代。對企業而言，如何遵循法律要求開展合規建設工作，美創科技高階資料安全諮詢顧問將從企業合規建設角度淺談需關注要點與合理化建議。

 

一、《個人資訊保護法》基本情況概述

《個人資訊保護法》是我國數字經濟法律規範的重要板塊，作為我國第一部專門針對個人資訊保護的系統性、綜合性法律，該法為維護個人資訊權益，規範個人資訊活動，促進個人資訊的合理應用提供明確的法律依據，其三審稿中所增加“根據《憲法》制定本法”條款，表明：我國將個人資訊受保護的權利提升至“國家尊重和保障人權”的高度。

美創科技專家認為該法落地，將與《網路安全法》、《資料安全法》，在國家總體安全觀框架下，以《中華人民共和國國家安全法》為龍頭，並駕齊驅，構成相互協調的、有機、統一的中國網路資料法律體系框架。

早在2003年起，我國個人資訊保護立法相關課題開啟研究立項，伴隨移動網際網路應用普及，各類個人資訊洩漏事件頻頻爆出（典型如徐玉玉事件），立法程式加速推進：《全國人大關於加強網路資訊保護的決定》（2012年），《網路安全法》（2016年）、《電子商務法》（2017）陸續出具；《消費者權益保護法（修訂）》（2013）、《刑法修正案》（九）（2015）、《民法總則》（2017）、《民法典人格權編》（2020）等傳統法律制定、修訂工作對個人資訊保護相關條款進行補充，這些立法中積累的個人資訊保護條款也為《中華人民共和國個人資訊保護法》的立法和 出具實施提供了豐富的立法貯備經驗和可靠基礎。

相對於其它法律，《個人資訊保護法》更多以“個人資訊處理者”為核心規制主體，強調了個人資訊包括電子以及其他載體形式的個人資訊（在數字化的大背景下，毫無疑問電子資訊是種類最多的一種個人資訊），對處理個人資訊的各項活動規則和邊界進行劃定，明確強化了個人資訊處理者的義務與責任。同時，確立了以“告知——同意”為核心的個人資訊處理規則，落實國家機關保護責任，加大對違法行為的懲處力度。《中華人民共和國個人資訊保護法》11月1正式生效施行，企業需要針對自身業務是否合規進行自檢是必要的，如存在風險需儘快彌補相關風險。

 

二、《個人資訊保護法》五大要點聚焦

1、《個人資訊保護法》個人資訊的獨特性

隨著數字經濟發展戰略上升為國家戰略，個人資訊資產在生產生活中所具有重要經濟價值和社會價值不斷凸顯，個人資訊不僅是自身的資料資產，也是外界主動連線資訊主體的視窗。透過問題看本質，我們發現在現實生活中不少企業、機構等主體從商業利益等角度出發濫用個人資訊，甚至利用個人資訊侵擾個人的生活安寧乃至生命財產安全等。

因此，個人資訊實際區別於一般資訊，它的獨特之處在於，具有財產性的同時又蘊含資訊主體的人格性。如果任由他者在自然人不知情、不同意或無力阻止的情況下處理其個人資訊，就會將自然人個人資訊所蘊含的財產性與人格性至於他者支配之下，可能讓自然人在生產生活等社會活動中居於不平等地位，從國家層面來講，也不利於盤活數字經濟價值大方向的良性發展。

2、《個人資訊保護法》個人資訊權確立

《中華人民共和國個人資訊保護法》規定個人資訊權的權利主體只能為自然人，個人資訊權的義務主體為個人資訊處理者（如：機構、企業、個人）。其中：

●  權利主體有關乎個人資訊的知情權、同意權、查閱權、刪除權、更正權、補充權等權利內容，知情權、同意權實際是行使個人資訊權保護機制的開端，促使個人可以介入到其個人資訊的處理活動中，並知曉其資訊的使用目的、可能產生的後果以及為保障其資訊保安所採用的必要保護措施，同時也是對個人資訊處理者是否要對其資訊進行處理作出同意、拒絕或限制的判斷依據。同樣，為保障個人對個人資訊的唯一所有權，個人也有權對處理過程中的個人資訊進行查閱、複製、更正、刪除權力。

●  義務主體（個人資訊處理者）進行個人資訊收集、處理、使用及儲存的過程中遵守法律所規定的程式流程，達到法律所要求的的硬性條件，首先，義務主體需要履行告知義務，在進行個人資訊收集時，個人資訊處理者必需向權力主體告知其身份、收集資訊、目的、處理過程、利用時間、利用空間、利用人員及利用後可能對個人資訊產生的後果等內容 。其次，對資訊處理和使用需在權力主體同意的前提下進行。

3、《個人資訊保護法》個人資訊預感知防控

《中華人民共和國個人資訊保護法》提出需要對個人資訊被濫用所可能產生的潛在風險進行防範，避免防範潛在威脅轉化為現實中個人的人格隱私被侵害、經濟財產受到損失的嚴重後果。因此，該法體現出一種前置性保護規範，更加突出了個人資訊保護的預先防控，如在個人資訊被處理所產生的利益層面，透過知情權、同意權，自然人應有權知道其資訊被處理所產生的利益並決定是否同意這一利益的發生。在隱私利益上，對個人資訊權重蘊含的人格利益的保護，避免因個人資訊處理行為導致人格受損。

4、《個人資訊保護法》個人資訊保護原則

美創科技專家認為個人資訊保護原則實際是該法的核心內容，透過該法中涉及的權利主體、義務主體、保護物件進行分析，我們認為可將《中華人民共和國個人資訊保護法》對個人資訊保護原則分為：一般原則、核心原則兩方面。

● 在一般原則中，該法要求個人資訊處理行為必須明確、合理，在此基礎上個人資訊處理者可直接向個人收集資訊且處理該資訊用於特定目的，但個人資訊處理者需公開個人資訊在處理環節的情況，並保護個人資訊的安全，自然人可更正其中不確定、不完整的部分；

● 在核心原則中，本法將“告知——同意”的個人資訊自決原則確立為核心原則，以個人資訊權中的知情權、同意權為基礎進行展開，使個人自己決定要向外界哪個主體、何種原因告知關乎自己的哪些資訊，促使個人在個人資訊中處於主動控制和利用自身資訊的主導地位，避免他者擅自利用他人的個人資訊進行不法侵害。針對於個人敏感資訊（如：虹膜資訊、個人行蹤資訊等），發生洩漏或被非法使用對個人造成嚴重影響的，使個人遭受歧視、財產損失等相關資訊，該法要求一般需要個人的單獨同意，但有些特定情形下的“告知——同意”的個人資訊自決原則例外（如：公共衛生事件、突發緊急情況、公共利益事件等）可按照一般原則進行處理。

5、《個人資訊保護法》體現的法律責任

目前，個人資訊處理者在對個人資訊進行處理時，利益驅動更為強烈。該法除對個人與個人資訊處理者權力關係的一系列設定外，引入了以國家網信部門為主體的資訊保護職責部門，建立健全個人資訊保護機制。

透過對該法法律責任章節進行分析，美創科技專家發現對個人行使權力的申請受理機制進行了規定，應以簡單便捷確保個人在個人資訊處理中各項權利的有效行使，維護個人相關利益；判斷個人資訊處理者是否達到法律法規規定的條件，並對個人資訊處理者進行風險評估（包括：自我評估、職責部門評估、委託第三方評估）；對個人資訊保護在處理達到規定資料，需要指定個人資訊保護負責人（責任到人），監管個人資訊處理活動依規開展情況。

在職責層面，賦有對個人資訊保護的部門需要對個人資訊處理者進行宣傳教育、指導監督，並提供資訊保護評估和認證服務；在事後補救層面，制定補救措施，可及時查明資訊發生洩漏或者被非法使用的原因，儘可能減輕所產生的對個人權益的損害；在追責層面，賦有個人資訊保護職責部門可對其進行警告、整改、沒收、罰款、記錄信用檔案、吊銷業務許可、吊銷營業執照等懲罰措施，當情節嚴重、侵害了眾多個人權益的，人民檢察院、履行個人資訊保護職責部門、國家網信辦可提起民事及刑事訴訟，來維護個人資訊主體合法權益。

 

三、基於《個人資訊保護法》內涵 企業應重點強化內容

《中華人民共和國個人資訊保護法》正式施行，標誌著我國對個人資訊的立法保護方面上升到了新的高度，作為“個人資訊處理者”的企業同樣有了法律上的“新的任務”，美創科技專家認為需要以該法律為個人資訊保安抓手，在制度完備性、個人資訊分類分級及許可權管理、個人資訊保安保護措施、個人資訊保安教育培訓、個人資訊保安事件應急制度、個人資訊事前風險評估義務上建立符合法律要求的個人資訊及資料合規體系。

1、制度完備性

● 首先，制定符合企業內部個人資訊相關制度，包括：對個人資訊收集傳輸及處理制度、個人使用者資訊收集及處理制度、個人資訊保安保護制度、資訊分級分類管理制度、個人資訊風險評估制度、審計制度等，使其具有合規性、可行性、完備性，全面覆蓋企業各個業務條線；

● 其次，制定個人資訊資料全生命週期操作流程，使其與建立的內部制度互相輔助，並在流程中注意嚴格的許可權管理；

● 再次，當個人資訊達到一定數量時，落實個人資訊保護負責人使其可責任到人，由其進行相關工作的統籌和管理，有必要時可考慮成立相關部門，專門負責建立內部合規管理制度和相關措施，並負責推進位制度及措施的實施。

2、個人資訊分類分級

● 首先，摸清家底、瞭解現狀、梳理企業資訊庫存，梳理清楚企業擁有哪些個人資訊（包括外部個人資訊、內部個人資訊）、承載個人資訊資料位於何處、資料如何流動等；

● 其次，明確所需個人資訊，以“個人權益影響最小”為原則，儘可能多的去除非必要資訊；

● 再次，對個人資訊進行分類分級、處理許可權劃分等，當需要處理個人資訊時進行比對，確定處理個人資訊級別及權重。

3、企業合規建設，建立相應保護措施

● 美創科技專家建議企業需要採用安全技術措施來對個人資訊進行保護，可採用建立訪問控制、審計、匿名化（使個人資訊主體無法被識別或者關聯，處理後的資訊不能被複原）、加密、去標識化（對標識進行處理，處理後的資訊無法識別到特定個人資訊主體的資料處理方式）等技術對個人資訊開展防護。

4、持續開展個人資訊保安教育培訓

● 以假定“敵已在內、敵將在內”為核心，持續定期開展全員個人資訊保安教育培訓，樹立安全意識，明確各自許可權及邊界，防止人為造成資料洩露。

5、建立個人資訊保安事件應急機制

● 企業應當針對個人資訊保安事件定期開展應急演練，並形成應急預案，持續動態進行預案調整，不斷排除針對個人資訊的安全風險。

6、個人資訊事前風險評估

● 企業針對個人資訊的事前風險評估設定為一項經常性工作，將其制度化、常態化，風險評估報告應涵蓋個人資訊種類、數量、收集、儲存、使用、委託、提供等情況及可能面對的風險和應對措施，持續保證評估質量的情況下儘量實現高效、快捷。