企业数据合规中的个人信息保护

企业数据合规中的“个人信息”

企业在适用《个人信息保护法》构建数据合规体系时，首先要厘清两个概念，一个是个人信息的含义，另一个是“个人信息处理”行为类别。根据《个人信息保护法》第四条的规定：“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。”也就是说凡是涉及到与个人主体相关的，能够进行个体识别的信息都属于个人信息，比如电话号码、身份证号码、家庭住址、教育背景、亲属关系以及宗教信仰。个人信息又分为一般个人信息和敏感个人信息,敏感个人信息是“一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息”。因此，敏感个人信息包括但不限于个人基因、指纹、声纹、面部识别特征、医疗和金融数据等。

企业运营过程中，大量的个人信息处理行为面临着不确定的诸多法律风险。《个人信息保护法》统一规范的处理行为类别，包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等行为。企业个人信息处理行为不仅仅包含收集行为，还包含存储、使用、加工等一系列行为，这些处理行为都将受到《个人信息保护法》的规制，也应当都纳入企业数据合规的范畴。

企业处理个人信息的基本原则

知情同意原则。在大数据时代下，个人信息在商业分析、决策支持等方面具有重要价值。《个人信息保护法》明确了企业主体在处理个人信息时应当严格遵守知情-同意原则，企业必须基于个人同意才能处理个人信息，并且该同意应当由个人在充分知情的前提下自愿、明确作出，知情-同意原则是企业处理个人行为应遵守的核心原则。但知情-同意不是处理个人信息的唯一合法性基础，为有效实现个人信息权益保护和个人信息合理利用之间的动态平衡，《个人信息保护法》扩充了处理个人信息的合法性基础，即特殊的同意规则：为促进企业合理收集和利用个人信息，签订和履行合同所必需时、基于公共卫生或公共安全需要、基于法定义务处理个人信息均属于正当合法的处理行为，无需信息主体同意即可以收集使用个人信息，但必须严格限制适用上述范围。例如，疫情期间政府为了公共安全需要授权企业处理个人信息，往往不需要获得用户的同意，此种行为即属于特殊的同意规则。

最小必要原则。《个人信息保护法》第六条规定：“处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息”。这个原则又可以称为为“最小必要原则”。企业在适用这个规则时应当遵守相关领域或行业的部门规章、国家标准等文件，从必要个人信息范围、最小影响、直接关联、最小类型、最小频度、最小数量、最小权限等维度，从个人信息的收集、储存、使用、删除等生命周期，对“最小必要原则”进行全面适用。

企业在处理个人信息时，除了应当遵守上述规定的原则，还应当遵守《个人信息保护法》规定的其它原则，合法、正当、必要和诚信原则以及公开、透明原则。企业在处理个人信息时，不得误导、欺诈、胁迫信息主体，向信息主体公开个人信息处理规则、明示处理目的和处理方式以及范围。例如，企业设置办公室的门禁系统，采用人脸识别的方式作为开门的方式，如未提供其他方式，强制要求员工提供人脸作为进出办公室的条件，则有违收集信息的必要性原则。

企业处理敏感个人信息需遵守更严格的规则

敏感个人信息比一般个人信息对信息主体的人身、财产安全带来的危害更严重，而且敏感个人信息在不同的场景下会表现出不同的风险水平。因此，企业在处理敏感个人信息时，除了应当遵守知情-同意原则和最小必要原则，还应当注意以下四个方面的限制：首先，处理敏感信息必须基于特定目的和充分的必要性，且信息处理者已采取严格的保护措施。其次，除基于个人的单独同意或书面同意外，不存在其它合法事由。再次，征得同意的告知事项中，需增加告知处理敏感个人信息的必要性以及对个人权益的影响。最后，处理不满 14 周岁的未成年人个人信息，企业应当取得未成年人的父母或者其他监护人的同意。

企业如何建立个人信息数据合规管理体系

在企业内部设置专门负责人。《个人信息保护法》虽然并没有要求所有企业均应当设立“个人信息保护责任人”，而是要求如果处理个人信息达到一定“数量”的企业应当设置个人信息保护责任人。但无论是大型互联网平台企业还是中小型传统企业，只要涉及到个人信息处理工作，均建议设立专门的责任人进行个人信息保护和利用的统筹和管理工作。设置专门责任人，对企业本身的个人信息数据合规具有重要意义，也能作为诉讼或者执法过程中证明“已尽到充分合理注意义务”的证据。

建立完善的个人信息合规管理制度。企业内部建立一套完善的个人信息合规管理制度，既有助于降低企业数据泄露和不当处理个人信息的风险，也可以在未来个人信息侵权事件中或执法检查时作为一种有效的抗辩，证明企业已采取必要的措施来保护个人信息。在涉及个人信息保护的诉讼案件中，完善的个人信息管理制度以及对制度的执行记录可以作为企业证明“无过错”的初步证据。

建立个人信息数据分级管理与保护制度。不同类型的数据，风险等级不同。企业自行获得的个人信息分为一般个人信息和敏感个人信息，对于一般的个人信息，企业应当采取“明示同意授权”的方式进行采集，主动明确告知收集数据的范围、目的及用途。对于处理敏感个人信息还需要严格遵守“必要性与目的性”原则和基于场景的“知情-同意”原则，与产品或服务无关的用户个人信息不得采集，当处理个人信息的事项发生变更时，企业应当重新取得用户同意并且明确告知风险以及信息处理的目的。

定期开展企业内部合规审计。内部审计可以帮助企业及时发现在执行《个人信息保护法》时存在的问题与疏漏，发现违反《个人信息保护法》的场景，在动态流程中控制风险。企业在进行合规审计时应当重点关注这些高风险个人信息企业在进行内部合规审计时，可以对一些高风险的业务进行重整。例如，对于涉及提供境外服务的企业来说，可以将信息中心转移到中国境内储存个人信息，以降低个人信息跨境传输的合规风险。

企业违反个人信息保护规则的法律责任

行政责任。企业在个人信息数据合规方面违反《个人信息保护法》，将面临更多元且更严格的行政责任。《个人信息保护法》在一般违法行为之外设置了“情节严重”的违法行为，对于单位的法律后果不仅仅将罚金提高至“五千万元以下或者上一年度营业额百分之五以下”，还可能面临被责令暂停相关业务、停业整顿、吊销许可证或营业执照的风险；对于直接负责的主管人员和其他直接责任人员的法律后果则不仅仅是处十万元以上一百万元以下罚款，还可能面临在一定期限内禁止担任相关企业的董事、监事高级管理人员和个人信息保护责任人。更为严重的是，无论企业还是主管人员或直接责任人涉及此类违法行为，还会被记入信用档案并且进行公示。

民事责任。《个人信息保护法》还规定了民事诉讼和公益诉讼制度，对于个人信息受到侵害的个人可以提起民事诉讼，按照《民法典》规定主张损害赔偿的侵权责任，根据个人因此受到的损失或者个人信息处理者因此获得的利益确定损害赔偿数额。

刑事责任。违反《个人信息保护法》的规定，构成犯罪的，将面临刑事责任处罚。《刑法》第 253 条规定违反国家有关规定，向他人出售或者提供公民个人信息的行为涉嫌侵犯公民个人信息犯罪。构成该罪，情节严重的，处三年以上七年以下有期徒刑，并处罚金。公司、企业、机关等单位构成该罪，对单位判处罚金，直接负责的主管人员和其他直接责任人员按照侵犯公民个人信息罪处罚。

《个人信息保护法》是个人信息保护领域的里程碑式立法，体现了国家对个人信息保护力度之大。企业在个人信息数据方面的不合规行为，不仅会导致行政处罚、侵权诉讼、刑事处罚等法律后果，随之而来的媒体曝光，将会使企业面临更严重的社会舆论风波，影响企业的市场竞争力和未来发展。建立个人信息数据合规体系，是当下企业需履行的一项重要法律义务，企业应当把准时代脉搏，提高个人信息数据合规的水平，实现企业个人信息数据安全。（张志伟 周珍 ）

（作者单位：北京市百瑞律师事务所）