大讲堂

作者：汉坤律师事务所合伙人 段志超

段志超律师的执业领域包括知识产权和数据保护。段律师曾代表众多业界领先的互联网企业、人工智能企业，以及生物制药和医疗器械公司，在复杂的知识产权争议解决和交易以及数据相关的法律事务上具有丰富的执业经验。

《个人信息保护法》的正式发布是与《数据安全法》和《网络安全法》一起，将国内的整个数据法则与个人隐私保护的体系与规则变得更加丰满，具有重要意义的一块拼图落定，有划时代的意义。《个人信息保护法》共计8章74条，进一步细化和完善个人信息保护应遵循的原则和个人信息处理规则，对于个人信息保护和企业数据合规都提出了新的要求。段律师聚焦在《个人信息保护法》的企业数据合规，并就其提出相应实操建议，为企业数据合规提出实务指引。

《个人信息保护法》的亮点内容

大数据时代，个人信息保护构成了数字社会治理与数字经济发展的基本法，牵动着万千公众的切身利益，也涉及企业对于个人信息的合理利用与规范发展。《个人信息保护法》自启动立法以来，受到社会的广泛关注。如今的正式颁布，为个人信息处理活动提供了明确的法律依据，为个人维护其个人信息权益提供了充分保障，也为企业合规处理提供了操作指引。其中有七大亮点值得注意：

亮点一：《个人信息保护法》明确了其适用范围与适用行为

除规定“在中华人民共和国境内处理自然人个人信息的活动，适用本法”外，还规定了一定的域外适用效力。该法第三条第二款类似欧盟《通用数据保护条例》（GDPR）确立的“指向”标准，在中国境外处理中国境内自然人个人信息的活动，如果使用中文或以人民币作为结算货币；向中国境内配送物流；对中国境内自然人进行画像分析或向中国境内用户开展定向营销或推广，也适用本法。对于在国内运营的外国企业，即使选择由境外主体作为服务或产品的提供方，仍将落入《个人信息保护法》的监管范围。

亮点二：扩展的个人信息定义与范围

相较于《网络安全法》、《民法典》以“识别”为核心界定个人信息，《个人信息保护法》第二章规定了个人信息处理的规则，体现了新增的“关联”标准，强调“人到信息”，即与已知特定个体有关的信息。例如体现其活动或爱好等的信息。以及，在第七十三条中，提出区分匿名化和去标识化。

亮点三：增加的法律基础

《个人信息保护法》第13条第2款则进一步明确将“人力资源管理”作为个人信息处理的合法性基础。但这一合法性基础受到严格限制，需为“按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”。强调“按照依法制定的劳动规章制度和依法签订的集体合同”，一方面体现了立法者考虑到劳资关系中天然的不平等现状，试图严格限制员工个人信息的处理范围，防止企业以“人力资源管理”所需为由过度收集员工个人信息；另一方面，这一规定也为企业合规处理员工个人信息指明了方向，如果企业依据《劳动合同法》第4条经过必要民主程序制定内部劳动规章制度，根据规章制度收集必要的个人信息，则无需征得个人同意。

亮点四：场景化、差异化的“告知-同意”

《个人信息保护法》最终稿中第29条删除了“基于个人同意处理敏感信息”相关表述，仅约定“处理敏感个人信息应当取得个人的单独同意，法律、行政法规规定处理敏感个人信息应当取得书面同意的，从其规定。”这里值得探讨的是“单独同意”可能意味着企业需要独立于隐私政策，在该处理实际发生时予以同步的告知并获得同意。

亮点五：自动化决策

这是大家特别关心的一个点，前几天的《互联网信息服务算法推荐管理规定（征求意见稿）》中也再次强调了这些问题，包括大数据杀熟、个性化营销，以及对个人权益有重大影响的决定三方面提出要求。

亮点六：敏感个人信息

《个人信息保护法》最终稿认定不满14周岁未成年人的个人信息属于敏感个人信息，只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，个人信息处理者方可处理敏感个人信息。删除了“基于个人同意处理敏感信息”相关表述，仅约定“处理敏感个人信息应当取得个人的单独同意，法律、行政法规规定处理敏感个人信息应当取得书面同意的，从其规定。”

对于这一修订有两种解读。一方面，可以解读为“单独同意”是处理敏感个人信息的唯一合法基础。另一方面，处理敏感个人信息仍可视情况适用第13条规定的不同合法基础（但需要满足具有特定的目的和充分的必要性，并采取严格保护措施的条件），仅在基于同意处理敏感个人信息时，“同意”的形式应符合更高的要求。

亮点七：个人信息处理者与受托人

在受托者需履行的义务上，最终稿较二审稿新增“有关法律、行政法规的规定”以及“协助个人信息处理者履行本法规定的义务”的协助义务。

企业将面临的合规挑战

一、数据跨境传输制度落地

《个人信息保护法》中规定的跨境传输机制，是比较多样、多元的。比如，对于普通网络运营者一般个人信息出境，可以有更多合规的途径，像是安全评估、信息保护认证等；对于特殊主体或场景的个人信息出境，也有特殊的主体与场景的限制。这都是企业可操作的实践方法，近期国内也有数据出境的试点案例。

二、个人权利强化

相比于《网络安全法》、《个人信息安全规范》，《个人信息保护法》首次提出可携带权、限制权、拒绝权和解释权，使得权利体系更加丰富。此外，最终稿第70条亦将法律规定的消费者组织增加为可以依法就个人信息相关违法事项提起公益诉讼的组织。

上述和诉权相关的规定无疑将和《电商法》以及《消费者权益保护法》一起，为个人信息侵权相关的诉讼提供更多的途径。企业未来在应对监管执法的同时，将可预期地面临陡增的来自个人及国家机关、消费者保护组织等个人信息保护诉讼方面压力，如何就此进行应对将是对相关企业的现实挑战。

企业合规建议

《网络安全法》、《数据安全法》、《消费者权益保护法》、《民法典》等法律及网信办、工信部、公安部等出台的一系列规范性文件，为企业合规及政府执法提供了一般性法律依据，电信、APP等互联网企业与产品近年来尤其受到重点监管。随着《个人信息保护法》的出台，我们相信执法标准将更加严格、深化，且将向各个行业深入。对于不同行业及领域的企业存在很多共性的要求，包括建立合规体系、梳理数据处理和收集的要求，同时他们也可能面临不同的风险点及合规挑战。一些共性的需要考虑的重点要求及合规建议包括：

1、选取适当法律基础：梳理个人信息处理活动，确定适当的法律基础。

2、关注敏感个人信息：评估处理敏感个人信息的必要性，履行特殊的告知同意义务。

3、个人信息跨境传输：明确个人信息跨境传输场景（包括员工数据），确定合理的出境方式。

4、内部合规制度建设：完善内部管理制度，充分履行合规义务，留存数据处理记录。

5、履行告知同意义务：结合具体的业务场景进行充分的告知，获得有效的同意。

6、委托处理个人信息：梳理第三方合作伙伴及与之签定的法律文件，建立公司模版文件。

7、个人信息权利相应：建立更为便捷、全面、快捷相应的个人信息权利响应机制。

8、建立风险防范体系：总结可能存在的风险点，评估潜在的处罚、诉讼风险，做好整改。