西盟斯数据观察 | 从发布到生效仅72天 个保法合规有哪些重点？（上）

我国《个人信息保护法》（个保法）于8月20日正式通过全国人大常委会审议，11月1日起施行，没有给企业额外的过渡期减免安排。这意味着企业只有短短72天的时间进行各项合规准备，挑战极大。此外，近期我国正在陆续修订或颁布一批新的数据法律法规，后续将继续推出各项数据合规的规则与标准，这些都需要企业高度关注、理解和执行。

对于有海外业务的中国企业、在华运营的外资企业，以及在我国内地没有实体但面向内地个人提供产品或服务等境外企业而言，需要在其现有的全球数据合规的框架内考虑中国合规工作部署，考虑企业集团受到多法域管辖可能涉及的法律冲突问题，考虑以整体上经济高效的方式来实现集团最大程度的数据合规。

本文旨在结合个保法和其他相关法律法规以及近期监管动态，以世界上主要数据立法为比较对象，为企业梳理接下来个人信息保护合规工作应当关注的重点。

1. 信息处理的基本原则

个保法提出了个人信息处理的基本原则：合法、正当、必要、诚信、目的明确合理、最小必要、公开透明、准确完整和安全保障。在近期监管动态中，这些原则成为网信办等主管部门执法的重点。目前，"违反最小必要原则"、"未公开收集使用规则"收集处理个人信息是企业被责令整改的最常见原因，我们预计这一监管趋势仍将持续。

近期出台的《常见类型移动互联网应用程序必要个人信息范围规定》列明39类常见移动互联网应用程序（APP）所对应的必要个人信息范围；《深圳经济特区数据条例》要求从个人信息的种类范围、数量、处理频率、保存期限、访问控制等维度遵循"最小必要"原则。

企业需要尽早评估自身的数据处理活动是否符合个保法所规定的各项原则，尤其注意是否满足"最小必要"原则并及时整改。

2. 合法依据与同意

个保法在个人同意之外，引入了更多处理数据的合法依据，包括订立履行合同的需要、实施人力资源管理的需要、履行法定义务的需要等。这一变化为广大市场主体所欢迎，也与国际数据立法的发展趋势一致。相比之下，个保法并未采纳欧盟《通用数据保护条例》（GDPR）认可的"合法利益"作为数据处理的合法依据。这也符合我们之前的判断。"合法利益"的规定即便在欧盟也面临诸多争议，实践中仍待判例法的进一步指引。

个保法还考虑了企业人力管理的实际情况员工个人不是集体劳动合同的签约方，在此情况下企业无法依据履行集体劳动合同的需要来处理员工个人数据。因此个保法最终加入了"按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需"作为合法依据。这是一个很实用的规定。

但针对以下处理活动，个人信息处理者仍然需要征得个人的"单独同意"：

• 向其他个人信息处理者提供个人信息；

• 公开个人信息（在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息除外）；

• 在公共场所安装图像采集、个人身份识别设备，将所收集的个人图像、身份识别信息用于维护公共安全以外的其他目的；

• 处理敏感个人信息（其中处理不满14周岁未成年人的个人信息应获得父母或法定监护人的同意）；

• 向境外提供个人信息。

这意味着部分企业在日常运营中仍然面临着较为严格的获取个人同意的义务。例如，个保法项下的敏感个人信息包括医疗健康、金融账户、行踪轨迹等信息，那么相应的数字健康企业、金融机构、智能网联汽车行业就需要特别注意获取用户的有效同意。另外，市场上大量存在为普通商业场景处理生物识别信息的情形（例如人脸识别门禁或签到），这些活动需要根据目的和必要性重新评估调整，否则面临违法风险。

企业应尽快修订内部规章制度及面向个人（包括内部员工和外部用户）的隐私制度和通知，并在需要获得个人单独同意的场景下落实获取"单独同意"的方式（包括但不限于调整产品的交互（同意）界面）。

3. 跨境转移

个保法强调个人信息主体的选择权和控制权，即要求跨境提供数据必须取得个人的"单独同意"；同时对数据跨境的安全保障提出了不同层次的要求。这是其与GDPR等外国法律相比的显著特点。

关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者，应当将在我国境内收集和产生的个人信息存储在境内；确需向境外提供的，应当通过国家网信部门组织的安全评估。

各行业关键信息基础设施的认定规则、网信部门规定的个人信息数量门槛、安全评估的实施细则均未出台，尽管市场上多有传言预测，但企业对自身是否需要进行安全评估、如何进行安全评估依然多有疑惑。在等待配套规则出台的同时，我们建议企业现在就着手准备：梳理自身的数据跨境转移路线、评估海外转移数据的数量和必要性、评估数据境内存储的可行性和成本（我们看到不少本以为无法做到境内存储的企业后来证明是存在误解）、开展个人信息保护影响评估、向境外接收方告知个保法的合规要求并协商合同条款等。这些工作是可以也应该现在就开始做起来的。

无需进行强制��全评估的企业可通过个人信息保护认证或与境外接收方订立标准合同的方式，满足跨境转移的安全保障义务。个保法还规定："个人信息处理者应采取必要措施，保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准"。这可能是一项非常繁重的合规义务，意味着即便企业取得了个人信息保护认证或订立了标准合同，依然可能需要评估境外接收方的个人信息保护能力和标准，并采取额外的措施来弥补其与个保法要求之间的差距。这一规定与欧盟法院对Schrems II一案的判决主旨有神似之处，但目前尚无法预计是否会发展成类似于欧盟数据保护委员会（EDPB）出台的复杂的跨境转移目的地法律评估要求。

我们建议跨国企业考虑建立集团统一的内部评估机制，也就是说在GDPR项下评估跨境转移目的地的相关法律与实践，与在个保法项下评估境外接收方是否能达到个保法的保护标准，如果涉及到对相同法域法律的判断，应该是客观和一致的。

我国现行法规对部分特定行业作出了数据本地化或服务器本地化的额外要求，目前涉及银行业金融机构、保险公司、征信业机构、医疗机构、网约车企业、互联网地图服务单位、网络出版服务单位、校外线上培训机构、汽车数据处理者等。

从近期"滴滴出行"等被实施网络安全审查的案件，以及《网络安全审查办法（修订草案征求意见稿）》来看，核心数据、重要数据及大量个人信息非法出境是监管重点。

4. 个人信息保护影响评估

个保法引入了个人信息保护影响评估的要求，与GDPR相比触发情形更宽泛。这意味着企业在商业实践中一些常见的处理活动，例如为了发放薪酬处理员工的金融账户信息（处理敏感个人信息）、向用户进行个性化推荐（利用个人信息进行自动化决策）、采购第三方服务（委托处理个人信息）等，都很可能会触发个人信息保护影响评估的要求。

企业应立即全面梳理需要进行个人信息保护影响评估的处理活动，按照各项活动对企业核心业务的重要程度进行优先级排序、尽快完成评估，并将评估结果保存至少三年。

5. 向他人提供个人信息

向其他个人信息处理者提供个人信息之前，个保法要求向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意。

实践中部分企业可能存在大量与集团内关联公司或外部合作伙伴共享个人信息的情形，如果要逐一取得个人的单独同意，可能产生较高的合规成本，而一旦用户拒绝同意，还可能影响一些既有商业模式的运作。

企业需要尽快梳理目前所有与第三方共享数据的场景（包括集团内共享和集团外共享），甄别哪些对开展业务而言是绝对必要的，哪些是可以避免或者用共享匿名数据等方式替代的。对必要的共享场景，需要修订相关隐私制度和通知、并落实获取"单独同意"的方式，在与共享方的合同中应有充分的数据合规条款，避免产生共同数据处理者的连带责任。

6. 个人信息主体权利

在《网络安全法》和《民法典》基础上，个保法进一步完善了个人信息主体权利的规定，明确了个人享有知情权、决定权、限制或拒绝处理权、查阅复制权、数据可携带权（三审新加入）、更正补充权、删除权、要求说明个人信息处理规则权、撤回同意权、要求说明自动化决策权、拒绝个人信息处理者仅通过个性化决策方式作出决定的权利，投诉举报权。这些规定与GDPR项下的原则高度相似，是我国立法层面肯定个人信息主体权利的一大发展。

我们建议企业建立以下机制，确保个人实现上述权利：

• 设置接收个人行权申请的通畅渠道；

• 识别个人申请人身份，审核申请是否具有法律依据。例如：个保法规定在自然人死亡的情况下，其近亲属可以为了自身的合法正当利益，行使死者的部分权利，死者生前另有安排的除外。因此在实践中，企业需要有机制鉴别申请人与死者的关系，申请目的是否属于合法正当利益等因素；

• 判断是否可依个人行权申请执行相关请求，或依法律法规拒绝相关请求。例如：个人请求删除个人信息，但相关个人信息的法定保存期限或者相关的诉讼时效期限尚未届满，个人信息处理者可论证暂不应删除，但需要停止除存储和采取必要的安全保护措施之外的其他处理活动；

• 如确定应执行个人请求，应在内部系统中先检索相关个人信息，并依个人请求执行查阅复制、更正补充、删除、解释说明、限制处理等要求；

• 及时对申请人作出回复。拒绝个人行权请求的，应当说明理由。

7. 任命个人信息保护负责人

处理个人信息达到国家网信部门规定数量的企业应当指定个人信息保护负责人，公开其联系方式，并将其姓名、联系方式等报送主管部门。

网信部门尚未公布相关的个人信息数量门槛。参考近期的一些立法和规范性文件，处理100万人以上的个人信息很可能受到重点监管。我们建议处理较大量个人信息的企业提前部署、做好准备（包括但不限于任命个人信息保护负责人和跨境数据转移的安全评估）。

参照《个人信息安全规范》，个人信息保护负责人应当参与企业有关个人信息处理活动的重要决策，直接向企业的主要负责人报告工作，企业应保障其独立履行职责。《网络安全法》和《数据安全法》还分别要求特定企业任命网络安全负责人和数据安全负责人。目前法律不禁止一人兼任这几个职位。

违法责任

个保法规定了远高于《网络安全法》和《数据安全法》的罚款上限，情节严重的违法行为面临高达人民币5,000万元或上一年度营业额5%的高额罚款。这一罚款上限在国内仅次于《反垄断法》，足见立法者对数据违法问题的高度重视。其他的处罚措施包括责令暂停业务或停业整顿、吊销业务许可或营业执照等，构成犯罪的依法产生刑事责任。区别于GDPR，个保法项下可能产生个人责任（罚款和有条件禁止执业）。

《网络安全法》的处罚是结果论，看是否侵害个人信息。个保法的处罚是行为论，看是否"违反本法规定处理个人信息，或处理个人信息未履行本法规定的个人信息保护义务"。这是一个很大的变化，反应了数据立法和追责越发严格。

最近几个月我们收到了来自国内外各行各业企业关于个保法的大量疑问，个保法中有很多条款的充分执行确也有待主管部门出台进一步的规则、标准和指引。但考虑到如此严重的法律责任、正式生效日期的临近、监管执法不断加强的趋势，企业绝不应再观望，需要马上行动起来。内部管理制度和操作规程的建立、制度和合同文件的更新、员工培训，安全技术措施的落实、产品功能与界面的调整、数据合规团队的招聘和到位，全部都需要时间、人力和财力的大量投入，企业管理层应当予以高度重视。在进行合规准备的过程中，企业应妥善记录相关工作，以备在相关检查中证明自身履行法定义务的情况。

下一期西盟斯数据观察，我们还将进一步与您探讨个保法中体现的促进公平竞争的精神、对人脸识别和人工智能等新技术的规制思路等前沿话题。期待您的关注。