企业合规中的个人信息保护.pdfVIP

企业合规中的个人信息保护

随着互联网技术的迅速发展，数据被誉为“互联网时代的石

油”。在诸多数据种类中，个人数据价值最高，成为企业竞

相抢占的重要竞争资源。对个人数据的挖掘利用可以催生产

品与服务创新，为经营者带来商业利益，为消费者提高用户

体验，然而其中也蕴含着侵害个人信息利益的风险与隐患。

企业在利用个人信息时，应当承担起相应的个人信息保护责

任。

2022年10月1日正式实施的《中央企业合规管理办法》在

第三十五条明确规定：“中央企业应当加强合规管理信息系

统与财务、投资、采购等其他信息系统的互联互通，实现数

据共用共享。”这为企业数据的使用指明了方向。即，企业

应当构建个人信息活动的内部规范制度，并引入外部评价监

督体系，将企业合规落到实处，保障个人信息安全。

构建内部规范制度

开展个人信息影响评估。《中华人民共和国个人信息保护法》

第五十五条明确规定了个人信息处理者对个人信息保护影

响评估的强制性义务，这对尚未开展的个人信息处理活动可

以大幅度降低违法风险。个人信息保护影响评估大致包括三

个环节：预备环节——评估环节——报告及整改环节。预备

环节应当集合技术部门、法律部门、相关业务部门等代表制

定切实可行的评估计划，明确评估对象与范围。

评估阶段应当覆盖数据全生命周期的个人信息处理映射表，

结合处理的具体场景分类统计个人信息处理活动，记录每类

个人信息处理中的个人信息类型、信息主体、控制者、收集

处理目的、合法事由等具体情形，在此基础上结合《信息安

全技术个人信息安全规范》《信息安全技术网络安全等级

保护安全管理中心技术要求》等标准来识别个人信息处理中

的风险源，对个人权益的影响进行分析，并最终统合风险因

素识别与个人权益影响得出评估结果。

评估结束之后还应当依照结果进行针对性的整改，依据不同

风险等级排除个人信息处理的风险，并继续追踪风险排除情

况，掌握剩余风险的发展变化。

加强信息分级分类管理。

个人信息分级分类管理制度是通过“定性+定量”的方式确

定个人信息保护优先顺序的制度。目前，可以依据《网络安

全标准实践指南——网络数据分类分级指引》《最高人民法

院、最高人民检察院关于办理侵犯公民个人信息刑事案件适

用法律若干问题的解释》等制定。个人信息的分级保护旨在

对个人信息分类的基础上，依据具体个人信息的敏感程度、

易受侵害性等因素进行分等级保护。在个人信息处理技术支

持下，可以将个人信息从非敏感到极敏感划分为S1至S5五

个等级。个人信息分级分类管理之后，还需要做好数据资产

清单梳理，对业务经营和管理中收集和使用的个人信息进行

识别和归类。完成个人信息分类和定级后，应当按照有关技

术标准对个人信息进行加密和去标识化，并依照最小、必要

原则，设置内部管理和访问操作权限。

建立安全事件应急管理制度。《个人信息保护法》第五十一

条明确提出，个人信息处理者要制定并组织实施个人信息安

全事件应急预案。安全事件应急管理制度需要建立专业的组

织指挥机构并明确其职责。除人员保障外，还应做好设备、

资金、系统等硬件保障。应急管理过程应当涵盖事件发生的

即时监测预警、先期处置，现场应急处置与后期处置追踪全

流程。此外，还应当注意平时加强防范与演练，如定期组织

内部相关人员进行应急响应培训，定期开展实操演练等，以

保障机制处于激活状态。

引入外部评价体系

企业数据合规对于个人信息的保护效果需要接受外部评价。

外部评价体系主要包括个人信息保护法的基本原则的贯彻、

用户法定权利的保障、特殊主体“守门人”义务的落实以及

对特殊场景增强义务的履行等四个方面。

《个人信息保护法》第五条至第十条对个人信息保护法的基

本原则作了规定，明确在个人信息处理活动中应当遵循合法、

正当、必要、诚信、目的限制、公开透明、质量、安全等八

项原则。这是涉个人信息企业合规的原则性要求，也是作为

合规效果的基本测评指标。

同时，个人信息保护法对个人信息权利进行了定义，全面构

建了个人在信息处理活动中享有的法定权利，包括知情权、

决定权、限制权、拒绝权、查阅权、复制权、可携带权、更

正权、删除权等。这些权利企业在开展数据活动时不能触碰，

尤其是用户数量巨大、业务类型复杂的应用程序分发平台、

移动终端操作系统、平台型App，应当履行“守门人”义务，

即健全合规制度体系、制定平台内规则、处罚违法者、定期

报告发布。

对于影响个人利益的重大事项，个人信息保护法要求个人信

息处理者需要取得该个人的“单独同意”，即单独向个人信

息主体告知处理个人信息的目的、方式和