?

落實(shí)《個(gè)保法》，企業(yè)數(shù)據(jù)合規(guī)組織架構(gòu)如何搭建

?

于企業(yè)而言，在現(xiàn)有合規(guī)管理組織體系基礎(chǔ)上，《個(gè)保法》對數(shù)據(jù)合規(guī)管理架構(gòu)提出了三個(gè)方面的新要求：

?

?

個(gè)人信息處理數(shù)量達(dá)到網(wǎng)信部門規(guī)定的企業(yè)應(yīng)當(dāng)指定個(gè)人信息保護(hù)負(fù)責(zé)人，這是《個(gè)保法》的強(qiáng)制性規(guī)定。

?

哪些企業(yè)必須設(shè)置個(gè)人信息保護(hù)負(fù)責(zé)人。《個(gè)保法》第52條第1款規(guī)定，"處理個(gè)人信息達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量的個(gè)人信息處理者應(yīng)當(dāng)指定個(gè)人信息保護(hù)負(fù)責(zé)人"。"國家網(wǎng)信部門規(guī)定數(shù)量"還有待《個(gè)保法》配套規(guī)定進(jìn)行明確。2021年7月，網(wǎng)信辦在《網(wǎng)絡(luò)安全審查辦法（征求意見稿）》中規(guī)定，掌握超過100萬用戶個(gè)人信息的企業(yè)赴國外上市應(yīng)先進(jìn)行國內(nèi)申報(bào)審查，可資參考。市場監(jiān)督管理總局、國家標(biāo)準(zhǔn)委《信息安全技術(shù) 個(gè)人信息安全規(guī)范》（GB/T35273-2020）（下稱"《個(gè)人信息安全規(guī)范》"）倡導(dǎo)，滿足以下條件之一的企業(yè)，應(yīng)設(shè)立專職個(gè)人信息保護(hù)負(fù)責(zé)人："1.主要業(yè)務(wù)涉及個(gè)人信息處理，且從業(yè)人員規(guī)模大于200人；2.處理超過100萬人的個(gè)人信息，或預(yù)計(jì)在12個(gè)月內(nèi)處理超過100萬人的個(gè)人信息；3.處理超過10萬人的個(gè)人敏感信息的。"

?

個(gè)人信息保護(hù)負(fù)責(zé)人的級別如何設(shè)置。個(gè)人信息保護(hù)負(fù)責(zé)人具體如何設(shè)置、級別如何安排，屬于企業(yè)自治內(nèi)容，法律不會(huì)干預(yù)。但從個(gè)人信息保護(hù)涉及的范圍和影響，以及崗位職責(zé)出發(fā)，企業(yè)應(yīng)結(jié)合實(shí)際高規(guī)格設(shè)置個(gè)人信息保護(hù)負(fù)責(zé)人，至少應(yīng)在公司層面，而非部門層面設(shè)置該崗位?！秱€(gè)人信息安全規(guī)范》規(guī)定：個(gè)人信息保護(hù)負(fù)責(zé)人參與有關(guān)個(gè)人信息處理活動(dòng)的重要決策并直接向企業(yè)主要負(fù)責(zé)人報(bào)告工作。

?

個(gè)人信息保護(hù)負(fù)責(zé)人是否必須專職。從更高的合規(guī)價(jià)值追求和良好的合規(guī)治理實(shí)踐出發(fā)，我們建議至少符合上文國標(biāo)要求的企業(yè)，應(yīng)設(shè)立專職的個(gè)人信息保護(hù)負(fù)責(zé)人。同時(shí)，從成本控制和企業(yè)實(shí)際發(fā)展階段出發(fā)，個(gè)人信息保護(hù)負(fù)責(zé)人也可兼職。比如，由首席數(shù)據(jù)官、首席信息官或總法律顧問兼任。

?

企業(yè)應(yīng)當(dāng)公開個(gè)人信息保護(hù)負(fù)責(zé)人聯(lián)系方式。《個(gè)保法》第52條第2款規(guī)定，"個(gè)人信息處理者應(yīng)當(dāng)公開個(gè)人信息保護(hù)負(fù)責(zé)人的聯(lián)系方式，并將個(gè)人信息保護(hù)負(fù)責(zé)人的姓名、聯(lián)系方式等報(bào)送履行個(gè)人信息保護(hù)職責(zé)的部門"。公開聯(lián)系方式主要指對用戶或者個(gè)人信息收集對象公開，報(bào)送是指向《個(gè)保法》第60條規(guī)定的各級網(wǎng)信部門報(bào)送。

?

?

明確配合個(gè)人信息保護(hù)負(fù)責(zé)人開展工作的工作機(jī)構(gòu)。《個(gè)保法》沒有直接規(guī)定企業(yè)應(yīng)當(dāng)設(shè)立個(gè)人信息保護(hù)工作機(jī)構(gòu)，但其對企業(yè)處理個(gè)人信息規(guī)定了各方面義務(wù)，履行這些義務(wù)顯然需要專門工作機(jī)構(gòu)的支持?！秱€(gè)人信息安全規(guī)范》則明確指出，企業(yè)應(yīng)當(dāng)設(shè)立個(gè)人信息保護(hù)工作機(jī)構(gòu)，與個(gè)人信息保護(hù)負(fù)責(zé)人一起，承擔(dān)數(shù)據(jù)保護(hù)和合規(guī)管理工作，特別是確保能夠及時(shí)應(yīng)對和處理個(gè)人信息泄露、篡改和丟失事件?！稊?shù)據(jù)安全法》第27條也規(guī)定，重要數(shù)據(jù)的處理者應(yīng)當(dāng)明確數(shù)據(jù)安全負(fù)責(zé)人和管理機(jī)構(gòu)，落實(shí)數(shù)據(jù)安全保護(hù)責(zé)任。

?

建立完整的個(gè)人信息保護(hù)組織體系。按照我們的實(shí)踐經(jīng)驗(yàn)，成熟的數(shù)據(jù)合規(guī)管理體系一般圍繞以下骨架搭建：法定代表人—數(shù)據(jù)合規(guī)委員會(huì)—數(shù)據(jù)合規(guī)負(fù)責(zé)人—數(shù)據(jù)合規(guī)牽頭部門—業(yè)務(wù)部門（下屬子公司）—數(shù)據(jù)合規(guī)專員。

?

企業(yè)法定代表人或主要負(fù)責(zé)人對個(gè)人信息保護(hù)負(fù)全面領(lǐng)導(dǎo)責(zé)任；數(shù)據(jù)合規(guī)委員會(huì)（可在合規(guī)管理委員會(huì)內(nèi)部下設(shè)），作為個(gè)人信息保護(hù)的專門議事決策機(jī)構(gòu)；個(gè)人信息保護(hù)負(fù)責(zé)人具體負(fù)責(zé)企業(yè)數(shù)據(jù)合規(guī)體系建設(shè)并領(lǐng)導(dǎo)牽頭部門開展工作；數(shù)據(jù)合規(guī)牽頭部門一般由企業(yè)法律合規(guī)部門擔(dān)任，組織、協(xié)調(diào)和監(jiān)督個(gè)人信息保護(hù)合規(guī)管理工作，并為其他部門提供合規(guī)支持；具體承擔(dān)個(gè)人信息收集任務(wù)的業(yè)務(wù)部門是個(gè)人信息保護(hù)的第一責(zé)任人，是數(shù)據(jù)合規(guī)風(fēng)險(xiǎn)的第一道防線；下屬單位較多或橫跨多個(gè)業(yè)務(wù)板塊的企業(yè)，還可以通過設(shè)置數(shù)據(jù)合規(guī)專員的方式，提高數(shù)據(jù)合規(guī)管理效率。

?

此外，對于在境外處理我國境內(nèi)個(gè)人信息的企業(yè)，還應(yīng)當(dāng)在境內(nèi)設(shè)立專門機(jī)構(gòu)或者指定代表，負(fù)責(zé)處理個(gè)人信息保護(hù)相關(guān)事務(wù)。

?

以上組織體系的建立健全，首先可通過完善企業(yè)合規(guī)管理制度的方式實(shí)現(xiàn)，再通過企業(yè)數(shù)據(jù)合規(guī)運(yùn)行和保障機(jī)制的有效實(shí)施得以落地。

?

?

《個(gè)保法》第58條規(guī)定，提供重要互聯(lián)網(wǎng)平臺服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的個(gè)人信息處理者，應(yīng)當(dāng)成立主要由外部成員組成的獨(dú)立機(jī)構(gòu)對個(gè)人信息保護(hù)情況進(jìn)行監(jiān)督。

?

哪些企業(yè)需強(qiáng)制成立獨(dú)立監(jiān)督機(jī)構(gòu)，尚待配套規(guī)定明確。但《個(gè)保法》在法律層面已經(jīng)強(qiáng)調(diào)，獨(dú)立監(jiān)督機(jī)構(gòu)"應(yīng)當(dāng)主要由外部成員組成"。在落實(shí)《個(gè)保法》該項(xiàng)規(guī)定的過程中，涉案企業(yè)合規(guī)第三方監(jiān)督評估制度和上市公司獨(dú)立董事制度可能會(huì)成為參考。我們建議企業(yè)在制定未來規(guī)劃時(shí)，應(yīng)盡早考慮成立獨(dú)立監(jiān)督機(jī)構(gòu)，以贏得工作上的主動(dòng)。

?

落實(shí)《個(gè)保法》，企業(yè)數(shù)據(jù)合規(guī)制度體系如何完善

?

《數(shù)據(jù)安全法》強(qiáng)調(diào)企業(yè)應(yīng)建立健全"全流程數(shù)據(jù)安全管理制度"，《個(gè)保法》則針對個(gè)人信息保護(hù)制度建設(shè)進(jìn)一步規(guī)定了三個(gè)方面內(nèi)容。

?

?

個(gè)人信息保護(hù)原則的極大豐富是本次《個(gè)保法》立法一大亮點(diǎn)，主要體現(xiàn)在第5條至第10條。可概括總結(jié)為"五大原則"：合法正當(dāng)誠信原則；最小必要原則；公開透明原則；信息質(zhì)量原則；信息安全原則。

?

落實(shí)該等原則，首先應(yīng)內(nèi)化為企業(yè)合規(guī)制度，用以指導(dǎo)、補(bǔ)充和協(xié)調(diào)企業(yè)個(gè)人信息保護(hù)機(jī)制發(fā)揮作用。當(dāng)然，除了及時(shí)制定或升版企業(yè)規(guī)章制度外，企業(yè)"隱私政策"作為最重要的個(gè)人信息保護(hù)文件，在更新中也應(yīng)著重注意貫徹《個(gè)保法》確定的新原則。

?

?

內(nèi)部管理制度和操作規(guī)程是個(gè)人信息保護(hù)合規(guī)制度建設(shè)中最基礎(chǔ)、最重要的內(nèi)容?！秱€(gè)保法》對此的原則規(guī)定是，企業(yè)應(yīng)當(dāng)根據(jù)個(gè)人信息的處理目的、處理方式、個(gè)人信息的種類以及對個(gè)人權(quán)益的影響、可能存在的安全風(fēng)險(xiǎn)等，制定內(nèi)部管理制度和操作規(guī)程，確保個(gè)人信息處理活動(dòng)符合法律、行政法規(guī)的規(guī)定。

?

具體而言，企業(yè)究竟應(yīng)制定哪些管理制度和操作規(guī)程，這取決于企業(yè)個(gè)人信息處理業(yè)務(wù)的規(guī)模、領(lǐng)域和監(jiān)管環(huán)境。但無論如何，企業(yè)制度體系應(yīng)至少涵蓋以下基礎(chǔ)內(nèi)容：個(gè)人信息保護(hù)總體合規(guī)管理辦法，個(gè)人信息收集規(guī)則，個(gè)人信息使用規(guī)則，敏感個(gè)人信息處理規(guī)則，個(gè)人信息存儲(chǔ)和保護(hù)政策，個(gè)人信息共享、提供、轉(zhuǎn)讓和委托處理規(guī)則，個(gè)人信息跨境傳輸規(guī)則，個(gè)人信息安全事件處置規(guī)則，個(gè)人信息公開披露規(guī)則等。

?

需強(qiáng)調(diào)的是，企業(yè)新的制度建設(shè)應(yīng)遵循"最小影響"原則，應(yīng)盡量避免繁多的管理制度和體系疊床架屋，首先著眼于對企業(yè)既有制度的整合、融入和升版，而不是處處另搞一套。

?

?

個(gè)人信息安全事件，指發(fā)生或者可能發(fā)生個(gè)人信息泄露、篡改、丟失的事件。個(gè)人信息安全事件應(yīng)急預(yù)案作為成文文件，是企業(yè)制度體系的一部分。落實(shí)《個(gè)保法》的具體規(guī)定，企業(yè)個(gè)人信息安全事件應(yīng)急預(yù)案應(yīng)包含以下內(nèi)容。

?

一是安全事件應(yīng)急響應(yīng)的組織機(jī)構(gòu)和工作機(jī)制、責(zé)任機(jī)制?？傮w編制思路可參考《國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》。

?

二是如何記錄、評估和上報(bào)信息安全事件。包括記錄事件內(nèi)容，評估事件影響并及時(shí)采取減損措施，依法向網(wǎng)信部門上報(bào)等。

?

三是如何履行對個(gè)人信息主體的告知義務(wù)。告知內(nèi)容包括：安全事件涉及的信息種類、原因和可能造成的危害；已采取的補(bǔ)救措施和個(gè)人可以采取的減輕危害的措施；企業(yè)的聯(lián)系方式。

?

四是應(yīng)急響應(yīng)培訓(xùn)和應(yīng)急演練計(jì)劃。

?

落實(shí)《個(gè)保法》，企業(yè)數(shù)據(jù)管理運(yùn)行機(jī)制如何建立

?

個(gè)人信息保護(hù)制度的落地，取決于運(yùn)行機(jī)制的設(shè)計(jì)和實(shí)施。個(gè)人信息保護(hù)運(yùn)行機(jī)制的建立健全是企業(yè)防范合規(guī)風(fēng)險(xiǎn)最核心、最復(fù)雜的內(nèi)容，限于篇幅，本文僅就《個(gè)保法》規(guī)定的有關(guān)運(yùn)行機(jī)制作提綱挈領(lǐng)的解讀。

?

?

將個(gè)人信息分為一般個(gè)人信息和敏感個(gè)人信息，并進(jìn)行分類保護(hù)，是我國個(gè)人信息和數(shù)據(jù)保護(hù)走向成熟和深入的標(biāo)志。企業(yè)應(yīng)當(dāng)首先建立個(gè)人信息分級管理機(jī)制，通過內(nèi)部制度和操作規(guī)程，鑒別和區(qū)分企業(yè)處理個(gè)人信息的不同類別，并著重針對敏感個(gè)人信息、未成年人信息設(shè)置單獨(dú)同意等特殊規(guī)則。

?

?

企業(yè)在處理個(gè)人信息前，應(yīng)當(dāng)以顯著方式、清晰易懂的語言真實(shí)、準(zhǔn)確、完整地向個(gè)人告知本企業(yè)個(gè)人信息處理規(guī)則。包括企業(yè)名稱和聯(lián)系方式，個(gè)人信息的處理目的、處理方式以及個(gè)人信息種類和保存期限，個(gè)人行使法定權(quán)利（包括知情權(quán)、決定權(quán)、查閱復(fù)制權(quán)、可攜帶權(quán)、更正權(quán)、撤回刪除權(quán)等）的方式和程序等。該規(guī)則還應(yīng)便于查閱和保存。

?

?

企業(yè)開展對個(gè)人權(quán)益有重大影響的個(gè)人信息處理活動(dòng)，應(yīng)當(dāng)事前進(jìn)行個(gè)人信息保護(hù)影響評估，這是《個(gè)保法》之后，企業(yè)開展個(gè)人信息處理業(yè)務(wù)的前置程序，應(yīng)當(dāng)引起重視。具體而言，企業(yè)在開展如下業(yè)務(wù)時(shí)應(yīng)進(jìn)行事前評估：處理敏感個(gè)人信息；利用個(gè)人信息進(jìn)行自動(dòng)化決策；委托處理個(gè)人信息、向其他個(gè)人信息處理者提供個(gè)人信息、公開個(gè)人信息；向境外提供個(gè)人信息等。評估內(nèi)容包括：個(gè)人信息的處理目的、處理方式等是否合法、正當(dāng)、必要；對個(gè)人權(quán)益的影響及安全風(fēng)險(xiǎn)；所采取的保護(hù)措施是否合法、有效并與風(fēng)險(xiǎn)程度相適應(yīng)。相關(guān)評估報(bào)告應(yīng)當(dāng)至少保存三年。

?

?

企業(yè)開展對個(gè)人權(quán)益有重大影響的個(gè)人信息處理活動(dòng)，應(yīng)對處理情況進(jìn)行記錄。記錄的內(nèi)容包括：處理個(gè)人信息的類型、數(shù)量、來源，個(gè)人信息的處理目的、使用場景及分級管理情況，共享、轉(zhuǎn)讓、委托處理、公開披露、出境提供等情況，個(gè)人信息處理活動(dòng)各環(huán)節(jié)信息系統(tǒng)、組織和人員等。個(gè)人信息處理記錄應(yīng)當(dāng)至少保存三年。

?

?

企業(yè)應(yīng)當(dāng)定期對其處理個(gè)人信息遵守法律、行政法規(guī)的情況進(jìn)行合規(guī)審計(jì)。審計(jì)內(nèi)容包括：個(gè)人信息保護(hù)政策、相關(guān)規(guī)程和安全措施的有效性，個(gè)人信息處理活動(dòng)監(jiān)測記錄情況，安全事件應(yīng)急處置情況，個(gè)人信息違規(guī)使用、濫用及追責(zé)情況等。

?

此外，還包括個(gè)人信息保護(hù)風(fēng)險(xiǎn)識別與評估機(jī)制、個(gè)人信息保護(hù)合規(guī)審查與咨詢機(jī)制、個(gè)人信息保護(hù)合規(guī)報(bào)告機(jī)制、個(gè)人信息安全工程"三同步"工作機(jī)制等。

?

落實(shí)《個(gè)保法》，企業(yè)應(yīng)就數(shù)據(jù)合規(guī)管理提供哪些保障

?

領(lǐng)導(dǎo)重視。數(shù)據(jù)合規(guī)體系建設(shè)意義重大，企業(yè)領(lǐng)導(dǎo)層應(yīng)大力支持并率先垂范?！秱€(gè)保法》"法律責(zé)任"章規(guī)定，違法處理個(gè)人信息情節(jié)嚴(yán)重的，不僅要對企業(yè)實(shí)施處罰，也要對企業(yè)主管人員和直接責(zé)任人員課以罰款、職業(yè)禁入等處罰措施，并計(jì)入信用檔案。有其他違法行為的，還可能被起訴、行政處罰甚至追究刑事責(zé)任。

?

組織保障。與其他專項(xiàng)合規(guī)管理體系不同，搭建數(shù)據(jù)合規(guī)體系需要企業(yè)法務(wù)部門與業(yè)務(wù)部門、信息技術(shù)部門、網(wǎng)絡(luò)產(chǎn)品主管部門，乃至外部技術(shù)開發(fā)單位共同參與。內(nèi)部團(tuán)隊(duì)承擔(dān)與律師團(tuán)隊(duì)對接、組織合規(guī)訪談、開放后臺數(shù)據(jù)權(quán)限、產(chǎn)品功能演示、擔(dān)任"技術(shù)-法律"翻譯等工作職責(zé)。專業(yè)法律團(tuán)隊(duì)承擔(dān)方案設(shè)計(jì)、數(shù)據(jù)合規(guī)監(jiān)管要求梳理、特定產(chǎn)品風(fēng)險(xiǎn)識別與評估、數(shù)據(jù)合規(guī)保護(hù)制度與員工指南制定、隱私政策修改、數(shù)據(jù)合規(guī)風(fēng)險(xiǎn)防控等職責(zé)。

?

此外，企業(yè)還應(yīng)建立個(gè)人信息保護(hù)違規(guī)舉報(bào)與調(diào)查、合規(guī)考核、安全培訓(xùn)與教育、風(fēng)險(xiǎn)防控有效性評價(jià)等機(jī)制，為個(gè)人信息保護(hù)制度和運(yùn)行機(jī)制的有效落實(shí)提供保障。

?

落實(shí)《個(gè)保法》，企業(yè)應(yīng)關(guān)注的其他事項(xiàng)

?

《個(gè)保法》生效未久，配套規(guī)范付之闕如且正在緊鑼密鼓地推進(jìn)出臺，監(jiān)管尺度仍有待明確，這一切無疑增加了企業(yè)面對不確定時(shí)的合規(guī)成本。對此，我們建議企業(yè)注意以下事項(xiàng)。

?

?

《數(shù)據(jù)出境安全評估辦法（征求意見稿）》《互聯(lián)網(wǎng)平臺分類分級指南（征求意見稿）》等規(guī)范制度正在計(jì)劃出臺，將進(jìn)一步細(xì)化企業(yè)個(gè)人信息保護(hù)的義務(wù)與責(zé)任，以及對企業(yè)數(shù)據(jù)合規(guī)體系提出具體要求。企業(yè)需持續(xù)關(guān)注關(guān)于敏感個(gè)人信息保護(hù)規(guī)則、境外提供信息的認(rèn)證機(jī)構(gòu)與程序、特定企業(yè)個(gè)人信息處理等方面的配套制度。

?

?

《個(gè)保法》不僅明確了信息處理者的行為規(guī)范，更設(shè)置了嚴(yán)厲的法律責(zé)任。遭遇暫停業(yè)務(wù)、吊銷許可與執(zhí)照、雙罰制、按照營業(yè)額百分比罰款、負(fù)責(zé)人員資格罰等處罰，將可能成為企業(yè)難以承受之重。企業(yè)后續(xù)需要密切跟蹤監(jiān)管執(zhí)法案例，把握監(jiān)管執(zhí)法尺度，根據(jù)事項(xiàng)輕重緩急，對照進(jìn)行合規(guī)整改。

?

?

個(gè)人信息處置違規(guī)，可能引發(fā)用戶集體訴訟，《個(gè)保法》已明確規(guī)定了該類公益訴訟制度。關(guān)注司法裁判動(dòng)向，將為企業(yè)提供具有警示意義的案例，司法裁判與監(jiān)管執(zhí)法對待個(gè)人信息保護(hù)的邊界與理念也將為企業(yè)開展數(shù)據(jù)合規(guī)體系建設(shè)、應(yīng)對執(zhí)法監(jiān)管等，提供新的思路。

?

?

初創(chuàng)企業(yè)、新興業(yè)務(wù)、互聯(lián)網(wǎng)產(chǎn)品天然存在試探監(jiān)管底線的沖動(dòng)，而《個(gè)保法》確立了"強(qiáng)保護(hù)"規(guī)則框架以及嚴(yán)格的法律責(zé)任。個(gè)人信息保護(hù)規(guī)范的"張"與企業(yè)業(yè)務(wù)發(fā)展的"弛"之間極易產(chǎn)生沖突。而"業(yè)務(wù)"與"合規(guī)"的沖突與妥協(xié)永遠(yuǎn)是企業(yè)開展合規(guī)體系建設(shè)所要面臨的難題，在個(gè)人信息保護(hù)方面也沒有例外。當(dāng)下，企業(yè)應(yīng)當(dāng)自上而下確立個(gè)人信息保護(hù)的合規(guī)價(jià)值觀，找到業(yè)務(wù)與合規(guī)的平衡和良性互促路徑。

?