當前，大數(shù)據(jù)產(chǎn)業(yè)正直活躍發(fā)展期。5G以大帶寬，低時延，廣連接等特點，帶給大數(shù)據(jù)爆發(fā)性增長與行業(yè)應(yīng)用繁榮的同時放大數(shù)據(jù)保護合規(guī)風(fēng)險。為促進發(fā)展與保證安全，國家數(shù)據(jù)保護合規(guī)及監(jiān)管體系建快速推進。

近年來，國內(nèi)數(shù)據(jù)合規(guī)——個人信息保護合規(guī)相關(guān)重要法規(guī)制度及建設(shè)進程，可分為以下幾部分：

2017年6月1日，以個人信息保護合規(guī)為關(guān)鍵要素的《網(wǎng)絡(luò)安全法》生效，《網(wǎng)絡(luò)安全法》強調(diào)個人信息與隱私保護，規(guī)范個人信息的收集和使用。根據(jù)《網(wǎng)絡(luò)安全法》的立法目的及有關(guān)規(guī)定，企業(yè)（網(wǎng)絡(luò)運營者）需確認的合規(guī)義務(wù)范圍應(yīng)從“數(shù)據(jù)安全合規(guī)”延展至更為具體、影響更廣泛的“個人信息保護合規(guī)”。

歐盟《通用數(shù)據(jù)保護條例》（General Data Protection Regulation，Regulation （EU） 2016/679 of the European Parliament and of the Council，the “GDPR”）于2018年5月生效，對跨國業(yè)務(wù)及國內(nèi)立法產(chǎn)生深遠影響。

2018年，被業(yè)內(nèi)稱為“數(shù)據(jù)保護元年”;此后至今，以個人信息保護為核心的數(shù)據(jù)保護的立法、執(zhí)法和檢查日益頻繁。

根據(jù)法律法規(guī)及監(jiān)管要求，結(jié)合一般企業(yè)商業(yè)目的，我們總結(jié)一般場景下企業(yè)個人信息保護合規(guī)風(fēng)險應(yīng)對方式，供企業(yè)參考。

2019年，中央網(wǎng)信辦、工業(yè)和信息化部、公安部、市場監(jiān)管總局聯(lián)合發(fā)布《關(guān)于開展App違法違規(guī)收集使用個人信息專項治理的公告》，在全國范圍組織開展App違法違規(guī)收集使用個人信息專項治理。

此外，2019年涉及個人信息保護的6項法律及法規(guī)相繼發(fā)布，具體如下：

《數(shù)據(jù)安全法》、《個人信息保護法》已納入十三屆全國人大常委會立法規(guī)劃?！稊?shù)據(jù)安全法（草案）》于2020年7月2日公布。

2020年3月6日，由全國信息安全標準化技術(shù)委員會歸口的GB/T 35273-2020《信息安全技術(shù)個人信息安全規(guī)范》正式發(fā)布，并將于2020年10月1日正式施行。與2017版本相比，增加了“多項業(yè)務(wù)功能自主選擇”、“用戶畫像使用限制”、“個性化展現(xiàn)使用”、“基于不同業(yè)務(wù)目的所收集的個人信息的匯聚融合”等內(nèi)容，針對個人信息面臨的安全問題，規(guī)范個人信息控制者在收集、保存、使用、共享、轉(zhuǎn)讓、公開披露等信息處理環(huán)節(jié)中的相關(guān)行為，旨在遏制個人信息非法收集、濫用、泄漏等亂象，最大程度地保障個人的合法權(quán)益和社會公共利益。

2019年-2020年，數(shù)據(jù)安全管理辦法（征求意見稿）、個人信息出境安全評估辦法（征求意見稿）、移動互聯(lián)網(wǎng)應(yīng)用程序（App）收集個人信息基本規(guī)范（草案）、個人信息告知同意指南（征求意見稿）、網(wǎng)絡(luò)安全標準實踐指南—移動互聯(lián)網(wǎng)應(yīng)用程序（App）收集使用個人信息自評估指南（征求意見稿）、網(wǎng)絡(luò)安全標準實踐指南—移動互聯(lián)網(wǎng)應(yīng)用程序（App）個人信息安全防范指引（征求意見稿）相繼發(fā)布，2020年個人信息合規(guī)法律法規(guī)制度數(shù)量將成井噴式增長。

在較為繁雜的法律法規(guī)體系下，企業(yè)確認合規(guī)義務(wù)難度加大，未正確確認合規(guī)義務(wù)將直接影響對合規(guī)風(fēng)險的預(yù)防、識別和積極應(yīng)對。在此，我們根據(jù)法律法規(guī)及監(jiān)管要求，結(jié)合一般企業(yè)商業(yè)目的，我們總結(jié)一般場景下企業(yè)個人信息保護合規(guī)風(fēng)險應(yīng)對方式，供企業(yè)參考。

（一）明確個人信息保護基本原則并行使對應(yīng)準則

結(jié)合有關(guān)法律法規(guī)、標準及企業(yè)商業(yè)目的，用戶個人信息保護應(yīng)遵循包括但不限于以下基本原則，并在實踐中采取原則對應(yīng)的具體行為準則：

1、知情同意原則，企業(yè)應(yīng)明確向個人信息主體明示個人信息處理目的、方式、范圍、規(guī)則等，獲得其授權(quán)，并在授權(quán)范圍內(nèi)進行數(shù)據(jù)處理;

2、公開透明原則，企業(yè)應(yīng)保證在包括但不限于PC、無線端產(chǎn)品、服務(wù)、網(wǎng)站上線時同時發(fā)布對應(yīng)的隱私權(quán)政策或隱私條款，以明確、易懂和合理的方式公開處理個人信息的范圍、目的、規(guī)則等，使得用戶能簡單易懂的獲取企業(yè)有關(guān)隱私權(quán)和安全實踐的信息;

3、最少夠用原則，企業(yè)進行用戶個人數(shù)據(jù)的收集、使用、存儲、共享等數(shù)據(jù)處理時，應(yīng)在為實現(xiàn)業(yè)務(wù)需求的必要范圍內(nèi)進行;

4、數(shù)據(jù)質(zhì)量原則，企業(yè)應(yīng)當對收集的重要和常用的用戶個人信息數(shù)據(jù)和衍生類個人數(shù)據(jù)（用戶畫像）進行定期檢查、驗證，依據(jù)用戶授權(quán)或法律規(guī)定的使用目的，檢查、驗證所記錄的用戶個人數(shù)據(jù)的客觀性、真實性和準確性并及時進行更正;

5、確保安全原則，企業(yè)應(yīng)具備與所面臨的安全風(fēng)險相匹配的安全能力，并采取足夠的管理措施和技術(shù)手段，保護個人信息的保密性、完整性、可用性。

（二）用戶個人信息保護必要要求

1、隱私權(quán)政策及條款的公示要求

（1）企業(yè)應(yīng)該各業(yè)務(wù)線包括但不限于PC、無線端產(chǎn)品、服務(wù)、網(wǎng)站上線時，同時發(fā)布對應(yīng)的隱私權(quán)政策或隱私條款。隱私政策及條款應(yīng)易于訪問，例如，在網(wǎng)站主頁、移動應(yīng)用程序安裝頁等顯著位置設(shè)置鏈接。

北京市煒衡律師事務(wù)所高級合伙人楊振煜律師

北京市煒衡律師事務(wù)所白宇思律師

（2）原則上，各業(yè)務(wù)線的隱私政策應(yīng)與企業(yè)整體隱私政策統(tǒng)一，若統(tǒng)一的隱私政策范圍不適用特定業(yè)務(wù)線的，業(yè)務(wù)線應(yīng)擬定特定隱私政策或條款。

（3）如果使用二級域名的網(wǎng)站，若一級域名網(wǎng)站的隱私權(quán)政策不適用于該網(wǎng)站的，應(yīng)于二級域名網(wǎng)站上線的同時發(fā)布該網(wǎng)站獨立的隱私權(quán)政策。

（4）在線的隱私權(quán)政策、隱私條款、包含隱私條款的用戶協(xié)議、單獨的授權(quán)文件的上方/下方，應(yīng)當提供用戶點擊同意的按鈕，按鈕上應(yīng)當有用戶表達同意的文案，例如“我已閱讀并接受”、“我已閱讀并同意”等。

2、退出機制要求

使用用戶個人數(shù)據(jù)進行精準化營銷的，營銷觸達渠道（頁面浮出、網(wǎng)頁、電子郵件、短信等）應(yīng)當設(shè)置用戶的退出機制，由用戶選擇是否拒絕接受或更換觸達的內(nèi)容。

（三）個人信息采集合法合規(guī)

1、向用戶直接采集信息

在制度層面，企業(yè)按照當前的監(jiān)管要求在隱私權(quán)政策、隱私條款、授權(quán)文件中，逐一列出收集使用個人信息的目的、方式、范圍等，否則可能存在被認定為“未明示收集使用個人信息的目的、方式和范圍”的情況。

在執(zhí)行層面，用戶個人數(shù)據(jù)的收集應(yīng)與用戶授權(quán)或法律規(guī)定的范圍一致。不得欺騙、誘騙、強制個人信息主體提供其個人信息;不得隱瞞產(chǎn)品或服務(wù)所具有的收集個人信息的功能;不得收集法律法規(guī)明令禁止收集的個人信息。

此外，對于存量數(shù)據(jù)可能存在授權(quán)瑕疵問題，企業(yè)應(yīng)當嘗試通過隱私政策推送或更新的方式，取得用戶補充授權(quán)。如無法取得補充授權(quán)，企業(yè)應(yīng)當對存在授權(quán)瑕疵的數(shù)據(jù)進行清洗與風(fēng)險等級劃分，對高風(fēng)險的數(shù)據(jù)進行數(shù)據(jù)隔離或刪除。

2、從第三方間接獲取用戶個人信息

應(yīng)當對第三方的數(shù)據(jù)來源及使用的合規(guī)性進行事前的核查和評估，建議實施規(guī)范如下：

（1）在接受第三方的數(shù)據(jù)前應(yīng)履行盡職調(diào)查，評估隱私合規(guī)風(fēng)險，核查第三方數(shù)據(jù)收集的方法、用戶授權(quán)的內(nèi)容、用戶同意的方式，確保第三方數(shù)據(jù)的用戶授權(quán)范圍足夠覆蓋企業(yè)處理數(shù)據(jù)的業(yè)務(wù)需求。

（2）要求第三方數(shù)據(jù)源就用戶授權(quán)提供有效、充足的承諾與證明;并在與第三方的協(xié)議中包含如下條款“第三方承諾其數(shù)據(jù)來源及使用合法合規(guī)，未侵犯任何第三方的合法權(quán)益，并保證承擔(dān)違反承諾的法律責(zé)任”。

（3）選取多個合格的第三方數(shù)據(jù)服務(wù)商。

（4）與第三方的數(shù)據(jù)傳輸必須具備監(jiān)控機制和訪問控制。使用加密方式傳輸數(shù)據(jù)。

另，建議企業(yè)制定嚴格的第三方數(shù)據(jù)審批采購流程。

（四）個人信息使用合法合規(guī)

1、對內(nèi)數(shù)據(jù)融合

（1）在數(shù)據(jù)融合的過程中，企業(yè)應(yīng)確保不會超出相關(guān)個人信息主體的授權(quán)范圍。在滿足數(shù)最少夠用原則下，因考慮到獲得客戶二次授權(quán)的可行性較低及業(yè)務(wù)壓力，企業(yè)應(yīng)在確定初始授權(quán)范圍時作出適當安排。

（2）應(yīng)當根據(jù)具體的數(shù)據(jù)融合商業(yè)模式（同一實體內(nèi)數(shù)據(jù)融合或同一集團數(shù)據(jù)融合），確定實體或集團中涉及的企業(yè)在數(shù)據(jù)融合中的角色定位（數(shù)據(jù)控制者與數(shù)據(jù)處理者、共同數(shù)據(jù)控制者），根據(jù)具體的數(shù)據(jù)處理角色，以協(xié)議、審計等方式促進實體或集團內(nèi)不同角色間相應(yīng)權(quán)利、義務(wù)、責(zé)任的落實。

2、對外數(shù)據(jù)共享

（1）企業(yè)應(yīng)當在對外共享收集的個人信息前，充分告知共享、轉(zhuǎn)讓個人信息的目的、數(shù)據(jù)接收方類型和可能的后果并取得信息主體授權(quán);

（2）通過協(xié)議約束個人信息接收方：規(guī)定個人信息接收方的責(zé)任和義務(wù)，明確因接收方導(dǎo)致的數(shù)據(jù)泄露或其他數(shù)據(jù)合規(guī)風(fēng)險，接收方應(yīng)承擔(dān)相關(guān)責(zé)任;約定在發(fā)現(xiàn)接收方違反法律法規(guī)或約定處理個人信息時，發(fā)送方有權(quán)立刻要求接收方停止該行為與采取補救措施;明確約定披露的數(shù)據(jù)用途、存儲地點、使用期限及數(shù)據(jù)歸屬，數(shù)據(jù)授權(quán)范圍等;約定協(xié)議解除或終止時接收方應(yīng)當刪除有關(guān)數(shù)據(jù);其他協(xié)議應(yīng)當規(guī)定的內(nèi)容。

（3）企業(yè)在向他人提供個人信息前，應(yīng)當評估可能帶來的合規(guī)風(fēng)險。評估內(nèi)容至少包括以下幾方面：該數(shù)據(jù)泄露可能造成的損害;存儲該數(shù)據(jù)的地點;存儲該數(shù)據(jù)的設(shè)備所采用的安全防護措施;該數(shù)據(jù)的訪問控制措施及相應(yīng)的人員管理制度;該數(shù)據(jù)傳輸所采用的安全保護措施;其他應(yīng)評估的內(nèi)容。

（4）留存與第三方交互、共享個人信息的日志記錄、協(xié)議文本。

以上是我們總結(jié)的一般場景下企業(yè)個人信息保護合規(guī)風(fēng)險應(yīng)對方式，供企業(yè)參考。實務(wù)過程中，情況復(fù)雜多變，我們將根據(jù)企業(yè)自身特點，為企業(yè)量身打造合規(guī)解決方案，以合規(guī)促進企業(yè)發(fā)展，以合規(guī)為企業(yè)創(chuàng)造價值。

（本文作者為北京市煒衡律師事務(wù)所高級合伙人楊振煜律師，北京市煒衡律師事務(wù)所白宇思律師）

鏈接：

北京市煒衡律師事務(wù)所成立于1995年，是由原司法部中國法律事務(wù)中心部分骨干律師創(chuàng)建的合伙制律師事務(wù)所。秉承“洞察、溝通、解決、良知”的執(zhí)業(yè)理念，以“為中外客戶提供全面、優(yōu)質(zhì)、高效的法律服務(wù)”為最高追求，經(jīng)過二十五年的奮斗，如今已成為中國著名的大型綜合性律師事務(wù)所，總所設(shè)在北京，并在上海、深圳等近四十個國內(nèi)外城市設(shè)立分所。煒衡律師事務(wù)所多次被授予“全國優(yōu)秀律師事務(wù)所”“北京市優(yōu)秀律師事務(wù)所”等榮譽稱號，先后入選錢伯斯、ALB《亞洲法律雜志》、《商法》雜志等排名。

煒衡律師事務(wù)所北京總所與各分所執(zhí)業(yè)律師近3500人，其中北京總所執(zhí)業(yè)律師近400人，并設(shè)有20余個業(yè)務(wù)部門，竭誠為國內(nèi)外廣大客戶提供規(guī)?；?、網(wǎng)絡(luò)化、專業(yè)化、國際化的專業(yè)法律服務(wù)。