秦美虎

北京大成（蘭州）律師事務(wù)所，甘肅 蘭州 730000

一、企業(yè)經(jīng)營(yíng)中涉及的個(gè)人信息及敏感個(gè)人信息

個(gè)人信息的有效保護(hù)不僅關(guān)乎對(duì)個(gè)人隱私及名譽(yù)的保護(hù)，而且是保證言論自由和思想自由的重要前提，如果個(gè)人知道會(huì)因自己的言論導(dǎo)致非難，必然會(huì)走向內(nèi)心的自我監(jiān)督，這嚴(yán)重?fù)p傷了我國(guó)《憲法》所賦予的言論自由的權(quán)利。根據(jù)《個(gè)人信息保護(hù)法》第四條以及第二十八條的規(guī)定，個(gè)人信息是以電子或者其他方式記錄的與已識(shí)別或者可識(shí)別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息。具體而言，企業(yè)在內(nèi)部人事管理、安全維護(hù)、日常運(yùn)營(yíng)、對(duì)外開展業(yè)務(wù)等過程中，接觸的包括自然人的姓名、出生年月、個(gè)人身份證件號(hào)碼、住址、電話、郵箱、醫(yī)療、行蹤等員工信息或客戶資料，均屬于個(gè)人信息，企業(yè)在對(duì)該類信息進(jìn)行收集、存儲(chǔ)、使用、加工、傳輸、提供、公開、刪除等時(shí)均應(yīng)符合法律、行政法規(guī)的規(guī)定，并采取措施防止信息泄露、篡改、丟失。同時(shí)，上述個(gè)人信息中涉及種族、民族、宗教信仰、指紋、人臉識(shí)別信息等個(gè)人生物特征、醫(yī)療健康信息等的信息，以及不滿十四周歲未成年人的個(gè)人信息屬于敏感個(gè)人信息，法律對(duì)此類信息的保護(hù)更為嚴(yán)格，即企業(yè)只有在具有特定的目的和充分的必要性，并采取嚴(yán)格保護(hù)措施的情形下方可處理。

二、企業(yè)在經(jīng)營(yíng)管理中處于個(gè)人信息處理者的法律地位

根據(jù)《個(gè)人信息保護(hù)法》第七十三條的規(guī)定，個(gè)人信息處理者，是指在個(gè)人信息處理中自主決定處理目的、處理方式的組織、個(gè)人。企業(yè)在日常的經(jīng)營(yíng)管理中，無可避免地需要按照企業(yè)管理制度和流程收集、存儲(chǔ)、使用員工或客戶的個(gè)人信息，如在用工過程中掌握的企業(yè)員工姓名、身份信息、聯(lián)系方式、銀行賬戶等個(gè)人信息，在對(duì)外經(jīng)營(yíng)中獲取的客戶信息等，這就必然會(huì)涉及自主決定處理此類個(gè)人信息的目的和方式，因此，企業(yè)在處理和使用此類信息時(shí)，顯然是處于個(gè)人信息處理者的法律地位［1］。同時(shí)，《個(gè)人信息保護(hù)法》第五十一條通過“個(gè)人信息處理者應(yīng)當(dāng)根據(jù)個(gè)人信息的處理目的、處理方式、個(gè)人信息的種類以及對(duì)個(gè)人權(quán)益的影響，采取相關(guān)措施防止個(gè)人信息的泄露和丟失”的規(guī)定，對(duì)企業(yè)權(quán)力作出了限制，避免因?yàn)E用個(gè)人信息導(dǎo)致個(gè)人數(shù)據(jù)成為控制私人的一種武器，為私人帶來巨大的經(jīng)濟(jì)乃至精神損失。

三、《個(gè)人信息保護(hù)法》下企業(yè)存在的法律風(fēng)險(xiǎn)

（一）采集員工個(gè)人信息時(shí)未事先告知并取得其同意的風(fēng)險(xiǎn)

根據(jù)《個(gè)人信息保護(hù)法》第七條、第十三條、第十四條、第十五條、第十七條、第二十三條的規(guī)定，事先告知和取得個(gè)人合法有效同意是企業(yè)處理個(gè)人信息的合法性基礎(chǔ)之一。因此，企業(yè)在處理個(gè)人信息前，應(yīng)當(dāng)將信息處理目的、處理方式、保存期限、個(gè)人權(quán)利行使方式和程序等事項(xiàng)以顯著方式，真實(shí)、準(zhǔn)確、完整地告知員工，取得其同意，并提供便捷的撤回同意的方式。處理目的、處理方式發(fā)生變更的，應(yīng)當(dāng)重新取得員工同意。若未事先征得員工同意或該同意是未經(jīng)充分告知前提下做出，將可能引發(fā)侵權(quán)風(fēng)險(xiǎn)。

（二）超出必要范圍收集、處理員工信息的風(fēng)險(xiǎn)

根據(jù)《個(gè)人信息保護(hù)法》第六條、第十條的規(guī)定，企業(yè)作為個(gè)人信息處理者在處理個(gè)人信息時(shí)，要遵循兩個(gè)“最小”一個(gè)“最短”原則，即收集使用個(gè)人信息應(yīng)當(dāng)具有明確、合理的目的，并限制在對(duì)個(gè)人權(quán)益影響最小的方式和實(shí)現(xiàn)處理目的的最小范圍，不得過度收集員工及客戶的個(gè)人信息；除法律、行政法規(guī)另有規(guī)定外，個(gè)人信息的保存期限應(yīng)不超過為實(shí)現(xiàn)處理目的所必要的最短時(shí)間。企業(yè)在日常管理中，應(yīng)加強(qiáng)個(gè)人信息采集的事前必要性評(píng)估，慎重確定員工或客戶的個(gè)人信息獲得范圍，即需采集的信息應(yīng)視為訂立、履行合同或按照依法制定的勞動(dòng)規(guī)章制度和依法簽訂的集體合同實(shí)施人力資源管理所必需等。例如為防止員工從事與工作無關(guān)的個(gè)人行為或其他不當(dāng)行為等，可能對(duì)其工作過程進(jìn)行監(jiān)控［2］，或者出于考勤管理的需要，在核實(shí)缺勤、安排休假、審核外勤及差旅、病假等場(chǎng)景中要求員工提供其行蹤、醫(yī)療記錄等，均有必要在事前進(jìn)行合法性、合理性、必要性的評(píng)估，選擇對(duì)員工隱私侵犯最小的方式或采取替代性方案進(jìn)行管理，并對(duì)員工進(jìn)行充分的告知，有時(shí)還需獲得員工授權(quán)，避免可能的風(fēng)險(xiǎn)與糾紛。

（三）對(duì)個(gè)人信息管理不當(dāng)?shù)娘L(fēng)險(xiǎn)

1.企業(yè)委托第三方機(jī)構(gòu)處理個(gè)人信息的風(fēng)險(xiǎn)。根據(jù)《個(gè)人信息保護(hù)法》第二十一條第一款的規(guī)定，企業(yè)在日常管理中，如需委托第三方處理個(gè)人信息，首先，應(yīng)在事前向涉及的員工告知接收方的名稱或者姓名、聯(lián)系方式、處理目的、處理方式和個(gè)人信息的種類，并取得其單獨(dú)同意。其次，應(yīng)通過簽訂書面協(xié)議的方式，與受托人約定委托處理的目的、期限、處理方式、信息的種類、保護(hù)措施以及雙方的權(quán)利和義務(wù)等。此外，在委托合同履行過程中，企業(yè)應(yīng)加強(qiáng)對(duì)受托人的信息處理活動(dòng)進(jìn)行監(jiān)督，使得受托人處理個(gè)人信息的目的、方式等不超出約定，否則將可能出現(xiàn)信息泄露的風(fēng)險(xiǎn)。

2.企業(yè)受托處理個(gè)人信息時(shí)操作不當(dāng)?shù)娘L(fēng)險(xiǎn)。根據(jù)《個(gè)人信息保護(hù)法》第二十一條第二款、第三款的規(guī)定，企業(yè)在作為受托方處理個(gè)人信息時(shí)，應(yīng)嚴(yán)格按照約定進(jìn)行，確保處理個(gè)人信息的目的、方式等符合約定，且未經(jīng)信息委托方同意，企業(yè)也不得再轉(zhuǎn)委托他人處理上述個(gè)人信息。如果根據(jù)相關(guān)法律法規(guī)規(guī)定，導(dǎo)致委托合同不生效、無效、被撤銷或者終止的，企業(yè)應(yīng)當(dāng)及時(shí)將受托處理的個(gè)人信息全部返還給委托方或者予以刪除，不得擅自保留，否則，也容易引發(fā)侵權(quán)風(fēng)險(xiǎn)。

3.因公司合并、分立、解散等轉(zhuǎn)移個(gè)人信息的風(fēng)險(xiǎn)。根據(jù)《個(gè)人信息保護(hù)法》第二十二條的規(guī)定，企業(yè)如出現(xiàn)合并、分立、解散、被宣告破產(chǎn)等情形，需要轉(zhuǎn)移個(gè)人信息的，應(yīng)及時(shí)向所涉及的員工或客戶告知義務(wù)接收方的名稱或者姓名和聯(lián)系方式。企業(yè)如果是接收方，則應(yīng)繼續(xù)妥當(dāng)履行個(gè)人信息處理者的義務(wù)。且處理個(gè)人信息的目的、方式與之前相比發(fā)生變化的，企業(yè)應(yīng)當(dāng)重新取得所涉?zhèn)€人的同意。

4.不當(dāng)公開員工個(gè)人信息的風(fēng)險(xiǎn)。根據(jù)《個(gè)人信息保護(hù)法》第二十三條的規(guī)定，企業(yè)因?qū)ν庑麄鳌I(yè)務(wù)合作等方面的需要向第三方提供員工信息或應(yīng)其他機(jī)構(gòu)要求配合披露個(gè)人信息時(shí)，應(yīng)事先向涉及的員工告知接收方的名稱或者姓名、聯(lián)系方式、處理所涉及的信息種類、方式以及處理目的，并確保取得員工的單獨(dú)同意，否則可能會(huì)出現(xiàn)侵權(quán)的風(fēng)險(xiǎn)。

5.員工離職后未及時(shí)對(duì)其個(gè)人信息更新、刪除的風(fēng)險(xiǎn)。根據(jù)《個(gè)人信息保護(hù)法》第四十七條的規(guī)定，個(gè)人信息處理者停止提供產(chǎn)品或者服務(wù)，應(yīng)當(dāng)主動(dòng)刪除個(gè)人信息。因此，在員工離職后，企業(yè)應(yīng)就其個(gè)人信息如何處理及時(shí)與員工本人進(jìn)行協(xié)商、約定，如員工提出刪除請(qǐng)求的，企業(yè)應(yīng)及時(shí)對(duì)自身掌握的員工個(gè)人信息庫(kù)進(jìn)行全面更新或刪除，避免侵權(quán)風(fēng)險(xiǎn)。

6.因員工死亡而忽略對(duì)其個(gè)人信息繼續(xù)妥善管理的風(fēng)險(xiǎn)。根據(jù)《個(gè)人信息保護(hù)法》第四十九條的規(guī)定，自然人死亡的，其近親屬如因保障自身的合法、正當(dāng)利益需要，有權(quán)對(duì)死者的相關(guān)個(gè)人信息進(jìn)行查閱、復(fù)制、更正、刪除等，企業(yè)相應(yīng)地負(fù)有在此過程中做好配合的義務(wù)，例如為死者近親屬提供死者個(gè)人信息的訪問途徑和方式，避免侵權(quán)風(fēng)險(xiǎn)。

7.對(duì)客戶信息保管及處理不當(dāng)導(dǎo)致客戶信息外露的風(fēng)險(xiǎn)。根據(jù)《個(gè)人信息保護(hù)法》第二十五條、第五十一條的規(guī)定，客戶信息作為企業(yè)的重要商業(yè)秘密，是企業(yè)深入了解合作伙伴、更好經(jīng)營(yíng)合作關(guān)系、不斷提升核心競(jìng)爭(zhēng)力的有力武器。因此，在未經(jīng)客戶的單獨(dú)同意時(shí)，任何人不得公開其相關(guān)資料信息，且企業(yè)在日常管理中應(yīng)通過采取合理手段確定相關(guān)客戶資料的操作權(quán)限等措施防止員工未經(jīng)授權(quán)非法查詢客戶資料甚至泄露、篡改客戶的資料信息等行為的發(fā)生，避免喪失客戶信任導(dǎo)致客戶流失，甚至引發(fā)民事糾紛。

（四）新冠疫情中收集和使用員工個(gè)人信息的風(fēng)險(xiǎn)

在當(dāng)前新冠疫情防控逐漸常態(tài)化的新形勢(shì)下，企業(yè)出于配合國(guó)家疫情防控措施和保護(hù)員工及他人健康的需要，往往需全面掌握員工與疫情相關(guān)的信息，例如員工的姓名、性別、地址、電話號(hào)碼、電子郵箱等基本個(gè)人信息，以及員工的近期旅行記錄、所乘交通工具、住宿信息、個(gè)人健康情況、隔離場(chǎng)所等個(gè)人敏感信息。此外，對(duì)于疑似病例，企業(yè)也有可能根據(jù)主管部門需要進(jìn)一步收集疑似患者的密切接觸者（例如家人及朋友）的信息。雖然《個(gè)人信息保護(hù)法》已經(jīng)規(guī)定在“應(yīng)對(duì)突發(fā)公共衛(wèi)生事件”或者“緊急情況下為保護(hù)自然人的生命健康和財(cái)產(chǎn)安全所必需”的情形下，收集個(gè)人信息無需以取得員工個(gè)人同意為前提，但企業(yè)仍需注意遵循最小范圍原則，避免對(duì)員工信息的過度收集［3］。同時(shí)，對(duì)上述信息收集后僅限于配合疾病預(yù)防控制機(jī)構(gòu)、醫(yī)療機(jī)構(gòu)有關(guān)傳染病的預(yù)防、控制和治療工作的范圍內(nèi)使用，不得用作其他用途。

（五）使用指紋或人臉識(shí)別等方式進(jìn)行安全管理的風(fēng)險(xiǎn)

根據(jù)《個(gè)人信息保護(hù)法》第二十六條、第二十八條的規(guī)定，無論是指紋認(rèn)證抑或是人臉識(shí)別，都屬于敏感個(gè)人信息的一種，一旦泄露極易對(duì)當(dāng)事人的人身和財(cái)產(chǎn)安全造成重大危害，甚至還可能威脅公共安全，故必須對(duì)其適用范圍進(jìn)行嚴(yán)格限制，只有在具有特定的目的和充分的必要性時(shí)方能使用。如企業(yè)基于安全管理措施的需要，在門禁、監(jiān)控系統(tǒng)中添加員工個(gè)人指紋或面孔等生物識(shí)別信息時(shí)，應(yīng)當(dāng)取得員工同意，如果沒有事先告知并征得員工同意，將存在侵權(quán)風(fēng)險(xiǎn)。

（六）濫用自動(dòng)化決策處理客戶信息的風(fēng)險(xiǎn)

自動(dòng)化決策，是指通過事先預(yù)設(shè)好的算法，借助計(jì)算機(jī)程序?qū)€(gè)人（尤其是消費(fèi)者）的行為習(xí)慣、興趣愛好或者經(jīng)濟(jì)、健康、信用狀況等進(jìn)行自動(dòng)分析、評(píng)估以及決策的活動(dòng)。根據(jù)《個(gè)人信息保護(hù)法》第二十四條、第五十五條、第五十六條的規(guī)定，企業(yè)在利用大數(shù)據(jù)對(duì)客戶信息進(jìn)行自動(dòng)化處理（包括但不限于商務(wù)信息推送、商業(yè)廣告營(yíng)銷、產(chǎn)品服務(wù)推薦等）時(shí)，不僅應(yīng)遵守個(gè)人信息處理的一般規(guī)則，保證決策事項(xiàng)合法、正當(dāng)、必要，決策結(jié)果公平、公正、透明，還應(yīng)當(dāng)在事前就相關(guān)事項(xiàng)向客戶進(jìn)行充分告知并取得其同意，且為客戶提供不針對(duì)其個(gè)人特征的選項(xiàng)，或者向其提供便捷的拒絕方式，不得擅自以其不同意為由拒絕提供產(chǎn)品或者服務(wù)，也不能因此對(duì)客戶實(shí)行不合理的差別待遇。

（七）個(gè)人信息跨境的風(fēng)險(xiǎn)

在當(dāng)前經(jīng)濟(jì)全球化發(fā)展趨勢(shì)下，企業(yè)對(duì)外聯(lián)系日益緊密，尤其對(duì)跨國(guó)公司而言，經(jīng)常會(huì)面臨因內(nèi)部人力資源統(tǒng)一管理需要，對(duì)全球范圍的員工進(jìn)行統(tǒng)一管理與信息處理，這就可能涉及員工個(gè)人信息的頻繁跨境傳輸問題。根據(jù)《個(gè)人信息保護(hù)法》第三十八條、第三十九條的規(guī)定，企業(yè)向境外提供員工個(gè)人信息的，需至少滿足以下條件之一方可進(jìn)行：1.通過國(guó)家網(wǎng)信部門組織的安全評(píng)估；2.按照國(guó)家網(wǎng)信部門的規(guī)定經(jīng)專業(yè)機(jī)構(gòu)進(jìn)行個(gè)人信息保護(hù)認(rèn)證；3.按照國(guó)家網(wǎng)信部門制定的標(biāo)準(zhǔn)合同與境外接收方訂立合同，約定雙方的權(quán)利和義務(wù)。同時(shí)，企業(yè)還應(yīng)在事前就境外信息接收方的名稱和聯(lián)系方，信息的處理目的、方式、種類以及員工主張權(quán)利的方式和程序等內(nèi)容向員工進(jìn)行充分告知，并征得其單獨(dú)同意。

四、《個(gè)人信息保護(hù)法》下企業(yè)如何實(shí)施有效管理和風(fēng)險(xiǎn)防范

（一）企業(yè)個(gè)人信息管理應(yīng)遵循的基本原則

1.合法、正當(dāng)、誠(chéng)信原則，即企業(yè)處理個(gè)人信息應(yīng)當(dāng)合法、正當(dāng)、必要且誠(chéng)信，不能以誤導(dǎo)、欺詐、脅迫等方式處理個(gè)人信息。

2.最小程度原則，即企業(yè)處理個(gè)人信息的目的應(yīng)明確、合理，并在實(shí)現(xiàn)目的的最小范圍內(nèi)以對(duì)其權(quán)益影響最小的方式處理個(gè)人信息，避免過度收集。

3.公開透明原則，即企業(yè)處理個(gè)人信息的手段、過程等應(yīng)公開、透明。

4.完整性和準(zhǔn)確性原則，即企業(yè)有義務(wù)保證信息處理的質(zhì)量，避免因處理不當(dāng)導(dǎo)致個(gè)人信息不準(zhǔn)確、不完整，進(jìn)而對(duì)其權(quán)益造成不利影響。

5.安全保障原則，即企業(yè)負(fù)有保障所處理的個(gè)人信息安全的義務(wù)。

（二）企業(yè)實(shí)施管理和防范風(fēng)險(xiǎn)的具體方式

1.加強(qiáng)組織保障。隨著《個(gè)人信息保護(hù)法》的出臺(tái)，企業(yè)按照傳統(tǒng)的“管理－服從”模式已無法適應(yīng)時(shí)代發(fā)展的需要，企業(yè)管理者應(yīng)轉(zhuǎn)變管理思想，放下身段，從單一制度的制定者轉(zhuǎn)變?yōu)榫唧w制度的踐行者，尤其是《個(gè)人信息保護(hù)法》“法律責(zé)任”章明確規(guī)定，違法處理個(gè)人信息情節(jié)嚴(yán)重的，不僅要對(duì)企業(yè)實(shí)施處罰，也要對(duì)企業(yè)主管人員和直接責(zé)任人員以罰款、職業(yè)禁入等處罰措施，并記入信用檔案。有其他違法行為的，還可能承擔(dān)民事責(zé)任、遭受行政處罰甚至追究刑事責(zé)任。因此，企業(yè)管理層更應(yīng)該帶頭落實(shí)《個(gè)人信息保護(hù)法》的各項(xiàng)規(guī)定，大力支持相關(guān)執(zhí)行部門工作，保障企業(yè)經(jīng)營(yíng)依法合規(guī)。

2.建立健全內(nèi)部管理制度和操作規(guī)程。首先，企業(yè)應(yīng)當(dāng)注意根據(jù)不同類別個(gè)人信息在處理目的、方式、對(duì)權(quán)益的影響、安全風(fēng)險(xiǎn)等方面的差異，制定相對(duì)應(yīng)的管理制度和操作規(guī)程，包括但不限于：個(gè)人信息的告知、收集及使用制度，敏感個(gè)人信息的特殊處理制度，安全保護(hù)制度（包括信息傳輸、存儲(chǔ)等），個(gè)人信息共享、提供、轉(zhuǎn)讓規(guī)則，個(gè)人信息跨境傳輸規(guī)則，應(yīng)急預(yù)案管理制度，審計(jì)制度以及相應(yīng)的操作流程等，確保個(gè)人信息處理活動(dòng)在符合法律、行政法規(guī)的框架內(nèi)進(jìn)行。其次，加強(qiáng)動(dòng)態(tài)管理，根據(jù)個(gè)人信息保護(hù)的法律法規(guī)變化和監(jiān)管動(dòng)態(tài)，及時(shí)對(duì)現(xiàn)有的規(guī)章制度進(jìn)行更新完善，將外部有關(guān)合規(guī)要求轉(zhuǎn)化為內(nèi)部規(guī)章制度。同時(shí)，加強(qiáng)從個(gè)人信息收集、傳輸、存儲(chǔ)到處理、刪除等各環(huán)節(jié)的銜接和涵蓋全流程的管理，嚴(yán)格注意各流程的權(quán)限管理。必要時(shí)，可以考慮從公司層面成立相關(guān)部門，并指派專人負(fù)責(zé)，保障相關(guān)制度及措施的有效實(shí)施。

3.對(duì)個(gè)人信息實(shí)施分類分級(jí)管理。企業(yè)應(yīng)根據(jù)自身經(jīng)營(yíng)實(shí)際，梳理個(gè)人信息收集、使用、存儲(chǔ)及處理的不同場(chǎng)景，并在此基礎(chǔ)上，對(duì)需要處理的信息進(jìn)行分級(jí)分類，針對(duì)不同情景下的不同信息制定更細(xì)化的規(guī)定，包括處理權(quán)限、流程等的區(qū)分。尤其是對(duì)敏感個(gè)人信息和未成年人（未滿十四周歲）個(gè)人信息，相關(guān)的程序和保護(hù)措施要求較之一般個(gè)人信息要更加嚴(yán)格。例如收集電話號(hào)碼與收集人臉信息時(shí)，由于后者屬于生物識(shí)別信息，屬于敏感個(gè)人信息的范疇，獲取授權(quán)時(shí)在程序上較前者要更加嚴(yán)謹(jǐn)。此外，如對(duì)個(gè)人信息的處理可能會(huì)對(duì)其權(quán)益產(chǎn)生重大影響時(shí)，必須在事前進(jìn)行妥善、合理的評(píng)估，并對(duì)處理情況進(jìn)行記錄，相關(guān)評(píng)估報(bào)告和處理情況應(yīng)至少保存三年。

4.采取安全技術(shù)措施保障信息安全。有條件的企業(yè)應(yīng)采用建立防火墻、匿名化、加密、去標(biāo)識(shí)化等安全技術(shù)措施來保護(hù)其所處理的個(gè)人信息。匿名化，是指?jìng)€(gè)人信息經(jīng)過處理無法識(shí)別特定自然人且不能復(fù)原的過程。通過匿名化處理后的數(shù)據(jù)，可以應(yīng)用到更多的業(yè)務(wù)場(chǎng)景，甚至是形成企業(yè)所獨(dú)有的數(shù)據(jù)資產(chǎn)，為企業(yè)帶來收益。

5.加強(qiáng)員工信息安全培訓(xùn)教育，牢固樹立信息保護(hù)意識(shí)。通過培訓(xùn)明確個(gè)人信息保護(hù)的概念與重要意義，以及泄露客戶個(gè)人信息應(yīng)承擔(dān)的法律責(zé)任，并通過不定期抽查或現(xiàn)場(chǎng)考試等形式倒逼員工不斷增強(qiáng)自我保護(hù)意識(shí)和風(fēng)險(xiǎn)防控能力。企業(yè)應(yīng)妥善保留培訓(xùn)及考核記錄，并將培訓(xùn)結(jié)果作為員工年度考核內(nèi)容之一。加強(qiáng)對(duì)客戶信息處理各個(gè)業(yè)務(wù)環(huán)節(jié)的控制，加強(qiáng)數(shù)據(jù)流向管理，并明確每環(huán)節(jié)數(shù)據(jù)保護(hù)責(zé)任人，嚴(yán)防客戶信息泄露。

6.建立健全安全事件應(yīng)急預(yù)案。企業(yè)應(yīng)結(jié)合自身經(jīng)營(yíng)實(shí)際，制定或完善企業(yè)個(gè)人信息安全事件應(yīng)急預(yù)案，包括應(yīng)急響應(yīng)的組織機(jī)構(gòu)和工作機(jī)制、責(zé)任機(jī)制等，并依據(jù)預(yù)案要求定期組織實(shí)施演練。一旦發(fā)生危及企業(yè)信息安全的事件，企業(yè)及時(shí)啟動(dòng)應(yīng)急預(yù)案，采取相應(yīng)的補(bǔ)救措施，并按照規(guī)定向有關(guān)主管部門報(bào)告。

7.開展合規(guī)審計(jì)。企業(yè)應(yīng)對(duì)自身個(gè)人信息保護(hù)制度的制定、相關(guān)規(guī)程和安全措施的有效性，個(gè)人信息處理活動(dòng)監(jiān)測(cè)記錄情況，安全事件應(yīng)急處置情況，個(gè)人信息違規(guī)使用、濫用及追責(zé)情況等定期進(jìn)行合規(guī)審計(jì)，確保符合法律法規(guī)要求。

8.謹(jǐn)慎使用自動(dòng)化決策工具用于信用評(píng)估、商業(yè)營(yíng)銷等活動(dòng)。在自動(dòng)化決策前，需進(jìn)行安全影響評(píng)估（評(píng)估情況應(yīng)至少保存三年），并通過隱私政策或公告、站內(nèi)信的方式，向客戶告知自動(dòng)化決策的存在、應(yīng)用場(chǎng)景、基本的運(yùn)行邏輯及可能對(duì)個(gè)人產(chǎn)生的影響。

9.關(guān)注司法動(dòng)向。由于《個(gè)人信息保護(hù)法》剛出臺(tái)，一些內(nèi)容具體如何實(shí)施仍不明確，例如，如何區(qū)分個(gè)人信息和隱私，互聯(lián)網(wǎng)企業(yè)應(yīng)如何成立外部獨(dú)立監(jiān)督機(jī)構(gòu)等。在此情況下，關(guān)注并學(xué)習(xí)相關(guān)司法解釋以及司法裁判，可以為企業(yè)如何開展個(gè)人信息保護(hù)工作提供有效的指引和導(dǎo)向，有利于企業(yè)規(guī)范合法推動(dòng)個(gè)人信息保護(hù)。

10.加強(qiáng)特殊情形下個(gè)人信息的妥善處理。例如在遭遇新冠疫情等特殊公共衛(wèi)生事件時(shí)，企業(yè)對(duì)其收集的員工信息，應(yīng)采取嚴(yán)格的管理和技術(shù)防護(hù)措施妥善保管，防止信息被竊取或泄露。即便是因聯(lián)防聯(lián)控工作需要公開，也應(yīng)對(duì)相關(guān)信息進(jìn)行脫敏處理后再行發(fā)布。

五、結(jié)語(yǔ)

隨著大數(shù)據(jù)時(shí)代的到來，個(gè)人信息作為一種重要的社會(huì)資源越來越被人們所重視，公民的個(gè)人維權(quán)意識(shí)不斷增強(qiáng)。企業(yè)作為重要的個(gè)人信息處理主體，在日常經(jīng)營(yíng)中其管理權(quán)的行使難免會(huì)與員工或客戶的個(gè)人信息受保護(hù)權(quán)產(chǎn)生碰撞、摩擦，進(jìn)而引發(fā)相應(yīng)的法律風(fēng)險(xiǎn)。因此，企業(yè)應(yīng)在遵守國(guó)家法律法規(guī)的前提下，采取有效措施保障個(gè)人信息不受侵犯，確保企業(yè)自身利益的最大化。