第九部分：個(gè)人信息處理者的主要義務(wù)

　　個(gè)人信息處理者的主要義務(wù)，從企業(yè)的角度來(lái)看，可以扼要理解為，組織在處理個(gè)人信息時(shí)候，需要根據(jù)適用的數(shù)據(jù)保護(hù)法律的要求，提供和制定各項(xiàng)內(nèi)部與外部的個(gè)人信息保護(hù)與管理制度，以及安全技術(shù)保障措施，以便更好地遵守?cái)?shù)據(jù)保護(hù)法律的規(guī)定，這也是各個(gè)企業(yè)在數(shù)據(jù)合規(guī)工作中特別重要的部分。

　?。ㄒ唬┪覈?guó)個(gè)人信息保護(hù)法解讀：

　　本次個(gè)保法在第五章中比較系統(tǒng)地規(guī)定了個(gè)人信息處理者的基本法律義務(wù)，從組織保障、制度建設(shè)、以及安全技術(shù)措施等角度，為企業(yè)在個(gè)人信息處理的實(shí)操中，提供了更為清晰的、確定性的義務(wù)性要求與規(guī)范。在本系列文章中前面第六至第八部分的篇章中，也提及了一些關(guān)于個(gè)人信息處理者的義務(wù)要求，例如事前的數(shù)據(jù)影響與風(fēng)險(xiǎn)評(píng)估要求、發(fā)生安全事件時(shí)的數(shù)據(jù)泄露通知、以及設(shè)立個(gè)人信息保護(hù)負(fù)責(zé)人的要求等。

　　在下面的內(nèi)容中，我們將從企業(yè)合規(guī)的角度，為企業(yè)扼要梳理其作為個(gè)人信息處理者需要遵守的我國(guó)個(gè)保法規(guī)定的基本義務(wù)：

　　1.  制定企業(yè)內(nèi)部的管理制度和操作規(guī)程

　　我國(guó)個(gè)保法要求企業(yè)應(yīng)當(dāng)制定屬于企業(yè)內(nèi)部的個(gè)人信息保護(hù)與管理制度與操作規(guī)程。關(guān)于個(gè)人信息的合規(guī)制度體系的搭建，可以龐大而復(fù)雜，也可以麻雀雖小但五臟俱全。

　　因此，企業(yè)應(yīng)當(dāng)結(jié)合自身的業(yè)務(wù)發(fā)展情況，特別是業(yè)務(wù)開(kāi)展過(guò)程中所涉及到的個(gè)人信息處理活動(dòng)的具體情況，將個(gè)人信息保護(hù)的基本要求嵌入到業(yè)務(wù)流程中去，以制定出一套適合公司特有業(yè)務(wù)場(chǎng)景的內(nèi)部管理制度，并通過(guò)執(zhí)行性強(qiáng)的操作程序，進(jìn)一步清晰地明確和落實(shí)個(gè)人信息全生命周期中的各個(gè)合規(guī)細(xì)節(jié)和要求，以實(shí)現(xiàn)通過(guò)制度和管理達(dá)到有效保障個(gè)人信息安全的目的。

　　2.  建立個(gè)人信息分級(jí)、分類的管理制度

　　確保個(gè)人信息的安全角度考慮，我國(guó)個(gè)保法要求企業(yè)對(duì)個(gè)人信息進(jìn)行分級(jí)、分類的管理，這是企業(yè)進(jìn)行個(gè)人信息安全風(fēng)險(xiǎn)防范與管理的技術(shù)方案之一。

　　我國(guó)《網(wǎng)絡(luò)安全法》要求網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施；《數(shù)據(jù)安全法》也以立法的形式確認(rèn)了國(guó)家通過(guò)建立數(shù)據(jù)分類分級(jí)制度來(lái)實(shí)現(xiàn)對(duì)數(shù)據(jù)的保護(hù)。

　　因此，企業(yè)應(yīng)當(dāng)結(jié)合不同的業(yè)務(wù)場(chǎng)景和數(shù)據(jù)本身的屬性，就所收集到的個(gè)人信息制定個(gè)人信息的分級(jí)分類目錄、技術(shù)標(biāo)準(zhǔn)，并采取對(duì)應(yīng)的安全管理措施。

　　3.  建立數(shù)據(jù)安全制度并采取安全技術(shù)措施

　　同樣也是從技術(shù)安全的角度著手，我國(guó)個(gè)保法要求企業(yè)采取相應(yīng)的加密、去標(biāo)識(shí)化等安全技術(shù)措施。在35273-2020規(guī)范中，也要求企業(yè)在傳輸和存儲(chǔ)個(gè)人敏感信息時(shí)，應(yīng)采用加密等安全措施的要求；以及提出了要求企業(yè)在收集個(gè)人信息后，應(yīng)立即進(jìn)行去標(biāo)識(shí)化處理的建議。

　　因此，一方面，企業(yè)需要根據(jù)其所處理的個(gè)人信息的屬性、種類、敏感程度等特征，采取不同級(jí)別的加密措施，特別是涉及敏感信息的處理時(shí)候，應(yīng)采用符合國(guó)家標(biāo)準(zhǔn)的密碼管理技術(shù)；另一方面，在涉及需要通過(guò)界面進(jìn)行個(gè)人信息展示的時(shí)候，或其他需要進(jìn)行對(duì)外轉(zhuǎn)讓、披露的情況下，企業(yè)應(yīng)該根據(jù)個(gè)人信息的性質(zhì)，采取去標(biāo)識(shí)化處理、匿名化處理的技術(shù)措施，以達(dá)到可以有效降低個(gè)人信息泄露風(fēng)險(xiǎn)的目的。與此同時(shí)，企業(yè)應(yīng)當(dāng)注意將不同類別的敏感信息進(jìn)行分開(kāi)存儲(chǔ)，例如，企業(yè)需要將可用于恢復(fù)識(shí)別個(gè)人的信息，與去標(biāo)識(shí)化后的信息進(jìn)行分開(kāi)存儲(chǔ)；將個(gè)人生物識(shí)別信息應(yīng)與個(gè)人身份信息分開(kāi)存儲(chǔ)等。

　　4.  建立個(gè)人信息權(quán)限管理、安全教育與培訓(xùn)制度

　　企業(yè)在進(jìn)行個(gè)人信息保護(hù)工作的過(guò)程中，如何對(duì)內(nèi)部人員進(jìn)行有效的管理，特別是對(duì)大量處理和接觸用戶個(gè)人信息的人員，是合規(guī)工作中非常重要的一環(huán)。我國(guó)個(gè)保法要求企業(yè)通過(guò)設(shè)立權(quán)限管理制度，合理確定內(nèi)部人員對(duì)個(gè)人信息處理的操作權(quán)限，并定期對(duì)從業(yè)人員進(jìn)行安全教育和個(gè)人信息合規(guī)培訓(xùn)。

　　因此，企業(yè)應(yīng)當(dāng)對(duì)個(gè)人信息，特別是個(gè)人敏感信息的控制（如個(gè)人信息的訪問(wèn)、查看、修改、刪除、復(fù)制、銷毀等操作行為），建立合理、有效的個(gè)人信息權(quán)限管理制度。例如：

　?。?）按照業(yè)務(wù)流程的需求作為授權(quán)操作的觸發(fā)條件；

　?。?）對(duì)被授權(quán)訪問(wèn)個(gè)人信息的人員，建立最小授權(quán)的訪問(wèn)控制策略（使其只能訪問(wèn)職責(zé)所需的最小必要的個(gè)人信息）；

　　（3）對(duì)個(gè)人信息的重要操作設(shè)置內(nèi)部審批流程；

　?。?）對(duì)大量接觸個(gè)人敏感信息的從業(yè)人員進(jìn)行背景審查，簽署保密協(xié)議；（5）對(duì)企業(yè)內(nèi)部員工進(jìn)行定期進(jìn)行安全教育和個(gè)人信息合規(guī)培訓(xùn)，幫助員工，特別是從事個(gè)人信息處理崗位的相關(guān)人員熟悉，個(gè)人信息保護(hù)工作的處理原則和合法、合規(guī)地處理用戶個(gè)人信息的方式。

　　5.  制定并落實(shí)個(gè)人信息安全事件應(yīng)急機(jī)制

　　我國(guó)個(gè)保法規(guī)定，企業(yè)應(yīng)當(dāng)制定、并組織實(shí)施個(gè)人信息安全事件的應(yīng)急預(yù)案，在安全事件發(fā)生后，企業(yè)應(yīng)當(dāng)根據(jù)應(yīng)急預(yù)案采取如下措施，包括：

　　01

　　對(duì)個(gè)人信息安全事件進(jìn)行記錄；

　　02

　　對(duì)個(gè)人信息安全事件可能造成的影響進(jìn)行評(píng)估；

　　03

　　采取及時(shí)、必要、有效的措施對(duì)個(gè)人信息安全事件可能造成的影響進(jìn)行有效的控制、及時(shí)止損；

　　04

　　根據(jù)《國(guó)家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》等相關(guān)規(guī)定，對(duì)個(gè)人信息安全事件及時(shí)上報(bào)給監(jiān)管部門等。

　　在日常的企業(yè)經(jīng)營(yíng)中，企業(yè)也應(yīng)注意對(duì)個(gè)人信息安全事件和應(yīng)急預(yù)案進(jìn)行演練，以保證在發(fā)生類似事件時(shí)候可以及時(shí)進(jìn)行響應(yīng)和處理。

　　另外，關(guān)于個(gè)保法規(guī)定，當(dāng)發(fā)生個(gè)人信息泄露事件后，企業(yè)應(yīng)當(dāng)履行個(gè)人信息泄露的通知和補(bǔ)救義務(wù)。關(guān)于此點(diǎn)，具體請(qǐng)見(jiàn)本系列文章的第七部分：#7 發(fā)生安全事件時(shí)數(shù)據(jù)泄露通知的要求

　　6.  任命個(gè)人信息保護(hù)負(fù)責(zé)人

　　關(guān)于此點(diǎn)，具體請(qǐng)見(jiàn)本系列文章的第八部分：#8 數(shù)據(jù)保護(hù)官（DPO/個(gè)人信息保護(hù)負(fù)責(zé)人）任命要求

　　7.  定期進(jìn)行合規(guī)審計(jì)

　　我國(guó)個(gè)保法對(duì)個(gè)人信息的處理活動(dòng)和合規(guī)保護(hù)工作提出了定期開(kāi)展合規(guī)審計(jì)的要求。因此，為了保證個(gè)人信息處理活動(dòng)的持續(xù)合規(guī)性，企業(yè)應(yīng)當(dāng)建立定期的合規(guī)審計(jì)制度，并重點(diǎn)對(duì)個(gè)人信息處理活動(dòng)、個(gè)人信息保護(hù)政策、個(gè)人信息保護(hù)的管理制度與操作規(guī)程、技術(shù)安全措施等部分，進(jìn)行有效的合規(guī)審計(jì)。

　　8.  進(jìn)行事前風(fēng)險(xiǎn)評(píng)估與建立數(shù)據(jù)影響評(píng)估制度

　　關(guān)于此點(diǎn)，具體請(qǐng)見(jiàn)本系列文章的第六部分：#6 數(shù)據(jù)影響評(píng)估（DPIA/PIA）要求。

　　9.  關(guān)于“守門人規(guī)則”

　　我國(guó)個(gè)保法就“提供基礎(chǔ)型互聯(lián)網(wǎng)平臺(tái)服務(wù)、用戶量巨大、業(yè)務(wù)復(fù)雜的重要互聯(lián)網(wǎng)企業(yè)”提出了特殊的合規(guī)義務(wù)。這主要是因?yàn)槠脚_(tái)型企業(yè)涉及到多種類型的個(gè)人信息處理者主體，且涉及了大量的用戶個(gè)人信息的處理，因此，個(gè)保法對(duì)此類重要的互聯(lián)網(wǎng)平臺(tái)企業(yè)，賦予了要求其對(duì)平臺(tái)內(nèi)的產(chǎn)品或服務(wù)提供者進(jìn)行管理的法律義務(wù)，俗稱“守門人規(guī)則”。

　　因此，對(duì)于涉及大量用戶個(gè)人信息處理的頭部互聯(lián)網(wǎng)平臺(tái)企業(yè)，應(yīng)特別注意：

　　01

　　建立健全個(gè)人信息保護(hù)合規(guī)制度體系，成立獨(dú)立機(jī)構(gòu)對(duì)個(gè)人信息保護(hù)情況進(jìn)行監(jiān)督，且該獨(dú)立機(jī)構(gòu)需要由例如獨(dú)立董事、外部咨詢機(jī)構(gòu)、獨(dú)立律所專業(yè)人員、外聘專家等外部獨(dú)立人士組成。

　　02

　　遵循公開(kāi)、公平、公正的原則，制定合理的平臺(tái)規(guī)則，對(duì)平臺(tái)內(nèi)的產(chǎn)品或服務(wù)提供者關(guān)于“處理個(gè)人信息的規(guī)范”和“保護(hù)個(gè)人信息的義務(wù)”進(jìn)行明確。例如，要求平臺(tái)內(nèi)的服務(wù)提供者配備獨(dú)立的隱私政策、提供足夠的安全技術(shù)保護(hù)措施等。

　　03

　　發(fā)現(xiàn)平臺(tái)內(nèi)的產(chǎn)品或服務(wù)提供者出現(xiàn)嚴(yán)重違反法律、法規(guī)去處理個(gè)人信息的情況時(shí)，應(yīng)對(duì)其采取必要的處罰措施、并停止為其提供服務(wù)。

　　04

　　定期發(fā)布個(gè)人信息保護(hù)社會(huì)責(zé)任報(bào)告，接受社會(huì)監(jiān)督。

　　10.  法律、行政法規(guī)規(guī)定的其他措施

　　最后，個(gè)保法采取了兜底條款，以向企業(yè)明確，企業(yè)還需要遵守除個(gè)保法以外的其他相關(guān)法律、行政法規(guī)的規(guī)定，以應(yīng)對(duì)未來(lái)個(gè)人信息合規(guī)法律體系構(gòu)建過(guò)程中可能出現(xiàn)的各類新情況、新要求。

　?。ǘ?海外主要個(gè)人信息保護(hù)法律對(duì)比：

　　鑒于，在不同國(guó)家和地區(qū)的數(shù)據(jù)保護(hù)法律中，個(gè)人信息處理者需要遵守的法律義務(wù)均有非常具體、細(xì)致的規(guī)定，對(duì)于特殊的情況或場(chǎng)景也可能會(huì)有特別的規(guī)定，且一些國(guó)家和地區(qū)的數(shù)據(jù)保護(hù)法律中，會(huì)對(duì)個(gè)人信息控制者與處理者（controller）的角色、責(zé)任和義務(wù)進(jìn)行區(qū)分，考慮到本問(wèn)題的復(fù)雜性及本文的篇幅問(wèn)題，我們?cè)谙旅娴谋砀裰校瑑H就企業(yè)在個(gè)人信息處理活動(dòng)中，需要注意的部分基礎(chǔ)義務(wù)進(jìn)行扼要列示。

　　總體來(lái)說(shuō)

　　大部分國(guó)家和地區(qū)的數(shù)據(jù)保護(hù)法律中，都會(huì)對(duì)個(gè)人信息處理者的基礎(chǔ)法律義務(wù)進(jìn)行比較充分、全面的規(guī)定，并根據(jù)其自身的的特殊國(guó)情，提供對(duì)應(yīng)的特別規(guī)定。對(duì)于出海企業(yè)而言，充分了解和認(rèn)識(shí)適用國(guó)家的個(gè)人信息保護(hù)法律中關(guān)于個(gè)人信息處理者的基礎(chǔ)義務(wù)和責(zé)任，是企業(yè)在個(gè)人信息處理活動(dòng)中掌握合規(guī)要點(diǎn)的關(guān)鍵。