《个人信息保护法》背景下企业进行个人信息保护的要点和风险分析

《个保法》的出台有着独特的背景，主要包括经济及科技的发展、社会管理的需要以及立法技术的成熟。随着互联网技术的飞速发展，个人信息的数字化程度得到空前提高，个人信息被广泛滥用于社会发展中，缺乏相应的约束，这就使得个人信息安全性存在很大的隐患，大家对个人信息保护的呼声也日益高涨。早在2003年，我国就有学者提出应当制定个人数据保护法，但由于我国当时的立法资源和立法水平的限制，个人信息保护相关的法律规定直到2009年才出现在刑法修正案七中，在刑法第253条明确增加一条侵犯公民个人信息的规定。之后，2016年出台的《网络安全法》、2018年出台的《电子商务法》都对个人信息的保护做了一定程度的规定，直到2020年《中华人民共和国民法典》的正式颁行时，才将个人信息和隐私保护放进人格权编中进行统一规定，这些都为《个保法》的出台奠定了良好的法律基础。最终，2021年8月20日，十三届全国人大常委会第三十次会议表决通过《个保法》，自2021年11月1日起施行。

《个保法》正式颁行至今已经过一段时间，大量企业开始思考或者正在尝试完善企业的个人信息保护事宜。在分析具体的个人信息保护义务与措施之前，我们希望首先讨论一个问题，即对企业而言，进行个人信息保护的原因以及必要性是哪些？我们理解，至少包括以下核心的原因：

根据《个保法》及《中华人民共和国刑法》（“刑法”）等法律的规定，违法处理个人信息可能构成犯罪并被追究刑事责任。如违反国家有关规定，向他人出售或者提供公民个人信息的可能触犯《刑法》第二百五十三条之一规定的侵犯公民个人信息罪。单位犯罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。

《个保法》明确规定，违反本法规定处理个人信息，或者处理个人信息未履行本法规定的个人信息保护义务的，将由履行个人信息保护职责的部门责令改正、警告、没收违法所得，拒不改正的还会并处并处一百万元以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。严重的，除责令改正，没收违法所得外，还会并处五千万元以下或者上一年度营业额百分之五以下罚款，并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照。存在《个保法》规定的违法行为的还会被记入信用档案，并予以公示。

根据《个保法》及《中华人民共和国民法典》（“民法典”）等法律的规定，违法处理个人信息侵害他人权益的可能需要承担民事责任。如《个保法》第六十九条明确规定，处理个人信息侵害个人信息权益造成损害，个人信息处理者不能证明自己没有过错的承担损害赔偿等侵权责任。损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定；个人因此受到的损失和个人信息处理者因此获得的利益难以确定的，根据实际情况确定赔偿数额。《民法典》第一千一百六十七条规定，侵权行为危及他人人身、财产安全的，被侵权人有权请求侵权人承担停止侵害、排除妨碍、消除危险等侵权责任。

企业应当树立良好的社会形象，维护公平正义的法治环境，在处理个人信息的问题上加强合规工作，自觉遵守并维护立法成果。确保企业的个人信息处理满足政府及社会监管的要求，保护好其持有的个人信息，承担起相应的社会责任。

《个保法》下企业又是什么样的法律地位呢？根据《个保法》第七十三条的规定，个人信息处理者，是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。通常而言，企业在日常的经营管理中，都存在收集、存储、使用员工或客户个人信息的行为，如在用工过程中通过要求员工填报各类信息表格以掌握的企业员工姓名、身份信息、联系方式、银行账户等个人信息，在对外经营中因合作需要获取客户信息等。在企业收集员工或客户信息的基础上，企业很大程度上会自主决定处理收集到个人信息并决定处理个人信息的目的和方式。因此，企业在处理和使用个人信息时，显然是处于个人信息处理者的法律地位[2]。鉴于其掌握着大量的企业员工或外部客户的个人信息，还可能因为企业发展需要、政府监管需要，成为个人信息的对外提供者。

《个保法》第五章共9条，明确规定了个人信息处理者的义务。但需要注意的是，个人信息处理者的义务并不局限于第五章的规定，企业的个人信息保护义务在《个保法》其他的章节中也进行了规定，包括第一章中规定的处理个人信息应当遵循合法、正当、必要、诚信原则，明确、合理目的以及公开原则等；第二章规定的处理个人信息的前提条件和告知要求以及特殊情形下的个人信息处理者处理个人信息应当遵循的规定，在此我们不作赘述。本节将根据《个保法》第五章关于个人信息处理者的义务的规定，重点梳理企业作为个人信息处理者的义务，具体如下：

1.采取相应措施确保个人信息处理行为的合规

企业作为个人信息处理者在处理个人信息的时候，应当采取相应的措施以保证个人信息处理活动符合法律、行政法规的规定，并防止未经授权的访问以及个人信息泄露、篡改、丢失。相应措施具体包括：1）制定内部管理制度和操作规程；2）对个人信息实行分类管理；3）采取相应的加密、去标识化等安全技术措施；4）合理确定个人信息处理的操作权限，并定期对从业人员进行安全教育和培训；5）制定并组织实施个人信息安全事件应急预案；6）法律、行政法规规定的其他措施。

2.处理个人信息达到规定数量的需要指定个人信息保护负责人

处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人，负责对个人信息处理活动以及采取的保护措施等进行监督。[3]个人信息处理者应当公开个人信息保护负责人的联系方式，并将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门。通常来说，一般企业符合以下情况之一的就属于处理个人信息达到国家网信部门规定数量的个人信息处理者，即1）业务涉及个人信息处理，且从业人员规模大于200人；2) 处理超过100万人的个人信息，或预计在12个月内处理超过100万人的个人信息；3) 处理超过10万人的个人敏感信息的。

3.境外个人信息处理者应当在境内设立专门机构或者指定代表

企业存在境外的分支机构的或存在境外母公司的，如果其境外分支机构或母公司在中华人民共和国境外的个人信息的，应当在中华人民共和国境内设立专门机构或者指定代表，负责处理个人信息保护相关事务，并将有关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门。

4.企业处理个人信息需要定期进行合规审计

企业作为个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。

5.特殊情况下，企业作为个人信息处理者还需要事前进行个人信息保护影响评估，并对处理情况进行记录

这些特殊情况包括：1）处理敏感个人信息；2）利用个人信息进行自动化决策；3）委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息；4）向境外提供个人信息；5）其他对个人权益有重大影响的个人信息处理活动。个人信息保护影响评估应当包括以下内容：1）个人信息的处理目的、处理方式等是否合法、正当、必要；2）对个人权益的影响及安全风险；3）所采取的保护措施是否合法、有效并与风险程度相适应。并且，个人信息保护影响评估报告和处理情况记录应当至少保存三年。

6.个人信息泄露、篡改、丢失时企业应履行补救义务

发生或者可能发生个人信息泄露、篡改、丢失的，个人信息处理者应当立即采取补救措施，并通知履行个人信息保护职责的部门和个人。如果企业是接受委托处理个人信息的受托人，应当依照本法和有关法律、行政法规的规定，采取必要措施保障所处理的个人信息的安全，并协助个人信息处理者履行本法规定的义务。

7.提供重要互联网平台服务、用户数量巨大、业务类型复杂的企业特殊注意事项

企业如果是属于提供重要互联网平台服务、用户数量巨大、业务类型复杂的，还应当履行更为严格的个人信息保护义务，包括：1）按照国家规定建立健全个人信息保护合规制度体系，成立主要由外部成员组成的独立机构对个人信息保护情况进行监督；2）遵循公开、公平、公正的原则，制定平台规则，明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务；3）对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者，停止提供服务；4）定期发布个人信息保护社会责任报告，接受社会监督。

企业经营过程中，不论是对企业内部员工而言还是对外部客户而言，一般会处理到两类个人信息，即个人信息和敏感个人信息。两者所指代的范畴不同且处理规则不同。个人信息的定义我们在本文开篇处已经作出解释，处理个人信息需要注意：

1）需要有个人的充分知情、自愿、明确；

2）处理目的、方式、信息种类变更的，需重新取得个人同意；

3）个人有权撤回同意。

而敏感个人信息是指一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。鉴于敏感信息的重要等级更高，私密性更强，企业如果处理敏感个人信息需要注意：

1）具有特定的目的和充分的必要性；

2）将必要性、目的、处理方式等告知个人；

3）采取严格保护措施；

4）取得个人的单独同意。

根据《个保法》第二章第一节“一般规定”的第十三条规定，符合下列情形之一的，个人信息处理者方可处理个人信息：（一）取得个人的同意；（二）为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需；……。一般情况下，企业可以根据上述第（二）种情形去处理企业员工的个人信息。但是值得注意的是，《个保法》在其他条款中也规定了个人信息处理者处理个人信息时需要个人单独的同意23条、25条、26条、29条、39条规定了5种需要个人单独同意的情形，分别是：

1）个人信息处理者向其他个人信息处理者提供其处理的个人信息的；

2）个人信息处理者公开其处理的个人信息的；

3）为维护公共安全以外的目的收集的个人图像、身份识别信息的；

4）处理敏感个人信息的；

5）向境外提供个人信息的。

上述几种情况下，即便企业在已有的《入职登记表》《劳动合同》《规章制度》已经设置相应个人信息处理的条款，在没有征求员工单独同意的情况下，也无权处理员工的个人信息，否则会涉及违规处理员工个人信息的风险，可能面临刑事责任、行政责任和/或民事责任。

企业在个人信息保护实践中常见的风险除了涉及违规处理个人信息外，还包括个人信息的泄露。如企业数据库安全性低导致包括员工信息在内的企业数据泄露，又或是企业员工未进行良好的个人信息保护培训泄露个人信息，不论是哪种情况，企业不可避免地都要承担起相应的责任。

就大多数企业而言，在互联网时代收集客户信息或客户个人信息时，通常是为了帮助企业改进产品和服务。但企业在收集客户信息时也会面临两个不合规的风险。一是没有获得客户的同意即收集了客户的相关信息，包括没有设置相应的隐私政策，没有明确收集个人信息的方式、目的等；二是为了改进企业的产品和服务，企业不可避免地会将收集到的客户信息授权给公司的内部员工，从而产生潜在的泄露风险。如果企业没有对自己的员工做好相应的个人信息保护培训，那么员工对客户信息的泄露所造成的法律后果也需要企业进行承担。三是，企业本身系统安全性不足，难以抵御外部攻击导致客户信息泄露，同样要承担相应的责任。