中國信通院：個人信息保護(hù)合規(guī)的必要性及其指引

（CWW）《個人信息保護(hù)法》將于2021年11月1日施行，作為個人信息保護(hù)領(lǐng)域的基本法，其全面規(guī)定了企業(yè)等個人信息處理者的義務(wù)及責(zé)任，并在三處明確提出合規(guī)要求。隨著《個人信息保護(hù)法》的出臺與實(shí)施，其與《數(shù)據(jù)安全法》《網(wǎng)絡(luò)安全法》《刑法》中相關(guān)條款共同形成公法視角下的個人信息保護(hù)法律體系。一方面，面對強(qiáng)制合規(guī)義務(wù)及責(zé)任，企業(yè)應(yīng)當(dāng)建立合規(guī)管理體系，以踐行處理個人信息的法定義務(wù)，避免因違法處理個人信息而受到處罰。另一方面，與強(qiáng)制合規(guī)并存的合規(guī)激勵機(jī)制，如合規(guī)爭取寬大行政或刑事處理，則使企業(yè)主動建立健全個人信息保護(hù)合規(guī)體系。

一、法律責(zé)任

應(yīng)然狀態(tài)下的法律責(zé)任是企業(yè)個人信息保護(hù)不完善時可能面臨的合規(guī)風(fēng)險，而不是企業(yè)承擔(dān)責(zé)任的實(shí)然狀態(tài)。行政和解制度、企業(yè)合規(guī)改革等合規(guī)激勵機(jī)制，賦予企業(yè)以合規(guī)爭取寬大行政處理及刑事處理的可能性，以此來減輕企業(yè)本應(yīng)承擔(dān)的責(zé)任，將較重的應(yīng)然責(zé)任轉(zhuǎn)為輕微的實(shí)然責(zé)任。

（一）應(yīng)然狀態(tài)下的法律責(zé)任

1、行政處罰

根據(jù)《個人信息保護(hù)法》《數(shù)據(jù)安全法》《網(wǎng)絡(luò)安全法》 ，企業(yè)在處理個人信息時若違反禁止性規(guī)范或未嚴(yán)格落實(shí)義務(wù)性規(guī)范，可能面臨履行個人信息保護(hù)職責(zé)的部門吊銷營業(yè)執(zhí)照等合規(guī)風(fēng)險，具體如下。

（1）申戒罰。企業(yè)違反法律規(guī)定處理個人信息，或者處理個人信息未履行法律規(guī)定的個人信息保護(hù)義務(wù)的，由履行個人信息保護(hù)職責(zé)的部門給予警告。

（2）財產(chǎn)罰。企業(yè)違法處理個人信息拒不改正的，由履行個人信息保護(hù)職責(zé)的部門對企業(yè)及責(zé)任人員處以罰款，并沒收企業(yè)違法所得。

（3）行為罰。一是限制開展經(jīng)營活動。對違法處理個人信息的應(yīng)用程序，責(zé)令暫停或者終止提供服務(wù)。二是吊銷許可證件。違法處理個人信息情節(jié)嚴(yán)重的，吊銷相關(guān)業(yè)務(wù)許可或者吊銷營業(yè)執(zhí)照。三是限制從業(yè)。禁止相關(guān)責(zé)任人員在一定期限內(nèi)擔(dān)任相關(guān)企業(yè)的董事、監(jiān)事、高級管理人員和個人信息保護(hù)負(fù)責(zé)人。

2、刑事責(zé)任

根據(jù)我國《刑法》規(guī)定，企業(yè)若違反法律規(guī)定處理個人信息，或未盡到個人信息保護(hù)的義務(wù)，可觸犯作為犯“侵犯公民個人信息罪”及不作為犯“拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪”。

（1）作為犯罪?！缎谭ā返诙傥迨龡l之一為“侵犯公民個人信息罪”，根據(jù)此條規(guī)定，違反國家有關(guān)規(guī)定，向他人出售或者提供公民個人信息情節(jié)嚴(yán)重的，竊取或者以其他方法非法獲取公民個人信息的，處有期徒刑或者拘役，并處或者單處罰金。

（2）不作為犯罪?！缎谭ā返诙侔耸鶙l之一為“拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪”，根據(jù)此條規(guī)定，網(wǎng)絡(luò)服務(wù)提供者不履行法律、行政法規(guī)規(guī)定的信息網(wǎng)絡(luò)安全管理義務(wù)，經(jīng)監(jiān)管部門責(zé)令采取改正措施而拒不改正，致使用戶信息泄露造成嚴(yán)重后果的，或有其他嚴(yán)重情節(jié)的，處有期徒刑、拘役或者管制，并處或者單處罰金。

（二）實(shí)然狀態(tài)下的法律責(zé)任

1、寬大行政處理

在證券期貨監(jiān)管及反不正當(dāng)競爭等領(lǐng)域，我國在行政監(jiān)管環(huán)節(jié)已經(jīng)開始了以合規(guī)換取寬大處理的制度和實(shí)踐。具體到個人信息保護(hù)領(lǐng)域，可在兩個方面做好個人信息保護(hù)合規(guī)管理，以爭取寬大行政處理。

積極的作為義務(wù)方面，一是面向用戶遵守個人信息處理的規(guī)則。如采集個人信息應(yīng)當(dāng)具有合法性基礎(chǔ)，允許用戶撤回同意，為用戶行使刪除、更正的權(quán)利提供便利，告知用戶必要事項(xiàng)，通知安全事件等。二是企業(yè)內(nèi)部承擔(dān)安全管理的義務(wù)。如個人信息分類管理，采取加密等技術(shù)措施，建立應(yīng)急機(jī)制，設(shè)立組織機(jī)構(gòu)，進(jìn)行影響評估及合規(guī)審計等。

消極的不作為方面，《個人信息保護(hù)法》等相關(guān)條款是企業(yè)處理個人信息時的禁止性規(guī)范，包括不得竊取或者以其他非法方式收集數(shù)據(jù)，不得過度收集個人信息，不得公開處理的個人信息等。據(jù)此，若企業(yè)未從事上述違法行為，僅員工因個人行為遭受行政調(diào)查時，企業(yè)可以提出盡到了培訓(xùn)、懲戒等方面的合規(guī)管理義務(wù)，從而將單位責(zé)任與員工的個人責(zé)任進(jìn)行切割。

特別的，無論是積極的作為義務(wù)還是消極的不作為義務(wù)，若企業(yè)因“未盡強(qiáng)制性的義務(wù)”或“從事了禁止性的行為”而受到行政調(diào)查時，企業(yè)可以通過合規(guī)承諾，說服履行個人信息保護(hù)的職責(zé)部門免除或減輕企業(yè)的行政法律責(zé)任。

2、寬大刑事處理

我國當(dāng)前正在進(jìn)行企業(yè)合規(guī)改革試點(diǎn)。根據(jù)最高檢《關(guān)于開展企業(yè)合規(guī)改革試點(diǎn)工作方案》，開展企業(yè)合規(guī)改革試點(diǎn)工作，是指檢察機(jī)關(guān)對于辦理的涉企刑事案件，在依法做出“能不捕的不捕、能不訴的不訴、能不判實(shí)刑的提出適用緩刑”的量刑建議的同時，針對企業(yè)涉嫌具體犯罪，結(jié)合辦案實(shí)際，督促涉案企業(yè)作出合規(guī)承諾并積極整改落實(shí)，促進(jìn)企業(yè)合規(guī)守法經(jīng)營，減少和預(yù)防企業(yè)犯罪的改革舉措。

具體到個人信息保護(hù)領(lǐng)域，同樣可以在兩個方面做好個人信息保護(hù)合規(guī)管理，以爭取寬大刑事處理。積極的作為義務(wù)方面即履行信息網(wǎng)絡(luò)安全管理義務(wù)。消極的不作為義務(wù)方面即不允許員工在產(chǎn)品和服務(wù)中出售、提供、竊取、非法獲取個人信息。

三、合規(guī)指引

為貫徹落實(shí)相關(guān)要求，規(guī)范相關(guān)行為，提高相關(guān)企業(yè)合規(guī)意識和水平，相關(guān)部門在企業(yè)境外經(jīng)營、金融、反壟斷等領(lǐng)域編制了相關(guān)管理指引，如國家發(fā)改委等七部委印發(fā)《企業(yè)境外經(jīng)營合規(guī)管理指引》，為企業(yè)在具體領(lǐng)域的合規(guī)工作提供指引和參考。借鑒這些領(lǐng)域合規(guī)實(shí)踐，根據(jù)《個人信息保護(hù)法》《數(shù)據(jù)安全法》《網(wǎng)絡(luò)安全法》及《刑法》，制定“個人信息保護(hù)合規(guī)指引”，具體內(nèi)容包括以下八個方面。

（一）擬定規(guī)章制度

根據(jù)個人信息保護(hù)的法律法規(guī)變化和監(jiān)管動態(tài)，建立健全并不斷更新個人信息保護(hù)合規(guī)管理制度，闡明個人信息保護(hù)合規(guī)目的與內(nèi)涵，明確處理個人信息的行為規(guī)范及違規(guī)后果，將外部有關(guān)合規(guī)要求轉(zhuǎn)化為內(nèi)部規(guī)章制度。一是形成個人信息安全管理基礎(chǔ)性制度。二是在個人信息收集、存儲、使用、加工、傳輸、提供、公開、刪除等各個處理環(huán)節(jié)踐行個人信息保護(hù)的義務(wù)。三是明確違規(guī)行為的內(nèi)部處理流程和責(zé)任承擔(dān)方式，簽署承諾性書面聲明，企業(yè)員工違規(guī)按既定方式處理。

（二）建立組織機(jī)構(gòu)

設(shè)立個人信息保護(hù)內(nèi)部合規(guī)機(jī)制的組織機(jī)構(gòu)，明確個人信息保護(hù)合規(guī)主管部門、負(fù)責(zé)人及職責(zé)。合規(guī)部門負(fù)責(zé)具體起草本企業(yè)個人信息保護(hù)合規(guī)管理計劃和管理制度；組織開展或者參與個人信息保護(hù)合規(guī)審計、檢查與考核等相關(guān)工作，及時發(fā)現(xiàn)薄弱環(huán)節(jié)，督促違規(guī)整改和持續(xù)改進(jìn)；落實(shí)本企業(yè)個人信息保護(hù)合規(guī)宣傳計劃，定期和不定期組織或協(xié)助人事部門、業(yè)務(wù)部門開展合規(guī)培訓(xùn)、宣傳等工作；指導(dǎo)各業(yè)務(wù)單位做好個人信息保護(hù)合規(guī)、為各業(yè)務(wù)單位提供合規(guī)咨詢和支持；就個人信息保護(hù)合規(guī)舉報進(jìn)行登記和受理并對舉報進(jìn)行調(diào)查和審核，判斷是否存在違規(guī)行為，并提出處理建議。

（三）開展教育培訓(xùn)

組織開展個人信息安全教育培訓(xùn)，定期對從業(yè)人員進(jìn)行教育和培訓(xùn)。一是培訓(xùn)內(nèi)容。明確個人信息保護(hù)的概念與重要意義，本企業(yè)合規(guī)政策和相關(guān)管理辦法，員工自身的個人信息保護(hù)合規(guī)職責(zé)，違規(guī)相關(guān)風(fēng)險等。二是培訓(xùn)實(shí)效。通過不定期抽查或現(xiàn)場考試等形式加大培訓(xùn)督查力度，并納入員工年度考核內(nèi)容，保留培訓(xùn)及考核記錄。

（四）建設(shè)合規(guī)文化

建設(shè)個人信息保護(hù)合規(guī)文化，將合規(guī)文化融入企業(yè)生產(chǎn)經(jīng)營活動，形成全員認(rèn)可的合規(guī)文化理念。對內(nèi)暢通溝通渠道，員工可就合規(guī)問題進(jìn)行咨詢或發(fā)表意見，并形成反饋機(jī)制；對外宣傳合規(guī)文化，展示企業(yè)合規(guī)形象，為企業(yè)發(fā)展?fàn)I造良好的合規(guī)輿論及監(jiān)管環(huán)境。

（五）進(jìn)行影響評估

在處理敏感個人信息，利用個人信息進(jìn)行自動化決策，委托處理個人信息、向其他個人信息處理者提供個人信息、公開個人信息，向境外提供個人信息等四種情形時，進(jìn)行個人信息影響評估。評估內(nèi)容包括個人信息處理目的、處理方式等是否合法、正當(dāng)、必要，對個人權(quán)益的影響及安全風(fēng)險，所采取的保護(hù)措施是否合法、有效并與風(fēng)險程度相適應(yīng)。評估基本方法有訪談、檢查、測試等。評估報告和處理情況記錄應(yīng)當(dāng)至少保存三年。

（六）加強(qiáng)風(fēng)險監(jiān)測

從人員、流程、技術(shù)等安全要素出發(fā)，加強(qiáng)風(fēng)險監(jiān)測。人員方面，組建一支專業(yè)的協(xié)同團(tuán)隊(duì)，消除安全風(fēng)險避免安全事件；流程方面，形成良好的管理流程，確保人員發(fā)揮作用、監(jiān)測措施能夠落地；技術(shù)方面，完善監(jiān)測技術(shù)體系，不斷優(yōu)化升級新型技術(shù)工具。

（七）制定應(yīng)急措施

制定并組織實(shí)施個人信息安全事件應(yīng)急機(jī)制。一是采取補(bǔ)救措施。評估事件帶來的影響和損害，抑制事件的影響進(jìn)一步擴(kuò)大，并恢復(fù)數(shù)據(jù)與服務(wù)。二是通知相關(guān)部門和個人。通知應(yīng)當(dāng)包括個人信息泄露、篡改、丟失的信息種類、原因和可能造成的危害，采取的補(bǔ)救措施和個人可以采取的減輕危害的措施，個人信息處理者的聯(lián)系方式。

（八）定期合規(guī)審計

對個人信息保護(hù)合規(guī)機(jī)制的合理性、可行性、有效性等進(jìn)行審計，評估具體流程合規(guī)操作的規(guī)范性。由企業(yè)自發(fā)進(jìn)行的定期審計，可以由企業(yè)內(nèi)部專人進(jìn)行，也可以聘請外部第三方機(jī)構(gòu)進(jìn)行；由個人信息保護(hù)職責(zé)部門要求進(jìn)行的外部審計，適用于企業(yè)在處理個人信息時面臨較大風(fēng)險或者發(fā)生個人信息安全事件。審計完成后形成審計報告，總結(jié)內(nèi)部合規(guī)機(jī)制運(yùn)行狀況以及提出整改方向。

關(guān)鍵詞： 資訊 通信世界網(wǎng) 《個人信息保護(hù)法》 個人信息保護(hù)