金诺谈法丨《个人信息保护法》下企业处理个人信息的合规探讨

一、企业关注《个人信息保护法》的必要性 

技术进步、设备更新不断推动信息化社会发展，在互联网作为载体下个人信息构筑出新的信息化社会空间，自然人的生活与网络、设备捆绑得更为紧密。在这一过程中，如何处理部分企业为谋求商业利益对个人信息滥用，从而使个人信息得到保护逐渐成为热议话题。从2003年国务院信息化工作办公室着手部署个人信息保护法立法研究工作，并开始委托相关专家学者起草专家建议稿[1]，至2020年10月13日草案被首次提请审议，历经三次审议后于2021年8月20日表决通过，《个人信息保护法》从基本法的角度为个人信息保护提供了法律依据。

除民事责任、刑事责任外，《个人信息保护法》还为企业违法行为设定了行政责任，包括警告、罚款、没收违法所得，责令暂停或者终止提供服务、吊销相关业务许可或者吊销营业执照、禁止责任人员在一定期限内担任相关企业的董事、监事、高级管理人员等，对企业发展具有更直接的利害关系。同时在《个人信息保护法》中规定的公益诉讼制度（第七十条）将对个人利益的保护上升为公共利益的维护。依据最高人民检察院发布的数据，2021年共办理个人信息保护领域公益诉讼案件2000余件，同比上升近3倍。[2]企业如违法将必然面临承担相应违法的成本。

为树立企业良好的社会形象，同时也为避免上述行政处罚对企业持续、健康发展造成影响，企业在日常经营过程中参照《个人信息保护法》处理个人信息尤为重要。

二、企业处理个人信息工作思路 

（一）处理前进行信息分类

个人信息在不同国家或组织中有着不同的定义方式，例如欧盟在《通用数据保护条例》（GDPR）中采用先定义后列举的方式给出定义[3]，新加坡在《个人数据保护法》（PDPA）中采用限定范围的方式给出定义[4]。我国在《个人信息保护法》出台前，在《网络安全法》[5]、《民法典》[6]、《信息安全技术 个人信息安全规范》（GB/T 35273-2020）[7]等法律或文件中对个人信息采用限定范围的方式给出定义。《个人信息保护法》中在采用限定范围方式的基础上，结合否定排除的方式对个人信息进行定义。

企业在依据《个人信息保护法》处理个人信息时，可以对现有信息及待获取信息进行如下初步分类：

从信息角度进行分类，依据《个人信息保护法》第二十八条，个人信息可以分为一般个人信息、敏感个人信息。敏感个人信息“包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。”除上述肯定式列举外，其它个人信息可以视为一般个人信息。

从企业作为信息处理者角度分类，个人信息可以分为雇员个人信息和个人客户个人信息。雇员个人信息，指招聘入职至离职退档等全流程内企业获取的个人信息。个人客户个人信息，指与企业产生业务关系后企业获取的个人信息。

企业对个人信息进行分类的目的在于后续采取不同等级的处理措施，除上述分类方式外，企业也可以根据自身业务模式对待处理的个人信息进行详细分类。

（二）分类后采取不同等级处理措施

1、处理原则

依据《个人信息保护法》第十三条、第十四条可知，除为订立、履行合同所必需；按照劳动规章制度和集体合同实施人资管理所必需；为履行法定职责/义务所必需；为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需；为公共利益实施新闻报道、舆论监督所需；在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息及其他法定情形外，对于个人信息的收集、处理应遵循的基本规则为“告知——同意”，即个人信息处理者在收集、处理个人信息前，应当先向个人就有关信息收集、处理的情况进行充分告知，在个人充分知情的前提下自愿、明确做出同意后再处理相关信息。

2、处理中的告知环节

除法律、行政法规规定应当保密或者不需要告知的情形外，无论是一般个人信息、敏感个人信息，还是雇员个人信息、个人客户个人信息，个人信息处理者在处理个人信息前均需向个人明确告知有关信息收集、处理的情况，即应以显著方式、清晰易懂的语言真实、准确、完整地告知个人信息处理者的名称或者姓名和联系方式；处理目的、处理方式，处理的个人信息种类、保存期限；个人行使法律规定权利的方式和程序等其他事项。

如上述事项发生变更的，还应当将变更部分告知个人。如发生紧急情况无法及时告知的，则可在紧急情况消除后及时告知。

3、处理中的同意环节

企业作为个人信息处理者主要面对雇员和个人客户的信息处理，按照《个人信息保护法》的规定，日常人力资源管理或者订立、履行合同所必需等情况下，企业可不经本人同意直接处理个人信息。但需要注意的是，企业在处理过程中可能会接触到敏感个人信息或者通过第三方处理信息等情况，对此，依据《个人信息保护法》规定，在向其他个人信息处理者提供个人信息（第二十三条）、公开所处理的个人信息（第二十五条）、公共场所设备所收集的个人图像、身份识别信息用于其他目的（第二十六条）、处理敏感个人信息（第二十九条）、个人信息跨境（第三十九条）均需要取得单独同意。举例来说，公司为员工申报补贴时，涉及将员工个人信息提供给第三方机构，依据法律规定公司应取得个人单独同意后再提供。

另外，如个人信息的处理目的、处理方式和处理的个人信息种类发生变更的，还应重新取得个人同意。

4、处理措施建议

依据上述处理原则，企业应当对个人信息处理活动提前进行合规性审查，论证相关行为是否涉及豁免同意的处理方式，对于无需单独同意即可处理的个人信息，企业在告知后可以自行对信息进行处理；而对于需要单独同意才能处理的个人信息则需要按照“告知——单独同意”的规则进行处理。根据前文中对信息分类的标准，对于雇员敏感个人信息、个人客户敏感个人信息的处理，因其属于敏感个人信息，企业需要取得单独同意后再进行处理。对于雇员一般个人信息、个人客户一般个人信息的处理，需要看其是否符合豁免同意的处理情形，通常情形下无需再单独取得同意。

三、企业处理个人信息操作指引 

（一）制定、修改管理制度方面

按照总分模式制定、修改不同层级制度，使企业运营各制度环节相衔接对个人信息进行保护：1、单独设立公司内部的个人信息保护制度。通过制定原则性制度为其他内部制度提供修改及原则性依据。对于处理个人信息达到国家网信部门规定数量的企业，还应依据法律指定个人信息保护负责人统筹监督相关工作；2、对现有的人事制度、业务制度等进行修订。针对已有的制度进行完善，对涉及处理个人信息的工作环节，通过详细制度进行约束；3、制定个人信息安全事件应急预案，对可能突发的个人信息安全事件提前设置处理方式。

（二）对外业务流程方面

对外处理个人信息时，依据信息分类结果，采用去标识化等对个人权益影响最小的方式处理相关信息。对于需单独同意再处理的信息，做好授权底稿留存。对于个人信息跨境等情形，应在符合法律规定的前提条件下，参照跨境规则进行处理。

（三）内部人员管理方面

《个人信息保护法》第十三条第一款第二项规定的“按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”豁免同意情形是在草案三审的环节中才被加入[8]，该项规定有助于用人单位开展常规运营工作。虽然有上述规定，企业在制定内部劳动规章制度时，应避免宽泛设定人力资源管理所需要的信息，如婚姻状况等并非必然与工作岗位有关联关系的敏感个人信息，应当由员工单独同意后再进行收集等处理。除此之外的情形，还应按照个人信息的不同分类进行处理。

企业内部要明确处理个人信息的岗位职责，合理确定个人信息处理的操作权限及操作流程，确保操作可完整追溯。同时应定期进行重点环节的合规检视及开展对全体员工的教育培训，防止人为原因影响信息安全。

依据《个人信息保护法》第六十二条，国家网信部门统筹协调有关部门推进个人信息保护工作，其中包括制定个人信息保护具体规则、标准。由于目前相关规则、标准暂未出台，企业应在做好现有个人信息保护的基础上，依据《个人信息保护法》现有规定及要求处理个人信息，待细则落地后再完善处理工作。

[文中注释]

[1]张平主编：《中华人民共和国个人信息保护法理解适用与案例解读》，中国法制出版社2021年版，第2页。

[2]《检察机关积极维护个人信息安全2021年办理个人信息保护领域公益诉讼案件2000余件》，载最高人民检察院，https://www.spp.gov.cn/spp/xwfbh/wsfbh/202202/t20220227_545967.shtml，最后访问时间：2022年2月27日。

[3]GDPR Art.4 Definitions (1) ‘personal data’ means any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person;

[4]PDPA(2012) Interpretation “personal data” means data, whether true or not, about an individual who can be identified —(a) from that data; or (b) from that data and other information to which the organisation has or is likely to have access;

[5] 第七十六条第一款第（五）项：个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。

[6] 第一千零三十四条第二款：个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。

[7]3.1个人信息 personal information以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。

注 1：个人信息包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。

[8] 《全国人民代表大会宪法和法律委员会关于<中华人民共和国个人信息保护法（草案三次审议稿）>修改意见的报告》，载中国人大网,http://www.npc.gov.cn/npc/c30834/202108/5e507c650c4147f6a600d9935868b2c5.shtml，最后访问时间：2022年2月27日