第九部分：個人信息處理者的主要義務(wù)

　　個人信息處理者的主要義務(wù)，從企業(yè)的角度來看，可以扼要理解為，組織在處理個人信息時候，需要根據(jù)適用的數(shù)據(jù)保護法律的要求，提供和制定各項內(nèi)部與外部的個人信息保護與管理制度，以及安全技術(shù)保障措施，以便更好地遵守數(shù)據(jù)保護法律的規(guī)定，這也是各個企業(yè)在數(shù)據(jù)合規(guī)工作中特別重要的部分。

　　（一）我國個人信息保護法解讀：

　　本次個保法在第五章中比較系統(tǒng)地規(guī)定了個人信息處理者的基本法律義務(wù)，從組織保障、制度建設(shè)、以及安全技術(shù)措施等角度，為企業(yè)在個人信息處理的實操中，提供了更為清晰的、確定性的義務(wù)性要求與規(guī)范。在本系列文章中前面第六至第八部分的篇章中，也提及了一些關(guān)于個人信息處理者的義務(wù)要求，例如事前的數(shù)據(jù)影響與風(fēng)險評估要求、發(fā)生安全事件時的數(shù)據(jù)泄露通知、以及設(shè)立個人信息保護負(fù)責(zé)人的要求等。

　　在下面的內(nèi)容中，我們將從企業(yè)合規(guī)的角度，為企業(yè)扼要梳理其作為個人信息處理者需要遵守的我國個保法規(guī)定的基本義務(wù)：

　　1.  制定企業(yè)內(nèi)部的管理制度和操作規(guī)程

　　我國個保法要求企業(yè)應(yīng)當(dāng)制定屬于企業(yè)內(nèi)部的個人信息保護與管理制度與操作規(guī)程。關(guān)于個人信息的合規(guī)制度體系的搭建，可以龐大而復(fù)雜，也可以麻雀雖小但五臟俱全。

　　因此，企業(yè)應(yīng)當(dāng)結(jié)合自身的業(yè)務(wù)發(fā)展情況，特別是業(yè)務(wù)開展過程中所涉及到的個人信息處理活動的具體情況，將個人信息保護的基本要求嵌入到業(yè)務(wù)流程中去，以制定出一套適合公司特有業(yè)務(wù)場景的內(nèi)部管理制度，并通過執(zhí)行性強的操作程序，進一步清晰地明確和落實個人信息全生命周期中的各個合規(guī)細(xì)節(jié)和要求，以實現(xiàn)通過制度和管理達到有效保障個人信息安全的目的。

　　2.  建立個人信息分級、分類的管理制度

　　確保個人信息的安全角度考慮，我國個保法要求企業(yè)對個人信息進行分級、分類的管理，這是企業(yè)進行個人信息安全風(fēng)險防范與管理的技術(shù)方案之一。

　　我國《網(wǎng)絡(luò)安全法》要求網(wǎng)絡(luò)運營者應(yīng)當(dāng)采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施；《數(shù)據(jù)安全法》也以立法的形式確認(rèn)了國家通過建立數(shù)據(jù)分類分級制度來實現(xiàn)對數(shù)據(jù)的保護。

　　因此，企業(yè)應(yīng)當(dāng)結(jié)合不同的業(yè)務(wù)場景和數(shù)據(jù)本身的屬性，就所收集到的個人信息制定個人信息的分級分類目錄、技術(shù)標(biāo)準(zhǔn)，并采取對應(yīng)的安全管理措施。

　　3.  建立數(shù)據(jù)安全制度并采取安全技術(shù)措施

　　同樣也是從技術(shù)安全的角度著手，我國個保法要求企業(yè)采取相應(yīng)的加密、去標(biāo)識化等安全技術(shù)措施。在35273-2020規(guī)范中，也要求企業(yè)在傳輸和存儲個人敏感信息時，應(yīng)采用加密等安全措施的要求；以及提出了要求企業(yè)在收集個人信息后，應(yīng)立即進行去標(biāo)識化處理的建議。

　　因此，一方面，企業(yè)需要根據(jù)其所處理的個人信息的屬性、種類、敏感程度等特征，采取不同級別的加密措施，特別是涉及敏感信息的處理時候，應(yīng)采用符合國家標(biāo)準(zhǔn)的密碼管理技術(shù)；另一方面，在涉及需要通過界面進行個人信息展示的時候，或其他需要進行對外轉(zhuǎn)讓、披露的情況下，企業(yè)應(yīng)該根據(jù)個人信息的性質(zhì)，采取去標(biāo)識化處理、匿名化處理的技術(shù)措施，以達到可以有效降低個人信息泄露風(fēng)險的目的。與此同時，企業(yè)應(yīng)當(dāng)注意將不同類別的敏感信息進行分開存儲，例如，企業(yè)需要將可用于恢復(fù)識別個人的信息，與去標(biāo)識化后的信息進行分開存儲；將個人生物識別信息應(yīng)與個人身份信息分開存儲等。

　　4.  建立個人信息權(quán)限管理、安全教育與培訓(xùn)制度

　　企業(yè)在進行個人信息保護工作的過程中，如何對內(nèi)部人員進行有效的管理，特別是對大量處理和接觸用戶個人信息的人員，是合規(guī)工作中非常重要的一環(huán)。我國個保法要求企業(yè)通過設(shè)立權(quán)限管理制度，合理確定內(nèi)部人員對個人信息處理的操作權(quán)限，并定期對從業(yè)人員進行安全教育和個人信息合規(guī)培訓(xùn)。

　　因此，企業(yè)應(yīng)當(dāng)對個人信息，特別是個人敏感信息的控制（如個人信息的訪問、查看、修改、刪除、復(fù)制、銷毀等操作行為），建立合理、有效的個人信息權(quán)限管理制度。例如：

　　（1）按照業(yè)務(wù)流程的需求作為授權(quán)操作的觸發(fā)條件；

　?。?）對被授權(quán)訪問個人信息的人員，建立最小授權(quán)的訪問控制策略（使其只能訪問職責(zé)所需的最小必要的個人信息）；

　　（3）對個人信息的重要操作設(shè)置內(nèi)部審批流程；

　?。?）對大量接觸個人敏感信息的從業(yè)人員進行背景審查，簽署保密協(xié)議；（5）對企業(yè)內(nèi)部員工進行定期進行安全教育和個人信息合規(guī)培訓(xùn)，幫助員工，特別是從事個人信息處理崗位的相關(guān)人員熟悉，個人信息保護工作的處理原則和合法、合規(guī)地處理用戶個人信息的方式。

　　5.  制定并落實個人信息安全事件應(yīng)急機制

　　我國個保法規(guī)定，企業(yè)應(yīng)當(dāng)制定、并組織實施個人信息安全事件的應(yīng)急預(yù)案，在安全事件發(fā)生后，企業(yè)應(yīng)當(dāng)根據(jù)應(yīng)急預(yù)案采取如下措施，包括：

　　01

　　對個人信息安全事件進行記錄；

　　02

　　對個人信息安全事件可能造成的影響進行評估；

　　03

　　采取及時、必要、有效的措施對個人信息安全事件可能造成的影響進行有效的控制、及時止損；

　　04

　　根據(jù)《國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》等相關(guān)規(guī)定，對個人信息安全事件及時上報給監(jiān)管部門等。

　　在日常的企業(yè)經(jīng)營中，企業(yè)也應(yīng)注意對個人信息安全事件和應(yīng)急預(yù)案進行演練，以保證在發(fā)生類似事件時候可以及時進行響應(yīng)和處理。

　　另外，關(guān)于個保法規(guī)定，當(dāng)發(fā)生個人信息泄露事件后，企業(yè)應(yīng)當(dāng)履行個人信息泄露的通知和補救義務(wù)。關(guān)于此點，具體請見本系列文章的第七部分：#7 發(fā)生安全事件時數(shù)據(jù)泄露通知的要求

　　6.  任命個人信息保護負(fù)責(zé)人

　　關(guān)于此點，具體請見本系列文章的第八部分：#8 數(shù)據(jù)保護官（DPO/個人信息保護負(fù)責(zé)人）任命要求

　　7.  定期進行合規(guī)審計

　　我國個保法對個人信息的處理活動和合規(guī)保護工作提出了定期開展合規(guī)審計的要求。因此，為了保證個人信息處理活動的持續(xù)合規(guī)性，企業(yè)應(yīng)當(dāng)建立定期的合規(guī)審計制度，并重點對個人信息處理活動、個人信息保護政策、個人信息保護的管理制度與操作規(guī)程、技術(shù)安全措施等部分，進行有效的合規(guī)審計。

　　8.  進行事前風(fēng)險評估與建立數(shù)據(jù)影響評估制度

　　關(guān)于此點，具體請見本系列文章的第六部分：#6 數(shù)據(jù)影響評估（DPIA/PIA）要求。

　　9.  關(guān)于“守門人規(guī)則”

　　我國個保法就“提供基礎(chǔ)型互聯(lián)網(wǎng)平臺服務(wù)、用戶量巨大、業(yè)務(wù)復(fù)雜的重要互聯(lián)網(wǎng)企業(yè)”提出了特殊的合規(guī)義務(wù)。這主要是因為平臺型企業(yè)涉及到多種類型的個人信息處理者主體，且涉及了大量的用戶個人信息的處理，因此，個保法對此類重要的互聯(lián)網(wǎng)平臺企業(yè)，賦予了要求其對平臺內(nèi)的產(chǎn)品或服務(wù)提供者進行管理的法律義務(wù)，俗稱“守門人規(guī)則”。

　　因此，對于涉及大量用戶個人信息處理的頭部互聯(lián)網(wǎng)平臺企業(yè)，應(yīng)特別注意：

　　01

　　建立健全個人信息保護合規(guī)制度體系，成立獨立機構(gòu)對個人信息保護情況進行監(jiān)督，且該獨立機構(gòu)需要由例如獨立董事、外部咨詢機構(gòu)、獨立律所專業(yè)人員、外聘專家等外部獨立人士組成。

　　02

　　遵循公開、公平、公正的原則，制定合理的平臺規(guī)則，對平臺內(nèi)的產(chǎn)品或服務(wù)提供者關(guān)于“處理個人信息的規(guī)范”和“保護個人信息的義務(wù)”進行明確。例如，要求平臺內(nèi)的服務(wù)提供者配備獨立的隱私政策、提供足夠的安全技術(shù)保護措施等。

　　03

　　發(fā)現(xiàn)平臺內(nèi)的產(chǎn)品或服務(wù)提供者出現(xiàn)嚴(yán)重違反法律、法規(guī)去處理個人信息的情況時，應(yīng)對其采取必要的處罰措施、并停止為其提供服務(wù)。

　　04

　　定期發(fā)布個人信息保護社會責(zé)任報告，接受社會監(jiān)督。

　　10.  法律、行政法規(guī)規(guī)定的其他措施

　　最后，個保法采取了兜底條款，以向企業(yè)明確，企業(yè)還需要遵守除個保法以外的其他相關(guān)法律、行政法規(guī)的規(guī)定，以應(yīng)對未來個人信息合規(guī)法律體系構(gòu)建過程中可能出現(xiàn)的各類新情況、新要求。

　?。ǘ?海外主要個人信息保護法律對比：

　　鑒于，在不同國家和地區(qū)的數(shù)據(jù)保護法律中，個人信息處理者需要遵守的法律義務(wù)均有非常具體、細(xì)致的規(guī)定，對于特殊的情況或場景也可能會有特別的規(guī)定，且一些國家和地區(qū)的數(shù)據(jù)保護法律中，會對個人信息控制者與處理者（controller）的角色、責(zé)任和義務(wù)進行區(qū)分，考慮到本問題的復(fù)雜性及本文的篇幅問題，我們在下面的表格中，僅就企業(yè)在個人信息處理活動中，需要注意的部分基礎(chǔ)義務(wù)進行扼要列示。

　　總體來說

　　大部分國家和地區(qū)的數(shù)據(jù)保護法律中，都會對個人信息處理者的基礎(chǔ)法律義務(wù)進行比較充分、全面的規(guī)定，并根據(jù)其自身的的特殊國情，提供對應(yīng)的特別規(guī)定。對于出海企業(yè)而言，充分了解和認(rèn)識適用國家的個人信息保護法律中關(guān)于個人信息處理者的基礎(chǔ)義務(wù)和責(zé)任，是企業(yè)在個人信息處理活動中掌握合規(guī)要點的關(guān)鍵。