个人信息保护与数据合规（下）

2021-07-07

个人信息保护与数据合规（上）提到了个人信息保护的历史成因和现实需求，讨论了大数据时代个人信息使用的合法性来源，最后通过一些具体案例展示了企业在有关部门的高压监管和众多数据安全事件下承受的数据合规压力。不止于此，在本文中，我们将阐述如何通过数据梳理、差异分析和数据合规技术使用等方法建立起保护企业稳定运营的防护盾，同时结合实际案例，探讨数据合规技术能够为企业带来的新的商机和可能。

一、数据梳理——了解并保护企业数据资产

当谈到数据时，人们会下意识代入自己最惯常的理解：外卖平台用户认为是自己的个人信息，例如手机号码、收货地址；统计部门人员认为是特定数值，例如“十四亿人”；财务人员认为是企业财务数据，例如财务报表中的收入利润；产品经理则认为是月度活跃用户数、网站点击量等。这些都是数据，可见数据的范围非常广泛。从文义上简单理解数据，“数”是数值、数字、数字化的信息，而“据”则指的是“证据”或“依据”，我国《数据安全法》将数据定义为“任何以电子或者其他方式对信息的记录”，结合来看，数据即是对事物存在和发展过程中所表达信息的记录和证据。

当企业开展数据合规项目时，首要工作必然是了解合规的对象。企业在梳理日常活动中收集、使用的数据后，即可掌握企业数据资产的数量、种类、来源、性质、用途和使用场景等必要信息，这是企业在后续合规工作中对不同数据采取适当保护措施、筛查与法律之间合规差异风险点和高效利用数据的前提。

1.数据类型梳理的必要性

《个人信息保护法》（二审稿）将个人信息定义为“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息。”因此个人信息是对识别个人的特定信息的记录，与数据的定义相较，可知个人信息其实是众多数据类型的一种。

个人信息在现如今的商业应用场景中占据了重要的数据地位，个人信息保护问题也因此处在公众、媒体和监管部门的高度关注之下。各大媒体盘点的2020年数据安全事件中，至少90%与个人信息泄漏有关。学校、银行、酒店、医院、快递公司、航空公司、游戏公司、化妆品公司等各行各业，只要与收集使用个人信息活动相关，就可能处在个人信息保护不力的阴影之下。除个人信息的重要性外，个人信息本身的复杂性也决定了企业必须依照科学程序和方法，区分类别和环节进行保护。首先，个人信息可以分为一般个人信息和个人敏感信息。前者包括姓名、电话等，而后者则以“一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇”作为判定标准，例如征信等个人财产信息、病历等个人健康生理信息及指纹、基因等生物识别信息。其次，上篇我们提到，由于个人信息主体的权利让渡是个人信息使用的合法性来源，因此企业必须在收集、存储、使用、加工、传输、提供、公开等各环节获得“知情同意”。最后，企业在产品变更使用范围和方式时应及时重新获取知情同意，或者在个人信息主体撤回同意时作删除处理。因此基于个人信息保护的重要性和复杂性，企业极有必要在对个人信息进行分类、分环节梳理后，再分别施以不同保护措施。

除所收集的个人信息外，企业数据资产还包括其他多种类型的数据，如产品设计图纸、代码、企业ERP管理系统中记录的物料出入库信息、订单信息、客户名单等。有的数据可能已经通过特别安排处在知识产权、商业秘密相关制度的保护之下，有的处于商业合同安排、保密协议或企业规章制度之下，而有的则未作主动安排，仅通过国家法律制度予以一般性保护。由于对各种数据的采取的保护方式不同，当遭遇数据安全事件时，企业数据资产受损程度和得到救济的难易程度也将不尽相同，因此，随着企业外部业务发展和内部相应数据资产的变化，企业应当定期对企业数据资产进行梳理，一方面对现有分类和保护情况进行摸底，如经评估，发现现有数据分类错误或保护不力的，应当考虑重分类；另一方面则应对将有的数据划定分类标准，以便统一企业数据管理流程。

2.数据分级保护与权限管理

企业在细分数据类型后，即可进一步将数据分门别类地划至与之需求相应的保护等级之下，从而合理安排数据保护措施。

有人或许会疑惑，既然数据是企业发展的重要资产，为何不全部置于统一的高级别保护之下？原因有三：一是考虑成本，企业必须衡量哪些数据更为重要，更为敏感，数据量更大，在有限的预算下优先支持该类数据的保护和使用；二是考虑使用效率，数据的生命在于流动，数据的使用如果受到过多限制，使用效率必然会降低，不能发挥其最大价值；三是保护方式约束，例如不具有新颖性的工业设计不能得到专利制度的保护、客户名单在不满足特定的条件时不能成为受到法律保护的商业秘密等。因此，对数据进行分类分级是确定合理保护措施的前提。

企业在进行数据分级时，可以结合数据量、企业业务模式或者按照“一旦泄漏产生的后果严重程度”等不同维度将数据划分保护等级。例如航空公司收集的大量旅客信息，尤其是身份证等信息一旦泄漏，利用该数据进行诈骗的不法分子将更容易得逞，从而造成更为严重的后果，故航空公司应将其划分为一级重要数据。此外，行业类型的不同也会导致同类数据在分级上的差异和侧重。以工业企业和金融企业为例，工业企业的企业客户名单对业务开展而言至关重要，一般包括分销企业名称、联系人电话、产品需求和信用周期等详细数据，为避免离职员工利用该名单挖走客户，企业可以将之划分为一级重要数据并采取合理手段予以保护，而对于极少量个人客户信息或者信息量较少的客户名单，将之划分为三级普通数据而予以一般保护即可。与此相对，金融企业会收集巨量个人客户信息，除姓名、手机号等信息外，还会收集个人征信信息，该信息既是客户的个人敏感信息，又是金融企业开展业务的重要依据，一旦泄漏可能造成极其严重的后果，因此需要将个人客户信息划分为一级敏感数据予以重点保护。

数据分级后，企业即可据此落实人员权限管理制度，实现数据分级保护。例如对产品设计信息等一级机密数据设置相应层级的管理权限，在电子管理系统中或者纸质档案管理流程中，通过密钥、身份识别或者签字授权等手段，设置仅管理层或技术部门负责人才可接触该类信息的操作权限。权限还可根据现实需求进一步细化。例如，为防范道德风险，技术部门负责人可增加、修改关键技术数据，且操作全程留痕，但不可删除或通过第三方介质导出企业系统。而相较一级机密数据，三级普通数据的保护则可设置得较为宽松，如产品技术人员、市场人员操作权限覆盖数据的增加、修改、删除和导出等。

通过数据分类分级进而实现数据的权限管理，可在保证数据流动性的前提下极大遏制企业内部数据滥用情况，提高数据内控合规水平。而在数据使用流程中实现操作留痕，将会大大提高数据泄漏时调查和追责的效率。

二、合规差异分析——识别合规风险点

我国关于数据保护的法律目前仍以《网络安全法》为主^[1]，辅以散见在其他法律法规中的数据保护规定、部门规章和国家标准中，例如《民法典》、国家标准《信息安全技术 个人信息安全规范》（GB/T 35273-2020）等。各行业也有基于自身特点制定的有关数据保护的法律文件，例如《人类遗传资源管理暂行办法》《银行业金融机构数据治理指引》等。各企业应当以《网络安全法》为主，首先归纳法律文件的合规要点，在此基础上逐一排查自身数据治理与法律合规要求之间的差异，再结合行业或特定数据处理环节的特别要求，进一步优化数据保护措施。

通过合规差异分析，企业可以在识别合规风险点的基础上查缺补漏，提高合规水平。囿于篇幅，本文仅挑选部分合规风险点进行探讨。

1.个人信息保护领域的企业数据合规

在个人信息及隐私的收集、使用及传输等处理过程中，应当首先考虑合法、正当和必要原则。如本文上篇所述，在个人信息从生到死的完整生命周期中，企业均应当基于个人信息主体的意思自决，通过用户协议、隐私政策或其他合理手段告知个人信息生命周期中各环节的收集使用目的和处理方法，合理引导个人信息主体作出知情同意操作，如现在普遍使用的点选同意勾选框等。同时，在个人信息保护生命周期的尾部，即撤回同意、修改或删除个人信息阶段，向个人信息主体提供便捷信息渠道，例如在网页底部或隐私政策中明显标识投诉电话、反馈邮件、特定受理人等，确保相关要求能够得到最终落实。

由于各企业的业务模式和数据收集流程、使用方式存在差异，不同企业间的制度文件不可能使用统一模板，因此，当制定App、小程序、网页版隐私政策、Cookie政策、与合作方签订的数据处理委托协议、关联方数据共享协议、员工个人信息管理制度时，应当考虑自身的具体业务模式、与合作方的合作机制、数据存储、传输及处理方式等众多因素，制定个性化、可操作的制度文件。

此外，除从正向流程考虑合规要点外，还可依据“负面清单”进行自查。目前公安、网信办、工信等部门在违法违规收集个人信息的专项执法过程中已经明确了各项违法行为，被点名的违规企业也承受着巨大整改压力，违法情节严重的，将面临罚款、产品下架等行政处罚，因此各企业可以结合“负面清单”^[2]并以本行业被点名处罚的企业为鉴，积极提高自身合规水平。

2.设置网络安全负责人等专职人员

《网络安全法》要求网络运营者设置专门安全管理机构和安全管理负责人，《信息安全技术 个人信息安全规范》规定了个人信息控制者应当设置个人信息保护负责人，而GDPR则要求设置数据保护官（“Data Protection Officer, DPO”）。不论各法域对于该专职人员的设置有何特别的要求，其用意均很明确，即设置一个了解企业内部运作的人员以更好地监督落实企业内部数据安全保护事宜。就国内企业而言，设置专职数据合规人员既是法律的强制性要求，也是企业合规内控中提高合规水平的有效措施。企业应当积极发挥该专职人员的作用，保障企业数据合规工作的顺利进行。

3.应急预案的制定与演练

合规工作虽能防患于未然，但并不能完全排除风险。网络运行安全往往是网络信息安全的前提，但随着技术进步和企业产品迭代，安全漏洞总是难以避免，因此企业应当制定数据安全事件应急预案并定期演练，以备不时之需。

我国《网络安全法》规定网络运营者应当制定网络安全事件应急预案，及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险；在发生危害网络安全的事件时，及时启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告。

一般而言，数据安全事件应急预案除危机处理方式，技术处理方法和相关应急响应人员的职责外，还应当包含对公众、政府和受侵害个人信息主体的通知内容模板、通知方式以及可供选择的补偿手段方案等。此外，为了不断完善应急预案，企业应当在应急预案定期演练后，及时将相关经验教训增补至新版应急预案文本中，以补强薄弱环节，确保真实数据安全事件发生时能够高效、有序地开展应急响应工作。

三、数据合规技术的创新使用——助力企业发展

除文本工作外，数据合规技术的发展更是印证了数据合规能够作为企业数据资产防护盾的说法。《网络安全法》规定网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失；应当加强对用户发布信息的管理，在发现法律、行政法规禁止发布或者传输的信息时，立即停止传输并采取消除等处置措施，防止信息扩散；应当对重要系统和数据库进行容灾备份、加密等。这些目标的实现都离不开数据合规技术的支持。

数据合规技术的作用不止于此，在兼顾防护功能的同时，其还能作为助推器进一步助力企业发展。例如掌握了巨量数据的企业，在与其他企业合作开展数据联合使用与建模活动时，通过联邦学习框架，运用差分隐私、同态加密、安全多方计算等方法，能够实现各企业不共享核心数据、数据本地存储的前提下，得到数据处理后的目标结果。这些技术解决了企业间既需要通过数据合作来改善业务，又必须保证数据保密这一矛盾。

此外，数据合规活动本身即可解决业务痛点，例如网约车司乘安全及数据共享问题。在多次恶性事件发生后，网约车企业优化了商业场景流程设计：事前，通过脱敏、加密手段将联系手机号转为虚拟号码，通过大数据识别深夜、醉酒、未成年人乘车，实践安全派单干预和风险订单监控；事中，将车内司乘对话全程录音，通过行车规划路线偏离警报识别异常订单并支持乘客分享行程，通过机器学习、人工智能的应用，不断提高行程中安全场景的感知度，为司乘提供更精准的安全保护；事后，通过警企电话专线，由警方专人对接受理平台报警，并通过警企间敏感信息传输通道调证协查；平日里，企业通过人脸识别加强司机人车认证，通过员工集中培训提高个人信息保护意识和水平。此类措施不仅解决了业务痛点、减轻了监管压力，还一定程度上提高了公共安全治理水平，可见数据技术的合规创新使用可以创造多赢局面。

近年来数字经济逆势而上，在全球经济放缓、贸易保护主义抬头和疾病阻隔的情形下孕育了新的商机和希望，信息和数据在人与人之间穿梭流动，不仅在常态化的商业场景中大展身手，也在逆境中为“不可能”创造了各种可能。数据是企业的重要资产和发展动力，而数据合规工作是基础，也是机会。企业应当投入更多资源，积极探索数据资产的合规创新使用，在常规合规工作之外追求更高的价值。

参考文献：

[1]如《数据安全法》生效或《个人信息保护法》通过后，企业可进一步归纳合规要点。

[2]《App违法违规收集使用个人信息行为认定方法》（国信办秘字〔2019〕191号）

本文作者：

指导合伙人：