《个人信息保护法》正式审议通过，企业应该关注哪些问题？

8月20日，《中华人民共和国个人信息保护法》（以下简称“个人信息保护法”）正式表决通过，并将于2021年11月1日起施行。此次法案，对行业普遍关注的多项信息安全问题做出明确规定，在国家网络安全发展进程中具有里程碑意义。从不久前引发热议的《数据安全法》到《个人信息保护法》，一系列法律组合拳的出台，意味着数字经济已经告别了过去“粗放型”的管理模式，进入到规范化、精细化运行阶段。

基于此，我们特别邀请到安在新媒体创始人张耀疆、德勤风险咨询副总监王建霞、腾讯安全云鼎实验室数据安全专家刘海洋，聚焦《个人信息保护法》中企业应该重点关注的问题进行解读讨论，为企业提供借鉴与参考。

Q1：整体来看，《个人信息保护法》出台对网络安全产业发展有什么重要意义？

王建霞：我认为主要可以从五个方面来讲。

一、 法律意义

长久以来，我国都缺少一部专门针对个人信息保护的立法。《个人信息保护法》的出台，对于网络安全从业者来说是非常好的消息，我们在日常工作中终于有了规范化和强制性的法律依据。

二、国际意义

过去企业合规都是以欧盟GDPR为标准和指南，《个人信息保护法》的出台，可以大大提升国际领域对中国个人信息保护的认可度和信心。

三、企业意义

《个人信息保护法》11月1日正式生效施行，因此，企业需要针对自身业务是否合规进行自检，如果存在风险，在11月前需要尽快弥补相关风险。相对来说，大型企业的业务数据更多、业务类型更加复杂，所以风险也会更大。

四、个人信息跨境保护

无论是中国企业出华、还是国外企业入华，《个人信息保护法》都会针对关键信息技术设施类企业提出比较明确的要求。

五、个人信息保护的组织架构建立

除了合规之外，《个人信息保护法》也会对企业的数字化相关业务产生影响。因此，企业在《个人信息保护法》前提下开展相关产品和业务建设，长期来看，可以有效提升企业在整个行业的竞争力。

刘海洋：在王总分享的基础上，我再补充以下三个方面：

一、对境外企业提供数据服务的限制

境外机构提供服务出现个人信息出现问题和需要承担责任时需要跨境交流，效率非常低，《个人信息保护法》出台后，境外企业在国内提供服务时，必须要建立相关机构和代表。出现相关问题可以在境内进行交涉，对于数据的维权非常有帮助。

二、对等反制

对我国采取歧视性的禁止、限制或者其他类似措施的，可以根据实际情况对该国家或者地区对等采取措施。

三、明确个人权利与义务

《个人信息保护法》明确了自然人的数据权利，同时提出了个人信息处理者应该承担的义务。相关主体责任也进一步被明确。

从利好的角度来看，《个人信息保护法》对于数据安全从业者一定是“积极的信号”。在数据安全领域，一直缺少标准的评估体系，这部法律颁布后，相信在不久的将来，数据安全的评估体系也会构建出来。

Q2：相比二审稿，三审稿进行了哪些修改？主要争议点在哪里？

王建霞：（截至沙龙举办时）个人信息保护法全文还没有正式发布，根据近日人大常委臧铁伟先生的说明，（我们可以侧面了解到）三审内容主要做了以下方面的调整。

一、增加“根据《宪法》制定本法”条款。该条款直接提升了该法的法律地位。

二、针对APP过度收集个人数据、大数据杀熟等社会热点问题进行明确响应。

三、将“不满14周岁人群”的信息作为敏感信息。

四、完善了个人数据跨境提供的规则。

五、 增加了个人数据“可携带权”的规定。

此前，中国已经有些探索，比如工信部在2019年提出“携号转网”的服务，以及《个人信息安全规范》里提出了个人获取信息副本的权利，以及可以在技术可行的情况下把信息传输给第三方等。

六、明确对个人信息保护如何投诉、举报的工作机制。

七、明确“自动化决策”的定义，企业不得以个人不同意为由拒绝提供产品或服务，并在需要向用户解释决策的具体逻辑，且用户有权拒绝通过自动化决策做出的决定。

Q3：很多人评价《个人信息保护》是有史以来最严格的数据安全保护法律之一，“严格”具体体现在哪里？

王建霞：欧盟GDPR生效时，网上同样有各种各样的说法，称其是“史上最严”。在我们看来，《个人信息保护法》有相比GDPR严格的地方，也有比它稍微宽松一些的地方。

一、从法律条文来看

虽然还未施行，但是根据中国法律的特性可以看出：《个人信息保护法》法责严苛，会依法给予治安管理处罚，严重者会追究刑事责任。罚款的最高额度是五千万以下，或者是上一年营业额5%的罚款。而欧盟GDPR一档是2%、一档是4%，不管从罚款还是个人追责，《个人信息保护法》都相对严苛。

而在企业的角色方面，《个人信息保护法》中提到“企业只是个人信息的处理者”。而欧盟GDPR规定“企业是数据控制者和处理者”，控制者的义务大于处理者。个保法的处理者相当于GDPR的控制者。

二、从执法层面来看

《个人信息保护法》11月生效，目前国内已经有很多诸如“净网行动”等各种各样的举措，这些行动都会检查APP是否有数据搜集使用数据相关的违规行为。在此之前，我们用欧盟执法案例去做分析时发现，从个人角度要以GDPR来起诉某一个企业，中间流程比较复杂。从这个角度来对比，中国的执法程度会高一些。

刘海洋：个保法对于“个人信息处理者”需要履行的义务进行了明确的说明，可归纳为九项，包括有义务保障个人信息的安全、需要及时告知情况、主动删除、定期审计、事前做评估、保障行权等规定，这些都是个人信息处理者的义务。

《个人信息保护法》中，关于个人信息处理者需要获得用户授权同意的场景有七种。在这七个场景下，必须要取得用户的同意，否则企业开展处理活动就是违法的。《个人信息保护法》还规定了八个需个人信息处理者进行用户告知的场景。这“七个同意”和“八个告知”在梳理业务过程中进行解决的工作量是极其庞大的。

Q4：《个人信息保护法》对企业主体责任如何规定？

刘海洋：根据机构特征不同，有些企业是请第三方负责，有些是由IT人员负责。而从《个人信息保护法》中可以看出，责任划分属于“谁处理、谁负责”。如果企业将数据和个人信息委托给第三方，企业需要承担监督的责任。根据国家规定，当个人信息达到一定数量，就需要指定一名责任人行使监督工作，帮助国家履行个人信息安全职责的部门执行监督。

在企业开展个人信息保护时，我总结了五个建议遵循的原则，供大家参考：

一、诚信原则

不要用诱导或欺诈的方式获取信息。

二、最小范围

能不要最好不要，信息不是拿到手里面就是财富。拿多了可能就是负担，满足业务需要就可以了。

三、公开透明

无论是做大数据分析、辅助决策、营销推广，尽量做到公开透明，企业对数据的决策可以通过媒体或者官网的方式透明化。

四、准确和即时性

信息数据并不是拿过来就再不负责，要定期更新保证信息的准确性和完整性。

五、最短时间原则

收集完信息处理了后，要立即主动删除。

Q5：企业内部有哪些业务/部门与《个人信息保护法》息息相关？应该如何应对？

王建霞：整体来看，个人信息与企业大部分的业务条线都是有关联的，包括HR、营销、售后等等。企业首先需要进行基础的个人数据梳理，分析信息类型和应用场景，具体可以从如下维度出发：

一、产品维度

可以梳理出产品中涉及到的所有数据相关处理场景。

二、企业级别

目前大多数企业都属于存量业务，数据量大、场景复杂，建议抓大放小，从高风险入手。比如把涉及到生物信息、未成年人信息等敏感数据的场景单拎出来重点处理。

风险评估后，需要管理层及时进行个人信息保护决策，例如风险容忍度，相关落地策略等都需要进行决策和落地。

Q6：对企业来讲，是否必须要从体系化建设去考虑？过程中如何避免“踩坑”？

王建霞：体系的本意是好的，但在具体实践中，我们也观察到很多情况下所起到的作用有限。因此企业在做体系建设时，一定要再往下做一层。

项目体系的难点其实在落地，项目过程中，每个企业的战略、商业模式、业务生态、组织架构、成熟度和技术能力都不一样，没有一套现成的方法论可以直接用。因此，每个企业要做到把法律的要求解读成具体落地的要求，比如说企业产品里面隐私功能如何设计，隐私政策的框架和用户授权怎么去实现，需要具体场景、具体分析。

此外，还有一个难点涉及到跨境，比如企业出海或者是海外企业入华时，不只是要遵守一部法律，还要遵守很多其他的法律。那么，我们需要用最严的要求、还是只需要符合当地的要求来进行决策，这也是企业需要关注的。

刘海洋：“踩坑”这个点是我们在提供服务中经常被问到的，大家都不想踩坑。因此我总结了一些大家可能踩到的“坑”。

首先，在处理公开信息时，有些个人信息是公开的，在网上我们也能看得到，但在处理这些信息的时候不能肆无忌惮，不是已经公开就可以随便用，作为信息处理者，需要操作数据时也要经过信息个人的同意。

再有，数据个人信息处理者有义务主动删除数据，满足条件的时候就要主动删除。如果有些情况下企业无法删除，也不代表企业就能逃避主动删除这一项义务，法律上也不会强制企业去突破瓶颈进行删除，但需要停止个人信息处理活动。

Q7：目前有哪些工具和产品可以帮助企业提高各环节合规效率？

刘海洋：从《个人信息保护法》中，我们可以看到合规工作是七分业务、三分技术。而在庞杂的业务合规工作量面前，数据安全从业者们需要尽可能考虑一体化、轻量化的解决方案。目前我们腾讯安全主推的一款CASB产品，可以帮助企业在开展合规工作中起到一定的助力作用：

一、安全能力

融合将审计、脱敏（有匿名法算法）、加密、访问控制等安全能力进行一体化融合，相当于一次集成，多种使用，帮助企业快速推进合规落地。

二、自动化辅助工具

可以辅助开展业务合规工作，如自动分类分级、数据资产梳理、访问关系梳理、数据权限梳理等。

此外，个人信息中的敏感个人信息也是重中之重，CASB可以利用技术自动化手段，帮助企业发现其分布情况，以及被访问情况，哪些用户拥有权限，哪些用户进行操作……都可以通过CASB来辅助。

Q8：基于合法获取的数据成果归属问题，《个人信息保护法》中是否有相关规定？

王建霞：首先从欧盟GDPR的逻辑来看，以下三类个人信息数据，都是属于用户个人的数据：

一、用户直接提供的数据。即用户主动输入的账号或者身份证号。

二、企业服务过程中生成的数据。例如用户的网页浏览记录、音乐APP听歌记录等。

三、企业成果。比如企业的用户画像，非企业提供和生成，而是基于企业的算法或者本身技术得出的一些新数据。

而《个人信息保护法》中，对于合法取得和授权范围内的数据，企业有一定的知识产权。而从数据归属问题看来，数据究竟属于企业还是个人？答案比较复杂。根据目前个保法的要求来看，该类个人数据在充分告知和用户同意的情况下是可以使用的。

刘海洋：《个人信息保护法》中有相关规定。首先，是否需要授权、以及归谁所有，前提需要确定该数据是否为个人信息。如果企业生成出来的数据，无法标示出个人的身份或行为，则归个人信息处理者所有，如果可以标识出来且属于个人信息，归个人所有。 从技术处理上来讲，如果已经进行匿名化处理的信息则不属于个人信息，归个人信息处理者所有。

写在后面

其实，《个人信息保护法》的出台，只是一个新里程的开端。对于企业来说，更重要的是对于用户信息保护的落实和实践。而对于所有网络安全从业者来讲，《个人信息保护法》无论代表着利好还是压力，我们都将认真面对，共同努力，从0到1、从1到2，在发现问题、解决问题的过程中不断精益求精，帮助更多企业的安全工作体系化、规范化。