《个人信息保护法》(下称:《个保法》)自2021年11月1日正式实施。据统计,该部法律使用了近74个 “应当”的表述,对个人信息处理者(包括企业、app运营商、平台等)合规处理、收集、传输、保存个人信息等各方面均提出了具体、明确、强制性要求。那么,对于日常生产经营活动中需要收集到个人信息的企业而言,具体应当采取哪些措施来应对《个保法》合规要求呢?本文共整理了4件针对《个人信息保护法》实施以后,企业应当做的“事情”,供有需要的企业、app运营商、平台等个人信息处理者参考。
01谁应当遵循《个保法》?
首先,先来明确一下几个重要的概念。 根据《个人信息保护法》第4条、第28条之规定:
个人信息,是指个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
敏感个人信息,是指一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
个人信息处理,包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。
根据相关规定,可以得知,凡在中国境内或虽然在境外但以向境内提供产品或者服务为目的或分析、评估境内自然人行为为主的从事个人信息处理活动主体,都属于“个人信息处理者”。例如:金融机构、app运营商、各大企业、推行实名会员制的餐饮机构、娱乐机构、美容机构等等,该等主体在处理个人信息活动中都应当遵循《个人信息保护法》相关规定。
02企业应当做的“ 4件事”
1.明确可收集的个人信息的范围
虽然现行法律允许在取得个人明确同意的情况下,可以搜集其个人信息。但并不意味着只要获得自然人同意,信息处理者就可肆意、无限制地收集自然人的相关信息。
根据《个保法》第6条之规定,收集个人信息应当遵循“最小、必要”原则,不可过度采集。此外,如信息处理者如需收集自然人的敏感信息,如指纹、五官、银行账户、职务等,还应当取得其单独同意,并且告知收集的必要性及对个人权益的影响等。
参照《国家互联网信息办公室关于<常见类型移动互联网应用程序(App)必要个人信息范围>公开征求意见的通知》(2020年12月01日)之规定可知,例如:地图导航类APP,其基本功能服务是定位和导航,因此对于该类APP,所必要收集的个人信息为“个人位置信息”;网购、餐饮外卖类的APP,基本功能为购买商品/食品,对该类APP所必要收集的个人信息则包括注册用户电话号码或其他真实身份信息、收货人地址、支付信息等;婚恋相亲类APP ,所必要收集的个人信息则包括身份信息以及婚恋相亲人的性别、年龄、婚姻状况。
因此,对于企业而言,第一件应当做的事情是根据自身业务的特性及需要,结合相应的法律规定及规范性文件,在遵循“必要、最小”原则的情况下,明确自身可收集及必要收集的个人信息的范围及边界,规避过度、非法采集个人信息的风险。
2.完善所运营APP/平台的页面设置
(1)增设用户“单独同意”授权页面
根据《个保法》规定,针对收集个人敏感信息、向第三方或境外提供个人信息、公开个人信息三种情形,需取得用户的单独同意。单独同意,笔者理解应当是通过弹窗等技术手段,在APP/平台收集上述个人信息之前,针对上述事项再次明确征求用户同意,而不是将上述处理规则隐藏在《平台服务协议》《隐私政策》等,让用户“默认”同意。
(2)增设便于用户“拒绝”个性化推送的方式
《个保法》第24条明确规定:“个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。
该条规定从立法层面对“大数据杀熟”行为进行了限制。概言之,即要求APP/平台在向用户进行定向推送时,应当要同时设置“关闭个性化推送”的窗口,将选择权交回给用户。
(3)增设用户“撤回同意”方式
目前,APP/平台鲜见有专门的针对用户“撤回授权同意”的窗口,常见的情况是用户注册了某个APP并授权同意APP收集相关信息之后,根本找不到渠道“撤回同意”,或者即便有“撤回同意”的方式,但撤回后可能连APP都打不开了。
针对上述情形,《个保法》第15条专门规定了个人信息处理者应当要同步设置便于用户“撤回同意”的方式,同时也明确了,个人撤回同意的,不影响撤回前已进行的个人信息处理活动的效力。
3. 制定、完善个人信息管理制度和操作流程
结合《个保法》提出的要求,建议企业应当逐步制定、完善以下针对个人信息的内部管理制度及配套文件:
(1)《个人信息收集、处理规则及操作指引制度》、《用户隐私政策》、《个人信息保护政策》《个人信息同意授权书》。【针对《个保法》第二章规定】
(2)《敏感个人信息处理规则》、《个人信息影响评估报告制度》、《敏感个人信息单独同意授权书》。【针对《个保法》第二章规定】
(3)《从第三方获取个人信息处理规则及操作指引制度》[针对《个保法》第二章规定】
(4)《个人信息分类管理制度》[针对《个保法》第五章规定】
(5)《个人信息安全事件应急预案》[针对《个保法》第五章规定】
(6)《违反个人信息保护规定的追责制度》[针对《个保法》第七章规定】
(7)《个人信息保护责任人制度》【针对《个保法》第五章规定,此条专指处理个人信息达到主管部门规定数量个人信息处理者】
(8)建立个人信息保护合规制度体系,成立主要由外部人员组成的独立机构进行监督【针对《个保法》第五章规定,此条专指“提供重要互联网平台服务、用户数量巨大、业务类型负责”个人信息处理者】
4.定期对从业人员进行安全教育与培训
企业的从业人员是收集、处理个人信息的主要人员。因此,加强对从业人员对于数据安全、个人信息保护的法律意识尤为必要,也是《个保法》第51条规定的法定义务。
综上,建议企业能够定期对从业人员开展相关培训。培训内容参考如下:对新入职从业人员安全教育与操作指引培训、对新出台的法律及相关规定的培训等。
03结语
《个人信息保护法》出台后短期内可能会增加企业合规方面的成本,但长远来看,对于企业构建合规体系、长期发展以及对我国数字经济建设都有着重要及积极的作用。所以,合规工作还是不能省!
《个人信息保护法》实施后,企业应该做的4件事
作者:苏怡来源:广东启源律师事务所

《个人信息保护法》(下称:《个保法》)自2021年11月1日正式实施。