对《个人信息保护法》的解读——兼谈云服务商与外呼企业的风险合规建议

从整体看，《个人信息保护法》构建了较为完整的个人信息保护框架，涵盖个人信息处理的全流程——收集、存储、使用、加工、传输、提供、公开以及删除等，包括个人信息处理规则、个人信息跨境提供的规则、个人在个人信息处理活动中的权利、个人信息处理者的义务、履行个人信息保护职责的部门、法律责任等内容。

在该法律框架下，企业的合规路径较为清晰，即需要完成：识别个人信息类型（是否属于敏感个人信息）→识别企业角色（能否自主决定处理目的、方式等）→履行一般义务与特定场景下的特定义务→保障个人信息主体的权利→识别违法后果与举证责任。

（一）“个人信息”与“敏感信息”

依据本法第四条“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息”，本法对个人信息的定义采用了“可识别”+“可关联”的标准，“可关联”至特定个人的均属于个人信息，进一步扩大了归属于个人信息的具体范围，也为企业在个人信息保护合规上增加了压力，而且随着新技术的发展，可关联至个人的范围不断扩大，导致受保护的个人信息范围也不断扩大。此处需要注意本法所指的个人信息不包括匿名化处理后的信息，而“匿名化”与“去标识化”之间最大的区别就在于经过处理后的信息能否复原，因此如果仅仅是经过技术处理使得获取的个人信息单独来看无法识别到特定自然人，但是信息可以复原的，同样受本法约束。

敏感个人信息，依据本法规定包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。本法对于敏感个人信息的处理采取了更为严格的限制，包括（1）信息处理的前提必须具有特定目的和充分必要性；（2）敏感个人信息的处理至少需要基于个人的单独同意；（3）征得同意的告知事项中，需增加告知处理的必要性以及对个人权益的影响；（4）处理不满十四周岁的未成年人个人信息的，应当取得其父母或者监护人同意，并应当制定专门的个人信息处理规则。

敏感信息与个人信息的区别在于，当出现泄露或者非法使用的情况时，是否容易对个人名誉、身心健康等造成严重损害，因此立法对前者的保护标准更为严格，而敏感个人信息的特别规定赋予了企业更多的个人信息保护合规义务与责任，在业务开展中如不可避免地使用到人脸识别等信息时应采取更为审慎的态度。

（二）“守门人”角色

本法第五十八条明确了互联网平台“守门人”应履行的职责。首先，互联网平台“守门人”即“提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”。其次，“守门人”所应履行的义务包括：一、按照国家规定建立健全个人信息保护合规制度体系，成立主要由外部成员组成的独立机构对个人信息保护情况进行监督；二、遵循公开、公平、公正的原则，制定平台规则，明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务；三、对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者，停止提供服务；四、定期发布个人信息保护社会责任报告，接受社会监督。

不过，本法对于守门人的定义尚不够明确，本法并未明确何为“重要互联网平台服务”“用户数量巨大”及“业务类型复杂”，因此“守门人”的认定方法还要待工信部门等出台进一步细则来确定。而云服务商作为互联网平台服务者，需对此问题持续关注。

（三）关于影响最小、范围最小原则

依据本法，处理个人信息除了必须具有明确、合理的目的，还需要采取“影响最小”的方式；针对个人信息处理的收集环节，还必须限定在处理目的的“最小范围”。两个“最小原则”是个人信息处理应遵循的核心原则，尤其是处理目的的“最小范围”，这是禁止“过度收集个人信息”的关键要点，因为个人信息处理者只有在严格遵守处理目的的“最小范围”的前提下，即“非必要不收集”的情况下，才能确保其采取对个人权益影响最小的方式。

《个保法》没有进一步明确“与处理目的直接相关”“处理目的的最小范围”的定义。在此，可以结合全国信息安全标准化技术委员会组织制定的国家标准GB/T 35273—2020《信息安全技术 个人信息安全规范》来加以理解[1]，该标准第5.2条（a）点明确了收集个人信息的最小必要，即“收集的个人信息的类型应与实现产品或服务的业务功能有直接关联；直接关联是指没有上述个人信息的参与，产品或服务的功能无法实现。”据此，《个保法》所述的“直接相关”“最小范围”的个人信息可以理解为“实现产品或服务功能所必要的个人信息”。

（四）关于单独同意规则

本法关于个人信息主体“同意”与“单独同意”有多处相应的规则。从文义解释的角度看“单独同意”，就是指独立且明确的、不与其他信息混合的“专门同意”，从个人信息主体的角度看是其对同意内容的知情、明确并且自愿给予专门认可，从个人信息处理者的角度看是指其设法让个人信息主体发出独立且具有特定指向的认可。简言之，单独同意要求将特定场景下的同意与其他同意区别开来，即不可将该同意与其他同意揉在一起，以“一揽子”授权的方式获得用户的授权。

（五）关于个人信息可携带权规则

为解决数据垄断的问题，《个保法》首次出现个人信息可携带权，第四十五条第三款规定“个人请求将其个人信息转移至其指定的个人信息处理者，符合国家网信部门规定条件的，个人信息处理者应当提供转移的途径。”

从法条本身来看，我国对个人信息的可携带权规定的较为审慎，转移需要满足一定前提。首先，需要个人信息主体发出转移的请求，而不是从个人信息处理者主动介入；其次个人信息主体需要明确指定转移的目标，明确至哪一个个人信息处理者。再次，还需要满足国家网信部门规定的条件，虽然本法暂未对该条件明确，但是随后会有相关配套文件对此作进一步的说明和细化。最后，转移的途径由个人信息处理者提供，而非由个人信息主体提供，如此规定的理由在于，一是个人信息处理者对所存储的个人信息情况更加了解，由其来提供转移途径的效率较高；二是因为个人信息主体提供的信息转移途径不一定满足信息系统的安全性要求，或会为个人信息处理者带来在信息存储、传输方面的“不安全因素”。

对于云服务商而言，个人信息“可携带”较为关键的影响在于，当云服务用户选择更换云服务商时，云服务商需要将个人信息转移至指定的目标，则云服务商不可以数据与目标环境不兼容等理由拒绝转移，如此可能被认定侵犯个人权益。另外，转移过程结束后云服务商便停止提供服务，故需要主动删除所储存的个人信息，存储在第三方服务器上的，还应及时要求第三方进行删除。

但是本条规定仍然存在待明确的问题，比如可携带权的客体范围以及传输的数据形式等都未涵盖，因此个人信息可携带权的引入是否契合我国数据产业的发展态势可能还需进行充分调研和论证，在后续实践与立法中进一步完善。

（六）违法处理个人信息的法律责任

本法对于违法行为规定的法律责任较为严格，依据不同程度的违法、违规行为处以包括责令改正、警告、没收违法所得、对单位和直接负责人处以罚款、记入信用档案、禁止在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人等形式的处理，其中对单位罚款最高达五千万元或上一年度营业额的百分之五、对直接负责的主管人员和其他直接负责人的罚款最高达一百万元。

另外，若违法行为侵害众多个人权益的，还可能引发检察院、消费者组织以及国家网信部门确定的组织依法提起的公益诉讼；严重的违法行为还能接受治安管理处罚甚至被追究刑事责任。

依据本法，个人信息处理者是指在个人信息处理活动中可以自主决定处理目的、处理方式的组织、个人。根据云服务商提供的产品、场景不同以及云服务商能否自主决定个人信息的处理目的、方式等，云服务商不仅会扮演“个人信息处理者”的角色，亦会担任“第三方信息处理者”的角色。当云服务商处于不同的角色定位下，所面临的风险点也不同。

以云服务商向云服务用户提供具有客户管理功能的CRM产品的场景为例。假设云服务用户将自有或者自行收集的个人信息录入CRM系统中，并委托云服务商帮助分析相应数据，此时云服务用户是自主决定个人信息如何处理的主体，即“个人信息处理者”，而云服务商则属于接受委托的“第三方信息处理者”。不过，云服务商在此过程中也可能自行收集云服务用户的某些个人信息，如云服务用户管理员的身份、联系方式、账户信息、设备信息等，对于这类个人信息而言，云服务商可自主决定处理目的、方式等，此时，云服务商的身份则属于“个人信息处理者”。

（一）云服务商作为个人信息处理者的风险识别及合规建议

云服务商作为处理者时个人信息流动模式

1、风险识别

如上图所示，当云服务商作为个人信息处理者，处理个人信息需受隐私协议或授权协议的约束。同时，由于云服务商能够自主决定信息的处理方式，故可能会基于技术或其他需求而将个人信息的相关处理工作委托至第三方。故云服务商作为个人信息处理者的风险点主要在于：一、获取个人信息的过程中是否合规地向个人履行了告知义务并获得有效的同意；二、个人信息的存储安全问题；三、对第三方信息处理者的监督管理问题。

第一，云服务商提供服务的过程中，首先可能发生的合规风险在于用户“同意”和“单独同意”规则的适用中，企业自身应主动履行向用户告知的义务，包括企业本身的名称或者姓名和联系方式、个人信息的处理目的、处理方式，处理的个人信息种类、保存期限等基本内容，同时在需要获得用户单独同意的场景下，还需注意所获取的同意是否符合单独同意的要件。另外，尤其注意作为个人信息处理者向第三方信息处理者提供信息的场景下，不仅需要获取用户的单独同意，而且在接收方变更原先的处理目的、处理方式的还需要获取重新同意。

第二，企业在个人信息存储环节存在较大风险点，即个人信息泄露、篡改、丢失的风险，其不仅发生在企业作为个人信息处理者的情形，也可能发生在企业作为第三方信息处理者的情形。关于个人信息存储给企业带来的合规压力主要包括以下几个方面：（1）关于去标识化与匿名化的信息处理方式，《个保法》明确个人信息处理者应采取相应的去标识化等安全技术措施确保个人信息处理活动的合规性与安全性，此处需要明确去标识化与匿名化不同，去标识化的个人信息仍属于《个保法》保护的对象，企业的合规义务并未减轻；（2）关于个人信息与敏感个人信息的分开存储。本法将敏感个人信息做了专门规定，赋予企业更高的责任和义务，因此若企业没有对个人信息和敏感个人信息作分开存储的处理，在发生个人信息泄露时可能导致企业更大经济和名誉损失；（3）关于存储期限，企业对存储期限的考虑需要结合合规要求以及经济成本两个方面，本法对存储期限规定了最短时间的原则，企业不仅需要结合相关法律法规以及自身未来的长远规划提前预判个人信息的价值，合理确定存储期限。

第三，云服务商作为个人信息处理者或会基于业务、技术需要而委托第三方进行个人信息的处理。根据《个保法》规定，接受企业委托的第三方个人信息处理者若要另行转委托，需要获得企业的同意，若进行数据提供的还应取得个人信息主体的单独同意。然而，实践中的服务合同对于第三方分包的问题可能不设保留，存在几乎没有限制的分包和共享个人数据的风险，云服务商若未对第三方的后续转委托等工作情况进行监督，则面临未将个人信息提供情况告知个人的风险，以及个人信息泄露、篡改、丢失的信息安全风险。

2、合规建议

当云服务商可自行决定如何处理云服务用户的个人信息时，此时云服务商作为个人信息处理者应特别注意：

一、隐私协议具有对个人信息处理行为公开承诺的法律性质，亦是相关部门进行监管的重要依据，故需要完善隐私政策，公开个人信息处理规则。同时，隐私政策应易于用户访问、阅读和理解，不得为用户访问、阅读个人信息处理规则设置障碍。

二、针对《个保法》规定的需要获取用户单独同意的场景，云服务商不能使用“默示同意”（例如设置“不提异议便视为认可”的告示作为征得处理同意的依据）或者捆绑相关服务协议以获取用户的联合同意。同时需要注意本法新增设的“撤回同意”的规定，个人信息主体基于“告知-同意”规则，对自己已经作出的“同意信息处理者对其个人信息进行处理”的授权予以取消的意思表示。其实质含义为信息主体意思表示的撤销。

三、委托处理个人信息场景下，云服务商应尽到以下义务：

第一，在委托前应当进行事前个人信息保护影响评估；

第二，通过数据处理协议明确双方责任义务，避免因受托方出现个人信息安全问题或违规处理个人信息而产生连带责任。同时可向受托方明示个人信息处理的义务清单，以明确合规要求，避免因第三方信息处理者违反云服务商自身的合规义务；

第三，委托人应对受托人的个人信息处理活动进行监督，确保：1.受托人的个人信息处理活动符合约定；2.受托人的个人信息处理行为合法且未损害个人信息主体权益；3.要求受托人及时披露、报告转委托情况，对转委托情况进行管理，禁止未经许可的转委托；

第四，个人信息处理者在委托第三方处理个人信息时无须向个人信息主体进行告知及取得同意，但若向该第三方提供相关个人信息前，按《个保法》规定则应向个人告知信息接收方的名称、联系方式、处理目的、处理方式、个人信息的种类并取得个人的单独同意。

（二）云服务商作为受托的第三方信息处理者的风险识别及合规建议

云服务商作为受托的第三方信息处理者时个人信息流动模式

1、风险识别

结合上图，当云服务商作为第三方信息处理者的角色时，其与云服务用户之间的关系为委托关系，所签署的合同类型为委托合同。云服务商在此情形下无法自主决定个人信息的处理方式，只能按照个人信息处理者要求的目的、方式等对个人信息进行处理，也正是因此，云服务商将个人信息处理工作分包（转委托）时，需要获得云服务用户（个人信息处理者）的同意。本情形下的风险主要在于：一、对于个人信息处理分包情况的管理和披露问题；二、个人信息的处理活动是否在授权范围内进行。

同前文所述，云服务商与云服务用户签订的云服务合同条款会保留一定的灵活性,允许云服务商改变合作方或随时增加服务层次，故云服务商作为第三方信息处理者时同样也存在无限制分包和共享个人数据的风险。

在这种模式下，如果第三方个人信息处理者-分包商-次分包商形成了一个长链条，由于云服务商和云服务用户之间的委托服务合同通常并不包含提供核心服务设施的其他合作者和下属分包商的信息，因此对于云服务用户而言甚至无法确定个人信息被最终存储在什么位置。依据本法，个人信息处理者需要在处理敏感信息、进行自动化决策、转委托第三人等情况下完成事前的个人信息保护影响评估，但若云服务用户对于数据存储的最终位置、契约链的范围等都无法确定的话，则很难对云服务进行合规评估。另外本法同时规定，个人信息处理者的受托人有义务协助个人信息处理者履行本法义务，故云服务商作为第三方信息处理者有义务帮助云服务用户完成合规评估，这也就意味着云服务商可能需要向云服务用户充分披露分包商、次分包商以及数据共享情况。

本法第二十一条规定个人信息处理者委托处理个人信息的，应当与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务，受托人应当按照约定处理个人信息，不得超过约定的内容。按照上述要求，云服务商作为第三方信息处理者应当依照委托服务合同确定的权利、义务来进行个人信息处理活动，但如果云服务商超出合同范围对个人信息收集、使用、加工的，其身份就可能由“第三方信息处理者”转变为“个人信息处理者”，此时需要履行的义务范围就不仅限于合同所约定的内容，还需履行本法明确的“个人信息处理者”的法定义务。

最后关于数据删除的问题。《个保法》第二十一条明确，个人信息处理的受托人在委托合同不生效、无效、被撤销或终止的情形下，应当将个人信息返还个人信息处理者或者予以删除，不得保留。因此，对于云服务商与云服务用户签订的个人信息处理委托合同，无论其是期限届满、被撤销、被认定无效或是提前解除等，只要云服务商失去个人信息处理的受托者身份，便不得保留从云服务用户处取得的个人信息。若所收集的个人信息依然存储在云服务商的数据中心或者数据平台，则云服务商可能面临非法收集、获取、存储个人信息的风险。

2、合规建议

当个人信息由云服务用户控制，云服务商作为第三方信息处理者接受委托仅负责处理个人信息时，应特别注意：

一、在个人信息委托处理协议所约定的范围内处理个人信息，并在委托合同出现效力瑕疵时及时返还或删除个人信息。

二、如发生转委托需经委托人同意。

三、协助委托人履行相关的个人信息保护义务，如在处理敏感信息、进行自动化决策、转委托第三人等情况下完成事前的个人信息保护影响评估、向云服务用户充分披露分包商、次分包商以及数据共享情况等。

（一）个人信息收集的风险识别及合规建议

外呼企业处理个人信息的主要风险节点

1、个人信息收集的风险识别

在呼叫中心业务开展，客户的个人信息如姓名、联系方式等乃核心根基，无此部分信息则无明确对象，业务将难以开展。因此，外呼企业会采取多种方式或者渠道来获取客户的个人信息，主要分为两个渠道：第一，直接采集，即从客户处直接获取相关个人信息，例如企业直接向用户请求采集其个人信息。此环节下，企业是否向用户告知个人信息的处理范围、目的、方式等规则，用户是否明确表示同意，以及企业所收集的个人信息是否为实现业务目的的最小范围，这些都是合规的重点问题。第二，间接采集，即非从客户处直接取得相关个人信息，而是从第三方或公开领域取得，可能包含接入第三方个人信息数据库、从网络收集已公开的个人信息、通过业务推广间接获取非业务对象的个人信息等。两渠道下的风险点总结如下：

直接采集的风险点：

1.收集信息不具有合法性基础及不符合最小必要原则。

2.未进行告知并获取同意；

3.告知同意的形式、内容不符合要求，没有获得单独同意或者不满足书面同意的形式等；

间接采集的风险点：

前手信息的来源违法，例如通过非法提供、买卖或公开等渠道收集的个人信息。

2、个人信息使用方式的风险识别

收集合法的基础上，外呼企业具体使用个人信息的方式有两种，一种是外呼企业本身作为个人信息处理者，自行采集个人信息并进行后续处理；另一种是委托第三方对个人信息进行处理，因此在其对所获取的个人信息进行进一步使用时可能存在的风险包括：

（1）自行使用或委托第三方使用时，个人信息使用的目的、范围、方式等发生改变而未重新向个人进行告知及获取同意；

（2）使用过程中未保障用户的个人权益，例如外呼过程中，个人可能要求对个人信息进行查询、更正、删除等，而外呼企业对此未设有专门机制进行处理、也未提供有效的投诉和举报渠道等。

（一）合规建议

1、收集个人信息需具有合法性基础并符合最小必要原则

《个人信息保护法》第十三条明确个人信息处理前应满足的必要条件，除了取得个人的同意外，还包括为履行合同所必需、为实施人力资源管理所必需、为他人生命财产安全所必需、为维护公共利益所必需等条件。企业在处理个人信息前，必须满足本条规定中的任一条件，否则将被认定为个人信息处理活动不具有合法性基础。

同时，《个人信息保护法》第十条亦明确，不得非法买卖、提供或者公开他人个人信息。该条规定则直接将“非法买卖、提供或者公开他人个人信息”的行为认定为违法行为，则以此方法采集的个人信息自然也不具有合法性基础。

另外，《个人信息保护法》第六条也规定，处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息。由此，企业在提供服务前需明确实现本服务所必需的个人信息范围，后续所处理的个人信息不得超过向用户所明示的信息处理范围，亦不可强制用户提供与实现业务目的无关的个人信息。

2、遵守告知-同意规则

(1)关于告知

《个保法》第十七条明确个人信息处理者在处理个人信息前，应当向个人告知的事项，包括：

同时，《个保法》也明确了三类需要履行告知义务的特殊场景：

小结：应当注意，告知是同意的前提，企业需明确所收集的个人信息将被用于何种目的、具体收集的信息范围、信息的处理方式等，结合本法及其他法律规定的特殊场景要求向用户履行告知义务。向用户告知时，应以清晰和明显的方式对上述事项予以披露、解释或表达。另外，个人信息处理者在向个人进行第一次告知后，所告知事项发生变更的，则还需将变更部分重新告知个人。

(2)关于同意

《个保法》关于个人信息主体“同意”与“单独同意”有多处相应的规则,后者是指独立且明确的、不与其他信息混合的“专门同意”。

其中不需获得信息主体同意的六类情形，具体如下：

其中要求信息主体单独同意的五大场景，具体如下：

其中要求重新获取信息主体同意的场景包括：

小结：企业应当明晰何时需要获取信息主体的一般同意，何时需获取其单独同意，并在制定隐私政策等个人信息处理规则时，根据需要来选择是否单独制作相应规则界面，以方便信息主体作出独立且具有特定指向的意思表示。另外，也需明确在改变信息处理目的、方式及信息种类的情形下，通常都需要重新获得信息主体的同意。

3、保障用户个人信息权益

《个保法》明确，个人信息主体拥有知情权、决定权、查阅权、更正权、补充权、删除权、转移权等基础权利，同时明确个人信息主体可就个人信息处理者拒绝个人权利的行使向法院起诉。

由此，个人信息处理者并应当建立便捷的申请受理和处理机制，并提供有效的投诉和举报渠道。

结语

《个人信息保护法》的出台标志着个人信息保护进入严监管时代，为互联网、外呼等企业带来了关于个人信息保护合规的新压力。企业在整个个人信息处理链条中均需要遵循正当、合法、必要等基本原则，在相应场景下履行告知、同意（单独同意）、重新获取同意等基础义务。此外，企业需要着重识别自身在个人信息处理活动中所属的“角色”，并在个人信息收集、使用、提供以及加工等环节满足相应的合规要求，通过管理手段实现个人信息的可知、可控，实现个人信息合规流动。