广东广悦律师事务所

2021年11月1日，《个人信息保护法》（以下简称“《个保法》”）正式实施。自此以后，数据治理领域的“法律三部曲”《网络安全法》《数据安全法》《个人信息保护法》，分别从网络安全、数据安全、个人信息安全三个维度，构建数字经济时代下我国的数据治理规范框架。

自8月20日《个保法》经第十三届全国人大常委会第三十次会议审议通过以来，我们收到很多企业就《个保法》中有关规范个人信息处理流程，保护个人信息权益应当如何落地合规要求的疑问。对此，我们整理了《个保法》中企业关注最多的六大合规问题，提供实务指引供大家参考。

按照企业或读者向我们咨询的频率高低，六大合规问题分别如下：

最小必要原则
单独同意机制
自动化决策
特殊主体个人信息保护
个人信息出境
个人信息处理活动留痕

一、落实数据收集场景的必要性原则

必要性原则一直是个人信息处理活动中的落地难点，对于必要性原则的理解，应当结合企业处理个人信息的业务场景来分析评估。针对《个保法》第六条细化的最小必要原则，我们建议企业在信息处理场景中，一般分析论证下述四个要点：

（1）信息收集的数量和种类是否是实现目的的最小范围？

（2）信息收集的频率是否是产品或服务业务功能所必须的最小频率？

（3）信息的处理行为是否与其处理目的有直接关联？

（4）信息处理方式是否对个人权益影响最小？

图1：最小必要原则相关法条及规范

以企业常见的“刷脸”考勤场景为例，鉴于人脸信息属于生物识别类敏感个人信息，在启动“刷脸”机制前，用人单位应该充分论证人脸识别对于企业考勤的必要性。企业可以考虑的因素包括：业务类型、员工人员规模、企业办公环境等，综合判断企业是否存在适用其他考勤模式的可行性，尽量避免处理人脸等生物识别信息。

二、实现个人信息单独同意机制

“单独同意”是比“告知-同意”更严格的个人信息处理要求，企业应首先明确单独同意机制的适用范围，我们将其归纳为以下四个层面：

（1）信息类型特殊，处理的个人信息属于敏感个人信息；

（2）处理主体变更，包括向第三方传输或公开披露个人信息；

（3）处理影响重大，例如向境外提供个人信息；

（4）处理目的变动，如将在公共场所收集的个人图像、身份识别信息用于维护公共安全以外的目的。

对于应当适用“单独同意”的情形，我们建议企业针对需要授权的数据处理活动制作专门的授权同意文件/文本，在用户实际触发相关业务功能时启动单独同意的授权机制。

具体而言，企业可以通过界面弹窗、跳转链接、邮箱推送、纸面文件等方式充分告知用户，并设置强制阅读停留、用户主动点击确认、文件签署上传等同意模式（如下图所示），确保数据处理活动获得用户自主、明确的同意决定。

图2：单独同意界面参考示例

三、建立自动化决策的合规处理规则

自动化决策是企业处理个人信息的高频场景，尤其对于电商零售、本地生活、内容运营等用户服务平台，自动化决策是业务发展不可或缺的得力助手。对此，我们建议企业比照《个保法》第二十四条和第五十五条的规定，构建规范自动化决策的合规处理机制。

实务中，对于每个涉及自动化决策的场景，企业有必要事先进行个人信息保护影响评估，根据处理的信息种类和算法原理，预判自动化决策可能对个人权益带来的不利影响，并提前设置相应的保护措施。

当自动化决策用于商业营销或信息推送时，企业应同时提供不针对用户个人特征的选项，例如在“综合推荐/猜你喜欢”的个性化推送外，为用户提供“销量、好评、信用”等内容查看选项。或者在无法提供非个性化选项时，企业应当为用户设计便捷的拒绝路径，如在App中提供“停用”选项、设置客服人工处理机制等（如下图所示）。此外，企业应当注意不得利用自身掌握的用户经济状况、消费习惯、价格敏感度等信息，对用户实施“价格歧视”。

图3：自动化决策关闭界面参考示例

四、升级成特殊主体的个人信息保护措施

在未成年人个人信息保护方面，无论企业是否存在针对未成年人提供的产品或服务，我们都建议企业履行年龄识别的合理注意义务，在业务流程中增设未成年人识别机制。

比如，核验用户注册时填写的出生年月，根据用户的使用偏好、活跃时间等信息塑造用户的年龄画像。需注意的是，企业在年龄识别过程中也需要履行用户个人信息保护的义务，仅处理识别未成年人所必要的个人信息。

图3：未成年人识别机制参考示例

对于逝者的个人信息权益保障，企业可以产品设计中，为用户提供生前安排死后个人信息的相关功能。同时，企业应建立逝者个人信息权益响应机制，例如审查用户的死亡证明、核验近亲属身份，并在审查通过后及时响应近亲属合法、正当的权益主张，如查阅、复制、更正、删除已逝用户留存的个人信息。

图5：逝者个人信息处理机制参考示例

五、完善个人信息出境的保护规则

当企业需要向境外提供个人信息时，必须满足《个保法》第三十八条规定的三种要件之一，即：

（1）通过国家网信部门组织的安全评估；

（2）经专业机构进行个人信息保护认证；

（3）按照国家网信部门制定的标准合同与境外接收方订立合同。

其中，参考《数据出境安全评估办法（征求意见稿）》（点击阅读全文）的规定，如果企业属于关键信息基础设施运营者，或出境数据中包括重要数据，或企业处理的个人信息数量超过限制标准（个人信息处理达到一百万人次，或累计向境外提供超过十万人以上个人信息或一万人以上敏感个人信息）的，企业向境外提供数据只能“通过国家网信部门组织的安全评估”这一路径。

在信息出境前，企业需要进行数据出境风险自评估，从技术措施、合同义务等方面控制安全风险。在提供数据前，企业有必要向个人信息主体充分披露境外接受方的身份信息、联系方式、信息处理情况，并获得用户单独同意。

此外，当境内企业面临境外司法或执法机构的信息披露要求时，如反倾销、反补贴、商业贿赂调查或境外诉讼仲裁，切勿私自提供含有个人信息的文件资料。必要情况下，企业可以寻求外部专家协助，筛查涉及个人信息的相关资料并采取匿名化处理技术，在得到安全性论证后再予出境。

六、构建个人信息处理的留痕制度

针对《个保法》下信息处理者的“过错推定”归责原则，企业应当在合规处理的基础上，妥善留存个人信息处理的日常记录，以防止被过错推定而受“无妄之灾”。

对此，我们建议企业启动以下措施：

（1）制定个人信息处理的内部管理制度及操作规则，并在相关文件上注明执行日期，设置具体标准和指引以落实个人信息的分级分类管理；

（2）排查企业现存个人信息的安全状态，对存量信息和未来信息采取去标识化、匿名化等安全技术措施，与此同时保存技术处理日志；

（3）下发书面文件以妥善分配员工的个人信息处理权限，同时组织员工进行个人信息处理操作规范及数据合规培训。

经过三次审议落地施行的《个保法》，在重点问题上不断打磨，为企业利用个人信息绘制了合法合规边界。对于处理个人信息的企业而言，数据合规已然是受到重点关注的风险线，企业只有理解新法要求并落实合规义务，才能在数字经济的浪潮下，扬帆远航。

END

声明：本微信文章仅为交流探讨之目的，不得视为广悦数据合规研究院或其律师出具的正式法律意见，任何仅依照本文的全部或部分内容而做出的行为及因此带来的后果均由行为人自行负责。如果您需要法律意见或有意就相关议题进一步交流，可以通过电子邮件与我们联系，E-mail：hlw@wjngh.cn 。