2021年11月1日，《中华人民共和国个人信息保护法》正式实施，标志着我国个人信息保护迈入了新阶段，进入监管新时代。如何落实《个人信息保护法》，减少或降低合规风险，是所有涉及个人信息处理活动的企业或机构广泛关注和迫切解决的难题。相关企业应尽快自查、调整、修正或完善现有业务中对个人信息的收集和处理规则，以满足合规要求。本文简要分析《个人信息保护法》下的合规义务，并提示相应的企业合规治理建议，抛砖引玉，欢迎指正。    一、《个人信息保护法》第五十一条规定中的企业合规义务《个人信息保护法》第五十一条规定中，集中阐述了个人信息处理者的主要合规义务，概括起来包括制度建设、信息分类、技术措施、人员管理和应急预案等五个基本方面和兜底的其他措施。因此，涉及个人信息处理活动的企业应当根据个人信息的处理目的、处理方式、个人信息的种类不同，以及对个人权益的影响、可能存在的安全风险等，依法建立相应的合规管理体系。

（一）建立健全内部管理制度和操作流程 《个人信息保护法》要求个人信息处理者（企业）内部应建立完善的个人信息保护制度以及操作规程。为此，笔者从多年企业合规经验总结提炼如下要点，以期为企业合规治理提供有价值的参考建议。

1、健全内部管理制度

对于企业而言，了解信息处理活动的目的、范围和方法是信息处理管理的基础。基于此，企业需要分类制定适合企业的个人信息保护相关制度，包括但不限于建立健全：个人信息收集、传输和处理系统；个人用户信息处理通知系统；个人信息安全保护制度；信息分类管理制度；个人信息风险评估制度；应急预案系统；个人信息出境管理系统；合规审计制度等。企业个人信息保护内部管理制度和体系的合法合规，不仅可以满足监管要求，还可以根据公司自身实际情况适时进行操作或调整。

2、建立个人信息保护操作流程

操作流程是管理系统正常运作的重要保障，与管理系统相辅相成。企业需要重视个人信息处理全流程管理的重要性，实行覆盖个人信息收集、传输、存储、处理、删除等全流程的互联互通，并在流程中制定严格的权限管理制度，以降低疏于权限管理可能带来的风险。

3、设置个人信息保护专职人员

《个人信息保护法》第五十二条规定，如果企业处理个人信息达到国家网信部门规定数量，则应指定个人信息保护负责人，应当公开个人信息保护负责人的联系方式，并将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门。此外，企业必要时还可以考虑设立相关独立部门，以专门负责内部合规管理。这样可以实现个人信息保护资源的整合，也有助于提升个人信息保护的效率水平，完善公司治理结构。

（二）个人信息分级分类管理 1、建立健全个人信息保护清单

首先，企业需要全面搜集和整理涉及个人信息保护的相关信息，建立个人信息保护清单，实现对个人信息数据的可视化。比如公司目前拥有哪些个人信息、个人信息的数据保存在哪里、这些信息数据如何流动、具体关联哪些部门等，建立个人信息保护清单是建立个人信息合规框架的基础。其次，企业须筛选、保存需要的信息，变更、删除不需要的信息。但在信息处理过程中，须符合《个人信息保护法》规定的“目的明确、合理”和“对个人权利的影响最小”两个原则。因此，公司需要明确所需个人信息的类型，在信息清单列表中显示所需信息的内容和目的，并且尽量实现对个人权利的影响达到最小。最后，企业将需要处理的信息进行分类、分级，分类强调的是根据种类的不同按照属性、特征而进行的划分，而分级侧重于按照划定的某种标准，对同一类别的属性按照高低、大小进行级别的划分。信息数据的分类、分级可以满足合规要求，还可以更有效地使用和保护数据,并使数据更易于定位和检索。

2、严格区分普通信息和敏感信息

企业在处理以下两类信息需要特别注意：一是敏感个人信息。根据《个人信息保护法》第二十八条的规定，敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。此类信息主要与个人人身和财产安全有关，因此受法律特别保护，相关处理程序和保护措施比普通个人信息要更严格；二是未成年人（未满十四周岁）的个人信息。根据法律法规的相关规定，处理此类信息需要依法征得监护人的同意。对于违法处理未成年人信息的，在责任承担时可能会被从重从严处理，以确保未成年人信息依法得到特别保护。

3、企业内部员工个人信息保护

个人信息不仅包括企业外部个人信息，还包括内部员工个人信息。尽管《个人信息保护法》第十三条规定，按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需，企业可以处理个人信息。但内部员工个人信息也属于《个人信息保护法》的保护范畴，因此对内部员工个人信息权利的保护也不容忽视，应当尽可能参考企业外部个人信息的处理方式，依法予以保护。

（三）个人信息安全保护措施 在网络时代中，数据是构成网络的根本。而数据安全则是个人信息保护的基础，保障数据安全是个人信息处理者的一项重要而基本的任务。《网络安全法》要求网络运营者保障网络安全，维护网络数据的完整性、保密性和可用性。《数据安全法》也强调数据处理者的法律义务，以确保数据安全。此次实施的《个人信息保护法》，同样要求企业采取安全技术措施保护个人信息。

企业应当采取个人信息安全保护措施，加强对个人信息的保护。个人信息安全保护措施要具有系统性、预防性、全面性。常见的技术手段包括建立防火墙、匿名化、加密化。建立防火墙有利于隔绝外部因素对墙内数据的影响；匿名化是指对标识符进行处理，使特定个人信息主体处理的信息无法被识别的数据处理方法；加密化是利用技术手段把重要的数据变为乱码（加密）传送，到达目的地后再用相同或不同的手段还原（解密）。

（四）个人信息处理权限及安全教育与培训 《个人信息保护法》将合理确定个人信息处理的操作权限，并定期对从业人员进行安全教育和培训直接列为公司法律义务。针对这一规定，其要点是：（1）建立内部分工和权限体系。个人信息的收集、存储、使用、风险监控等任务明确分离，按照分工、分类为每个员工设置相应的权限或级别；（2）从业人员应参加安全教育和培训。通过个人信息和数据安全教育培训，牢固树立员工数据安全意识，防止数据泄露。

（五）个人信息安全事件应急制度 合规工作可以在一定程度上防患于未然，但不能完全避免风险。由于技术进步和企业产品更新迭代，个人信息保护存在安全漏洞在所难免。这就要求企业须制定个人信息安全事件应急预案，并在发生突发事件时以该预案为核心，对应急工作及时、准确地提供指导。比如在《网络安全法》中，要求网络运营者制定网络安全事件应急预案，及时应对系统漏洞、计算机病毒、网络攻击、网络入侵等安全风险。当发生危害网络安全事件时，应及时启动应急预案，采取相应整改措施，并按规定向有关主管部门报告。而此次实施的《个人信息保护法》，再次强调企业应当制定个人信息安全事件应急预案，定期开展培训，并将其作为企业的法律义务，这表明建立健全个人信息应急制度对于减少风险是十分必要的，企业应当重视这方面的建设。

......

【未完待续，敬请期待！】