本文承接上期文章 《个人信息保护法》之企业合规治理建议（上）

二、《个人信息保护法》第五十一条以外的其他合规义务除了第五十一条规定，《个人信息保护法》还在其他条文中规定了企业的合规义务，主要包括：

（一）收集、处理个人信息的充分告知义务  《个人信息保护法》第十七条、第十八条以及第三十条等规定，强调收集和处理个人信息的“知情同意”原则。企业在需要收集个人信息前，应制定明确的个人信息保护政策（或称“隐私政策”），向用户提供企业基本信息、个人信息收集目的、应用范围和场景等，履行诚实、充分的告知义务。此外，对于隐私政策，必须公开并重点提示给目标受众，当用户在第一次注册或运行产品时，须阅读并确认同意相关隐私政策。在隐私政策中征得用户同意，是充分保障用户的知情权的体现。

（二）信息主体权益保障义务  《个人信息保护法》中规定了用户享有知情权、决定权、拒绝权、查阅权、复制权、修改权、补充权、删除权等权利。这意味着个人信息处理者有义务维护用户的上述权利。企业需要根据用户的个性化需求，基于数据灵活、准确地响应用户的查询、修改、删除、转移等需求，为用户提供权益保障的渠道和服务。

（三）数据与算法的合规义务 1、防止基于数据质量的歧视

公司收集和保存的个人信息是基于数据的。如果数据不准确，相应的算法数据分析的结论也可能不准确，从而会产生对相关数据主体的负面评价，并最终影响用户的合法权益。鉴于此，《个人信息保护法》第八条规定，处理个人信息应当保证个人信息的质量，避免因个人信息不准确、不完整对个人权益造成不利影响。《个人信息保护法》将保证个人信息质量作为企业的法定义务，从企业的角度来看，是为了保证企业数据获取的准确性，从而避免因数据质量产生歧视。因此，企业在处理个人信息时应当保证个人信息的质量，提高个人信息的准确性和完整性。

2、防止不公平的歧视待遇

《个人信息保护法》第二十四条中规定的自动化决策，其实就是算法推荐。所谓的算法推荐，是指通过一些数学算法进行信息过滤,推测出用户可能喜欢的东西,从而推荐对应的产品给用户。目前应用推荐算法比较好的地方主要是在互网络领域，比如搜索引擎、社交软件和电子商务等互联网平台，会经常使用代码和算法取代传统内容交付过程中的编辑角色，从而完成对用户喜欢的产品的信息过滤。这种算法推荐的应用在提升服务效率的同时，也会出现一系列用户侵权行为，“大数据杀熟”便是很典型的一种。因此，《个人信息保护法》第二十四条规定，个人信息处理者利用个人信息进行自动化决策，应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇。鉴于此，个人信息处理者需要审查自身的算法推荐，是否具有充分的透明度以及结果公平公正，是否会导致出现不合理的差别待遇。

（四）事前风险评估义务根据《个人信息保护法》第五十五条规定，有下列情形之一的，个人信息处理者应当事前进行个人信息保护影响评估，并对处理情况进行记录：（1）处理敏感个人信息；（2）利用个人信息进行自动化决策；（3）委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息；（4）向境外提供个人信息；（5）其他对个人权益有重大影响的个人信息处理活动。

因此，事前风险评估应成为信息处理者的常态化工作，信息处理者还应保证事前风险评估工作制度化、规范化。除此之外，信息处理者在保证评估质量的同时，还应尽可能高效、快速地推进评估工作，这样做的目的一方面是因为信息具有时效性等特征，另一方面也有助于提升工作效率，做到质量和效率的统一。

（五）合规审计义务《个人信息保护法》第五十四条规定，个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。第六十四条也有规定，发现个人信息处理活动存在较大风险或者发生个人信息安全事件的，监管部门有权要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。个人信息处理者应当按照要求采取措施，进行整改，消除隐患。

笔者认为，虽然《个人信息保护法》对合规审计对象、审计内容、审计标准等细则均未有明确规定，但大致细节主要应包含：（1）定期审核个人信息的管理工作；（2）检查内部管理制度和个人信息备忘录的完整性和合规性；（3）检查风险评估报告和记录；（4）审核查看、复制、修改、传输、删除个人信息义务的履行情况；（5）查阅与个人信息有关的合同及其他法律文件；（6）根据个人信息和数据相关法律法规的更新及时调整内部系统等。

（六）委托外部进行个人信息处理的合规义务随着数字经济的快速发展，外包数据处理变得越来越普遍。比如有些公司因自身条件不具备，便会将全部或部分信息储存至外部的云服务器等。企业通过信息委托服务将信息委托给受托方保存或处理，并不意味着企业的风险与责任的转移。在《个人信息保护法》实施后，企业在委托第三方处理时，需要事先进行信息处理保护影响评估工作，并记录处理状态。此外，委托双方还必须签订书面委托协议，载明委托期限、受托人权限等基本信息。

（七）跨境数据传输的合规义务《个人信息保护法》未禁止个人信息跨境传输，而是规定了实现数据跨境传输所需的条件和制度框架。但该规定并不完善，在实际操作层面还需要进一步补充，比如跨境数据传输标准合同样式、国家网信部门评估程序和标准、跨境传输认证标准等。鉴于此，在数据跨境流动过程中，企业必须严格按照法律规定，谨慎处理跨境数据传输问题。

（八）确保数据来源合法合规义务首先，针对直接从用户收集使用的数据，如无法基于《个人信息保护法》第十三条（一）之外的条款建立个人信息处理的合法性基础，则企业需要通过隐私政策披露等方式就个人信息的收集及后续使用获取用户同意，以构建收集相关信息用于自动化决策的合法性基础；其次，针对间接从第三方获取数据，建议企业在开展合作前，对于第三方数据供应商进行全面评估，就供应商资质、数据安全能力、是否存在任何不良记录进行尽调，要求对方提供数据来源合法合规的相关证明，并签署关于数据来源合法合规的相关承诺，从而尽可能规避因数据来源瑕疵而引发的合规风险。

（九）开展个人信息保护影响评估义务企业应积极开展评估工作，评估领域主要包括：处理敏感个人信息、利用个人信息进行自动化决策、委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息、向境外提供个人信息等。评估内容主要包括：（1）个人信息的处理目的、处理方式等是否合法、正当、必要；（2）对个人权益的影响及安全风险；（3）所采取的安全保护措施是否合法、有效并与风险程度相适应等。

三、违反《个人信息保护法》可能需承担的责任《个人信息保护法》颁布前，个人信息处理者面临的责任主要为《民法典》中个人信息权益受到损害的民事责任。如果个人信息处理者还同时构成网络运营者、开展数据处理活动的组织，则《网络安全法》以及《数据安全法》中的行政处罚同样适用。此外，违反国家有关规定向他人出售或者提供个人信息，情节严重的，还可能引发刑事责任。此次《个人信息保护法》的实施，对法律责任再次进行了完善和补充，尤其是在第七章中，确立了相关民事责任承担的举证责任倒置规则，并且设定了适用于所有的个人信息处理者的分档。综上，关于违反《个人信息保护法》可能需承担的责任，具体而言：

（一）民事责任的承担个人信息处理者须证明自己对于个人信息权益的损害没有过错，否则应当按照《民法典》的相关规定承担包括停止侵害、排除妨碍、赔偿损失、赔礼道歉等在内的法律责任。

（二）行政责任的承担《个人信息保护法》中规定的行政责任主要包括责令改正、给予警告、没收违法所得以及在拒不改正的情况下被处以一百万元以下的罚款。对于直接负责的主管人员和其他责任人员将被处一万元以上十万元以下罚款。对于违反《个人信息保护法》，情节严重的，除被责令改正、没收违法所得外，还有可能被处以五千万元以下或者上一年度营业额百分之五以下的罚款；企业直接负责的主管人员和其他直接责任人员同时有可能被处十万元以上一百万元以下罚款。此外，前述人员还可能在一定期限内被禁止担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。虽然《个人信息保护法》对行政处罚作出了规定，但目前对于相关处罚的认定标准还尚未明确，还需要有关部门对前述处罚的具体认定标准等进行补充规定。

（三）刑事责任的承担《个人信息保护法》第七十一条规定，违反本法规定，构成违反治安管理行为的，依法给予治安管理处罚；构成犯罪的，依法追究刑事责任。《刑法》第二百五十三条之一规定，违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。窃取或者以其他方法非法获取公民个人信息的，依照第一款的规定处罚。单位犯前三款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。

综合上述意见和建议，在强调保护个人数据和隐私的环境下，企业在数据安全和隐私保护方面的有效努力，依法合规经营能有效降低企业风险，减少损失。

否则，可能会引发行政调查、民事诉讼、刑事责任等。企业应建立个人信息保护规章制度、运行实施并不断改进和完善，使单位的个人信息保护能力和单位信息安全级别得到提高，使客户、消费者和员工的个人信息得到有效保护，使公司合规治理结构不断完善。