本文作者

腾讯安全战略研究部高级研究员

管洪博

今日，《个人信息保护法》（草案）发布（以下简称《个保法》），该法以保护个人信息权益、规范个人信息处理活动、保障个人信息依法有序自由流动、促进个人信息合理使用为立法宗旨，规定了个人、企业、国家机关多主体对个人信息保护的权利/权力与义务。

那么该法的总体特征如何？对企业有何影响？企业将如何开展数据合规工作？本文将对上述问题进行阐述。

（一）以“告知-同意”为核心，强调个人信息处理的可控性与透明性

与个人信息处理相关的主体包括个人、企业、国家。该法明确规定上述主体的“告知-同意”权利/义务。

例如第44条规定个人享有对其个人信息的知情权、决定权等。在第二章的个人信息处理规则中，要求企业在收集、使用（自动化决策）、流通（向第三方提供）等生命周期中，都需要履行“告知-同意”义务。在第33条中规定国家机关处理个人信息需遵守本法的规定，即“告知-同意”规则。

《个保法》之所以采取“告知-同意”的保护模式，主要因为该法的根本目的是为保护个人信息权益，即个人的人格尊严。而实现该目的的重要途径即：个人对其信息处理的知情与可控。

此种模式符合国际惯例，与欧盟《通用数据保护条例》（GDPR），美国加州《消费者隐私权法案》（CCPA）相同。

（二）建立企业内部个人信息管理制度，要求指定相关负责人

《个保法》第五章规定了个人信息处理者的义务，主要包括设立事前风险评估制度；指定个人信息保护负责人；实施分级分类管理；应用加密、去标识化技术措施；建立事后补救措施与通知义务等。

由于个人信息滥用、泄漏后，将面临追责困难、损失难以计算、社会危害程度大等问题，因此规范企业数据的内部安全管理能够有效预防个人信息安全事件的发生。

《个保法》通过设立专门一章，以明确对企业内部数据安全管理的要求，突显其重要性。

（三）分别规定企业与政府权责，有助于划分彼此责任

该法分别规定企业与政府需对个人信息保护承担的义务，包括企业对个人信息全生命周期的管理以及内部安全管理；政府（国家机关）在履行职责过程中同样需依据该法保护个人信息，例如遵守（告知同意）规则等。

由于个人信息蕴含个人人格尊严、企业商业利益、社会公共利益以及国家安全利益，因此明确规定企业与政府的权责，一定程度上既能够实现双方的利益诉求，又能规范各自对个人信息的处理权限。

（四）注重分类监管，对个人信息跨境实施分类安全评估

该法对数据跨境实施按主体分类评估的办法，要求关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者，需要个人信息跨境时，应通过国家网信部门组织的安全评估；对于其他主体的个人信息跨境，规定了经专业机构认证的途径。

（五）明确追责机制，规定民事赔偿与行政处罚制度

《个保法》第65条、第66条规定了个人信息侵权的民事赔偿制度，包括：归责原则、损害计算以及支持起诉。同时，该法第62条规定行政机关对违法处理个人信息行为的行政处罚措施，明确了行政处罚的依据，有利于行政机关对违规处理个人信息的监管。

（一）有利于企业开展个人信息的合规工作

该法对企业需履行的个人信息保护义务进行了基础的规定。包括企业处理个人信息全生命周期的相关要求，以及企业内部管理个人信息安全的相关规定，使得企业开展个人信息的合规工作规则明确、有法可依。

虽然这在一定程度上会增加企业的管理成本，但是从长远发展来看，通过法律确定相关规则，有助于企业规范对个人信息的管理，有助于维护个人、社会、甚至国家的安全，有助于促进数字经济的有序发展，有助于企业长远利益的保护。

（二）有利于划分政企共享中个人信息的权责

该法的第二章第三节专门规定了国家机关处理个人信息的规定，明确要求国家机关为履行法定职责处理个人信息，应当向个人告知并同意，并强调国家机关为履行法定职责处理个人信息，应当依照法律、行政法规规定的权限、程序。

这意味着，当政府要求获取企业数据时，一是要符合法律、行政法规的规定，二是要向个人告知并获得同意（存在例外情况），构建了政企共享个人信息的基本规则。

（三）企业或将面临支持起诉

由于个人信息侵权存在难以确定侵权主体、举证责任不明确、损害后果难以计算等问题，使得个人很难起诉企业侵权。《个保法》对上述问题进行了规定，并通过人民检察院、相关部门支持起诉的方式，解决了个人提起民事诉讼缺乏实操性的问题。一旦发生个人信息安全事件，企业或将面临个人起诉的风险。

（四）企业或将面对严格的行政处罚

该法第62条规定，对违反本法规定处理个人信息的行为，可以并处五千万以下或者上一年度营业额百分之五以下的罚款，可以并处责令暂停相关业务，停业整顿，吊销相关业务许可证或营业执照；对直接主管人员处十万元以上一百万元以下的罚款。并且新增了记入信用档案，并予以公示的惩罚措施。

（一）对内建立个人信息安全管理制度

企业在落实《个保法》的相关规定时，需要注重两方面的合规。

一是落实并强化个人信息在收集、使用、向第三方提供、跨境时的告知同意义务。例如采取显著方式、清晰易懂的语言向个人告知；告知的事项包括个人信息处理者的身份、处理目的、处理方式、接收个人信息第三方的身份等；当变更处理目的、处理方式时需重新告知。目的是达到个人对其个人信息处理情况的知情与可控。

二是要建立个人信息内部安全管理制度。包括事前的安全风险评估、指定负责人、事中审计、接触人员台帐管理、分级分类存储、事后救济与通知制度等。

（二）对外预防个人信息流通的风险

对于企业间的个人信息共享情况。

一是需要保证个人信息提供方其信息来源的合法性，即经过告知并获得同意。值得注意的是此告知同意需要包括接收方的身份、联系方式、处理目的、处理方式和个人信息的种类，并获得个人的单独同意。

二是若接收方变更原先的处理目的、处理方式，应重新向个人告知并获得同意。

三是在共享合同中明确约定彼此对个人信息的安全责任。例如个人信息的接口授权、传输加密等，以便发生个人信息泄漏事件后进行追责。