企业行为信息分类(企业行为文化)

近年来，随着大数据、云计算、人工智能、5G 通信等新兴技术兴起，数据经济高速发展。个人信息作为企业数据的核心内容，保护个人信息安全是企业数据合规的重中之重。2021 年 11 月 1 日，《中华人民共和国个人信息保护法》正式施行（下称《个人信息保护法》），作为个人信息保护领域的基础性分类法律，统一了个人信息保护和利用规则，体现了国家对个人信息保护力度不断加强。该部法律的出台，对企业个人信息数据安全合规提出了新的考验。

企业数据合规中的“个人信息”

企业处理个人信息的基本原则

知情同意原则。在大数据时代下，个人信息在商业分析、决策支持等方面具有重要价值。《个人信息保护法》明确了企业主体在处理个人信息时应当严格遵守知情-同意原则，企业必须基于个人同意才能处理个人信息，并且该同意应当由个人在充分知情的前提下自愿、明确作出，知情-同意原则是企业处理个人行为应遵守的核心原则。但知情-同意不是处理个人信息的唯一合法性基础，为有效实现个人信息权益保护和个人信息合理利用之间的动态平衡，《个人信息保护法》扩充了处理个人信息的合法性基础，即特殊的同意规则：为促进企业合理收集和利用个人信息，签订和履行合同所必需时、基于公共卫生或公共安全需要、基于法定义务处理个人信息均属于正当合法的处理行为，无需信息主体同意即可以收集使用个人信息，但必须严格限制适用上述范围。例如，疫情期间政府为了公共安全需要授权企业处理个人信息，往往不需要获得用户的同意，此种行为即属于特殊的同意规则。

最小必要原则。《个人信息保护法》第六条规定：“处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。收集个人信息，应当限于实现行为处理目的的最小范围，不得过度收集个人企业信息”。这个原则又可以称为为“最小必要原则”。企业在适用这个规则时应当遵守相关领域或行业的部门规章、国家标准等文件，从必要个人信息范围、最小影响、直接关联、最小类型、最小频度、最小数量、最小权限等维度，从个人信息的收集、储存、使用、删除等生命周期，对“最小必要原则”进行全面适用。

企业在处理个人信息时，除了应当遵守上述规定的原则，还应当遵守《个人信息保护法》规定的其它原则，合法、正当、必要和诚信原则以及文化公开、透明原则。企业在处理个人信息时，不得误导、欺诈、胁迫信息主体，向信息主体公开个人信息处理规则、明示处理目的和处理方式以及范围。例如，企业设置办公室的门禁系统，采用人脸识别的方式作为开门的方式，如未提供其他方式，强制要求员工提供人脸作为进出办公室的条件，则有违收集信息的必要性原则。

企业处理敏感个人信息需遵守更严格的规则

敏感个人信息比一般个人信息对信息主体的人身、财产安全带来的危害更严重，而且敏感个人信息在不同的场景下会表现出不同的风险水平。因此，企业在处理敏感个人信息时，除了应当遵守知情-同意原则和最小必要原则，还应当注意以下四个方面的限制：首先，处理敏感信息必须基于特定目的和充分的必要性，且信息处理者已采取严格的保护措施。其次，除基于个人的单独同意或书面同意外，不存在其它合法事由。再次，征得同意的告知事项中，需增加告知处理敏感个人信息的必要性以及对个人权益的影响。最后，处理不满 14 周岁的未成年人个人信息，企业应当取得未成年人的父母或者其他监护人的同意。

企业如何建立个人信息数据合规管理体系

在企业内部设置专门负责人。《个人信息保护法》虽然并没有要求所有企业均应当设立“个人信息保护责任人”，而是要求如果处理个人信息达到一定“数量”的企业应当设置个人信息保护责任人。但无论是大型互联网平台企业还是中小型传统企业，只要涉及到个人信息处理工作，均建议设立专门的责任人进行个人信息保护和利用的统筹和管理工作。设置专门责任人，对企业本身的个人信息数据合规具有重要意义，也能作为诉讼或者执法过程中证明“已尽到充分合理注意义务”的证据。

建立完善的个人信息合规管理制度。企业内部建立一套完善的个人信息合规管理制度，既有助于降低企业数文化据泄露和不当处理个人信息的风险，也可以在未来个人信息侵权事件中或执法检查时作为一种有效的抗辩，证明企业已采取必要的措施来保护个人信息。在涉及个人信息保护的诉讼案件中，完善的个人信息管理制度以及对制度的执行记录可以作为企信息业证明“无过错”的初步证据。

建立个人信息数据分级管理与保护制度。不同类型的数据，风险等级不同。企业自行获得的个人信息分为一般个人信息和敏感个人信息，对于一般的个人信息，企业应当采取“明示同意授权”的方式进行采集，主动明确告知收集数据的范围、目的及用途。对于处理敏感个人信息还需要严格遵守“必要性与目的性”原则和基于场景的“知情-同意”原则，与产品或服务无关的用户个人信息不得采集，当处理个人信息的事项发生变更时，企业应当重新取得用户同意并且明确告知风险以及信息处理的目的。

定期开展企业内部合规审计。内部审计可以帮助企业及时发现在执行《个人信息保护法》时存在的问题与疏漏，发现违反《个人信息保护法》的场景，在动态流程中控制风险。企业在进行合规审计时应当重点关注这些高风险个人信息企业在进行内部合规审计时，可以对一些高风险的业务进行重整。例如，对于涉及提供境外服务的企业来说，可以将信息中心转移到中国境内储存个人信息，以降低个人信息跨境传输的合规风险。

企业违反个人信息保护规则的法律责任

行政责任。企业在个人信息数据合规方面违反《个人信息保护法》，将面临更多元且更严格的行政责任。《个人信息保护法》在一般违法行为之外设置了“情节严重”的违法行为，对于单位的法律后果不仅仅将罚金提高至“五千万元以下或者上一年度营业额百分之五以下”，还可能面临被责令暂停相关业务、停业整顿、吊销许可证或营业执照的风险；分类对于直接负责的主管人员和其他直接责任人员的法律后果则不仅仅是处十万元以上一百万元以下罚款，还可能面临在一定期限内禁止担任相关企业的董事、监事高级管理人员和个人信息保护责任人。更为严重的是，无论企业还是主管人员或直企业接责任人涉及此类违法行为，还会被记入信用档案并且进行公示。

民事责任。《个人信息保护法》还规定了民事诉讼和公益诉讼制度，对于个人信息受到侵害的个人可以提起民事诉讼，按照《民法典》规定主张损害赔偿的侵权责任，根据个人因此受到的损失或者个人信息处理者因此获得的利益确定损害赔偿数额。

刑事责任。违反《个人信息保护法》的规定，构成犯罪的，将面临刑事责任处罚。《刑法》第 253 条规定违反国家有关规定，向他人出售或者提供公民个人信息的行为涉嫌侵犯公民个人信息犯罪。构成该罪，情节严重的，处三年以上七年以下有期徒刑，并处罚金。公司、企业、机关等单位构成该罪，对单位判处罚金，直接负责的主管人员和其他直接责任人员按照侵犯公民个人信息罪处罚。

《个人信息保护法》是个人信息保护领域的里程碑式立法，体现了国家对个人信息保护力度之大。企业在个人信息数据方面的不合规行为，不仅会导致行政处罚、侵权诉讼、刑事处罚等法律后果，随之而来的媒体曝光，将会使企业面临更严重的社会舆论风波，影响企业的市场竞争力和未来发展。建立个人信息数据合规体系，是当下企信息业需履行的一项重要法律义务，企业应当把准时代脉搏，提高个人信息数据合规行为的水平，实现企业个人信息数据安全。

（作者单位：张志伟，周珍 北京市百瑞律师事务所）