《個人信息保護法(草案)》發布，該法以保護個人信息權益，規范個人信息處理活動，保障個人信息依法有序自由流動，促進個人信息合理使用為立法宗旨，規定了個人、企業、國家機關多主體對個人信息保護的權利與義務。

個人信息保護法(草案)內容公布

[[349407]]

那么該法會對企業有何影響?企業該怎么開展數據合規工作?本文將對以上問題進行闡述。

1. 個人信息保護法的適用于全行業

草案規定個人信息處理者對于個人信息使用的僅適用于境內，對于跨境處理個人信息者需要設立專門機構或者制定代表。明確了個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，對于個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開等活動。組織、個人在中華人民共和國境內處理自然人個人信息活動，對于跨境處理個人信息者，應在境內設立專門機構或者制定代表。必要的情況下域外適用效力，以充分保護我國境內個人的權益。

具體參照：第三條、第四條、第五十二條、第六十八條

2. 聚焦了個人信息的使用場景

草案規定了個人信息處理者在大數據分析、數據共享分發、數據跨境等具體場景下的相關規定。在利用個人信息進行自動化決策時，個人認為自動化決策對其權益造成重大影響的，有權要求個人信息處理者予以說明，并有權拒絕。利用自動化決策進行商業營銷、信息推送時，應當提供不針對個人特征的選項。

對于向境外提供個人信息的，至少需具備網信部門組織的安全評估、網信部門規定的經專業機構進行個人信息的保護認證、與境外接收方訂立合同虛達到本法律法規規定的個人信息保護標準及法律法規規定的其他標準其中之一方可進行。

草案規定在個人信息共享分發、境外傳輸活動前應進行風險評估，包括：目的、處理方式、影響及風險程度、保護措施、風險程度等，并將評估報告保留至少三年。

具體參照：第二十五條，第二十六條，第三十八條，第五十四條

3. 增強了個人信息的處理要求

草案明確了信息處理者在處理個人信息時需要取得個人同意，違者從嚴處罰。并對敏感個人信息進行了定義，具體包括：種族、民族、宗教信仰、個人生物特征、醫療健康、金融賬戶、個人行蹤等。強調只有特定的目的和充分的必要性，方可處理敏感個人信息，且要單獨取得個人同意或書面同意，并告知處理敏感個人信息的必要性和對個人的影響。對于違反個人信息使用的，根據相關法律、行政法規，從嚴處理。

具體參照：第二十九條——第三十二條

4. 明確了個人信息的個人權力及處理者義務

草案與民法典第1034-1039條相銜接，對個人信息處理中的個人權利和信息處理者的義務進行了具體規定。個人權利具體包括：知情權、決定權、查詢權、更正權、刪除權、解釋說明權等。對于個人信息處理者拒絕個人行使權利的請求，應說明理由。

對于個人信息處理者，有義務采取必要措施確保個人信息處理活動符合法律、法規的規定。包括管理制度建設、個人信息分類分級管理、加密去標識化措施及其他安全技術措施。并制定個人信息保護負責人對其監督。境外的個人信息處理者則需要在境內設立專門機構或者指定代表。

個人信息保護者需定期對個人信息進行審計、風險評估，發現有個人信息泄露的，應當立即采取補救措施，通知履行個人信息保護的部門和個人。

具體參照：第四十四條——第五十五條

5. 加大對違法行為的處罰力度

草案對違法行為加大了處罰力度，違反個人信息保護法最高可處五千萬元或年度營業額百分之五罰款。對于違反《個人信息保護法》處理個人信息或者沒有采取必要保護措施的，沒收違法所得。拒不改正的，處100萬以下罰款，直接負責的主管人員和其他直接負責責任人員，處一萬以上十萬以下罰款。情節嚴重的，由履行個人信息保護職責的部門責令改正，沒收違法所得，并處五千萬以下或者上一年度營業額百分之五以下罰款，并可以責令暫停業務、停業整頓、吊銷業務許可證或者吊銷營業執照。

具體參照：第六十二條

從GDPR看個人信息保護法

[[349408]]

GDPR被視為當前最為全面、嚴格的數據保護法案。通過比較我國《個人信息保護法(草案)》與GDPR的異同，可以更好地幫助企業應對數據全球流動的挑戰，并讓企業從其他國家的合規實踐中為在中國部署數據合規措施提供參考：

• 以中國境內自然人為保護對象，與GDPR的管轄范圍基本一致;
• 保護的對象為個人信息，與GDPR、CCPA等主要數據法規沒有實質性的區別;
• 規定了查閱權、復制權、更正權、刪除權、知情權、決定權、限制與拒絕處理權、解釋說明權等權利，更加接近國際主流數據保護法律的權利配置
• 設置了保護認證、簽訂合同等路徑，借鑒了GDPR對數據出境的規定
• 對數據保護職位責任人設置的前提要求有所不同

從對比上來看，一方面個人信息保護法借鑒了國際上先進的個人信息保護規則，以更好的與國際接軌，另一方面，也根據我國的實際環境下的數據安全保護需求進行了本土化的調整。

那么GDPR的實施情況如何呢：

GDPR實施后，已經有近 300 起罰款，最低的一起罰款 90 歐元，而最高的則罰款 2.04 億歐元。2019年 11 月 8 日，匈牙利一所醫院因違反 GDPR 被罰 90 歐元。同樣這一年，英國航空公司由于泄露 50 萬名乘客個人信息被重罰近 2.04 億歐元。有超過三分之一的罰款事件源于數據處理的法律依據不當，還有接近三分之一的罰款是因為未充分采取技術和管理措施確保信息安全，比如發生數據泄露事件。

從GDPR對于個人隱私保護相關事件的判罰可以幫助我們一窺未來我國個人保護法對于數據安全事件的判罰尺度。

國家對個人信息保護的監管趨勢

[[349409]]

正是由于近年來頻發的個人隱私泄露事件，個人信息保護已經成為整個社會的焦慮，從《網絡安全法》正式施行到最近的《個人信息保護法(草案)》，各監管部門也在不斷地加強對個人信息保護領域執法經驗的累積，對個人信息保護的監管呈現出以下特點：

一是法律法規不斷完善，近年來，我國在數據安全層面的法律法規愈發健全，隨著《民法典》《數據安全法》《個人信息保護法》的陸續出臺，《信息安全技術 個人信息安全規范》《個人信息出境安全評估辦法》《個人金融信息保護技術規范》及各行業數據安全分級指南的陸續發布，對各企業在正常業務開展過程中的數據安全要求更加嚴格。

二是監管多主體化，現在個人信息保護由網信部門統籌，協調公安部門、市場監管部門及其他行業主管部門進行監管。公安部門負責互聯網領域APP治理，市場監管部門負責消費者權益保護等，同時對線上和線下進行多維度監管。隨著《個人信息保護法》的正式實施，監管機關的執法權力會進一步加強，多部門聯合執法也會成為常態。

三是處罰力度逐步加大，隨著執法經驗不斷積累，對于有些企業多次違法的，處罰力度肯定會進一步加大。判罰標準也會逐漸按照《個人信息保護法》的處罰規定，因此，保證個人信息在收集、存儲、使用、加工、傳輸、提供、公開等活動中的安全，是免受巨額罰款和保證企業信譽安全的重要環節。

面對個人信息保護監管要求，企業該如何接招?

針對企業內部個人信息安全已存在或可能面臨的安全問題，為應對行業監管要求，提升個人信息整體安全防護效果，應從頂層建設著手，制定關于個人信息保護的管理措施。觀安信息通過多年數據安全治理經驗，建議企業對個人信息保護措施主要從以下幾方面進行：

(1) 加強企業內部個人信息合規建設

隨著《網絡安全法》、《網絡安全等級保護》《個人信息保護法》等安全法律法規的相繼實施，監管力度也會越來越強，數據安全合規已成為企業未來可持續發展的必然要求。法律法規是保障信息化建設的強制性舉措，作為企業經營者，安全合規是企業可持續發展的首要條件，對個人信息處理活動提前做好相關合規工作，打好基礎，防患于未然。

(2) 建立健全企業內部個人信息保護制度

草案第五十條對此進行了規定，總結來說就是企業應當根據個人信息的處理目的、方式、種類、影響以及可能存在的安全風險等，在相關法律法規的規定下，制定企業內部的管理制度和操作規程，對個人信息實行分級分類管理，采取相應的加密、去標識化等安全技術措施。對此，企業應建立和完善內部個人信息管理制度，加強企業內部安全意識培訓，對掌握公民個人信息的工作人員更要加強保密教育和培訓。

(3) 制定個人信息精細化管控措施

對個人信息進行精細化管控，就需要知道哪些個人信息需要進行保護，草案第二十九條對敏感個人信息進行了描述，具體包括：種族、民族、宗教信仰、個人生物特征、醫療健康、金融賬戶、個人行蹤等。接下來企業就會面臨幾個問題：

(4) 這些敏感個人信息具體分布在哪?我該如何對這些敏感個人信息進行管理?

首先，我們明確了哪些是敏感信息。其次，我們要找到敏感個人信息分布在哪?最后，對于敏感個人信息地保護不可以采用一刀切的方式，比如全部進行脫敏。這既浪費了資源，也不利于敏感個人信息地有效管控。因此，針對靜態儲存的數據可以借助觀智敏感數據發現系統找到企業內部各數據資產分布的敏感個人信息，根據行業相關規范要求及行業通用數據，根據數據的來源、內容和用途對數據進行分類。按照數據的價值、內容敏感程度、影響和分發范圍不同對數據進行敏感級別劃分。不同敏感級別的數據有著不同的管控原則和數據開放要求，實現企業對不同類型和級別的敏感個人信息精細化運營管控的要求。

(5) 加強個人信息數據易泄露場景管理

企業業務系統經過多年沉淀，積累了大量個人隱私數據和企業信息。海量數據除了在企業內部流轉，還需要進行外部“共享”。如何保證在產生、交換、共享等場景下的個人信息安全可用和數據使用價值?為滿足這一要求，數據共享時需要使用數據脫敏技術、水印溯源技術。特別是當數據應用于開發、測試、培訓等環境時，使用真實數據將臨嚴重數據泄露的風險。

(6) 定期對個人信息等敏感數據進行風險評估

企業在采用安全產品治理后，需要定期對企業內部資產進行風險檢查。可以借助觀安敏感數據發現工具通過對敏感數據分布情況，結合數據分類分級的管控原則，檢查敏感數據安全保護情況，是否存在數據安全風險，

例如：測試環境里是否有未脫敏、未加密的敏感數據，有哪些非合規數據及其位置。及時給到相應部門進行整改，以便后續對數據資產進行脫敏或加密等安全整改工作的執行。

寫在最后

信息技術的高速發展，讓個人信息都變得的越來越易獲取，《個人信息保護法》的頒布有利于震懾一些通過不當途徑獲取個人信息的不法之徒，避免企業對此類數據使用不當給個人造成的財產損失和精神損失。而保障個人隱私信息與企業經濟發展如何取得一定的平衡，則需要在法規的基礎上結合企業自律，共同完善個人信息保護體系。