史上“最严”个保法出台后，企业如何合法合规长效经营？

随着互联网产业迅速发展，越来越多的人成为网民，随时随地登录各种APP已经是我们生活的常态。据不完全统计，目前我们国家有9亿多网民，有超过500万APP，我们打开APP后免费推送的广告，从3秒、5秒、甚至10秒，也许还会越来越长。越来越长的广告推送背后隐藏的商业逻辑，体现出个人信息已经成为网络运营者的主要生产要素，比如淘宝推送都是根据用户以往的购买记录运用算法进行的定向推送。

互联网应用程序(App)得到广泛应用，在促进经济社会发展、服务民生等方面发挥了不可替代的作用，不让网络运营者处理这些信息也会对互联网发展产生束缚和影响。然而，App强制授权、过度索权、超范围收集个人信息的现象大量存在，违法违规使用个人信息的问题十分突出，为保障个人信息安全，在现有《网络安全法》《消费者权益保护法》《数据安全法》基础上，《个人信息保护法》应运而生。

此法一出，相关行业及法律界一致称：该法为史上最“严”个保法。那么，个保法严在哪儿？哪些主体将受到该法的约束和限制？本文对此展开讨论。

- 1 -

相对于欧洲《通用数据保护条例》GDPR更严

相关行业及法律界一致所称的“严”是相对于之前欧洲《通用数据保护条例》GDPR得出的结论。

1. 欧洲《通用数据保护条例》GDPR规定了长臂管辖

欧洲《通用数据保护条例》GDPR第三条规定以下三种情形，欧洲相关部门就可进行监管处罚：① 数据控制者、处理者在欧洲有营业场所的，不论数据处理行为发生在欧盟还是境外。② 数据控制者、处理者未在欧洲有营业场所，但向欧盟的数据主体提供商品或服务，或被追踪的网络行为发生在欧盟的。③ 虽然数据控制者、处理者在欧洲有营业场所的未在欧洲有营业场所，但基于国际公法成员国的法律对其有管辖权的数据控制。

据此，《通用数据保护条例》GDPR规定的长臂管辖条款，可以对欧盟以外的公司进行处罚，即只要符合上述情形之一，相关数据监管机构就可进行 监管处罚，法规数据监管部门曾经对谷歌未遵循平台仅提供信息存储服务的约定进行5000万欧元的罚款。就是依据上述规定进行的处罚。

在我国《个人信息保护法》之前其他国外法律没有这样严苛的规定。我国《个人信息保护法》第三条规定：在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动，有下列情形之一的，也适用本法：（一）以向境内自然人提供产品或者服务为目的；（二）分析、评估境内自然人的行为；（三）法律、行政法规规定的其他情形。

除此之外，《个人信息保护法》还在其他方面对《通用数据保护条例》GDPR规定的相关严格规定的内容也进行了覆盖，本文笔者不在一一进行比对，下文中的有些条款就是比对而得出的结论。

- 2 -

7方面了解个保法之“严”

1. 从《个人信息保护法》的立法背景看

2021年3.15晚会中徐玉玉案：2016年8月21日，因被诈骗电话骗走了借来上大学的费用9900元，伤心欲绝，郁结于心，在和父亲报完案回家的路上心脏骤停不幸离世。

案件揭示的真相是：被告人通过腾讯QQ、支付宝等工具从他处购买非法获取的某省高考学生信息10万余条，经过层层倒卖并使用上述信息实施电信诈骗活动，其中就包括徐玉玉的个人信息，通过海量拨打电话，找到了徐玉玉，之后冒充教育局、财政局工作人员，以发放贫困生助学金为名，骗取了徐玉玉学费共计9900元。除徐玉玉外，这些被告人还骗取了山东、福建等地多名高考生的钱款，该案件入选"2017年推动法治进程十大案件"。

上述这个案件，仅是冰山一角，但从个人信息泄露导致的一系列案件查明的事实来看，个人信息被泄露后下游的违法犯罪我们难以想象，造成的后果不仅是个人财产的损失，还有对交易规则的破坏，信息下游产业链灰黑色地带的无序规范。

南都·隐私护卫队以“侵犯公民个人信息”、“买卖公民个人信息”等关键词检索后，观察了2016年-----今的8602份判决书中均涉及到个人信息泄露买卖的问题。

我们几乎没有人不曾接到过各种骚扰电话、短信，恶意广告，其中包括装修、推股、高额回报等等。显而易见，这些现象的背后引发的思考是应不应该对个人信息的收集、提供、传输等等各个处理环节进行严格的规范规定，来防范长期大量权利被侵犯的问题，当然有必要。

阐述《个人信息保护法》的立法背景，是想让读者充分了解《个人信息保护法》之所以严的必然原因，该部分并没有具体严的体现。

2. 从《个人信息保护法》规定的信息的绝对权来看

《个人信息保护法》第二条规定自然人的个人信息受法律保护，任何组织、个人不得侵害自然人的个人信息权益。从法条内容本身来看，自然人对信息权享有绝对的排他权。

自然人的个人信息权利包括：查询复制权、补充更正权、可携带权、请求删除权、同意权、撤回权。与此同时《个人信息保护法》规定了个人信息处理者的诸多义务：制定内部管理制度、分类分级管理、加密及去标识化安全技术措施、个人信息保护官、安全培训、应急措施、合规审计、个人信息保护影响评估、遵循合法、正当、必要原则、采取补救措施，合规制度体系建设、平台治理、接受监督。

从《个人信息保护法》规定权利义务内容来看全部立足于对个人信息权利保护，未从企业利益出发考虑保护企业的利益，因此从权利义务对等的原则来看，该法就有义务未规定权利的做法是非常严苛的，有矫枉过正之嫌。比如《个人信息保护法》在信息处理者在处理个人信息履行同意的义务中用不少于10个条款的内容规定了各种同意，包括：

笔者在这里罗列大量法律条款是想让读者了解到：个保法从大量条款规定个人信息权益这样一个表象，也应该知道个保法从不同角度、不同维度保护个人信息权利的细密即个保法严的另一个体现方式。

比如在同意告知的环节：从语言文字要求，到真实、完整、准确的要求、再到清单列举信息种类要求、又到处理目的方式、保存期限、主张权利渠道的告知等等内容均能看出《个人信息保护法》保护个人信息权利的细致严密。

3. 从必要原则看《个人信息保护法》及相关规定的严苛

必要原则：《个人信息保护法》规定收集个人信息应当限于实现处理目的的最小范围，不得过度收集个人信息。

除上述规定外笔者想用现实中的真实事例来说明什么是《个人信息保护法》规定的必要原则，如：在企业的考勤制度中，以人脸识别的方式进行出勤打卡中，企业收集员工的人脸信息是否是必要，即以人脸识别的方式打卡与该员工现有业务有关吗，员工有权以非必要收集可以拒绝不执行这样方式的打卡吗？

四部委《App违法违规收集使用个人信息行为认定方法》规定以下行为可被认定为“违反必要原则，收集与其提供的服务无关的个人信息”。

① 收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关；

② 因用户不同意收集非必要个人信息或打开非必要权限，拒绝提供业务功能（变相强迫同意）；

③ App新增业务功能申请收集的个人信息超出用户原有同意范围，若用户不同意，则拒绝提供原有业务功能，新增业务功能取代原有业务功能的除外；

④ 收集个人信息的频度等超出业务功能实际需要；

⑤ 仅以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由，强制要求用户同意收集个人信息；

⑥ 要求用户一次性同意打开多个可收集个人信息的权限，用户不同意则无法使用。

从企业合规角度来看上述规定是非常严格的。

信息处理者以已征得自然人或者其监护人同意为由抗辩的以下四种信息处理未违反必要原则的人民法院不予支持：

（一）信息处理者要求自然人同意处理其人脸信息才提供产品或者服务的，但是处理人脸信息属于提供产品或者服务所必需的除外；

（二）信息处理者以与其他授权捆绑等方式要求自然人同意处理其人脸信息的；

（三）强迫或者变相强迫自然人同意处理其人脸信息的其他情形。

《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》第十条：

物业服务企业或者其他建筑物管理人以人脸识别作为业主或者物业使用人出入物业服务区域的唯一验证方式，不同意的业主或者物业使用人请求其提供其他合理验证方式的，人民法院依法予以支持。
物业服务企业或者其他建筑物管理人存在本规定第二条规定的情形，当事人请求物业服务企业或者其他建筑物管理人承担侵权责任的，人民法院依法予以支持。

小区物业以采集人脸识别作为业主或者物业使用人出入物业服务区域的唯一验证方式们已经习以为常了，在《个人信息保护法》施行后，如果继续采取这种方式作为验证方式而采集人脸信息的就是违反必要原则的，这一规定对于采集人脸信息的企业乃至人脸识别设备的生产销售企业来说都是相当严苛的规定。

在《个人信息保护法》施行后业主是有权以物业公司违反必要原则，不同意的业主或者物业使用人请求其提供其他合理验证方式的且诉求侵权的，人民法院依法予以支持。从上述规定我们同样看出，《个人信息保护法》规定将会影响到很多的行业要调整经营模式，甚至在很大程度上也影响到人脸识别设备的生产销售行业。

《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》第十一条：

信息处理者采用格式条款与自然人订立合同，要求自然人授予其无期限限制、不可撤销、可任意转授权等处理人脸信息的权利，该自然人依据民法典第四百九十七条请求确认格式条款无效的，人民法院依法予以支持。

堪称人脸识别第一案：杭州野以拍照方式收集的人脸信息被判删除并赔偿损失。

以上规定均说明个保法及配套法对个人信息特别是人脸信息的严格保护。

4. 过错推定责任

《个人信息保护法》第六十九条第一款规定：处理个人信息侵害个人信息权益造成损害，个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任。

由此可见，个人信息侵权案件采用过错推定原则，这样的举证规则要求个人信息处理者制定严密、完善的合规体系，不但需要在业务过程中做到全过程“留痕”，还必须做到事前审核，事中跟踪，事后复盘，不断推敲业务细节，反复论证。

由于个人信息案件相比较传统案件更加复杂，信息作为无形物，难以像传统动产或不动产类的有形物那样进行固化或像有权属证书的知识产权那样进行产生、转移等法律状态的锁定，侵权表现形式以及因果关系往往也呈现出发散性和多点性，难以通过直接、明确、有针对性的证据证明。

因此，以过错推定的形式将举证责任倒置于在信息处理过程中处于强势地位的一方，更有利于维护个人信息保护秩序的稳定，也对个人信息处理者提出了更高的注意义务，如若个人信息处理者不能举证证明在处理个人信息过程中没有过失或故意的过错，则需要承担相应的法律责任。

5. 双罚制罚款数额

《个人信息保护法》第六十六条规定：

本法规定处理个人信息，或者处理个人信息未履行本法规定的个人信息保护义务的，由履行个人信息保护职责的部门责令改正，给予警告，没收违法所得，对违法处理个人信息的应用程序，责令暂停或者终止提供服务；拒不改正的，并处一百万元以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

有前款规定的违法行为，情节严重的，由省级以上履行个人信息保护职责的部门责令改正，没收违法所得，并处五千万元以下或者上一年度营业额百分之五以下罚款，并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款，并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。

由此可见，《个人信息保护法》对于违法行为，规定了较为严重的法律后果。

首先，就惩治的违法行为而言，既有“违反规定”的“积极行为”范畴，又有“未履行保护义务”的“消极行为”范畴，如此一来，就对个人信息处理者的行为尺度提出了严苛的超准，既不能乱作为，也不能无作为，个人信息处理者需在“做”与“不做”之间找到平衡点。

其次，就处罚主体而言，既包括公司、单位、app,也穿透到公司、单位、app背后直接负责的主管人员和其他直接责任人员，以往借壳规避法律责任的商业模式将难以继续，如此一来，也是倒逼从业人员主动探索合规方案，不再企图在灰色地带钻法律的漏洞。

最后，就侵害后果，通过“一般情形”和“情节严重”规定了阶梯式处罚体系，为主管部门合理有度执法提供的制度依据，符合“罪则刑相适应”的法相当性和指引、预测、评价准则。

6. 多部门监管体现的严

《个人信息保护法》第六十条规定：

国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。国务院有关部门依照本法和有关法律、行政法规的规定，在各自职责范围内负责个人信息保护和监督管理工作。县级以上地方人民政府有关部门的个人信息保护和监督管理职责，按照国家有关规定确定。前两款规定的部门统称为履行个人信息保护职责的部门。

从该条内容来看，个人信息保护监管部门非单一部门职责，而是互相配合的多部门监管体系。互联网、通信、金融、医疗、快递、教育等行业都属于个人信息海量存储行业，而该几类行业分属不同部门监管，因此，凡涉及与该几类行业相关的监管部门都负有相关领域个人信息保护职责，与网信部门互相构成个人信息保护体系。

7. 公益诉讼

《个人信息保护法》第七十条对于个人信息处理者违反本法规定处理个人信息，侵害众多个人的权益的，人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。

现实中几乎所有的APP都涉及到可能侵害众多人权益，因为APP本来就是面向不特定多数人的，一旦业务模式设计存在缺陷或者是违规行为，就可能涉及到侵害多数人得权益，就符合公益诉讼的条件。一旦提起公益诉讼，对于平台主体来讲就是一件非常可拍的事情、舆论压力带来的后果是非常严重的。在这个角度上看也体现了《个人信息保护法》的最严。

- 3 -

《个人信息保护法》严带来的思考

笔者团队写这篇文章的着眼点是想从企业角度出发如何做到合法合规长效经营，带着这个问题探讨了《个人信息保护法》的严。

我们注意到《个人信息保护法》施行当日（11月1日），工信部发布《关于开展信息通信服务感知提升行动的通知》通知要求，各相关企业应在今年12月底前建立“已收集个人信息清单”和“与第三方共享个人信息清单”，并在App二级菜单中展示，方便用户查询；已收集个人信息清单应简洁、清晰列出App（包括内嵌第三方软件工具开发包SDK）已经收集到的用户个人信息基本情况，包括信息种类、使用目的、使用场景等。

从上面监管部门发布的通知可以看出，《个人信息保护法》的严已经从立法层面向执法层面渗透，未来我们会进一步的体会到《个人信息保护法》的严，立法严、监管严、执法严、处罚严，而实际上企业在经营过程中不光涉及个人信息的合规问题，除了个人信息合法合规外往往还有在生产经营过程中产生的相关数据的合法合规问题，都是企业在做合规方案设计之初应当从整体考虑的范畴。

《个人信息保护法》规定的严，可以体现到数据信息处理的全周期各个环节中，而笔者认为企业在做合规设计之初更应当结合企业自身的经营模式追溯到最初的源头进行涉及，而不是但从收集数据信息开始，对此笔者团队认为不同的行业、不同企业因经营模式、商业架构不同需要具体问题具体对待，本文中不可能一概而论。

就目前来看，个人信息、数据信息的合法合规问题涉及到，比如房地产行业、物业公司、房屋中介公司、银行金融行业，医疗卫生行业，交流运输行业，邮政快递行业等等几乎各行各业。

每个行业的合法合规方案不可能完全复制，且在同一个行业里也不具有可复制性，具体到每个企业的合法合规时需要专业人员对公司从上到下、从前到后、从点到面，从人到制度、从内到外的全方位了解后才能做出适合具体企业的合规方案，因此只有量体裁衣才能真正解决具体企业的合法合规长效经营问题。

# 推荐阅读 #