个人信息保护法（草案）对企业合规的趋势影响（上）

《个人信息保护法》（草案）对严重违法处理个人信息设置了顶配条款——“处五千万元以下或者上一年度营业额百分之五以下罚款”。从合规的原意出发，围绕该条将成为未来个人信息领域企业“被动”合规需求的主要来源。而人民银行同期“默契”的对若干银行机构侵害个人信息权利的行为作出了累计近五千万元的处罚则形成了某种心照不宣的警示。

我们认为，尽管草案并未新设“履行个人信息保护职责的部门”，只是以“够用”为原则维持了个人信息监管的既有“混搭”模式，这一格局下监管和主管机构未来仍将在《个人信息保护法》的法律制度下寻求和实施更多的执法组合；对“个人信息处理者”合规主体而言，其合规实践也将受到草案执法思路的深刻影响。

本系列将分若干期对企业可能面临的合规新变化、新挑战进行分析，并尝试提出可能与之符合的建议。

草案没有效仿GDPR将企业作个人信息控制者和处理者的区分，这是草案区别于GDPR的一个特点。显然，在成文法的概念逻辑下，处理当然以控制为前提。在当前的技术情景中，不存在无缘无故的控制，也不会有不受控制的处理。

       与其费尽周折的区分控制与处理，不如构筑更为周延的个人信息转让、转移，共同、委托处理的各种实际场景，并归纳其可适用的法律责任——这一责任，如果简单概括，在草案中被一般性的明确为共同个人信息处理者基于过错的连带责任。就是没有履行“告知——同意”这一规则（以个人知情同意为原则）下，个人信息处理者将连带的承担侵害个人信息的法律责任，除非某一个人信息处理者能够举证其取得了个人的知情同意，并履行了“告知——同意”义务。

      在这一归责原则及责任形式下，例如对SDK的监管和执法将变得直接和“高效”，SDK开发者将更加难以自认为是类似GDPR下的个人信息处理者，把自己放在APP开发者的后头，不仅如此，SDK开发者还可能需要对本身的个人信息处理行为进行主动说明并取得个人的“单独同意”。

       同样，对于传统的包括技术开发、服务在内的外包供应商，以及某些云服务商，更加缺乏“持有”和“匿名化” 个人信息的合法依据。因为按照草案第22条，在委托合同完毕或解除后，应当“将个人信息返还个人信息处理者或者予以删除”，这一规定导致了外包商的“权利”丧失，并基本排除了各方在委托合同中作另有约定的可能，也对作为应对措施的匿名化信息的条款设计提出了更高要求。

      与《网络安全法》比较，草案规定的“个人信息保护负责人”（CISO）角色进一步“下沉”，将原先《网络安全法》第21条（部分包括第24条）规定的“网络安全保护责任”（考虑到第21条规定的安全保护义务偏向内部资产）指向（不纯粹属于企业资产的）个人信息处理活动，也将个人信息保护措施明确的纳入了“网络安全保护责任”——尽管我们已经想当然的，并在实践中将企业对个人信息的保护措施视为《网络安全法》规定的安全保护义务的一部分。

       更为重要的是，草案规定了个人信息处理者将CISO信息公开和“报送履行个人信息保护职责的部门”的义务。这就为在企业层面的个人信息保护负责做足了准备，并将在此基础上形成层层构建的从企业的“个人信息保护负责”到监管的“个人信息保护职责”的义务体系。这不仅是系统的社会化工程，企业的公司治理结构也会产生调整——因为CISO具有了某些直面监管的职责，而不再是“内卷化”的角色。

 除了对涉及个人信息的多种场景的风险评估外，这些风险评估理应属于《网络安全法》合规过程中的组成，草案明确了个人信息处理者的审计义务，并且，这一审计是排除了自行进行的外部审计——“履行个人信息保护职责的部门有权要求个人信息处理者委托专业机构进行审计”。

      毫无疑问，如果企业清楚理解审计的意味，这一规定就是将《网络安全法》第38条规定的年度风险评估推到了一个新的高度。从审计内容看，包括了对存储信息的保护措施和对处理信息的过程活动。整体上可以认为，草案的审计条款将个人信息的风险评估从《网络安全法》规定的网络安全风险评估的一个子集提升为一个专项审计。

本文作者：

原   浩，江苏竹辉律师事务所合伙人律师

黄道丽，公安部第三研究所研究员