2021年11月1日，《中華人民共和國(guó)個(gè)人信息保護(hù)法》（下稱(chēng)“《個(gè)信法》”）正式實(shí)施，占據(jù)了中國(guó)個(gè)人信息保護(hù)領(lǐng)域?qū)ｉT(mén)立法的頭把交椅。面對(duì)《個(gè)信法》的正式生效，Apple（于2021 年10月27日更新了《Apple 隱私政策》）、騰訊（于2021 年10月29日更新了《微信隱私保護(hù)指引》）等平臺(tái)均已給出了答卷（見(jiàn)下圖），而你的答卷上交了嗎？你真的準(zhǔn)備好了嗎？

《Apple 隱私政策》

《微信隱私保護(hù)指引》

注：所涉截圖僅為本文舉例展示之用，不視為對(duì)所涉主體個(gè)人信息處理合規(guī)性的任何評(píng)價(jià)。

我們特此梳理并凝練了《個(gè)信法》項(xiàng)下，作為個(gè)人信息處理者的互聯(lián)網(wǎng)平臺(tái)不得不回答的七個(gè)核心問(wèn)題（見(jiàn)下表），并對(duì)應(yīng)凝練核心合規(guī)要點(diǎn)，望能為企業(yè)提供參考和借鑒。

一、你真的受《個(gè)信法》規(guī)制嗎？

是否受《個(gè)信法》的規(guī)制，可分“三步走”進(jìn)行判斷（詳見(jiàn)下表）：

第一步，看行為，即是否存在處理個(gè)人信息的行為。核心關(guān)鍵詞為“個(gè)人信息”與“處理”：其一，標(biāo)的應(yīng)屬于《個(gè)信法》規(guī)定的“以電子或者其他方式記錄的與已識(shí)別或者可識(shí)別的自然人有關(guān)的各種信息”，其中匿名化處理后的信息非個(gè)人信息；其二，行為應(yīng)屬于《個(gè)信法》規(guī)定的“處理”行為，包括收集、存儲(chǔ)、使用、加工、傳輸、提供、公開(kāi)、刪除等。

第二步，看地域，即該行為的發(fā)生地，若屬于在中國(guó)境內(nèi)處理個(gè)人信息的活動(dòng)，應(yīng)受《個(gè)信法》規(guī)制；若屬于在中國(guó)境外處理個(gè)人信息，只有在滿足下述情形下才受《個(gè)信法》管轄：個(gè)人信息的主體在為“境內(nèi)自然人”，同時(shí)，存在“以向境內(nèi)自然人提供產(chǎn)品或者服務(wù)為目的”、“分析、評(píng)估境內(nèi)自然人的行為”或“法律、行政法規(guī)規(guī)定的其他情形”（下稱(chēng)“三種情形”）中的任一情形。

第三步，看例外情形，《個(gè)信法》規(guī)定了兩種例外情形，其一，自然人因個(gè)人或者家庭事務(wù)處理個(gè)人信息的，不適用《個(gè)信法》；其二，法律對(duì)各級(jí)人民政府及其有關(guān)部門(mén)組織實(shí)施的統(tǒng)計(jì)、檔案管理活動(dòng)中的個(gè)人信息處理有規(guī)定的，適用其規(guī)定。

綜上，可以得出：1、標(biāo)的為“個(gè)人信息”，2、存在“處理”行為，3、該處理行為發(fā)生在中國(guó)境內(nèi)或發(fā)生在境外，但對(duì)象為境內(nèi)自然人。存在三種情形中的任一情形 ，并不存在例外情形的，就要受《個(gè)信法》規(guī)制。

二、你真的知曉違規(guī)處理個(gè)人信息的罰則嗎？

《個(gè)信法》項(xiàng)下，罰則的規(guī)定（詳見(jiàn)下表）呈現(xiàn)出“雙罰制”“兩級(jí)制”以及“處罰措施多維度”的顯著特點(diǎn)，具體如下：

其一，采取“雙罰制”。針對(duì)違反《個(gè)信法》規(guī)定處理個(gè)人信息的，或未履行《個(gè)信法》規(guī)定個(gè)人信息保護(hù)義務(wù)的，除了針對(duì)單位進(jìn)行處罰外，亦明確了責(zé)任人（直接負(fù)責(zé)的主管人員和其他直接責(zé)任人）應(yīng)承擔(dān)的行政責(zé)任；

其二，采取“兩級(jí)制”?！秱€(gè)信法》區(qū)分違規(guī)的“一般情形”與“情節(jié)嚴(yán)重”分別設(shè)置兩級(jí)處罰，其中，罰款最高可達(dá)5000萬(wàn)元或上一年度營(yíng)業(yè)額5%；

其三，“處罰措施多維度”。除罰款外，亦規(guī)定了責(zé)令改正，給予警告，沒(méi)收違法所得，責(zé)令暫?；蛘呓K止提供服務(wù)等以及針對(duì)負(fù)責(zé)人的“行業(yè)禁止令”等處罰措施，該等措施與罰款可為“并處”關(guān)系。

三、你真的享有處理個(gè)人信息的合法性基礎(chǔ)嗎？

處理個(gè)人信息，應(yīng)當(dāng)具備《個(gè)信法》規(guī)定的合法性基礎(chǔ)，詳見(jiàn)下表：

由此可見(jiàn)，《個(gè)信法》確立了“告知—同意”為核心的個(gè)人信息處理系列規(guī)則：

其一，顯著告知，個(gè)人信息處理者在處理個(gè)人信息前，應(yīng)當(dāng)以顯著方式、清晰易懂的語(yǔ)言真實(shí)、準(zhǔn)確、完整地向個(gè)人告知有關(guān)個(gè)人信息處理者和信息處理的相關(guān)事項(xiàng)，通過(guò)制定個(gè)人信息處理規(guī)則的方式告知的，該處理規(guī)則應(yīng)當(dāng)予以公開(kāi)，并便于查閱和保存；

其二，取得同意，除法定情形（如為訂立、履行個(gè)人作為一方當(dāng)事人的合同所必需，或者按照依法制定的勞動(dòng)規(guī)章制度和依法簽訂的集體合同實(shí)施人力資源管理所必需等情形）外，取得個(gè)人在充分知情的前提下的自愿同意。

其三，單獨(dú)同意，若涉及到向第三方個(gè)人信息處理者提供個(gè)人信息、公開(kāi)個(gè)人信息、公共場(chǎng)所安裝圖像采集、個(gè)人身份識(shí)別設(shè)備，用于維護(hù)公共安全以外目的收集個(gè)人圖像、身份識(shí)別信息、處理敏感個(gè)人信息、向境外提供個(gè)人信息等上表所列的“單獨(dú)同意”事項(xiàng)，則應(yīng)當(dāng)取得個(gè)人的單獨(dú)同意；

其四，特殊同意，若涉及針對(duì)不滿十四周歲未成年人的個(gè)人信息處理，應(yīng)當(dāng)取得該個(gè)人的單獨(dú)同意（該類(lèi)信息屬于敏感個(gè)人信息）并取得未成年人的父母或者其他監(jiān)護(hù)人的同意。

平臺(tái)可根據(jù)自身處理的個(gè)人信息類(lèi)別及處理情形，對(duì)應(yīng)采取上述措施取得處理個(gè)人信息的合法性基礎(chǔ)。

四、你真的知曉怎么合規(guī)處理個(gè)人信息嗎？

合規(guī)處理個(gè)人信息，單單獲得個(gè)人的同意，還遠(yuǎn)遠(yuǎn)不夠?！秱€(gè)信法》吸收GDPR等國(guó)際經(jīng)驗(yàn)，并基于中國(guó)國(guó)情確立了處理個(gè)人信息的一般原則：

個(gè)人信息處理者應(yīng)對(duì)照上述原則逐一核對(duì)，并將上述原則貫穿于個(gè)人信息處理的全過(guò)程與各環(huán)節(jié)。以最小必要原則為例，落實(shí)該原則，分三點(diǎn)內(nèi)容：

其一，最小影響，處理個(gè)人信息應(yīng)當(dāng)采取對(duì)個(gè)人權(quán)益影響最小的方式；

其二，最小范圍，收集個(gè)人信息，應(yīng)當(dāng)限于實(shí)現(xiàn)處理目的的最小范圍，不得過(guò)度收集個(gè)人信息；

其三，最短時(shí)間，除法律、行政法規(guī)另有規(guī)定外，個(gè)人信息的保存期限應(yīng)當(dāng)為實(shí)現(xiàn)處理目的所必要的最短時(shí)間。

除上述原則性?xún)?nèi)容判斷方式外，針對(duì)該最小必要原則，可依據(jù)《常見(jiàn)類(lèi)型移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序必要個(gè)人信息范圍規(guī)定》（國(guó)信辦秘字〔2021〕14號(hào)）列舉的常見(jiàn)類(lèi)型App予以對(duì)照，或可參考國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù)個(gè)人信息安全規(guī)范》中對(duì)收集個(gè)人信息的最小必要的釋明：“收集的個(gè)人信息的類(lèi)型應(yīng)與實(shí)現(xiàn)產(chǎn)品或服務(wù)的業(yè)務(wù)功能有直接關(guān)聯(lián)；直接關(guān)聯(lián)是指沒(méi)有該等信息的參與，產(chǎn)品或服務(wù)的功能無(wú)法實(shí)現(xiàn)；自動(dòng)采集個(gè)人信息的頻率應(yīng)是實(shí)現(xiàn)產(chǎn)品或服務(wù)的業(yè)務(wù)功能所必需的最低頻率；間接獲取個(gè)人信息的數(shù)量應(yīng)是實(shí)現(xiàn)產(chǎn)品或服務(wù)的業(yè)務(wù)功能所必需的最少數(shù)量?！庇枰耘袛?，以確保處理個(gè)人信息符合該原則。

五、你真的依法保障了個(gè)人的法定權(quán)益嗎？

在處理個(gè)人信息過(guò)程中，個(gè)人信息處理者應(yīng)當(dāng)建立便捷的個(gè)人行使權(quán)利的申請(qǐng)受理和處理機(jī)制，保障個(gè)人行使其法定權(quán)益。而機(jī)制的建立需要以知悉個(gè)人信息主體所享有的法定權(quán)利為前提，詳見(jiàn)下表：

針對(duì)上述權(quán)利的行使與保障，以社會(huì)廣泛關(guān)注的自動(dòng)化決策為例，《個(gè)信法》生效后，平臺(tái)利用個(gè)人信息進(jìn)行自動(dòng)化決策，應(yīng)注意下述要點(diǎn)：

其一，禁止“大數(shù)據(jù)殺熟”，應(yīng)當(dāng)保證決策的透明度和結(jié)果公平、公正，不得對(duì)個(gè)人在交易價(jià)格等交易條件上實(shí)行不合理的差別待遇；

其二，提供備選或便捷的拒絕方式，通過(guò)自動(dòng)化決策方式向個(gè)人進(jìn)行信息推送、商業(yè)營(yíng)銷(xiāo)，應(yīng)當(dāng)同時(shí)提供不針對(duì)其個(gè)人特征的選項(xiàng)，或者向個(gè)人提供便捷的拒絕方式。其中，不針對(duì)個(gè)人特征的選項(xiàng)，根據(jù)《信息安全技術(shù) 個(gè)人信息安全規(guī)范》（GB/T 35273—2020）第7.5條第b)項(xiàng)注釋?zhuān)趥€(gè)人信息主體所選擇的特定地理位置進(jìn)行展示、搜索結(jié)果排序，且不因個(gè)人信息主體身份不同展示不一樣的內(nèi)容和搜索結(jié)果排序，則屬于不針對(duì)其個(gè)人特征的選項(xiàng)；

其三，拒絕自動(dòng)化決策權(quán)，若作出對(duì)個(gè)人權(quán)益有重大影響的決定的(針對(duì)對(duì)個(gè)人權(quán)益有重大影響的決定，《信息安全技術(shù) 個(gè)人信息安全規(guī)范》列舉了如下情形：自動(dòng)決定個(gè)人征信及貸款額度，或用于面試人員的自動(dòng)化篩選等)，個(gè)人有權(quán)要求個(gè)人信息處理者予以說(shuō)明，并有權(quán)拒絕個(gè)人信息處理者僅通過(guò)自動(dòng)化決策的方式作出決定；

其四，履行評(píng)估義務(wù)，應(yīng)當(dāng)事前進(jìn)行個(gè)人信息保護(hù)影響評(píng)估，詳見(jiàn)本文“七、你真的準(zhǔn)備好自證清白了嗎？”。 

六、你跨境提供了個(gè)人信息嗎？

若平臺(tái)涉及個(gè)人信息跨境傳輸?shù)?，?yīng)關(guān)注下述合規(guī)要點(diǎn)： 

七、你真的準(zhǔn)備好自證清白了嗎？

《個(gè)信法》確立了個(gè)人信息處理侵權(quán)糾紛的舉證責(zé)任倒置原則，處理個(gè)人信息侵害個(gè)人信息權(quán)益造成損害，個(gè)人信息處理者不能證明自己沒(méi)有過(guò)錯(cuò)的，應(yīng)當(dāng)承擔(dān)損害賠償?shù)惹謾?quán)責(zé)任。

這就倒逼平臺(tái)來(lái)留存對(duì)應(yīng)能證明自身沒(méi)有過(guò)錯(cuò)的證據(jù)，對(duì)此，平臺(tái)應(yīng)該如何自證清白？

我們團(tuán)隊(duì)根據(jù)既往的個(gè)人信息保護(hù)合規(guī)的項(xiàng)目經(jīng)驗(yàn)，提煉上述個(gè)人信息處理者的法定義務(wù)，總結(jié)出“MACTOP”合規(guī)“武器”，幫助平臺(tái)進(jìn)行“自證清白”：

（1） M：即“Management”，平臺(tái)需要建立與個(gè)人信息保護(hù)相關(guān)的內(nèi)部管理制度和管理規(guī)程，落實(shí)個(gè)人信息保護(hù)負(fù)責(zé)人崗位設(shè)置，申請(qǐng)獲得ISO27001信息安全管理體系認(rèn)證、網(wǎng)絡(luò)安全等級(jí)保護(hù)等資質(zhì)，從系統(tǒng)資質(zhì)、人員崗位設(shè)置及管理細(xì)則等方面“自外而內(nèi)”管理職責(zé)和要求；

（2） A：即“Authorization” & “Assessment”，其一，平臺(tái)需要合理確定個(gè)人信息處理的操作權(quán)限，根據(jù)業(yè)務(wù)流、個(gè)人信息流，授權(quán)不同部門(mén)、人員進(jìn)行相應(yīng)的處理；其二，平臺(tái)需要依法定期進(jìn)行合規(guī)審計(jì)，并依法履行個(gè)人信息保護(hù)影響評(píng)估義務(wù)，予以記錄與流痕；

（3） C：即“Category”，平臺(tái)需要對(duì)個(gè)人信息進(jìn)行分類(lèi)管理，根據(jù)不同的類(lèi)別賦予不同的數(shù)據(jù)保護(hù)工具。如區(qū)分一般個(gè)人信息、敏感個(gè)人信息等類(lèi)別給予不同維度的保護(hù)層級(jí)；

（4） T：即“Technology”，平臺(tái)需要采取相應(yīng)的加密、去標(biāo)識(shí)化等安全技術(shù)措施，來(lái)保護(hù)經(jīng)分類(lèi)和授權(quán)處理的個(gè)人信息；

（5） O：即“Organization”，平臺(tái)需要定期對(duì)從業(yè)人員進(jìn)行安全教育和培訓(xùn)。如通過(guò)簽署保密協(xié)議、進(jìn)行背景調(diào)查、定期安全教育、定期培訓(xùn)等方式，增強(qiáng)平臺(tái)從業(yè)人員對(duì)于個(gè)人信息保護(hù)的合規(guī)意識(shí)，亦可以進(jìn)一步明確內(nèi)部涉及個(gè)人信息處理不同崗位的職責(zé)和處罰機(jī)制；

（6） P：即“Plan”，平臺(tái)需要建立個(gè)人信息安全事件應(yīng)急預(yù)案并定期組織相關(guān)人員進(jìn)行演練，履行個(gè)人信息泄露通知、補(bǔ)救等各項(xiàng)義務(wù)與流程，明確各主體責(zé)任。

除通過(guò)上述“MACTOP”建立合規(guī)體系外，若屬于大型網(wǎng)絡(luò)平臺(tái)（即重要互聯(lián)網(wǎng)平臺(tái)服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類(lèi)型復(fù)雜的個(gè)人信息處理者），還應(yīng)依法履行下述法定義務(wù)并對(duì)應(yīng)留存有效證明：(a)建立健全個(gè)人信息保護(hù)合規(guī)制度體系，成立主要由外部成員組成的獨(dú)立機(jī)構(gòu)對(duì)個(gè)人信息保護(hù)情況進(jìn)行監(jiān)督；(b)遵循公開(kāi)、公平、公正的原則，制定平臺(tái)規(guī)則，明確平臺(tái)內(nèi)產(chǎn)品或者服務(wù)提供者處理個(gè)人信息的規(guī)范和保護(hù)個(gè)人信息的義務(wù)；(c)對(duì)嚴(yán)重違反法律、行政法規(guī)處理個(gè)人信息的平臺(tái)內(nèi)的產(chǎn)品或者服務(wù)提供者，停止提供服務(wù)；(d)定期發(fā)布個(gè)人信息保護(hù)社會(huì)責(zé)任報(bào)告，接受社會(huì)監(jiān)督，從而得以“自證清白”。 

結(jié)語(yǔ)

良好的信息保護(hù)是數(shù)據(jù)共享與數(shù)字資源最大化利用的基本前提。我們相信，通過(guò)前述七大核心問(wèn)題，互聯(lián)網(wǎng)平臺(tái)能明晰自身是否受《個(gè)信法》管轄、違規(guī)成本、處理個(gè)人信息的合法性基礎(chǔ)、合規(guī)方式、個(gè)人享有的法定權(quán)益、跨境傳輸?shù)暮弦?guī)要點(diǎn)以及在舉證責(zé)任倒置下的合規(guī)應(yīng)對(duì)，讓廣大互聯(lián)網(wǎng)用戶重拾信心，激發(fā)網(wǎng)絡(luò)數(shù)據(jù)共享與利用的活力，從而營(yíng)造出數(shù)字經(jīng)濟(jì)的良好生態(tài)環(huán)境，最終反作用于平臺(tái)的商業(yè)發(fā)展，由此循環(huán)往復(fù)，使得《個(gè)信法》真正為數(shù)字經(jīng)濟(jì)發(fā)展保駕護(hù)航。