主动进取，审慎经营 |《个人信息保护法》发布解读之（二）企业能力构建

2021年8月20日，《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》或《个保法》）正式发布，我们在“主动进取，审慎经营 |《个人信息保护法》发布解读之（一）企业合规策略”中为大家介绍了企业需要严格遵守的的合规红线及对应的合规策略。

在本篇文章中我们将为大家介绍企业个人信息保护的七大能力要件，帮助企业构建个人信息保护治理蓝图，实现个人信息保护合规的可持续化。更希望企业能够通过个人信息保护的卓越能力提升客户信任，将合规能力赋能品牌可信形象。

一、构建跨职能的治理体系

个人信息保护是一项在企业范围内具有影响的工作，涉及多个职能、组织和角色。有效的跨职能协作和明确的问责制将是证明个人信息保护关键能力的重要组成部分。个人信息保护组织职能可根据“三道防线”原则进行划分，同时应与CPO、CDO、CRO、CCO、CIO、CTO、COO等C级人员保持联系。

一道防线：主要职责是业务层面和操作层面的个人信息保护，企业的业务部门（如销售、运营、市场等）、职能部门（如人力资源、IT等）承担在实际工作中践行和落实个人信息全生命周期保护要求的职责，如开展个人信息安全影响评估、收集个人信息前获得用户授权、对敏感个人信息加密保护、客户主体权利响应、开展个人信息保护意识培训等。

二道防线：主要职责是个人信息保护风险管理，由个人信息保护办公室、法律合规部、内控团队等承担企业整体个人信息风险管理工作，如制定企业整体个人信息保护策略、开展整体个人信息风险评估、提供合规建议、问责管理、个人信息泄露对外报送等。

三道防线：主要职责是对个人信息保护的审计，由企业的审计监督部门负责，负责验证关键绩效指标、审查访问流程和程序、个人信息保护框架验证等。

下图为个人信息保护三道防线示例，企业可根据自身组织架构和职能分布，设计符合企业内部情况的个人信息保护治理体系。

二、个人信息分类分级保护

《个人信息保护法》要求企业对个人信息实行分类管理，《数据安全法》明确要求对数据进行分类分级保护。企业应对个人信息进行统一分类，确保各类个人信息在任何时候都得到适当的保护。企业个人信息分类分级工作和企业数据分类分级工作可结合开展。

个人信息分类：企业可基于自身行业特性，参考GB/T 35273-2020《个人信息安全规范》和行业标准确定企业内部个人信息分类标准，全面识别企业涉及的个人信息，并进行有效管控。

个人信息分级：各行业对个人信息或者数据可参考上述标准中的定级要素进行定级，即根据数据安全性遭受破坏后影响对象和影响程度进行数据分级。在数据分级管理过程中，标注数据级别是必要手段。

分级保护策略：企业应根据个人信息生命周期进行风险管控，包括分级权限管理、敏感个人信息加密/脱敏、安全审计等多个方面。

企业数据分类分级具体可参考安永过往发布的“【安永观察】数据安全法解读系列（三）——数据分类分级迫在眉睫”一文

三、个人信息保护影响评估

《个人信息保护法》规定企业进行特定的个人信息处理活动前有义务开展个人信息保护影响评估，并需要对处理情况进行记录；评估方法具体可参照GB/T 39335-2020《信息安全技术 个人信息安全影响评估指南》，该指南已于2021年6月1日正式实施。个人信息安全影响评估可分为合规差距评估和尽责性风险评估两类。

合规差距评估：识别个人信息处理活动已采取的安全控制措施，与相关法律、法规或标准的具体要求之间的差距。应用场景包括产品或服务年度评估、新活动或服务符合法规基线评估、经营或法规环境变化时的评估等。

尽责性风险评估：出于审慎经营、品牌建立等目的，企业可选取对个人权益可能产生高风险的个人信息处理活动进行尽责性风险评估，尽可能降低对个人权益的不利影响。高风险个人信息处理活动包括处理敏感个人信息、利用个人信息进行自动化决策、委托处理个人信息、向他人提供个人信息、公开个人信息、向境外提供个人信息、其他对个人有重大影响的个人信息处理活动。

个人信息保护影响评估流程：

评估触发条件：

新的产品或服务发布前，业务部门应识别是否涉及个人信息处理活动，根据判定条件触发评估；

评估准备：

在评估前对个人信息处理过程进行全面的调研，了解业务逻辑流转情况，梳理涉及个人信息处理活动的内外部相关方、信息系统、数据类型等；

风险识别：

根据梳理的个人信息处理情况，分析个人信息保护策略的执行情况、相关法律法规与政策标准的符合性情况，识别存在的风险；

风险评价：

综合分析影响程度和可能性要素，得出风险等级。

（1）个人权益影响程度：个人信息处理活动对个人权益的影响程度；

（2）安全事件可能性：个人信息处理活动发生安全事件的可能性；

风险处置：

根据个人信息保护风险等级结果，采取相应的风险处置措施，对中高风险事项应限期整改；

生成报告：

完成评估流程并落实风险处置措施后，将个人信息安全影响评估报告送至相关部门审核，审核通过后，业务部门方可开展该个人信息处理活动。

四、个人信息最小化管理

个人信息的最小化管理涉及个人信息收集、使用、存储、销毁的全生命周期环节，应重点关注个人信息收集最小化、权限最小化及存储时限最小化三个方面：

数据收集最小化：

数据收集的活动应遵循“非必要不采集”的原则进行开展。个人信息字段收集的越多意味着企业对个人信息的保护责任越大。企业在进行个人信息收集活动前，可结合以下因素，判断个人信息收集是否符合最小化原则：

- 是否为法律法规要求所必须？

- 该处理是否真的能实现目的？

- 是否有其他对用户影响更低的方式实现目的？

- 若有，其他方式是否投入成本太高？

- 该数据是否为履行合同或安全风控所收集？

- 对用户权益是否有影响？

- 用户是否能从中获益？

权限控制最小化：

企业在个人信息的使用中，应根据“须知模型”确保权限控制最小化。企业可根据业务需求，对权限控制进行管理，确保符合最小化要求。权限控制最小化可体现在包括应用系统的访问及获取数据的权限控制、系统间数据接口的权限管控、办公数据管控等。必要时还可通过部署如DLP、数字水印等工具进行权限控制管理的兜底。

存储时间最小化：

个人信息的存储时限除满足一些行业的特殊监管要求外，企业应当设定个人信息存储的时间并且在超出期限后进行定期删除或匿名化处理，以在规避合规风险的同时降低数据存储与保护的成本。企业个人信息存储时限可根据业务必要保留时长、法律法规要求、行业公允的有效数据时限、用户体验等方面进行定义，梳理出企业个人信息存储时间表。

企业个人信息最小化管理示例：

五、数据加密

数据加密是企业对客户个人信息保护的有力保障。《个人信息保护法》第五十一条要求个人信息处理者采取相应的加密、去标识化等安全技术措施保障个人信息安全。

数据加密关注数据在传输中的加密及存储中的加密。

随着个人信息的广泛使用、监管力度的加强，企业既要满足业务需求、实现个人信息流动的安全与高效，又要积极响应监管要求、落实个人信息保护机制——于是隐私计算技术成为破解数据加密保护与数据价值利用矛盾的一剂良方。隐私计算能实现数据不出域情况下的数据“可用不可见”。根据中国信通院统计，目前隐私计算主要应用于联合风险、联合营销、智能医疗、智能政务等领域。企业可根据自身业务场景选择适合的隐私计算技术，当前主流的隐私计算技术主要体现为以下三种：

多方安全计算：基于密码学的隐私计算技术，通过多方安全计算可实现在无可信第三方的情况下，既能保护隐私、又能实现多机构合作中开展约定的计算。多方安全计算理论常用于联合统计、联合查询、联合建模、联合预测等场景，具体应用场景如多方联合营销。

联邦学习：是人工智能与隐私保护技术融合衍生的技术，可实现多方的共同建模进而训练AI模型。如企业在不同的地区开展业务，可利用本地数据进行模型训练，后将结果统一上传服务器进行模型参数的更新，生成“联合模型”。各参与方在联合模型基础上利用本地数据进行训练与预测，从而在保证数据的隐私性的同时实现了高质量的建模。联邦学习目前应用场景如金融行业中基于监管要求下的银行与监管机构联合反洗钱建模。

可信执行环境：是基于可信硬件的隐私计算技术，提供授权安全软件的安全执行环境，保护授权安全软件运行所需的资源、数据的保密性和完整性、授权安全软件和数据的访问权限。可信执行环境多应用于物联网、移动支付领域。

六、数据去标识化和匿名化

数据去标识化和匿名化是企业打开数据主动权的重要方式。去标识化是指通过对个人信息的技术处理，使其在不借助额外信息的情况下，无法识别或者关联个人信息主体的过程。匿名化是指通过对个人信息的技术处理，使得个人信息主体无法被识别或者关联，且处理后的信息不能被复原的过程。数据去标识化和匿名化技术可应用于个人信息全生命周期中，保障个人信息安全。

企业日常运营中，可通过去标识化技术来大大降低个人信息在流动及处理过程中的泄露风险。根据GB/T 35273-2020《信息安全技术 个人信息安全规范》，企业在收集个人信息后，宜立刻进行去标识化处理；在个人信息展示界面宜采取去标识化处理等措施，降低个人信息泄露风险。

数据去标识化技术

- 泛化技术：包括数据截断、日期偏移取整、规整等。

- 抑制技术（隐藏技术）：包括掩码。

- 扰乱技术：包括加密、重排、替换、重写、均化、散列等。

- 有损技术：包括限制返回行数、限制返回列数等。

对于部分特殊行业，行业监管部门对数据去标识化提出指导性建议，如JR/T 0171-2020《个人金融信息保护技术规范》中，提供了个人金融信息隐藏规则的示例。企业可根据相关标准，制定内部个人信息去标识化规则。

个人信息经匿名化处理后所得的信息不属于个人信息。匿名化对企业的价值体现在——个人信息匿名化后可向第三方提供、合法地进行数据共享；也可用于统计分析和注销账户后的匿名数据保存，便于企业开展数据价值的进一步挖掘。

在实践中，建议企业根据个人信息分类分级，设定个人信息在全生命周期中的可用范围和细粒度的权限管控；对个人信息监督监察，留取清晰准确日志信息；对不断变化的个人信息做持续性的跟踪，提供策略优化与持续运营的服务。个人信息去标识化并非完全消除个人信息泄露的风险，企业同时也应防范重标识攻击，避免攻击者通过其他维度或关联信息进行关联或推断。

七、个人信息安全事件应急响应

纵观全球个人信息保护法律法规，不论是欧盟GDPR（第三十三条、第三十四条）还是我国《个人信息保护法》（第五十七条）均明确了个人信息处理者对于个人信息安全事件的责任和义务。可以看出，企业对个人信息安全事件的应急响应能力也是企业个人信息保护能力图谱中的重要一环。

企业应根据自身业务及组织架构制定可执行的个人信息安全事件应急响应流程和预案，并定期组织相关方开展演练。个人信息安全事件应急响应流程如下：

识别阶段：

企业应定义上报的渠道，可通过投诉、员工报告、供应商报告等渠道获得个人信息安全事件的报告。同时，还应通过相关的技术检测、舆情监测及时发现个人信息安全事件或疑似事件。

处理阶段：

各业务/部门隐私保护负责人在确认事件级别及开展影响性分析后，应上报DPO。DPO确认事件后，应组织协调各业务部门、IT部门开展事件的处理。

通报阶段：

确认事件等级后，DPO应根据各地监管要求，进行外部监管机构及受影响用户的通报。如在欧盟GDPR中明确企业应在72小时内上报监管机构。目前《个人信息保护法》中尚未明确具体的通报时效性要求，但部分行业监管要求已有明确规定，如《中国人民银行金融消费者权益保护实施办法》中明确了信息泄露、毁损、丢失时的上报时效、上报对象和上报内容。

关闭阶段：

事件处理完毕后，DPO应对结果进行确认，并组织相关的部门开展事件的复盘，避免个人信息安全事件的再次发生。

结语

数字化转型时代，众多企业都在尝试通过大数据进一步挖掘数据价值。除了上述企业个人信息保护重要能力要件外，面对多渠道、多种类的个人信息，企业应当如何在灵活运用大数据赋能业务的同时落实个人信息保护？敬请期待本系列文章第三篇“主动进取，审慎经营 |《个人信息保护法》发布解读之（三）当隐私遇上大数据”。