《个人信息保护法》出台，说明国家对个人信息保护的要求在不断提升，后续可能还会陆续出台各种实施细则，进一步加大对个人信息保护的监管和处罚力度。而目前，伴随着企业经营的智能化、网络化、信息化的发展，各类企业所掌握的个人信息数据已然成为了企业重要的无形资产。若不能在经营中规范收集、储存、处理个人数据，则可能会适得其反，遭受政府监管机关的处罚。本文从以下几个方面来解答企业应如何做好个人信息的采集、管理和保护。

 

一、“个人信息”的定义：

依据《个人信息保护法》 ，“个人信息”是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。

该定义与《民法典》中的“个人信息”定义在基本概念上保持了一致，强调了“已识别或者可识别的自然人信息”，但增加了“不包括匿名化处理后的信息”一条，明确了“个人信息”经匿名化处理后不属于个人信息，也就无须适用《个人信息保护法》的相关规定。所谓“匿名化”，是指个人信息经过处理无法识别特定自然人且不能复原的过程。该定义中的“不能复原”主要采取了以下两种方法：一是删除个人信息包含的个人描述部分，包括将描述部分替换为其他描述部分，或者使用具有不可恢复的方法等；二是删除所述个人信息中所包含的全部标识符，包括将标识符替换为其他描述部分，或者使用具有不可恢复的方法等。

 

二、哪些企业有保护个人信息的义务：

依据《个人信息保护法》，只要企业在经营过程中涉及自主处理个人信息的，即构成法律规定的个人信息处理者，应当按照法律规定来处理其掌握的个人信息。所谓“处理个人信息”，包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。

 

三、企业应保护哪些个人信息：

《个人信息保护法》采用“识别+关联”的标准来定义个人信息，因此该定义下的个人信息范围更广，通常包括：企业职员或客人的姓名、性别、生日、家庭信息、宗教信仰、身份证号、会员编号、联系方式、消费信息、账户信息、习惯偏好、医疗健康、人脸信息、指纹信息、行踪信息等。

 

四、个人信息处理的核心原则

根据《个人信息保护法》的规定，个人信息处理的核心原则总结如下：

1、合法、正当、必要原则：处理个人信息应当经过相关个人的同意，前述同意还应当由个人在充分知情的前提下自愿、明确作出；

2、有限处理原则：应限于实现处理目的的最小范围和最短时间，不得过度收集使用个人信息；

3、公开、透明原则：企业应公开个人信息处理规则，明示处理的目的、方式和范围；

4、质量原则：应当确保个人信息的准确和完整；

5、安全原则：应当采取必要措施确保个人信息安全。

 

五、敏感个人信息的认定与保护规则

     “敏感个人信息”是指，一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。

《个人信息保护法》对处理敏感个人信息作出了严格的限制性规定，即在履行“告知-同意”原则的基础上，只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，个人信息处理者方可处理敏感个人信息。特别是处理敏感个人信息应当取得个人的单独同意，如果法律、行政法规规定处理敏感个人信息应当取得书面同意的，应当从其规定。

 

【建议和措施】：

《个人信息保护法》出台，给企业在保护个人信息方面提出了更高的要求。笔者建议企业从以下几个方面着手，提高个人数据的采集和管理。

 

第一，制定有关个人信息保护的内部管理制度和操作规程。如制定企业的个人信息保护制度，写入企业规章或劳动手册，明确个人信息处理的流程和要求、不同部门和岗位的操作权限及责任等。又如建立针对个人权利主张的应对机制，制定个人信息安全事件应急预案，加强对员工的个人信息安全教育和培训等。

 

第二，对个人信息实行分类管理。《个人信息保护法》区分了“个人信息”，和”敏感个人信息”,又对企业采集和处理个人信息提出了“明确、合理目的性”的要求。因此，企业要对不同类别的个人信息，不同渠道不同目的获取的个人信息，实行分类管理，采取符合法律规定的不同管理措施。

 

第三，对相关软硬件设备进行必要的升级。《个人信息保护法》要求个人信息处理者应采取相应的加密、去标识化等安全技术措施。《网络安全法》要求采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施。上述技术措施有赖于相应的软硬件设备，因此，企业需要定期对该等设备进行更新升级，以确保数据安全。

 

第四，加强对特定个人信息处理活动决策评估。《个人信息保护法》出台后，企业在进行个人信息处理决策时，应注重决策评估程序。特别是涉及处理个人敏感信息、受托处理个人信息、向他人提供个人信息、公开个人信息时，必须事先对结果影响充分评估后方能决策。

 

第五，及时、正确地处理相关个人的对个人信息的权利主张。根据《个人信息保护法》，个人对其个人信息享有知情权、决定权、限制和拒绝权、查阅和复制权、转移权、更正和补充权、删除权。在《个人信息保护法》出台后，相关个人可能会不时提出上述一项或多项要求，对此企业需要针对个人权利和法律规定对既有的处理机制进行补充和升级。

 

上海企业法律顾问律师：

徐玮康 盈科（上海）律师事务所 合伙人

联系电话：13917380588（微信同号）

联系地址：上海市恒丰路500号洲际商务中心50楼