第四章 如何让《个人信息保护法》在业务中落地

【场景】2021年8月20日原本是个普通的周五,但因为这天颁布了我国第一部专门针对个人信息保护的法律《中华人民共和国个人信息保护法》(简称《个人信息保护法》),所以这一天对于从事数据合规工作的人士和很多媒体而言,是一个激动人心的周五。

《个人信息保护法》已于2021年11月1日生效,并构建出了如图4-1所示的一套完整个人信息保护法律架构。

虽然此前已经有了快一年的预热,但白晓萌萌还是对《个人信息保护法》的生效怀有一丝激动和忐忑。每次来回看这部法典,都有新体悟和新收获。她知道,自己作为负责数据合规工作的法务,接下来的职业生涯都会以这部法律为核心展开,而最高频面对、最有挑战的问题也会是《个人信息保护法》如何在业务活动中落地。

落实《个人信息保护法》说难也难,说容易倒也容易。说难,是因为处理个人信息的目的、方式、范围等场景纷繁复杂,不同数据处理场景意味着不同的解决方案,没有完全相同的数据处理活动就没有放之四海而皆准的合规做法;说容易,是因为《个人信息保护法》的落地其实有相对容易的方法和步骤。

白晓萌萌结合此前的学习和实践基础,开始梳理业务场景,启动了《个人信息保护法》的合规专项工作分步走。

第一步:识别业务活动中处理的数据是不是属于《个人信息保护法》下的“个人信息”。

图4-1 个人信息保护法律架构

第二步:识别企业属于《个人信息保护法》中的哪一类主体,因为主体身份不同,对应的义务和责任也不同。

第三步:确保企业处理个人信息的行为符合《个人信息保护法》的基本原则和一般规则,即是否遵守无场景差异的、普适性要求。

第四步:确保企业遵守《个人信息保护法》对于一般义务的规定。这里所说的一般义务也是无场景差异的义务要求。

第五步:如果企业属于特殊的“守门人”处理者,则在遵守一般处理者的通用义务与规则之外,还需要满足与其自身地位相称的特殊义务。

第六步:排查企业的数据处理活动是否是《个人信息保护法》下的某些特定场景或者高风险场景,如是,则还需要履行增强性义务。

第七步:确保企业能够实现个人对其个人信息处理活动所主张的权利。

第八步:识别出企业可能承担的违法后果和举证责任。