第三节　遵循个人信息处理的特殊义务

1.识别并遵守“守门人”的特殊义务

（1）守门人的认定条件

《个人信息保护法》第58条对提供基础性互联网平台服务、用户数量巨大以及业务类型复杂的个人信息处理者规定了特殊的义务。但是对于上述3个条件的具体指引，还需要等待有关部门的进一步规定。

从同等利益诉求出发的反垄断角度的规定《国务院反垄断委员会关于平台经济领域的反垄断指南》提出的“平台”是指互联网平台，即通过网络信息技术，使相互依赖的双边或者多边主体在特定载体提供的规则下交互，以此共同创造价值的商业组织形态。此类规定对于认定守门人条件具有一定借鉴意义。

从比较法的角度来看，欧盟没有在2018年公布的GDPR中对守门人处理者进行相关规定，而是另行制定《数字市场法（草案）》，从市场竞争的角度对超大型平台关于垄断和竞争秩序的问题提出一系列要求，从而进一步保护个人信息。首先，欧盟对守门人的概念进行了相对明确的界定，即公司有一个核心平台，且在欧盟多个国家拥有持久性、庞大的用户基础。同时，欧盟也给出了3个推定标准[1]，除非能证明不具备守门人的这3个门槛性条件，否则将被推定为守门人。

我国未来要把这条有关“守门人”特殊义务的规定落地到实处，后续仍然需要推出一系列可量化的指标，确认什么样的机构应该被纳入守门人的范围。

（2）守门人的特殊义务

针对个人信息处理者中的这类掌握着大量用户数据的特殊主体，其合规与否关系到社会公共利益，因此《个人信息保护法》对其提出了4项新的义务要求，具体如下。

建立合规制度体系，成立由外部成员组成的独立机构进行监督。

首先，建立健全个人信息保护合规制度体系，企业需要建构一个层层细化的规定，完善从合规义务的提出到具体义务落地的完整链路。凡涉及上述处理个人信息环节的部门及员工，均应严格遵守企业内部有关个人信息保护方面的制度流程，提高企业的内部合规水平，同时注意留存记录，以便未来从容应对监管。

其次，成立由外部成员组成的独立机构，监督个人信息处理活动。考虑这类主体一般规模庞大，占据了非常大的市场份额，由外部机构（类似于独立董事或者独立审计、律师事务所）来监督个人信息的处理活动，可以更好地督促平台履行合规义务。与此同时，在处理复杂的业务时，大型的互联网平台也需要外部专家的支持和帮助。考虑到这一点，《个人信息保护法》要求“守门人”平台成立由外部成员组成独立的监督机构。

GDPR要求设定的数据保护官（Data Protection Officer，DPO）既可以由公司内部员工担任，也可以委任公司外部人员担任，其核心还是在于DPO需要具有相对独立性，比如不能有利益冲突、不能因实施DPO的职责而降薪，但就实践而言，目前仍有不少裁决和判例显示DPO不具有相对的独立性。这也许就是为何《个人信息保护法》需要在超大平台的规则上，即使内部已经设立了个人信息保护负责人，也还要求有一个由外部成员组成的独立机构进行监督的缘由了。

·遵循公开、公平、公正的原则，制定平台规则，明确个人保护义务。

遵循公开、公平、公正原则，制定平台规则，如平台服务协议、交易规则等，明确平台内产品或服务提供者处理个人信息的规范和保护个人信息的义务。例如，网络交易平台内的经营者应当对收集的个人信息严格保密，除依法配合监管执法活动外，未经被收集者授权同意，不得向包括关联方在内的任何第三方提供。

·对严重违反法律、行政法规处理个人信息的平台内提供者，停止提供服务。

因平台对平台内产品或服务提供者具有合同约束能力以及“事实”影响力，在合规推动上向平台施加发现严重违法行为时停止服务的义务，有助于推动整个平台生态内个人信息的保护。因此，对于守门人而言，需要分析如何履行该义务，其核心难点在于如何判断严重违反法律和行政法规处理个人信息的行为，目前部分行业内有相关的通报流程，如主管部门会公布违法名单以及处置方式。

·定期发布个人信息保护社会责任报告，接受社会监督。

由于“守门人”平台承载了许多对内和对外的义务，因此其应当定期发布个人信息保护社会责任报告，接受社会监督。责任报告增加了企业的透明度，也增加了个人对企业的信任感。

2.识别并遵守特定场景的个人信息处理增强义务

《个人信息保护法》还对一些高风险、处理活动复杂、涉及重大权益处理活动的特定场景规定了增强义务。

（1）必须获取“单独同意”的5种场景

当且仅当处理数据的合法性事由是基于同意的时候，有5个场景是需要获得“单独同意”的。这5个场景都是《个人信息保护法》下的重点场景。具体可参见第七章第三节。

（2）处理敏感个人信息

《个人信息保护法》对处理敏感个人信息的特殊要求总结起来有3点，即目的限定更严、告知事项更多、同意机制强化（适用“同意”事由时）。

《个人信息保护法》规定，只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，个人信息处理者方可处理敏感个人信息。《个人信息保护法》第30条规定，处理敏感个人信息的，除必须告知的一般事项外，还应当向个人增强告知：处理敏感个人信息的必要性以及对个人权益的影响，除非依法可以不向个人告知。《个人信息保护法》第29条规定处理敏感个人信息应当取得个人的单独同意；法律、行政法规规定处理敏感个人信息应当取得书面同意的，从其规定。

（3）应当事先进行个人信息影响保护评估的场景

《个人信息保护法》第55条和第56条把以往的个人信息安全评估的表述改成了个人信息保护影响评估，这比原先使用安全评估的范围更加完整和饱满。因为对于个人信息的保护不仅是安全侧的义务，也需要结合对个人信息主体权利行使的保护。

应当事前进行个人信息保护影响评估的场景包括：1）处理敏感个人信息；2）利用个人信息进行自动化决策；3）委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息；4）向境外提供个人信息；5）其他对个人权益有重大影响的个人信息处理活动。

在确定需要适用的场景范围之后，我们需了解评估的内容。首先，要评估处理目的、处理方式是否属于数据处理的一般原则，即合法、正当、必要原则。其次，要评估数据处理活动对个人权益的影响及风险程度。这应根据不同的处理行为进行风险分级。再次，要评估所采取的安全保护措施是否合法、有效并与风险程度相适应。

最后，即使经过相关决定和平衡后，风险已经被限制在对个人主体影响很小的范围内，企业还需要对整个风险评估的过程进行报告和记录，并且该记录至少保存3年，这与企业违反法律规定时涉及的举证义务相关。

整体而言，个人信息保护影响评估强调的是评估过程，属于程序性要求，而非要求达到一个固定标准的实体性要求。就企业而言，它给企业提供了一种合规路径和实现方式，通过个人信息保护影响评估排查某项数据处理行为是否合规，来确定产品或业务是否符合个人信息保护的要求，也是给予企业证明自身合规性的方法。

（4）自动化决策的场景

首先，《个人信息保护法》规定自动化决策应当保证“决策的透明度和结果公正、公平”与“不得对个人在交易价格等交易条件上实行不合理的差别待遇”，自动化决策的过程要符合对外公示的要求，企业要告知数据主体对其个人信息进行了处理，并保证所处理的结果公平公正，不会对信息主体造成歧视。《国务院反垄断委员会关于平台经济领域的反垄断指南》的相关规定中，也提到了“大数据杀熟”问题。部分互联网企业利用大数据分析对不同群体进行差别定价，实行“价格歧视”，对其他数据处理者的商业活动产生影响，从而导致不公平竞争的乱象出现，扰乱了市场秩序。而《个人信息保护法》遏制商家对大数据的滥用，主要是为建立健全大数据安全规范使用，提倡算法透明、公平，保护消费者的个人权益。

其次，《个人信息保护法》还规定，利用个人信息进行自动化决策而进行信息推送、商业营销的，应同时提供不针对个人特征的选项，或者提供拒绝的方式。但是，仅为通知性的推送不属于该条规定的范围内。《电子商务法》以及《网络交易监督管理规定》中也对“提供不针对个人特征的选项”进行了规定。相比较而言，《个人信息保护法》对此并没有提出很多额外的特殊要求。

关于自动化决策，具体到实践中有多个重要的话题，如用户画像、算法，具体请参见第十一章。

（5）数据跨境传输场景

《个人信息保护法》对数据跨境场景的相关规定需要结合其他法条一起理解，如《关键信息基础设施安全保护条例》《网络安全审查办法》等。

企业需要了解其本身所属的性质以及拟出境的数据是否涉及数据本地化要求。《个人信息保护法》第40条规定关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者，应当在境内存储其处理的数据。对于“规定数量”的具体规定，还有待相关法规给出具体的细化规定。企业还要判断拟出境的个人信息是否构成重要数据。如果构成重要数据，则即使是一般的网络运营者，也需要遵守重要数据境内存储，业务特需单独审批的要求。

只有在不涉及数据本地化要求的情况下，企业才会进一步考虑个人信息向境外提供需要满足如下具体条件。

1）《个人信息保护法》第39条规定，向境外提供个人信息的，应当向个人告知并取得个人的单独同意。提前告知并获取同意的义务可以被视为数据出境行为的前置条件。

2）《个人信息保护法》第38条对确实需要向境外提供个人信息的情况规定了相应的条件：企业通过国家网信部门组织的安全评估；或者接受专业机构进行的个人信息保护认证；或者与境外接收方签订根据国家网信部门制定的标准合同，约定双方的权利义务；以及提供了符合法律规定的兜底条件以待日后补充。根据国家网信办关于《数据出境安全评估办法（征求意见稿）》，符合以下情形之一的，应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估：①关键信息基础设施的运营者收集和产生的个人信息和重要数据；②出境数据中包含重要数据；③处理个人信息达到100万人的个人信息处理者向境外提供个人信息；④累计向境外提供超过10万人以上的个人信息或者1万人以上的敏感个人信息；⑤国家网信部门规定的其他需要申报数据出境安全评估的情形。符合如上条件的企业，只能以通过国家网信部门组织的安全评估作为跨境传输的合规条件。

3）个人信息处理者应当采取必要措施，保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。

4）在某些特殊情况下，企业可能被考虑列入个人信息一定程度自由流通的范畴。例如，《个人信息保护法》第38条新增了“中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的，可以按照其规定执行。个人信息处理者应当采取必要措施，保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准”。例如，2020年11月15日，东盟十国、中国、日本、韩国、澳大利亚、新西兰等15个国家的经贸部长正式签署《区域全面经济伙伴关系协定》（RCEP）。RCEP主要是在电子商务的框架下规定了数据跨境流动的内容，主要的要求是明确各成员方不能将设施本地化作为在其领土内开展业务的条件，也不能阻止为实现业务需要而开展的数据跨境流动活动。

5）接收方处理中华人民共和国公民个人信息，不得危害国家安全、公共利益。如果接收方确有上述危害国家安全、公共利益的行为，则国家网信部门可将其列入限制、禁止提供清单或者采取反制裁的范围。

向境外提供个人信息是数据合规领域非常重要的一个合规义务，具体参见第十四章第三节。

[1] 守门人推定标准：守门人可基于客户数量、累积活动能力、市场估值等综合标准进行推定，具体应考量如下3个累积条件。第一，影响内部市场的规模，企业在过去3个财政年度在欧洲经济区（EEA）实现的年营业额等于或超过65亿欧元，或者在上一财政年度，其平均市值或等值公平市价至少达650亿欧元，并在至少3个成员国提供核心平台服务。第二，控制着企业用户通向终端用户的重要门户，如果公司运营的核心服务平台在上一财政年度在欧盟建立或位于欧盟的月活跃终端用户超过4 500万，并且在欧盟建立的年活跃商业用户超过1万。第三，享有或在不久的将来预期享有稳固而持久的地位，企业在过去3个财政年度中的每个年度都符合其他两个标准。如果上述3个条件均得到满足，则推定该企业为守门人，除非企业提出确凿论据来证明相反的情况。