企业对个人信息的保护

姜晓亮   国际法学硕士  counsel@attorney.net.cn

《中华人民共和国个人信息保护法》 于2021年11月1日起施行。个人信息是以数据或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。个人信息保护法针对随着数字经济发展出现的随意收集、违法获取、过度使用、非法买卖个人信息等突出问题，在《网络安全法》《民法典》等现行有关法律的基础上，进一步完善了个人信息保护制度规则，全面规范了对个人信息处理活动，为我国个人信息保护供了更加完备、更加有力的法律保障。

1. 企业在个人信息处理时应遵循的基本原则

个人信息处理，是指对个人信息的收集、存储、使用、加工、传输、提供、公开、删除等行为。企业在对个人信息处理时，可以参照《信息安全技术 个人信息安全影响评估指南（GBT39335-2020）》，遵循合法正当原则，诚信原则，目的明确合理原则，最小必要原则，主体负责原则与安全保障原则。

1）合法正当原则，不得通过胁迫方式处理个人信息；
2）目的明确合理原则，明确处理个人信息应当与处理目的直接相关；
3）最小必要原则，处理个人信息应当采取对个人权益影响最小的方式，收集个人信息应当限于实现处理目的的最小范围，不得过度收集个人信息；
4）主体负责原则，明确公开个人信息处理规则，应当明确处理目的、方式和范围；负责保证个人信息的准确，避免对个人权益造成不利影响。

2. 严格保护敏感个人信息

个人信息保护法对敏感个人信息予以严格保护，要求个人信息处理者只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，方可处理敏感个人信息，同时应当事前进行影响评估，并向个人告知处理的必要性以及对个人权益的影响。主要考虑是此类信息一旦泄露或者被非法使用，极易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害。

敏感个人信息包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息。

确保对跨境个人敏感信息的有效保护：
1）以向境内自然人提供产品或者服务为目的，或者分析、评估境内自然人的行为等，在我国境外处理境内自然人个人信息的活动适用本法。
2）个人信息跨境提供的合法途径，包括特定情形通过国家网信部门组织的安全评估、经专业机构进行个人信息保护认证、订立标准合同、按照我国缔结或参加的国际条约、协定的有关规定等。
3）个人信息处理者应当采取必要措施，保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。
4）对跨境提供个人信息的“告知—同意”作出更严格的规定，要求应当取得个人的单独同意。
5）外国司法或者执法机构要求提供存储于我国境内的个人信息的，非经我国主管机关批准，个人信息处理者不得提供。

3. 履行对个人信息的保护义务

企业应参照《信息安全技术：个人信息安全规范（GB∕T 35273-2020》，履行对个人信息处理的合规管理和保障个人信息安全等义务，按照依法制定的规章制度和操作规程，采取相应的安全技术措施，并指定负责人对进行个人信息处理的部门进行监督；定期对个人信息活动进行合规审计；对处理敏感个人信息、向境外提供个人信息等高风险处理活动，事前进行个人信息保护影响评估；履行个人信息泄露通知和补救义务等。