本书是对国内首部中小企业合规评价标准——《中小企业合规管理体系有效性评价》的权威解读和适用指导，由标准起草核心专家组组长、山东大学讲席教授、最高人民检察院理论研究所原所长谢鹏程等国内知名合规专家领衔，共有567位来自企业、银行、检察院、公证处、公安局、科研机构、国内高校、律师事务所、会计师事务所等机构的专业人士参与编写，89位国内一线的合规实务专家参与审定。全书共300余万字，含1本《总论》、6本《分论》，涵盖了共21个领域的内容，全方位概括了中小企业依法合规经营的关键，可作为企业开展合规管理体系建设的参考。

国曜琴岛律师事务所高级权益合伙人郭洪军参与编写了数据合规篇，文章标题为“个人信息保护视角下的企业数据合规研究”。经征得郭洪军律师同意，现将全文呈现给各位读者。

个人信息保护视角下的企业数据合规研究

作者：郭洪军

目录分类：数据合规

 互联网信息时代，数据对于企业的重要性愈发突出，数据因此也被称为“21世纪的石油”，但企业对于数据特别是个人信息等数据的收集、处理边界如何确定，如何在保证不侵犯个人信息的前提下合法合规的对数据进行利用，成为当下企业合规领域一个亟待解决的问题。本文基于2021年颁布的《个人信息保护法》，旨在通过对现行立法及相关司法实践进行研究、分析，从个人信息保护视角助力企业的数据合规建设，为企业数据合规提供协调数据利用与个人信息保护关系的新思路。

一、数据合规与个人信息保护概述

2021年8月20日，历经三次审议，备受关注的《个人信息保护法》表决通过，并于同年11月1日起正式施行。《个人信息保护法》的出台，以立法形式明确了个人信息权益具有绝对权的法律性质，任何组织和个人不得侵犯个人信息，这对企业的数据合规工作提出了新的要求，同时意味着对企业而言，在日常运营发展过程中，需要正确把握个人信息处理的程序和界限。2022年7月21日，因存在严重侵犯用户个人信息以及严重影响国家安全等数据处理行为，国家互联网信息办公室对滴滴全球股份有限公司处以人民币80.26亿元罚款，互联网时代的企业数据合规问题再次被推上舆论的风口浪尖，数据合规在企业合规建设中的重要性更显突出。

企业合规是指企业为保障自身活动符合法律规则要求而建立的风险防控机制。从公司治理的角度来看，企业合规是企业为防范、识别和应对潜在合规风险所建立的治理体系。^①在信息保护与监管领域，企业合规主要聚焦于数据合规方面，企业数据合规是指企业对数据采取的行为符合所在地与业务关联地法律法规的要求，企业从数据的收集、处理、储存，到转让、删除、销毁，都需要依照相关法规来执行，不得侵犯国家安全与公民个人信息安全。一般而言，企业数据合规建设过程中会涉及的风险类型主要有以下几种：侵犯公民个人信息；侵犯商业秘密；侵犯消费者权益；不正当竞争等类型。而在《个人信息保护法》实施以后，目前企业数据合规研究的主要问题就在于如何防范侵犯公民个人信息风险，例如APP对个人信息的强制违规采集、个人信息泄露引发的下游违法犯罪、恶意广告、骚扰电话与骚扰短信、大数据“杀熟”。

二、个人信息保护与数据确权

确定数据权属是进行数据合规建设的基础，《数据安全法》《个人信息保护法》虽然已经陆续通过，但现行法律仍未对数据权属作出明确的界定。基于公民个人信息保护的角度，实务界对于数据权属的确定主要采取了类型化的方式，具体而言数据包含三种：一是包含个人信息的基础数据；二是不包含个人信息的匿名化数据；三是经数据技术加工后的衍生数据。

1.包含个人信息的基础数据

个人数据的所有权人就是数据主体本人。对于含有个人信息的基础数据，数据主体拥有绝对权利，未经权利人的有效许可不能擅自利用。《个人信息保护法》第二条明确规定，自然人的个人信息受法律保护，任何组织、个人不得侵害自然人的个人信息权益。

2.不包含个人信息的匿名化数据

在个人数据基础上，对数据做出匿名化处理后对数据进行的利用，此时企业对该匿名化数据集享有部分利用权。因为在采用匿名化等技术加工后，所收集到的个人信息中的可识别性被消除，此时的个人信息已经不具有特定的人身性。《个人信息保护法》第四条规定：个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。该条明确规定了关于匿名化数据处理行为的豁免。

但该利用权是有限制的，主要原因有三：第一，匿名化数据虽然隐去了人身性，但其本质仍然是原始数据；第二，根据《个人信息保护法》的立法理念，即便个人信息经过了匿名化处理，但亦不得侵犯公民个人对个人信息享有的相关权利；第三，随着技术的不断进步，完全匿名化处理已经不复存在。经过脱敏、匿名化处理后可视化的个人信息依然存在对经过关联信息技术分析后得到原始个人信息的可能性。

3.经数据技术加工后的衍生数据

对于经过数据清理、数据可视化等技术手段进行加工以完成可应用改造的衍生数据，数据控制者应当拥有所有权。正如2015年5月26日公布的《贵阳大数据交易所702公约》中披露的数据交易类型，如政府大数据、医疗大数据、金融大数据、企业大数据。

三、个人信息保护与数据利用

在企业数据包含个人信息的情形下，企业行使其数据权益需要妥当处理企业数据利用与个人信息保护之间的关系，这既有利于确保对个人信息权益的充分保护，也有利于促进企业数据合规建设，从而更好地发挥企业数据的经济效用与社会效用。

企业处理个人信息的主要目的是实现对数据财产的利用，这也是发挥企业数据经济效用最为重要的一种方式。在企业数据包含个人信息的情形下，企业利用企业数据也涉及个人信息的处理，也应当以合法处理个人信息为基本前提。进一步而言，企业在利用企业数据时，不仅原则上需要取得个人同意，而且需要符合法律规定的特殊条件。例如，为了提高经营效率和竞争优势，企业可能利用其企业数据进行自动化决策，此时企业也应当保障其对个人信息处理行为的合法性。主要包括以下两个方面：一方面，企业进行自动化决策涉及个人信息的利用时应依法取得个人的同意。根据《个人信息保护法》第四十四条之规定，个人对其个人信息的处理享有知情权、决定权，除法律、行政法规另有规定外，个人有权限制或者拒绝他人对其个人信息进行处理。因此，企业既要将对其个人信息进行自动化决策的具体情况如实告知个人，以保障其知情权，也需要取得个人的同意，以保障其决定权。企业未经上述过程擅自将个人信息用于自动化决策的，存在侵害个人信息权益的风险。另一方面，即使企业对个人信息的利用已告知个人并取得个人的许可，根据《个人信息保护法》第二十四条第一款之规定，企业还应当确保决策过程公开、透明和决策结果公平、公正，不得对个人信息在交易价格等交易条件上实行不合理的差别待遇，否则将构成不当自动化决策。^②在构成不当自动化决策的情形下，企业实际上是违反了个人的许可授权，因为个人只是授权企业利用其个人信息进行正当自动化决策，而未授权企业利用其个人信息进行不当自动化决策，因此，该行为既违反了个人信息许可使用合同，也构成对个人信息权益的侵害，个人有权依法请求企业承担违约责任或者侵权责任。

四、基于个人信息保护视角的企业数据合规体系建设

1.继续完善知情同意原则，健全国家对个人信息保护的合规机制。

《个人信息保护法》第十三条明确规定，符合下列情形之一的，个人信息处理者方可处理个人信息：···取得个人的同意···依照本法其他有关规定，处理个人信息应当取得个人同意，但是有前款第二项至第七项规定情形的，不需取得个人同意。但前述知情同意原则存在显著的局限性，主要表现在公民个人难以独自承担个人信息保护义务。在确立和完善个人信息保护立法的过程中，对知情同意原则的质疑始终存在。目前学界的主流观点认为，通过保障充分告知与实质同意、细化不同类型同意的规范内涵与法律效力、引入基于场景的风险管理与评估机制或其他多元规制机制等制度设计，可使知情同意原则摆脱困局。^③总之，仅依靠信息主体的知情同意，难以充分保障个人信息处理相关主体的权益。因此，应合理限制企业的个人信息处理自由，使国家能够通过合规机制保护公民个人的合法权益。

2.建立风险评估与响应机制。

数据合规管理的目的是要防范和管控数据合规风险，而防范和管控数据风险的前提应是认识和评价风险。《个人信息保护法》中有对企业数据风险评估的详细要求；在隐私政策中向用户披露风险评估报告的内容也可以使用户充分了解企业的数据保护程度；企业开展数据评估采取相应措施后，即使后期出现了相应法律风险，也可提供报告证明已采取规避风险的措施降低自身法律责任。因此，数据合规风险评估是数据合规管理体系建设过程中较为重要的工作之一。企业应当建立风险评估流程，明确何时需要评估、哪些数据需要评估、如何准备材料、自行评估或是聘请相关机构评估以及相关责任等，企业可聘请具有一定资质的业务专家与法律专家共同根据不同的企业特点，制定不同的评估方法，最终形成一套完整的企业数据合规风险库。而这也正是企业进一步采取数据合规管控措施的基础。同时，数据合规风险库是一个不断完善，不断修正的过程，根据法律的更新和外部环境的变化，企业应注意必须定期地维护、更新。

3.制定企业数据合规制度。

企业数据合规体系的落地实施依赖于企业相关规章制度的完善。企业可根据自身特点，依据已实施的《个人信息保护法》，参照其他已有草案或正在征求意见的各项法律法规、政策及行业规范，制定自己内部的数据合规制度。企业制定的数据合规制度既包括与数据合规管理相关的一般性规定，即数据合规管理办法、数据合规实施细则等，也包括为推动数据合规运行制定的专项规定，如数据合规风险评估办法、数据合规审查办法等，还包括落实数据合规管控的专项制度，如数据保护合规管理办法、数据安全监管制度等。企业可选择将上述制度在专项的数据合规管理办法中一并进行规定，也可以单独规章制度的形式拟定。境外实践中的个人信息保护领域问责制通过法律明确个人信息保护的原则，由企业主动制定规则履责，更加能激励企业积极主动地制定各项管理办法，更好地进行数据保护。^④这一制度也可推进到企业各个部门当中，在企业数据合规相关规定的大框架下，各部门根据自己的职责范围和工作特点进一步细化，分别对数据合规的各个环节把关负责，从人员内部更好地激励企业数据合规的积极性，增强企业数据保护意识，提升企业数据合规水平。

引用

[1] 陈瑞华：《企业合规的基本问题》，载《中国法律评论》2020年第1期。

[2] 王叶刚：《企业数据权益与个人信息保护关系论纲》，载《比较法研究》2022年第4期。

[3]敬力嘉：《个人信息保护合规的体系构建》，载《法学研究》2022年第4期。

[4] 黄信瑜、周飞宇：《企业数据合规的法律治理研究》，载《齐齐哈尔大学学报（哲学社会科学版）》2022年第5期。

作者简介

郭洪军律师

联系电话：13325129932（微信同号）

郭洪军律师，国曜琴岛（济南）律师事务所高级合伙人，2000年毕业于中国政法大学，民商法硕士研究生。

郭律师所带领的公司商事业务团队，成员均毕业于国内知名法学院校，拥有完整、严格、规范的业务流程、管理制度和质量监督机制，多年来深耕公司治理与投资并购、不良资产处置、金融证券保险等业务领域和商事合同争议解决，在上述领域拥有丰富的诉讼和非诉讼法律服务经验，以专业、勤勉、负责的执业理念和过硬的业务素质赢得了客户的一致好评。