第九部分：个人信息处理者的主要义务

　　个人信息处理者的主要义务，从企业的角度来看，可以扼要理解为，组织在处理个人信息时候，需要根据适用的数据保护法律的要求，提供和制定各项内部与外部的个人信息保护与管理制度，以及安全技术保障措施，以便更好地遵守数据保护法律的规定，这也是各个企业在数据合规工作中特别重要的部分。

　　（一）我国个人信息保护法解读：

　　本次个保法在第五章中比较系统地规定了个人信息处理者的基本法律义务，从组织保障、制度建设、以及安全技术措施等角度，为企业在个人信息处理的实操中，提供了更为清晰的、确定性的义务性要求与规范。在本系列文章中前面第六至第八部分的篇章中，也提及了一些关于个人信息处理者的义务要求，例如事前的数据影响与风险评估要求、发生安全事件时的数据泄露通知、以及设立个人信息保护负责人的要求等。

　　在下面的内容中，我们将从企业合规的角度，为企业扼要梳理其作为个人信息处理者需要遵守的我国个保法规定的基本义务：

　　1.  制定企业内部的管理制度和操作规程

　　我国个保法要求企业应当制定属于企业内部的个人信息保护与管理制度与操作规程。关于个人信息的合规制度体系的搭建，可以庞大而复杂，也可以麻雀虽小但五脏俱全。

　　因此，企业应当结合自身的业务发展情况，特别是业务开展过程中所涉及到的个人信息处理活动的具体情况，将个人信息保护的基本要求嵌入到业务流程中去，以制定出一套适合公司特有业务场景的内部管理制度，并通过执行性强的操作程序，进一步清晰地明确和落实个人信息全生命周期中的各个合规细节和要求，以实现通过制度和管理达到有效保障个人信息安全的目的。

　　2.  建立个人信息分级、分类的管理制度

　　确保个人信息的安全角度考虑，我国个保法要求企业对个人信息进行分级、分类的管理，这是企业进行个人信息安全风险防范与管理的技术方案之一。

　　我国《网络安全法》要求网络运营者应当采取数据分类、重要数据备份和加密等措施；《数据安全法》也以立法的形式确认了国家通过建立数据分类分级制度来实现对数据的保护。

　　因此，企业应当结合不同的业务场景和数据本身的属性，就所收集到的个人信息制定个人信息的分级分类目录、技术标准，并采取对应的安全管理措施。

　　3.  建立数据安全制度并采取安全技术措施

　　同样也是从技术安全的角度着手，我国个保法要求企业采取相应的加密、去标识化等安全技术措施。在35273-2020规范中，也要求企业在传输和存储个人敏感信息时，应采用加密等安全措施的要求；以及提出了要求企业在收集个人信息后，应立即进行去标识化处理的建议。

　　因此，一方面，企业需要根据其所处理的个人信息的属性、种类、敏感程度等特征，采取不同级别的加密措施，特别是涉及敏感信息的处理时候，应采用符合国家标准的密码管理技术；另一方面，在涉及需要通过界面进行个人信息展示的时候，或其他需要进行对外转让、披露的情况下，企业应该根据个人信息的性质，采取去标识化处理、匿名化处理的技术措施，以达到可以有效降低个人信息泄露风险的目的。与此同时，企业应当注意将不同类别的敏感信息进行分开存储，例如，企业需要将可用于恢复识别个人的信息，与去标识化后的信息进行分开存储；将个人生物识别信息应与个人身份信息分开存储等。

　　4.  建立个人信息权限管理、安全教育与培训制度

　　企业在进行个人信息保护工作的过程中，如何对内部人员进行有效的管理，特别是对大量处理和接触用户个人信息的人员，是合规工作中非常重要的一环。我国个保法要求企业通过设立权限管理制度，合理确定内部人员对个人信息处理的操作权限，并定期对从业人员进行安全教育和个人信息合规培训。

　　因此，企业应当对个人信息，特别是个人敏感信息的控制（如个人信息的访问、查看、修改、删除、复制、销毁等操作行为），建立合理、有效的个人信息权限管理制度。例如：

　　（1）按照业务流程的需求作为授权操作的触发条件；

　　（2）对被授权访问个人信息的人员，建立最小授权的访问控制策略（使其只能访问职责所需的最小必要的个人信息）；

　　（3）对个人信息的重要操作设置内部审批流程；

　　（4）对大量接触个人敏感信息的从业人员进行背景审查，签署保密协议；（5）对企业内部员工进行定期进行安全教育和个人信息合规培训，帮助员工，特别是从事个人信息处理岗位的相关人员熟悉，个人信息保护工作的处理原则和合法、合规地处理用户个人信息的方式。

　　5.  制定并落实个人信息安全事件应急机制

　　我国个保法规定，企业应当制定、并组织实施个人信息安全事件的应急预案，在安全事件发生后，企业应当根据应急预案采取如下措施，包括：

　　01

　　对个人信息安全事件进行记录；

　　02

　　对个人信息安全事件可能造成的影响进行评估；

　　03

　　采取及时、必要、有效的措施对个人信息安全事件可能造成的影响进行有效的控制、及时止损；

　　04

　　根据《国家网络安全事件应急预案》等相关规定，对个人信息安全事件及时上报给监管部门等。

　　在日常的企业经营中，企业也应注意对个人信息安全事件和应急预案进行演练，以保证在发生类似事件时候可以及时进行响应和处理。

　　另外，关于个保法规定，当发生个人信息泄露事件后，企业应当履行个人信息泄露的通知和补救义务。关于此点，具体请见本系列文章的第七部分：#7 发生安全事件时数据泄露通知的要求

　　6.  任命个人信息保护负责人

　　关于此点，具体请见本系列文章的第八部分：#8 数据保护官（DPO/个人信息保护负责人）任命要求

　　7.  定期进行合规审计

　　我国个保法对个人信息的处理活动和合规保护工作提出了定期开展合规审计的要求。因此，为了保证个人信息处理活动的持续合规性，企业应当建立定期的合规审计制度，并重点对个人信息处理活动、个人信息保护政策、个人信息保护的管理制度与操作规程、技术安全措施等部分，进行有效的合规审计。

　　8.  进行事前风险评估与建立数据影响评估制度

　　关于此点，具体请见本系列文章的第六部分：#6 数据影响评估（DPIA/PIA）要求。

　　9.  关于“守门人规则”

　　我国个保法就“提供基础型互联网平台服务、用户量巨大、业务复杂的重要互联网企业”提出了特殊的合规义务。这主要是因为平台型企业涉及到多种类型的个人信息处理者主体，且涉及了大量的用户个人信息的处理，因此，个保法对此类重要的互联网平台企业，赋予了要求其对平台内的产品或服务提供者进行管理的法律义务，俗称“守门人规则”。

　　因此，对于涉及大量用户个人信息处理的头部互联网平台企业，应特别注意：

　　01

　　建立健全个人信息保护合规制度体系，成立独立机构对个人信息保护情况进行监督，且该独立机构需要由例如独立董事、外部咨询机构、独立律所专业人员、外聘专家等外部独立人士组成。

　　02

　　遵循公开、公平、公正的原则，制定合理的平台规则，对平台内的产品或服务提供者关于“处理个人信息的规范”和“保护个人信息的义务”进行明确。例如，要求平台内的服务提供者配备独立的隐私政策、提供足够的安全技术保护措施等。

　　03

　　发现平台内的产品或服务提供者出现严重违反法律、法规去处理个人信息的情况时，应对其采取必要的处罚措施、并停止为其提供服务。

　　04

　　定期发布个人信息保护社会责任报告，接受社会监督。

　　10.  法律、行政法规规定的其他措施

　　最后，个保法采取了兜底条款，以向企业明确，企业还需要遵守除个保法以外的其他相关法律、行政法规的规定，以应对未来个人信息合规法律体系构建过程中可能出现的各类新情况、新要求。

　　（二） 海外主要个人信息保护法律对比：

　　鉴于，在不同国家和地区的数据保护法律中，个人信息处理者需要遵守的法律义务均有非常具体、细致的规定，对于特殊的情况或场景也可能会有特别的规定，且一些国家和地区的数据保护法律中，会对个人信息控制者与处理者（controller）的角色、责任和义务进行区分，考虑到本问题的复杂性及本文的篇幅问题，我们在下面的表格中，仅就企业在个人信息处理活动中，需要注意的部分基础义务进行扼要列示。

　　总体来说

　　大部分国家和地区的数据保护法律中，都会对个人信息处理者的基础法律义务进行比较充分、全面的规定，并根据其自身的的特殊国情，提供对应的特别规定。对于出海企业而言，充分了解和认识适用国家的个人信息保护法律中关于个人信息处理者的基础义务和责任，是企业在个人信息处理活动中掌握合规要点的关键。