2021年11月1日，《中華人民共和國個人信息保護法》（下稱“《個信法》”）正式實施，占據了中國個人信息保護領域專門立法的頭把交椅。面對《個信法》的正式生效，Apple（于2021 年10月27日更新了《Apple 隱私政策》）、騰訊（于2021 年10月29日更新了《微信隱私保護指引》）等平臺均已給出了答卷（見下圖），而你的答卷上交了嗎？你真的準備好了嗎？

《Apple 隱私政策》

《微信隱私保護指引》
注：所涉截圖僅為本文舉例展示之用，不視為對所涉主體個人信息處理合規性的任何評價。

我們特此梳理并凝練了《個信法》項下，作為個人信息處理者的互聯網平臺不得不回答的七個核心問題（見下表），并對應凝練核心合規要點，望能為企業提供參考和借鑒。

一、你真的受《個信法》規制嗎？

是否受《個信法》的規制，可分“三步走”進行判斷（詳見下表）：

第一步，看行為，即是否存在處理個人信息的行為。核心關鍵詞為“個人信息”與“處理”：其一，標的應屬于《個信法》規定的“以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息”，其中匿名化處理后的信息非個人信息；其二，行為應屬于《個信法》規定的“處理”行為，包括收集、存儲、使用、加工、傳輸、提供、公開、刪除等。

第二步，看地域，即該行為的發生地，若屬于在中國境內處理個人信息的活動，應受《個信法》規制；若屬于在中國境外處理個人信息，只有在滿足下述情形下才受《個信法》管轄：個人信息的主體在為“境內自然人”，同時，存在“以向境內自然人提供產品或者服務為目的”、“分析、評估境內自然人的行為”或“法律、行政法規規定的其他情形”（下稱“三種情形”）中的任一情形。

第三步，看例外情形，《個信法》規定了兩種例外情形，其一，自然人因個人或者家庭事務處理個人信息的，不適用《個信法》；其二，法律對各級人民政府及其有關部門組織實施的統計、檔案管理活動中的個人信息處理有規定的，適用其規定。

綜上，可以得出：1、標的為“個人信息”，2、存在“處理”行為，3、該處理行為發生在中國境內或發生在境外，但對象為境內自然人。存在三種情形中的任一情形 ，并不存在例外情形的，就要受《個信法》規制。

二、你真的知曉違規處理個人信息的罰則嗎？

《個信法》項下，罰則的規定（詳見下表）呈現出“雙罰制”“兩級制”以及“處罰措施多維度”的顯著特點，具體如下：

其一，采取“雙罰制”。針對違反《個信法》規定處理個人信息的，或未履行《個信法》規定個人信息保護義務的，除了針對單位進行處罰外，亦明確了責任人（直接負責的主管人員和其他直接責任人）應承擔的行政責任；

其二，采取“兩級制”?！秱€信法》區分違規的“一般情形”與“情節嚴重”分別設置兩級處罰，其中，罰款最高可達5000萬元或上一年度營業額5%；

其三，“處罰措施多維度”。除罰款外，亦規定了責令改正，給予警告，沒收違法所得，責令暫?；蛘呓K止提供服務等以及針對負責人的“行業禁止令”等處罰措施，該等措施與罰款可為“并處”關系。

三、你真的享有處理個人信息的合法性基礎嗎？

處理個人信息，應當具備《個信法》規定的合法性基礎，詳見下表：

由此可見，《個信法》確立了“告知—同意”為核心的個人信息處理系列規則：

其一，顯著告知，個人信息處理者在處理個人信息前，應當以顯著方式、清晰易懂的語言真實、準確、完整地向個人告知有關個人信息處理者和信息處理的相關事項，通過制定個人信息處理規則的方式告知的，該處理規則應當予以公開，并便于查閱和保存；

其二，取得同意，除法定情形（如為訂立、履行個人作為一方當事人的合同所必需，或者按照依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理所必需等情形）外，取得個人在充分知情的前提下的自愿同意。

其三，單獨同意，若涉及到向第三方個人信息處理者提供個人信息、公開個人信息、公共場所安裝圖像采集、個人身份識別設備，用于維護公共安全以外目的收集個人圖像、身份識別信息、處理敏感個人信息、向境外提供個人信息等上表所列的“單獨同意”事項，則應當取得個人的單獨同意；

其四，特殊同意，若涉及針對不滿十四周歲未成年人的個人信息處理，應當取得該個人的單獨同意（該類信息屬于敏感個人信息）并取得未成年人的父母或者其他監護人的同意。

平臺可根據自身處理的個人信息類別及處理情形，對應采取上述措施取得處理個人信息的合法性基礎。

四、你真的知曉怎么合規處理個人信息嗎？

合規處理個人信息，單單獲得個人的同意，還遠遠不夠?！秱€信法》吸收GDPR等國際經驗，并基于中國國情確立了處理個人信息的一般原則：

個人信息處理者應對照上述原則逐一核對，并將上述原則貫穿于個人信息處理的全過程與各環節。以最小必要原則為例，落實該原則，分三點內容：

其一，最小影響，處理個人信息應當采取對個人權益影響最小的方式；

其二，最小范圍，收集個人信息，應當限于實現處理目的的最小范圍，不得過度收集個人信息；

其三，最短時間，除法律、行政法規另有規定外，個人信息的保存期限應當為實現處理目的所必要的最短時間。

除上述原則性內容判斷方式外，針對該最小必要原則，可依據《常見類型移動互聯網應用程序必要個人信息范圍規定》（國信辦秘字〔2021〕14號）列舉的常見類型App予以對照，或可參考國家標準《信息安全技術個人信息安全規范》中對收集個人信息的最小必要的釋明：“收集的個人信息的類型應與實現產品或服務的業務功能有直接關聯；直接關聯是指沒有該等信息的參與，產品或服務的功能無法實現；自動采集個人信息的頻率應是實現產品或服務的業務功能所必需的最低頻率；間接獲取個人信息的數量應是實現產品或服務的業務功能所必需的最少數量。”予以判斷，以確保處理個人信息符合該原則。

五、你真的依法保障了個人的法定權益嗎？

在處理個人信息過程中，個人信息處理者應當建立便捷的個人行使權利的申請受理和處理機制，保障個人行使其法定權益。而機制的建立需要以知悉個人信息主體所享有的法定權利為前提，詳見下表：

針對上述權利的行使與保障，以社會廣泛關注的自動化決策為例，《個信法》生效后，平臺利用個人信息進行自動化決策，應注意下述要點：

其一，禁止“大數據殺熟”，應當保證決策的透明度和結果公平、公正，不得對個人在交易價格等交易條件上實行不合理的差別待遇；

其二，提供備選或便捷的拒絕方式，通過自動化決策方式向個人進行信息推送、商業營銷，應當同時提供不針對其個人特征的選項，或者向個人提供便捷的拒絕方式。其中，不針對個人特征的選項，根據《信息安全技術 個人信息安全規范》（GB/T 35273—2020）第7.5條第b)項注釋，基于個人信息主體所選擇的特定地理位置進行展示、搜索結果排序，且不因個人信息主體身份不同展示不一樣的內容和搜索結果排序，則屬于不針對其個人特征的選項；

其三，拒絕自動化決策權，若作出對個人權益有重大影響的決定的(針對對個人權益有重大影響的決定，《信息安全技術 個人信息安全規范》列舉了如下情形：自動決定個人征信及貸款額度，或用于面試人員的自動化篩選等)，個人有權要求個人信息處理者予以說明，并有權拒絕個人信息處理者僅通過自動化決策的方式作出決定；

其四，履行評估義務，應當事前進行個人信息保護影響評估，詳見本文“七、你真的準備好自證清白了嗎？”。 

六、你跨境提供了個人信息嗎？

若平臺涉及個人信息跨境傳輸的，應關注下述合規要點： 

七、你真的準備好自證清白了嗎？

《個信法》確立了個人信息處理侵權糾紛的舉證責任倒置原則，處理個人信息侵害個人信息權益造成損害，個人信息處理者不能證明自己沒有過錯的，應當承擔損害賠償等侵權責任。

這就倒逼平臺來留存對應能證明自身沒有過錯的證據，對此，平臺應該如何自證清白？

我們團隊根據既往的個人信息保護合規的項目經驗，提煉上述個人信息處理者的法定義務，總結出“MACTOP”合規“武器”，幫助平臺進行“自證清白”：

（1） M：即“Management”，平臺需要建立與個人信息保護相關的內部管理制度和管理規程，落實個人信息保護負責人崗位設置，申請獲得ISO27001信息安全管理體系認證、網絡安全等級保護等資質，從系統資質、人員崗位設置及管理細則等方面“自外而內”管理職責和要求；

（2） A：即“Authorization” & “Assessment”，其一，平臺需要合理確定個人信息處理的操作權限，根據業務流、個人信息流，授權不同部門、人員進行相應的處理；其二，平臺需要依法定期進行合規審計，并依法履行個人信息保護影響評估義務，予以記錄與流痕；

（3） C：即“Category”，平臺需要對個人信息進行分類管理，根據不同的類別賦予不同的數據保護工具。如區分一般個人信息、敏感個人信息等類別給予不同維度的保護層級；

（4） T：即“Technology”，平臺需要采取相應的加密、去標識化等安全技術措施，來保護經分類和授權處理的個人信息；

（5） O：即“Organization”，平臺需要定期對從業人員進行安全教育和培訓。如通過簽署保密協議、進行背景調查、定期安全教育、定期培訓等方式，增強平臺從業人員對于個人信息保護的合規意識，亦可以進一步明確內部涉及個人信息處理不同崗位的職責和處罰機制；

（6） P：即“Plan”，平臺需要建立個人信息安全事件應急預案并定期組織相關人員進行演練，履行個人信息泄露通知、補救等各項義務與流程，明確各主體責任。

除通過上述“MACTOP”建立合規體系外，若屬于大型網絡平臺（即重要互聯網平臺服務、用戶數量巨大、業務類型復雜的個人信息處理者），還應依法履行下述法定義務并對應留存有效證明：(a)建立健全個人信息保護合規制度體系，成立主要由外部成員組成的獨立機構對個人信息保護情況進行監督；(b)遵循公開、公平、公正的原則，制定平臺規則，明確平臺內產品或者服務提供者處理個人信息的規范和保護個人信息的義務；(c)對嚴重違反法律、行政法規處理個人信息的平臺內的產品或者服務提供者，停止提供服務；(d)定期發布個人信息保護社會責任報告，接受社會監督，從而得以“自證清白”。 

結語

良好的信息保護是數據共享與數字資源最大化利用的基本前提。我們相信，通過前述七大核心問題，互聯網平臺能明晰自身是否受《個信法》管轄、違規成本、處理個人信息的合法性基礎、合規方式、個人享有的法定權益、跨境傳輸的合規要點以及在舉證責任倒置下的合規應對，讓廣大互聯網用戶重拾信心，激發網絡數據共享與利用的活力，從而營造出數字經濟的良好生態環境，最終反作用于平臺的商業發展，由此循環往復，使得《個信法》真正為數字經濟發展保駕護航。