个人信息保护法企业合规启示报告 h t i g b u m o c . 5 下篇 企业合规风险研判 前言 近年来，伴随着数字经济发展，对个人信息的采集和 利用成为一种“刚需”。个人信息保护不断涌现出新问题， 随意收集、违法获取、过度使用、非法买卖个人信息等情况 “野火烧不尽”。信息数据的挖掘利用与个人保护之间张 力 扩 大 ，急 需 专 门 法 律 对 个 人 信 息 处 理 活 动 提 供 规 范 样 m o c . 5 本。 放眼全球，个人信息保护立法在如火如荼地展开，目 前已经有 128 个国家通过立法保护个人信息和隐私。欧 b u 盟《通用数据保护条例》、美国加利福尼亚州隐私保护法的 出台，在国际上颇具影响力。 h t i g 《个人信息保护法》在此背景下被纳入立法进程，并在 各方推动下不断提速，千呼万唤始出来。2021 年 8 月 20 日， 《个人信息保护法》由第十三届全国人民代表大会常务 委员会第三十次会议通过，自 2021 年 11 月 1 日起施行。 《个人信息保护法》共 8 章 74 条。在有关法律的基础 上，该法进一步细化、完善个人信息保护应遵循的原则和 个人信息处理规则，明确个人信息处理活动中的权利义务 边界，健全个人信息保护工作体制机制。该法成为我国迈 入数字化社会，彰显“以人为本”的法律制度里程碑，也是 我国为全球数字治理贡献的中国方案。 南方财经全媒体集团合规科技研究院长期关注个人 信息保护议题，持续跟踪报道立法进程、监管动态、公众呼 个人信息保护法企业合规启示报告 声。借《个人信息保护法》落地之际推出解读报告，分析当 前“ 大 数 据 杀 熟 ”、强 制 同 意、人 脸 识 别、超 大 型 平 台 义 务 等多项热点。 报告分为上下两篇，上篇《个人信息处理新变局》梳理 立法路径与模式，聚焦个人信息处理逻辑的转变，下篇《企 业合规风险研判》则将目光放到企业合规的重点与难点， 以及新的信息处理机制在数字经济发展中面临的新挑战。 m o c . 5 本篇展现企业在个人信息权带来的冲击下，存在的八 大合规风险。对企业成本压力的提升、敏感个人信息的处 理、超大型平台的责任、个人信息跨境流动进行分析；梳理 受《个人信息保护法》的影响，竞争执法产生的不确定性， b u 公益诉讼将开启的新局面；解读个人信息保护与反垄断的 竞合以及与经济发展的平衡。 h t i g 版权声明 本报告版权为南方财经全媒体集团合规科技研究院所有，并受法律保护。 其他媒体、网站或个人以转载、摘编或其他方式使用本报告内容的，必须注明“来 源：南方财经全媒体集团合规科技研究院”字样，否则不得进行商业性的原版原 式转载，也不得歪曲和篡改本报告所发布的内容。违反上述声明者，我们将依法 追究其相关法律责任。 contents 下篇 企业合规风险研判 目录 P01 / P01 / P02 / P06 / P07 / P07 / P08 / P09 / P13 / P14 / P15 / P16 / P16 / P17 / P19 / P19 / P21 / P22 / P22 / 一、企业合规成本上升 1. 个人信息自主权带来冲击 2. 个人信息全生命周期管理 二、敏感个人信息处理风险 1. 2. 3. 4. 人脸信息 医疗健康信息 不满 14 周岁未成年人信息 合规要点 三、超大型平台责任加重 1. 2. 3. 4. 5. b u 四、个人信息跨境流动 1. 2. 3. 4. m o c . 5 重要互联网平台服务 增加独立第三方的制约 公平合理对待平台内经营者 个人信息保护社会责任报告 合规要点 完善个人信息跨境提供规则 个人信息管制和反制条款 建立境外机构在境内的监管 合规要点 h t i g P23 / 五、执法竞争带来的不确定性 P24 / P24 / P25 / 1. 中央与地方共同监管 2. 多部门参与 APP 执法监管 3. 合规要点 P26 / P27 / P28 / P29 / 六、公益诉讼 1. 个人信息保护成为公益诉讼新领域 2. 合规要点 七、与反垄断竞合风险 P30 / P30 / P31 / 1. 审视数据垄断与个人信息保护关系 2. 信息保护与平台垄断的权衡 3. 数据可携带权带来的新变化 P32 / 八、个人信息保护与经济发展的平衡 P32 / P33 / P36 / P36 / 1. 数据权属与授权明确 2. 探索新型数据治理之道 学术指导 致谢 个人信息保护法企业合规启示报告 一、企业合规成本上升 一直以来，企业作为个人信息采集主体，在权利天平中占据绝对 高地。 《个人信息保护法》明确了在个人信息处理活动中个人的各项 权利，包括知悉个人信息处理规则和处理事项、同意和撤回同意，以 及个人信息的查询、复制、更正、删除等总结提升为知情权、决定权。 m o c . 5 这意味着，用户的权利地位得到很大的转变，一改企业强势、用户 弱势的局面，企业处理个人信息的逻辑需进行调整，面临巨大的合规 压力。 1. 个人信息自主权带来冲击 h t i g b u 《个人信息保护法》明确了用户享有的一系列个人信息权利，企业 负有协同配合用户权利行使的义务。只要进行个人信息收集的企业 都必须知道他们拥有哪些个人信息、存储在何处、如何处理这些信息 以及与谁共享这些信息等，需要根据用户需求，灵活和准确地响应数 据主体访问查询、同意、更正、删除、数据迁移等要求。 “单独同意”也增加了企业信息转移时的合规负担。 《个人信息保 护法》第二十三条要求：如果企业向第三方提供其处理的个人信息， 应向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方 式和个人信息的种类，并取得个人的单独同意。 《个人信息保护法》三审过程中，不少委员提到这一规定不利于数 据流动。对于企业而言 ，转移个人信息必须通知个人并取得单独同 意，法律的合规成本较高，操作层面实现难度大。 1 下篇 企业合规风险研判 m o c . 5 可以预见， 《个人信息保护法》和《数据安全法》落地后，为响应法 律，企业合规成本必然增加，部分业务需要进行较大的调整。人员、 b u 管理制度与流程构建以及由此产生的效率下降、业务重构、管理系统 的构建以及运维成本等将成为企业无可回避的支出。 h t i g 从更广泛的视域审视，欧盟《通用数据保护条例》 （简称 GDPR）落 地后给企业带来的合规成本的增加，可以作为参考。根据《福布斯》 报告，GDPR 让美国财富 500 强企业多花费了 78 亿美元合规成本，普 华永道给出更明确的合规成本估计：68%的公司预计将花费 100 万到 1000 万美元。 2. 个人信息全生命周期管理 数字经济下，新技术、新应用、新模式层出不穷，极大地增加了企 业风险，并产生了更复杂的合规义务。 法律规定原则性框架，企业需思考落实到每个业务环节，从数据 安全生命周期角度制定了一系列数据安全管理制度，以保证收集、存 储、使用、处理/加工、交换/提供、删除的合规和安全性。 2 个人信息保护法企业合规启示报告 h t i g 3 b u m o c . 5 下篇 企业合规风险研判 （续上表） h t i g 4 b u m o c . 5 个人信息保护法企业合规启示报告 （续上表） h t i g 5 b u m o c . 5 下篇 企业合规风险研判 二、敏感个人信息处理风险 h t i g 6 b u m o c . 5 个人信息保护法企业合规启示报告 《个人信息保护法》设专节对处理敏感个人信息作出更严格的限 制，第二十八条至第三十条在定义、处理规则上作出要求。其他章节 中，第五十五条对事前影响评估进行规定，第六十二条提出监管将制 定专门的个人信息保护规则、标准。 1. 人脸信息 人脸信息作为生物识别信息属于敏感个人信息，除敏感个人信息 m o c . 5 专节规制之外，第二十六条进一步强调在公共场所安装图像采集、个 人身份识别设备的要求，应当为维护公共安全所必需，遵守国家有关 规定，并设置显著的提示标识。只能用于维护公共安全的目的，取得 个人单独同意的除外。 b u 人脸识别正在迎来强监管时代。4 月，信安标委就国家标准《信 息安全技术 人脸识别数据安全要求》征求意见 ；7 月，最高人民法院 h t i g 发布《关于审理使用人脸识别技术处理个人信息相关民事案件适用法 律若干问题的规定》，提出 7 种处理人脸信息构成侵害人格权益的情 形，为相关民事案件的审判提供裁判指引。 人脸信息的采集目的、范围、场所、处理方式、个人同意原则等具 体内容正逐步完善，对人脸信息控制者提出了明确且严格的要求。 国家对人脸信息的重视程度不仅从个人信息保护出发，还在于人脸 信息属于数据信息，是优化公共服务的数据支撑，具有公共资源属性。 保护人脸识别信息，一定程度上是保护网络安全以及国家整体安全。 2. 医疗健康信息 医疗健康个人信息，主要指与个人生命健康、医疗诊断和治疗有 关的个人信息。具有以下特征：第一, 人身依附性，与特定个人主体 7 下篇 企业合规风险研判 紧密相连 ；第二，敏感性，一旦泄露、非法提供或滥用，可能危害人身 和财产安全，个人名誉、身心健康受到损害或歧视性待遇；第三，大数 据属性，如果将某一群体的医疗信息整合，将产生社会和商业价值 ①。 近 年 来 ，医 疗 个 人 信 息 和 隐 私 保 护 的 法 律 规 范 ，见 于《侵 权 责 任 法》 《精神卫生法》 《传染病防治法》 《网络安全法》 《国家健康医疗大数 据 标 准、安 全 和 服 务 管 理 办 法（试 行）》 《人 口 健 康 信 息 管 理 办 法（试 行）》 《人类遗传资源管理条例》等法律法规中，特别对医疗健康信息 的跨境传输进行了更严格的规制。国家标准层面，2020 年 12 月，信 m o c . 5 安标委发布《信息安全技术健康医疗信息安全指南》，针对常见医疗 健康应用场景提出安全措施建议。 《个人信息保护法》聚焦个人信息，将医疗健康信息作为敏感个人 b u 信息实行更严格的保护。同时，鉴于此类信息的特性，突破了将“ 个 人同意”作为处理医疗健康信息的唯一依据。第十三条将应对突发公 h t i g 共卫生事件，或者紧急情况下保护自然人的生命健康和财产安全，作 为处理个人信息的合法情形之一。这对于疫情时期公民出行必须填 写“健康码”等特殊情况给出了法律许可。 对于医疗健康行业，在已有法律法规上，更注重健康医疗企业的 信息化建设，保障网络安全及数