2021年8月20日，《个人信息保护法》经全国人大常委会第三十次会议表决通过，这无疑是信息化时代背景下个人信息保护的法律利器，同时，也为相关企业如何把握处理个人信息的目的、范围、方式等提供了法律依据。此前，在2017年6月1日《网络安全法》实施后，已逐步拉开了我国数据合规时代的大幕；作为国家基本法律的《民法典》对个人信息保护也作出了原则性规定；另外，将于2021年9月1日施行的《数据安全法》，加上《关键信息基础设施安全保护条例》等行政法规和国家标准《信息安全技术个人信息安全规范》以及《银行业金融机构数据治理指引》、《App违法违规收集使用个人信息行为认定方法》等规范性文件，基本构成了我国数据安全方面的法律框架体系。

　　随着近些年数字经济的逆势增长，为了适应市场需求，很多企业都对自身经营管理模式进行了信息化改造，大数据公司也应运而生。此前由于缺乏有效的政府监管，一些大数据公司在近年接连被爆出存在内部管理制度缺失、过度收集客户信息、非法使用客户信息等违法行为。实际上，我国《刑法》设立了两大类与大数据公司违法违规行为相关联的罪名，一是危害计算机信息系统安全的犯罪，二是侵犯公民信息安全的犯罪，最高人民法院、最高人民检察院也制定了侵犯公民个人信息犯罪的司法解释。虽有高悬的刑罚利剑，但有关网络安全、侵犯个人信息的违法犯罪行为仍然呈高发态势，公安部门开展的“净网2019专项行动”正是在这样的背景下展开的。这说明我国的大数据公司面临着越来越严重的刑事风险和行政监管风险，为避免象一些互联网金融公司几乎被全行业取缔的经营风险继续发生，相关的大数据公司就应当积极配合政府的监管调查，在运营方式和个人信息保护方面开展合规体系建设，依法合规经营。

　　事实上，我国的大数据公司实施的危害网络安全方面的违法违规行为相对较少，出现较多的仍然是和我们每个人息息相关的个人信息保护违规事件，例如此前媒体报道的某动物园强制入园参观者刷脸事件等，虽然动物园不是法律意义上的大数据公司，但其具有处理个人信息的“经营需要”，属于个人信息处理者。该事件发展为民事案件后，虽然当时《个人信息保护法》尚未出台，但人民法院依据《民法典》和最高人民法院相关司法解释等规定，仍然认定动物园属于过度收集个人信息，并且收集方式不当。类似该事件实际上暴露了大数据公司在处理个人信息方面的“任性”——自认为没有将收集到的客户信息用于非法目的，只是为了自身经营管理的便捷性，所以不应当被界定为违法，殊不知该行为已经侵害了个人信息权利人的肖像权等合法权益。

　　随着我国社会主义法律体系的构建，我国法律对私权的保护制度已日臻完善。早在2013年，已经有专家学者建议制定《个人信息保护法》。任何一部法律的制定，无一不是为了调整亟待规范的社会关系。随着近些年经济全球化、数字化的不断推进，尤其是互联网平台服务的普及，对个人信息的依法处理越来越具有现实的必要性和紧迫性，正是在这样的时代背景下，国家适时出台了《个人信息保护法》。该部法律的立法目的被明确为“保护个人信息权益，规范个人信息处理活动，促进个人信息合理利用”，其中的“规范个人信息处理活动”，显然针对的就是个人信息处理者，指的是在个人信息处理活动中自主决定处理目的、处理方式的组织和个人，这其中当然包括大数据公司。根据权利义务相对应原则，权利人的权利往往对应的就是相对人的义务。现实中，过度收集和滥用个人信息属于大数据公司常见的违法行为，个别公司甚至非法转让个人信息用于牟取非法利益。对此，最高人民法院、最高人民检察院以司法解释的形式规定了侵犯公民个人信息有关犯罪的入罪标准；但是，对于如何规范大数据公司处理个人信息的经营行为以及对于此类尚未构成刑事犯罪的行政违法行为如何实施行政处罚，我国缺乏统一的规范性法律进行约束。《个人信息保护法》的出台，无疑填补了该项法律空白，该法律第五章专门规定了个人信息处理者的义务，使大数据公司从履行国家法定义务的高度重新审视自身的经营行为。

　　《个人信息保护法》第五十一条明确规定个人信息处理者应当采取各种有效措施确保个人信息处理活动符合法律、行政法规规定，包括但不限于制定内部管理制度和操作规程、实行分类管理、采取加密和去标识化等安全技术措施、定期对从业人员进行安全教育和培训、制定个人信息安全事件应急预案等等，对于以上部分措施，一些规模较大的大数据公司应该已经基本建立，而对于其中的安全技术措施、应急预案、企业内部个人信息保护负责人等措施，却是大多数企业所欠缺的。随着《个人信息保护法》将其规定为个人信息处理者的法定义务，相关企业应当顺势而为，弥补自身管理上的漏洞。

　　需要着重指出的是，《个人信息保护法》第五十四条明确规定个人信息处理者必须定期对其个人信息处理活动遵守法律、行政法规的情况进行合规审计，这实际上是从法律层面要求大数据公司必须打造数据合规专项计划，建立规范化数据合规管理体系。合规审计是判断审计对象的特定行为是否符合法定或者约定标准的一种审计模式，其应当解决由谁审计、审计对象、如何审计三大方面的问题。这意味着除了传统意义上的财务审计之外，国家以法律的形式要求包括大数据公司在内的个人信息处理者必须将自身处理个人信息行为的合法性纳入审计范围，并明确提出了“合规审计”的法律概念。当然，《个人信息保护法》对此仅仅是作了原则性规定，根据我国的立法体系，国家网信部门等政府机构将来必定会制定细化、可操作性强的具体操作规程，对如何开展合规审计进行具体规定。

　　对于近些年社会反应强烈的“大数据杀熟”现象，《个人信息保护法》第五十五、五十六条作了明确规定，要求个人信息处理者应当事前进行个人信息保护影响评估，保证个人信息处理目的、处理方式的合法性、正当性、必要性，评估安全风险，并将相应的评估报告、处理情况记录进行不低于三年的保存以备查。

　　《个人信息保护法》规定的个人信息处理者虽然包括组织和个人，但与社会大众密切相关的仍然是一些互联网巨头。2021年2月7日，国务院反垄断委员会印发的《关于平台经济领域的反垄断指南》中，将互联网平台定义为通过网络信息技术，使相互依赖的双边或者多边主体在特定载体提供的载体下交互，以此共同创造价值的商业组织形态。该指南中明确界定了平台经营者、平台内经营者、平台经济领域经营者等概念，其中的平台经营者即一般意义上的大数据公司。由于大数据公司为众多客户提供的是重要互联网平台服务，用户数量巨大，业务类型复杂，其更应当自觉遵守法律并承担更大的社会责任。鉴于此，《个人信息保护法》第五十七条明确规定大数据公司规模的个人信息处理者应当“按照国家规定建立健全个人信息保护合规制度体系”，并由外部独立机构进行个人信息保护的社会监督，定期发布责任报告。这说明国家越来越重视大数据公司的合规体系建设问题，从法律层面要求其必须进行个人信息保护方面的合规建设。

　　随着《个人信息保护法》的出台，如何处理个人信息已经具备了明确具体的法律依据，这就必然倒逼相关企业进行数据合规专项建设，以适应当前数字经济蓬勃发展的需要。尤其是对于规模较大的互联网企业，更应当严格遵守法律，加强个人信息保护合规管理工作，这其中是挑战和机遇并存的。因为对于那些互联网巨头企业来讲，如果其按照法律规定建立了自己的规范化数据合规体系，那么国家网信部门在下一步制定个人信息保护方面的规范性文件时，完全可以借鉴该些企业的成熟做法，将其上升为国家规定，这无论是对企业自身的发展，还是从大型企业应当承担的社会责任角度讲，无疑都是大有裨益的。广大客户也可以从中受益，从而实现政府、企业、客户多方共赢的有利局面。相关企业作为个人信息处理者，只有实现了合规经营，才能行稳致远，才能在激烈的市场竞争中获得更多用户的支持。从这个意义上讲，《个人信息保护法》当然是相关企业进行数据合规建设的巨大推进器，我国的数据合规时代已经到来！

　　原创作品

　　转载请注明出处

　　河南中冶律师事务所

　　网址：http://www.zhongyelawyer.com.cn

　　电话：400-0977-150

　　地址：洛阳市西工区升龙广场E区-汇金中心7楼

　　（王城大道与唐宫路口东北角）