个保法系列解读|手把手教你做企业数据合规（一）

前言

　　《中华人民共和国个人信息保护法》（简称《个保法》）于2021年11月1日开始施行。《个保法》共八章七十四条，以个人信息保护为核心，通过设定个人信息处理者的保护责任、信息处理规则和行为边界，形成了逻辑紧密的规范体系。《个保法》开篇明确了个人信息处理的“三最”体系，

　　处理个人信息应当采取对个人权益影响最小的方式

　　收集范围应当限于实现处理目的的最小范围

　　保存期限应当为实现处理目的所必要的最短时间

　　《个保法》与《网络安全法》、《数据安全法》立法重点不同，更多聚焦于民事权利保护，为个人信息处理者设定了大量法律义务，更容易触发政府主管部门监管，并成为政府监管的最主要抓手之一。自《个保法》施行以来，各企业纷纷更新自己的“隐私政策”，以满足《个保法》提出的个人信息分类保护、自动化决策规则等新要求。但这只能解一时之急，对于每日不间断收集、存储、使 用、加工、传输巨量个人信息的各种社会主体包括企业、社会组织而言亟需从组织架构完善、价值观导入、制度建构和流程重塑达到合法合规的要求。

　　此外，个人信息保护领域，《个保法》并非孤立存在，其与《数据安全法》、《网络安全法》一起， 共同构成我国企业应遵循的数据保护合规义务基础体系。企业关注的不再是某一风险点，而是对自身业务、产品进行全面体检，将视野放远至整个合规体系层面。在这里小编就以我所曾为企业所做的合规实践经验，结合《个保法》新的要求，以期为企业构建全新合法合规的个人信息保护和数据管理体系。

企业组织架构如何搭建

一，设立个人信息保护负责人

《个保法》第52条第1款“处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人。”

　　其中具体的国家网信部门规定数量尚未出台配套具体的规定，但按照国标委《信息安全技术 个人信息安全规范》（GB/T35273-2020）中满足以下条件应设立专职个人信息保护负责人：

（1） 主要业务涉及个人信息处理，且从业人员规模大于200人

（2） 处理超过100万人的个人信息，或预计在12个月内处理超过100万人的个人信息

（3） 处理超过10万人的个人敏感信息

二，个人信息保护负责人的级别

　　《个保法》中并未规定个人信息保护负责人具体如何设置，级别如何安排，但从《个保法》涉及的范围和影响，企业应当在公司层面以较高规格设置个人信息保护负责人。对于互联网企业或是业务涉及较多个人信息的企业，建议设立独立专职的个人信息保护负责人；对于业务上接触个人信息不多或者从成本控制的角度，也可以让合规主管、首席数据官或者法务总管兼任。

三，企业应当公开个人信息保护负责人联系方式

　　《个保法》第52条第2款规定，“个人信息处理者应当公开个人信息保护负责人的联系方式，并将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门”。公开联系方式主要指对用户或者个人信息收集对象公开，现如今多为电邮地址作为公开联系方式。而报送是指向《个保法》第60条规定的各级网信部门报送。

四，配合个人信息保护负责人的工作机构

　　《信息安全技术 个人信息安全规范》（GB/T35273-2020）中指出，企业应当设立个人信息保护工作机构，与个人信息保护负责人一起，承担数据保护和合规管理工作，特别是确保能够几首应对和处理个人信息泄露、篡改和丢失事件。