个保法系列解读|手把手教你做企业数据合规（二）

上一篇文章我们谈及了《个保法》下企业组织架构如何搭建，今天这一篇我们来探讨如何落实《个保法》以及企业合规体系如何完善

一，如何落实《个保法》

《个保法》对企业要求的权力责任和义务已经涵盖个人信息从采集、存储、传输、加工、流转、删除销毁等各个阶段的要求和安全保护性能力。总结来说，企业作为个人信息处理者，在整个个人信息生命周期的业务活动，需遵循“五大原则”，主要体现在《个保法》第5条至第10条，即：

合法正当诚信原则

最小必要原则

公开透明原则

质量原则

责任与安全原则

企业在落实这些原则时，应及时制定或升级企业规章制度，更新企业“隐私政策”，需要深刻解读、着重贯彻《个保法》确定的新原则。

二、内部专项合规制度和操作流程

《个保法》对此的规定是，企业应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等，制定内部管理制度和操作规程，确保个人信息处理活动符合法律、行政法规的规定。以下几点可作为企业专项合规制度的参考方向

相关性：即采集目的的相关，要求和产品服务直接相关。

时效性：即个人信息保存期，表明企业在不同时期采集的个人信息，应有明确的、对应的保存期限（第十七条第二款），且为实现处理目的所必要的最短时间（即保存期届满的情况）（第十九条）；要求最低可保存个人信息及相关记录三年以上；且过期后自然人对其个人信息享有如删除销毁等指定权利。

可解释性：即在处理个人信息过程中，企业需具备对个人信息处理目的、存储状况、处理规则等能够做出真实有效的解释说明。

合法性：此处合法性指的是企业在个人信息处理的整个过程中各个阶段，需满足合法合规性要求。

三，个人信息数据分类

个人信息分类处理（第五十一条第二款）：对个人信息实行分类管理。

敏感个人信息做了独立分类处理（第二十八条）：敏感个人信息主要包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等，以及不满十四周岁未成年人的个人信息。

个人信息在年龄上做了更细粒度区分处理（第三十一条、第三十八条）：不满十四周岁未成年人个人信息，需要制定专门信息处理规则。

企业应当建立个人信息分级管理机制，通过内部制度和操作规程，鉴别和区分企业处理个人信息的不同类别，并着重针对敏感个人信息、未成年人信息设置单独同意等特殊规则。

四，个人信息安全事件应急预案与报告制度

个人信息安全事件，指发生或者可能发生个人信息泄露、篡改、丢失的事件。个人信息安全事件应急预案作为成文文件，应作为企业制度体系的一部分。

《数安条例（征求意见稿）》第十一条规定，发生十万人以上个人信息泄露、毁损、丢失等数据安全事件时，数据处理者应当：

（1）在发生安全事件的八小时内向设区的市级网信部门和有关主管部门报告事件基本信息，包括涉及的数据数量、类型、可能的影响、已经或拟采取的处置措施等；

（2）在事件处置完毕后五个工作日内向设区的市级网信部门和有关主管部门报告包括事件原因、危害后果、责任处理、改进措施等情况的调查评估报告。

《个人信息保护法》第五十七条规定了发生或可能发生个人信息泄露等事件时，个人信息处理者应当向履行个人信息保护职责的部门和个人通知的事项，《数安条例（征求意见稿）》第十一条则在此基础上增加了数据处理者在向相关部门报告个人信息泄露等数据安全事件时应当遵循的两个重要时间点：“发生安全事件的八小时内”和“事件处置完毕后五个工作日内”。

《个保法》的处罚是行为论，是否"违反本法规定处理个人信息，或处理个人信息未履行本法规定的个人信息保护义务"。反应了数据立法和追责越发严格，监管执法不断加强。企业应马上行动起来，内部组织架构搭建，制度和合同文件的更新，安全技术措施的落实。

也许这一切，让您看得云里雾里，不过，别担心，浦深律师事务所数据合规团队都能帮您解决，一步到位为您企业保驾护航。详情请联系下方二维码