個保合規審計實務指南03：母法《個人資訊保護法》企業合規落地十步法，附任務清單（完整版）！

自2021年《個人資訊保護法》第54條和第64條中明確了合規審計要求，個人資訊保護合規審計就引起了廣泛關注。

2023年8月國家網信辦釋出的《個人資訊保護合規審計管理辦法（徵求意見稿）》；

2024年7月12日，全國網路安全標準化技術委員會發布了國家標準《資料安全技術個人資訊保護合規審計要求》徵求意見稿；

2024年7月25日，中國網路空間安全協會發布團體標準《個人資訊保護合規審計技術能力及工具要求》徵求意見稿；

2024年9月24日，《網路資料安全管理條例》正式釋出！並於2025年1月1日施行！

2024年11月19日，全國網安標委開啟國家標準《個人資訊保護合規審計要求》試點。

2025年2月14日，《個人資訊保護合規審計管理辦法》正式釋出！並於5月1日施行！

由此，個人資訊保護合規審計的制度箭在弦上，蓄勢待發！企業開展個保合規審計的重要性越發凸顯。

🌹歡迎文末免費訂閱“個保合規審計實務指南”專欄

作者簡介：何淵，DPOHUB主理人

以下內容版權歸作者所有，未經書面授權不得全部或部分轉載、連結、轉貼或以其他方式使用！

要開展和落地個人資訊保護合規審計，前提是必須學好《個人資訊保護法》！同時，也要學好歐盟《通用資料保護條例》（GDPR）和歐盟《人工智慧法》（AI Act）!

2021年11月1日，《個人資訊保護法》（點選閱讀官方版全文）正式開始實施。這是一部保護公民個人資訊的專門性法律，全文共八章七十四條，分別從處理規則、跨境提供規則、個人資訊權利、處理者義務、履行保護職責部門及法律責任等內容進行明確規定。

《個人資訊保護法》的法律定位

《個人資訊保護法》《資料安全法》《網路安全法》是資料領域的三部基礎性法律，它們分別從個人資訊安全、資料安全及網路安全等三個角度踐行《國家安全法》提出的總體安全觀，共同構築“以安全為底線和基礎”的中國資料治理規則。

具體而言，《個人資訊保護法》以保護個人資訊權益，規範個人資訊處理活動，促進個人資訊合理利用為主要的立法目的，並透過個人資訊安全規範、資料出境安全評估、人臉識別資料安全要求等制度細化落地；《資料安全法》以保障資料安全，促進資料開發利用，保護個人、組織的合法權益，維護國家主權、安全和發展利益為主要的立法目的，並透過資料安全審查、國家重要資料目錄、資料分級分類等制度細化落地；而《網路安全法》應當進行相應的修訂，將個人資訊保護和資料安全等內容及時刪除，應當集中精力重點聚焦於關鍵基礎資訊安全保護、網路安全審查及網路安全等級保護等制度細化落地。

隨著《個人資訊保護法》的正式實施，企業將面對著怎樣的資料合規挑戰？又有哪些任務是必須要落地完成的呢？為此，我們透過深入地研究，提出了《個人資訊保護法》企業合規落地的十步法及任務清單，期待對大家有幫助！

《個人資訊保護法》企業合規落地十步法（總圖）

一、合規第一步:確認是否屬於管轄範圍

任務清單：

企業是否在中國境內處理自然人個人資訊？
如果否定的話，那麼企業是否可能在中國境外處理中國境內自然人個人資訊？
以及企業的處理是否涉及“以向境內自然人提供產品或者服務為目”及“分析、評估境內自然人的行為”等情形？

二、合規第二步:確認是否屬於個人資訊

《個人資訊保護法》第4條第1款（關聯說）

個人資訊是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種資訊，不包括匿名化處理後的資訊。

GDPR：與已識別或可識別的自然人有關的各種資訊。（關聯說）

任務清單：

從企業或任何其他人的角度，是否可以識別到特定個人？
從內容、目的、結果三個方面判斷，是否涉及與個人有關的各種資訊？
企業在識別過程中是否採取了合理的方法？是否充分考量了識別成本、資料處理技術的發展？
涉及的資訊是否有固定化及可獲得的載體？是電子或者其他方式記錄嗎？
企業是否進行了匿名化處理？是否達到無法識別特定自然人且在合理的成本內不能復原的標準？
是否進行了去標識化處理？是否達到在不借助額外資訊的情況下無法識別特定自然人的標準？

三、合規第三步:確認處理的合法性基礎

第十三條　符合下列情形之一的，個人資訊處理者方可處理個人資訊：

（一）取得個人的同意；

（二）為訂立、履行個人作為一方當事人的合同所必需，或者按照依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理所必需；

（三）為履行法定職責或者法定義務所必需；

（四）為應對突發公共衛生事件，或者緊急情況下為保護自然人的生命健康和財產安全所必需；

（五）為公共利益實施新聞報道、輿論監督等行為，在合理的範圍內處理個人資訊；

（六）依照本法規定在合理的範圍內處理個人自行公開或者其他已經合法公開的個人資訊；

（七）法律、行政法規規定的其他情形。

依照本法其他有關規定，處理個人資訊應當取得個人同意，但是有前款第二項至第七項規定情形的，不需取得個人同意。

任務清單：

企業處理個人資訊的合法性基礎是什麼？基於告知同意規則、合同履行或實施人力資源管理所必需規則、履行法定職責或法定義務所必需規則、生命健康和財產安全所必需規則、新聞報道和輿論監督的合理處理規則？還是基於已公開資訊的合理利用規則？還是基於其他規則？
如果以告知同意規則為合法性基礎，那麼企業是否能從同意能力、知情程度、自願程度、明確程式及形式要件等方面確認達到有效同意標準？
企業處理個人資訊是否涉及單獨同意的情形？具體包括處理者向其他處理者提供個人資訊（第23條）、處理者公開個人資訊（第25條）、將在公共場所所收集的個人影像、身份識別資訊用於維護公共安全以外的其他目的（第26條）、處理敏感個人資訊（第29條）及向境外提供個人資訊（第39條）等情形。
企業處理個人資訊是否涉及書面同意的情形？法律、行政法規是否規定了處理敏感個人資訊應當取得書面同意的？
如果企業處理個人資訊不是以告知同意規則為合法性基礎，那麼個保法特殊規定的單獨同意和書面同意的要求是否還需要遵守？

四、合規第四步:確保實現處理的基本原則

任務清單：

企業是否存在以誤導、欺詐、脅迫等方式收集個人資訊的情形?
企業是否存在隱瞞產品或服務收集個人資訊的功能？
企業是否存在從非法途徑收集個人資訊的情形？
企業收集的資訊是否為個人提供業務功能所必需的？
企業的個人資訊處理活動是否有相應合理的應用場景，並且如實告知使用者各功能對應目的？
企業是否已經制定了全面的個人資訊保護政策？
企業是否準確、真實、完整告知使用者有關資訊？
企業的個人資訊保護政策是否公開且易於檢視？
企業是否定期開展了必要的個人資訊準確性稽核？

五、合規第五步:確保實現特殊場景下的處理規則

任務清單：

如果是共同處理個人資訊的場景，各方是否約定各自的權利和義務？各方的約定是否會影響個人可以選擇任一處理者要求行使權利？以及是否知道造成個人資訊權益損害需要承擔連帶責任？
如果是委託處理個人資訊的場景，委託方應當確認是否與受託方約定了處理目的，方式、期限、種類、保護措施、雙方權利和義務，以及是否進行了實質性監督受託方的處理活動？
如果是委託處理個人資訊的場景，受託方是否能保證依約處理，不得超出約定處理？受託方是否能確保委託合同不生效、無效、被撤銷或終止的話，能夠返還或刪除資訊，絕不會保留？受託方是否能確保未經委託同意不會轉委託處理？
如果是個人資訊轉移的場景，轉移方是否能確認向個人告知接收方的名稱或姓名和聯絡方式？接收方是否能確保繼續履行個人資訊處理者的義務，以及是否能確保變更原處理目的和方式後重新取得個人的同意？
如果是資料共享的場景，企業在與第三方進行合作時，是否劃清個人資訊處理活動的邊界？事前是否協商並簽訂相應協議，進行了個人資訊保護影響評估？事中是否持續監督雙方個人資訊處理活動並確保妥善落實個人資訊保護的義務？事後是否已有應急預案，可以及時採取補救措施以避免更大損失？
如果是資料共享的場景，提供方應當確認是否已經向個人告知接收方的名稱或姓名、聯絡方式、處理目的、方式和個人資訊的種類，並取得單獨同意？接受方應當確認是否在提供方提供範圍內處理個人資訊？並是否能確保在需要變更處理目的、方式的情形下重新取得個人同意？
如果自動化決策的場景，企業是否避免了大資料殺熟，保證決策透明度和結果公平、公正，不得實行不合理差別待遇？
如果透過自動化決策方式向個人進行資訊推送、商業營銷，企業是否能同時確保提供不針對其個人特徵的選項，或者向個人提供便捷的拒絕方式？
如果透過自動化決策方式作出對個人權益有重大影響的決定，是否能確保個人有權要求企業予以說明，並是否確保個人有權拒絕企業僅透過自動化決策的方式作出決定？

如果是公開採集的場景，企業是否能確保基於維護公共安全的目的？是否能遵守國家有關規定，並設定顯著提示標識？企業是否確保所收集的個人影像、身份識別資訊只能用於維護公共安全的目的，不得用於其他目的？如果用於其他目的，是否能確保取得個人單獨同意？
如果是國家機關處理個人資訊的場景，國家機關是否能依照法定許可權和程式進行？是否能確保不超出履行法定職責所必需的範圍和限度？國家機關是否能確保履行告知義務，除非告知將妨礙國家機關履職？國家機關處理的個人資訊是否能確保國記憶體儲？確需向境外提供的，國家機關是否能確保進行安全評估？

六、合規第六步:確保實現個人資訊跨境規則

首先，外國機構調取中國境內個人資訊的合規框架。根據個人資訊保護法第41條，主管機關根據有關法律和中國締結或者參加的國際條約、協定，或者按照平等互惠原則處理。如沒有條約、協定，未經國家批准，不得向外國機構提供儲存於中國境內的個人資訊。

其次，關鍵基礎資訊設施的個人資訊和重要資料出境合規框架。依據資料安全法第31條和網路安全法第37條，關鍵資訊基礎設施的運營者在中國境內運營中收集和產生的個人資訊和重要資料應當在境記憶體儲。因業務需要，確需向境外提供的，應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估。

最後，個人資訊跨境合規框架。按照個人資訊保護法第38條、39條的規定，個人資訊跨境提供應當滿足以下條件之一是網信部門組織的安全評估、專業機構的個人資訊保護認證及網信部門制定的標準合同。在此基礎上，還得獲得個人的單獨同意。

七、合規第七步:確保實現個人資訊主體權利

任務清單：

企業是否能確保個人對其個人資訊的處理享有知情權、決定權？確保個人有權限制或者拒絕他人對其個人資訊進行處理？
企業是否確保已經向個人提供查閱、複製資訊的路徑和方式？以及是否能確保及時響應個人的查閱、複製請求？
個人發現其個人資訊有錯誤或不完整的，企業是否能確保為個人提供請求更正或補充資訊的途徑和方式？以及企業是否能確保予以核實，並及時更正、補充？
當處理目的已實現、無法實現或者為實現處理目的不再必要時，或當個人資訊處理者停止提供產品或者服務，或者儲存期限已屆滿時，或當個人撤回同意時，企業是否能確保主動刪除個人資訊？
企業是否能確保及時相應個人的訴求，對其個人資訊處理規則進行解釋說明？
企業是否能確保其近親屬能夠對死者的個人資訊行使查閱、複製、更正、刪除等權利？除非死者生前另有安排。

八、合規第八步:確保履行一般義務

任務清單：

企業是否已經制定了內部管理制度和操作規程，並且能確保處理活動清晰、明確?
企業是否能定期對個人資訊處理活動開展合規審計，確保合規性？
企業是否能定期開展個人資訊保護影響評估，對個應用場景開展個人資訊影響評估？
企業是否能確認其處理的個人資訊已超過100萬條？企業是否已經設立了個人資訊保護負責人？企業是否能在《隱私政策》或其他介面公開個人資訊保護負責人的聯絡方式，並將負責人聯絡資訊報送個人資訊保護工作部門？
企業是否對個人資訊進行分級分類管理？
企業是否已採取加密、去標識化等安全技術降低安全風險？
企業是否能合理安排個人資訊處理的操作許可權，明確各部門的安全責任？
企業是否已建立事故響應機制？
企業是否與員工簽署個人資訊安全保密協議，對涉及個人資訊處理的員工進行安全背景審查？
企業是否已經制定安全事件應急預案？
企業是否定期進行安全培訓和教育？

九、合規第九步:確保履行個人資訊處理者的特殊義務

任務清單：

企業應當確認是否屬於“守門人”？是否屬於提供重要網際網路平臺服務、使用者數量巨大、業務型別複雜的網際網路平臺？
企業是否已經建立了健全個人資訊保護合規制度體系？
企業是否已經成立主要由外部成員組成的獨立機構對個人資訊保護情況進行監督？
企業是否已經制定平臺規則，明確平臺內產品或者服務提供者處理個人資訊的規範和保護個人資訊的義務？
企業是否能確保對嚴重違反法律、行政法規處理個人資訊的平臺內的產品或者服務提供者，停止提供服務？
企業是否能定期釋出個人資訊保護社會責任報告，接受社會監督？

十、合規第十步:識別監管機構及法律責任

第六十六條　有前款規定的違法行為，情節嚴重的，由省級以上履行個人資訊保護職責的部門責令改正，沒收違法所得，並處五千萬元以下或者上一年度營業額百分之五以下罰款，並可以責令暫停相關業務或者停業整頓、通報有關主管部門吊銷相關業務許可或者吊銷營業執照；對直接負責的主管人員和其他直接責任人員處十萬元以上一百萬元以下罰款，並可以決定禁止其在一定期限內擔任相關企業的董事、監事、高階管理人員和個人資訊保護負責人。

第六十九條　處理個人資訊侵害個人資訊權益造成損害，個人資訊處理者不能證明自己沒有過錯的，應當承擔損害賠償等侵權責任。

第七十條　個人資訊處理者違反本法規定處理個人資訊，侵害眾多個人的權益的，人民檢察院、法律規定的消費者組織和由國家網信部門確定的組織可以依法向人民法院提起訴訟。

任務清單：