第四章　如何让《个人信息保护法》在业务中落地

【场景】2021年8月20日原本是个普通的周五，但因为这天颁布了我国第一部专门针对个人信息保护的法律《中华人民共和国个人信息保护法》（简称《个人信息保护法》），所以这一天对于从事数据合规工作的人士和很多媒体而言，是一个激动人心的周五。

《个人信息保护法》已于2021年11月1日生效，并构建出了如图4-1所示的一套完整个人信息保护法律架构。

虽然此前已经有了快一年的预热，但白晓萌萌还是对《个人信息保护法》的生效怀有一丝激动和忐忑。每次来回看这部法典，都有新体悟和新收获。她知道，自己作为负责数据合规工作的法务，接下来的职业生涯都会以这部法律为核心展开，而最高频面对、最有挑战的问题也会是《个人信息保护法》如何在业务活动中落地。

落实《个人信息保护法》说难也难，说容易倒也容易。说难，是因为处理个人信息的目的、方式、范围等场景纷繁复杂，不同数据处理场景意味着不同的解决方案，没有完全相同的数据处理活动就没有放之四海而皆准的合规做法；说容易，是因为《个人信息保护法》的落地其实有相对容易的方法和步骤。

白晓萌萌结合此前的学习和实践基础，开始梳理业务场景，启动了《个人信息保护法》的合规专项工作分步走。

第一步：识别业务活动中处理的数据是不是属于《个人信息保护法》下的“个人信息”。

图4-1　个人信息保护法律架构

第二步：识别企业属于《个人信息保护法》中的哪一类主体，因为主体身份不同，对应的义务和责任也不同。

第三步：确保企业处理个人信息的行为符合《个人信息保护法》的基本原则和一般规则，即是否遵守无场景差异的、普适性要求。

第四步：确保企业遵守《个人信息保护法》对于一般义务的规定。这里所说的一般义务也是无场景差异的义务要求。

第五步：如果企业属于特殊的“守门人”处理者，则在遵守一般处理者的通用义务与规则之外，还需要满足与其自身地位相称的特殊义务。

第六步：排查企业的数据处理活动是否是《个人信息保护法》下的某些特定场景或者高风险场景，如是，则还需要履行增强性义务。

第七步：确保企业能够实现个人对其个人信息处理活动所主张的权利。

第八步：识别出企业可能承担的违法后果和举证责任。