企业如何合规处理个人信息？学者：第三方评估标准非常重要

个人信息合规处理备受学界关注。4月28日，中国科学技术法学会、中国法学交流基金会在京发布《个人信息处理法律合规性评估指引》团体标准。这一指引旨在规范个人信息处理活动，促进个人信息合理利用，保障个人信息依法合规有序流动。

有学者评价指出，社会力量在数据治理中的角色极为关键，第三方通过提供评估框架并不断升级的个人信息合规处理标准，非常重要。

澎湃新闻（www.thepaper.cn）注意到，4月26日，个人信息保护法草案二审稿进一步明确：处理个人信息应当限于实现处理目的所必要的最小范围、采取对个人权益影响最小的方式，更不能通过“胁迫”方式处理个人信息。同时，草案还对超大型互联网平台进行监督，增加规定：对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者，停止提供服务。

互联网平台如何遵循这一规定？澎湃新闻（www.thepaper.cn）注意到，前述指引为监管者、企业等主体判断个人信息处理是否合规提供了重要参考和具体评估指引。

具体而言，前述指引界定和汇集了个人信息处理及其法律合规性评估可能涉及的术语和概念体系，规定了各类组织规范个人信息处理应遵循的合规要求，其目的在于支持各类组织证明和声明其个人信息处理的合规状态和合规能力水平，也包括用户、监管者等对个人信息处理的合规进行检查和监督，个人信息相关方之间建立理解和信任，以及独立的评估机构为具有上述需求的个人信息相关方提供法律合规性评估、咨询和认证服务。

“数据合规，对于企业而言已经刻不容缓。”北京市金杜律师事务所合伙人宁宣凤表示，企业的个人信息合法合规处理仍旧是包括中国乃至世界范围内重点关注和讨论的话题。我国此前的个人信息保护立法已对个人信息的合规要求展开了诸多探索，细化的行业指引将能够为企业的个人信息保护合规工作提供有益参考，“以立法原则为基础，辅之以行业指引的模式将更能卓有成效地引导企业对立法基本理念的理解和落实。”

北京大学法治与发展研究院执行院长王锡锌认为，数据经济时代，个人信息如何得到有效保护，个人隐私如何得到充分尊重，个人人格如何得到健康自主发展，是一个重大的全新的历史命题。

“个人通过民事手段维权，政府通过行政手段监管，国家通过各种各样的法律规定制度化保障、组织程序保障的落实，都是非常重要的，但从数据治理的体系来说，社会也是一个极为关键的数据治理角色。”王锡锌直言，在这一保护体系当中，第三方通过提供评估标准、评估框架，并且在实践试点当中不断地升级个人信息合规处理的评估标准，非常重要。

自2017年网络安全法实施以来，个人信息跨境数据保护制度已经形成了以法律+行政法规+行业标准的保护模式。中国法学交流基金会副理事长、中国法律咨询中心副主任任伊珊表示，本次团体标准的发布提出了科学严密的合规框架，填补了许多规则空白，使专业机构进行个人信息认证的探索，对更好地协调个人信息保护和信息流通，促进企业合规和保障人权具有重要意义。

北京大学法学院教授、中国科学技术法学会常务副会长兼秘书长张平介绍，这一标准始于2013年，基于当时社会上对于个人信息泄漏、过度收集、超范围使用等事件频发，国内企业对于个人信息保护意识明显不足，但在法律上却规定了很高的责任，包括刑事责任、民事责任和行政责任。同时，也是基于促进企业制定一些自律性的合规政策参与市场的竞争。

张平表示，不论是个人信息保护法草案还是民法典、网络安全法都提到鼓励社会第三方机构能够参与到个人信息保护日常的监督、监管、督查以及自我评估，“希望借助这一团体标准，能推动、提升个人信息保护整体保护水平”。