姜曉婧

（華東政法大學(xué)，上海 200333）

移動應(yīng)用（App）作為網(wǎng)絡(luò)技術(shù)支撐的數(shù)字化產(chǎn)品已經(jīng)滲入衣食住行作等社會生活的方方面面，成為網(wǎng)民生活、學(xué)習、工作的主要方式。據(jù)統(tǒng)計，截至2022 年6 月，我國國內(nèi)市場上監(jiān)測到的App 數(shù)量為232 萬款①樂思：《工信部：國內(nèi)市場上監(jiān)測到的APP 數(shù)量為232 萬款》，http：//finance.sina.com.cn/tech/roll/2022-07-28/doc-imizmscv3851599.shtml，訪問日期：2022 年11 月4 日。。在其給人們帶來便利的同時，移動應(yīng)用侵害個人信息的侵權(quán)事件和安全風險逐日攀升，超范圍搜集個人信息，強制索要無關(guān)權(quán)限用于服務(wù)無關(guān)用途等成為用戶投訴的焦點。在《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）、《中華人民共和國網(wǎng)絡(luò)安全法》（以下簡稱《網(wǎng)絡(luò)安全法》）之外，企業(yè)構(gòu)建個人信息處理的合規(guī)機制對于規(guī)避移動應(yīng)用中個人信息安全風險意義重大。無論是宏觀層面接軌國際、爭奪數(shù)據(jù)保護話語權(quán)，還是中觀層面營造良好的數(shù)據(jù)產(chǎn)業(yè)發(fā)展氛圍，抑或微觀層面為用戶提供網(wǎng)絡(luò)安全保障，移動應(yīng)用中個人信息處理的合規(guī)機制構(gòu)建都不可或缺[1]。個人信息處理的合規(guī)機制構(gòu)建應(yīng)當扎實立足于理論依據(jù)與規(guī)范依據(jù)，剖析個人信息處理應(yīng)當遵守的實體規(guī)則，將這些規(guī)則內(nèi)化為企業(yè)內(nèi)部管理機制中的具體制度，并建立外部評價機制，隨時檢視合規(guī)機制的效果、提出反饋及進一步調(diào)整合規(guī)機制，用閉合的企業(yè)合規(guī)機制將數(shù)據(jù)處理活動中的個人信息保護責任落到實處。

一、個人信息處理合規(guī)的理論依據(jù)與規(guī)范依據(jù)

（一）理論依據(jù)

企業(yè)合規(guī)緣起于美國，經(jīng)過多年的發(fā)展現(xiàn)已成為一項被世界各國廣泛接受并開展研究的公私合作治理制度[2]。從企業(yè)合規(guī)的性質(zhì)與功能來看，合規(guī)之“合乎規(guī)定”的字面意思得到了一定的限縮，目前通行的理論將合規(guī)風險與經(jīng)營風險、財務(wù)風險相并列共同作為公司三大治理風險，也即將合規(guī)問題基本限定在符合法律法規(guī)的要求[3]。

設(shè)置企業(yè)合規(guī)制度的根據(jù)主要是激勵理論，例如，企業(yè)設(shè)置刑事合規(guī)制度可以降低其預(yù)防必要性，從而對其減輕處罰甚至免予處罰[4]。除刑事犯罪外，在法律監(jiān)管的其他領(lǐng)域激勵理論也同樣有效[5]。從理論上分析企業(yè)設(shè)置提前，設(shè)置合規(guī)機制有助于企業(yè)增強法治意識，并將合法合規(guī)落實到實際的經(jīng)營活動中，既降低了企業(yè)的違規(guī)風險，又節(jié)約了相關(guān)機構(gòu)的監(jiān)管成本，在依法經(jīng)營越來越成為企業(yè)經(jīng)營的基本要求時，企業(yè)合規(guī)的推行是既有理論依據(jù)又能滿足現(xiàn)實需求的監(jiān)管革命[6]。

雖然企業(yè)合規(guī)的價值基礎(chǔ)理論眾多，也面臨諸多本土化調(diào)適的問題，企業(yè)數(shù)據(jù)合規(guī)的正當性與必要性已經(jīng)在理論界與實務(wù)界達成了共識[7]。對于我國而言，企業(yè)合規(guī)最初是為了應(yīng)對中國企業(yè)被國外監(jiān)管機關(guān)或者國際組織處罰而迫不得已開展的企業(yè)管理工作，發(fā)展至今監(jiān)管部門已經(jīng)在食品藥品安全、出口管制、數(shù)據(jù)合規(guī)等領(lǐng)域大力推進企業(yè)合規(guī)制度，企業(yè)合規(guī)對于公司內(nèi)部經(jīng)營與監(jiān)督部門外部監(jiān)管的價值已經(jīng)得到初步證明[8]。如何引導(dǎo)不同企業(yè)開展不同領(lǐng)域的合規(guī)工作，是監(jiān)管部門與企業(yè)本身亟待解決的問題。

隨著數(shù)據(jù)經(jīng)濟時代的到來，數(shù)據(jù)保護合規(guī)已經(jīng)發(fā)展成為企業(yè)合規(guī)管理體系當中的關(guān)鍵核心之一。歐美等地區(qū)或國家持續(xù)推進數(shù)據(jù)保護的立法進程，為企業(yè)設(shè)立了嚴苛的合規(guī)義務(wù)，強化了企業(yè)數(shù)據(jù)活動的守法意識；同時，執(zhí)法機構(gòu)對違反合規(guī)義務(wù)企業(yè)的處罰也日趨嚴厲，以求營造良好的企業(yè)經(jīng)營環(huán)境，爭奪國際大數(shù)據(jù)話語權(quán)[9]。這為我國企業(yè)帶來了巨大的發(fā)展壓力。在此情況下，加強我國企業(yè)數(shù)據(jù)處理合規(guī)成為企業(yè)合規(guī)治理中的緊迫任務(wù)。

個人信息作為數(shù)據(jù)類型中最具價值的數(shù)據(jù)，是商業(yè)活動爭奪的重要數(shù)據(jù)資源，這決定了個人信息會面臨廣泛的傳播與深度的處理，也意味著用戶個人信息安全問題的嚴峻。移動應(yīng)用作為個人信息收集的第一站與用戶數(shù)據(jù)生成的最活躍場所，對其中個人信息處理的合規(guī)機制構(gòu)建具有時代意義。

（二）規(guī)范依據(jù)

我國個人信息保護制度源于《中華人民共和國憲法》對公民人格尊重和通信自由保護的規(guī)定，總體保護思路和框架體現(xiàn)于《網(wǎng)絡(luò)安全法》，系統(tǒng)形成于《個人信息保護法》，依托“四部門一行三會”施行行政監(jiān)管，統(tǒng)籌協(xié)調(diào)于App 專項治理工作組。與此體制機制相適應(yīng)的規(guī)范依據(jù)形成了“三層次五標準”的個人信息保護法規(guī)范依據(jù)。

第一層次是以《網(wǎng)絡(luò)安全法》《個人信息保護法》《中華人民共和國數(shù)據(jù)安全法》（以下簡稱《數(shù)據(jù)安全法》）為核心的國家立法層面的信息與數(shù)據(jù)保護立法。其中《網(wǎng)絡(luò)安全法》將個人信息界定為識別自然人個人身份的各種信息，實質(zhì)上的識別性和形式上的記錄性是其兩個基本要素[10]。就個人信息的安全保護義務(wù)而言，該法要求網(wǎng)絡(luò)的運營者負擔用戶信息保護的主體責任，收集和使用個人信息時應(yīng)當以必要、明示和同意為原則，不得泄露、篡改、損毀其收集的個人信息，且不得轉(zhuǎn)作他用和超越原范圍使用，應(yīng)當采取技術(shù)措施確保個人信息的安全。應(yīng)當說這些規(guī)定為數(shù)據(jù)型企業(yè)的個人信息保護合規(guī)施加了強制性要求，為相關(guān)企業(yè)從事個人信息經(jīng)營活動劃定了紅線。如果依照《數(shù)據(jù)安全法》的界定，被記錄下來的個人信息構(gòu)成數(shù)據(jù)，對個人信息的收集、存儲、使用、加工、傳輸、提供、公開等行為構(gòu)成數(shù)據(jù)處理，企業(yè)在開展數(shù)據(jù)活動時應(yīng)當保障數(shù)據(jù)的安全，遵從《數(shù)據(jù)安全法》的相關(guān)規(guī)定，在有效利用個人信息形成的匿名數(shù)據(jù)時，應(yīng)當遵從數(shù)據(jù)安全相關(guān)標準，建構(gòu)數(shù)據(jù)企業(yè)的內(nèi)部安全體系，建立全流程安全管理制度，設(shè)立數(shù)據(jù)安全負責人（安全官），落實數(shù)據(jù)安全保護責任[11]。專門針對個人信息處理和保護活動的具體規(guī)范，主要以《個人信息保護法》為典型，其就各種信息的處理、流通和使用，以及個人信息權(quán)人享有的相關(guān)權(quán)益，尤其是就個人的知情同意作出了詳細的規(guī)定，為企業(yè)合規(guī)提供了可操作的規(guī)范指引，以類型化列舉的方式規(guī)定了個人信息處理者的義務(wù)，如第五十一條規(guī)定分類管理、安全措施、應(yīng)急預(yù)案等安全管理義務(wù)[12]。這些信息與數(shù)據(jù)立法雖然較為宏觀，但卻是移動應(yīng)用中個人信息處理環(huán)節(jié)中不可違背的規(guī)范紅線。

第二層次是以行政法規(guī)和部門規(guī)章為主的規(guī)范依據(jù)。以《互聯(lián)網(wǎng)信息服務(wù)管理辦法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》等為代表的部分行政法規(guī)強調(diào)運營者應(yīng)當申領(lǐng)互聯(lián)網(wǎng)信息服務(wù)牌照，具備相關(guān)的設(shè)立條件，在運營企業(yè)內(nèi)部設(shè)置專門的管理機構(gòu)，履行個人信息和數(shù)據(jù)安全保護責任，建立健全個人信息和數(shù)據(jù)安全保護制度。如《網(wǎng)絡(luò)安全審查辦法》《數(shù)據(jù)出境安全評估辦法》等部門規(guī)章則明確了具體領(lǐng)域內(nèi)的操作規(guī)程和運行規(guī)則，要求掌握超過100 萬用戶個人信息的網(wǎng)絡(luò)平臺運營者赴國外上市，必須向網(wǎng)絡(luò)安全審查辦公室申報網(wǎng)絡(luò)安全審查，向境外提供數(shù)據(jù)的，應(yīng)當向國家網(wǎng)信部門申報數(shù)據(jù)出境安全評估①楊振：《企業(yè)應(yīng)如何應(yīng)對〈網(wǎng)絡(luò)安全審查辦法〉監(jiān)管下的合規(guī)風險》，https：//www.pkulaw.com/lawfirmarticles/cabf9dc2c0898f0 699075f83c5589c0ebdfb.html?articleFbm=CLI.A.252759，訪問日期：2022 年11 月14 日。。

第三層次是以《互聯(lián)網(wǎng)個人信息安全保護指南》《App 違法違規(guī)收集使用個人信息行為認定方法》等為代表的規(guī)范性文件。這些具體的規(guī)范性文件聚焦于具體的移動應(yīng)用個人信息處理場景，為行政監(jiān)督管理架構(gòu)的設(shè)置提供了規(guī)范依據(jù)，形成了圍繞App個人信息保護展開的“四部門+工作組”的執(zhí)法體制。其中網(wǎng)信辦根據(jù)《網(wǎng)信部門行政執(zhí)法程序規(guī)定》，采用約談、責任改正、停業(yè)整頓、關(guān)閉下架等措施，依法打擊危害網(wǎng)絡(luò)安全、數(shù)據(jù)安全、侵害公民個人信息等違法行為。電信、公安和市場監(jiān)督管理部門在各自的職責范圍內(nèi)履行監(jiān)管職責。根據(jù)行政監(jiān)管的規(guī)范性文件的要求，數(shù)據(jù)性企業(yè)應(yīng)當將個人信息保護的標準工作納入合規(guī)化標準化的一環(huán)，以《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個人信息保護指南》《網(wǎng)絡(luò)安全標準實踐指南——移動互聯(lián)網(wǎng)應(yīng)用程序（App）收集使用個人信息自評估指南》《信息安全技術(shù) 個人信息安全規(guī)范》《網(wǎng)絡(luò)安全標準實踐指南——移動互聯(lián)網(wǎng)應(yīng)用程序（App）個人信息保護常見問題及處置指南》等標準為企業(yè)內(nèi)部個人信息數(shù)據(jù)合規(guī)的流程標準化指引。

二、個人信息處理企業(yè)合規(guī)的實體規(guī)則

從網(wǎng)信辦、工信部對App 發(fā)布的違規(guī)通報情況看，移動應(yīng)用在個人信息處理中主要涉及九大類違規(guī)行為：未公開收集使用規(guī)則，未明確告知收集個人信息的目的、方式和范圍，未經(jīng)用戶同意收集個人信息，超越范圍收集個人信息，欺騙、誘導(dǎo)或者強迫用戶同意收集個人信息，違規(guī)使用個人信息，設(shè)置障礙、頻繁騷擾用戶，未向用戶提供主張權(quán)利的途徑，應(yīng)用分發(fā)功能違規(guī)②參見國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心、中國網(wǎng)絡(luò)空間安全協(xié)會《App 違法違規(guī)收集使用個人信息監(jiān)測分析報告》（2021 年12 月）。。這九大類違規(guī)行為從本質(zhì)上看主要是侵害用戶的知情同意權(quán)，通過不正當手段擅自變更個人信息允許使用的范圍，以及濫用經(jīng)營者的私權(quán)利。這九大類典型的違規(guī)行為從反面鮮活生動地揭示了移動應(yīng)用中個人信息處理合規(guī)應(yīng)當遵循的實體規(guī)則究竟為何，為相關(guān)企業(yè)合規(guī)提供了精準的執(zhí)法標準和尺度，應(yīng)當作為企業(yè)合規(guī)實體規(guī)則建構(gòu)的重點。移動應(yīng)用中個人信息處理合規(guī)的內(nèi)核應(yīng)當是對實體規(guī)則的遵守，可以將其概括總結(jié)為：嚴格遵循“知情同意”規(guī)則，固守原有授權(quán)范圍，規(guī)范行使私權(quán)利。

（一）嚴格遵循“知情同意”規(guī)則

根據(jù)《個人信息保護法》的規(guī)定，處理個人信息應(yīng)當及時向個人披露，并獲得個人自愿、明確同意。這包含了知情同意規(guī)則的兩項義務(wù)：一是知悉具體的使用場景、使用規(guī)則、處理的范圍等；二是以條款或單獨協(xié)議的形式明確表示同意。鑒于不同個人信息處理場景對個人信息人格利益影響的差異性，如第二十四條對個人信息處理者作出“通過自動化決策方式向個人進行信息推送、商業(yè)營銷，應(yīng)當同時提供不針對其個人特征的選項，或者向個人提供便捷的拒絕方式”的規(guī)定，要求個人信息處理者針對利用個人信息進行自動化決策的特殊場景，給予個人信息額外的保護。

應(yīng)當說知情同意規(guī)則貫穿整個《個人信息保護法》，全鏈條、全方位式同意，儼然將所有基于個人信息的行為和衍生性商業(yè)使用都建立在同意基礎(chǔ)之上，沒有征得用戶同意的數(shù)據(jù)收集、加工、傳輸、提供等行為就喪失了合法性基礎(chǔ)[13]，可能引發(fā)侵害個人信息的民事和刑事風險。但是，又受制于用戶技術(shù)性知識的欠缺和部分用戶對同意后產(chǎn)生后果的無法預(yù)計，形式上的同意并不能消除用戶實際上不具備同意能力的現(xiàn)實障礙，這就引發(fā)了基于個人信息所開發(fā)產(chǎn)品的侵權(quán)風險，因而在企業(yè)合規(guī)的規(guī)范設(shè)計中務(wù)必要提供切實可行的措施保障用戶的同意能力，固定用戶合法的同意形式。

（二）固守原有授權(quán)范圍

由于數(shù)據(jù)主體對于數(shù)據(jù)處理活動以及后續(xù)應(yīng)用復(fù)雜程度的理解有限，出現(xiàn)了許多“掛羊頭賣狗肉”的企業(yè)，超出個人信息授權(quán)范圍將數(shù)據(jù)用于完全不同的場景甚至從事隱秘的違法活動，極大地增加了用戶的個人信息安全風險，故網(wǎng)絡(luò)經(jīng)營者在用戶原有授權(quán)范圍內(nèi)規(guī)范使用個人信息是企業(yè)合規(guī)應(yīng)當遵守的重要實體規(guī)范。根據(jù)重慶市2022 年3 月通過的《重慶市數(shù)據(jù)條例》規(guī)定，超出約定范圍使用公共數(shù)據(jù)最多可能面臨十萬元的罰款①《重慶市數(shù)據(jù)條例》第五十七條規(guī)定：“自然人、法人和非法人組織違反本條例第二十九條規(guī)定，有下列行為之一的，由市數(shù)據(jù)主管部門責令限期改正；逾期未改正的或者造成嚴重后果的，處一萬元以上十萬元以下的罰款：（一）未向市數(shù)據(jù)主管部門反饋數(shù)據(jù)使用情況的；（二）超出約定使用范圍使用公共數(shù)據(jù)的?！?。

在個人信息使用過程中，只要個人信息具備可識別性或能夠反映自然人活動情況的，個人信息控制者便應(yīng)遵循使用授權(quán)范圍。超出授權(quán)范圍使用個人信息的，應(yīng)再次征得個人信息主體的明示同意；如果將所收集的個人信息用于學(xué)術(shù)研究或得出對自然、科學(xué)、社會、經(jīng)濟等現(xiàn)象總體狀態(tài)的描述，屬于與收集目的合理關(guān)聯(lián)的范圍內(nèi)，延伸視為已經(jīng)同意，無須再次征得用戶授權(quán)。

（三）規(guī)范行使私權(quán)利

依照《網(wǎng)絡(luò)安全法》的規(guī)定，網(wǎng)絡(luò)運營者應(yīng)當對網(wǎng)絡(luò)空間傳播的個人信息負擔行政法層面上的審查和保護責任。然而，現(xiàn)實中網(wǎng)絡(luò)運營者可能利用用戶同意和用戶協(xié)議剝奪、騙取用戶的個人信息。用戶協(xié)議固然是運營者與用戶之間簽訂的平等協(xié)議，但是鑒于用戶在技術(shù)和地位上無法與網(wǎng)絡(luò)運營者比擬，所以在合同的條款上其并無平等協(xié)商的能力和機會，只能同意網(wǎng)絡(luò)運營者擬訂的條款，如App 以彈窗的形式向用戶明示共享給第三方的行為，在用戶點擊同意的情況下，將聯(lián)系人、位置、短信、本機號碼等個人信息發(fā)送給第三方SDK 等產(chǎn)品或服務(wù)。用戶基于格式條款無效之理論主張平臺規(guī)則不合理，或以違約責任過重為由主張平臺制裁不合理的訴求，基本難以獲得法律支持[14]。

如果說平臺與用戶之間的協(xié)議尚有平等協(xié)商的外衣，那么平臺單方制定的管理規(guī)則和公約，則使其獲得了實質(zhì)意義上的準立法權(quán)，對平臺管理處于絕對的支配地位②《網(wǎng)絡(luò)信息內(nèi)容生態(tài)治理規(guī)定》第十五條規(guī)定：“網(wǎng)絡(luò)信息內(nèi)容服務(wù)平臺應(yīng)當制定并公開管理規(guī)則和平臺公約，完善用戶協(xié)議，明確用戶相關(guān)權(quán)利義務(wù)，并依法依約履行相應(yīng)管理職責。網(wǎng)絡(luò)信息內(nèi)容服務(wù)平臺應(yīng)當建立用戶賬號信用管理制度，根據(jù)用戶賬號的信用情況提供相應(yīng)服務(wù)?！?。從經(jīng)營效益層面而論，平臺內(nèi)用戶和流量越多，為平臺賺取的收益也越大，因而平臺容易受到放任市場化選擇信息的激勵。從平臺營利性的目的與平臺擁有的實質(zhì)管理權(quán)兩方面綜合來看，平臺有理由左右搖擺，其管理的預(yù)見性和透明性降低。如果不在企業(yè)內(nèi)部合規(guī)環(huán)節(jié)中嚴格審查平臺自己私權(quán)利的行使，就無法杜絕平臺管理淪為掩蓋法律制裁而攫取私人商業(yè)利益的手段，尤其是網(wǎng)絡(luò)平臺利用其豐富的數(shù)據(jù)資源，在技術(shù)架構(gòu)內(nèi)驅(qū)動智能算法，剝奪了用戶的知情權(quán)，算法權(quán)力甚至取代了公權(quán)力決策[15]，形成對政府、組織和公民的影響力，而技術(shù)架構(gòu)的嵌入優(yōu)勢，隔離了法律的規(guī)定[16]。因此，對于涉及個人信息的產(chǎn)品和流程，應(yīng)當嚴格依照相關(guān)的管理規(guī)定設(shè)計用戶協(xié)議、平臺規(guī)約等自治性的規(guī)則。比如，汽車企業(yè)涉及通過車載處理器獲取個人行程軌跡、用車習慣等信息的，必須依照《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》的要求嚴格收集、加工、傳輸?shù)刃袨?，不可通過彈窗式同意方式等規(guī)則設(shè)定自身的管理規(guī)范。

三、個人信息處理企業(yè)合規(guī)的內(nèi)部管理機制

個人信息合規(guī)的規(guī)范體系建設(shè)要明確數(shù)據(jù)處理合規(guī)管理的政策和制度，將個保法、網(wǎng)安法、數(shù)據(jù)保護總則、企業(yè)個人信息數(shù)據(jù)安全管理政策、分級分類制度、個人信息權(quán)生命管理制度、訪問與管控制度等按照等級層次落實分類協(xié)同。一些典型的、必要的內(nèi)部管理機制主要是對個人信息保護的影響評估、信息的分級分類管理等常態(tài)化合規(guī)機制，以及應(yīng)對突發(fā)狀況的安全事件應(yīng)急關(guān)機機制。在此基礎(chǔ)上，避免企業(yè)合規(guī)機制形同虛設(shè)的關(guān)鍵在于將合規(guī)管控要求和具體節(jié)點的文件嵌入到具體的業(yè)務(wù)流程中，使合規(guī)機制與企業(yè)的具體經(jīng)營業(yè)務(wù)緊密關(guān)聯(lián)，如此才能切實發(fā)揮企業(yè)合規(guī)機制的作用。

（一）個人信息保護影響評估

個人信息活動之前的個人信息保護影響評估是數(shù)據(jù)活動順利合法合規(guī)進行的重要環(huán)節(jié)。個人信息保護影響評估是《個人信息保護法》第五十五條明確規(guī)定的強制性義務(wù)，是預(yù)防和識別個人信息合規(guī)風險的關(guān)鍵一環(huán)。特別是尚未開展的個人信息處理活動，影響評估能夠大幅降低違法風險，同時提高產(chǎn)品信任度及競爭力，且面對監(jiān)管審查時，清晰、完整、及時的個人信息保護影響評估能夠作為有力的合規(guī)證明文件用于抗辯。

根據(jù)《個人信息保護法》第五十五條的規(guī)定，在處理敏感個人信息，利用個人信息進行自動化決策，委托處理個人信息、向其他個人信息處理者提供個人信息、公開個人信息，向境外提供個人信息，其他對個人權(quán)益有重大影響的個人信息處理活動前，個人信息處理者應(yīng)從個人信息的處理目的、處理方式等是否合法、正當、必要，對個人權(quán)益的影響及安全風險，所采取的保護措施是否合法、有效并與風險程度相適應(yīng)等方面，開展個人信息保護影響評估①《個人信息保護法》第五十五條規(guī)定：“有下列情形之一的，個人信息處理者應(yīng)當事前進行個人信息保護影響評估，并對處理情況進行記錄：（一）處理敏感個人信息；（二）利用個人信息進行自動化決策；（三）委托處理個人信息、向其他個人信息處理者提供個人信息、公開個人信息；（四）向境外提供個人信息；（五）其他對個人權(quán)益有重大影響的個人信息處理活動。”企業(yè)處理個人信息如果存在其中任何一種情形，個人信息保護影響評估都將成為企業(yè)必須進行的合規(guī)項目。。

個人信息保護影響評估大致包括三個環(huán)節(jié)：預(yù)備環(huán)節(jié)—評估環(huán)節(jié)—報告及整改環(huán)節(jié)。在預(yù)備環(huán)節(jié)，首先，應(yīng)當集合技術(shù)部門、法律部門、相關(guān)業(yè)務(wù)部門等代表組成評估團隊；其次，制定切實可行的評估計劃，如多方人員訪談、管理制度及規(guī)范檢查或者技術(shù)測試等方式；再次，明確評估對象與范圍，包括即將開展的個人信息處理活動之基本信息、系統(tǒng)設(shè)計、處理流程等。在評估階段，應(yīng)當先行覆蓋數(shù)據(jù)全生命周期的個人信息處理映射表，結(jié)合處理的具體場景分類統(tǒng)計個人信息處理活動，記錄每類個人信息處理中的個人信息類型、信息主體、控制者、收集處理目的、合法事由等具體情形，在此基礎(chǔ)上結(jié)合《信息安全技術(shù) 個人信息安全規(guī)范》（GB/T35273—2020）、《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護安全管理中心技術(shù)要求》（GB/T 36958—2018）等國標來識別個人信息處理中的風險源，從個人自主決定、差別待遇影響、個人名譽、精神壓力、人身財產(chǎn)等角度對個人權(quán)益的影響進行分析，并最終統(tǒng)合風險因素識別與個人權(quán)益影響這兩步的結(jié)果，得出評估結(jié)果。評估結(jié)束之后，還應(yīng)當依照結(jié)果進行針對性的整改才能完成評估工作的閉環(huán)，依據(jù)不同的風險等級排除個人信息處理的風險，并繼續(xù)追蹤風險排除情況，掌握剩余風險的發(fā)展變化。

（二）信息分類分級管理

個人信息分級分類管理制度是通過“定性+定量”的方式確定個人信息保護優(yōu)先順序的制度，是精準合規(guī)的體現(xiàn)，精確的個人信息分類保護能夠合理化配置個人信息安保資源，實現(xiàn)個人信息合規(guī)與保護的最佳效果。在目前尚無權(quán)威的分級分類標準之時，可以依據(jù)《網(wǎng)絡(luò)安全標準實踐指南——網(wǎng)絡(luò)數(shù)據(jù)分類分級指引》《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》進行制定，也可參考借鑒域外《通用數(shù)據(jù)保護條例》一般個人信息與特殊類型信息的分類標準。

對個人信息的分類旨在將具有相同數(shù)據(jù)特征的數(shù)據(jù)統(tǒng)一歸類。從企業(yè)管理的角度，可以將個人信息初步分為一般個人信息、敏感個人信息、匿名化個人信息、出境個人信息與重要數(shù)據(jù)這五類。匿名化個人信息已經(jīng)喪失了個人的可識別性，因而屬于五類中合規(guī)條件較寬的信息類別。出境個人信息不僅可能受到來自境內(nèi)的風險，同時還要面臨境外安全因素的考驗，需要按照《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》以及《數(shù)據(jù)出境安全評估辦法》等法律法規(guī)進行合規(guī)[17]。敏感個人信息是指一旦泄露就會危害人格尊嚴或者財產(chǎn)安全的個人信息或者未滿14 周歲的未成年人的個人信息，而重要數(shù)據(jù)是指國家秘密之外有關(guān)涉及國家安全與我國公共利益的數(shù)據(jù)。敏感個人信息與重要數(shù)據(jù)與個人與國家利益攸關(guān)，是合規(guī)的重點。排除四類信息之后剩余的數(shù)據(jù)構(gòu)成一般個人信息，主要包括通用信息與基本信息。

個人信息的分級保護旨在對個人信息分類的基礎(chǔ)上，依據(jù)具體個人信息的敏感程度、易受侵害性等因素進行的分等級保護，在個人信息處理技術(shù)的支持下，可以通過多重方式來實現(xiàn)個人信息分級，將個人信息從非敏感到極敏感劃分為S1 至S5 五個等級。具體的劃分方法如依據(jù)主體難易程度以及數(shù)據(jù)敏感程度的劃分或者通過個人信息微數(shù)據(jù)的每條記錄、其記錄中的每個字段以及微數(shù)據(jù)組合而成個人信息數(shù)據(jù)表進行分級保護等。

個人信息分級分類管理之后還需做好數(shù)據(jù)資產(chǎn)清單梳理，對業(yè)務(wù)經(jīng)營和管理中收集使用的個人信息進行識別歸類。完成個人信息分類定級后，應(yīng)當按照有關(guān)技術(shù)標準對個人信息進行加密和去標識化，同時依照最小必要原則，設(shè)置內(nèi)部管理與訪問操作的權(quán)限。

（三）安全事件應(yīng)急管理

《個人信息保護法》第五十一條明確提出要求個人信息處理者制定并組織實施個人信息安全事件應(yīng)急預(yù)案。安全事件應(yīng)急管理制度對安保人員素質(zhì)提出了較高的要求，有必要建立專業(yè)的組織指揮機構(gòu)并明確其職責。除人員保障外，還應(yīng)做好設(shè)備、資金、系統(tǒng)等硬件保障，如網(wǎng)絡(luò)硬件、救援設(shè)備等硬件物資儲備和用于緊急恢復(fù)重要數(shù)據(jù)的容災(zāi)備份系統(tǒng)等軟件設(shè)施。

根據(jù)安全事件發(fā)展過程來看，應(yīng)急管理應(yīng)當涵蓋事件發(fā)生的即時監(jiān)測預(yù)警、先期處置，現(xiàn)場應(yīng)急處置與后期處置追蹤全流程。前期環(huán)節(jié)應(yīng)當側(cè)重對個人信息安全突發(fā)事件的監(jiān)測，定期匯報，防患于未然，通過密切監(jiān)控個人信息運行各環(huán)節(jié)的指標，及早發(fā)現(xiàn)個人信息安全事件指征并及早處理。為了確保個人信息安全事件處理的及時性，應(yīng)當設(shè)置多名即時聯(lián)絡(luò)人員并嚴格設(shè)置初次報告最遲時間?，F(xiàn)場應(yīng)急處置環(huán)節(jié)應(yīng)當全面分析導(dǎo)致個人信息安全事件的原因，準確定位事故來源，從而縮短響應(yīng)時間。在排查個人信息威脅來源的基礎(chǔ)上應(yīng)當及時采取關(guān)閉服務(wù)、修改防火墻或斷開連接、封鎖登錄賬號等方式防止事件影響的進一步擴大。在根除事件風險后還應(yīng)當注意將相關(guān)數(shù)據(jù)、程度、服務(wù)、系統(tǒng)等予以補充恢復(fù)，特別要注意機密系統(tǒng)與機密數(shù)據(jù)恢復(fù)的合法性。后期處置環(huán)節(jié)應(yīng)當認真評估安全事件對移動應(yīng)用造成的損失，吸取事件經(jīng)驗，形成評估調(diào)查報告，同時制定恢復(fù)重建計劃，實現(xiàn)個人信息安全事件應(yīng)急管理制度的閉環(huán)。

另外，應(yīng)注意應(yīng)急管理制度不僅僅局限于安全事件發(fā)生之時，更在于平時的防范與演練。為保證安全事件應(yīng)急管理制度的有效實施，首先，應(yīng)當定期組織內(nèi)部相關(guān)人員進行應(yīng)急響應(yīng)培訓(xùn)，使其掌握崗位職責和應(yīng)急處置策略及規(guī)程；制定個人信息安全事件應(yīng)急預(yù)案，并根據(jù)法律法規(guī)及業(yè)界甚至自身案件的處置情況，及時更新應(yīng)急預(yù)案，將事件發(fā)生概率或影響降至最低，盡可能保障企業(yè)合法權(quán)益。其次，應(yīng)建立個人信息安全事件應(yīng)急管理定期實操演練制度，確保個人信息安全保障機制處于激活狀態(tài)。同時，由于應(yīng)急管理制度較少啟用，實際應(yīng)急能力難以檢驗等原因考慮，應(yīng)當設(shè)置鮮明的獎懲機制，明確管理職責，提高優(yōu)化個人信息安全事件應(yīng)急管理制度的積極性。

（四）業(yè)務(wù)流程嵌入式合規(guī)

流程化的個人信息合規(guī)管理是現(xiàn)代數(shù)據(jù)合規(guī)規(guī)范化的要求所在[18]。數(shù)據(jù)合規(guī)的每個結(jié)點應(yīng)當清晰明了地反映在個人信息處理合規(guī)流程之中。然而，同樣是關(guān)涉?zhèn)€人信息處理的不同產(chǎn)品或服務(wù)，所配適的個人信息處理合規(guī)千差萬別，確保個人信息全流程合規(guī)的核心在于依托業(yè)務(wù)全流程構(gòu)建個人信息處理合規(guī)體系，通過將個人信息處理合規(guī)制度拆解并嵌入研發(fā)、運維、人力資源等日常的業(yè)務(wù)流程，確定不同流程中相關(guān)人員的操作權(quán)限，才能持續(xù)通過業(yè)務(wù)流程運行貫徹個人信息保護合規(guī)要求，盡可能地減少流程中人員主觀因素的影響，使個人信息合規(guī)的可控性進一步增強。

個人信息處理全生命周期的合規(guī)應(yīng)當與具體的移動應(yīng)用軟件業(yè)務(wù)緊密結(jié)合，并且個人信息合規(guī)的流程應(yīng)當做到依據(jù)業(yè)務(wù)板塊、功能等的變化而及時調(diào)整更新，與經(jīng)營者實時業(yè)務(wù)、具體產(chǎn)業(yè)線時刻同步。例如，移動應(yīng)用在進入應(yīng)用商店之前，除了應(yīng)當提交運營者信息、移動應(yīng)用基本信息，還應(yīng)當提交個人信息保護政策、所收集的個人信息范圍、申請的敏感系統(tǒng)權(quán)限以及第三方SDK 信息等相關(guān)內(nèi)容配合進行合規(guī)審查。移動應(yīng)用的技術(shù)升級版本更新時也要隨流程同步接受重新審核，確保個人信息處理全程合規(guī)。又如，移動應(yīng)用處理商在委托處理用戶信息或者作出委托行為時，委托方應(yīng)當明確所征得的用戶授權(quán)范圍，及時開展用戶信息安全影響評估，積極監(jiān)管受委托方的個人信息處理行為，如通過簽訂合同等方式介入受委托方個人信息處理合規(guī)的流程并嚴格履行監(jiān)管、審計的職責；而受委托方也應(yīng)嚴格按照委托方的要求處理個人信息，出現(xiàn)特殊情況及時反饋處理信息，再次轉(zhuǎn)委托時事先征得原委托方的明確同意獲取授權(quán)，且在委托關(guān)系解除時做好及時刪除個人信息等善后措施。

四、個人信息處理企業(yè)合規(guī)的外部評價機制

移動應(yīng)用中個人信息處理的企業(yè)合規(guī)不僅包括內(nèi)部管理機制，還包括外部評價機制。后者用于對內(nèi)部管理機制效果的評估，以便及時反饋、調(diào)整、優(yōu)化，促進個人信息處理合規(guī)機制的長期有效運行。外部評價機制應(yīng)當以個人信息保護法的基本原則、守門人義務(wù)、特定場景增強義務(wù)以及用戶個人信息法定權(quán)利為基準。

（一）遵守個人信息保護法基本原則的測評

《個人信息保護法》第五條至第十條對個人信息保護法的基本原則作出了規(guī)定，明確了在個人信息處理活動中應(yīng)當遵循合法、正當、必要、誠信、目的限制、公開透明、質(zhì)量、安全等八項原則[19]。這是涉?zhèn)€人信息企業(yè)合規(guī)的原則性要求，自然也應(yīng)當作為合規(guī)效果的基本測評指標。

“合法”要求數(shù)據(jù)企業(yè)在個人信息的收集、存儲、使用、加工、傳輸、提供、公開等全鏈條、全行為流程中都應(yīng)當符合法律法規(guī)的規(guī)定，遵從上文論及的企業(yè)合規(guī)的規(guī)范依據(jù)。比如，使用個人信息進行自動化決策的環(huán)節(jié)，除遵守《個人信息保護法》規(guī)定外，還應(yīng)根據(jù)《信息安全技術(shù) 個人信息安全影響評估指南》及《個人信息保護法》要求開展評估并全程留痕，把算法管理作為一項工作內(nèi)容納入企業(yè)合規(guī)管理體系，基于個人信息處理及業(yè)務(wù)全流程進行部署。

“必要”要求個人信息的收集和處理遵從比例原則，非達致數(shù)據(jù)產(chǎn)品之外的服務(wù)目的，不應(yīng)過度采集，非充分必要性不得處理敏感性個人信息。比如，將App 切換至后臺后，該程序在靜默狀態(tài)下讀取用戶的多媒體信息、通訊錄信息。又如，不涉及與地理位置、定位有關(guān)的服務(wù)功能，App 卻收集用戶的位置信息等。

“公開透明”是指個人信息處理者在處理個人信息時應(yīng)當采取公開、透明的方式，公開個人信息處理的規(guī)則，向信息主體明示個人信息處理的目的、處理的方式和處理的范圍。公開透明原則的目的在于保證信息主體全過程的知情權(quán)和監(jiān)督權(quán)，對于自動化決策影響其重要決定的，可以拒絕。未經(jīng)允許設(shè)置設(shè)備自動采集其生物性信息的，違背了公開透明原則。在合規(guī)測評時，如果發(fā)現(xiàn)未經(jīng)用戶同意處分個人信息，尤其是敏感性信息的，可歸入合規(guī)重大缺陷的結(jié)果檔。

（二）“守門人”義務(wù)的遵守情況

根據(jù)《個人信息保護法》第五十八條規(guī)定，對提供重要互聯(lián)網(wǎng)平臺服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的個人信息處理者，還應(yīng)當履行“守門人”義務(wù)。“重要互聯(lián)網(wǎng)平臺服務(wù)”蘊含著對平臺服務(wù)進行分類的要求，“用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜”確立了對提供重要互聯(lián)網(wǎng)平臺服務(wù)的企業(yè)進行分級和識別的兩項主要標準，四項具體要求明確了“守門人”必須履行的特別義務(wù)[20]。從目前移動互聯(lián)網(wǎng)的現(xiàn)實環(huán)境來看，“守門人”主要包括以下三類：一是應(yīng)用程序分發(fā)平臺，通過提供應(yīng)用分發(fā)服務(wù)影響移動App 觸達海量用戶進而進行個人信息處理活動的能力；二是移動終端操作系統(tǒng)，通過為移動App 提供可調(diào)用的系統(tǒng)權(quán)限等，影響移動App的個人信息處理能力；三是平臺型App，平臺型App能夠在技術(shù)資源、運營環(huán)境等兩個方面顯著便利和提升第三方小程序等移動App的個人信息處理能力[21]。

對照上述標準，如果涉?zhèn)€人信息的合規(guī)企業(yè)為“守門人”型企業(yè)，那么應(yīng)當履行特別的四項義務(wù)，即健全合規(guī)制度體系、制定平臺內(nèi)規(guī)則、處罰違法者、定期報告發(fā)布。“守門人”制度的核心是對“守門人”提供門徑服務(wù)所涉及的數(shù)據(jù)處理活動進行監(jiān)管，防止其利用數(shù)據(jù)優(yōu)勢阻礙競爭和創(chuàng)新，“守門人”提供門徑服務(wù)過程中形成、獲取的個人信息，當然是數(shù)據(jù)監(jiān)管的重點。

（三）特定場景的增強義務(wù)

對于影響個人利益的重大事項，《個人信息保護法》要求個人信息處理者需要取得該個人的“單獨同意”。這些特定場景的增強義務(wù)包括向第三方提供個人信息、公開個人信息、公共場所采集圖像、生物識別性信息、處理敏感個人信息、個人信息出境，通過“增強式告知”或“即時提示”等方式，單獨向個人信息主體告知處理個人信息的目的、方式和范圍，以及存儲時間、安全措施等規(guī)則，并由個人信息主體明示同意（主動作出確認性動作），不應(yīng)與其他不相關(guān)的目的或業(yè)務(wù)功能相捆綁或混同在其他同意事項中，不應(yīng)通過“同意個人信息保護政策”等方式一攬子獲得同意。具體到企業(yè)的業(yè)務(wù)場景中，可以根據(jù)特定的業(yè)務(wù)功能，采用單獨的交互式界面或紙質(zhì)頁面向個人信息主體告知相關(guān)信息，并向其提供可分項選擇同意的機制，如勾選、點亮等方式。

（四）個人信息處理的法定權(quán)利保護情況

《個人信息保護法》是保護個人信息權(quán)益的基本法，對個人信息權(quán)利進行了定義，全面構(gòu)建了個人在信息處理活動中享有的法定權(quán)利，包括知情權(quán)、決定權(quán)、限制權(quán)、拒絕權(quán)、查閱權(quán)、復(fù)制權(quán)、可攜帶權(quán)、更正權(quán)、刪除權(quán)等。在常見的九類侵犯個人信息的場景中，主要侵害的就是信息主體的知情同意權(quán)，部分App 無法查閱對個人信息的收集、使用、加工以及匿名化處理情況，還有部分App 以誘導(dǎo)、欺騙的方式獲得用戶同意，且無法刪除，侵害用戶的查閱權(quán)和刪除權(quán)。

在個人信息合規(guī)的審查中，對照App 處理個人信息的全鏈條全環(huán)節(jié)，很容易查詢到侵害用戶權(quán)益的情形。比如，國家互聯(lián)網(wǎng)信息辦公室發(fā)布的《App違法違規(guī)收集使用個人信息行為認定方法》第五條規(guī)定，以下行為可被認定為“未經(jīng)同意向他人提供個人信息”：1. 既未經(jīng)用戶同意，也未做匿名化處理，App 客戶端直接向第三方提供個人信息，……；2.既未經(jīng)用戶同意，也未做匿名化處理，數(shù)據(jù)傳輸至App后臺服務(wù)器后，向第三方提供其收集的個人信息；3.App 接入第三方應(yīng)用，未經(jīng)用戶同意，向第三方應(yīng)用提供個人信息。該情形本屬于特別增強義務(wù)的范疇，需要用戶單獨同意，但卻以侵害用戶知情同意權(quán)的方式違法收集和使用。

在個人信息處理的重點事項中，需要對應(yīng)相關(guān)標準，重點做好合規(guī)事項，該類事項包括隱私政策、人臉識別、自動化決策、第三方合作、SDK 接入、系統(tǒng)索權(quán)六個方面，需要重點評測是否滿足合規(guī)要求。比如，針對SDK 接入，應(yīng)針對五方面事項予以合規(guī)：一是接入前應(yīng)審查第三方業(yè)務(wù)資質(zhì)及安全合規(guī)能力，審計第三方SDK 的安全性及合規(guī)性（或要求提供審計報告），并持續(xù)動態(tài)審查。二是與第三方簽署數(shù)據(jù)處理協(xié)議，明確雙方權(quán)責義。三是在隱私政策或雙清單中向用戶明示SDK 提供者名稱、功能、個人信息收集范圍方式、系統(tǒng)權(quán)限獲取目的及范圍及個人信息處理規(guī)則等。四是應(yīng)當為用戶提供個人信息更正刪除、自行關(guān)閉相關(guān)應(yīng)用、插件及SDK 的渠道和方式，保障用戶拒絕及撤回同意的權(quán)利。用戶對App、小程序的行為同意，效力不及于SDK。五是高度關(guān)注監(jiān)管合規(guī)，盡量規(guī)避“不真正連帶責任”。

五、結(jié)論

面向用戶個人的App 移動應(yīng)用產(chǎn)品作為實現(xiàn)數(shù)字經(jīng)濟的便捷工具已經(jīng)逐步整合了傳統(tǒng)的衣食住行作的方方面面，App接觸個人信息的直接性和廣泛性使其成為侵害個人信息權(quán)益的違法違規(guī)重地。企業(yè)作為保護個人信息的第一責任主體，應(yīng)當主動負擔起合規(guī)治理的責任。目前，從法律到法規(guī)再到行業(yè)規(guī)范出臺了諸多文件，以求為企業(yè)合規(guī)提供可行的制度依據(jù)，本文據(jù)此提煉出了企業(yè)合規(guī)應(yīng)當遵守的實體規(guī)則，而后以該實體規(guī)則為目的構(gòu)建了內(nèi)部管理機制，同時配套了外部評價機制，對移動應(yīng)用中個人信息處理合規(guī)進行了初步嘗試。個人信息保護是互聯(lián)網(wǎng)時代無法回避的議題，企業(yè)合規(guī)任重道遠，未來還需將合規(guī)實踐中的經(jīng)驗反哺于企業(yè)合規(guī)的理論研究，夯實企業(yè)合規(guī)的理論基礎(chǔ)，將企業(yè)合規(guī)與法律外部約束有效接軌，以期形成企業(yè)合規(guī)與法律約束緊密結(jié)合、雙效并舉的移動應(yīng)用個人信息保護機制。