专题工作 |《个保法》实施一周年案例回顾与实践思路（下篇）-《个保法》实施大家谈

为了促进个人信息权益保护和个人信息合理利用，全国人大常委会审议通过了《个人信息保护法》，其已于2021年11月1日起正式生效实施，此法为个人信息权益保护提供了更为完善的指引。《个人信息保护法》是中国第一部专门保护个人信息的单行立法，目前已经实施了一周年。TalkingData法务合规部现结合《个人信息保护法》实施一周年期间的相关案例与实践，本篇从商业实践和TalkingData开展的合规工作，这两个角度进行分析解读。

自《个人信息保护法》生效之后，个人信息权益保护的问题日益受到企业的重视。在合作前，很多企业会现在都会要求合作伙伴填写个人信息保护与数据安全相关的调查问卷来进行事前的风险评估，并要求签署专门的数据安全保护协议，合作后还有可能会定期开展评估、审计等活动来进行动态化、持续化的监督，使得合作双方都能有效地落实个人信息保护义务。基于TalkingData目前对现有商业实践的观察，数据源合规、数据共享合规、数据安全保障合规是目前企业相对关注的议题。

1.数据源合规

《个人信息保护法》要求收集个人信息应当遵循合法、正当、必要和诚信原则，不得过度收集个人信息。收集个人信息需要有明确、合理、具体的目的，且收集的个人信息类型、频率、数量也应控制在必要范围内。目前商业实践中，大家往往都是基于“同意”这个合法性基础来收集个人信息，相关合作方会在合作前特别注意审查合作所涉及的个人信息具体字段和数量、收集的方式和目的、履行告知义务的方式、获取同意的方式等，并要求数据提供方提供相关证明材料并签署数据合规承诺函等协议来保障数据源合规。

2.数据共享合规

《个人信息保护法》第23条明确指出，如果个人信息处理者向其他个人信息处理者提供其处理的个人信息，应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意。而这种“单独同意”的要求成本非常高，因此目前很多企业都开始选择运用隐私计算技术来进行数据合作以替代原始数据物理转移式的共享模式，因为隐私计算技术可以做到数据本地化处理，即数据不出库，各参与方也不会直接共享原始数据，而只交换难以识别到个体的数据碎片或中间计算结果，因此并不存在法律意义上的共享行为，没有真正的数据接收方，因此各参与方也就是无需获取《个人信息保护法》所要求的单独同意。

除此之外，《个人信息保护法》还特别提出了一种新的合作模式，即委托处理。目前很多企业在实践中也会选择这种模式，双方会签署专门的委托处理协议。在这种模式下，委托人需要与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等，并对受托人的个人信息处理活动进行监督。受托人无需单独向用户进行告知，但是需要严格按照约定处理个人信息，不得超出约定的处理目的、处理方式等处理个人信息，合作终止后，受托人应当将个人信息返还或者予以删除，不得保留。

3.数据安全保障合规

在合作前，目前大部分企业都会要求合作伙伴填写数据安全合规表以评估其安全保障能力。《个人信息保护法》明确指出个人信息处理者应当对其个人信息处理活动负责，并采取必要措施保障所处理的个人信息的安全，措施至少应包括制定内部管理制度和操作规程、对个人信息实行分类管理、采取相应的加密、去标识化等安全技术措施、合理确定个人信息处理的操作权限，并定期对从业人员进行安全教育和培训、制定并组织实施个人信息安全事件应急预案。

基于TalkingData目前接触到的相关合规调查实践，大部分企业会比较关注如下问题：个人信息保护负责人的设置、网络安全等级保护测评的完成情况及其他相关安全管理资质证书的获取情况、内部的数据安全培训情况、保密协议签署情况、数据安全相关的规章制度、数据存储期限、数据删除方式、访问控制措施、数据脱敏措施、数据备份策略、密码安全要求、应急响应机制、审计机制。还有部分企业会进一步问询更多细化的安全措施，例如是否要求员工安装杀毒软件、是否搭建了服务器入侵检测系统、是否搭建了监控报警系统、服务器安全扫描周期等。

TalkingData一直非常重视个人信息保护和数据安全问题，在《个人信息保护法》生效之后，也及时依据相关法律法规不断完善自身的合规机制，供大家参考。

1.《TalkingData数据源合规授权说明》

TalkingData法务合规部特别撰写了《TalkingData数据源合规授权说明》来阐述TalkingData收集并使用数据的合规性。TalkingData作为第三方SDK运营者，其SDK没有直接面向终端用户的功能界面，所以客观上无法像APP开发者一样直接获取终端用户的授权同意。APP开发者下载SDK之前，TalkingData会要求其必须先阅读《SDK下载合规声明》并主动勾选同意，才能下载使用SDK，此电子协议明确指出APP开发者需先承诺其已获取终端用户同意使用SDK的授权，并将TalkingData的《隐私政策》链接进行披露，再初始化SDK。此外，TalkingData在《隐私政策》中也明确指出APP开发者必须承诺已经获取了终端用户的充分必要授权，才能与TalkingData开展合作。

为了确保APP开发者切实获得终端用户的授权，并保证TalkingData获取终端用户个人信息的合规性，在双方订立合作协议前，TalkingData会进行数据合规尽职调查以评估风险，查看APP开发者官网公开的《终端用户协议/服务条款》与《隐私政策》以审查同意授权与告知机制等。合作后，TalkingData也会追踪查看签约APP的披露情况，并将审查情况汇总形成报告。

2.TalkingData安全岛

为了增强数据合作的安全合规性，TalkingData推出了TalkingData安全岛来进行数据处理，这是一套从数据到平台再到算法应用的服务，通过多种安全算法以及高级加密硬件设备来保护数据安全，实现数据可用而不可见，解决多方数据融合计算过程中的数据隐私安全与合规性问题。

首先，TalkingData安全岛集成了京东云安全环境以及英特尔SGX可信计算平台，基于TEE可信计算提供一个具有公信力的安全计算环境，数据在岛内用后即焚，在保证数据隐私安全的前提下进行多方联合计算。其次，TalkingData安全岛还采用了联邦学习、隐私求交等多种安全算法来保障数据安全，可以实现数据仅在本地进行处理，实现数据不流转而数据价值流转，在很大程度上解决了数据流通的安全顾虑。最后，TalkingData安全岛会在网络层通过合理的结构设计和网段划分手段实现合理分配、控制网络、操作系统和应用系统资源的权限控制，并基于区块链进行存证与管理，实现操作行为数据上链，每次操作均可追溯和审计，且具体的记录不可篡改。

3.《TalkingData SDK合规与安全指南》和ISO 27701隐私信息管理体系认证

从内部审查角度看，鉴于目前相关合作伙伴都非常关注TalkingData的安全保障要求的落实情况，TalkingData特别进行了内部安全审查，并发布了《TalkingData SDK合规与安全指南》来说明TalkingData的数据安全保护能力，从技术措施角度看，TalkingData在数据收集、传输、存储、使用、删除等全生命周期均采取了相应的安全保护措施；从管理措施角度看，TalkingData从不同维度建立了个人信息安全保护机制，包括数据分类分级、访问权限控制、个人信息安全影响评估、安全事件响应机制、内部培训等。

从外部审查角度看，TalkingData在2021年12月获得了ISO 27701隐私信息管理体系认证，其被视为目前全球隐私保护领域最权威的认证之一，在国际享有较高的认可度。此国际标准覆盖个人信息收集、营销、共享、披露等不同生命周期的处理行为，对隐私信息管理体系的建立、运行、维护和完善做出了相关的细化要求，厘清合作中不同角色的责任义务，在内部管理流程的各个环节中识别、分析、验证隐私保护需求，帮助企业减少隐私泄露风险的同时也便于企业提供合规证明。《个人信息保护法》中特别强调相关企业应制定内部管理制度和操作规程，并履行合规审计的义务。ISO 27701标准就对管理制度和操作规程的具体内容做出了细化规范，同时第三方测评机构每年进行合规审计来维持证书的有效性也在一定程度上满足了《个人信息保护法》的合规审计义务。