《個人信息保護法》于2021年11月1日起正式施行，作為個人信息保護領域的基本法，其全面規定了企業等個人信息處理者的義務及責任，并在三處明確提出合規要求。隨著《個人信息保護法》的出臺與實施，其與《數據安全法》《網絡安全法》《刑法》中相關條款共同構成公法視角下的個人信息保護法律體系。一方面，面對強制合規義務及責任，企業應當建立合規管理體系，以履行處理個人信息的法定義務，避免因違法處理個人信息而受到處罰。另一方面，與強制合規并存的合規激勵機制，如合規爭取寬大行政或刑事處理，則使企業主動建立健全個人信息保護合規體系。

為貫徹落實相關要求，規范相關行為，提高相關企業的合規意識和水平，相關部門在企業境外經營、金融、反壟斷等領域編制了相關管理指引，如國家發改委等七部委印發《企業境外經營合規管理指引》，為企業在具體領域的合規工作提供指引和參考。借鑒這些領域合規實踐，根據《個人信息保護法》《數據安全法》《網絡安全法》及《刑法》，制定“個人信息保護合規指引”，具體內容包括以下八個方面。

擬定規章制度。根據個人信息保護的法律法規變化和監管動態，建立健全并不斷更新個人信息保護合規管理制度，闡明個人信息保護合規目的與內涵，明確處理個人信息的行為規范及違規后果，將外部有關合規要求轉化為內部規章制度。一是形成個人信息安全管理基礎性制度。二是在個人信息收集、存儲、使用、加工、傳輸、提供、公開、刪除等各個處理環節履行個人信息保護的義務。三是明確違規行為的內部處理流程和責任承擔方式，簽署承諾性書面聲明，企業員工違規按既定方式處理。

建立組織機構。設立個人信息保護內部合規機制的組織機構，明確個人信息保護合規主管部門、負責人及職責。合規部門負責具體起草本企業個人信息保護合規管理計劃和管理制度；組織開展或者參與個人信息保護合規審計、檢查與考核等相關工作，及時發現薄弱環節，督促違規整改和持續改進；落實本企業個人信息保護合規宣傳計劃，定期和不定期組織或協助人事部門、業務部門開展合規培訓、宣傳等工作；指導各業務單位做好個人信息保護合規，為各業務單位提供合規咨詢和支持；就個人信息保護合規舉報進行登記和受理，并對舉報進行調查和審核，判斷是否存在違規行為并提出處理建議。

開展教育培訓。組織開展個人信息安全教育培訓，定期對從業人員進行教育和培訓。一是培訓內容。明確個人信息保護的概念與重要意義、本企業合規政策和相關管理辦法、員工自身的個人信息保護合規職責、違規相關風險等。二是培訓實效。通過不定期抽查或現場考試等形式加大培訓督查力度，并納入員工年度考核內容，保留培訓及考核記錄。

建設合規文化。建設個人信息保護合規文化，將合規文化融入企業生產經營活動，形成全員認可的合規文化理念。對內暢通溝通渠道，員工可就合規問題進行咨詢或發表意見并形成反饋機制；對外宣傳合規文化，展示企業合規形象，為企業發展營造良好的合規輿論及監管環境。

進行影響評估。在處理敏感個人信息，利用個人信息進行自動化決策，委托處理個人信息、向其他個人信息處理者提供個人信息、公開個人信息，向境外提供個人信息時，進行個人信息影響評估。評估內容包括個人信息處理目的、處理方式等是否合法、正當、必要，對個人權益的影響及安全風險，所采取的保護措施是否合法、有效并與風險程度相適應。評估基本方法有訪談、檢查、測試等。評估報告和處理情況記錄應當至少保存三年。

加強風險監測。從人員、流程、技術等安全要素出發，加強風險監測。人員方面，組建一支專業的協同團隊，消除安全風險，避免安全事件；流程方面，形成良好的管理流程，確保人員發揮作用、監測措施能夠落地；技術方面，完善監測技術體系，不斷優化升級新型技術工具。

制定應急措施。制定并組織實施個人信息安全事件應急機制。一是采取補救措施。評估事件帶來的影響和損害，抑制事件的影響進一步擴大，并恢復數據與服務。二是通知相關部門和個人。通知應當包括個人信息泄露、篡改、丟失的信息種類、原因和可能造成的危害，采取的補救措施和個人可以采取的減輕危害的措施，個人信息處理者的聯系方式。

定期合規審計。對個人信息保護合規機制的合理性、可行性、有效性等進行審計，評估具體流程合規操作的規范性。由企業自發進行的定期審計，可以由企業內部專人進行，也可以聘請外部第三方機構進行；由個人信息保護職責部門要求進行的外部審計，適用于企業在處理個人信息時面臨較大風險或者發生個人信息安全事件。審計完成后形成審計報告，總結內部合規機制運行狀況以及提出整改方向。（中國信息通信研究院 張夕夜 錢悅）