《个人信息保护法》于2021年11月1日起正式施行，作為(wèi)个人信息保护领域的基本法，其全面规定了企业等个人信息处理(lǐ)者的义務(wù)及责任，并在三处明确提出合规要求。随着《个人信息保护法》的出台与实施，其与《数据安全法》《网络安全法》《刑法》中相关条款共同构成公法视角下的个人信息保护法律體(tǐ)系。一方面，面对强制合规义務(wù)及责任，企业应当建立合规管理(lǐ)體(tǐ)系，以履行处理(lǐ)个人信息的法定义務(wù)，避免因违法处理(lǐ)个人信息而受到处罚。另一方面，与强制合规并存的合规激励机制，如合规争取宽大行政或刑事处理(lǐ)，则使企业主动建立健全个人信息保护合规體(tǐ)系。

為(wèi)贯彻落实相关要求，规范相关行為(wèi)，提高相关企业的合规意识和水平，相关部门在企业境外经营、金融、反垄断等领域编制了相关管理(lǐ)指引，如國(guó)家发改委等七部委印发《企业境外经营合规管理(lǐ)指引》，為(wèi)企业在具體(tǐ)领域的合规工作提供指引和参考。借鉴这些领域合规实践，根据《个人信息保护法》《数据安全法》《网络安全法》及《刑法》，制定“个人信息保护合规指引”，具體(tǐ)内容包括以下八个方面。

拟定规章制度。根据个人信息保护的法律法规变化和监管动态，建立健全并不断更新(xīn)个人信息保护合规管理(lǐ)制度，阐明个人信息保护合规目的与内涵，明确处理(lǐ)个人信息的行為(wèi)规范及违规后果，将外部有(yǒu)关合规要求转化為(wèi)内部规章制度。一是形成个人信息安全管理(lǐ)基础性制度。二是在个人信息收集、存储、使用(yòng)、加工、传输、提供、公开、删除等各个处理(lǐ)环节履行个人信息保护的义務(wù)。三是明确违规行為(wèi)的内部处理(lǐ)流程和责任承担方式，签署承诺性书面声明，企业员工违规按既定方式处理(lǐ)。

建立组织机构。设立个人信息保护内部合规机制的组织机构，明确个人信息保护合规主管部门、负责人及职责。合规部门负责具體(tǐ)起草(cǎo)本企业个人信息保护合规管理(lǐ)计划和管理(lǐ)制度；组织开展或者参与个人信息保护合规审计、检查与考核等相关工作，及时发现薄弱环节，督促违规整改和持续改进；落实本企业个人信息保护合规宣传计划，定期和不定期组织或协助人事部门、业務(wù)部门开展合规培训、宣传等工作；指导各业務(wù)单位做好个人信息保护合规，為(wèi)各业務(wù)单位提供合规咨询和支持；就个人信息保护合规举报进行登记和受理(lǐ)，并对举报进行调查和审核，判断是否存在违规行為(wèi)并提出处理(lǐ)建议。

开展教育培训。组织开展个人信息安全教育培训，定期对从业人员进行教育和培训。一是培训内容。明确个人信息保护的概念与重要意义、本企业合规政策和相关管理(lǐ)办法、员工自身的个人信息保护合规职责、违规相关风险等。二是培训实效。通过不定期抽查或现场考试等形式加大培训督查力度，并纳入员工年度考核内容，保留培训及考核记录。

建设合规文(wén)化。建设个人信息保护合规文(wén)化，将合规文(wén)化融入企业生产经营活动，形成全员认可(kě)的合规文(wén)化理(lǐ)念。对内畅通沟通渠道，员工可(kě)就合规问题进行咨询或发表意见并形成反馈机制；对外宣传合规文(wén)化，展示企业合规形象，為(wèi)企业发展营造良好的合规舆论及监管环境。

进行影响评估。在处理(lǐ)敏感个人信息，利用(yòng)个人信息进行自动化决策，委托处理(lǐ)个人信息、向其他(tā)个人信息处理(lǐ)者提供个人信息、公开个人信息，向境外提供个人信息时，进行个人信息影响评估。评估内容包括个人信息处理(lǐ)目的、处理(lǐ)方式等是否合法、正当、必要，对个人权益的影响及安全风险，所采取的保护措施是否合法、有(yǒu)效并与风险程度相适应。评估基本方法有(yǒu)访谈、检查、测试等。评估报告和处理(lǐ)情况记录应当至少保存三年。

加强风险监测。从人员、流程、技术等安全要素出发，加强风险监测。人员方面，组建一支专业的协同团队，消除安全风险，避免安全事件；流程方面，形成良好的管理(lǐ)流程，确保人员发挥作用(yòng)、监测措施能(néng)够落地；技术方面，完善监测技术體(tǐ)系，不断优化升级新(xīn)型技术工具。

制定应急措施。制定并组织实施个人信息安全事件应急机制。一是采取补救措施。评估事件带来的影响和损害，抑制事件的影响进一步扩大，并恢复数据与服務(wù)。二是通知相关部门和个人。通知应当包括个人信息泄露、篡改、丢失的信息种类、原因和可(kě)能(néng)造成的危害，采取的补救措施和个人可(kě)以采取的减轻危害的措施，个人信息处理(lǐ)者的联系方式。

定期合规审计。对个人信息保护合规机制的合理(lǐ)性、可(kě)行性、有(yǒu)效性等进行审计，评估具體(tǐ)流程合规操作的规范性。由企业自发进行的定期审计，可(kě)以由企业内部专人进行，也可(kě)以聘请外部第三方机构进行；由个人信息保护职责部门要求进行的外部审计，适用(yòng)于企业在处理(lǐ)个人信息时面临较大风险或者发生个人信息安全事件。审计完成后形成审计报告，总结内部合规机制运行状况以及提出整改方向。（中國(guó)信息通信研究院 张夕夜 钱悦）