近段時間以來，有關網絡安全、個人信息保護的話題屢屢沖上熱門，業內對于數據安全的重視度持續加碼。在此之中，各類企業場景更是關注焦點。

“企業在境內運營活動中收集的數據應存儲在境內”、“企業對個人信息收集應遵循最小必要原則”、“企業收集信息應征得用戶明示同意”……

在7月15日召開的2021中國互聯網大會“數字化治理論壇”中，三六零（股票代碼：601360.SH，以下簡稱360）與中國信息通信研究院便聯合披露了一份《企業個人信息保護合規思路與實踐報告》，意在對企業場景中的個人信息保護規范提供有益參考。

360對此表示，公司愿與各界共同深度研析個人信息治理和數據安全的全球態勢與中國因應，探討實現數據安全和個人信息保護相關的各項權益，規范數據處理活動，促進數據資源合理利用的制度建構圖景。

立足企業場景 報告提供個人信息保護指南

伴隨產業數字化發展的不斷深入，各類企業在利用軟件工具服務大眾的同時，亦獲取了大量個人信息，其不僅幫助企業獲得用戶畫像，亦構成了行業大數據的重要組成部分。

但由于近期的幾起網絡安全事件，公眾對于個人信息的保護意識顯著增強，企業該如何規范對用戶信息的處理，已成為業界的核心關切。

對此，360和信通院聯合發布的這份報告似乎來的及時，并給出了諸多可參考建議。據介紹，本報告立足于個人信息保護領域我國現行政策戰略、法律法規和其他規范，從處理的個人信息類型與要求、處理的原則要求、處理行為要求、個人信息安全工程、組織制度技術要求、監管動向與法律后果以及常見問題等七個方面，全面系統建構企業關于個人信息的全流程保護體系，是企業業務場景下有關個人信息保護合規風控工作的實操凝煉和理論總結。

一方面，報告對企業收集個人信息的合法基礎做出了內容明確，企業不僅應向用戶告知收集、使用個人信息的目的、方式和范圍，還需征得用戶的明示同意。

在具體方案上，企業應采用一般告知、增強告知、即時提示三個層次來操作；而當收集的目的、方式、范圍等重要因素發生變化時，企業方面還應再次告知并征得同意。

另一方面，企業還應遵循對個人信息“收集的最小必要原則”，其不能非法收集、違法收集，亦不能強制捆綁。

而針對近期備受關注的個人信息儲存，《報告》認為，隱私政策需要說明存儲的目的、方式、范圍、存放地域，存放期限以及超期處理方式。企業在境內運營活動中收集的數據應存儲在境內，出境需要按法規要求評估，并以即將出臺的《個人信息保護法》，已生效的《網絡安全法》、《數據安全法》等法規的最新要求為準。

此外，關鍵信息基礎設施運營者在境內運營中收集和產生的個人信息和重要數據，也應當在境內存儲；特殊領域的信息乃至所涉個人信息應存儲在境內，出境需主管部門評估。

歷經業務檢驗 360為個人信息保護提供實操樣板

針對這份報告的重要意義，其不僅為企業場景中的個人信息保護提供權威范例，更順應了官方加碼網絡安全保護的潛在需要。

據梳理，今年6月，《數據安全法》正式被表決通過，意味著“數據”作為一種新型的、獨立的保護對象，已經獲得了立法上的認可。

7月12日，工信部亦公開征求對《網絡安全產業高質量發展三年行動計劃（2021-2023年）（征求意見稿）》的意見，其中明確，針對數據防泄露、防篡改、防竊取等傳統數據安全保障需求，要進一步優化數據安全管理、分類分級安全防護等產品功能和性能，提升數據安全智能防護和管理水平。

也正是基于這樣的背景，360歷經三年打磨，結合豐富的實踐經驗和最新不斷增強的法律法規，與信通院共同推出了這份報告。據360介紹，公司從2019年著手準備報告內容，2020年通過了核心業務團隊的檢驗，2021年在信通院的指導與支持下，提煉總結了其中具有共性的成果部分，向社會公開發布。

值得一提的是，報告中不僅提示了明確的規范建議，亦穿插了諸多應用場景示例，例如智能家居產品（例如掃地機）在用戶下載 App 后并注冊之前，企業應如何規范獲取用戶的個人信息；社交 App 更新隱私政策中的收集使用規則后，應跳出彈窗提示用戶閱讀等。與此同時，報告專門提供了開發設計實踐參考，提供了細節全面、操作性較高的《產品個人信息合規評估清單》，整體提升了其實際應用價值。

360對此表示，該報告既是一次創新模式總結，又是不斷探索、創新治理模式的開始，為打造良好數據保護生態提出了可操作的實踐思路，期待成為各類型企業遵從監管要求、建設完善個人信息保護制度體系、打造企業良好品牌形象的有益參考文件。