【"罚到你记住"的时代已经来了】

2021年11月，《个人信息保护法》正式施行。这部法律被不少企业界人士称为"史上最严个人信息保护法"——最高可处五千万元或上一年度营业额百分之五的罚款。这个处罚力度，对大多数中小企业来说，一次就足以伤筋动骨。

四年多过去了，我在合规业务中观察到一个令人担忧的现象：大企业纷纷成立了数据合规部门，但大量中小企业仍然对这部法律缺乏基本认知。很多老板觉得"数据合规是大企业的事，跟我一个小公司有什么关系"。

这个想法很危险。个人信息的处理无处不在：你的客户名单上有姓名和电话、你的员工花名册上有身份证号和住址、你的微信上有几百个客户的聊天记录、你的网站后台记录了访客的浏览行为——这些都在《个人信息保护法》的管辖范围之内。

【哪些"日常操作"可能已经违法了？】

场景一：收集客户信息但未告知。 客户来店里消费，店员说"您留个电话，以后有活动通知您"。客户给了电话，但这个过程中企业没有告知客户其信息将被用于什么目的、存储多久、会不会提供给第三方。这违反了"告知-同意"原则。 场景二：员工信息管理无限制。 公司收集了员工的身份证复印件、户口本信息、紧急联系人信息、甚至家庭成员信息，但没有任何关于这些信息如何保护、谁会接触、使用多久的内部规定。一旦泄露，企业需要承担法律责任。 场景三：客户数据共享给合作方未获同意。 装修公司把业主信息给建材商共享，培训机构把家长信息给保险公司交叉营销——这些"客户资源共享"的做法在没有取得客户单独同意的情况下，直接违法。 场景四：通过爬虫抓取竞品网站数据。 有些企业为了商业情报，用爬虫工具抓取竞品网站的公开信息。这个行为的法律边界很复杂，但如果你抓取的内容包含个人信息（比如竞品网站上的用户评价中的用户名和头像），你就踏进了个人信息保护的红线。

【数据合规的核心框架：四个关键词】

《个人信息保护法》的合规体系可以用四个关键词概括：

第一个关键词：告知-同意。 这是处理个人信息的基本前提。收集个人信息之前，必须告知信息主体你是谁、要收集哪些信息、用于什么目的、怎么保存和保护、会不会共享或转让给第三方、信息主体如何撤回同意。这个告知必须是显著的、清晰的、用通俗语言表达的，不能藏在用户协议里的一大段模糊文字里。 第二个关键词：最小必要。 你只能收集与处理目的直接相关的最少信息。开个会员卡不需要身份证号，办个活动报名不需要家庭住址，发工资不需要员工的婚姻状况和家庭成员信息——很多企业在"以防万一以后用得到"的思维下过度收集了个人信息，这在法律上是不被允许的。 第三个关键词：安全保障。 企业必须采取技术措施和管理措施保护个人信息的安全。这包括但不限于：对存有个人信息的系统设置访问权限、对敏感信息进行加密存储、建立内部信息查阅审批制度、定期进行安全审查。如果因为企业没有采取"合理"的安全措施导致信息泄露，企业需要承担赔偿责任。 第四个关键词：个人信息权利响应。 个人有权查阅、更正、删除自己的信息，有权撤回同意，有权要求将自己的信息转移至其他服务商。企业必须建立响应这些权利的内部机制，且通常需要在十五个工作日内完成处理。

【中小企业该做什么：一份实用行动清单】

不需要一开始就请咨询公司做全套合规体系。但以下几件事是必须尽快做的：

第一，画一张"数据地图"。 列出你的企业从哪些渠道收集了哪些个人信息（客户、员工、供应商的联系方式？身份证号？银行卡号？），这些信息存储在哪些系统和设备上，谁可以接触这些信息。这张地图是你所有后续合规工作的基础。 第二，写一份隐私政策并在收集场景中告知。 如果你的企业有网站、APP或小程序，需要在页面上提供隐私政策。如果是线下收集，可以通过提示牌、告知书或话术模板来实现告知。模板可以简单："我们收集您的姓名和电话仅用于与您联系处理咨询事宜，不用于其他目的，不提供给第三方。您可以在任何时候要求我们删除您的信息。联系人：XXX，电话：XXX。" 第三，培训员工的数据安全意识。 至少要告诉员工：不要把含有客户信息的文件发到私人微信、不要把内部表格保存在个人网盘、不要在工作中使用不可信的第三方工具处理客户数据。大多数数据泄露不是黑客攻击，而是内部人员的无意识行为。 第四，建立信息查阅和删除的内部流程。 指定专人负责处理个人信息相关的客户请求。当客户说"请把我的信息删掉"时，要有一个明确的处理路径，而不是转接三个部门都说不清楚。 第五，处理供应商合同中的数据条款。 如果你的企业委托其他公司处理数据（比如使用第三方ERP系统、委托代发工资），你需要在合同中明确数据处理的范围、期限、安全义务和违约责任。

【结语：合规是成本，更是信任】

对于中小企业来说，数据合规确实有成本。但换个角度看，在一个数据泄露事件频发、公众隐私意识快速觉醒的时代，一个能够向客户清晰承诺"我们如何保护您的信息"的企业，本身就获得了差异化的信任优势。

更何况，合规的成本与违法的代价相比，根本不在一个量级上。等到监管约谈或者数据泄露事故发生的时候再来补救，代价要大得多。

早做合规，少吃罚单，更重要的是——赢得客户的长期信任。

---

作者简介：陈孟律师，浙江震瓯律师事务所合伙人，拥有11年以上法律从业经验，擅长建筑房地产、行政争议等业务。曾为温州市人民政府办公室、龙湾区人民政府办公室、鹿城区人民政府办公室、乐清市人民政府办公室、温州市机关事务管理局、温州市自然资源和规划局鹿城分局等多家政府职能部门及多家房地产开发企业提供顾问咨询服务。

社会职务：浙江省律师协会资源与环境保护专业委员会委员、浙江省律师协会基层治理和乡村振兴委员会委员、温州市律师协会房地产专业委员会委员、温州市律师协会基层治理和乡村振兴委员会秘书长、温州市律师协会公益与社会责任委员会委员、温州市未成年公益法律服务团成员、温州市瓯越调解中心律师调解员、温州市鹿城区政协法律服务团成员、温州市新的社会阶层人士联谊会成员。

个人荣誉：温州市律师行业2017年度、2020年度"优秀党员"、温州市第八届"青年律师之星"、温州市律师行业（建筑房地产委员会）优秀专业委员会委员、温州市律师行业（房地产委员会）优秀专业委员会委员、温州市律师行业（公益与社会责任委员会）优秀工作委员会委员、温州市律师协会团委"优秀团支部干部"、温州市慈善总会"优秀慈善义工"、温州市律师协会第一届温州律师AI应用大赛二等奖。

专业领域：企业合规、土建施工、房产纠纷、装饰装修、地产租赁、物业管理、行政诉讼。

联系电话：17769523619（微信同号）。

声明：本文仅供学习交流，不构成正式法律意见。具体案件请咨询专业律师。