目前针对大数据行业，尤其在信贷领域的全产业链整治正在开展，贷款平台、大数据公司、贷款超市、催收公司等多个环节的头部公司相继被曝光遭到调查。

除了对相关公司业务的影响，此时，作为相关公司的普通员工，心中都会有这样一个疑惑：“这事跟我有关系吗？我需要承担责任么？”。

答案是：“有可能！”

事实上，除了金融领域，个人信息保护不当造成的问题存在于各行各业，我们每个人或多或少都收到过垃圾电话就清楚地说明了这点。只要是能接触到个人信息的职位，都潜在地存在违反相关法律法规的可能性，特别是互联网公司的IT、数据、运营条线，需要各种数据来进行开发和决策的职位。

根据搬运哥的经验，目前可以说绝大多数公司对用户信息和隐私的保护不甚重视。无论是入职还是在职期间，都没有对用户隐私保护的有关培训。

在用户信息保护的实操层面，虽然部分公司会有数据流转的流程，但相对来说比较粗糙，难以保证各个环节不发生有意或无意的数据泄露。在必要时也会进行数据脱敏处理，在处理前去除用户的姓名、身份证、手机号等维度，但脱敏的目的在于防止用户信息流入到竞争对手手中，并非出于个人信息保护。

所以，在数据流通的过程中，跟数据打交道的你，有可能已经违反了国家的相关规定了哦！接下来的内容一定要好好看咯！

如果觉得以下内容过多，可直接到文末，会给到一份“数据操作合规自评表”，快速判断自身的数据操作合规风险。

欧盟、美国、中国三地的相关法规分别为GDPR,CCPA,《信息安全技术 个人信息安全规范》。（相关的详细内容可参考本号之前发布的文章）。三者都将数据控制者和数据处理者的角色分开讨论，虽然对角色的称谓各有不同。就数据控制者而言，三项法规都有一个必要的条件，就是“有权决定个人数据处理目的和处理方式”的个人或组织，也就是公司的法人或实际控制人。

数据处理者与前者表现为一种委托代理关系，在三项法规中的称谓有所不同。

GDPR对于数据处理者规定较为全面且繁杂，对其有多项规定，包括处理只能基于控制者的书面指示、处理过程的安全性要求、协助控制者符合规定、且会因违反法案中的规定而在处理过程中转为控制者等。

《信息安全技术 个人信息安全规范》（下称“安全规范”）中，对受委托者的义务进行了单独的规定。下文将会根据我国的《安全规范》，剖析受委托者的相关义务。

相信不少小伙伴并没有了解过自己产品的“服务条款”和“隐私政策”，这就为操作的违法违规埋下了很大的隐患。任何可能将接触到用户个人数据的员工，都必须熟悉这两项内容中关于用户自身个人数据授权同意的内容。用户授权同意操作自己的哪些数据？用于哪些目的？是否授权共享、转让？处理、共享、转让的方式如何？对于这些内容，必须做到心中有数。

《安全规范》第8.1款第a项为“个人信息控制者作出委托行为，不得超出已征得个人信息主体授权同意的范围或遵守本标准5.4规定的情形”。5.4规定了一些特殊情况，可暂且忽略。该条款将责任归结于个人信息控制者，但处理者在受委托处理数据时，会发生委托事项无书面记录且处理事项超出用户授权的情况。虽然发生侵犯个人数据事件后遭处罚的将会是公司，但在内部追责时，如果委托行为无书面记录，责任将无法确认，这时处理者就会面临潜在的风险。

第8.1款第c项第1子项为“严格按照个人信息控制者的要求处理个人信息。如受委托者因特殊原因未按照个人信息控制者的要求处理个人信息，应及时向个人信息控制者反馈”。

因此建议，在接受个人数据处理任务时，如果委托事项无书面记录且处理事项超出用户授权，请向委托方说明这一情况并将委托需求调整到用户授权的范围内；如果委托方坚持超出用户授权处理数据，则必须提供书面记录（如发送委托处理的邮件）。

另外，如果发现处理过程中存在超出委托者要求的情况，需要尽到反馈义务，告知相关部门。

第8.1款第c项第2子项为“如受委托者确需再次委托时，应事先征得个人信息控制者的授权；”。该项意在避免在未授权的情况下处理者将处理任务转委托给其他人。

因此，原则上不允许将处理任务转交给无关人员进行处理。

第8.1款第c项第3子项“协助个人信息控制者响应个人信息主体基于本标准7.4至7.10提出的请求”，即要求数据处理者协助实现用户对个人信息的访问、更正、删除、撤回同意、注销账户、获取个人信息副本的请求；另外，对于显著影响用户权益的基于信息系统自动决策的决定时（如使用用户画像决定信贷额度），需要提供申诉方法。

因此，数据处理者需要响应用户关于以上权利的请求，同时信息系统决策的相关决定需要给出申诉方法。

第8.1款第c项第4子项“如受委托者在处理个人信息过程中无法提供足够的安全保护水平或发生了安全事件，应及时向个人信息控制者反馈；”

该项就如其字面意思，**在处理过程不安全或发生安全事件时，需要尽到及时反馈的义务。**至于什么情况可以称为“处理过程不安全”，请参见文末的“数据操作合规自评表”。

第8.1款第c项第5子项“在委托关系解除时不再保存个人信息”。该项“委托关系”的含义在实操层面有2个理解，一是针对单个委托任务而言，在委托目的达成后，即关系解除；二是理解为公司和员工劳动合同解约的同时解除委托关系。

因此，就操作建议而言，如果委托任务有明确目的，那必须在委托目的达成后删除；如果并未明确处理的时限，则根据实际需要，当数据不再需要被处理时删除。

《安全规范》第4条d项为“除与个人信息主体另有约定外，只处理满足个人信息主体授权同意的目的所需的最少个人信息类型和数量。目的达成后，应及时根据约定删除个人信息。”但在实际操作过程中，为了方便起见，提取的字段经常会超出处理的目的所需要的字段。

因此建议，在处理数据时，仅提取达成目的所需要的最少字段；向其他同事提供数据时，也只提供最少的字段，并要求目的达成后删除数据。

第8.2款规定“个人信息原则上不得共享、转让。”

针对目前普遍的个人数据保护意识薄弱的问题，公司的法务合规部门可开展相关法律法规的培训，提升数据保护意识；将用户授权的个人信息整理成文档发送全公司，方便所有人参考；整理“操作合规自评表”（可参考本所附文档）和相关流程文档，以提升所有员工的操作合规水平。