目录

　　一、个人信息的法律界定与核心特征

　　二、我国个人信息保护的制度框架

　　三、企业上市中个人信息保护的审核要求与案例分析

　　四、拟IPO企业个人信息保护的合规建议

　　五、结语

　　一、个人信息的法律界定与核心特征

　　(一) 法律定义的演进与内涵

　　我国多部法律法规先后对个人信息作出界定，形成了逐步完善的定义体系。2017年6月施行的《网络安全法》明确个人信息为“能够单独或者与其他信息结合识别自然人个人身份的各种信息”，并列举了姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等典型类型。2021年1月施行的《民法典》扩展了个人信息范围，将电子邮箱、健康信息、行踪信息纳入其中，同时区分了个人信息与私密信息的法律适用规则，即个人信息中的私密信息，适用有关隐私权的规定;没有规定的，适用有关个人信息保护的规定。2021年11月施行的《个人信息保护法》进一步优化定义，强调“与已识别或者可识别的自然人有关的各种信息”并排除匿名化处理后的信息，同时也明确了敏感个人信息的范畴，指“一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息”，列举包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹、不满十四周岁未成年人的个人信息等。

　　相较于早期立法，《个人信息保护法》的定义未作列举式限定，扩大了保护范围以适配大数据时代需求，同时突出个人关联性与匿名化排除规则。需注意的是，大数据时代的个人信息识别性仅存在强弱差异，部分初始不可识别的信息经挖掘分析后可能具备识别能力，这一特性使得个人信息保护的边界更具动态性。此外，个人信息的载体不仅包括电子形式，电话录音、手写记录等非电子形式的信息，只要符合识别特征，同样受法律保护。

　　国际层面，欧盟《一般数据保护条例》规定，个人信息是指任何与识别或可能识别自然人有关的信息，可识别的自然人能够直接或间接地被识别，尤其是通过一些识别资料，例如姓名、身份证号码、位置信息、线上识别信息或自然人本身一个或多个的物理、生理、遗传、心理、经济、文化、社会因素。美国通过扩张隐私权的权利客体范围，并在传统隐私权理论的基础上强化了个人对其信息的控制权能，涵盖了个人信息保护。美国的《加州隐私权法》等均以隐私权来保护个人信息。德国通过《基本法》《联邦数据保护法等》明确了信息自决权，强调人的价值和尊严的主要体现即为自由的自主决定，而这种自主决定在信息化时代即表现为个人有权自主决定在何时、以何种限度披露其个人生活的事实。^[1]

　　(二) 核心特征与多重属性

　　1.可识别性

　　可识别性是个人信息的本质特征，如果收集的相关信息可以直接或者与其他信息结合识别确定信息的归属者，则属于个人信息的范畴，应当依法予以保护。随着互联网技术的不断升级和发展，初步无法识别的信息通过特定的算法进行连接、融合，或可以确定信息的归属者。而匿名化则是指个人信息经过处理无法识别特定自然人且不能复原的过程，通过匿名化，去除了相关信息的可识别性从而使得相关信息排除在个人信息范围之外。

　　2.人身属性

　　个人信息来源于个人，首先与个人息息相关，关系着个人的社会认同与身份、评价，关乎人格尊严和自由。不同于传统的线下社会，由于现如今互联网技术发达，电子经济、电子政务等充分发展，个体的几乎所有活动包括消费记录、信贷信息、政务服务信息、行踪轨迹等都能通过手机、电脑、智能穿戴、智能家居等记录，这些信息逐渐累积，最终形成了一个个与真实个体相似或者完全一致、完全不同的数字人格，“大数据杀熟”、“算法歧视”等等都是通过对数字人格的识别进一步侵害个人权益的行为。

　　3.财产属性

　　作为新质生产要素的重要组成，个人信息又是数据的重要来源，企业利用个人信息可以进行精准营销、生产等商业活动，实现企业盈利。个人信息承载着大量经济价值，具有明显的财产属性。大数据时代，个人信息具有财产属性，其财产属性主要就体现在“数据”语境下的财产属性。

　　4.公共属性

　　传统社会中个人信息的私人属性比较突出，信息的流动性低，储存手段有限。但随着人类社会进入数字经济时代，智慧社会的网络化、数据化和智能化深刻影响着人们的社会生活和经济发展，“网上的个人信息全方位覆盖了你从摇篮到坟墓的全部私人生活，慢慢地积累所有数据，直至在计算机数据库中形成一个‘人’”。^[2]数字时代的个人信息流动性显著增强，不仅被企业用于商业活动，也为政府行政管理提供基础支撑，突破了传统个人信息的私人属性边界，呈现出鲜明的公共属性。

　　(三) 与隐私的界分

　　隐私权首先由美国学者沃伦提出，指每个人不受外界打扰的、独处的权利，随着时代和社会的发展，隐私权的外延也不断地变化。《民法典》规定，公民享有隐私权，任何人或单位，均不得以刺探、侵犯、泄露、公开等方式，侵犯他人隐私。隐私权是人格权的一种，是公民应有的权利之一。关于个人信息与隐私该如何界定，目前比较主流的看法是王利明教授提出的“交叉论”，他认为，虽然个人信息和隐私在某些方面有共同之处，但并非完全相同，二者具有很高的重叠性，其中许多内容呈交叉关系，需要针对不同的情况进行具体的分析，而在交叉的概念中，仅依赖对于个人隐私的保护办法去一以贯之地套在个人信息保护上显然是不够全面的，也是行不通的。^[3] 

　　二、我国个人信息保护的制度框架

　　(一) 个人信息处理原则

　　根据《个人信息保护法》，个人信息处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。《个人信息保护法》明确了个人信息处理的五大核心原则，涵盖处理活动的全流程要求：

　　1.合法、正当、必要和诚信原则：不得通过误导、欺诈、胁迫等方式处理个人信息。

　　2.目的限定与最小必要原则：处理目的需明确合理，与目的直接相关，收集信息限于最小范围，不得过度收集。

　　3.公开、透明原则：需以清晰易懂的方式公开处理规则，明示处理目的、方式和范围。

　　4.信息质量原则：处理个人信息应当保证个人信息的质量，避免因个人信息不准确、不完整对个人权益造成不利影响。

　　5.安全保障原则：个人信息处理者应当对其个人信息处理活动负责，并采取必要措施保障所处理的个人信息的安全。

　　此外，对于个人敏感信息的处理，明确了特定目的、充分必要性、沿革保护措施等特殊原则，提升了高风险信息的保护标准。

　　(二) 信息处理规则及信息主体的权利

　　1.告知-同意规则

　　信息处理行为要经过“告知-同意”才能具有合法性。告知，即任何组织或个人应当向被处理个人信息的自然人履行必要的告知义务，包括法律规定的告知方式和告知内容。同意，即自然人在充分知情的基础上自主决定是否授权信息处理者处理其个人信息。例如我们现在广泛使用的手机APP会包含各自用户协议、隐私协议、权限申请等请求用户勾选同意。

　　知情权和决定权是个人信息权的核心内容，“告知-同意”是保障知情权和同意权的重要手段，因而也被视为是个人信息保护的关键规则。《民法典》采取了知情同意+免责事由的规则设计模式，《个人信息保护法》采取了更多元化的规则设计模式，包括个人同意、订立履行合同、人力资源管理、履行法定职责、维护公共利益等。^[4]《信息安全技术个人信息处理中告知和同意的实施指南》中将告知方式细化为一般告知、增强告知、即时告知，并列举了常见应用场景下的告知同意模式。

　　告知，最主要的目的是为了使得收集处理个人信息的行为公开透明，进一步保障信息主体的知情权。告知规则中体现出的信息处理者的告知义务应当包括两个构成要件，即告知方式和告知内容，关于这一点，《个人信息保护法》采用的是“一般+特殊”的方式进行规定。^[5]信息处理者应当以显著方式、清晰易懂的语言真实、准确、完整地向信息主体告知相关事项。在告知方式上，满足前述条款即可，一般为书面形式，便于查阅、保存。告知内容上主要为信息处理者及处理行为、个人信息内容、信息主体的权利。《个人信息保护法》还规定了保密状态下的不告知、特别情况中的额外告知义务等。

　　关于同意规则的构成要件，《个人信息保护法》规定，同意应当由个人在充分知情的前提下自愿、明确作出。由此看，信息主体应当具备同意的能力，以充分知情为前提，信息主体的同意应当是自愿、明确的。《个人信息保护法》规定，法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的，从其规定，也就是说没有特殊规定的，以一般概括方式作出同意即可，否则按照规定针对某单独的信息处理请求进行单独同意或者按照规定以书面形式作出特别同意。同意不仅是维护信息安全的一个必要流程，也是公民实体权利的体现，没有信息主体的同意就不能体现人的自治和主体性。^[6]同意是可以撤回的，接收方变更原先的处理目的、处理方式的，也应当重新取得个人同意。个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由，拒绝提供产品或者服务;当然，处理个人信息属于提供产品或者服务所必需的除外。

　　2.删除权及更正权

　　信息主体有权在特定情况下要求信息处理者删除个人信息，还有权要求信息处理者更正错误的个人信息。根据《网络安全法》和《个人信息保护法》，信息处理者应当删除个人信息的情形包括：处理目的已实现、无法实现或者为实现处理目的不再必要;个人信息处理者停止提供产品或者服务，或者保存期限已届满;个人撤回同意;个人信息处理者违反法律、行政法规或者违反约定处理个人信息;法律、行政法规规定的其他情形。法律、行政法规规定的保存期限未届满，或者删除个人信息从技术上难以实现的，个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。

　　3.其他

　　根据《个人信息保护法》，任何组织、个人有权对违法个人信息处理活动向履行个人信息保护职责的部门进行投诉、举报。收到投诉、举报的部门应当依法及时处理，并将处理结果告知投诉、举报人。

　　三、企业上市中个人信息保护的审核要求与案例分析

　　(一) IPO审核核心关注要点

　　随着大数据对社会生活的影响不断加深，近年来数据合规在IPO审核流程中的关注度不断提升，尤其对于处理大量个人信息的企业，数据合规程度直接影响该企业能否成功上市。2023年，沪深交易所分别发布了审核指南，要求发行人属于数字经济、互联网平台公司或发行人涉及数据开发利用等数据处理活动的，保荐人、发行人律师应当对公司相关经营是否《个人信息保护法》《数据安全法》《网络安全法》等法律法规进行核查，并发表明确意见。该等措施的实施，体现了监管机构对数据合规问题的重视。笔者通过梳理相关案例，总结IPO过程中监管机构针对个人信息保护的主要关注要点包括：

　　1.数据来源及权属

　　关注企业业务所涉及数据的来源，是否依法从用户处获得，对外进行数据采购是否合规，价格是否公允，供应商是否合法供应商。涉及收集个人信息时，是否符合告知同意规则，是否符合必要性、最小化原则等。此外，监管机构还关注数据权属问题，是否侵犯他人权益。

　　2.业务经营的合规性

　　实际业务中数据的收集、使用、存储、传输等环节是否符合《数据安全法》《个人信息保护法》等法律法规的规定，如用户数据及标签的获取、数据使用、委托第三方处理信息等方面是否合法合规。是否对数据进行加密保护，以及是否定期进行数据安全风险评估。企业是否取得相关的业务资质，如增值电信业务经营许可证等。

　　3.数据管理及内控制度

　　企业内部是否建立健全与个人信息保护有关的内部控制制度，是否取得相关信息安全认证，突发事项的应急响应机制、组织合规培训的情况，组织机构设置等;面对逐渐趋严的个人信息保护制度、政策环境，企业是否能够应对并符合监管要求，高风险业务及时监控、识别，对信息分级分类进行处理等;

　　4.违规及处罚情况

　　企业历史上是否存在因个人信息等数据问题与其他主体产生过纠纷，是否因相关问题受到行政处罚，是否存在相关重大不利舆情。如受到处罚的，需详细核查并披露处罚的具体情况，是否已整改完毕并采取措施避免再发生类似违规情况。

　　中央网信办、工信部、公安部和市场监督管理总局于2019年1月联合发布了《关于开展APP违法违规收集使用个人信息专项治理的公告》，组织开展整治活动，目前工信部网站仍在持续对侵害用户权益行为的APP(SDK)进行通报。2019年11月，国家互联网信息办公室秘书局、工信部办公厅、公安部办公厅、市场监管总局办公厅联合发布《APP违法违规收集使用个人信息行为认定办法》(下称《认定办法》)，列举了APP合规收集个人信息的6大评估类、31个评估点。违规行为包括：未公开收集使用规则;未明示收集使用个人信息的目的、方式和范围;未经用户同意收集使用个人信息;违反必要原则，收集与其提供的服务无关的个人信息;未经同意向他人提供个人信息;未按法律规定提供删除或更正个人信息功能或未公布投诉举报方式。

　　5.数据跨境安全

　　关于跨境数据传输，审核中关注是否符合数据出境安全评估要求，是否已取得相关申报审批，以及是否遵守《数据出境安全评估办法》等相关规定，以确保数据跨境传输的合规性。

(二) 典型行业案例解析

　　随着数据的流通及互联网技术的发展，不仅仅计算机软件、云计算行业的企业涉及大量个人信息数据处理，可以说各行各业的企业都不同程度地涉及个人信息数据的处理，包括金融业、传统制造业、商业服务业等。笔者查询公开披露文件，选取几个不同行业的IPO案例进行分析，以体会行业法规及IPO监管对于不同行业企业在个人信息保护及数据处理方面的审核要求和重点。

　　合合信息(688615)—人工智能及大数据软件

　　云计算、大数据分析和人工智能等领域的企业的业务通常涉及大量的个人信息处理。这些个人数据对于提供精准的服务和产品固然重要，但同时带来的数据安全和个人信息保护合规风险问题也需要予以高度重视。

　　根据合合信息的披露，其是一家人工智能及大数据科技企业，基于自主研发的领先的智能文字识别及商业大数据核心技术，为全球C端用户和多元行业B端客户提供数字化、智能化的产品及服务。其名下的启信宝APP也曾被工信部通报超范围索取权限、过度收集用户个人信息。

　　根据合合信息公开披露的审核及回复文件，合合信息关于数据及个人信息的审核问题主要集中在(1)业务涉及的数据种类，数据来源的合法性、数据权属，是否存在销售数据;(2)外采数据的背景原因、价格是否公允，与数据供应商是否存在利益安排，供应商数据来源的合法性;(3)违规事项的整改情况;(4)数据管理制度及执行情况。

　　针对上述问题，中介机构核查了(1)第三方法律顾问出具的涉及数据安全管理及数据保护、隐私管理的尽职调查报告;(2)对公司名下软件的功能及权限情况进行核查;(3)对问题APP的整改情况进行核查。在问题回复中，中介机构对各项业务及研发分别获取、存储、使用的数据以及具体储存方式及期限、使用方式及用途，对应的数据来源、数据权属进行了列明;说明存在的数据销售、外采数据等的具体情形;数据获取方式包括自动化访问、外采、数据换数据、广告换数据等;通过供应商准入调查及持续年度审核来控制外采数据风险;公司制定了《用户个人信息安全管理规定》等内部制度，确定安全与合规部为个人信息保护负责人岗位，组织制定个人信息保护计划并督促落实、开展个人信息安全影响评估，并向安全与合规管理委员会报告;对比《认定方法》以确认整改后的实际经营不存在《认定方法》规定的违规收集使用个人信息的情况。

　　信达证券(601059)—金融业

　　金融行业的数据合规性也备受关注，因为涉及大量敏感的个人信息和企业数据，包括账户信息、财务数据、交易记录、信贷信息等敏感数据。人民银行于2020年发布《个人金融信息保护技术规范》，对个人金融信息的定义、分类、信息安全的基本原则及技术管理要求等作出规定，于2022年实施《征信业务管理办法》，对个人信用信息的采集、使用等作出了规定。实务中，银行、消费金融公司等金融机构在处理个人信用信息时，存在大量因违规操作而受到人行行政处罚的案例。

　　就IPO领域而言，2023年2月信达证券上市后至今，A股无新增金融企业IPO，在审项目几乎无进展。除主板外，其他板块的规则都不支持金融企业上市。本文以信达证券为例进行分析。

　　根据信达证券的披露，其从事的业务包括：证券经纪;证券投资咨询;证券财务顾问;证券承销与保荐;证券资产管理等。信达证券在其招股说明书的风险提示部分阐明，公司存在未能妥善保护客户个人信息的风险，可能因此招致监管处罚等。这里要说明的是，招股书均须对拟上市企业可能存在的风险进行充分的披露，并不表明公司本身已经存在不合规的情形。

　　根据信达证券公开披露的审核及回复文件，监管问及：公司经营是否符合《数据安全法》等法律法规的规定;信息系统的安全管理制度是否健全，执行是否有效;关于个人信息的保护管理制度是否健全，执行是否有效;是否发生过相关泄密、信息系统故障事件，是否存在随意收集、违法获取、过度使用、泄露个人信息或非法买卖个人信息等情形，是否存在违法违规及被行政处罚等风险，是否存在纠纷或潜在的纠纷。针对该等问题，中介机构核查了信达证券内部的《个人金融信息保护管理办法(试行)》等内部制度，核查其施行的数据安全内部管理体系，核查其个人信息获取告知、脱敏处理流程等。中介机构核查后认为，公司已建立健全个人信息保护管理制度并能有效执行，不存在违规受处罚的情形。

　　中力股份(603194)—制造业

　　相较于与互联网关系密切的行业，制造业与数据处理不直接相关，涉及面相对少很多，更多是工业信息化领域的数据，主要在市场营销、客户供应商管理等方面涉及个人信息。

　　根据中力股份的披露，公司是一家专注于电动叉车等机动工业车辆研发、生产和销售的高新技术企业，公司的境内经销业务，主要依托阿母工业网站作为市场推广、销售订单下达、产品展示的平台，国内经销商的准入资格以及后续与公司发生的大部分购销业务均通过阿母网站进行。审核中监管要求公司说明线上相关业务涉及的数据采集、存储、处理、使用等情况，所涉数据类型，是否存在超出授权许可限制采集、存储、处理、使用数据的情形，是否存在境外采集、存储、处理、使用数据的情况，是否存在侵犯网站相关方隐私或其他合法权益的情形;结合前述要素，说明发行人开展相关业务的合法合规性，是否符合《数据安全法》等法律法规要求，是否已采取有效措施防止信息泄露、确保数据安全。针对该等问题，中介机构核查了发行人网站、微信公众号及微信小程序、APP的基本情况、功能模块、展示或销售的产品、用户注册管理和权限设置等，说明公司在个人信息方面已公示了隐私政策等，公开了处理信息的规则，明示处理信息的方式、范围，公司收集、存储、使用的个人信息均取得了客户的同意或为履行法定义务所必须。公司制定了《信息安全管理制度》《网络安全管理制度》《机房管理制度》《数据分类分级管理制度》等内控制度，对数据收集、分类分级、存储、使用、销毁等流程及人员职责进行了规定，并采取相关技术及物理保护措施，保障个人信息安全。

　　四、拟IPO企业个人信息保护的合规建议

　　结合上文所述，建议涉及个人信息等数据处理的企业，尤其是拟IPO企业不断学习个人信息保护法律法规，完善企业相关内控制度并有效执行，笔者提出以下建议以供参考：

　　(一) 强化法律法规及标准学习

　　企业核心管理人员及相关人员应学习各行业通用的个人信息保护方面的法律法规、国家标准、行业标准和本行业特有的法律法规及规范文件。通用规定如《网络安全法》《数据安全法》《个人信息保护法》《数据安全管理办法》《信息安全技术个人信息处理中告知和同意的实施指南》《认定办法》等。行业特有的规定如工业领域的《工业和信息化领域数据安全管理办法(试行)》，金融领域的《个人金融信息保护技术规范》，汽车行业的《汽车数据安全管理若干规定(试行)》等等。

　　(二) 全面梳理企业数据资产

　　全面梳理排查现有及拟开展业务环节涉及的数据类型，区分普通个人信息与敏感个人信息，明确数据存储期限、使用用途、来源渠道及权属归属，建立完整的数据资产清单，为合规管理奠定基础。

　　(三) 建立全生命周期个人数据管理制度

　　1.数据收集

　　严格遵循《个人信息保护法》规定的处理个人信息的原则及规则，包括“告知-同意”“最小必要”等，识别相关信息是否属于敏感信息，如是，还应符合特定目的、充分必要性、沿革保护措施、单独同意等。严格对照《认定办法》核查企业在数据收集过程中是否存在违规的情形。除企业自行获取的数据信息，如存在外采数据的，应核查供应商是否具备相应的资质，是否合法合规从事相关数据收集业务。

　　2.数据使用

　　根据相关规定对数据进行分级分类管理并制定相关管理制度。应严格按照隐私政策、用户协议中载明的使用方式、目的和范围去使用数据。根据数据的使用和管理制度设置相应岗位，职责落实到位。

　　3.数据存储

　　对数据库进行加密管理，定期对密钥的管理情况进行检查，加密后的数据与密钥需进行隔离存储。对数据进行分级分类存储，对应不同的阶梯式安全等级。

　　4.数据传输

　　对于服务器资源及数据访问通道传输数据进行加密，根据不同人员所属岗位需要访问资源不同，配置对应的系统资源分类访问权限等。不得非法买卖、传输个人信息。涉及信息跨境传输的应当遵守相关的法律法规并按规定向网信部门提交合规审查。

　　(四) 完善培训及应急响应机制

　　定期开展数据安全教育与培训，确保相关人员具备个人信息安全管理的能力，公司根据应对数据安全事件的需要，制定数据泄露等安全事件的应急响应机制，并开展应急演练。

　　(五) 常态化开展信息安全风险评估

　　常态化落实信息安全风险评估，根据评估情况定期出具信息安全评估报告，描述存在的风险及建议整改措施，由相关责任部门根据信息安全风险评估报告形成整改报告报送信息管理部门进行审核。

　　(六) 聘请外部专业机构辅助核查

　　由于个人信息及数据安全保护的法规、政策具有专业性，为进一步完善企业的各项个人信息及数据内控制度，建议聘请专业的律师进行数据合规的尽职调查，聘请专业的会计师进行数据合规审计，根据专业第三方的意见，企业可以更高效、全面地了解自身内控制度及执行的问题所在，从而进一步进行完善。

　　五、结语

　　综上所述，笔者始终认为，尽管需兼顾，但个人信息保护应是个人信息利用的前提，如通过侵权获取了短期利益则终将面临相应的不利后果，也不符合国家为推动数字经济发展作出的立法、执法等努力的初衷。合法经营应是企业，尤其是拟IPO企业的底线和持续追求的目标，这也是企业作为社会主义市场经济重要实体承担社会责任、维护社会经济秩序的体现。拟IPO企业应当将个人信息保护贯穿业务全流程，通过强化合规意识、梳理数据资产、完善管理制度、加强风险防控等措施，实现个人信息保护与企业发展的良性平衡。这既是企业规避上市审核风险、顺利实现资本化的必然要求，也是企业履行社会责任、维护社会经济秩序的重要体现，更是响应国家数字经济发展战略的应有之义。

　　注：

　　[1] 任愿达，《民法典》个人信息保护规定与数据资产治理观念的协调路径，西南民族大学学报(人文社会科学版)，2022年第6期，第119页

　　[2] 【英】约翰·帕克《全民监控：大数据时代的安全与隐私困境》，关立深译，金城出版社2015年版，第14页

　　[3] 王利明，论个人信息权的法律保护——以个人信息权与隐私权的界分为中心，现代法学，2013年第4期，第62页

　　[4] 高志宏，大数据时代个人信息保护的理论反思与规则优化，学术界，2023第7期，第127页

　　[5] 程啸，论个人信息处理者的告知义务，上海政法学院学报(法治论丛)，2021年第5期，第75页

　　[6] 徐丽枝，个人信息处理中同意原则适用的困境与破解思路，图书情报知识，2017第1期，第108页