《中华人民共和国个人信息保护法》于2021年8月20日颁布，自2021年11月1日起正式施行。《个人信息保护法》与《网络安全法》、《数据安全法》组成中国数据保护立法体系的三大支柱，共同构成管理数据处理和网络安全问题的综合框架。

该法作为我国首部规范和加强个人信息保护的专门性法律，为破解个人信息保护中的热点难点问题提供了强有力的法律保障。同时，在《个人信息保护法》建立的个人信息法律框架下，企业合规也迎来了前所未有的挑战。

根据《个人信息保护法》第4条规定“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。”换句话说，只要能通过信息识别到具体个人，都属于个人信息，即具有识别性的信息就是个人信息。比较典型的个人信息有：家庭住址、电话号码、电子邮箱、身份证号码等等。

个人信息又可以分为一般个人信息和敏感个人信息。根据《个人信息保护法》第28条第1款规定“敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。”

企业在日常运营过程中不可避免地收集和处理大量个人信息，只有明确个人信息定义和敏感个人信息的范围，企业才能在数据合规中做到有的放矢，构建出完善的合规体系。

● 个人信息分类分级管理

个人信息分为一般个人信息和敏感个人信息，并进行分类分级保护，是我国个人信息和数据保护走向成熟和深入的标志。企业应当首先建立个人信息分级管理机制，鉴别和区分企业处理个人信息的不同类别，并着重针对敏感个人信息、未成年人信息设置规则。企业可以依据自身的特点，参照国家标准/行业标准，采用自动化的数据访问流量解析技术、敏感数据智能识别技术、数据分类分级自动化标注技术，建立起企业敏感数据的资产目录，增强企业敏感数据的可见度。

● 个人敏感信息访问权限控制

随着技术的发展以及市场竞争的加剧，企业为快速响应外界需求，将数据访问权限扩散到更多人员。这些行为都使得数据访问的场景和人员权限日益复杂，权限敞口扩大且缺乏管控之后，引发数据安全事件的可能性越来越高。企业应建立统一的数据集定义、用户定义、数据访问权限配置能力，根据敏感数据类型、用户标签和多种控制条件配置访问控制策略，对高风险访问具备阻断能力。

● 敏感个人信息脱敏访问

企业日常经营中涉及个人信息相关数据处理活动时，应结合业务、数据、安全合规要求等维度将个人信息纳入逻辑数据集合，根据敏感数据类型、控制动作、数据访问类型、有效时间、主体位置、执行路径等条件实施数据动态脱敏措施，且无需担心数据结构变化。如应用前端脱敏展示、开发测试运维人员访问脱敏、机构人员未经授权查询数据自动脱敏、BI数据分析及数据报告按需自动脱敏敏感数据等。

● 个人信息保护安全审计

企业必须依照法律、行政法规的规定，对个人信息的处理做安全审计。主要内容包括：相关程序和安全措施、个人信息处理活动的监控和记录、个人信息的非法使用、滥用和责任追究等。在发生安全事件或泄露事件后，具备数据访问轨迹追溯、安全合规分析能力。

● 组织协同推进保障

数据合规体系建设意义重大，企业领导层应大力支持并率先垂范。企业数据合规体系需要多部门协调共同推进保障。企业数据管理部门与业务部门、信息技术部门、网络产品主管部门，乃至外部技术开发单位共同参与。各方全流程参与方案设计、数据合规监管要求梳理、特定产品风险识别与评估、数据合规保护制度与员工指南制定、隐私政策修改、数据合规风险防控等职责。