“数据合规”与“个人信息合规”侧重点不同，不建议简单理解成前者包含后者的关系。为了便于与数据合规（整体合规）中处理个人信息类数据时的分项工作进行区分，本文中将以个人信息为中心进行的全生命周期合规称为“个人信息保护”。

综合现行法律与法学理论，仅“数据”与“个人信息”的关系和区别，就很难简短论清，倘若再加上对应的规范、合规，难度显然增加。从《数据安全法》第五十三条第二款“在统计、档案工作中开展数据处理活动，开展涉及个人信息的数据处理活动，还应当遵守有关法律、行政法规的规定”这一规定来看，“个人信息”是“数据”的一种，二者是包含关系。那么，企业完成数据合规后是不是在个人信息方面就已经是完全合规的？企业向中介服务机构发布“数据合规”的宽泛需求就能一劳永逸地彻底解决合规问题？

答案都是否定的。笔者不建议用一般和特殊的思路处理，理由在于，虽然“个人信息”是数据合规工作中重点关注的数据特殊类别之一，但“个人信息合规是数据合规的一部分”这种说法却并不准确。数据合规，应更倾向于关注信息集合的价值，个人信息保护应更倾向于尊重个人信息主体的个体权利，这才是符合我国涵盖数据安全保障、用户权益保护以及数据价值释放的“数据治理体系”[1]的。倾向的差异不是绝对化的，也并非始终泾渭分明，可以理解为一种双线程的、流动的保护。

数据合规，从实现数据价值出发，维护数据合法、有序地流动，在实现价值过程中避免损害国家安全、公共安全与公共利益、形成数据产权后权利主体的商业利益等。目的在于让数据“活”于流动，实现从“资源”，到“资产”，再到“资本”的价值发展过程[2]。

个人信息保护，从维护个人信息主体的个体权利出发，保护个人信息主体的隐私、知情与选择权、自主控制权，而维护每一个个人信息主体的利益，实质的利益保护对象就从个体发展到了群体，从控制个人信息数量、类别、敏感度等角度综合讨论对个体的危害后果，也能逐渐上升到公共安全与公共利益、国家安全。

二者出发点不同，殊途同归，故在讨论合规时，常一并讨论；但出发点不同，合规逻辑和具体规定必然不同，在具体场景中讨论时，不区分容易导致合规工作含混、理解不到位、遗漏合规要点的情况；双线条推进虽可以全面合规，但容易合规工作重复，且在控制成本和提高效率方面又没有优势。

因此，建议企业在启动合规前，明确当前合规场景和合规主要目标是什么，也就是“识别合规框架”。即使合规的主要对象就是个人信息，也应考虑现阶段是侧重于将个人信息作为一类数据进行保护，整体讨论该类信息如何融入原有数据管理类别、如何统筹安排、如何实现其作为数据资产的价值，还是侧重于将个人信息放到特定具体业务场景中去讨论从开始控制到控制解除之间的合规操作方式。四步识别均完成后，相信企业对此会有更清晰的认识。

1. 关键信息基础设施运营者（CIIO）

无论是进行数据合规，还是有针对性地处理个人信息保护问题，均建议提前关注自身是否属于关键信息基础设施运营者（CIIO），对于关键信息基础设施运营者的识别，将影响下一步的“特殊对象识别”。CIIO涉及重要行业和领域（公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等），其所掌握的信息遭到破坏、丧失功能或者数据泄露将可能导致的严重后果，都将使得CIIO控制的数据较为容易被认定为属于重要数据。而在个人信息保护方面，对于CIIO控制的个人信息，在出境评估等问题上，也将因主体的特殊性而承担有别于其他身份主体的合规要求。

对于身份识别方式，当前保护工作部门会根据其制定的相应规则，组织认定企业是否属于CIIO，继而企业将接到通知，未接到通知者，一般合规时暂不作为CIIO考虑，就此也可主动与认定部门进一步沟通询问。

2. 个人信息处理/控制者/数据处理者

对于法律法规与标准中提及的“个人信息处理者（或控制者）”“数据处理者”等主体身份，企业自身很难作出精准判定，笔者在本文中不就该等主体概念及识别予以过多论述，企业在自识别阶段对“处理”和“控制”宜作宽泛理解，如实告知中介服务机构，在合规项目中由中介服务机构对具体场景逐项合规分析后再予定论。

对于“处理”，《个保法》对“个人信息处理者”的定义是在个人信息处理活动中自主决定处理目的、处理方式的组织、个人，笔者认为，此处体现出的是“自主决定”的特点，而结合《个保法》对“处理”设置的较大认定范围，“个人信息处理者”将会是较为易于认定的。

对于“控制”，主体是否“控制”个人信息，控制方式及控制数量，将影响对被控个人信息这一集合的定性评价，即该集合会否被认定为既是“个人信息”又是“重要数据”，那将意味着后续需要再进行双线条的合规。而现行法律规定与国家标准、行业标准体现出的对“控制”的理解，又是相对偏广义的，更关注“实质上形成了控制”。

因此，“个人信息处理者（或控制者）”“数据处理者”确是讨论具体问题时不可忽视的特殊主体身份，但这些主体身份是判定后的结论，对其判定是基于处理的信息识别结果和对其是否构成控制等条件认定，企业在自识别阶段主要应明确自己对各类信息的操作方式、控制能力，为中介服务机构参与后的分析、判定做好准备。

1. 数据的识别

综合《数据安全法》第3条与国家标准《信息技术 词汇 第1部分：基础术语》（GB/T 5271.1-2000）中对数据的定义，数据是指信息的可再解释的形式化表示，以适用于通信、解释或处理，是以电子或者其他方式对信息的记录。

区别于我们常说的“大数据”，后者是规模大大超出传统数据库软件工具能力范围的数据集合，具有数据规模海量、流转快速、类型多样、价值巨大的特征[3]，实际其中并非所有数据都属于有价值的“黄金数据”。“数据”和“大数据”概念存在差别，我们在数据合规这一话题中所关注的“数据”，并非专注于大数据的海量与多样，而仍是从数据资源、资产、资本的价值特点出发的, 与此等价值观相结合，再进一步去讨论“大数据”“数据产权”“数据治理”，以及“数据的开放、共享与交易”等等。

企业在这一步识别中起到关键作用，需要研发、业务、技术、档案等各部门配合，主要应整理企业自身控制的、即将处理的“信息”集合，要判断其是否具有价值特点，是否可被视作企业的一种资源、资产以及其价值位阶。现行法律规定对此价值属性方面的界定得尚不够明确，相信未来在数据确权与价值释放阶段的立法会进一步予以落实。对企业来说，在自识别切勿因“信息”集合的量小就忽视，仍需对其有价值者进行分类整理，充分与中介服务机构进行沟通。

2. 重要数据的识别

基础定义识别方面，参照最新的《数据出境安全评估办法》的规定，重要数据指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等，可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。

【建议识别依据】目前现行法律对重要数据的识别仅规定至原则层面，更具体的识别判断标准尚需持续关注目前征求意见中的《网络数据安全管理条例（征求意见稿）》和全国信息安全标准委员会的《信息安全技术 重要数据识别指南（征求意见稿）》等重要法规与文件的正式版发布情况。

补充识别依据方面，如涉及一些特殊领域则需要在上述对重要数据的识别基础上再加一层识别标准，如汽车领域可关注2021年10月1日生效的《汽车数据安全管理若干规定（试行）》；金融领域可关注《个人金融信息保护技术规范》（JR/T0171-2020）和《金融数据安全 数据安全分级指南》（JRT 0197-2020）；工业和信息化领域，可关注工业和信息化部对《工业和信息化领域数据安全管理办法（试行）（征求意见稿）》征求意见及后续发布内容。此外，还可参照中国网络安全产业联盟（CCIA）数据安全工作委员会2022年5月发布的《数据分类分级实施参考案例集》，对政务、金融、典型、能源、医疗健康、互联网（网络直播和短视频）以及智能网联汽车领域的重要数据及其分级分类思路均有介绍。

3. 个人信息的识别

个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，如姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。《信息安全技术-个人信息安全规范（GB/T 35273-2020）》以列举的方式确定了个人基本资料、个人身份信息、网络身份标识信息、个人通信信息、联系人信息、个人上网信息、个人常用设备信息、个人位置信息等均属于个人信息。

我们可以通过可识别性、关联性两个角度来对个人信息进行识别：从可识别性角度来看，从信息到个人，由信息本身的特殊性能够识别出特定自然人，个人信息应有助于识别出特定个人，则该信息属于个人信息；从关联性角度来看，从个人到信息，如已知特定自然人，由该特定自然人在其活动中产生的信息（如个人位置信息、个人通话记录、个人浏览记录等）即为个人信息。

【建议识别依据】可参考《信息安全技术 个人信息安全规范》（GB/T 35273—2020）及其附录，同时可结合行业同步参考重要数据识别中的“补充识别依据”。

4. 敏感个人信息的识别

敏感个人信息（或称“个人敏感信息”）是指一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。

从信息主体和信息性质角度来看，通常情况下14岁以下（含）儿童的个人信息和自然人的隐私信息属于敏感个人信息；从信息泄露、非法提供或滥用可能导致的后果角度来看，为了便于识别，可以区分不同情形判定：

（1）泄露：一旦泄露将导致个人信息主体及收集、使用个人信息的组织和机构丧失对个人信息的控制能力，造成个人信息扩散范围和用途的不可控的信息，和被以违背个人信息主体意愿的方式直接使用或与其他信息进行关联分析，可能对个人信息主体权益带来重大风险的信息，属于敏感个人信息。

（2）非法提供：超出个人信息主体授权同意的范围外扩散，可对该主体权益带来重大风险，属于敏感个人信息。例如，性取向、存款信息、传染病史等。

（3）滥用：被超出授权合理界限时使用（如变更处理目的、扩大处理范围等），可能对个人信息主体权益带来重大风险，应判定为敏感个人信息。例如，在未取得个人信息主体授权时，将健康信息用于保险公司营销和确定个体保费高低。

【建议识别依据】可参考《信息安全技术 个人信息安全规范》（GB/T 35273—2020）第3.2条及其附录B的示例，同时可结合行业同步参考重要数据识别中的“补充识别依据”。

5. 必要个人信息的识别

考虑到个人信息收集需遵循最小必要原则，从个人信息收集者是否有必要收集相应个人信息的角度，仍需要区分出必要个人信息、非必要个人信息。这一分类目前适用较为广泛的属App相关的场景。

必要个人信息，是指保障App基本功能服务正常运行所必需的个人信息，缺少该信息App即无法实现基本功能服务，具体是指消费侧用户个人信息，不包括服务供给侧用户个人信息。App不得因为用户不同意提供非必要个人信息，而拒绝用户使用其基本功能服务。

对必要个人信息的区分要求及对应的主要识别依据均出自App适用的规定及国家标准，但《移动互联网应用程序APP收集个人信息基本要求》（GB/T 41391-2022）中将小程序也定义为移动互联网应用程序的一种，《移动互联网应用程序信息服务管理规定（2022）》中将移动互联网应用程序定义为是指运行在移动智能终端上向用户提供信息服务的应用软件。基于当前定义实质范围较大，笔者认为非基于App提供服务的网站、软件、小程序等，对App适用的通行规定仍有参考借鉴的意义，仍有必要按照产品/服务的功能逐项区分所需的“必要个人信息”与“非必要个人信息”。

【建议识别依据】可参考国家互联网信息办公室、工业和信息化部、公安部、国家市场监督管理总局联合制定的《常见类型移动互联网应用程序必要个人信息范围规定》、全国信息安全标准委员会发布的《网络安全实践指南——移动互联网应用基本业务功能必要信息规范V1.0-201906（TC260-PG-20191A）》。

根据《数据安全法》第三条第二款的规定，“数据处理，包括数据的收集、存储、使用、加工、传输、提供、公开等”，而《个人信息保护法》第四条第二款[4]对个人信息处理的讨论，在此基础上增加了“删除”，其他列举项目一致，而《个保法》规定的特殊义务中，尚有需要关注的跨境、对外提供等，究其本质，其实仍然是以上述八大环节为基础进行的组合。对此处解释“处理”而进行的列举，也实现了我们为区分不同阶段、明确义务与责任，对数据/个人信息本应是连续的生命周期作出划分。

结合国家、行业标准来看，“数据合规”与“个人信息保护”在生命周期方面的总结情况大致相同，但因发布时间不同而稍有差别，遂在讨论生命周期环节方面，可不再对二者进行区分，但这种不区分是暂时的，也仅限对生命周期环节的划分问题。

企业应理解到，具体应用场景涉及到任一生命周期环节，均将可能构成“处理”，因此建议在具体合规项目中尽可能完整地向中介服务机构介绍场景及对信息的利用方式、过程，以便在具备专业知识人员的辅助下更快、更准确地进行生命周期环节识别，避免遗漏。

常见场景词与法定处理八大环节的关系示意：

注：标色区域的颜色深度为常见场景词下涉及对应处理方式的可能性，颜色越深代表越可能涉及该项处理方式，是否确定涉及仍需具体分析后才可定论。

提示：对识别步骤的理解

为便于理解，帮助企业理顺合规逻辑，遂对前述四个步骤按照合规逻辑进行排序，更适合知识储备阶段；在实践操作中，企业对上述步骤的感知和识别过程很可能是倒序的，企业很难一开始就识别出“数据合规”或“个人信息保护”这个合规框架，常是对生命周期、处理对象、主体身份这些问题考虑后，才去判断企业在哪个框架下去合规是当前阶段的最优解。因此，对本文所列举的上述步骤顺序，企业在执行阶段逐步推进，建议按照倒序予以参照，即在具体业务场景中考虑。

不计成本的无限合规和一劳永逸的完美合规都不现实，“有效合规”应是伴随着企业发展进行流动、持续的合规，且合规计划既符合业务发展需要，也符合预算安排，逐步推行、不断更新。

合规实践中，有企业遇到个人合规信息问题，却向中介服务机构发出了全面数据合规的需求，却发现取得的反馈成果未能切中企业最担心的问题；也有企业表示中介服务机构列出的合规工作项目虽然全面，但企业亟待解决的问题却散布在其中，如果全部推行，合规成本将超出预算。为此，希望借由本文帮助企业在解决数据合规问题时，厘清概念与核心需求，明确企业下一步要解决的核心问题，再结合预算做出合规计划，逐步推行，实现有效合规。