個人信息保護法案對比研究及對我國的啟示

孫 權 中國銀聯股份有限公司

沙澤陽 復旦大學

王 曦 中國銀聯股份有限公司

吳 杰 復旦大學

柴洪峰 中國銀聯股份有限公司

葉家煒 復旦大學

1967年，信息隱私的概念由艾倫.F.威斯汀（Alan F.Westin）在《隱私與自由》一書中提出。隨著社會發展，個人隱私逐步成為了個人重要的基本權利，世界各國也相繼推出了個人數據保護法案。但在不同國家的法律框架內，相同的行為可能會被認定為不同的性質，因而對不同的個人數據保護法案進行對比研究顯得尤為重要。本文從不同的維度對中國、歐盟、美國、新加坡、日本等國家和地區的個人數據保護法案進行比較分析，為企業開展涉外業務提供借鑒。

一、不同國家和地區個人信息保護法案簡介

隨著經濟數字化進程的不斷縱深發展，個人數據更加透明化，數據保護面臨新態勢。截至2018年，全球近120個國家和獨立的司法管轄區已采用全面的數據保護或隱私法律來保護個人數據，另有近40個國家和司法管轄區有待批準此類法案或倡議。

為充分保障保險服務質量，保護消費者的合法權益，各大保險公司會收集、處理大量個人信息。2002年《保險法》第三十二條規定：“保險人或者再保險接受人對在辦理保險業務中知道的投保人、被保險人、受益人或者再保險分出人的業務和財產情況及個人隱私，負有保密義務。”法律明確要求保險機構必須承擔保護個人信息的法律義務。受新冠疫情影響，2020年銀保監會陸續發布多項通知，明確要求金融機構加強科技運用，強化電子渠道服務，鼓勵運用人臉識別等信息技術發展非現場核查、核保、核簽工作，保險企業進一步深化電子化業務、非接觸式服務的需求越來越迫切，面臨的個人數據保護合規壓力也越來越大。與此同時，疫情期間的非現場化的遠程服務需求，也為保險企業拓展海外業務提供了契機。

本文選取了中國、歐盟、美國、新加坡和日本等國家和地區的具有代表性的法律規范來進行比較，以便為保險企業開展海外業務、涉外業務提供參考。

（一）中國

《中華人民共和國網絡安全法》由中華人民共和國第十二屆全國人民代表大會常務委員會第二十四次會議于2016年11月7日通過，自2017年6月1日起施行。這是我國首次在法律層面針對個人信息保護構建較為完整的法律制度閉環。

中國在發展過程中對網絡安全重視程度的不斷增加和中國作為網絡大國面臨巨大的網絡威脅的嚴峻現狀，直接促使了《中華人民共和國網絡安全法》（簡稱《網絡安全法》）的頒布。《網絡安全法》的立法目的，旨在保障網絡安全，維護網絡空間主權和國家安全、社會公共利益，保護公民、法人和其他組織的合法權益，促進經濟社會信息化健康發展。

《中華人民共和國民法典》（簡稱《民法典》）于2020年5月28日由十三屆全國人大三次會議表決通過，將于2021年1月1日起施行。《民法典》從人格權的角度提出了“自然人的個人信息受法律保護”的法律觀點，并闡述了“合法、正當、必要”原則和應當遵循的基本規范。從內容上來看，《民法典》的個人信息保護相關條款與2017年6月正式實施的《網絡安全法》有關內容總體一致，個別方面對其進行補充和完善。

由于《民法典》尚未實施，當前個人數據保護主要遵循的是《網絡安全法》。

（二）歐盟

歐盟《通用數據保護條例》（General Data Protection Regulation，簡稱 GDPR）于2016年4月出臺，2018年5月25日在歐盟全體成員國正式生效。GDPR致力于保護個人數據，更傾向于保護人權，賦予了個人很多權利。與此同時，GDPR是基于監管者的立場，以保護基本人權為出發點，強調有關責任主體主動規范數據處理的行為。長期以來，歐盟各成員國的個人數據立法標準存在巨大差異，不利于歐盟統一數據市場的形成。GDPR的頒布和實施為歐洲的個人數據保護提供了一個更強大和一致的數據保護框架，且它具有嚴格的合規要求和極重的行政處罰，被譽為最嚴格的個人數據保護條例。同時，由于其管轄范圍的外延特征，對全球的涉歐業務和全球范圍的個人信息保護帶來了深遠影響。

（三）美國

2018年6月28日，美國加利福尼亞州《2018年加州消費者隱私法案》（California Consumer Privacy Act，簡稱 CCPA）正式頒布，成為全美最嚴隱私保護法案。該法案已于2020年1月1日正式施行。CCPA的出臺目的為通過消費者的一系列權利，為消費者控制其個人信息提供有效途徑，從而進一步拓展加州居民的隱私權。由于不同的歷史傳統和利益訴求，CCPA的制度內核與歐盟制度的烙印存在差異，CCPA更注重消費者保護的實際效果，以及與促進企業發展、技術創新之間的平衡。雖然CCPA并不是聯邦法律，但其“屬人原則”的管轄范圍實際超越了地理空間限制，其影響力可與歐盟GDPR比肩。

（四）新加坡

新加坡是一個高度法制化的社會，且執法嚴厲。新加坡現行有效的個人信息保護法案，是2012年制定的《個人數據保護法案》（Personal Data Protection Act，簡稱 PDPA）。該法旨在規制組織對個人數據的收集、使用和披露。新加坡為此還專門成立個人數據保護 委 員 會（Personal Data Protection Commission，簡稱 PDPC），通過適時修訂PDPA，來嚴控企業使用國民身份信息權限，防止組織或個人信息被用于盜竊、欺詐等非法活動。

（五）日本

日本現行的個人數據保護法案是《個人信息保護法》（2017）。

《個人信息保護法》最初于2005年4月1日起施行。隨著信息社會的高速發展，個人信息的利用范圍被顯著擴大。考慮到個人信息的實用性，以保障個人權利和利益為目的，日本在2015年對《個人信息保護法》進行了大幅調整，并于2017年5月30日起實施。《個人信息保護法》就個人信息的正當處理，對其基本理念、政府制定的基本方針以及其他個人信息保護措施的基本事項作出規定，對國家及地方公共團體的職責等予以明確，同時對個人信息處理業者應遵守的義務等作出規定，以達到在確保個人信息合理、有效利用的同時，對個人的權利和利益加以保護的目的。

二、個人信息保護法案的對比分析

（一）立法的基本原則

各國的數據保護法案都是為了保護個人信息的安全性，同時也都著重強調了個人對自己數據的控制權。這反映出保障個人對于自身相關信息和數據擁有的控制權已逐步成為全球共識，也由此豐富了個人權利的定義。但由于各國的基本國情存在差異，因而在一些基本原則上也存在一些差異。

歐盟的GDPR重視的是對自然人的個人信息權利的保護。GDPR在第二章確立了合法、合理、正當、透明原則，獲得同意原則，必要、有限原則，準確原則，安全原則；同時它也規定個人數據的使用“原則上禁止，有合法授權時允許”。

和GDPR不同的是，美國CCPA、新加坡《個人數據保護法案》和日本《個人信息保護法》原則上是鼓勵個人數據流通和合理使用的，即“原則上允許，有條件禁止”，通過法條的具體規定約束組織對個人數據的處理行為，并保障個人的合法權利。

我國的《網絡安全法》與其他國家和地區的相關法案略有不同，它旨在保障網絡安全，維護網絡空間主權和國家安全以及社會公共利益，個人信息保護只是其中的一部分內容。但在基本原則，即保證個人信息的安全、確保個人擁有對其自身相關信息的控制權等方面，我國的《網絡安全法》與其他國家和地區的個人信息保護法案并沒有太多差異。

（二）法律保護對象

1.受保護信息或數據的定義

各國的法案對于受保護信息或數據（即敏感數據）的表述和定義存在較大差異。表1羅列了各相關法案對受保護信息或數據的定義。

GDPR、CCPA、PDPA、日本《個人信息保護法》在對受保護的數據的定義上具有一定的相似性，都定義成了可以從這一段數據中直接或間接獲得個人信息的數據；在我國的《網絡安全法》中，則將個人信息定義成了一旦泄露、非法提供或濫用可能危害人身和財產安全，極易導致個人名譽、身心健康受到損害或歧視性待遇等的個人信息。

各法案中對個人信息（或個人數據）都進行了一定程度的概括，并且進行了羅列。CCPA的表述最為細致、完整，不僅包括個人，還延伸到了家庭；除常規的姓名、地址、聯系方式、身份信息之外，還包括互聯網或其他電子網絡的活動信息、商業信息（包括個人相關的財產、產品、服務、消費歷史或傾向等）、可穿戴設備信息，以及從羅列出的有關信息得出的推論。

2.法案管轄范圍

法案管轄范圍表述可以分為“屬地原則”和“屬人原則”。屬地原則是指一個國家以地域的概念作為其行使權力所遵循的原則；屬人原則是指一國政府以人的概念作為其行使權力所遵循的原則。

GDPR管轄范圍是“屬地原則”和“屬人原則”的結合；CCPA是單純的“屬人原則”；我國的《網絡安全法》、PDPA、日本《個人信息保護法》則是單純的“屬地原則”。

需要說明的是，GDPR的“屬地原則”不僅僅是歐盟成員國的范圍，還包括適用歐盟法律的地區。此外，在“屬人原則”方面，GDPR的保護對象并不僅限于歐盟居民，而是包括身處歐盟法律適用范圍內的所有自然人。這與其他法案有較為明顯的差異。

此外，雖然CCPA采用“屬人原則”，但也對規制對象進行了說明：“年度總收入超過2500萬美元，或為商業目的購買、出售、分享超過50000個消費者、家庭或設備的個人信息，或通過銷售消費者個人數據取得的年收入超過總收入50%”，且在加州開展業務收集消費者個人信息的主體。這與其他法案有所不同。

（三）法律保護措施

關于如何保護用戶數據，各個國家的數據保護法案在普遍的保護策略上是保持一致的，法案都注重保護數據的訪問權，都關注了數據傳輸和處理的方式，但在具體如何實現以及一些關鍵問題的表述上還是有一定的區別。同時，針對一些具體問題，如數據跨境的限制等，各法案的規定也有明顯的區別。下文將對這些區別進行詳細的闡述。

?表1 各國或地區的個人數據保護法案對“敏感信息”的定義

1.用戶對數據的訪問權

訪問權是指企業需要提供足夠的便利和權限，讓用戶能夠訪問自己的全部數據、知曉企業處理或將處理該等個人數據的程度，使用戶對自己的數據具有一定程度的掌控權，保證數據主體的權利。

各個國家的法案都保護了用戶對數據的訪問權，也都要求企業在一定條件下給用戶獲取、修正、撤銷的權利，但各國法案對用戶訪問權的保護程度卻有所不同。除CCPA外，各國法案都沒有要求數據來源和數據處理方式，而對于公開數據的方式，GDPR要求企業無條件地滿足用戶獲取個人數據的請求，CCPA則規定了用戶免費獲取數據的時間期限，日本《個人信息保護法》對于用戶訪問權的規定并不明確，但也保證了個人可以獲得自己的數據，新加坡的PDPA則沒有對企業做出嚴格規定，認為在特定條件下處理可以不向用戶披露個人數據。

2.關于獲得用戶同意的表述

企業合法的處理用戶數據的主要方法是獲得用戶同意，各大法案也對企業等如何獲得用戶同意做出了明確的規定。

GDPR、《網絡安全法》和PDPA采取選擇加入的方式，個人同意是企業處理數據的重要依據，因此企業需主動獲取。在GDPR和PDPA中，企業有義務告知用戶數據的用途，以及用戶有攜帶和銷毀數據的權利。

CCPA采取選擇退出的方式，消費者有權指示企業停止向第三方出售其個人信息。對此，企業須明確發布其隱私政策和標題為“不要出售我的個人信息”的鏈接，并指導消費者行使該權利。雖然與GDPR相比，CCPA對同意要求的適用范圍較窄，對于商業用途的個人信息共享有著更嚴格的限制，但各種選擇退出數據共享的權利設定，使得同意規定更為清晰和明確，有利于推進問責制，也在一定程度上賦予了消費者更廣泛的知情權。

日本《個人信息保護法》沒有強化事前的“知情同意”規則，只有對“需注意的個人信息”（指含有政令規定的、為避免發生針對本人的人種、信條、社會身份、病歷、犯罪經歷、因犯罪而被害的事實及其他方面的不當歧視、偏見及其他不利益而需要在處理上予以特別注意的記述等個人信息），規定了必須事先取得用戶同意。而對于一般個人信息，則以限制濫用為原則。《個人信息保護法》默認用戶同意數據控制者收集、處理個人數據，但數據控制者需要及時告知本人或公布對數據的處理使用情況。

3.關于個人數據跨境的限制

數據跨境是指數據通過信息網絡進行跨越邊境的傳輸、處理活動。伴隨著數字經濟全球化的快速發展，網絡對數據的傳輸成本極低，也并不以地理邊境為界，數據跨境流動成為普遍現象。然而，它產生的效應并不局限于正面，出于隱私、安全等各方面考慮，各地區政府或機構針對數據采取了不同的基本立場以及立法或配套管理措施。

?表2 各國或地區的法案中用戶的數據訪問權比較

?表3 各國或地區的法案中對處理用戶數據獲得用戶同意的表述

?表4 各國或地區法案對個人數據跨境的限制

在歐盟GDPR的規定中，數據控制者和處理者須是歐盟認定相關的第三國、國際組織，且具有足夠級別的保護，才可進行數據轉移，否則僅當具有適當安全保障措施（且為數據主體提供可執行權利與有效法律保護措施）時才能進行轉移。而美國加州的《消費者隱私保護法案》中，則未有數據跨境方面的限制。我國《網絡安全法》則規定，關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲；因業務需要，確需向境外提供的，應當按照國家網信部門會同國務院有關部門制定的辦法（《出境評估辦法》）進行安全評估。而PDPA對于數據跨境的表述就較為模糊，該法案認為個人數據不可轉至國外，除非該國擁有與新加坡可比的《個人資料保護條例》。相比較而言，日本的《個人信息保護法》對數據跨境傳輸的限制較為寬松，對于數據的傳輸并沒有正面規定，但限制向第三國提供數據。

4.處罰機制

各法案中，設置了一定的處罰機制。GDPR中，對于違規行為設定了較重的處罰，規定違規企業會面臨最高處以2000萬歐元或上一財年全球營業額4%的行政處罰（以較高者為準）。CCPA重點強調了民事賠償責任，只有在企業限期未整改時才承擔行政處罰責任，罰金最高為7500美元。我國的《網絡安全法》的罰金最高是100萬元人民幣。PDPA要求支付不超過100萬美元的罰金。日本的《個人信息保護法》中則規定，違反法規或提供虛假報告時，個人信息保護委員會可以處以30萬日元以下的罰款；員工以非法獲利為目的提供竊取個人信息數據庫時，處以1年以下有期徒刑或50萬日元以下的罰款，同時對公司進行罰款。

相比之下，可以明顯看出GDPR法律懲罰的嚴厲性。在GDPR的規制下，大企業如果被歐盟監管當局重罰后，可能就沒有足夠的資金投入新技術研發，無法及時提升產品性能，無法有效改善服務質量，從而可能最終在競爭激烈的全球市場中被淘汰。對于一些中小企業來說，歐盟的一次罰款，可能馬上就會使其瀕臨破產。

三、啟示與建議

整體而言，上述各國和地區的數據保護法案在立法初衷上有很大的共同點，即保護個人數據安全，并且都承認個人對自己的數據享有權利。歐盟、日本、新加坡的法案更多偏向于保護個人用戶數據安全，而美國加州的法案則側重于規范個人數據的使用，中國的《網絡安全法》則致力于維護整個網絡的安全。

從局部而言，不同法案的實現細節又有所不同。具體來說，歐盟的GDPR中法律保護的對象和范圍最為龐大，而美國加州的CCPA對于用戶對數據的訪問權的保護最為完善。關于獲得用戶同意的表述，總體分為加入和退出兩種模式，對于數據跨境的限制，歐盟GDPR要求最為嚴格。

（一）構建中國個人數據保護相關法律制度的啟示

1.針對個人數據保護過程中的關鍵問題要有明確的法律定義和闡述

通過前述數據保護法的對比研究可以發現，各國的數據保護法案都對在法案執行過程中可能出現的關鍵問題進行了明確的定義和闡述，比如，個人信息和個人隱私的定義、數據跨境的具體實現和保護范圍等。我國在制定個人信息安全相關法律的過程中，要充分考慮各種可能出現的情況，根據我國的憲法精神對各種特例進行詳細規定，這樣才能真正做到在面對個人數據保護問題時有法可依。

目前，《信息安全技術個人信息安全規范》（GB/T 35273-2017）和《個人金融信息保護技術規范》（JR/T 0171-2020）已經頒布實施，建議包括保密企業在內的保險企業能夠參照有關標準，擬定適合企業業務需求的個人信息范圍和跨境數據保護要求等。

2.防止法律實施過程中可能會產生的過度保護

不能過度保護個人信息以至于阻礙到現代社會中的信息流通。對中國來說，個人信息既是個人隱私的一部分，也是非常重要的戰略資源。為此，中國的數據保護法案，既要能夠完善個人信息保護制度，還要促進信息流動和共享。建議我國效仿日本和新加坡立法過程中的個人信息適量原則，以用戶的極其重要個人信息的不泄露為底線、以信息流動為目的的數據保護法案是較適合中國國情的。

建議在國家沒有頒布具體的個人金融數據管理規范之前，金融機構能夠根據自身業務需要，結合我國和海外業務所在國的有關法律要求，以“在確保個人數據安全的同時，促進數據資源的合理使用”為基本原則，擬定個人數據收集、使用、存儲、傳輸規范。

3.注重跨境數據流動的國際交流和合作

在各國數據保護的規定中，對于跨境數據的保護都極其明確和嚴格。其中，新加坡等國的法律明確規定，與新加坡有數據流動的國家應當擁有與新加坡數據保護法案相對應的法案。為此，我國在制定個人數據保護相關法律時，一方面要嚴格制定與數據跨境有關的數據保護法案；另一方面，要主動開放，謀求世界各國對中國個人數據保護規范的認同，從而促進國際間的數據流動。

建議保險企業積極參與制訂行業規范和國家標準，以切實行動推動我國金融行業個人數據保護規范體系的發展，進而促進世界各國對我國保險企業個人數據保護能力的認同。

（二）針對保險企業個人數據保護合規工作的幾點建議

1.建立以DPO為核心的企業個人數據保護監督審查指導體系

GDPR創造性地提出了DPO（Data Protection Officer，數據保護官）制度，建議組織（不僅限于企業）指派DPO，并明確提出了DPO應當具備關于數據保護法律的專業知識，要求數據控制者或處理者為DPO執行任務提供必要的信息和資源，規定了DPO的任務，包括與監管機構合作，向數據控制者和處理者發出通知和提出建議，監測關于個人數據相關政策和審計活動的合規性等。其他各國個人數據保護法律中雖然沒有對設立DPO進行重點描述，但在具體實踐中普遍接受DPO理念，要求組織采取類似機制落實各項個人數據保護責任，并與監管機構之間充分配合。

建議在保險企業內部設立DPO崗位（或角色），在承擔監管機構聯絡人職責的同時，代表企業最高管理層，全權負責企業內部的個人數據治理工作。在組織形式上采用“以DPO為核心組建個人數據治理工作組”的方式較為合適，即由一個人擔任個人數據保護工作的領導者（即DPO），由其管理的專職團隊共同完成相關工作。為了配合DPO及個人數據治理工作組的工作，還應當在企業的其他涉及個人數據治理的部門設立專職或兼職的工作崗位，負責本部門的相關工作。

2.從法條合規的角度審視企業的個人數據保護合規性

對于保險企業而言，短期內全面實現個人數據保護合規是非常困難的。但從法條合規的角度，審視企業的個人數據保護合規問題是能夠最大程度降低違規風險的快捷途徑。對照GDPR的有關要求，企業在個人數據保護工作中需要梳理的法律事務至少應當包含以下幾個方面：

（1）個人數據獲取

需要由法律事務部門會同業務部門，共同分析獲取個人數據的必要性，確保所獲取的是最小化的個人數據。同時，法律事務部門還需要審核確定獲取個人數據方式方法、個人數據獲取渠道、所采取的技術措施是否符合有關法律條款的規定。

（2）個人數據處理

需要詳細分析企業每一項涉及個人數據的業務中，個人數據存儲、傳輸、處理等過程，確保各個環節所使用的方法符合必要性原則和最小化原則。同時，詳細分析是否在業務系統中存在個人數據違規處理的情況，例如，在未告知用戶或未經用戶授權的情況下，使用個人數據對用戶進行畫像；系統中存在個人數據交叉混用的情況；未經審核產生個人數據副本等。

（3）數據主體對個人數據處理的知情與明示同意

在詳細分析金融業務對個人數據處理需求的基礎上，以恰當的方式告知用戶有關個人數據處理的必要性，以及處理的主要過程、方法等，需要獲得用戶的明示同意。法律事務部分需要詳細審核所有與個人用戶相關的隱私保護條款、個人數據使用及處理同意書等文本內容，確保有關處理過程符合法律規定。

（4）數據交由第三方處理

當個人數據將交由第三方進行處理時，業務部門應當首先審核交由第三方處理的必要性，并審核確定交由第三方處理的個人數據符合最小化原則。法律事務部門基于有關法律法規的規定，擬定、審核企業與第三方數據處理機構簽訂的協議文本，確保有關個人數據處理的范圍、處理方法、個人數據保護措施、數據泄露或失控的應急響應措施符合規范。同時，法律事務部門應當督促業務部門明確告知個人用戶其個人數據將由第三方進行處理，并獲得用戶的明示同意。

（5）數據需要跨境傳輸與處理

當個人數據進行跨境傳輸與處理前，嚴格審核個人數據跨境傳輸與處理的必要性，并審核確定跨境傳輸的個人數據符合最小化原則，且在傳輸和處理過程中會受到恰當的保護。法律事務部門基于有關法律法規的規定，擬定、審核企業與境外處理機構簽訂的協議文本，確保有關個人數據的范圍、跨境傳輸的方法、境外機構的數據處理方法、個人數據保護措施、數據泄露或失控的應急響應措施符合規范。同時，法律事務部門應當督促業務部門明確告知個人用戶其個人數據將進行跨境傳輸和境外處理，并獲得用戶的明示同意。

（6）對數據主體各項權利的保障

《網絡安全法》、GDPR、CCPA等各主流個人數據保護法律法規都賦予了數據主體各項基本權利。保險企業在開展涉及個人數據的業務時，需要充分考慮如何保障用戶的正當權益。首先，保險企業應當認真分析當前業務涉及到哪些類別的用戶數據；其次，企業需要逐一分析當用戶行使其權利時，企業當前的業務模式和數據處理方式，是否能夠保證用戶可以完整行使其權利；接著，企業需要充分考慮當用戶的權利無法得到保障時，該如何對用戶給予一定的補償；最后，企業應當在獲取用戶個人數據時，明確告知個人用戶擁有哪些權利，企業如何保障用戶能夠行使自己的權利，以及當用戶無法行使某項權利時將會得到哪些補充等信息，并獲得用戶的明示同意。

（7）境外法律規范的部分條款與中國法律、金融監管規定之間是否存在沖突

由于GDPR、CCPA等法律法規具有一定的長臂管轄特征，其部分條款可能會存在與我國的相關法律規定相矛盾、或不適合中國國情的情況。保險企業需要從中國的金融監管規范出發，認真分析GDPR、CCPA等法律條款在國內的適用性問題，并給出相應的解決方案。

3.面向個人數據保護進行業務設計與優化

對于保險企業而言，保障業務的順利開展是企業的核心工作。企業合規的根本任務是保障業務的安全性。因而，保險企業需要針對自身的每一項業務，結合主流個人數據保護法案的有關要求，進行數據保護影響評估，內容包括：

（1）基于業務需求，對相關個人數據處理機制以及處理目的（包括數據應用、控制者所追求的合法利益）進行系統性描述；

（2）對與處理目的相關的數據處理機制進行必要性評估；

（3）對數據處理活動所涉及數據主體的權利和自由開展風險評估；

（4）基于風險評估結果，設計處理風險的舉措，包括保障措施、安全措施、確保個人數據保護的機制，以及考慮到數據主體權利和合法利益的，用于證明對于個人數據保護法案合規性的舉措。

對于當前已經開展的各項業務，企業需要在數據保護影響評估的基礎上，審視當前業務活動中個人數據處理的必要性和合規性狀況，結合DPO（個人數據保護官）的監督意見和建議，以及來自于咨詢機構或法務部門的法條合規建議，從業務模式、業務流程、數據處理方式等各個方面提出改進和優化方案，盡最大努力保證在業務層面基本符合個人數據保護法案的有關要求。

對于即將開展的新業務，企業應當充分發揮數據保護影響評估的作用，認真分析數據處理的必要性和各項風險應對舉措的有效性，充分征求監管機構、DPO、咨詢機構、法務部門的意見和建議，完善業務方案，確保業務活動中的個人數據處理活動都將能夠符合有關法律的要求。

4.建立個人數據跟蹤機制與處理活動證據鏈

保險企業由于業務需要，存在大量的業務信息系統，彼此相互獨立但又聯系密切。在GDPR及各國當前主要個人數據保護相關法律規范出臺之前，幾乎所有的信息系統都不具備跟蹤和監視數據流通過程的功能。企業需要通過技術改進，在實現數據全程可控和數據處理活動可追溯的基礎上，建立個人數據跟蹤機制，實現對個人數據流通過程的追蹤溯源，為數據抽取、數據銷毀等工作提供支撐。

通過追蹤數據在企業各個業務系統和管理系統中的流動軌跡，刻畫企業在獲取、訪問、使用、傳輸、處理、銷毀個人數據等過程中的行為痕跡特征，結合個人數據處理活動記錄，形成處理活動證據鏈，為企業自證合規提供有力證據，也為數據主體、第三方評估機構、監管機構等提供快速查找和定位有關證據的方法和工具。