数字经济时代的食品企业合规增量：个人信息保护

　　2021年11月1日起施行的《个人信息保护法》标志着我国个人信息保护立法体系进入新的阶段。这一立法意义的双重性首先体现在对主体的约束上，即市场主体和监管部门同时受到制约。对于食品行业，一方面指向为消费者提供食品或关联服务的食品生产经营者；另一方面，市场监管部门等与食品安全监管相关的国家机关为履行法定职责处理个人信息时，也应当符合针对处理个人信息的相关规定。立法是基于安全保障与促进发展的双驱动，即立法规范的目的既是为了保护个人信息权益，也是为了规范个人信息的合理利用，以便促进数字经济的健康发展。在数字经济发展与政府监管的全球趋势下，我国立法在规范国内数据安全利用的同时也有助于与国际接轨，并为完善数据安全、个人信息保护的规则设定提供中国经验。从一般领域到具体行业，个人信息等数据安全立法给数字化的食品企业带来了合规管理的增量要求。
　　在从农场到餐桌的食品供应全链中，“互联网+”的数字化发展既体现为各生产经营环节的信息化、数智化管理，也体现在各类主管部门在“互联网+”下的监管智慧化。在这些过程中，为便利管理与监管而采集与使用的数据/信息应符合相关法定要求。对于食品企业，兼具保护权益和促进发展的法治要求意味着与时俱进的数据合规管理安排不仅在于消极避免违法行为和沉重的经济、声誉损失，积极意义也能在合理利用个人信息、创新商业模式的同时为可能出现的问题提供免责抗辩的依据。一如《食品安全法》第136条的尽职免责规定，《个人信息保护法》也基于过错推定的归责原则规定，处理个人信息侵害个人权益造成损害，个人处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任。也就是说，生产经营者在面临与个人信息保护相关的侵权问责时，可提供内部为保护个人信息权益设定的合规管理来免于民事责任。
个人信息保护的核心问题
　　《个人信息保护法》为保护个人信息权益、合理利用信息促进数字经济发展提供更全面、更具体的法律依据。一是规范的体系性需要从《网络安全法》《数据安全法》等前置立法中去了解个人信息保护的相关制度要求，且陆续配套的实施条例、部门规章、规范性文件等也将一并为数据安全和个人信息保护提供更为严密的法制基础。例如，针对个人信息跨境提供的实务，出境条件中的安全评估、保护认证、标准合同都将通过细化的配套规则来夯实企业的合规管理。二是从学理到规范，既有立法中的数据与信息已是等同性的概念，合规管理在将外部法定要求转换为内部行为守则时，应依法明确关联数据的种类与相应的保护建制。例如，基于数据驱动的食品和服务研发将提供更为个性化的营养与健康管理，此间收集的与个人健康相关的数据作为个人敏感信息，其处理乃至出境要求，都有更为严格的控制。再例如，将未成年人的个人信息作为敏感信息来保护也体现了我国监管制度的设计先进性，要求处理者匹配一些专门性的个人信息处理规则。三是具体到个人在个人信息处理活动中的权利，《个人信息保护法》通过由第44条至第50条构建的单独章节，以总分的方式明确了个人在个人信息保护中实体性和程序性权利。
　　概括来说，对于个人，总括性的权利即为第44条规定的个人的知情权和决定权。在此基础上，个人有权查阅、复制、转移、更正、补充、删除个人信息，且有权要求处理者说明个人信息的处理规则。此外，还有面向死者的特殊利益保障，即近亲可以基于自身合法利益查阅、复制死者的相关个人信息。上述权益的实现与保障可以说是个人信息保护的核心问题。至于如何实现这些权益，一是需要企业落实程序性的要求，如为个人自我身份的证明提供机制，进而为其提供相应的个人信息获取服务。
合规管理的要点与难点
　　从线下到线上的食品销售，数据收集、算法应用不仅为食品企业提高了营销推广、产品管理、消费者服务的便捷性和针对性，也成为一些新兴食品企业创新商业模式的新驱动。因此，继产品之后，数据同样成为食品行业内的新生产要素。对于依法保护个人信息，食品企业同样需要借助内部合规管理来保障个人在相关信息处理活动中的权利。从外部的法定要求到内部的规则落实，数据合规的技术性首先需要合规管理克服领域差异带来的沟通挑战和应用定位。这主要是指面对企业内部不同的关联业务分工、不同的应用场景设定来判定是否、为何以及如何依法依规来整合个人信息权益的保护设置。例如，《个人信息保护法》针对不同场景的个人信息收集设定了不同的正当性，也要求对不同分类分级的信息进行针锋相对式的管理。以涉个人敏感信息的高风险场景为例，法定要求设定了单独同意的规则，即增强式告知。而且，这一场景需要在事前进行个人信息保护影响评估。这意味着在梳理哪些业务场景会涉及个人敏感信息后，要结合具体场景考虑该如何获取单独同意以及进行个人信息保护影响评估。如上所述，这一合规工作可为后续问责提供抗辩依据。
　　其次，针对一些具体的场景，企业要重视算法应用的透明度。平台利用大数据“杀熟”已经成为治理重点，这一问题在新兴的社区团购中尤为明显。作为应对之策，《个人信息保护法》加强了对算法的规制。例如，该法第24条规定，个人信息处理者利用个人信息进行自动化决策，应当保证决策的透明度和结果公平公正，不得对个人在交易价格等交易条件方面实行不合理的差别待遇。这在保护消费者知情权的同时也使得处理者有义务呈现依托于算法的决策透明度。更具挑战的是，商业中的个人化产品或服务日益成为企业竞争的比较优势。以如何区分满足消费的个性化管理与歧视性的差异待遇为例，这需要企业在算法治理的合规中践行诚信的原则性要求，尤其是事先公开透明决策依据，并以增加消费者福利、保障权益为商业创新导向，而非以算法的“黑箱式”管理减损消费者权益。
　　最后，作为具体的行业应用，保护个人信息权益会因为个人在食品行业内的角色差异而复杂化。例如，除了受到重点保护的消费者，一是在食品供应链中的前向管理会涉及到不同的供货商，他们的相关信息收集会关联产品的安全保障，经营端的尽职免责可能，因此，供应商作为个人的信息保护同样是食品企业数据合规的内容之一。二是应用数据来提高管理效率不仅仅只是外向的商业发展管理，也包括内向的人力资源管理。对于后者，《个人信息保护法》第13条对人力资源管理中处理个人信息的正当性作出了规定。当下，食品行业内的智能制造、智慧化仓储管理等发展也可能带来新的劳动就业模式，这同样需要考虑相关个人在个人信息处理中的权益保障。三是作为强监管领域，政府监管中的许多制度设计都依托于信息的收集和利用，其间也关涉生产经营者或者其他利益相关者的个人信息，这些场景都需要做相应的评估，来确保符合《个人信息保护法》对公权主体或私主体提出的要求。
结 语
　　一如《食品安全法》的建制逻辑，安全食品首先是产出的，这需要强化生产经营者的主体责任。同样的，伴随食品生产经营的数字化发展，个人信息等数据安全的保障也有赖于主体责任。随着《个人信息保护法》的实施和后续规则的逐步配套，夯实企业的主体责任无疑也会成为普法、执法的关键点。相对于企业，学法用法的关键则在于通过内部的合规管理来落实法定要求。作为食品企业的合规增量，个人信息保护的法定要求早已始于《网络安全法》的相关要求。比较而言，《个人信息保护法》针对性地强化了个人信息保护的建制要求，但也为行业合理利用个人信息来把握新发展机遇留下了足够的空间。合规是底线要求且不封顶，这意味着如何结合具体的数据应用场景来建立合规管理机制尚需要实践探索。

□河北农业大学副教授、中国人民大学食品安全治理协同创新中心研究员 孙娟娟