作者：若安

大数据的应用是一把双刃剑，一方面能给人们带来极大的便利，然而大数据如果“滥用”就也存在着非常多的安全隐患。2021年11月1日起，《中华人民共和国个人信息保护法》（简称《个人信息保护法》）正式生效后，上述这些违法行为都将受到法律的惩处。

《个人信息保护法》是在2021年8月20日颁布的，法规颁布后硬性要求，在2021年11月1日实施前，要求所有涉及个人信息处理的企业必须在3个月内立即建立企业内部的“个人信息保护制度”，明确保护个人信息不受侵害的办法，法律的正式生效迫在眉睫，制度的制定时间也非常紧凑，尤其是制度的制定涉及大量企业的迫切需求，然而当时的市面上并没有模板去沿用。

作为中国律师界信息保护领域的卓越律师，朱凯于2002年本科毕业于华东政法大学民商法专业，2003年硕士研究生毕业于英国阿伯丁大学商法专业，目前担任上海中岛律师事务所高级合伙人。关于上述紧急情况下要完成的艰巨任务，从业二十年来，朱凯和他的团队早已屡见不鲜，并能在这样困难的任务下迅速作出行动，这与他深厚的法律背景和多年的工作内容息息相关。也是业内较早从2019年开始就对信息安全领域的法律及其发展进行实务研究的律师，并且对该法律服务领域做出过独创性的重要贡献。

《个人信息保护法》第五十五条列举了四项具体场景以及一项兜底条款，其中与企业相关性较高的情形主要有：处理敏感个人信息，比如个人的财产信息、健康信息、身份信息等；利用个人信息进行自动化决策，许多隐私计算技术的处理过程本身就是自动化决策的过程；向境外提供个人信息等条款。这就意味着：企业在处理个人信息之前，应当充分考虑是否会涉及上述场景，若有可能涉及，都应当建立一套个人信息安全影响评估的制度体系。于是，朱凯迅速建立了个人信息保护制度撰写的专项小组，涉及的法律内容主要需要涵盖：数据的处理目的和方式是否合法、正当和必要；对个人权益的影响及安全风险；保护措施是否合法、有效及与风险程度相适应等，通过多种途径为企业建立实施样本。

深度研究法律条文，为众多企业建立《个人信息保护制度》应急样本

早在《个人信息保护法》颁布之前，朱凯就已经预测到了此法律条款的大致方向内容，在法律颁布后的六个月时间内，从法律制度最初开始，直至法律生效之后的一个阶段，朱凯律师带领团队深入研究《个人信息保护法》的各项条文，对每一条的立法背景、法律要求、技术环境等都进行了充分的分析与研究，针对客户的不同需求，为所服务的客户制定出符合法律规定的内部“个人信息保护制度”。在制度的制定上涵盖了个人信息的分类、个人信息的处理原则、企业的直接责任人、参与人员的安全职责、个人信息制度的教育培训机制、发生个人信息风险的报告和投诉机制、应急预案等多个方面，涉及到企业内部个人信息保护的方方面面，完整地建立了一套满足法律所规定的关于个人信息保护的企业义务，并且能够在指导其在未来的经营过程中持续不断地进行自我评估和调整，满足法律对于个人信息保护的要求。

被业界奉为《个人信息保护制度》样本，被多数企业推广

《个人信息保护法》要求企业需要从许多不同的维度制定不同的制度，需要专门从《个人信息保护法》的角度制定相应的合规体系，包括数据的分类分级制度、根据员工的职责和岗位确定其操作权限、员工的保密义务与应对泄密情形的预案措施、对员工进行数据安全培训以及一些隐私技术的安全合规制度。朱凯的这一制度制定以后，在行业内得到了大量的引用，有非常多的客户及其同行的其他律师开始采纳和借鉴这一制度，在业内得到了非常好的反馈和好评。制度的推广不仅仅适合于国内本土企业，对于在中国进行投资或者向中国提供产品和服务的外资企业与跨国公司来说，朱凯律师对这一领域的实务经验也非常有助于这些跨国公司在中国业务的合规。

作为一名涉及信息保护领域的法律专家，朱凯制定的这一信息保护制度解决方案，适应于各种企业用户的各阶段场景，实现企业对个人信息的保护需求，全方位助力企业建立健全个人信息保护合规制度体系，为推动信息经济健康发展做出应有的贡献。