近日，某互联网企业被处于罚款引起热议。监管部门查处的违法事实中，企业侵犯的对象主要是个人隐私信息与敏感的个人信息。具体来看，主要违反了以下法律规定：

一、违法收集个人信息，未遵循《网络安全法》第四十一条规定的合法、正当、必要原则。《常见类型移动互联网应用程序必要个人信息范围规定》第三条规定，本规定所称必要个人信息，是指保障App基本功能服务正常运行所必需的个人信息，缺少该信息App即无法实现基本功能服务。具体是指消费侧用户个人信息，不包括服务供给侧用户个人信息。另外，该规定第五条也对“网络约车类收集的必要的个人信息”进行了明确规定1。

二、《个人信息保护法》第二十九条规定，处理敏感个人信息应当取得个人的单独同意；法律、行政法规规定处理敏感个人信息应当取得书面同意的，从其规定。企业收集的人脸识别信息、年龄段信息、地址信息等均属于《个人信息保护法》第二十八条2规定的“个人敏感信息”范畴。

在监管部门作出的处罚决定书中，有这么一句不起眼的话，“该企业对境内各业务线重大事项具有最高决策权，制定的企业内部制度规范对境内各业务线全部适用，且对落实情况负监督管理责任”。

就此可以提炼出两个信息：1.企业的数据合规决策体制统一而清晰，被处罚时可以把影响缩小到最顶部层面，减少了对企业多个业务层面的波及，值得肯定；2.企业是否拥有一份良好的企业内部制度规范对企业意义重大，换言之，企业应实实在在建立并全面落实合规管理体系。

本案中，主要涉及到的是行政监管合规方面的问题。相较于检察院以“不起诉”的方式激励企业合规，行政机关一般通过发布合规指引或者合规指南的方式，来加强对相关企业的合规管理。只有从根本上解决企业违反行政法规的问题，才能从实质上实现企业的“去违法化”乃至“去犯罪化”问题。因此，企业应认真学习行政机关发布的合规指引和合规指南、注意结合自身行业特征梳理和发现个人信息保护和数据安全的欠缺和问题，及时完善相关组织体系、管理制度、操作流程和保障机制，同时加强对员工开展数据合规培训。

本次事件，也对企业如何做好数据合规建设带来了以下启示：

一、企业应当根据自身服务类型的实际情况，按照《常见类型移动互联网应用程序必要个人信息范围规定》手机个人的必要信息。服务类别单一的企业收集个人信息的范畴不应逾越《常见类型移动互联网应用程序必要个人信息范围规定》的界限；服务类型多样化的企业如不清楚收集范围，也可主动联系当地网信办、通信管理局等监管部门，明确收集界限以降低经营风险。

二、在处理个人敏感信息时，应当按照《个人信息保护法》规定的单独同意规则，对于用户的人脸识别信息、精准定位信息、行动轨迹信息等应当格外谨慎。

三、企业应明确告知用户收集信息的目的、方式、范围，且应当与企业实际收集使用收集的用户信息方式一致。另外，以概括授权的方式获得用户对个人信息处理方式的授权已经被法律所禁止。如后续因业务更新等实际需要需要扩大收集用户信息范围的，应以短信或弹窗的方式对用户进行特别提示。

四、根据《个人信息保护法》的要求，处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人，负责对个人信息处理活动以及采取的保护措施等进行监督。个人信息处理者应当公开个人信息保护负责人的联系方式，并将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门。

五、根据《个人信息保护法》第五十一条的规定，尽快建立起个人信息保护体系3。

此次事件证明，企业都应当遵守国内的行政监管制度。只有不断完善企业内部制度规范，做好企业合规，才能在市场上走得更稳更远。