640.gif


随着大数据、人工智能、平台经济飞速发展,我国已经成为产生和积累数据量最大、数据类型最丰富的国家之一。而央视“3·15”晚会、名创优品被立案调查等事件,也再次让用户个人信息保护成为热门话题。舆论的高度关注、监管部门的频频发力,《个人信息保护法》等各类别、各层级立法文件的加速推进,对新形势下企业如何做好个人信息保护提出了新挑战。



国内外关于个人信息保护提出了哪些监管新要求

针对个人信息保护,国内监管部门持续跟进,不断推进立法工作:今年1月刚生效实施的《民法典》设立了专门章节规制个人信息保护;全国人大常委正会加速审议《个人信息保护法(草案)》(以下简称《草案》),通过后将成为我国个人信息保护领域效力最高、适用最广、规定最全的法律文件,为如何做好个人信息保护划出底线和红线。


国际上各国也在纷纷加快立法进程:去年11月,美国加州通过《加州消费者隐私法》修正案,旨在保障强消费者隐私权和数据安全,该法被认为是美国最严格的隐私立法;今年1月,欧盟理事会发布新《电子隐私条例(草案)》,进一步落实《通用数据保护条例》(GDPR)中有关数据保护的规定,强化用户个人信息权益;此外,加拿大、新西兰、韩国等多个国家也纷纷推出各自的隐私法、数据保护法,加强个人信息保护。


哪些企业或个人需要关注个人信息保护

(一)什么样的企业需要关注个人信息保护


任何企业都需要关注,并接受相关法律法规的约束。《草案》第2条和第3条明确规定,任何组织、个人在处理个人信息时都应严格遵守相关要求。


(二)相关法律法规是否只针对企业而设与个人无关


个人也需要关注,《草案》赋予了公民个人知情权、同意权、删除权等权利,为个人维护自身权益提供了有利保障。


(三)企业是否只要修改隐私协议就能达到合规要求了


隐私协议只是合规要求的一部分,为保障个人信息安全,还需制定相应内控制度、流程,完善各项技术保障措施。


新形势下对企业提出了哪些合规要求

(一)收集环节,明确收集方式、目的、范围


要严格依照国家互联网信息办公室等四部门联合发布的规定[1]明确必要个人信息范围,及时调整相关服务协议、隐私政策。对于个人信息收集方式、目的、范围,应根据《网络安全法》《民法典》等[2],充分保障用户知情权、同意权,以清晰易懂的语言明确告知用户处理规则,并确保用户是在充分知情的前提下自愿、明确地作出决定。 


(二)管理环节,做好数据分级分类存储管理


要区分个人信息层级,落实分级分类管理。根据《网络安全法》等规定[3],个人信息要区分为个人一般信息(如姓名、性别、电子邮件等)与个人敏感信息(如身份证号、银行账号、住址、通讯录、生物识别信息等),个人敏感信息要区分为个人身份信息与个人生物识别信息(如指纹、掌纹、虹膜等)。另外,对个人敏感信息要采取加密等安全措施,并将其中的个人身份信息与个人生物识别信息分开存储管理。


图片


(三)使用环节,落实信息收集最小授权要求


要严格依据法律规定及授权协议使用个人信息,不能超出授权同意范围。在个人信息访问中,要确保被授权使用个人信息的工作人员,按照最少数据操作权限,访问职责所需的最小必要信息;在个人信息展示中,要积极采取去标识化措施,降低信息泄露风险;在用户画像应用中,要避免使用歧视性、冒犯性描述;在个性化展示应用中,要完善自动化决策规则,充分保障用户知情权,非歧视性地开展商业营销、信息推送[4]。如用户在使用购物、听歌、点餐等软件时,平台若想提供个性化精准服务,需注意避免歧视行为,并提供不针对个人特征的选项。 


(四)流转环节,主动对第三方开展事前评估


企业向外委托、向第三方提供或公开个人信息时,需要:首先开展事前评估,评估信息流转的目的和方式是否合法、正当、必要,对用户的影响、风险程度,相关安全保护措施是否合法、有效并与风险程度相适应;其次充分告知用户,包括流转规则、目的及可能的后果,并征得其授权同意;再次要签署合同明确权利义务,重点是明确数据接收方的责任和义务;最后做好全程监督数据接收方的工作,若发现对方存在超出授权范围的行为,要立即停止合作并采取补救措施(如回收权限、断开网络连接等),必要时应解除双方合作关系。[5]比如工信部去年曾通报多款APP侵犯用户权益[6],未经用户同意,读取手机内联系人列表、通话记录、搜索记录等信息后,私自把这类数据信息共享给合作的第三方。 


(五)保存环节,系统设置安全等级保护措施


根据《网络安全法》第21条,企业要积极落实网络安全等级保护措施要求:制定内部安全管理制度,确定网络安全负责人;设置防范个人信息泄露、篡改、丢失的必要技术保障措施;采取监测、记录网络运行状态、网络安全事件的技术措施,并留存六个月以上;对重要个人信息备份加密。[7]



新规要求下企业可能面临哪些严重后果

国家监管部门对个人信息保护工作高度重视,曾部署开展多次专项整治活动,企业若发生违法违规行为,可能受到严厉处罚。


一是企业在个人信息收集、处理等环节侵害个人信息权益的,将被要求按照用户受到的损失或者企业因此获得的利益承担赔偿责任。案件涉及众多个人用户的,可能面临检察院等机构提起的诉讼追责。


二是企业未按照规定采取必要的安全保护措施,将面临行政部门的实施警告、罚款等;情节严重的,将被暂停相关业务、停业整顿、吊销相关业务许可或者吊销营业执照;甚至可能被主管部门记入信用档案,并予以公示。


三是企业违法违规“情节特别严重”的,如违法所得五万元以上、非法出售个人信息五百条以上等,可能构成侵犯公民个人信息罪,相关责任人将面临最高7年有期徒刑。


除上述法律责任外,个人信息保护工作的缺位还可能给企业带来声誉、品牌方面的无形损害。近年来舆论聚焦个人信息保护,社会公众权利意识增强,数据维权行为激增,相关企业尤其是头部企业压力陡增。即使是轻微、个别事件,企业一旦处置不当,都将面临巨大舆论压力。



企业可考虑采取哪些方面的应对措施

(一)跟进最新监管要求,及时调整服务协议、隐私政策


《网络安全法》和正在拟定的《个人信息保护法》是个人信息保护领域效力最高、适用最广、规定最全的法律文件,其他相关的行政法规、部门规章、规范性文件都将以此为基本依据,不能突破这两部法律的规定内容。今后企业开展个人信息保护工作要以这两部法律为根本遵循,逐条落实。


当前,中央网信办、工信部等部门发布的政策性文件对个人信息保护涉及的各个方面做出了详细的解释与指引,是监管部门判断个人信息保护工作是否合规的重要文件。企业在调整完善服务合同、隐私政策等涉及个人信息保护协议条款时要充分考虑上述规定,及时修订完善相应条款。


(二)健全个人信息保护制度措施,提高合规意识


建议企业制定并完善针对个人信息保护的专门性制度文件或标准,覆盖信息收集、使用、流转等各个环节,实现个人信息保护的常态化和制度化,同时提高内部相关人员的合规意识,营造积极向上的企业个人信息保护合规文化。


(三)协调内部多部门共同参与,共建合规标杆企业


个人信息保护工作庞杂、流程繁复,建议统筹协调各相关部门,做好分工落实。由法务或合规部门牵头,制定相关规章制度,及时依据最新政策要求修订相关服务协议;信息技术部门配合做好基础保障,升级完善网络安全等级保护措施;人力部门组织筹划内部培训,并将其纳入员工绩效考核。



作者:艾利艾智库产业政策研究部资深分析师 陈栋



参考资料 

[1] 《常见类型移动互联网应用程序必要个人信息范围规定》第5条。

[2] 包括《网络安全法》第41条、《民法典》第1035条、《信息安全技术 个人信息安全规范》第5条、《草案》第14条等。

[3] 包括《网络安全法》第21条、《信息安全技术 个人信息安全规范》第6条第3项、《草案》第50条等。

[4] 参见《网络安全法》第41条、《民法典》第1035条、《草案》第6条等

[5] 参见《信息安全技术 个人信息安全规范》第9条、《草案》第54条等。

[6] https://www.miit.gov.cn/jgsj/xgj/gzdt/art/2020/art_7f43f21a7c3f455485d810e27a526c88.html

[7] 参见《网络安全法》第21条、《民法典》第1038条《草案》第50条等。


艾利艾智库是国内专于互联网信息领域的第三方智库机构。每年承接20多个中央和国家部委委托的百余项重点研究课题、专项问题调研,为相关部门全天候、常态化提供决策参考,多次获得相关部门表扬表彰。