動態(tài)與觀點

強監(jiān)管時代——《個人信息保護法》下企業(yè)不可不知的數(shù)據合規(guī)要求

2021-11-02
瀏覽量
7793

- 引 言 -

隨著近年來云計算、大數(shù)據、物聯(lián)網、人工智能、區(qū)塊鏈等等一系列信息技術在各行各業(yè)的深入應用,數(shù)字化轉型幾乎是每個行業(yè)都在進行的新一輪科技革命和產業(yè)變革。

順應時代發(fā)展,我國也逐步構建了數(shù)據信息監(jiān)管的法律體系。2021年11月1日《中華人民共和國個人信息保護法》正式生效施行,繼《網絡安全法》《數(shù)據安全法》之后,我國在網絡與信息法治領域正式進入強監(jiān)管時代,數(shù)據安全和個人信息保護的要求滲透于各行各業(yè),數(shù)據合規(guī)一躍成為所有企業(yè)合規(guī)體系建設的重中之重。

- 探 討 -

一、數(shù)據采集是數(shù)字化的基本需求,數(shù)據濫用也是數(shù)字化的巨大風險

劉潤在2021年10月30日的跨年演講《進化的力量》中講到“石油是物理世界的能源,數(shù)據是數(shù)字世界的新能源。數(shù)字化就是從物理世界中,開采出數(shù)據,粗煉出信息,精煉出知識,聚合出智慧,最終提高生產率。”可以看出,數(shù)據的采集是數(shù)字化的基礎,是后續(xù)一切分析精煉的前提和載體。

然而法律規(guī)范天然滯后于社會發(fā)展,技術在監(jiān)管空白之處的野蠻生長,不可避免會造成混亂和數(shù)據濫用。

社會民眾長久以來對個人信息保護的意識淡漠也間接放任了行業(yè)潛規(guī)則的蔓延,直至數(shù)據濫用的現(xiàn)象愈演愈烈,個人信息非法獲取、非法交易、大數(shù)據殺熟等矛盾層出不窮。

規(guī)范技術發(fā)展和應用秩序,重建民眾對數(shù)字時代的信心和信任,已成為我國數(shù)字社會發(fā)展刻不容緩的重大任務。

二、我國已逐步建成數(shù)據保護的監(jiān)管矩陣

在《個人信息保護法》之前,我國已陸續(xù)出臺一系列法律、法規(guī)、規(guī)范性文件和行業(yè)標準,逐步收緊各類數(shù)據的收集和使用場景。

例如2016年出臺的《網絡安全法》、2018年出臺的《電子商務法》等。

2021年更是數(shù)據和個人信息保護方面里程碑式的一年,今年3月出臺的《常見類型移動互聯(lián)網應用程序必要個人信息范圍規(guī)定》、6月施行了《數(shù)據安全法》、11月施行了《個人信息保護法》,同時《數(shù)據安全管理條例》及個人信息安全測評規(guī)范等也在制定中。

隨著一系列法律法規(guī)的頒布施行,我國對于數(shù)據和個人信息安全的監(jiān)管態(tài)度已非常明確,法律體系日趨完善,這一背景下,各大互聯(lián)網公司已率先做出整改。

阿里巴巴

2021年7月6日,阿里巴巴發(fā)布《依法加強消費者訂單中敏感信息保護的公告》

抖音

2021年7月20日,抖音電商運營團隊宣布啟動消費者隱私數(shù)據加密項目

京東

2021年7月9日,京東發(fā)布《JD用戶訂單隱私安全方案》

騰訊

2021年10月15日,騰訊表示將成立第三方獨立監(jiān)督機構“個人信息保護外部監(jiān)督委員會”

互聯(lián)網企業(yè)確是用戶信息接觸較多且數(shù)據濫用現(xiàn)象最為嚴重的領域之一,但數(shù)據安全和個人信息保護絕不僅僅是互聯(lián)網企業(yè)的專屬義務,尤其《個人信息保護法》對各行各業(yè)都提出了嚴格的監(jiān)管要求。

三、2021年11月1日后,企業(yè)必須注意的數(shù)據合規(guī)義務

企業(yè)采用面部識別或指紋打卡考勤的,需提前、單獨征詢員工同意,或寫入規(guī)章制度。

《個人信息保護法》第十三條規(guī)定:“符合下列情形之一的,個人信息處理者方可處理個人信息:(一)取得個人的同意;(二)為訂立、履行個人作為一方當事人的合同所必需,或者按照依法制定的勞動規(guī)章制度和依法簽訂的集體合同實施人力資源管理所必需。”

比如:企業(yè)在員工甚至員工家人過生日的時候發(fā)送祝福信息等,雖是貼心之舉,但是對于員工及其家人生日信息的采集和使用就需提前告知并征得員工同意,或提前寫入規(guī)章制度。

企業(yè)管理中更為常見的利用面部識別或指紋打卡考勤,則比上述生日信息的采集更為敏感和嚴格。

《個人信息保護法》將個人信息分為“一般信息”和“敏感信息”,除上述第十三條的規(guī)定外,《個人信息保護法》還做出了如下規(guī)定。

《個人信息保護法》第二十八條規(guī)定:“敏感個人信息是一旦泄露或者非法使用,容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息,包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息,以及不滿十四周歲未成年人的個人信息。只有在具有特定的目的和充分的必要性,并采取嚴格保護措施的情形下,個人信息處理者方可處理敏感個人信息?!?/p>

員工的面部識別和指紋均屬于生物識別信息,較之于其他信息需采取更嚴格的保護方式以及更狹窄的使用范圍。

《個人信息保護法》第二十九條規(guī)定:“處理敏感個人信息應當取得個人的單獨同意?!?/p>

即在采取上述技術進行人力資源管理的企業(yè)在2021年11月1日節(jié)點務須更新完善其管理依據。

同時需注意,企業(yè)規(guī)章制度的制定和修改并非企業(yè)徑行修改文本存檔那么簡單,制度修訂本身需滿足法定的民主程序,修訂后需在企業(yè)內完成公示,必要時還需對員工進行相應培訓,并保留履行上述程序的書面證據。

目前在勞動爭議中,對于規(guī)章制度的制定和公示過程,舉證責任在于用工方,且司法實踐傾向于保護勞動者的權益,因此企業(yè)在采取數(shù)字化人力資源管理時,務須重視依法制定涉及個人信息保護的相關制度條款,避免日后因數(shù)據處理違規(guī)造成損失。

利用大數(shù)據分析進行用戶畫像、精準營銷和個性化推薦等運營手段的企業(yè),需及時更新用戶服務協(xié)議,并給予充分標識。

1、在保障用戶合法權益的前提下,用戶數(shù)據仍可使用

基于對用戶數(shù)據分析作出的精準化營銷并非日后全不可為,《個人信息保護法》通篇以 “告知-同意”為核心,即并非限制企業(yè)不得收集和使用用戶個人信息及其他數(shù)據,而是要充分保障用戶的知情權、選擇權和撤回權。

《個人信息保護法》第十七條規(guī)定:“個人信息處理者在處理個人信息前,應當以顯著方式、清晰易懂的語言真實、準確、完整地向個人告知下列事項:(一)個人信息處理者的名稱或者姓名和聯(lián)系方式;(二)個人信息的處理目的、處理方式,處理的個人信息種類、保存期限;(三)個人行使本法規(guī)定權利的方式和程序;(四)法律、行政法規(guī)規(guī)定應當告知的其他事項。前款規(guī)定事項發(fā)生變更的,應當將變更部分告知個人。個人信息處理者通過制定個人信息處理規(guī)則的方式告知第一款規(guī)定事項的,處理規(guī)則應當公開,并且便于查閱和保存?!?/p>

因此,企業(yè)在對相應用戶協(xié)議條款進行及時更新和補充,并對核心條款進行充分標識的情況下,仍可對用戶行為進行商業(yè)分析。

同時,《個人信息保護法》對處理用戶數(shù)據方面也提供了較為便捷的另一途徑:即對信息匿名化處理。

《個人信息保護法》第四條規(guī)定:“個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息,不包括匿名化處理后的信息。”

但需注意,匿名化之后的信息雖然不再受《個人信息保護法》的保護,但仍屬于信息,對信息數(shù)據的使用和保存需符合《數(shù)據安全法》的規(guī)定。

2、大數(shù)據殺熟、區(qū)別定價被明令禁止

《個人信息保護法》第二十四條規(guī)定:“個人信息處理者利用個人信息進行自動化決策,應當保證決策的透明度和結果公平、公正,不得對個人在交易價格等交易條件上實行不合理的差別待遇?!?/p>

該條第二、第三款同時規(guī)定必須保障用戶的選擇權,即:

“通過自動化決策方式向個人進行信息推送、商業(yè)營銷,應當同時提供不針對其個人特征的選項,或者向個人提供便捷的拒絕方式。通過自動化決策方式作出對個人權益有重大影響的決定,個人有權要求個人信息處理者予以說明,并有權拒絕個人信息處理者僅通過自動化決策的方式作出決定?!?/p>

各類企業(yè)都應重視完善數(shù)據信息的保護措施

我國《網絡安全法》要求網絡運營者保障網絡安全、維護網絡數(shù)據的完整性、保密性和可用性;《數(shù)據安全法》強制性規(guī)定了數(shù)據處理者保障數(shù)據安全的法律義務; 《個人信息保護法》則要求企業(yè)采用安全技術措施來保護其所處理的個人信息。

因此,對數(shù)據信息進行分級分類,并采取必要的技術手段保護信息安全,是企業(yè)數(shù)據合規(guī)和提高管理效率的必要舉措。

對此,建議企業(yè)全面梳理現(xiàn)有信息數(shù)據庫,系統(tǒng)性摸排前期收集的數(shù)據信息類型、用途、保護方式、數(shù)據流動和涉及部門,以便于后續(xù)建立并完善現(xiàn)代化的數(shù)據合規(guī)信息庫。

其次,對數(shù)據信息分類,對個人一般信息和敏感信息從保密技術、處理權限等全流程進行區(qū)分。此部分應特別注意對以下兩類信息的甄別和處理:

(1)《個人信息保護法》第二十八條規(guī)定的敏感個人信息,包括包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息。注意此類信息不僅包含外部用戶的信息,還包括企業(yè)內部員工信息;

(2)未滿十四周歲未成年人的全部個人信息均屬于敏感信息。

最后,明確信息使用途徑,剔除非必要信息?!秱€人信息保護法》中無論一般信息還是敏感信息,均要求企業(yè)在使用時滿足“明確合理目的”“個人權益影響最小”兩個原則,在目前強監(jiān)管的趨勢下,過度收集到的個人信息不再是“備用的彈藥庫”,而是“火堆旁的炸藥桶”。

在明確的用途指引下合理收集信息,既是數(shù)據合規(guī)需要,也是簡化企業(yè)流程、去除信息焦慮的機會。

四、嚴苛的處罰責任

明確的強監(jiān)管態(tài)度之下,《個人信息保護法》針對責任主體規(guī)定了不同的法律責任,對于企業(yè)主體施行“企業(yè)和管理人”雙罰制,且處罰方式涵蓋多個方面,國家規(guī)制信息濫用的決心和力度之大有目共睹。

金錢處罰

(1)沒收違法所得;

(2)對企業(yè)并處一百萬以下罰款,情節(jié)嚴重的并處五千萬以下或上一年度營業(yè)額百分之五以下罰款;

(3)對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款,情節(jié)嚴重的處十萬元以上一百萬元以下罰款。

行業(yè)準入處罰

(1)對違法處理個人信息的應用程序,責令暫?;蛘呓K止提供服務;

(2)情節(jié)嚴重的,責令暫停相關業(yè)務或者停業(yè)整頓;

(3)通報主管部門吊銷相關業(yè)務許可或吊銷營業(yè)執(zhí)照;

(4)直接負責的主管人員和其他直接責任人員,禁止其在一定期限內擔任相關企業(yè)的董事、監(jiān)事、高級管理人員和個人信息保護負責人。

信用處罰

《個人信息保護法》第六十七條規(guī)定“有本法規(guī)定的違法行為的,依照有關法律、行政法規(guī)的規(guī)定記入信用檔案,并予以公示?!?/p>

- 結 語 -

《網絡安全法》《數(shù)據安全法》以及《個人信息保護法》的陸續(xù)施行,將帶領我國信息化、數(shù)字化進入一個新的時代。面對新法的實施,企業(yè)必須做出相應的變化和調整,以適應新規(guī)則下的運作方式。

但從另一個角度,在數(shù)字騰飛節(jié)點,我們結束了野蠻生長的初級階段,在未來良好有序的競爭環(huán)境下,企業(yè)也會迎來新的機遇和更加優(yōu)質的發(fā)展土壤。

強監(jiān)管時代 |《個人信息保護法》下企業(yè)不可不知的數(shù)據合規(guī)要求

強監(jiān)管時代 |《個人信息保護法》下企業(yè)不可不知的數(shù)據合規(guī)要求

公眾號動圖(循環(huán)).gif

免責聲明:本文僅為分享、交流、學習之目的,不代表恒都律師事務所的法律意見或對法律的解讀,任何組織或個人均不應以本文全部或部分內容作為決策依據,因此造成的后果將由行為人自行負責。