引言
当前,我国数字经济高速发展,各行业在汇聚海量数据资源的同时,也面临着严峻且复杂的技术和法律风险。特别是在个人信息保护领域,随着国家在相关立法、执法、司法的体系建设工作不断推进和完善,全社会对数字企业的个人信息保护和数据安全工作提出了更高的要求。在未来的工作中,企业应当充分认识个人信息合规工作的紧迫性,坚持安全和发展并重的基本理念,积极应对数据安全的风险与挑战。为此,笔者结合理论和实践提出几点合规建议,期冀能为企业开展相关工作提供参考。
一、企业合规应立足我国基础法律体系
目前,我国个人信息保护的制度基础为《网络安全法》《民法典》《数据安全法(草案)》《个人信息保护法(草案)》共四部重要立法,它们将构成中国个人信息保护、数据安全和网络安全法律制度的基石。
其中,《网络安全法》和《民法典》已正式生效,成为当下个人信息保护合规的重要依据。《网络安全法》设置了保护公众个人信息安全的相关条款,聚焦个人信息泄露,明确网络产品服务提供者、运营者的责任,严厉打击出售贩卖个人信息的行为。2021年1月,《民法典》正式实施,其对企业收集处理个人信息提出更为具体的要求,通过明确保护原则、法律责任、主体权利、信息处理等内容,为个人信息主体主张数据侵权提供更为充实的法律依据。
尽管《数据安全法(草案)》和《个人信息保护法(草案)》目前正处于草案修订状态,仍有部分调整的空间,但其中的制度设计和规制路径可为当下企业合规作参考。《数据安全法(草案)》明确了我国数据安全工作由中央国家安全领导机构决策和统筹协调,坚持“维护数据安全”与“促进数据开发利用”并重的立法与监管理念,规定了数据活动的国家安全审查要求,明确对重要数据要采取充分的安全保护措施。《个人信息保护法(草案)》确立了个人信息处理的基本原则,赋予了个人在个人信息处理活动中的多项法定权利,将合同所必需、履行法定职责或法定义务、保护自然人的重大利益、公共利益等纳入个人信息处理的合法基础,明确了处理敏感数据的特定义务,确立了个人信息跨境传输的基本监管模式。
二、企业合规应重点关注数据安全执法工作
各部门开展的数据安全执法活动持续深化,并将个人信息保护作为其核心内容。企业合规应以App专项治理相关执法活动为主线,同时注重个人信息犯罪案件和民事诉讼案件中的司法价值判断变化。企业在开展个人信息保护合规工作时应当主动适应中央网信办、工信部、公安部、市场监管总局的多头监管模式,特别是金融个人信息保护领域需注意商务部、中国人民银行、银保监会、证监会的监管动作,并对公检法机关日益强化的个人信息的司法保护予以足够重视。
以工信部为例,其开展的网络安全“双随机、一公开”检查工作主要依据《网络安全法》《电信和互联网用户个人信息保护规定》《电信和互联网企业网络数据安全合规性评估要点(2020年版)》三部法律法规和规范文件。工信部开展的合规性评估工作主要对企业的信息安全责任进行考核,对网络数据安全与个人信息保护违法违规行为集中治理,结合相关部门通报、媒体监督和用户举报、第三方机构检测发现的违法违规线索和网络数据安全问题,开展定期执法检查并对违规行为公开曝光。企业合规应当注重分析研判有关主管部门的执法依据,按照相关领域内的法律法规要求预先做好相关合规工作。
三、企业合规应对标实施个人信息安全国家标准
近年来,个人信息保护领域的国家标准、行业标准、团体标准体系正在加紧完善建设。其中较为关键的合规依据是2020年10月由信安标委发布的新版GB/T 35273-2020《信息安全技术 个人信息安全规范》国家标准,规范对App治理、人脸识别、用户画像、定向推送等热点问题进行了回应,并对个人信息处理活动提出了更高的合规要求,在个人信息安全基本原则、个人信息的收集、个人信息的存储、个人信息的使用、个人信息主体的权利、个人信息的委托处理、个人信息安全事件处置、组织的个人信息安全管理要求等维度作出规范,以此遏制个人信息非法收集、滥用、泄漏等乱象,最大程度地保障个人的合法权益和社会公共利益。从实践来看,《个人信息安全规范》在监管部门、第三方评估机构等组织对个人信息处理活动进行监督、管理和评估的过程中的确起到了重要的指导作用。
相较于《个人信息安全规范》的外在规范,即将于2021年6月正式实施的GB/T 39335-2020《信息安全技术 个人信息安全影响评估指南》国家标准更关注于企业的内生规范,其主要适用于各类组织自行开展或委托开展个人信息安全影响评估工作,以此支撑《个人信息保护法(草案)》第五十四条的要求,同时能够配合实施欧盟《通用数据保护条例(GDPR)》下的数据保护影响评估(DPIA)工作。标准主要通过评估原理和评估实施流程两个维度展开,指出了包括用户画像与评价、自动化决策、系统性监控、高频收集个人敏感信息、大规模处理个人信息等九类高风险个人信息处理活动。由于本标准充分借鉴了GDPR的相关合规要求,通过开展个人信息安全影响评估,不仅能为我国企业开展个人信息保护合规自查提供指引,亦可助力企业做好“走出去”过程中的数据合规工作。
四、企业合规应聚焦实际应用场景下的监管需求
不同类型平台企业的个人信息保护合规工作应当各有侧重。作为新兴技术类平台企业,特别是在工业互联网、物联网、车联网、区块链、人工智能等领域开展应用的技术企业,其个人信息保护工作应当有效结合本领域内的数据安全治理要求。例如工业互联网平台应当按照《工业数据分类分级指南(试行)》要求,根据不同类别工业数据遭篡改、破坏、泄露或非法利用后,可能对工业生产、经济效益等带来的潜在影响将工业数据分为一级、二级、三级等三个级别,将其作为企业数据分类分级和个人信息保护的重要指引。而作为流量类的互联网平台,当下需重点关注《反垄断法》《国务院反垄断委员会关于平台经济领域的反垄断指南》等合规要求,流量平台对个人信息收集、使用的合法、正当和必要性,以及对数据安全风险的有效应对将成为互联网平台的重要合规考验,此类企业应当重点关注数据收集使用和消费者权益保护的平台规则设置。
此外,企业需注重数据跨境等特殊数据处理活动中的合规工作。《网络安全法》开启了我国个人信息和重要数据出境的安全评估工作,《个人信息保护法(草案)》进一步明确了个人信息跨境传输的四类合法场景:国家网信部门组织的安全评估、经专业机构进行个人信息保护认证、与境外接收方订立合同及法律,以及行政法规或者国家网信部门规定的其他条件。2020年8月,商务部发布《关于印发全面深化服务贸易创新发展试点总体方案的通知》,提出在条件相对较好的试点地区开展数据跨境传输安全管理试点,包括北京、上海、海南、雄安新区等28个省市和地区,支持建立数据保护能力认证、数据流通备份审查、跨境数据流动和交易风险评估等数据安全管理机制。数据跨境将逐步成为个人信息保护合规工作中的重点场景。
五、企业合规应积极开展App个人信息保护工作
2019年1月,中央网信办、工业和信息化部、公安部、市场监管总局四部门联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》,在全国范围组织开展App违法违规收集使用个人信息专项治理。经过近两年的专项治理行动,公众常用App存在的无隐私政策、捆绑授权和强制索权、超范围收集使用个人信息等典型问题得到明显改善。在未来的治理行动中,执法机构的关注重点将进一步深入至SDK信息收集使用管理、生物特征信息收集使用、平台个人信息收集规则等规范之中。
结合以往的App执法案例,可发现网购、娱乐、金融是App专项治理行动中问题较为突出的应用领域。企业开展App合规工作应当努力解决以下三类问题:第一,隐私政策未能公开收集使用个人信息的规则,企业应当按照《网络安全法》第四十一条的要求制定合理合规的隐私政策,并完整说明收集的个人信息类型等情况;第二,超范围收集个人信息,企业应当避免超范围读取用户通话记录、短信内容,超范围收集用户通讯录、位置信息,超权限使用用户设备麦克风、摄像头,以及过度索权等问题;第三,用户账号难以注销,企业应当在应用程序中设置注销用户账号、删除更正用户数据等直观选项,保障个人信息主体权利实现。
整体而言,企业在个人信息保护合规工作中应当确保提供服务的过程中遵循合法、正当、必要的原则收集和使用个人信息,从企业内部的合规规程和外部的监管要求出发,确保个人信息在收集、存储、使用、传输、共享、销毁等全生命周期的安全合规。
作者简介:许智鑫,助理工程师,就职于国家工业信息安全发展研究中心评测鉴定所,主要研究网络法与数据法。邮箱:xuzhixin@cics-cert.org.cn
声明:本文来自赛瑞司法鉴定,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。