个人信息保护法角度下的企业六大合规义务浅析
随着近几年“数据资产”元年的到来,数据信息逐渐成为企业核心竞争力的体现,尤其是个人数据信息,其在众多数据类型中最具商业价值。《个人信息保护法》(下称《个保法》)实施后,相关配套法规和国家标准频繁出台,监管态势日趋严厉,使得企业在个人信息保护方面的合规风险和违规成本不断增加,稍有不慎便会因违法处理个人信息遭受到法律处罚,甚至受到巨额经济处罚或刑事惩罚。因此,企业如何在经营生产中履行好用户数据合规义务,降低数据合规风险?本文浅要分析总结了企业在用户数据个人信息保护视角下的主要合规要点,为企业厘清建立健全企业个人信息保护体系中的几大主要合规义务注意事项。
一、企业个人信息保护合规的必要性
在分析企业个人信息合规义务前,本文先从法律责任的角度简要叙述企业建立个人信息保护合规体系的必要性。
(一)刑事责任风险
根据《个保法》以及《中华人民共和国刑法》相关规定,企业非法处理个人信息的,有可能构成犯罪,面临刑事处罚。近几年司法实践中,最高人民检察院将个人信息保护领域的突出问题作为检察公益诉讼中的办案重点,涉及到个人信息保护的刑事案件数量快速增长。据统计,在信息网络犯罪案件中涉及到个人信息保护相关的罪名主要集中在侵犯公民个人信息罪、非法控制计算机信息系统罪、非法获取计算机信息系统数据罪、破坏计算机信息系统罪等,其行为场景主要为非法买卖数据、非法窃取数据、非法对外提供数据等,如深圳快鸽互联公司非法爬取深圳市居住证网站数据信息案;某快递龙头企业内部员工利用工作便利泄漏用户快递信息案;数据堂科技股份有限公司非法买卖数据信息案等,其涉及到的相关责任人员全部获刑。
(二)民事责任风险
除刑事责任风险外,违法处理个人信息侵害他人权益的还需承担民事责任;处理个人信息侵害个人权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。在携程有限公司与张某侵权责任纠纷案中,张某通过携程公司运营的APP订购机票后,其个人信息被诈骗分子利用从而导致被骗钱款约11万元。最终法院认为,携程公司在信息安全管理上未尽到对个人信息负有的信息保护和防止泄漏义务,致使客户信息泄漏。即使客户的财产损失非因携程公司直接侵权造成,但在损失发生的过程中,诈骗分子获取了完整的机票行程信息和手机号码,携程公司存在过错,应承担侵权责任,补充赔偿客户经济损失并出具书面道歉声明。
(三)行政责任风险
从《个保法》、《数据安全法》、《网络安全法》三部法律中的行政处罚规则来看,《个保法》第六十六条最为严厉。一方面,对相关违法行为且情节严重的违法企业,可处以五千万元以下或者个人信息处理者上一年度营业额百分之五以下罚款。对直接负责的主管人员或其他责任人员处十万元以上一百万元以下罚款;还可在一定期限内对违法高层人员实施禁业限制;另一方面,对尚未造成损害结果的的行为主体,可分别或并行其他行政处罚措施如责任改正、警告、没收违法所得、责令暂停或终止提供服务等,目的意在遏制侵害结果的发生,强化对个人信息的事前保护。这充分体现出该法在个人信息保护领域的权威地位和威慑力。除众所周知的滴滴公司被国家网信办其处人民币80.26亿元罚款外,小鹏汽车销售公司因门店违法使用人脸识别系统被责令改正并罚款人民币10万元;扬州亚太置业有限公司安装有可用于人脸识别的摄像设备系统,未经允许进行人脸图像抓拍,被市场监管局处以350000元罚款。
二、企业个人信息数据合规义务
(一)建立健全的数据安全风险防范体系,制定个人信息内部管理制度和操作流程
首先,企业应根据自身行业类型、特点,业务运营状况,制定与自身相吻合的个人信息保护管理体系和合规管理目标,在此基础上建立健全内部管理制度和操作细则。对于个人信息保护管理制度,应在合规基础上具备全面性和可操作性。实践中建议可采用“全面推进、重点突出”原则,全面推进即制度应至少涵盖企业处理个人信息的操作规程(个人信息处理的全生命周期)、隐私政策规程、个人信息的分类管理制度、个人信息影响评估制度、个人信息安全培训制度、内部审查制度等,尤其注意应紧密结合企业的业务部门、运营部门、技术部门等管理职责,在公司内部开展有效的跨职能部门协作。重点突出及集中解决监管关注和法律规定的高风险场景的合规问题,重点围绕在个人信息的收集、加工、提供等重点环节的合规风险,如完善隐私政策、与第三方合作协议、用户数据收集的合规、设置畅通的用户行使权利通道等。
(二)个人信息的分类管理
个人信息的分类管理旨在对个人信息分类的基础上,根据个人信息敏感程度、易受侵害性等因素进行分等级保护。企业应先根据自身行业类型区分是否属于特殊要求的行业数据分类规则,如电信行业、金融行业、医疗行业、教育行业等;不存在行业数据分类规则的,则可从公民个人维度去区分个人信息和非个人信息,制作个人信息种类清单。其次,将个人信息种类根据重要程度、类型、影响、受侵害后的危害程度等划分不同等级,分别对不同维度等级的个人信息采取相对应的保护策略,制定其合规制度。需要注意的是,数据的分类标准具有多维度,企业应在各种法规的基础上,结合自身管理开展数据分类工作。总体上,根据数据遭受破坏后造成的危害程度,将数据从高到低分成核心数据、重要数据、一般数据三个级别。
(三)开展个人信息保护影响评估
个人信息安全影响评估,是指针对个人信息处理活动,检验其合法合规程度,判断其对个人信息主体合法权益造成损害的各种风险,以及评估各项措施有效性的过程。评估责任主体可聘请外部独立第三方,也可由企业合规部牵头执行。《个保法》和《信息安全技术个人信息安全规范》对企业应当进行个人信息事前影响评估的情形和内容作出了规定:
另外,除了用户数据信息外,内部员工的个人信息保护同样是实现企业数据合规治理中一个不可或缺的环节。企业同样应当在收集、使用、存储、委托处理和跨境传输几方面尽到合规义务,完善人力资源合规的内控体系建设和管理操作流程,切实保障员工的个人信息权益。
(四)负责人机制和培训制度
根据规定,满足下列条件之一的企业或组织,必须设立专职的个人信息保护负责人和个人信息保护工作机构,负责个人信息安全工作:
满足以上条件之一的企业,应设置专门的职能部门和负责人,全面统筹实施个人信息安全工作,对个人信息安全负直接责任。实操中建议企业对该负责人设置较高级别的职级并直接向企业主要负责人汇报工作,以有效贯彻落实合规工作。若未达到标准的企业,可根据企业自身情况灵活处理,如由人力资源部门或法务合规部门负责个人信息保护工作。企业应对该岗位上的所有员工签署《保密协议》,对关键岗位员工进行刑事和诚信背景调查;至少每半年一次定期对企业全体员工开展个人信息专业化培训和考核。
(五)数据与算法的合规义务
根据《互联网信息服务算法推荐管理规定》,企业应当落实算法安全主体责任,建立健全算法机制机理审核,科技伦理审查,用户注册审核、信息发布审核等;制定并公开算法推荐服务相关规则,配备与算法推荐服务规模相适应的专业人员和技术支撑,定期考核测评;在完善算法技术层面,通过语义分析、关键词分析等方法建立可被人工智能识别的正能量模型、社会负面模型以及反低俗模型数据库;禁止大数据杀熟,不得根据消费者偏好、交易习惯等在交易条件上实行不合理的差别待遇等。
(六)建立健全第三方安全审计机制
《个保法》要求企业定期进行个人信息保护合规审计。履行个人信息保护职责的部门只有通过合规审查,才能确认合规管理制度的执行情况,并对企业的个人信息保护合规计划作出针对性的整改措施。
实践中个人信息合规工作中的审计工作是非常复杂的工作,系非强制外部审计的企业,可根据自身组织架构设置、经营各环节的合规管控现状等角度来选择内部审计或第三方独立审计。同时,企业也可将一年/半年一次的定期审计工作转化成为常态化、持续性的工作,以有效促进企业文化在个人信息保护方面的提升。