首先,作为企业需要了解,哪些企业需要根据个保法的规定开展数据合规工作。
从立法的本意来看,数据保护并不区分行业,任何企业都须遵守。无论是互联网企业还是房地产开发公司,只要在运营过程中有机会接触到个人信息等数据,就要遵守关于个人信息保护的相关规定。受个保法等相关法律法规影响的企业主要有以下几类:
(1)电商平台、网游、直播等互联网企业将是受影响最大的一类;
(2)掌握着大量个人信息的传统行业,比如车企、房企、快递业、酒店业、教育医疗等行;
(3)对于初创型中小企业,尤其是那些通过互联网获客并开展业务的公司,一定程度上会接触到大量的客户的个人信息,不少企业也都会开发自己的APP应用或微信小程序。因此,此类企业无论规模如何,只要企业在经营活动中涉及到个人信息处理的,均应符合相关法律的规定,做好信息保护与数据合规工作。
目前我国的数据保护立法尚处于探索阶段。一方面,顶层法律框架尚处于搭建过程中,更多的全国性法律还在草案拟定过程中。另一方面,无论是行业、监管机构、司法机关都处于摸索、学习与试错阶段,尚未形成较为统一的操作、监管与裁判标准。目前,我国个人信息保护与数据安全有关法律法规主要包括以下几大类:
(1)传统立法中有关个人信息保护的相关规定。主要包括《民法典》《消费者权益保护法》《未成年人保护法》及《刑法》等法律中对于个人信息、隐私权、消费者权益等内容的规定。传统立法中,主要侧重于从隐私权、消费者权益以及刑事犯罪等角度予以规范。
(2)网络安全保护相关专项法律法规。主要包括《网络安全法》《数据安全法》《计算机信息系统安全保护条例》等法律法规。此类法规主要侧重于对承载个人信息的计算机系统、网络空间等的安全保护规范,是企业实施个人信息保护与数据安全的基础性规范。
(3)个人信息保护相关法律法规。主要包括《个人信息保护法》《电信和互联网用户个人信息保护规定》《儿童个人信息网络保护规定》等。此类法规是个人信息保护工作的专门规定,是企业在履行个人信息保护义务过程中最直接的依据。
(4)此外,不同行业有着与其业务特征相适应的专门规则,集中体现在以下几个领域:
1.互联网应用程序(APP)。工信部、国信办等部门专门针对互联网应用程序所涉及的信息保护出台了多部监管规范和技术标准,包括《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》《常见类型移动互联网应用程序必要个人信息范围规定》《APP收集使用个人信息最小必要评估规范(T/TAF077-2020)》《移动互联网应用程序(App)收集使用个人信息自评估指南》《信息安全技术 移动互联网应用程序(App)收集个人信息基本规范(征求意见稿)》等。
2.汽车、交通运输行业。交通部等六部委在2019年12月28日颁布的《网络预约出租汽车经营服务管理暂行办法》中,对网约车平台公司等机构所应承担的个人信息保护义务作了规定。网信办于2021年7月5日颁布了《汽车数据安全管理若干规定(试行)》,对运营者在中华人民共和国境内设计、生产、销售、运维、管理汽车过程中,收集、分析、存储、传输、查询、利用、删除以及向境外提供个人信息或重要数据做了相应的规范。
3.金融、征信行业。人民银行颁布的《金融消费者权益保护实施办法》《个人信用信息基础数据库管理暂行办法》以及《征信业管理条例》中均对金融行业个人信息保护、数据安全做了相应的规定。
4.邮政快递行业。2014年3月19日,国家邮政局颁布了《寄递服务用户个人信息安全管理规定》,对寄递服务中用户个人信息安全做了规定。
5.公共服务于健康医疗行业。2014年,卫计委颁布了《人口健康信息管理办法(试行)》,对人口健康信息的保护做了规定;2020年,为做好新型冠状病毒感染肺炎疫情联防联控中的个人信息保护,网信办还专门出台了《关于做好个人信息保护利用大数据支撑联防联控工作的通知》。
6.司法审判领域。最高法、最高检专门针对个人信息保护相关案件出来了相应的司法解释,包括《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》等。
(5)除上述法律法规外,还有大量的技术标准、指南可作为个人信息处理、数据安全管理中的参考与指导,此处就不再一一列举。
企业要如何开展个人信息保护工作呢?要保护个人信息,首先要明确个人信息的范围。
根据个保法的规定,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,一般包括姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。
个人信息中,对于敏感个人信息需要特别的保护。敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息。敏感个人信息主要包括:生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
此外,《民法典》还规定了“私密信息”。根据民法典,个人信息中的私密信息,是指个人不愿意为他人所知晓的信息。私密信息首先适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。
(一)告知-同意原则
个人信息保护的核心原则是“告知-同意”。根据规定,处理个人信息,应在事先充分告知的前提下,取得个人同意。不得误导、欺诈、胁迫,不得以个人不同意为由拒绝提供产品或者服务。信息处理者应当提供便捷的撤回同意的方式。
此外,根据个保法的规定,以下几种情形,信息处理者还应进一步取得个人的“单独”同意:
(1)向他人提供个人信息;
(2)公开个人信息;
(3)公共场所采集个人信息;
(4)敏感个人信息的处理(基于个人同意);
(5)跨境提供个人信息。
(二)“三最”原则
个人信息处理者及时取得了个人的同意,在处理信息过程中,还应当遵循以下原则:
(1)最小影响。处理个人信息应当采取对个人权益影响最小的方式。
(2)最小范围。个人信息的收集范围应当限于实现处理目的的最小范围。
(3)最短存储。个人信息的保存期限应当为实现处理目的所必要的最短时间。
(三)“特定目的与充分必要”原则——敏感个人信息的处理原则
对于生物识别信息,宗教信仰、特定身份信息,医疗健康、金融账户,行踪轨迹以及不满十四周岁未成年人个人信息属于敏感个人信息。敏感个人信息的处理规则,只有在具有特定目的和充分必要的前提下,并采取严格保护措施的情形下方可进行。并且,信息处理者应当向个人告知处理敏感个人信息的必要性和对个人权益的影响。
(四)未成年人个人信息处理规则
个保法在正式稿中将未成年人个人信息纳入敏感个人信息予以保护。处理此类敏感个人信息,除了应遵循敏感个人信息处理原则外,还应当取得未成年人的父母或其他监护人的同意。
企业处理未成年人个人信息的,还需要制定专门的个人信息处理规则。
(五)跨境提供个人信息规则
跨境提供个人信息的前提(至少具备一项):
(1)通过国家网信部门组织的安全评估;
(2)经专业机构进行个人信息保护认证;
(3)按标准合同与境外接收方订立合同,约定双方的权利和义务;
(4)法律、行政法规或者国家网信部门规定的其他条件。
个保法还规定,下列主体,还应当将在境内收集和产生的个人信息存储在境内:
(1)关键信息基础设施运营者;
(2)处理个人信息达到国家网信部门规定数量的个人信息处理者。
上述必须存储在境内的数据,确需向境外提供的,原则上应当通过国家网信部门组织的安全评估。
(一)制定公司内部管理制度和操作规程
《个人信息保护法》要求个人信息处理者(企业)内部应建立完善的个人信息保护制度以及操作规程。
对企业而言,了解和梳理企业个人信息处理活动的目的、范围和方式,是进行信息处理管理的基础。在此基础上,需要整理、制定适应企业内部的个人信息相关制度,包括但不限于:
(1)个人信息收集、传输及处理制度(含未成年人个人信息处理制度);
(2)个人用户信息收集及处理告知制度;
(3)个人信息安全保护制度(包括传输、使用及数据库安全等);
(4)信息分级分类管理制度;
(5)个人信息风险评估制度;
(6)审计制度;
(7)应急预案管理制度;
(8)个人信息出境管理制度;
(9)个人信息收集、传输、存储及处理操作流程。
(二)企业相关岗位设置与权限管理
《网络安全法》规定,网络运营者应设置专门安全管理机构和安全管理负责人。《个人信息保护法》则规定如果处理个人信息达到一定“数量”, 则应设置个人信息保护负责人。至于具体达到多少“数量”目前法规并无明确的标准。
根据这一要求,企业可以根据自身情况,设置专职或兼职人员,负责相关个人信息保护工作的统筹和管理。对于那些初创型互联网企业,由于在业务成长期会出现客户数量暴增的情况,因此有必要在早期就着手设置相关岗位,避免临时抱佛脚。
此外,根据个保法的规定,个人信息处理者应当公开个人信息保护负责人的联系方式,并将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门。
个保法明确规定处理个人信息的企业应当合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训。权限管理制度是企业常用的内部管理机制,个保法将其上升到了企业的一项法律义务。该机制的要点在于:一是要根据企业的组织架构、操作流程,合理的分配员工权限;二是对于个人信息收集、存储、适用等环节的重要操作,应当具备相应的审核、监督措施;三是相关岗位员工应当具备相应的操作技能与风险防范意识,定期开展安全教育与培训。
企业对于所处理的个人信息的管理,可以从以下几点入手:
第一,全面自查。企业应当对本企业所涉及的个人信息的类别、规模、来源等有基本的了解。对于其中是否存在敏感个人信息,是否需要对外提供数据或跨境提供等进行评估。
第二,剔除过期数据。对于非必要信息,超出“三最”原则范围采集的信息,应当及时予以剔除。并且,此项工作宜定期开展。
第三,分类分级管理。对于所处理的个人信息,可以进行分类分级管理。分类分级的主要标准可以参考以下几种情形:(1)按照敏感程度进行分类;(2)按照信息来源进行分类;(3)按照信息的用途进行分配;(4)按照信息是否需要对外提供或跨境提供进行分类。
第四,做到数据算法合规。互联网时代,个人信息的处理常采用自动化“算法”方式。自动化算法在提高效率的同时,也导致的诸如大数据杀熟、结果不准确等情形。因此个保法初步确立了算法问责机制。对此,企业应当定期评估相关算法程序,保证自动化决策的透明度和结果的公平公正,并且需要向个人提供便捷的拒绝方式。
第五,数据脱敏。有条件的企业,可以对相关个人信息采取匿名化处理。匿名化,是指个人信息经过处理无法识别特定自然人且不能复原的过程。通过匿名化处理后的数据,可以不受个保法的相关限制,应用到更多的业务场景,甚至是形成企业所独有的数据资产,为企业带来收益。
本文仅作为交流学习之目的使用,文中观点不代表本所立场,亦非作者的正式法律意见。