個人信息保護——互聯網時代下企業合規重點
作者:鄧勇 潘燁桐 2020-02-06在互聯網和大數據時代,商家及個人消費者均受益于技術帶來的便利,但隨著互聯網越來越深度嵌入我們的生活,個人信息數據保護日益重要。2018年5月25 日,號稱史上最嚴的數據保護法GDPR(歐盟《通用數據保護條例》)在歐盟生效,google、facebook先后被開天價罰單;2020年1月1日,美國《加州消費者隱私法》CCPA生效,預計500,000家在美運營企業將受該法影響。在全球個人信息數據保護大環境下,中國亦逐步開展個人信息數據保護進程。
法律法規及規范性指引文件 個人信息合規監管情況 2019年至2020年初,由全國信息安全標準化技術委員會、中國消費者協會、中國互聯網協會、中國網絡空間安全協會成立APP專項治理工作組對APP進行監管整治,包括公安部門在內的國家各有關部門的監管活動也初見成效,多達近800款中國企業持有、運營的APP受到通報或要求整改、下架的處罰處理。僅在公安部組織的“凈網2019”專項行動中,依法查處的違法違規采集個人信息的APP就達683款。2019年11月以來,全國公安機關網安部門按照公安部網絡安全保衛局的部署要求,集中發現、集中偵辦、集中查處整改了100款違法違規APP及其運營的互聯網企業,并要求該100款違法違規APP下架整改。其中包括多家銀APP,微店、考拉海購、房天下等知名度較高的APP。除此之外,工信部門也于去年12月至今年年初通報兩批共56款存在問題的APP。 (來源:《公安機關開展APP違法采集個人信息集中整治》 國家網絡安全通報中心) 縱觀各類被通報、要求整改或下架的APP,主要存在如下問題: 未公開收集用個人信息的規則/私自收集個人信息 2019年7月11日, App專項治理工作組發布了《關于10款App存在無隱私政策等問題的通報》,包括中國銀行手機銀行、春雨醫生、韻達快遞等10款App“違反《網絡安全法》第四十一條‘公開收集使用個人信息規則’的要求,無隱私政策”,被要求整改。 除此之外,廣東省公安廳公布的“凈網2019”專項行動公開信息,部分App雖有用戶協議,但存在未單列隱私政策或未完整說明收集的信息類型等情況,該類情況亦屬于被通報的違規行為。 超越必要范圍收集個人信息/實際收集的個人信息與業務功能無關 根據廣東省公安廳公開的信息,2019年7月份,共監測發現490余款APP存在超范圍收集用戶信息行為,其中“漫星漫畫”“游戲超人”“樂訊社區”等44款APP,存在超范圍讀取用戶通話記錄、短信內容,收集用戶通訊錄、位置信息,超權限使用用戶設備麥克風、攝像頭等突出安全問題。就監測的情況,由公安部通報屬地公安機關開展清理整治。 無法或難以注銷賬號 2019年12月19日,工業和信息化部信息通信管理局通報了第一批侵害用戶權益行為的APP,并通報對于對發現存在問題的百余家企業,在監督檢查階段對該類企業進行督促整改。其中,存在問題的APP包括QQ、小米金融、追書神器等APP,所涉問題包含了“賬號注銷難”問題。 除以上常見問題外,還有不授權權限不允許使用APP、強制使用定向推送功能、私自共享第三方、頻繁申請權限等,亦屬于工業和信息化部信息通信管理局通報的APP侵害用戶權益行為。 但請注意,APP的個人信息保護合規僅是企業需要關注的其中一個部分。對于沒有開發APP但仍從事網絡貿易、提供網絡服務等會接觸、收集個人信息的企業亦需進行個人信息保護合規。在個人信息合規過程中,企業還需從企業的內部規程、個人信息收集、儲存、處理等角度進行合規關注。 個人信息保護合規中需注意的問題 個人信息收集 根據《電信和互聯網用戶個人信息保護規定》,電信業務經營者、互聯網信息服務提供者在提供服務的過程中收集、使用用戶個人信息,應當遵循合法、正當、必要的原則,且應對收集、使用的用戶個人信息的安全負責。在實務中,我們建議: 企業對其提供服務所需的個人信息范圍進行評估及明確,僅根據其提供的服務所需的范圍收集個人信息,對超越其服務提供所需范圍的信息不作收集。 如天氣預報軟件可以為提供更精準服務而在獲得用戶同意的情況下獲取其手機定位,但若該軟件要求獲取用戶通訊錄或手機相冊信息的,則屬于超越其服務提供所需的范圍,該超越范圍收集個人信息的情況將可能導致應用被舉報或查處下架等。且收集的個人信息越多,則企業面臨的個人信息管理壓力也會增大,面臨個人信息泄露的風險也相應加大。 制定內容清晰、明確的隱私政策/個人信息收集規則。 在實務中,我們常會看見大部分的隱私政策都使用概括性的語言描述收集的信息及使用用途,隱私政策約定內容也過于簡單。根據《電信和互聯網用戶個人信息保護規定》并參照《信息安全技術 個人信息安全規范》(GB/T 35273-2017,以下簡稱“《規范》”)中的指引,隱私政策應包含收集、使用信息的目的、方式和范圍,查詢、更正、刪除信息的渠道以及拒絕提供信息的后果等事項。在隱私政策條款的設置中,也注意使用清晰、明確且易于用戶理解的表述進行明示,避免模糊、概括性的用語。 通過明顯的方式展示隱私政策/個人信息收集規則并征得用戶同意 據觀察,大部分隱私政策通常在用戶首次使用軟件/網頁/注冊會員時被折疊在相關按鍵下方,需要點擊方能進入查詢全文,部分還會設置成自動勾選。在個人信息保護力度越來越大的新監管下,我們建議企業可以通過彈出展示隱私政策全文,或以較醒目的字眼提醒用戶點擊閱讀隱私政策,并由用戶自主勾選同意的方式來滿足《規范》中 “取得個人信息主體的明示同意” 的指引,同時可以在企業官方網站上提供隱私政策全文跳轉鏈接。 個人信息的技術保護 在2019年初發生了一件轟動全國的人臉識別公司數據泄露事件,泄露的信息包括身份證信息,人臉識別圖像及捕捉地點等。而該數據泄露并非因為遭受惡意的攻擊,而是荷蘭安全研究院發現該公司未對內部數據庫做相應的密碼保護,反而使數據庫處于開放的狀態,任何人均可訪問。 隨著社會數字化的發展,國內越來越多的商家通過互聯網提供服務,應用人臉識別技術或通過其他數字化方式儲存大量用戶個人信息,也將面臨個人信息管理的問題。根據《網絡安全法》及相關規定、指南,網絡運營者應當按照網絡安全等級保護制度的要求履行一定的保護義務,保障網絡免受干擾、破壞或者未經授權的訪問,防止網絡數據泄露或者被竊取、篡改。其中則包括: 采取防范計算機病毒和網絡攻擊、入侵等危害行為的技術措施; 采取一定的檢測、記錄措施并按照規定留存相關網絡日志不少于六個月; 采取數據分類、重要數據備份和加密等措施; 對儲存個人信息的硬件及其環境提供保障措施 針對個人敏感信息,系統有一定的識別能力并采取相應更嚴格的防范措施。 根據《規范》,個人敏感信息包括身份證件號碼、個人生物識別信息、銀行賬號、通信記錄和內容、財產信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息、14 歲以下 〈含)兒童的個人信息等。 而2019年12月1日開始實施的《信息安全技術 網絡安全等級保護測評要求》中,還首次提出了對“威脅情報檢測系統”和“威脅情報庫”的要求,體現對網絡環境安全及風險監測的重視。 企業內部管理要求 除了在技術層面上進行相應的設置,企業還需要從企業管理的角度考慮個人信息保護,包括: 相關專門人員、部門的配備 根據《電信和互聯網用戶個人信息保護規定》,企業應確定各部門、崗位和分支機構的用戶個人信息安全管理責任。具體可參照《互聯網個人信息安全保護指南》,根據企業本身實際情況設置相應的安全主管、安全管理各方面負責人、安全審計人員等。對于被錄用的相關管理人員,還可以事前先進行背景和專業資格審查、技能考核等,確保該人員具有相應能力。 企業內部員工接觸、處理個人信息的權限設置 根據《電信和互聯網用戶個人信息保護規定》,企業應當對工作人員及代理人實行權限管理,對批量導出、復制、銷毀信息實行審查,并采取防泄密措施,以防止用戶個人信息泄露、毀損、篡改或者丟失。 在實務中,部分企業存在將收集的個人信息與其他信息混同存放、公司員工或大部分員工能隨意獲取收集的個人信息等情況,均會提高個人信息被泄露、非法提供等風險。 內部管理制度落實 除了配備專門部門、人員管理個人信息,對員工設置權限管理外,建議企業針對個人信息保護相關事宜逐步制定、完善并落實相應內部管理制度,包括個人信息重要操作的審批流程、建立個人信息安全評估制度、外部人員訪問制度、安全審計制度、應急預案制度、安全意識宣傳教育制度等。 除以上需注意的企業內部合規管理,為保證企業在個人信息保護處于長期、穩定的合規狀態,企業還應注意定期安全審計及風險評估、更新升級保護系統及環境、完善管理操作記錄等,在企業營運過程中不斷總結個人信息保護經驗。 個人信息傳輸、轉移、出境 在大數據時代,個人信息傳輸、轉移顯得更加平常,部分企業會選擇請數據分析公司提供數據分析服務,部分企業則是因為網絡銷售的發展需要與物流公司、平臺合作共享個人信息,更有部分企業因為集團公司內部的需要需將個人信息傳輸到境外的關聯公司。 參照《規范》,個人信息在共享、轉讓時應當告知并事先征得個人信息主體的同意,應進行安全影響評估并采取相應有效措施,并記錄和保存個人信息共享、轉讓的情況,承擔因共享、轉讓個人信息對個人信息主體合法權益造成損害的相應責任等。 而針對個人信息出境,根據《互聯網個人信息安全保護指南》,“在境內運營中收集和產生的個人信息應在境內存儲,如需出境應遵循國家相關規定”,但目前針對個人信息出境未有生效的規定。2019年6月13日,國家互聯網信息辦公室公布了《個人信息出境安全評估辦法(征求意見稿)》公開征求意見。意見中列明“個人信息出境前,網絡運營者應當向所在地省級網信部門申報個人信息出境安全評估”,并規定申報材料中包括網絡運營者與接收者簽訂的合同、個人信息出境安全風險及安全保障措施分析報告。且應當每年12月31日前將本年度的個人信息出境情況、合同履行情況等報所在地省級網信部門。雖然該辦法仍處于征求意見階段,但可以預見在將來個人信息出境將受有關部門監管。 結尾:在對于個人信息安全要求日益提高的大數據時代,個人信息的保護不僅僅停留在設置更詳細的隱私政策并獲得個人信息主體的同意,企業更應該關注個人信息收集后的儲存、使用過程中的保護,以及企業內部風控體系的建立與真正執行,以避免企業因個人信息保護問題而帶來的法律責任及企業商譽損失。
