華 進 視 角
深耕知識產權領域多年,以專業化視角解讀理論與實踐應用,提供專業策略參考。
互聯網企業數據合規風險及應對
韋琪
2022-07-22 17:45
近日,某互聯網企業被處于罰款引起熱議。監管部門查處的違法事實中,企業侵犯的對象主要是個人隱私信息與敏感的個人信息。具體來看,主要違反了以下法律規定:
一、違法收集個人信息,未遵循《網絡安全法》第四十一條規定的合法、正當、必要原則。《常見類型移動互聯網應用程序必要個人信息范圍規定》第三條規定,本規定所稱必要個人信息,是指保障App基本功能服務正常運行所必需的個人信息,缺少該信息App即無法實現基本功能服務。具體是指消費側用戶個人信息,不包括服務供給側用戶個人信息。另外,該規定第五條也對“網絡約車類收集的必要的個人信息”進行了明確規定1。
二、《個人信息保護法》第二十九條規定,處理敏感個人信息應當取得個人的單獨同意;法律、行政法規規定處理敏感個人信息應當取得書面同意的,從其規定。企業收集的人臉識別信息、年齡段信息、地址信息等均屬于《個人信息保護法》第二十八條2規定的“個人敏感信息”范疇。
在監管部門作出的處罰決定書中,有這么一句不起眼的話,“該企業對境內各業務線重大事項具有最高決策權,制定的企業內部制度規范對境內各業務線全部適用,且對落實情況負監督管理責任”。
就此可以提煉出兩個信息:1.企業的數據合規決策體制統一而清晰,被處罰時可以把影響縮小到最頂部層面,減少了對企業多個業務層面的波及,值得肯定;2.企業是否擁有一份良好的企業內部制度規范對企業意義重大,換言之,企業應實實在在建立并全面落實合規管理體系。
本案中,主要涉及到的是行政監管合規方面的問題。相較于檢察院以“不起訴”的方式激勵企業合規,行政機關一般通過發布合規指引或者合規指南的方式,來加強對相關企業的合規管理。只有從根本上解決企業違反行政法規的問題,才能從實質上實現企業的“去違法化”乃至“去犯罪化”問題。因此,企業應認真學習行政機關發布的合規指引和合規指南、注意結合自身行業特征梳理和發現個人信息保護和數據安全的欠缺和問題,及時完善相關組織體系、管理制度、操作流程和保障機制,同時加強對員工開展數據合規培訓。
本次事件,也對企業如何做好數據合規建設帶來了以下啟示:
一、企業應當根據自身服務類型的實際情況,按照《常見類型移動互聯網應用程序必要個人信息范圍規定》手機個人的必要信息。服務類別單一的企業收集個人信息的范疇不應逾越《常見類型移動互聯網應用程序必要個人信息范圍規定》的界限;服務類型多樣化的企業如不清楚收集范圍,也可主動聯系當地網信辦、通信管理局等監管部門,明確收集界限以降低經營風險。
二、在處理個人敏感信息時,應當按照《個人信息保護法》規定的單獨同意規則,對于用戶的人臉識別信息、精準定位信息、行動軌跡信息等應當格外謹慎。
三、企業應明確告知用戶收集信息的目的、方式、范圍,且應當與企業實際收集使用收集的用戶信息方式一致。另外,以概括授權的方式獲得用戶對個人信息處理方式的授權已經被法律所禁止。如后續因業務更新等實際需要需要擴大收集用戶信息范圍的,應以短信或彈窗的方式對用戶進行特別提示。
四、根據《個人信息保護法》的要求,處理個人信息達到國家網信部門規定數量的個人信息處理者應當指定個人信息保護負責人,負責對個人信息處理活動以及采取的保護措施等進行監督。個人信息處理者應當公開個人信息保護負責人的聯系方式,并將個人信息保護負責人的姓名、聯系方式等報送履行個人信息保護職責的部門。
五、根據《個人信息保護法》第五十一條的規定,盡快建立起個人信息保護體系3。
此次事件證明,企業都應當遵守國內的行政監管制度。只有不斷完善企業內部制度規范,做好企業合規,才能在市場上走得更穩更遠。
Copyright ? 2021 華進聯合專利商標代理有限公司.All Rights Reserved.粵ICP備12081038號