个人信息共享中的风险及合规问题

来源:iLaw合规

文章摘要
去年11月起工信部就部分企业过度共享数据、大数据「杀熟」等乱象,对各相关企业建立已收集个人信息清单和与第三方共享个人信息清单(即「双清单」)提出要求。

去年11月起工信部就部分企业过度共享数据、大数据「杀熟」等乱象,对各相关企业建立已收集个人信息清单和与第三方共享个人信息清单(即「双清单」)提出要求。
其中「第三方共享个人信息清单」主要解决个人信息保护中相关企业对数据的利用和共享过程「黑箱化」,以期保护用户的合法权益。
根据《个人信息保护法》《个人信息安全规范》等规范要求,因共享、转让个人信息发生安全事件而对个人信息主体合法权益造成损害的,个人信息控制者应承担相应的责任。
可见,除自身对个人信息的处理受到严格规范外,若在个人信息共享时没有采取严格、审慎的态度,企业仍会陷入数据处理同样的违规风险。
个人信息共享事前准备



  1. 评估相对方个人信息保护能力
    在个人信息共享前,企业应事先开展个人信息安全影响评估,并依评估结果采取有效的保护个人信息主体的措施。
    首先,应当审慎评估数据共享相对方收集使用数据的目的是否具备合法正当性,以及是否遵循「最小必要」等个人信息保护法的核心原则要求。
    其次,应开展必要的尽职调查工作,可以通过问卷调查、远程评估、网络安全评级、现场安全评估等举措核查相对方的个人数据保护制度、网络安全及信息安全保障能力,还应调查相对方及其高管等主要负责人是否存在数据保护相关刑事立案、行政处罚、监管通报等不良记录。
    最后,需要明确相对方处理个人信息全过程的合规性。
    企业在将相关信息提供给其他个人信息处理者或者许可其访问企业的相关个人信息前,应当明确其他个人信息处理者获取这些信息的目的、期限、处理方式、个人信息的种类、保护措施等,确保其处理个人信息的全过程合规。

  2. 通过数据共享协议明确接收方责任义务
    根据《个人信息安全规范》,企业应通过合同等方式明确数据接收方的责任和义务。
    在与相对方签订协议时,应在数据共享协议中详细写明接收方关于开展个人信息保护的义务,并明确约定发生数据泄露等事件时的违约责任,也可单独签署数据安全与保密协议。
    通过这些明文文件来约束数据接收方履行数据安全保护义务,遵循法律和监管要求处理共享的个人信息。
    披露个人信息共享情况
    共享信息及接收方确定后,企业应向个人信息主体告知共享个人信息的目的、数据接收方的类型以及可能产生的后果,并事先征得个人信息主体的授权同意,除非共享个人信息已去标识化处理,且确保数据接收方无法重新识别或者关联个人信息主体。
    共享个人敏感信息前,还应向个人信息主体告知涉及的个人敏感信息类型、数据接收方的身份和数据安全能力,并事先征得个人信息主体的明示同意;在接收方提供服务期间以上内容发生变更时,还应重新取得个人同意。
    此处应记得遵循「双清单」的第二个清单建设要求,在二级菜单中列出 APP 与第三方共享的用户个人信息基本情况,包括与第三方共享的个人信息种类、使用目的、使用场景和共享方式等,使用户清晰掌握个人信息在 APP 、 SDK 及其他第三方间的共享情况。
    此外,企业还需要帮助个人信息主体了解数据接收方对个人信息的存储、使用等情况,以及个人信息主体的权利,例如,访问、更正、删除、注销账户等权利。
    隐私合规评估中的双清单是什么?(附模版)|iLaw
    个人信息共享管理
    个人信息开始共享后,企业可以从权限管理、信息内容管理、共享情况记录等方面做好共享信息的管理。

  3. 访问权限管理
    对于企业已经进行共享的个人信息,应注意在数据访问权限等细节上的管理,可在下几方面加强对相对方访问数据的管控:
    ① 共享文档加密处理,防止无关人员访问企业数据文档;文档创建者可自行设置文档的访问者及其权限,限制复制、截屏、打印、修改等操作。
    ② 严格开通数据访问权限,明确仅在业务确有需要时才为对接人开通访问数据权限;规定对敏感数据访问需提请审批,留存操作记录;
    ③ 划分共享数据密级、用户密级,不同级别的用户只对规定范围内的数据拥有权限。
    ④ 限制访问者或设备的再次共享权限,把数据再次分享、转发权限均控制在最小范围,并设置提请审批机制。

  4. 核查共享信息内容
    在明确共享关系以及接收方情况并取得个人信息主体同意后,企业仍应在实际发送数据前对共享的个人信息内容做进一步核查,审核是否超出实际所需的信息,确保共享出去的个人信息遵循个人信息保护法原则与要求,满足知情、同意、最小必要、目的特定等原则,与已披露的共享信息内容相符。
    需注意,个人生物识别信息原则上不应共享。因业务需要,确需共享的,应单独向个人信息主体告知目的、涉及的个人生物识别信息类型、数据接收方的具体身份和数据安全能力等,并征得个人信息主体的明示同意。

  5. 准确记录共享情况
    数据共享开始后,企业应准确记录和存储每次个人信息的共享、转让情况,包括共享、转让的日期、规模、目的,以及数据接收方对接人、接收日前等基本情况。

  6. 持续评估监测
    因许多需共享个人信息的项目周期较长,很多企业在完成初次评估以及共享协议的制定后,仅仅一次评估已然无法满足当前快速变化的环境,只有实现持续的评估监测才能及时发现潜在的风险,避免出现网络安全事件。
    因此,企业对长期共享个人信息的接收方,应在共享周期内定期进行评估监测,及时把控对方的个人信息处理情况以及数据安全保障能力。
    此外,企业还应检查相对方是否对共享个人信息实行分类处理,区分敏感个人信息、一般个人信息数据存储的网络区域,以及检查是否严格管理存储设备等。
    若发现数据接收方违反法律法规要求或双方约定处理个人信息的,企业应立即要求数据接收方停止相关行为,主动采取或要求接收方采取有效补救措施(如更改口令、回收权限、断开网络连接等)控制或消除个人信息面临的安全风险;必要时应解除与接收方的业务关系,并要求数据接收方及时删除从个人信息控制者获得的个人信息。
    当与相对方签订的协议未生效、无效、被撤销或者双方决定终止合作时,企业应当根据项目或服务的实际情况,要求接收方将接收的数据返还,或是要求其做删除处理并及时检查对方数据删除情况。
    在这一点上,企业也可以在传输数据时通过程序设置对方的数据访问有效期限,使得对方在特定期限之外,失去访问数据的权利,以保障数据的安全。
    结语
    「阳光是最好的防腐剂,实现个人信息收集、使用和共享的透明化,有利于推动建立个人信息和数据保护的长效机制」,个人信息共享作为过去监管的重点,从官方媒体对「双清单」制度的报道中,我们不难预测未来监管对该领域的态度,因此,企业在数据合规建设中应对此给予持续的关注与投入。

技术驱动法律,专业成就未来