引言
在数据驱动的商业环境中,个人信息保护已然成为企业合规管理的核心议题。随着《个人信息保护法》《数据安全法》等法律法规的相继实施,企业面临着前所未有的合规压力与机遇。本文旨在为您提供一个全面而系统的个人信息保护合规指南,涵盖从法律解析到实操细节的全方位探讨。
我们将深入剖析企业个人信息保护的法律基础、合规框架及实施策略,聚焦用户与员工两大维度的数据保护要点。通过对关键环节的深度解析,本文力求为您在制定合规策略、优化内部流程及应对监管挑战等方面提供切实可行的专业建议。
1、企业为什么需要保护个人信息?
(一)显性要求:法律以及政策监管下的产物
首先,《网络安全法》《个人信息保护法》《数据安全法》这三大法律的施行,以及各种国家标准、行业标准的发布,无论从法律、政策还是标准的角度而言,都对企业在个人信息保护方面提出了越来越多、越来越细致的要求。若企业违反个人信息保护的法律义务,可能面临民事、行政乃至刑事方面的各种处罚。
在民事方面,企业可能需要对被侵权人进行侵权赔偿。
就行政处罚而言,企业可能面临责令改正、警告、没收违法所得等多种处罚。对于违法处理个人信息的应用程序,相关部门可能责令暂停或终止提供服务。此外,企业的违法行为可能被记入信用档案并予以公示。不仅如此,直接负责的主管人员和其他直接责任人员也可能面临罚款,甚至在一定期限内被禁止担任相关企业的董事、监事、高级管理人员和个人信息保护负责人等职务。
在刑事方面,与个人信息保护相关的犯罪包括为境外窃取、刺探、收买、非法提供国家秘密情报罪;故意或过失泄露国家秘密罪;侵犯公民个人信息犯罪;非法侵入计算机信息系统罪;非法获取计算机信息系统数据、非法控制计算机信息系统罪;以及拒不履行信息网络安全管理义务罪等。
(二)隐性要求:企业市场化发展的需求
除了法律监管之外,随着科技的快速发展,尤其是便捷支付推动了 APP 与小程序的广泛应用,企业对个人信息的收集需求也变得越来越大,可以说是无处不在。
在这方面,滴滴出行的案例堪称经典。滴滴未经同意收集个人信息,违法处理个人信息达 647.09 亿条,最终被处以 80.26 亿元罚款。此外,滴滴全球股份有限公司董事长兼 CEO 程维、总裁柳青各被处以人民币 100 万元罚款,滴滴 APP 也被通报下架。然而,此事之后,滴滴的市场声誉明显受损,其 APP 被下架后,其他网约车服务趁机崛起,导致滴滴的市场份额逐渐缩水,直接从 T0 梯队跌落,现在要重新攀升已经变得异常困难。
事实上,消费者的个人信息是具有价值的,特别是在当前电信诈骗泛滥的情况下,越来越多的人开始关注自身的个人信息安全。一旦个人对企业保护其信息的能力失去信心,拒绝授权企业使用其个人信息,那么在大多数情况下,用户将无法使用该企业的 APP 、小程序、网站等媒体进行消费,这不可避免会导致企业面临市场份额缩水的困境。因此,从隐性层面来看,数据合规不仅是一种责任,更是可以为企业带来实际市场利益的重要举措。
(三)成本效益分析
实施个人信息保护措施虽然需要投入,但从长远来看,其收益往往超过成本:
- 避免罚款和法律风险:如滴滴案例所示,违规处理个人信息可能导致巨额罚款。投资于合规措施可以避免这些潜在的巨大损失。
- 提升品牌价值:良好的数据保护实践可以增强用户信任,提升品牌形象。这种无形资产的价值往往超过直接的保护措施投入。
- 降低数据泄露成本:据 IBM 的研究,2024 年全球平均每次数据泄露事件的成本达到 488 万美元。相比之下,预防性投资可能只是这个数字的一小部分。
- 提高运营效率:规范的数据处理流程不仅保护了个人信息,还能提高数据使用的效率,间接带来运营效益。
- 创造竞争优势:在用户越来越关注隐私的今天,强大的数据保护能力可以成为企业的竞争优势,吸引更多用户选择使用产品或服务。
综合考虑,虽然个人信息保护措施需要前期投入,但其长期收益和风险规避效果使其成为一项值得的投资。
2、企业如何做个人信息保护?
(一)企业做个人信息保护包括哪些方面?
企业在进行个人信息保护时,主要涉及内部和外部两个方面。内部主要指员工个人信息的保护,而外部则指用户或消费者个人信息的保护。
(二)如何开展个人信息保护?
企业开展个人信息保护的数据合规工作,其流程与其他企业合规工作大致相同,主要包括以下四个步骤:
首先,通过尽职调查手段了解现状并进行评估。
其次,分析现状与法律要求之间的差距(即应然与实然之间的差距)。
再次,针对发现的差距提出整改计划。
最后,落实整改计划。
3、用户个人信息保护
(一)调查与评估现状 - 合规之旅的开端:项目启动
个人信息保护合规工作的第一步是项目启动。这个阶段的重要性不容忽视,它为整个合规过程奠定了基础。首先,企业需要组建一个跨部门的项目团队,通常由公司的数据保护官或首席隐私官领导,成员包括法务、 IT 、安全和业务等相关部门的代表,配合律师的工作。这种跨部门的合作对于全面理解和解决个人信息保护问题至关重要。
接下来,团队需要制定详细的项目计划,明确项目的范围、目标和时间线,并分配相应的资源和责任。启动会议是这个阶段的关键环节,它不仅能够让所有相关人员了解项目的目标和计划,还能明确各方的职责和期望,为项目的顺利进行打下良好的基础。 - 深入法律法规:为合规导航
项目启动后,下一个关键步骤是深入研究相关的法律法规和标准。需要全面梳理适用的法律法规,不仅包括"三架马车"这样的核心法律,还要关注《关键信息基础设施安全保护条例》、《网络安全审查办法》等相关法规,以及针对特定行业(如金融、医疗、教育)的特殊规定。
除了法律法规,各种标准也是合规工作的重要参考。国家标准如 GB/T 35273-2020 《信息安全技术个人信息安全规范》,行业标准如 JR/T 0171-2020 《个人金融信息保护技术规范》,甚至团体标准如 T/CITIF 001-2022《数据合规管理体系要求》,都为企业提供了具体的实施指南。同时,密切关注国家网信办、工信部、公安部等监管部门的最新政策和指导意见,以及典型案例和处罚决定,也是这个阶段不可或缺的工作。 - 企业现状调研:认清自身定位
在充分理解法律要求后,下一步是深入调研企业的现状。这个阶段的目标是全面了解企业在个人信息处理方面的实际情况,为后续的风险评估和差距分析提供依据。调研的范围应该涵盖企业的业务模式和数据处理活动、组织架构和管理制度、技术措施,以及与第三方的合作情况。这些信息将为后续的风险评估和整改方案制定提供重要参考。
(二)用户个人信息的识别与整改 - 识别
在识别阶段,我们需评估企业是否属于关键信息基础设施运营者( CIIO ),以及其个人信息处理规模是否达到 100 万人。这两个关键因素决定了适用的合规标准。
( 1 )关键信息基础设施运营者的判定
若企业属于关键信息基础设施运营者,即涉及公共通信、信息服务、能源、交通、水利、金融、公共服务、电子政务及国防科技工业等重要领域,将面临更高的合规要求。除遵守一般规定外,还需考虑《关键信息基础设施安全保护条例》等相关标准的特殊规定。具体包括备案义务、重大变化报告义务(如企业结构变更、重大网络安全事件等)、更严格的网络安全等级保护要求、更全面的数据合规制度建设、更严格的数据出境管理、特殊法律责任规定等。
( 2 )大规模个人信息处理者的判定
若企业年度个人信息处理规模达到或超过 100 万人,需重点关注:个人信息保护合规审计频率(至少每年一次)、数据出境特殊要求等。
( 3 )企业角色与个人信息处理流程分析
A. 企业角色判定
首先需从宏观角度确定企业在个人信息处理活动中的角色,进而深入分析微观层面的个人信息生命周期全流程。
案例:我们的目标客户是 A 公司,搭建了一个在线平台。
如果是“搭建+交付”的模式,即A公司搭建在线平台后交付给 B 公司使用,平台收集和产生的数据由 B 公司自行处理与存储,此时 A 公司就不涉及平台收集和产生数据的处理。
如果是“搭建+运营”的模式,即 A 公司搭建在线平台自行使用,根据和客户的约定使用、收集、存储、共享、销毁数据,此时 A 公司就是数据的处理者。
B. 个人信息生命周期分析
数据处理活动包括收集、存储、传输、共享、使用、销毁等环节,这些处理活动是动态的。
举例来说, A 公司的客户在今天 8 点授权 A 公司使用其数据,但在第二天晚上 11 点取消了授权。在这期间, A 公司收集的信息可能经历了存储、加工使用等处理行为。一旦收到取消授权的通知, A 公司就需要根据与客户的约定,对相关数据进行删除或销毁。
尽管数据的处理过程是动态的,但数据的流转线路通常是固定的。我们需要明确数据的收集来源、传输路径、接收方、加工部门及方式、销毁方法(物理销毁或数据销毁)等。企业内部对数据的处理流程应当是明确且固定的。我们的任务就是围绕数据处理活动的每一个环节、每一个节点进行核查,确保这些做法符合法律法规的要求。
C. 数据分类与级别识别
在梳理不同数据处理节点的同时,我们还需要对收集的数据进行分级分类,识别出重要数据、个人信息与敏感个人信息。不同类别和级别的数据有着不同的保护标准,其中敏感个人信息和重要数据的保护标准比一般个人信息更高。
例如,在收集个人信息时,像小程序或 APP 中收集用户的生日、手机号码等信息,通常不足以单独识别个人身份。企业可以通过在注册页面展示隐私政策和用户协议,用户点击确认并同意后即可获得一揽子授权。但对于敏感个人信息,如地理位置、指纹等,则需要单独授权同意。在这种情况下, APP 或小程序通常会设置一个弹窗,要求用户单独同意才能收集这些信息。
因此,对于不同级别和类别的数据,我们需要仔细甄别,进行数据分类分级,然后根据不同的标准进行合规判断。
D. 合规义务差异分析与整改清单制定
最后,综合上述分析内容,我们需要将企业的实际情况(实然状态)与法律法规、国家标准的要求(应然状态)进行对比,分析企业现有做法与标准之间的差距。基于这些分析,我们可以出具用户个人信息保护影响评估报告以及差异项与整改清单,以及专项法律意见书。 - 整改
( 1 )书面整改
主要包括以下几个方面的内容:
A. 面对用户:面对用户最主要的问题集中在未经授权即收集信息等,这部分问题主要可以通过隐私政策、用户协议等文本进行调整。用户协议具有合同的性质,隐私政策则是告知用户企业将如何处理其信息。需要仔细审核上述两项文本,对比使用 APP、软件、小程序等收集信息的界面,以及企业收集信息的实际情况,如果有授权缺漏、告知不明等问题,可以通过文本的方式予以补充,从而得到用户的全面授权。
B . 面对第三方合作:主要是解决向第三方传输与共享数据时存在的问题。企业把收集的信息共享或传输给第三方合作伙伴的时候,需要明确双方之间的法律关系是数据委托处理关系、共同处理关系还是提供与技术支持关系等。通过双方之间的合同约定,例如《数据委托处理协议》等文本,固定双方的权利义务,从而避免在发生个人信息侵权时产生争议。
C . 面对企业内部:目前还是有很多企业没有规划及搭建全面的用户个人信息保护制度体系,隐私政策与服务协议写得很完备,但实际企业内部却没有完善的制度来保障个人信息保护的落实。从上而下地搭建个人信息保护制度体系,可以降低数据安全风险发生的概率,同时在企业发生数据泄露等风险时,可以用来做企业已经尽到合理义务的依据。
( 2 )培训和审计
除了书面整改外,通过合规培训来培养企业的合规文化与合规意识也至关重要,这有助于将书面的合规指引落实到具体实践中。此外,定期进行审计可以实时监测企业的合规状况,及时发现并解决问题,确保企业的个人信息保护措施始终保持有效性。
4、员工个人信息保护
(一)员工个人信息保护概览
员工个人信息的保护,其总体思路仍然围绕评估现状、分析差距、识别与整改这四个步骤进行。具体的操作步骤如下: - 项目启动会议
- 调研法律法规
- 出具法律法规解读
- 核查企业员工个人信息保护现状
- 梳理企业处理员工个人信息的业务场景
- 输出员工个人信息流转全景图
- 输出员工个人信息合规尽职调查报告
其中,第1、2、3、6、7 步与之前讨论的内容有所重复,此处不再赘述。我们将重点关注第4、5 步。
(二)企业员工个人信息保护现状 - 授权
获取员工个人信息与商业场景下获取客户个人信息的法律基础不同。《个人信息保护法》第13 条第1 款第2 项规定,用人单位可以"为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需"而处理员工个人信息,这直接赋予了用人单位处理员工个人信息的权利。
然而,这并不意味着用人单位可以未经同意使用员工的所有信息。对于姓名、身份证、联系电话、地址、薪酬等在人力资源管理中通常必须收集的信息,不需获得员工额外同意。但对于一些非必需信息,如女员工的生育、婚姻状况,与应聘工作无关的家庭收入信息、宗教信仰、体重、籍贯,以及需要收集指纹等生物识别信息的指纹考勤系统,这些都不属于用人单位"必需"收集的范畴。
因此,我们需要对收集的员工信息进行区分,区分哪些信息是必需收集的,哪些是非必需的。如果企业收集了非必须的信息,就需要告知员工并取得其同意。具体的同意情况可以通过查阅《企业员工规章制度》《劳动合同》《员工个人信息收集、保护、使用告知同意书》等文件,审查企业是否通过书面形式告知员工,并通过员工签字的方式征得同意。 - 保护措施
虽然《个人信息保护法》没有单独篇章规定员工个人信息保护的具体要求,也没有专门的员工个人信息保护标准,但对员工个人信息的保护应当适用一般的个人信息保护要求。在保护措施上,我们需要审查以下几个方面:
● 网络、应用和数据安全等基础安全控制措施
● 加密、去标识化等安全技术措施
● 员工个人信息处理的操作权限设置
● 员工个人信息泄露、篡改、丢失等应急预警机制
这些措施的实施情况直接关系到企业对员工个人信息的保护水平。
(三)梳理企业处理员工个人信息的业务场景
企业处理员工个人信息主要涉及招聘、入职、在职和离职四个阶段,每个阶段都有其特定的业务场景。针对这些不同的业务场景,企业处理员工个人信息时需要注意不同的合规要点。
例如:
入职阶段:企业可能会对员工进行背景调查(背调)。这一过程需要遵循"告知-同意"的原则,即只有在员工明知且自愿的情况下,企业才可以向员工的前任雇主调查相关信息。此外,如果企业需要收集员工的"非必要"信息,也需要征得员工的明确同意。
在职阶段:对于集团化企业,如果需要在内部(向境外母公司、子公司、总公司、分公司)进行员工个人信息的出境传输、共享、加工处理,则需要征得员工的单独同意。
离职阶段:根据相关法律规定,用人单位对已经解除或者终止的劳动合同文本、工资记录,需要至少保存二年以备查。这一要求既保护了员工的权益,也为可能发生的劳动争议提供了证据支持。
总的来说,企业处理员工个人信息时,可以根据招聘、入职、在职与离职这四个不同阶段,结合数据生命周期进行综合识别和评估。相比用户个人数据,员工个人信息的分级分类相对简单,传输路径也通常比较单一,因此在个人信息流转全景图的构建上相对简单。但是在具体的操作上,往往需要更加细致和琐碎的工作,以确保每个环节都符合法律要求和企业政策。
5、结语
个人信息保护是一项系统性工程,需要企业从管理层到基层员工的共同参与。通过建立健全的保护机制,不仅可以规避法律风险,还能提升企业形象,赢得用户信任,最终实现企业的可持续发展。
在数字经济蓬勃发展的今天,重视并做好个人信息保护工作,将成为企业核心竞争力的重要组成部分。企业应当将个人信息保护意识融入企业文化,将保护措施落实到日常运营的每一个环节,以应对日益严格的监管要求和用户日益提高的隐私保护意识。
