近年来,随着移动应用软件App的层出不穷,经常可以碰到App要求提供各类私人信息、收集地理位置、身份证号、读取通讯录等借以收集个人信息。这些信息是否有必要提供、是否与App提供的服务相关?最高人民检察院4月22日发布检察机关个人信息保护公益诉讼典型案例,涉及侵害公民个人信息民事公益诉讼案等11件。例如:浙江省余杭区检察院发现某网络科技有限公司开发的音乐视频教学类APP存在违法违规收集、储存、使用个人信息等情形,依法向法院提起民事公益诉讼;去年7月,江西省南昌市检察院委托专业检测公司在人民监督员及公证人员的见证下,对部分手机APP进行详细检测,发现均存在《APP违法违规收集使用个人信息行为认定方法》规定的违法违规收集或使用公民个人信息的情形。
从过往的案例中可以看出,使用App过程中向用户索取个人信息的行为,或多或少都存在违规私自收集、过度收集、超范围收集用户数据信息、强制授权、不合理索取用户权限、频繁骚扰、侵害用户权益,如未经用户同意自动开启收集地理位置、身份证号、人脸、指纹、读取通讯录、使用摄像头、启用录音等功能以及与服务无关的功能。不仅如此,有些企业经营者为了谋求自身商业利益最大化,对违规收集的消费者个人信息进行最大限度的商业利用,追逐最大限度的可得利润,非法使用用户数据,严重侵害用户合法权益。所以个人信息的保护迫在眉睫。
今年11月1日起《个人信息保护法》开始实施。法律明确不得过度收集个人信息、大数据杀熟,对人脸信息等敏感个人信息的处理作出规制,明确了个人信息处理者的义务,完善个人信息保护投诉、举报工作机制等,充分回应了社会关切,为破解个人信息保护中的热点、难点问题提供了强有力的法律保障。
一、个人信息保护法的基本保护框架——以知情同意为核心构建自然人权利体系
个保法首次以法律形式明确了个人在信息数据领域的权利,这是具有里程碑意义的。《个保法》吸收了《通用数据保护条例》GDPR的立法经验,以知情权和控制权为核心构建了我国的个人权利体系。明确了以“告知—同意”为核心的合法性基础,并且设置了特殊的同意规则。
过去,用户面临的尴尬境地是“同意”往往等同于“不得不”。例如,在绝大部分APP中,如果不进行相关条款的勾选,用户将无法安装和使用,而这其中往往涉及到一些个人隐私性信息,如获取地址、通讯录、短信发送等授权。《个保法》第6条要求,处理个人信息应当具有明确、合理的目的……不得过度收集个人信息。
《个保法》也回应了“大数据杀熟”这一社会热点问题,规定个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。
“刷脸”技术在给人们带来方便的同时,也面临着不少安全隐患。此前就有媒体曝光多地装有人脸识别系统的商户在未告知或征得同意的情况下,偷偷获取客户的人脸识别信息。《个保法》第26条要求,在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需……不得用于其他目的,取得个人单独同意的除外。
对于大型、平台型互联网企业而言,《个保法》第58条要求提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者成立主要由外部成员组成的独立机构对个人信息保护情况进行监督。还要求大企业对在其平台上开展活动的经营者承担一定的监督管理责任,对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务。App渠道商、小程序或因此受到更加严格的平台监管。
二、企业在个人信息保护方面的合规策略
对于企业采取必要的个人信息安全保护措施而言,《个保法》第51条规定了6种应当采取的安全管理措施,包括制定内部管理制度和操作规程、对个人信息实行分类管理、采取相应的加密、去标识化等安全技术措施、合理确定个人信息处理的操作权限并定期对从业人员进行安全教育和培训、制定并组织实施个人信息安全事件应急预案。具体落实到操作中,可以如下建议:
1规范企业劳动用工的个人信息保护制度
劳动用工是各企业都会涉及个人信息处理的方面。在《个保法》出台之前,企业处理个人信息的合法性来源(即无需取得个人同意的情形)主要包括:
《劳动合同法》第七条和第八条规定,用人单位应当建立职工名册备查;用人单位有权了解劳动者与劳动合同直接相关的基本情况。
《劳动合同法实施条例》第八条规定,职工名册应当包括劳动者的姓名、性别、公民身份号码、户籍地址及现住址、联系方式、用工形式、用工起始时间、劳动合同期限等。
但是,上述规定所指向的个人信息分类是有局限性的,实践当中,用人单位从获取求职者简历、到委托第三方对求职者进行背景调查甚至心理评估,再到要求求职者进行入职体检,员工入职后在签到机打卡、录入指纹、生产线管理、病事假等人事管理等的过程中,都需要涉及员工大量个人信息,甚至是敏感个人信息。因此,用人单位有必要结合企业实际情况,梳理招工及用工过程中可能涉及的个人信息处理行为,建立企业劳动用工的个人信息保护制度,将个人信息保护制度纳入到企业现有的规章制度、集体合同,增加必要的管理流程,如制定符合法律规定的个人信息保护政策、建立员工个人信息分级分类保护机制,为员工的访问权限设定分级,定期开展员工个人信息保护培训并做好留痕、建立员工个人信息安全事件应急机制,涉及员工个人信息跨境流动时的同意获取及影响评估等。
当企业进行员工背景调查时又该如何更合法合规地使用候选人的个人信息呢?首先,根据《个保法》第13条和第14条,获取的渠道需合规。即在背景调查前,建议告知候选人相关事宜,与其达成一致,并得到本人书面授权同意后才可以进行,否则属于违法行为,同时可能面临赔偿。其次,根据《个保法》第6条规定,获取的内容合规。结合背景调查,一般会涉及到的个人信息,包括身份信息、学历学位、资质证书以及工作经历,管理能力、有无严重违规违纪等等。除此之外与劳动合同无关的信息,切忌收集、使用、加工等。
2梳理业务流程中可能会涉及到的个人信息处理活动
具体而言,业务流程中可能会涉及到个人信息处理活动的环节主要包括:
1) 直接面向自然人客户的个人信息收集、存储、使用、加工、删除等,如通过办理会员卡、优惠储值卡等方式收集的客户个人信息;
2) 通过合作伙伴获取客户或潜在客户的个人信息,如投放精准广告;
3) 因为客户提供产品或服务的需要,而从客户处获取第三方主体的个人信息并对其进行处理,如为客户提供快件收寄服务而获取、处理收寄方个人信息;
4) 将自身经营过程中获取的个人信息提供或委托第三方处理,如委托第三方开展经营战略咨询、精准广告投放等服务而提供客户信息。
针对上述业务流程中涉及到的个人信息处理活动,企业需要从个人信息收集、获取的个人信息授权范围、处理目的等方面着手,全程涉及个人信息保护制度、修改业务合同。如有必要,还需要调整企业内控审批流程、增设对业务相关方的资质及个人信息保护能力的评估,并与业务相关方签订明确个人信息保护义务的文件,以确保个人信息保护制度能够在业务开展过程中得到执行。
3梳理企业运营的网页、软件、App、小程序所涉及的个人信息处理活动
对于运营官网、App或者小程序的企业,还需梳理运营过程中涉及的个人信息处理活动,并根据《关于开展App违法违规收集使用个人信息专项治理的公告》《App违法违规收集使用个人信息行为认定办法》《App违法违规收集使用个人信息自评估指南》《移动互联网应用程序(App)安全认证实施规则》等规定,自行或委托第三方、使用第三方工具开展自查,制定或修订企业个人信息保护政策,并针对自查发现的问题进行调整。
4自查企业对经营过程中获取的个人信息的保护措施、防范个人信息保护安全漏洞
防范企业存储的个人信息发生泄漏、被删除、被篡改等事件,是个人信息保护的重点之一。企业至少需要从以下方面自查基本的个人信息保护措施:
1) 使用的个人信息系统是否通过网络安全登记保护测评,是否符合相应的强制性国家标准要求;
2) 对存储的个人信息是否采取了加密措施,是否相应地制定了人员的分级访问制度;
3) 是否有个人信息文件的管理、报废制度;
4) 对离职员工、供应商或合作方是否有个人信息保护制约措施。
5考虑对特殊个人信息处理行为开展影响评估
根据《个保法》第55条的规定,涉及处理敏感个人信息或对个人权益有重大影响的个人信息处理活动的,个人信息处理者应事先进行个人信息保护影响评估,并对处理情况进行记录。
如果企业在个人信息处理活动中涉及上述情形的(尤其应注意处理不满十四周岁未成年人个人信息也属于处理敏感个人信息),企业有必要尽快自行或委托第三方开展个人信息保护影响评估,留存相应记录,并根据评估结果对个人信息保护措施予以改进。
6个人信息处理过程中注意“留痕”
《个保法》规定个人信息权益因个人信息处理活动受到侵害时,企业等如果不能证明自己没有过错的,应当承担损害赔偿等侵权责任。与“谁主张谁举证”的原则相比,“过错推定”原则将加重企业的赔偿责任。为防止被推定存在过错而承担损害赔偿责任,企业应当在日常的个人信息处理过程中注意“留痕”,对依法合规处理个人信息、已采取必要安全保护措施等保留相关记录,以便在万一发生争议时举证自己不存在过错。所做的风险评估不仅可以识别可能导致个人信息主体权益遭受损害的风险,还可以通过处理情况记录的方式,帮助企业在政府、相关机构或商业伙伴的调查、执法、合规性审计中,证明已经遵守了个人信息保护与数据安全等方面的合规要求。《个保法》第56条要求,风险评估报告和处理情况记录应当至少保存三年。
值得提及的是,《个保法》在事后追责领域最突出的规定是明确将个保作为检察院公益诉讼的案由。对企业未履行个人信息管理和保护义务的,检察机关将通过公益诉讼要求其承担公益损害责任,推动落实企业主体责任。
《个保法》对个人信息保护要求并非仅针对互联网企业,个人信息保护和数据安全合规将成为未来企业兼并收购、上市融资等所需尽职调查和重点关注的领域。尽管相关监管细则还有待在实践中进一步明确、完善,但各企业都需要为个人信息保护的内控制度建设做好准备。
你的个人信息正在被悄悄利用吗?——浅谈《个人信息保护法》下的个人保障与企业面对的合规问题
作者:李琳来源:星瀚微法苑

近年来,随着移动应用软件App的层出不穷,经常可以碰到App要求提供各类私人信息、收集地理位置、身份证号、读取通讯录等借以收集个人信息。这些信息是否有必要提供、是否与App提供的服务相关?