12月7日,澎湃新闻披露婚恋平台世纪佳缘一线下门店存在销售可随意查看会员个人隐私信息等问题。
该文章称,门店销售人员在获得世纪佳缘网的会员管理后台权限后,就可在后台随意查看会员的个人信息,包括会员浏览的异性照片,以及发送的所有聊天记录。
世纪佳缘官方针对该报道于微博发布致歉声明,称业务层面上向公司部分一线工作人员开放部分用户信息,目的是让一线的工作人员积极发现用户的问题和实际需求,从而更好地服务用户。
但在实际工作中出现了滥用职权查阅用户信息的严重违规行为,目前公司已经着手在后台去除此功能。
对于世纪佳缘被媒体披露的隐私侵犯问题,有人认为,大企业对一线员工的全面管理存在困难,因员工个人行为而出现侵权风险调查事件,确实难以预料。
然而,如果从企业数据合规角度来看,这正是引发企业隐私侵权潜在风险的重要点,也是企业合规危机的导火索。
今年以来,随着相关法律的出台,个人信息保护已经变得比以往任何时候都更重要,这也促使隐私合规问题成为企业不得不重视的一项风险规避内容。
类似世纪佳缘主打婚恋相亲的企业往往掌握了大量用户的信息,包括个人的姓名、地址、身高、学历、婚姻状况、生育情况、工作和收入情况等,这些信息部分是普通个人信息,部分是敏感个人信息,还有一些是个人不愿公开的隐私信息。
敏感个人信息和隐私信息,即便是内部员工,也不应该能随意访问查看,因为这些信息一旦泄露将可能使自然人的人格尊严受到侵害或者人身、财产安全受到危害,比如前些年饱受热议的「杀猪盘」、婚恋诈骗等,大多是利用了自然人的择偶偏好、财务情况等信息开展精准诈骗。
信息化时代给我们的生活、工作、娱乐带来了很多便利,但绝不能让个人信息的商业化利用跑在了隐私保护前面。
对于世纪佳缘员工的行为,我们认为根本原因出在企业的疏于管理和对个人信息保护的轻视。
虽然事发之后,世纪佳缘表示将在全国各门店全面开展会员信息安全保护的培训和教育工作,但员工意识培训只是合规中的一环。
关键在于企业应对会员信息进行分级分类梳理,针对不同敏感度的信息建立访问控制,明确不同敏感度信息的最小访问目的以及相应可访问的职级,同时把访问权限设置到企业IT系统里。
此外还应该做好个人信息安全影响评估(DPIA),评估个人信息的处理目的、处理方式等是否合法、正当、必要;处理活动对个人权益的影响及安全风险;所采取的保护措施是否合法、有效并与风险程度相适应;并定期做安全事件演练,更新安全措施。在后续的文章中,我们将会对DPIA作出具体的阐释与指引。
本文,我们先以世纪佳缘为例,首先对个人信息、敏感个人信息和隐私的概念与判定标准作出详解,为数据合规的理解打下基础。
能够判定个人信息是企业隐私保护中最关键的内容之一。
根据《个人信息保护法》第四条规定的「个人信息是以电子或者其他方式的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息」,个人信息的判定要点应包括以下几处:
1. 应具有可识别性或与已识别信息具有关联性
一是可识别性,即由信息本身的属性可以直接识别出特定自然人,也可理解为可直接识别个人信息。
可直接识别,即通过该数据能够单独识别出特定自然人身份。可直接识别的个人信息通常具有唯一性,如国家统一管理的居民身份证号与公民护照编号,亦或是可以作为个人的持久标识符的指纹、面部特征等个人生物信息。
二是与已识别信息具有关联性,即单独通过该信息无法识别出特定自然人身份,但通过与其他信息结合识别仍可出特定自然人,也可理解为可间接识别个人信息。
例如某用户在世纪佳缘网站注册了账号,他所填写姓名为「张伟」。根据2019年全国姓名报告统计,全中国叫「张伟」的有近30万人,因此就其本身而言,这一个人信息的可识别性很低,因为它无法与某个特定个体相联系。
但如果用户注册时同步添加了特定地区、特定职业、年龄等信息,便会提高这一数据的可识别性,甚至可能识别出一个特定的自然人张伟,如「上海市某小区未满三十的律师张伟」。
该数据可识别性虽低,但因其始终可能通过结合其他信息间接识别特定自然人,故姓名「张伟」这一数据也属于个人信息,哪怕处理这样简单的一条信息,也需要受到个人信息保护法等法律的规制。
符合上述两种情形之一的信息,均应判定为个人信息。
此外,如果企业制作了一些如用户画像、特征标签等通过对个人信息或其他信息加工处理后形成的信息 ,只要符合上述两项特征,也属于个人信息。
另外,还可以参考国家标准GB/T 35273—2020《信息安全技术个人信息安全规范》关于个人信息的举例进行判断。
2. 未经匿名化处理
根据《个人信息保护法》的定义,个人信息不包括匿名化处理后的信息,这里的匿名化指通过对个人信息的技术处理,使得个人信息主体无法被识别或者关联,且处理后的信息不能被复原的过程。
如果企业的程序员将企业掌握的个人信息数据经过匿名化技术处理,则该数据包里的所有数据均不再被视为个人信息。
反之,若某公司固定数据处理流程中有匿名化环节,则在匿名化处理前的仍具备上述特征的数据均需作为个人信息保护。
根据《个人信息保护法》规定,「敏感个人信息是指一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息。」此处的「人格尊严受到侵害」可理解为导致个人名誉、身心健康受到损害或歧视性待遇等。
通常来讲,判定敏感个人信息应考虑以下几方面:
1. 是否具有敏感性
敏感个人信息通常因与人格尊严、人身财产安全密切相关且泄露或者非法使用易造成重大后果而需要将其区别于一般个人信息作特殊保护,这种特性即敏感个人信息的「敏感」性征。
在实名制注册的要求下,网站运营主体通常都会接触大量用户的身份信息,就世纪佳缘的会员信息而言:婚姻状况、生育情况、工作和收入情况等都属于敏感个人信息。
企业处理这些信息必须严格依法依规,否则可能带来严重后果。
如果企业不清楚如何区分个人信息和敏感个人信息,国家标准GB/T 35273—2020《信息安全技术个人信息安全规范》对敏感个人信息也做了举例,可参考下表进行初步判断。
2. 语境及其对敏感性的影响
敏感个人信息的判定并不能一概而论,部分普通个人信息也有可能因被置于具有敏感因素的场景下而成为敏感个人信息。
例如,列表带有标题「二婚客户联系方式」的电话列表,电话虽然是普通个人信息,但因这些电话列表因与婚史信息这一敏感因素相关联,所以成为了特定场景下的敏感个人信息。
根据《民法典》第一千零三十二条规定,隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。
隐私是一种专属于自然人的权利概念,它是个人信息中的一个特殊类别,隐私信息与敏感个人信息属于不同法律规定依据不同标准分出的个人信息类别,有重合之处,也存在不少区别。
就隐私而言,因为隐私具有的主观特性,需要结合具体情况从该信息与自然人的人格尊严、人格自由关联紧密与否、该信息被侵害是否影响私人生活的安宁等角度来加以认定。
比如,一个人得了某种病,不愿意让别人知道,又或者一个人的金融账户里面有多少钱,这些信息当然属于隐私,而他们同时也是敏感信息。
同时也有可能发生这样的情况,对于一些不属于敏感信息的内容,如联系方式等,在一些人看来也属于自己的隐私范畴。
因为在现实生活的场景中,判断自然人的某一具体事物或者事务是否为隐私,是较为困难的事情,一般来说,可以从两方面进行判断:
一是私人性,不属于自然人私人的事物或者状态不属于隐私;二是主客观相结合性。
隐私是一种客观状态,但又具有主观感受性,既包括自然人主观上具有的期待利益,也需要客观上社会认为该种期待利益是合理的。
例如世纪佳缘等婚恋网站就会面临大量私人性且主客观兼具的隐私信息,包括婚姻状况、性取向等,在国内,婚恋信息,尤其是相亲信息、婚恋网站个人主页介绍等通常都会被社会公众认为是私密信息,需要加以特别保护。
司法实务中通常以客观标准来判定隐私的范围,但从企业角度来说,若希望尽可能规避被投诉或涉诉风险,或是为了防止商誉受损树立更好的企业形象,除了遵循客观上社会认为的隐私外,还应当考虑用户的主观合理期待。
《个人信息保护法》出台后,诸如世纪佳缘这样因员工的隐私信息违规操作被披露而发生的公共事可能面临更严重的后果 。
对企业来说,一线员工通常面临着大量客户信息而又通常缺乏个人信息保护意识,加强合规意识培训,帮助员工准确判断个人信息、敏感个人信息、隐私信息等概念,从而规范他们的后续信息处理行为极有必要。
然而,对员工进行意识培训只是合规工作的一部分,更重要的是企业应当强化对个人信息相关的法律法规、概念定义、执行要求、违法后果等的认识,从而建立起完整的数据合规机制,从企业制度、员工意识、技术规范等源头降低企业隐私合规风险,这会是一个更好的选择。
世纪佳缘为侵害会员隐私致歉,企业如何规避个人隐私风险?
作者:饶碧霞 张琪琦来源:iLaw合规

12月7日,澎湃新闻披露婚恋平台世纪佳缘一线下门店存在销售可随意查看会员个人隐私信息等问题。