《個人信息保護法》視域下的企業(yè)合規(guī)義務(wù)與建議

邢 洋

(中國社會科學(xué)院大學(xué),北京 102488)

伴隨著數(shù)字化的浪潮,個人信息無疑是數(shù)字化時代企業(yè)最為核心的資產(chǎn)之一。合法合規(guī)處理和使用個人信息,可以使個人享受到科技進步所帶來的智能和便捷。隨著個人信息的濫用和無邊界收集等問題的產(chǎn)生,個人信息保護愈發(fā)引起全社會的廣泛關(guān)注。黨的十八大以來,習(xí)近平總書記多次強調(diào),堅持網(wǎng)絡(luò)安全為人民、網(wǎng)絡(luò)安全靠人民,切實保障個人信息安全,維護公民在網(wǎng)絡(luò)空間的合法權(quán)益。完善我國個人信息保護法律體系是維護最廣大人民利益的切身需要,這對作為主要信息使用、處理者之一的企業(yè)如何做到個人信息保護合規(guī)提出了更全面、更細致的要求。以企業(yè)涉嫌違法犯罪為節(jié)點,企業(yè)合規(guī)可分為自主事前合規(guī)和強制事后合規(guī)[1],本文擬從企業(yè)的自主事前合規(guī)角度出發(fā),結(jié)合《個人信息保護法》的立法背景,探討個人信息保護合規(guī)的價值,以及企業(yè)制定個人保護合規(guī)計劃時應(yīng)遵循的義務(wù)并提出建議。

一、《個人信息保護法》的立法背景

2023年8月28日,中國互聯(lián)網(wǎng)絡(luò)信息中心發(fā)布的第52次《中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計報告》顯示,截至2023年6月,我國網(wǎng)民規(guī)模已達10.79億,互聯(lián)網(wǎng)普及率高達76.4%。iiMedia Research(艾媒咨詢)提供的有關(guān)數(shù)據(jù)顯示,41.9%的網(wǎng)民遭遇過網(wǎng)絡(luò)信息泄露,9.7%的網(wǎng)民不清楚信息是否被泄露。在遭遇信息泄露后,多數(shù)網(wǎng)民選擇以后避免錄入隱私信息(41.4%)和設(shè)置信息密碼(36.9%)進行風(fēng)險規(guī)避,選擇報警的用戶人數(shù)最低,僅為20.1%。2022年3月,第十三屆全國人民代表大會第五次會議關(guān)于最高人民法院工作報告指出,2021年人民法院嚴懲竊取倒賣身份證、通信錄、快遞單、微信賬號、患者信息等各類侵犯公民個人信息犯罪,審結(jié)相關(guān)案件4 098件,同比上升60.2%。

近年來,侵犯公民個人信息犯罪呈現(xiàn)出的高發(fā)態(tài)勢,以及由此產(chǎn)生的日益嚴峻的社會危害,使各界廣泛呼吁盡快制定個人信息保護領(lǐng)域的專項法律,《個人信息保護法》的起草被提上了立法日程。在經(jīng)歷全國人大常委會三次審議后,《個人信息保護法》于2021年8月通過,于同年11月1日正式實施?！秱€人信息保護法》是我國首部針對個人信息保護的專門性立法,改變了個人信息保護無專門法可依的尷尬局面[2]。

二、企業(yè)建立個人信息合規(guī)體系的價值

我國對個人信息立法保護的高度隨著《個人信息保護法》的頒布施行得到了進一步提升,個人信息處理者(本文主要分析企業(yè))需要建立符合法律法規(guī)要求的個人信息合規(guī)體系。雖然《個人信息保護法》提出建立個人信息保護合規(guī)體系的要求似乎加重了企業(yè)負擔(dān),但按照要求進行合規(guī)操作亦存在諸多價值。

(一)降低企業(yè)風(fēng)險并減少損失

企業(yè)在日常經(jīng)營中面臨諸多風(fēng)險,個人信息保護違規(guī)風(fēng)險屬于可控風(fēng)險范疇,可通過事前防范和加強管理進行規(guī)避。2021年7月,網(wǎng)絡(luò)安全審查辦公室對滴滴公司實施審查,其主要存在違法收集和過度收集用戶信息等八方面違法情況。7月21日,國家網(wǎng)信辦依據(jù)相關(guān)法律法規(guī),對滴滴全球股份有限公司處人民幣80.26億元罰款,對公司相關(guān)主要負責(zé)人處人民幣100萬元罰款。近年來,國家網(wǎng)信辦已通報多家違規(guī)處理個人信息的企業(yè),甚至部分企業(yè)因侵犯個人信息而遭受刑事處罰[3]。

面對越來越嚴格的外部監(jiān)管環(huán)境,企業(yè)可通過建立個人信息合規(guī)體系搭建事前預(yù)防機制,規(guī)避因個人信息及數(shù)據(jù)方面不合規(guī)從而導(dǎo)致的行政調(diào)查、侵權(quán)訴訟、媒體曝光甚至刑事案件等后果,降低企業(yè)經(jīng)營所面臨的風(fēng)險。

(二)增強品牌價值和市場競爭力

最初有聲音質(zhì)疑個人信息保護合規(guī)到底創(chuàng)造什么價值,價值是否等于金錢性的收入。在強調(diào)個人信息與數(shù)據(jù)隱私保護的大環(huán)境下,企業(yè)在個人信息安全和隱私保護方面的有效努力,不僅會得到監(jiān)管、合作方的認可,更重要的是可以得到消費者的最終認同。不發(fā)生不合規(guī)事件,且企業(yè)的商業(yè)可持續(xù)發(fā)展能力在增強,這些都是個人信息保護合規(guī)創(chuàng)造的價值,對外展現(xiàn)的是合規(guī)為企業(yè)塑造的品牌。品牌最大的價值亦不在于用價格進行衡量,而是當(dāng)消費者聽到品牌名稱,會認為作為企業(yè)客戶是安全和安心的,這無疑將提升企業(yè)的品牌價值和市場競爭力。

(三)可主張減輕或免除法律責(zé)任

在司法實踐中,個人信息保護合規(guī)的價值也體現(xiàn)在可以幫助企業(yè)主張減輕或免除法律責(zé)任,其中較為典型的案例是雀巢公司員工侵犯公民個人信息案。6名雀巢公司員工為推銷其配方奶粉,通過向蘭州市多家醫(yī)院的醫(yī)務(wù)人員支付好處費等手段,獲取包括但不限于孕產(chǎn)婦姓名、手機號碼等信息12萬余條,嚴重侵犯公民個人隱私。蘭州市城關(guān)區(qū)人民法院一審宣判,以侵犯公民個人信息罪分別判處雀巢公司6名員工拘役和有期徒刑。6名員工以涉案行為屬于單位犯罪為由進行上訴,提出應(yīng)追究雀巢公司的刑事責(zé)任。對此情形,雀巢公司提供了公司制度、員工行為規(guī)范、所有營養(yǎng)專員接受培訓(xùn)并簽署的承諾函等證據(jù)文件,以證明6名員工在明知公司禁止性規(guī)定的情況下違規(guī)獲取公民個人信息,并非雀巢公司的單位意志體現(xiàn),系為提升其個人業(yè)績而實施犯罪的個人行為。雀巢公司提供的證據(jù)是為證明公司內(nèi)部已建立完善的個人信息和數(shù)據(jù)合規(guī)管理體系,已盡到防范員工行為的注意義務(wù)。經(jīng)過審理,蘭州市中級人民法院依法作出二審終審裁定,對于被告關(guān)于構(gòu)成單位犯罪的辯護理由不予支持,維持原判。

該案的指導(dǎo)和啟發(fā)意義在于,蘭州市中級人民法院對于雀巢公司在合規(guī)管理上所做的努力給予肯定,這表明企業(yè)建立合規(guī)體系是可以區(qū)分企業(yè)責(zé)任和員工責(zé)任的。因企業(yè)無法掌握每位員工的所有行為和動向,越是規(guī)模龐大的企業(yè)越需要建立起個人信息保護和數(shù)據(jù)合規(guī)體系,在必要時可證明自身不存在主觀過錯,幫助企業(yè)減輕或免除相應(yīng)法律責(zé)任。

三、《個人信息保護法》明確的企業(yè)合規(guī)義務(wù)

(一)《個人信息保護法》第五十一條規(guī)定的義務(wù)

《個人信息保護法》第五十一條集中規(guī)定了個人信息處理者的主要合規(guī)義務(wù),包括但不限于制定內(nèi)部管理制度和操作規(guī)程;對個人信息實行分類管理;采取相應(yīng)的加密、去標(biāo)識化等安全技術(shù)措施等。

(二)其他條款規(guī)定的企業(yè)合規(guī)義務(wù)

1.充分告知義務(wù)——“告知—同意”原則

“告知—同意”原則于2013年最早在我國工信部制定的《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》中出現(xiàn),《個人信息保護法》構(gòu)建了“告知—同意”原則的規(guī)范框架體系[4]。該法律對什么是“實質(zhì)性的告知同意”進行了明晰,即“由個人在充分知情的前提下自愿、明確作出”和告知的具體內(nèi)容,規(guī)定了個人的撤回同意權(quán)、利用個人信息進行自動化決策、搜集個人信息應(yīng)遵循的原則等。

2.保障信息查閱、復(fù)制、更正等權(quán)益義務(wù)

《個人信息保護法》明確了個人信息處理活動中的各項權(quán)利,意味著個人信息處理者負有配合個人權(quán)利行使的義務(wù)。企業(yè)需依據(jù)用戶的需求,靈活和準(zhǔn)確地響應(yīng)數(shù)據(jù)主體訪問、查詢、更正、移轉(zhuǎn)和刪除等要求。

3.數(shù)據(jù)與算法的合規(guī)義務(wù)

(1)《個人信息保護法》要求企業(yè)在算法上遵守“明確合理目的”以及“個人權(quán)益影響最小”兩個原則,在算法對用戶權(quán)益造成損害時,向用戶提供便捷的拒絕方式。

(2)數(shù)據(jù)是算法的基礎(chǔ),如果數(shù)據(jù)不夠準(zhǔn)確,則會導(dǎo)致算法和數(shù)據(jù)分析的結(jié)果產(chǎn)生偏差,《個人信息保護法》規(guī)定,處理個人信息應(yīng)保證個人信息的質(zhì)量,以防信息不準(zhǔn)確、不完整對個人權(quán)益造成損害,這讓保證個人信息質(zhì)量成為企業(yè)的義務(wù)。

(3)算法推薦是目前多數(shù)平臺提高服務(wù)效率的標(biāo)配,無論是社交軟件、購物平臺等都用算法推薦測算出用戶偏好,“精準(zhǔn)”進行推薦,這導(dǎo)致了一系列問題的產(chǎn)生,常見的便是大數(shù)據(jù)殺熟?！秱€人信息保護法》規(guī)定,個人信息處理者利用個人信息進行自動化決策,應(yīng)當(dāng)保證決策的透明度和結(jié)果公平、公正。

4.事前風(fēng)險評估義務(wù)

比《個人信息保護法》早施行兩個月的《數(shù)據(jù)安全法》僅規(guī)定“重要數(shù)據(jù)”的處理者有義務(wù)對其定期開展風(fēng)險評估,并向有關(guān)主管部門報送風(fēng)險評估報告,《個人信息保護法》明確了包括但不限于自動化決策、處理敏感個人信息等情形下的事前評估義務(wù)。這將風(fēng)險評估變成了企業(yè)的經(jīng)常性工作,企業(yè)應(yīng)研究風(fēng)險評估報告包含的個人信息種類,收集時面臨的風(fēng)險和相應(yīng)措施等。

5.合規(guī)審計義務(wù)

《個人信息保護法》規(guī)定企業(yè)應(yīng)當(dāng)定期對處理個人信息遵守法律、行政法規(guī)的情況進行合規(guī)審計。但具體的審計內(nèi)容和操作標(biāo)準(zhǔn)尚無明確規(guī)定,需結(jié)合《個人信息保護法》《數(shù)據(jù)保護法》《網(wǎng)絡(luò)安全法》等相關(guān)基本法律中的具體規(guī)定,制定合規(guī)審計的方案。

6.委托外部進行個人信息處理的合規(guī)義務(wù)

《個人信息保護法》未禁止對個人信息進行外部委托處理,但應(yīng)細致區(qū)分委托處理和共同處理。共同處理應(yīng)取得信息主體的授權(quán),委托處理雖不是必須取得授權(quán),但應(yīng)在委托給受托人之前,做好個人信息保護影響評估和記錄。委托人和受托人應(yīng)簽訂書面委托合同,對委托內(nèi)容、期限、雙方權(quán)利義務(wù)等進行明確規(guī)定,尤其應(yīng)明確受托人在處理個人信息時要注意不能超過法律授予的權(quán)限。

四、企業(yè)進行個人信息保護的合規(guī)建議

在對數(shù)據(jù)和個人信息進行強監(jiān)管的趨勢下,《個人信息保護法》被專家學(xué)者稱為有史以來最嚴格的數(shù)據(jù)安全保護法律之一。新增“情節(jié)嚴重”的處罰標(biāo)準(zhǔn),可沒收企業(yè)違法所得,并處五千萬元以下或者上一年度營業(yè)額百分之五以下罰款。《個人信息保護法》采取設(shè)置高額罰款和其他處罰的方式,倒逼企業(yè)重視個人信息保護合規(guī)建設(shè)。本文擬結(jié)合以上對企業(yè)合規(guī)義務(wù)的分析,就企業(yè)進行個人信息保護提出合規(guī)建議。

(一)制定內(nèi)部管理制度和操作規(guī)程

首先,企業(yè)應(yīng)明晰處理和管理個人信息的基本情況,以此為基礎(chǔ)制定內(nèi)部制度,包括但不限于個人信息儲存、傳輸、處理等制度,個人信息安全保護制度,信息分級分類處理制度,風(fēng)險評估制度等。其次,企業(yè)個人信息保護流程應(yīng)與制度相匹配,建立企業(yè)個人信息全流程管理,覆蓋信息銜接的各個環(huán)節(jié),嚴格規(guī)定全流程的權(quán)限管理。最后,配置個人信息保護專職人員。《個人信息保護法》雖未明確要求企業(yè)均應(yīng)設(shè)立個人信息保護負責(zé)人,僅要求如果達到一定處理信息的數(shù)量時應(yīng)設(shè)立,但從便于企業(yè)進行個人信息保護統(tǒng)籌管理的角度來講,在必要情況下設(shè)立專門的機構(gòu)和專職人員,有利于推動企業(yè)內(nèi)部各項制度和舉措的實施。

(二)對個人信息分類分級進行管理

《個人信息保護法》《網(wǎng)絡(luò)安全法》《數(shù)據(jù)保護法》三部法律共同要求對個人信息要實行分類分級管理,針對企業(yè)合規(guī)的具體建議如下。

1.整理企業(yè)個人信息庫。企業(yè)應(yīng)對個人數(shù)據(jù)信息庫進行梳理,包括但不限于企業(yè)目前擁有哪些個人數(shù)據(jù),個人數(shù)據(jù)的儲存和承載體在哪里,數(shù)據(jù)的流動鏈條是什么,所涉及的部門有哪些,從而建立起個人信息數(shù)據(jù)合規(guī)的基本框架。

2.保留所需數(shù)據(jù),妥善處理非必要數(shù)據(jù)。根據(jù)《個人信息保護法》第六條的規(guī)定,處理個人信息應(yīng)遵循兩個原則:一是具有明確、合理的目的;二是采取對個人權(quán)益影響最小的方式。企業(yè)應(yīng)按照上述兩個原則區(qū)分必要信息和非必要信息,要求各部門無需再收集和存儲非必要信息。

3.分類分級管理個人數(shù)據(jù)。企業(yè)應(yīng)對必要信息進行分類分級管理,尤其對特別信息進行重點關(guān)注。第一,嚴格保護敏感個人信息,包括但不限于民族、宗教、金融賬戶、行動路線、個人喜好等,此類信息與人身安全和財產(chǎn)安全掛鉤,應(yīng)受到法律特別保護,因此企業(yè)亦應(yīng)對敏感個人信息實施嚴格的保護措施。二是對不滿十四周歲的未成年人信息應(yīng)特別管理,不滿十四周歲的未成年人屬于限制民事行為能力人,《個人信息保護法》規(guī)定,處理未成年人個人信息應(yīng)取得其父母或者其他監(jiān)護人的同意,應(yīng)制定專門的個人信息處理規(guī)則。

4.采取安全技術(shù)措施處理個人信息?！秱€人信息保護法》要求企業(yè)采用安全技術(shù)措施來保護其所處理的個人信息。這些安全技術(shù)措施包括但不限于個人信息的去標(biāo)識化存儲、匿名處理、加密傳輸?shù)?以此保障個人信息數(shù)據(jù)機密性;對敏感個人信息采取嚴格的控制訪問措施,設(shè)置內(nèi)部數(shù)據(jù)審批流程,并對敏感個人信息的使用進行實時監(jiān)控及預(yù)警;對個人信息處理專職負責(zé)人設(shè)置信息系統(tǒng)高級處理權(quán)限等[5]。

5.加強對從業(yè)人員的管理,進行教育和培訓(xùn)。企業(yè)應(yīng)明確設(shè)定涉?zhèn)€人信息不同崗位人員的安全職責(zé)和操作權(quán)限,建立發(fā)生安全事件的處罰機制;與相關(guān)人員簽署《保密協(xié)議》,并要求即使調(diào)離相關(guān)崗位或者終止勞動合同時,仍需履行保密義務(wù);根據(jù)企業(yè)個人信息分類分級的結(jié)果,對大量接觸敏感個人信息的從業(yè)人員進行背景調(diào)查,了解其履歷等。《個人信息保護法》明確指出企業(yè)應(yīng)定期對從業(yè)人員進行安全教育和培訓(xùn),個人信息安全的相關(guān)法律、法規(guī)、國標(biāo)、行標(biāo)和企業(yè)相關(guān)管理制度、操作規(guī)程等,都應(yīng)納入培訓(xùn)的內(nèi)容。

6.制定關(guān)于個人信息安全事件的應(yīng)急預(yù)案。雖然做好如上合規(guī)工作可以盡量避免個人信息安全事件帶來的風(fēng)險,但難以確保企業(yè)不會因產(chǎn)品不斷迭代和層出不窮的新技術(shù)而產(chǎn)生新的安全漏洞,事先制訂個人信息安全事件預(yù)案并定期演練,可備不時之需,在遇到網(wǎng)絡(luò)安全事件時,及時啟動應(yīng)急預(yù)案,采取補救措施,是企業(yè)一項重要的合規(guī)義務(wù)。

五、結(jié)語

《個人信息保護法》的施行,對企業(yè)提出了更高的個人信息保護要求,做好合規(guī)操作能幫助企業(yè)降低風(fēng)險并減少損失,增強企業(yè)品牌價值和市場競爭力,亦能在某些情況下主張減輕或免除企業(yè)法律責(zé)任等?！秱€人信息保護法》對企業(yè)經(jīng)營者制定了較為細致全面的企業(yè)合規(guī)義務(wù)要求,企業(yè)應(yīng)建立對應(yīng)的、與合規(guī)義務(wù)相匹配的內(nèi)部管理制度和操作規(guī)程,對個人信息實行分類分級管理,采取安全技術(shù)措施處理個人信息,制定個人信息安全預(yù)案,重視從業(yè)人員的培訓(xùn)工作等,加強企業(yè)個人信息保護合規(guī)管理,建立健全個人信息保護合規(guī)體系。