强监管时代——《个人信息保护法》下企业不可不知的数据合规要求

2021-11-02

浏览量

6834

- 引言 -

随着近年来云计算、大数据、物联网、人工智能、区块链等等一系列信息技术在各行各业的深入应用，数字化转型几乎是每个行业都在进行的新一轮科技革命和产业变革。

顺应时代发展，我国也逐步构建了数据信息监管的法律体系。2021年11月1日《中华人民共和国个人信息保护法》正式生效施行，继《网络安全法》《数据安全法》之后，我国在网络与信息法治领域正式进入强监管时代，数据安全和个人信息保护的要求渗透于各行各业，数据合规一跃成为所有企业合规体系建设的重中之重。

- 探讨 -

一、数据采集是数字化的基本需求，数据滥用也是数字化的巨大风险

刘润在2021年10月30日的跨年演讲《进化的力量》中讲到“石油是物理世界的能源，数据是数字世界的新能源。数字化就是从物理世界中，开采出数据，粗炼出信息，精炼出知识，聚合出智慧，最终提高生产率。”可以看出，数据的采集是数字化的基础，是后续一切分析精炼的前提和载体。

然而法律规范天然滞后于社会发展，技术在监管空白之处的野蛮生长，不可避免会造成混乱和数据滥用。

社会民众长久以来对个人信息保护的意识淡漠也间接放任了行业潜规则的蔓延，直至数据滥用的现象愈演愈烈，个人信息非法获取、非法交易、大数据杀熟等矛盾层出不穷。

规范技术发展和应用秩序，重建民众对数字时代的信心和信任，已成为我国数字社会发展刻不容缓的重大任务。

二、我国已逐步建成数据保护的监管矩阵

在《个人信息保护法》之前，我国已陆续出台一系列法律、法规、规范性文件和行业标准，逐步收紧各类数据的收集和使用场景。

例如2016年出台的《网络安全法》、2018年出台的《电子商务法》等。

2021年更是数据和个人信息保护方面里程碑式的一年，今年3月出台的《常见类型移动互联网应用程序必要个人信息范围规定》、6月施行了《数据安全法》、11月施行了《个人信息保护法》，同时《数据安全管理条例》及个人信息安全测评规范等也在制定中。

随着一系列法律法规的颁布施行，我国对于数据和个人信息安全的监管态度已非常明确，法律体系日趋完善，这一背景下，各大互联网公司已率先做出整改。

阿里巴巴

2021年7月6日，阿里巴巴发布《依法加强消费者订单中敏感信息保护的公告》

抖音

2021年7月20日，抖音电商运营团队宣布启动消费者隐私数据加密项目

京东

2021年7月9日，京东发布《JD用户订单隐私安全方案》

腾讯

2021年10月15日，腾讯表示将成立第三方独立监督机构“个人信息保护外部监督委员会”

互联网企业确是用户信息接触较多且数据滥用现象最为严重的领域之一，但数据安全和个人信息保护绝不仅仅是互联网企业的专属义务，尤其《个人信息保护法》对各行各业都提出了严格的监管要求。

三、2021年11月1日后，企业必须注意的数据合规义务

企业采用面部识别或指纹打卡考勤的，需提前、单独征询员工同意，或写入规章制度。

《个人信息保护法》第十三条规定：“符合下列情形之一的，个人信息处理者方可处理个人信息：（一）取得个人的同意；（二）为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需。”

比如：企业在员工甚至员工家人过生日的时候发送祝福信息等，虽是贴心之举，但是对于员工及其家人生日信息的采集和使用就需提前告知并征得员工同意，或提前写入规章制度。

企业管理中更为常见的利用面部识别或指纹打卡考勤，则比上述生日信息的采集更为敏感和严格。

《个人信息保护法》将个人信息分为“一般信息”和“敏感信息”，除上述第十三条的规定外，《个人信息保护法》还做出了如下规定。

《个人信息保护法》第二十八条规定：“敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，个人信息处理者方可处理敏感个人信息。”

员工的面部识别和指纹均属于生物识别信息，较之于其他信息需采取更严格的保护方式以及更狭窄的使用范围。

《个人信息保护法》第二十九条规定：“处理敏感个人信息应当取得个人的单独同意。”

即在采取上述技术进行人力资源管理的企业在2021年11月1日节点务须更新完善其管理依据。

同时需注意，企业规章制度的制定和修改并非企业径行修改文本存档那么简单，制度修订本身需满足法定的民主程序，修订后需在企业内完成公示，必要时还需对员工进行相应培训，并保留履行上述程序的书面证据。

目前在劳动争议中，对于规章制度的制定和公示过程，举证责任在于用工方，且司法实践倾向于保护劳动者的权益，因此企业在采取数字化人力资源管理时，务须重视依法制定涉及个人信息保护的相关制度条款，避免日后因数据处理违规造成损失。

利用大数据分析进行用户画像、精准营销和个性化推荐等运营手段的企业，需及时更新用户服务协议，并给予充分标识。

1、在保障用户合法权益的前提下，用户数据仍可使用

基于对用户数据分析作出的精准化营销并非日后全不可为，《个人信息保护法》通篇以 “告知-同意”为核心，即并非限制企业不得收集和使用用户个人信息及其他数据，而是要充分保障用户的知情权、选择权和撤回权。

《个人信息保护法》第十七条规定：“个人信息处理者在处理个人信息前，应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项：（一）个人信息处理者的名称或者姓名和联系方式；（二）个人信息的处理目的、处理方式，处理的个人信息种类、保存期限；（三）个人行使本法规定权利的方式和程序；（四）法律、行政法规规定应当告知的其他事项。前款规定事项发生变更的，应当将变更部分告知个人。个人信息处理者通过制定个人信息处理规则的方式告知第一款规定事项的，处理规则应当公开，并且便于查阅和保存。”

因此，企业在对相应用户协议条款进行及时更新和补充，并对核心条款进行充分标识的情况下，仍可对用户行为进行商业分析。

同时，《个人信息保护法》对处理用户数据方面也提供了较为便捷的另一途径：即对信息匿名化处理。

《个人信息保护法》第四条规定：“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。”

但需注意，匿名化之后的信息虽然不再受《个人信息保护法》的保护，但仍属于信息，对信息数据的使用和保存需符合《数据安全法》的规定。

2、大数据杀熟、区别定价被明令禁止

《个人信息保护法》第二十四条规定：“个人信息处理者利用个人信息进行自动化决策，应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇。”

该条第二、第三款同时规定必须保障用户的选择权，即：

“通过自动化决策方式向个人进行信息推送、商业营销，应当同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式。通过自动化决策方式作出对个人权益有重大影响的决定，个人有权要求个人信息处理者予以说明，并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。”

各类企业都应重视完善数据信息的保护措施

我国《网络安全法》要求网络运营者保障网络安全、维护网络数据的完整性、保密性和可用性；《数据安全法》强制性规定了数据处理者保障数据安全的法律义务；《个人信息保护法》则要求企业采用安全技术措施来保护其所处理的个人信息。

因此，对数据信息进行分级分类，并采取必要的技术手段保护信息安全，是企业数据合规和提高管理效率的必要举措。

对此，建议企业全面梳理现有信息数据库，系统性摸排前期收集的数据信息类型、用途、保护方式、数据流动和涉及部门，以便于后续建立并完善现代化的数据合规信息库。