- 引 言 -
隨著近年來(lái)云計(jì)算����、大數(shù)據(jù)����、物聯(lián)網(wǎng)、人工智能�����、區(qū)塊鏈等等一系列信息技術(shù)在各行各業(yè)的深入應(yīng)用����,數(shù)字化轉(zhuǎn)型幾乎是每個(gè)行業(yè)都在進(jìn)行的新一輪科技革命和產(chǎn)業(yè)變革。
順應(yīng)時(shí)代發(fā)展,我國(guó)也逐步構(gòu)建了數(shù)據(jù)信息監(jiān)管的法律體系���。2021年11月1日《中華人民共和國(guó)個(gè)人信息保護(hù)法》正式生效施行�,繼《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》之后����,我國(guó)在網(wǎng)絡(luò)與信息法治領(lǐng)域正式進(jìn)入強(qiáng)監(jiān)管時(shí)代,數(shù)據(jù)安全和個(gè)人信息保護(hù)的要求滲透于各行各業(yè)�,數(shù)據(jù)合規(guī)一躍成為所有企業(yè)合規(guī)體系建設(shè)的重中之重。
- 探 討 -
一���、數(shù)據(jù)采集是數(shù)字化的基本需求�����,數(shù)據(jù)濫用也是數(shù)字化的巨大風(fēng)險(xiǎn)
劉潤(rùn)在2021年10月30日的跨年演講《進(jìn)化的力量》中講到“石油是物理世界的能源��,數(shù)據(jù)是數(shù)字世界的新能源��。數(shù)字化就是從物理世界中�����,開采出數(shù)據(jù)��,粗煉出信息����,精煉出知識(shí),聚合出智慧�����,最終提高生產(chǎn)率��?�!笨梢钥闯?�,數(shù)據(jù)的采集是數(shù)字化的基礎(chǔ)���,是后續(xù)一切分析精煉的前提和載體。
然而法律規(guī)范天然滯后于社會(huì)發(fā)展�����,技術(shù)在監(jiān)管空白之處的野蠻生長(zhǎng)�����,不可避免會(huì)造成混亂和數(shù)據(jù)濫用。
社會(huì)民眾長(zhǎng)久以來(lái)對(duì)個(gè)人信息保護(hù)的意識(shí)淡漠也間接放任了行業(yè)潛規(guī)則的蔓延�,直至數(shù)據(jù)濫用的現(xiàn)象愈演愈烈,個(gè)人信息非法獲取�、非法交易、大數(shù)據(jù)殺熟等矛盾層出不窮���。
規(guī)范技術(shù)發(fā)展和應(yīng)用秩序�,重建民眾對(duì)數(shù)字時(shí)代的信心和信任��,已成為我國(guó)數(shù)字社會(huì)發(fā)展刻不容緩的重大任務(wù)�����。
二�����、我國(guó)已逐步建成數(shù)據(jù)保護(hù)的監(jiān)管矩陣
在《個(gè)人信息保護(hù)法》之前����,我國(guó)已陸續(xù)出臺(tái)一系列法律、法規(guī)�、規(guī)范性文件和行業(yè)標(biāo)準(zhǔn),逐步收緊各類數(shù)據(jù)的收集和使用場(chǎng)景����。
例如2016年出臺(tái)的《網(wǎng)絡(luò)安全法》�����、2018年出臺(tái)的《電子商務(wù)法》等�。
2021年更是數(shù)據(jù)和個(gè)人信息保護(hù)方面里程碑式的一年����,今年3月出臺(tái)的《常見類型移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序必要個(gè)人信息范圍規(guī)定》、6月施行了《數(shù)據(jù)安全法》�����、11月施行了《個(gè)人信息保護(hù)法》�,同時(shí)《數(shù)據(jù)安全管理?xiàng)l例》及個(gè)人信息安全測(cè)評(píng)規(guī)范等也在制定中。
隨著一系列法律法規(guī)的頒布施行��,我國(guó)對(duì)于數(shù)據(jù)和個(gè)人信息安全的監(jiān)管態(tài)度已非常明確����,法律體系日趨完善����,這一背景下�,各大互聯(lián)網(wǎng)公司已率先做出整改��。
阿里巴巴
2021年7月6日�,阿里巴巴發(fā)布《依法加強(qiáng)消費(fèi)者訂單中敏感信息保護(hù)的公告》
抖音
2021年7月20日,抖音電商運(yùn)營(yíng)團(tuán)隊(duì)宣布啟動(dòng)消費(fèi)者隱私數(shù)據(jù)加密項(xiàng)目
京東
2021年7月9日�,京東發(fā)布《JD用戶訂單隱私安全方案》
騰訊
2021年10月15日,騰訊表示將成立第三方獨(dú)立監(jiān)督機(jī)構(gòu)“個(gè)人信息保護(hù)外部監(jiān)督委員會(huì)”
互聯(lián)網(wǎng)企業(yè)確是用戶信息接觸較多且數(shù)據(jù)濫用現(xiàn)象最為嚴(yán)重的領(lǐng)域之一����,但數(shù)據(jù)安全和個(gè)人信息保護(hù)絕不僅僅是互聯(lián)網(wǎng)企業(yè)的專屬義務(wù),尤其《個(gè)人信息保護(hù)法》對(duì)各行各業(yè)都提出了嚴(yán)格的監(jiān)管要求����。
三、2021年11月1日后�����,企業(yè)必須注意的數(shù)據(jù)合規(guī)義務(wù)
企業(yè)采用面部識(shí)別或指紋打卡考勤的��,需提前��、單獨(dú)征詢員工同意�,或?qū)懭胍?guī)章制度。
《個(gè)人信息保護(hù)法》第十三條規(guī)定:“符合下列情形之一的��,個(gè)人信息處理者方可處理個(gè)人信息:(一)取得個(gè)人的同意;(二)為訂立����、履行個(gè)人作為一方當(dāng)事人的合同所必需,或者按照依法制定的勞動(dòng)規(guī)章制度和依法簽訂的集體合同實(shí)施人力資源管理所必需�。”
比如:企業(yè)在員工甚至員工家人過(guò)生日的時(shí)候發(fā)送祝福信息等�,雖是貼心之舉,但是對(duì)于員工及其家人生日信息的采集和使用就需提前告知并征得員工同意����,或提前寫入規(guī)章制度。
企業(yè)管理中更為常見的利用面部識(shí)別或指紋打卡考勤�����,則比上述生日信息的采集更為敏感和嚴(yán)格���。
《個(gè)人信息保護(hù)法》將個(gè)人信息分為“一般信息”和“敏感信息”�,除上述第十三條的規(guī)定外���,《個(gè)人信息保護(hù)法》還做出了如下規(guī)定�����。
《個(gè)人信息保護(hù)法》第二十八條規(guī)定:“敏感個(gè)人信息是一旦泄露或者非法使用�,容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身�、財(cái)產(chǎn)安全受到危害的個(gè)人信息,包括生物識(shí)別�、宗教信仰、特定身份�����、醫(yī)療健康�、金融賬戶、行蹤軌跡等信息���,以及不滿十四周歲未成年人的個(gè)人信息�。只有在具有特定的目的和充分的必要性�����,并采取嚴(yán)格保護(hù)措施的情形下��,個(gè)人信息處理者方可處理敏感個(gè)人信息���?���!?/p>
員工的面部識(shí)別和指紋均屬于生物識(shí)別信息,較之于其他信息需采取更嚴(yán)格的保護(hù)方式以及更狹窄的使用范圍����。
《個(gè)人信息保護(hù)法》第二十九條規(guī)定:“處理敏感個(gè)人信息應(yīng)當(dāng)取得個(gè)人的單獨(dú)同意?���!?/p>
即在采取上述技術(shù)進(jìn)行人力資源管理的企業(yè)在2021年11月1日節(jié)點(diǎn)務(wù)須更新完善其管理依據(jù)。
同時(shí)需注意���,企業(yè)規(guī)章制度的制定和修改并非企業(yè)徑行修改文本存檔那么簡(jiǎn)單�����,制度修訂本身需滿足法定的民主程序���,修訂后需在企業(yè)內(nèi)完成公示,必要時(shí)還需對(duì)員工進(jìn)行相應(yīng)培訓(xùn)�,并保留履行上述程序的書面證據(jù)。
目前在勞動(dòng)爭(zhēng)議中�����,對(duì)于規(guī)章制度的制定和公示過(guò)程,舉證責(zé)任在于用工方�,且司法實(shí)踐傾向于保護(hù)勞動(dòng)者的權(quán)益���,因此企業(yè)在采取數(shù)字化人力資源管理時(shí)��,務(wù)須重視依法制定涉及個(gè)人信息保護(hù)的相關(guān)制度條款�����,避免日后因數(shù)據(jù)處理違規(guī)造成損失���。
利用大數(shù)據(jù)分析進(jìn)行用戶畫像、精準(zhǔn)營(yíng)銷和個(gè)性化推薦等運(yùn)營(yíng)手段的企業(yè)�,需及時(shí)更新用戶服務(wù)協(xié)議,并給予充分標(biāo)識(shí)����。
1、在保障用戶合法權(quán)益的前提下��,用戶數(shù)據(jù)仍可使用
基于對(duì)用戶數(shù)據(jù)分析作出的精準(zhǔn)化營(yíng)銷并非日后全不可為��,《個(gè)人信息保護(hù)法》通篇以 “告知-同意”為核心,即并非限制企業(yè)不得收集和使用用戶個(gè)人信息及其他數(shù)據(jù)�,而是要充分保障用戶的知情權(quán)、選擇權(quán)和撤回權(quán)�。
《個(gè)人信息保護(hù)法》第十七條規(guī)定:“個(gè)人信息處理者在處理個(gè)人信息前,應(yīng)當(dāng)以顯著方式���、清晰易懂的語(yǔ)言真實(shí)�����、準(zhǔn)確����、完整地向個(gè)人告知下列事項(xiàng):(一)個(gè)人信息處理者的名稱或者姓名和聯(lián)系方式����;(二)個(gè)人信息的處理目的、處理方式���,處理的個(gè)人信息種類����、保存期限�����;(三)個(gè)人行使本法規(guī)定權(quán)利的方式和程序;(四)法律�����、行政法規(guī)規(guī)定應(yīng)當(dāng)告知的其他事項(xiàng)�。前款規(guī)定事項(xiàng)發(fā)生變更的���,應(yīng)當(dāng)將變更部分告知個(gè)人���。個(gè)人信息處理者通過(guò)制定個(gè)人信息處理規(guī)則的方式告知第一款規(guī)定事項(xiàng)的,處理規(guī)則應(yīng)當(dāng)公開���,并且便于查閱和保存��?���!?/p>
因此��,企業(yè)在對(duì)相應(yīng)用戶協(xié)議條款進(jìn)行及時(shí)更新和補(bǔ)充����,并對(duì)核心條款進(jìn)行充分標(biāo)識(shí)的情況下���,仍可對(duì)用戶行為進(jìn)行商業(yè)分析。
同時(shí)��,《個(gè)人信息保護(hù)法》對(duì)處理用戶數(shù)據(jù)方面也提供了較為便捷的另一途徑:即對(duì)信息匿名化處理�����。
《個(gè)人信息保護(hù)法》第四條規(guī)定:“個(gè)人信息是以電子或者其他方式記錄的與已識(shí)別或者可識(shí)別的自然人有關(guān)的各種信息����,不包括匿名化處理后的信息?�!?/p>
但需注意��,匿名化之后的信息雖然不再受《個(gè)人信息保護(hù)法》的保護(hù)��,但仍屬于信息�,對(duì)信息數(shù)據(jù)的使用和保存需符合《數(shù)據(jù)安全法》的規(guī)定。
2��、大數(shù)據(jù)殺熟��、區(qū)別定價(jià)被明令禁止
《個(gè)人信息保護(hù)法》第二十四條規(guī)定:“個(gè)人信息處理者利用個(gè)人信息進(jìn)行自動(dòng)化決策,應(yīng)當(dāng)保證決策的透明度和結(jié)果公平����、公正,不得對(duì)個(gè)人在交易價(jià)格等交易條件上實(shí)行不合理的差別待遇���?��!?/p>
該條第二、第三款同時(shí)規(guī)定必須保障用戶的選擇權(quán)�����,即:
“通過(guò)自動(dòng)化決策方式向個(gè)人進(jìn)行信息推送�、商業(yè)營(yíng)銷���,應(yīng)當(dāng)同時(shí)提供不針對(duì)其個(gè)人特征的選項(xiàng)�,或者向個(gè)人提供便捷的拒絕方式���。通過(guò)自動(dòng)化決策方式作出對(duì)個(gè)人權(quán)益有重大影響的決定�����,個(gè)人有權(quán)要求個(gè)人信息處理者予以說(shuō)明��,并有權(quán)拒絕個(gè)人信息處理者僅通過(guò)自動(dòng)化決策的方式作出決定��?��!?/p>
各類企業(yè)都應(yīng)重視完善數(shù)據(jù)信息的保護(hù)措施
我國(guó)《網(wǎng)絡(luò)安全法》要求網(wǎng)絡(luò)運(yùn)營(yíng)者保障網(wǎng)絡(luò)安全���、維護(hù)網(wǎng)絡(luò)數(shù)據(jù)的完整性、保密性和可用性�����;《數(shù)據(jù)安全法》強(qiáng)制性規(guī)定了數(shù)據(jù)處理者保障數(shù)據(jù)安全的法律義務(wù)���; 《個(gè)人信息保護(hù)法》則要求企業(yè)采用安全技術(shù)措施來(lái)保護(hù)其所處理的個(gè)人信息����。
因此�����,對(duì)數(shù)據(jù)信息進(jìn)行分級(jí)分類�,并采取必要的技術(shù)手段保護(hù)信息安全���,是企業(yè)數(shù)據(jù)合規(guī)和提高管理效率的必要舉措。
對(duì)此��,建議企業(yè)全面梳理現(xiàn)有信息數(shù)據(jù)庫(kù)�����,系統(tǒng)性摸排前期收集的數(shù)據(jù)信息類型�、用途、保護(hù)方式�、數(shù)據(jù)流動(dòng)和涉及部門,以便于后續(xù)建立并完善現(xiàn)代化的數(shù)據(jù)合規(guī)信息庫(kù)����。
其次�,對(duì)數(shù)據(jù)信息分類,對(duì)個(gè)人一般信息和敏感信息從保密技術(shù)�、處理權(quán)限等全流程進(jìn)行區(qū)分。此部分應(yīng)特別注意對(duì)以下兩類信息的甄別和處理:
(1)《個(gè)人信息保護(hù)法》第二十八條規(guī)定的敏感個(gè)人信息�����,包括包括生物識(shí)別��、宗教信仰、特定身份��、醫(yī)療健康����、金融賬戶、行蹤軌跡等信息�。注意此類信息不僅包含外部用戶的信息,還包括企業(yè)內(nèi)部員工信息����;
(2)未滿十四周歲未成年人的全部個(gè)人信息均屬于敏感信息。
最后�,明確信息使用途徑,剔除非必要信息����。《個(gè)人信息保護(hù)法》中無(wú)論一般信息還是敏感信息����,均要求企業(yè)在使用時(shí)滿足“明確合理目的”“個(gè)人權(quán)益影響最小”兩個(gè)原則,在目前強(qiáng)監(jiān)管的趨勢(shì)下��,過(guò)度收集到的個(gè)人信息不再是“備用的彈藥庫(kù)”,而是“火堆旁的炸藥桶”�。
在明確的用途指引下合理收集信息,既是數(shù)據(jù)合規(guī)需要�,也是簡(jiǎn)化企業(yè)流程、去除信息焦慮的機(jī)會(huì)�。
四、嚴(yán)苛的處罰責(zé)任
明確的強(qiáng)監(jiān)管態(tài)度之下�����,《個(gè)人信息保護(hù)法》針對(duì)責(zé)任主體規(guī)定了不同的法律責(zé)任�����,對(duì)于企業(yè)主體施行“企業(yè)和管理人”雙罰制�����,且處罰方式涵蓋多個(gè)方面��,國(guó)家規(guī)制信息濫用的決心和力度之大有目共睹����。
金錢處罰
(1)沒(méi)收違法所得����;
(2)對(duì)企業(yè)并處一百萬(wàn)以下罰款�����,情節(jié)嚴(yán)重的并處五千萬(wàn)以下或上一年度營(yíng)業(yè)額百分之五以下罰款����;
(3)對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處一萬(wàn)元以上十萬(wàn)元以下罰款�����,情節(jié)嚴(yán)重的處十萬(wàn)元以上一百萬(wàn)元以下罰款����。
行業(yè)準(zhǔn)入處罰
(1)對(duì)違法處理個(gè)人信息的應(yīng)用程序,責(zé)令暫?�;蛘呓K止提供服務(wù)��;
(2)情節(jié)嚴(yán)重的�,責(zé)令暫停相關(guān)業(yè)務(wù)或者停業(yè)整頓;
(3)通報(bào)主管部門吊銷相關(guān)業(yè)務(wù)許可或吊銷營(yíng)業(yè)執(zhí)照�����;
(4)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員,禁止其在一定期限內(nèi)擔(dān)任相關(guān)企業(yè)的董事�、監(jiān)事、高級(jí)管理人員和個(gè)人信息保護(hù)負(fù)責(zé)人��。
信用處罰
《個(gè)人信息保護(hù)法》第六十七條規(guī)定“有本法規(guī)定的違法行為的���,依照有關(guān)法律�����、行政法規(guī)的規(guī)定記入信用檔案����,并予以公示����。”
- 結(jié) 語(yǔ) -
《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》以及《個(gè)人信息保護(hù)法》的陸續(xù)施行�����,將帶領(lǐng)我國(guó)信息化���、數(shù)字化進(jìn)入一個(gè)新的時(shí)代����。面對(duì)新法的實(shí)施��,企業(yè)必須做出相應(yīng)的變化和調(diào)整�����,以適應(yīng)新規(guī)則下的運(yùn)作方式�����。
但從另一個(gè)角度��,在數(shù)字騰飛節(jié)點(diǎn)���,我們結(jié)束了野蠻生長(zhǎng)的初級(jí)階段���,在未來(lái)良好有序的競(jìng)爭(zhēng)環(huán)境下,企業(yè)也會(huì)迎來(lái)新的機(jī)遇和更加優(yōu)質(zhì)的發(fā)展土壤�����。
免責(zé)聲明:本文僅為分享�����、交流、學(xué)習(xí)之目的�����,不代表恒都律師事務(wù)所的法律意見或?qū)Ψ傻慕庾x����,任何組織或個(gè)人均不應(yīng)以本文全部或部分內(nèi)容作為決策依據(jù),因此造成的后果將由行為人自行負(fù)責(zé)���。
