《个人信息保护法》视域下的企业合规义务与建议

邢 洋

(中国社会科学院大学,北京 102488)

伴随着数字化的浪潮,个人信息无疑是数字化时代企业最为核心的资产之一。合法合规处理和使用个人信息,可以使个人享受到科技进步所带来的智能和便捷。随着个人信息的滥用和无边界收集等问题的产生,个人信息保护愈发引起全社会的广泛关注。党的十八大以来,习近平总书记多次强调,坚持网络安全为人民、网络安全靠人民,切实保障个人信息安全,维护公民在网络空间的合法权益。完善我国个人信息保护法律体系是维护最广大人民利益的切身需要,这对作为主要信息使用、处理者之一的企业如何做到个人信息保护合规提出了更全面、更细致的要求。以企业涉嫌违法犯罪为节点,企业合规可分为自主事前合规和强制事后合规[1],本文拟从企业的自主事前合规角度出发,结合《个人信息保护法》的立法背景,探讨个人信息保护合规的价值,以及企业制定个人保护合规计划时应遵循的义务并提出建议。

一、《个人信息保护法》的立法背景

2023年8月28日,中国互联网络信息中心发布的第52次《中国互联网络发展状况统计报告》显示,截至2023年6月,我国网民规模已达10.79亿,互联网普及率高达76.4%。iiMedia Research(艾媒咨询)提供的有关数据显示,41.9%的网民遭遇过网络信息泄露,9.7%的网民不清楚信息是否被泄露。在遭遇信息泄露后,多数网民选择以后避免录入隐私信息(41.4%)和设置信息密码(36.9%)进行风险规避,选择报警的用户人数最低,仅为20.1%。2022年3月,第十三届全国人民代表大会第五次会议关于最高人民法院工作报告指出,2021年人民法院严惩窃取倒卖身份证、通信录、快递单、微信账号、患者信息等各类侵犯公民个人信息犯罪,审结相关案件4 098件,同比上升60.2%。

近年来,侵犯公民个人信息犯罪呈现出的高发态势,以及由此产生的日益严峻的社会危害,使各界广泛呼吁尽快制定个人信息保护领域的专项法律,《个人信息保护法》的起草被提上了立法日程。在经历全国人大常委会三次审议后,《个人信息保护法》于2021年8月通过,于同年11月1日正式实施。《个人信息保护法》是我国首部针对个人信息保护的专门性立法,改变了个人信息保护无专门法可依的尴尬局面[2]。

二、企业建立个人信息合规体系的价值

我国对个人信息立法保护的高度随着《个人信息保护法》的颁布施行得到了进一步提升,个人信息处理者(本文主要分析企业)需要建立符合法律法规要求的个人信息合规体系。虽然《个人信息保护法》提出建立个人信息保护合规体系的要求似乎加重了企业负担,但按照要求进行合规操作亦存在诸多价值。

(一)降低企业风险并减少损失

企业在日常经营中面临诸多风险,个人信息保护违规风险属于可控风险范畴,可通过事前防范和加强管理进行规避。2021年7月,网络安全审查办公室对滴滴公司实施审查,其主要存在违法收集和过度收集用户信息等八方面违法情况。7月21日,国家网信办依据相关法律法规,对滴滴全球股份有限公司处人民币80.26亿元罚款,对公司相关主要负责人处人民币100万元罚款。近年来,国家网信办已通报多家违规处理个人信息的企业,甚至部分企业因侵犯个人信息而遭受刑事处罚[3]。

面对越来越严格的外部监管环境,企业可通过建立个人信息合规体系搭建事前预防机制,规避因个人信息及数据方面不合规从而导致的行政调查、侵权诉讼、媒体曝光甚至刑事案件等后果,降低企业经营所面临的风险。

(二)增强品牌价值和市场竞争力

最初有声音质疑个人信息保护合规到底创造什么价值,价值是否等于金钱性的收入。在强调个人信息与数据隐私保护的大环境下,企业在个人信息安全和隐私保护方面的有效努力,不仅会得到监管、合作方的认可,更重要的是可以得到消费者的最终认同。不发生不合规事件,且企业的商业可持续发展能力在增强,这些都是个人信息保护合规创造的价值,对外展现的是合规为企业塑造的品牌。品牌最大的价值亦不在于用价格进行衡量,而是当消费者听到品牌名称,会认为作为企业客户是安全和安心的,这无疑将提升企业的品牌价值和市场竞争力。

(三)可主张减轻或免除法律责任

在司法实践中,个人信息保护合规的价值也体现在可以帮助企业主张减轻或免除法律责任,其中较为典型的案例是雀巢公司员工侵犯公民个人信息案。6名雀巢公司员工为推销其配方奶粉,通过向兰州市多家医院的医务人员支付好处费等手段,获取包括但不限于孕产妇姓名、手机号码等信息12万余条,严重侵犯公民个人隐私。兰州市城关区人民法院一审宣判,以侵犯公民个人信息罪分别判处雀巢公司6名员工拘役和有期徒刑。6名员工以涉案行为属于单位犯罪为由进行上诉,提出应追究雀巢公司的刑事责任。对此情形,雀巢公司提供了公司制度、员工行为规范、所有营养专员接受培训并签署的承诺函等证据文件,以证明6名员工在明知公司禁止性规定的情况下违规获取公民个人信息,并非雀巢公司的单位意志体现,系为提升其个人业绩而实施犯罪的个人行为。雀巢公司提供的证据是为证明公司内部已建立完善的个人信息和数据合规管理体系,已尽到防范员工行为的注意义务。经过审理,兰州市中级人民法院依法作出二审终审裁定,对于被告关于构成单位犯罪的辩护理由不予支持,维持原判。

该案的指导和启发意义在于,兰州市中级人民法院对于雀巢公司在合规管理上所做的努力给予肯定,这表明企业建立合规体系是可以区分企业责任和员工责任的。因企业无法掌握每位员工的所有行为和动向,越是规模庞大的企业越需要建立起个人信息保护和数据合规体系,在必要时可证明自身不存在主观过错,帮助企业减轻或免除相应法律责任。

三、《个人信息保护法》明确的企业合规义务

(一)《个人信息保护法》第五十一条规定的义务

《个人信息保护法》第五十一条集中规定了个人信息处理者的主要合规义务,包括但不限于制定内部管理制度和操作规程;对个人信息实行分类管理;采取相应的加密、去标识化等安全技术措施等。

(二)其他条款规定的企业合规义务

1.充分告知义务——“告知—同意”原则

“告知—同意”原则于2013年最早在我国工信部制定的《电信和互联网用户个人信息保护规定》中出现,《个人信息保护法》构建了“告知—同意”原则的规范框架体系[4]。该法律对什么是“实质性的告知同意”进行了明晰,即“由个人在充分知情的前提下自愿、明确作出”和告知的具体内容,规定了个人的撤回同意权、利用个人信息进行自动化决策、搜集个人信息应遵循的原则等。

2.保障信息查阅、复制、更正等权益义务

《个人信息保护法》明确了个人信息处理活动中的各项权利,意味着个人信息处理者负有配合个人权利行使的义务。企业需依据用户的需求,灵活和准确地响应数据主体访问、查询、更正、移转和删除等要求。

3.数据与算法的合规义务

(1)《个人信息保护法》要求企业在算法上遵守“明确合理目的”以及“个人权益影响最小”两个原则,在算法对用户权益造成损害时,向用户提供便捷的拒绝方式。

(2)数据是算法的基础,如果数据不够准确,则会导致算法和数据分析的结果产生偏差,《个人信息保护法》规定,处理个人信息应保证个人信息的质量,以防信息不准确、不完整对个人权益造成损害,这让保证个人信息质量成为企业的义务。

(3)算法推荐是目前多数平台提高服务效率的标配,无论是社交软件、购物平台等都用算法推荐测算出用户偏好,“精准”进行推荐,这导致了一系列问题的产生,常见的便是大数据杀熟。《个人信息保护法》规定,个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正。

4.事前风险评估义务

比《个人信息保护法》早施行两个月的《数据安全法》仅规定“重要数据”的处理者有义务对其定期开展风险评估,并向有关主管部门报送风险评估报告,《个人信息保护法》明确了包括但不限于自动化决策、处理敏感个人信息等情形下的事前评估义务。这将风险评估变成了企业的经常性工作,企业应研究风险评估报告包含的个人信息种类,收集时面临的风险和相应措施等。

5.合规审计义务

《个人信息保护法》规定企业应当定期对处理个人信息遵守法律、行政法规的情况进行合规审计。但具体的审计内容和操作标准尚无明确规定,需结合《个人信息保护法》《数据保护法》《网络安全法》等相关基本法律中的具体规定,制定合规审计的方案。

6.委托外部进行个人信息处理的合规义务

《个人信息保护法》未禁止对个人信息进行外部委托处理,但应细致区分委托处理和共同处理。共同处理应取得信息主体的授权,委托处理虽不是必须取得授权,但应在委托给受托人之前,做好个人信息保护影响评估和记录。委托人和受托人应签订书面委托合同,对委托内容、期限、双方权利义务等进行明确规定,尤其应明确受托人在处理个人信息时要注意不能超过法律授予的权限。

四、企业进行个人信息保护的合规建议

在对数据和个人信息进行强监管的趋势下,《个人信息保护法》被专家学者称为有史以来最严格的数据安全保护法律之一。新增“情节严重”的处罚标准,可没收企业违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款。《个人信息保护法》采取设置高额罚款和其他处罚的方式,倒逼企业重视个人信息保护合规建设。本文拟结合以上对企业合规义务的分析,就企业进行个人信息保护提出合规建议。

(一)制定内部管理制度和操作规程

首先,企业应明晰处理和管理个人信息的基本情况,以此为基础制定内部制度,包括但不限于个人信息储存、传输、处理等制度,个人信息安全保护制度,信息分级分类处理制度,风险评估制度等。其次,企业个人信息保护流程应与制度相匹配,建立企业个人信息全流程管理,覆盖信息衔接的各个环节,严格规定全流程的权限管理。最后,配置个人信息保护专职人员。《个人信息保护法》虽未明确要求企业均应设立个人信息保护负责人,仅要求如果达到一定处理信息的数量时应设立,但从便于企业进行个人信息保护统筹管理的角度来讲,在必要情况下设立专门的机构和专职人员,有利于推动企业内部各项制度和举措的实施。

(二)对个人信息分类分级进行管理

《个人信息保护法》《网络安全法》《数据保护法》三部法律共同要求对个人信息要实行分类分级管理,针对企业合规的具体建议如下。

1.整理企业个人信息库。企业应对个人数据信息库进行梳理,包括但不限于企业目前拥有哪些个人数据,个人数据的储存和承载体在哪里,数据的流动链条是什么,所涉及的部门有哪些,从而建立起个人信息数据合规的基本框架。

2.保留所需数据,妥善处理非必要数据。根据《个人信息保护法》第六条的规定,处理个人信息应遵循两个原则:一是具有明确、合理的目的;二是采取对个人权益影响最小的方式。企业应按照上述两个原则区分必要信息和非必要信息,要求各部门无需再收集和存储非必要信息。

3.分类分级管理个人数据。企业应对必要信息进行分类分级管理,尤其对特别信息进行重点关注。第一,严格保护敏感个人信息,包括但不限于民族、宗教、金融账户、行动路线、个人喜好等,此类信息与人身安全和财产安全挂钩,应受到法律特别保护,因此企业亦应对敏感个人信息实施严格的保护措施。二是对不满十四周岁的未成年人信息应特别管理,不满十四周岁的未成年人属于限制民事行为能力人,《个人信息保护法》规定,处理未成年人个人信息应取得其父母或者其他监护人的同意,应制定专门的个人信息处理规则。

4.采取安全技术措施处理个人信息。《个人信息保护法》要求企业采用安全技术措施来保护其所处理的个人信息。这些安全技术措施包括但不限于个人信息的去标识化存储、匿名处理、加密传输等,以此保障个人信息数据机密性;对敏感个人信息采取严格的控制访问措施,设置内部数据审批流程,并对敏感个人信息的使用进行实时监控及预警;对个人信息处理专职负责人设置信息系统高级处理权限等[5]。

5.加强对从业人员的管理,进行教育和培训。企业应明确设定涉个人信息不同岗位人员的安全职责和操作权限,建立发生安全事件的处罚机制;与相关人员签署《保密协议》,并要求即使调离相关岗位或者终止劳动合同时,仍需履行保密义务;根据企业个人信息分类分级的结果,对大量接触敏感个人信息的从业人员进行背景调查,了解其履历等。《个人信息保护法》明确指出企业应定期对从业人员进行安全教育和培训,个人信息安全的相关法律、法规、国标、行标和企业相关管理制度、操作规程等,都应纳入培训的内容。

6.制定关于个人信息安全事件的应急预案。虽然做好如上合规工作可以尽量避免个人信息安全事件带来的风险,但难以确保企业不会因产品不断迭代和层出不穷的新技术而产生新的安全漏洞,事先制订个人信息安全事件预案并定期演练,可备不时之需,在遇到网络安全事件时,及时启动应急预案,采取补救措施,是企业一项重要的合规义务。

五、结语

《个人信息保护法》的施行,对企业提出了更高的个人信息保护要求,做好合规操作能帮助企业降低风险并减少损失,增强企业品牌价值和市场竞争力,亦能在某些情况下主张减轻或免除企业法律责任等。《个人信息保护法》对企业经营者制定了较为细致全面的企业合规义务要求,企业应建立对应的、与合规义务相匹配的内部管理制度和操作规程,对个人信息实行分类分级管理,采取安全技术措施处理个人信息,制定个人信息安全预案,重视从业人员的培训工作等,加强企业个人信息保护合规管理,建立健全个人信息保护合规体系。