華 進(jìn) 視 角
深耕知識(shí)產(chǎn)權(quán)領(lǐng)域多年,以專業(yè)化視角解讀理論與實(shí)踐應(yīng)用,提供專業(yè)策略參考。
互聯(lián)網(wǎng)企業(yè)數(shù)據(jù)合規(guī)風(fēng)險(xiǎn)及應(yīng)對(duì)
韋琪
2022-07-22 17:45
近日,某互聯(lián)網(wǎng)企業(yè)被處于罰款引起熱議。監(jiān)管部門查處的違法事實(shí)中,企業(yè)侵犯的對(duì)象主要是個(gè)人隱私信息與敏感的個(gè)人信息。具體來看,主要違反了以下法律規(guī)定:
一、違法收集個(gè)人信息,未遵循《網(wǎng)絡(luò)安全法》第四十一條規(guī)定的合法、正當(dāng)、必要原則。《常見類型移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序必要個(gè)人信息范圍規(guī)定》第三條規(guī)定,本規(guī)定所稱必要個(gè)人信息,是指保障App基本功能服務(wù)正常運(yùn)行所必需的個(gè)人信息,缺少該信息App即無法實(shí)現(xiàn)基本功能服務(wù)。具體是指消費(fèi)側(cè)用戶個(gè)人信息,不包括服務(wù)供給側(cè)用戶個(gè)人信息。另外,該規(guī)定第五條也對(duì)“網(wǎng)絡(luò)約車類收集的必要的個(gè)人信息”進(jìn)行了明確規(guī)定1。
二、《個(gè)人信息保護(hù)法》第二十九條規(guī)定,處理敏感個(gè)人信息應(yīng)當(dāng)取得個(gè)人的單獨(dú)同意;法律、行政法規(guī)規(guī)定處理敏感個(gè)人信息應(yīng)當(dāng)取得書面同意的,從其規(guī)定。企業(yè)收集的人臉識(shí)別信息、年齡段信息、地址信息等均屬于《個(gè)人信息保護(hù)法》第二十八條2規(guī)定的“個(gè)人敏感信息”范疇。
在監(jiān)管部門作出的處罰決定書中,有這么一句不起眼的話,“該企業(yè)對(duì)境內(nèi)各業(yè)務(wù)線重大事項(xiàng)具有最高決策權(quán),制定的企業(yè)內(nèi)部制度規(guī)范對(duì)境內(nèi)各業(yè)務(wù)線全部適用,且對(duì)落實(shí)情況負(fù)監(jiān)督管理責(zé)任”。
就此可以提煉出兩個(gè)信息:1.企業(yè)的數(shù)據(jù)合規(guī)決策體制統(tǒng)一而清晰,被處罰時(shí)可以把影響縮小到最頂部層面,減少了對(duì)企業(yè)多個(gè)業(yè)務(wù)層面的波及,值得肯定;2.企業(yè)是否擁有一份良好的企業(yè)內(nèi)部制度規(guī)范對(duì)企業(yè)意義重大,換言之,企業(yè)應(yīng)實(shí)實(shí)在在建立并全面落實(shí)合規(guī)管理體系。
本案中,主要涉及到的是行政監(jiān)管合規(guī)方面的問題。相較于檢察院以“不起訴”的方式激勵(lì)企業(yè)合規(guī),行政機(jī)關(guān)一般通過發(fā)布合規(guī)指引或者合規(guī)指南的方式,來加強(qiáng)對(duì)相關(guān)企業(yè)的合規(guī)管理。只有從根本上解決企業(yè)違反行政法規(guī)的問題,才能從實(shí)質(zhì)上實(shí)現(xiàn)企業(yè)的“去違法化”乃至“去犯罪化”問題。因此,企業(yè)應(yīng)認(rèn)真學(xué)習(xí)行政機(jī)關(guān)發(fā)布的合規(guī)指引和合規(guī)指南、注意結(jié)合自身行業(yè)特征梳理和發(fā)現(xiàn)個(gè)人信息保護(hù)和數(shù)據(jù)安全的欠缺和問題,及時(shí)完善相關(guān)組織體系、管理制度、操作流程和保障機(jī)制,同時(shí)加強(qiáng)對(duì)員工開展數(shù)據(jù)合規(guī)培訓(xùn)。
本次事件,也對(duì)企業(yè)如何做好數(shù)據(jù)合規(guī)建設(shè)帶來了以下啟示:
一、企業(yè)應(yīng)當(dāng)根據(jù)自身服務(wù)類型的實(shí)際情況,按照《常見類型移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序必要個(gè)人信息范圍規(guī)定》手機(jī)個(gè)人的必要信息。服務(wù)類別單一的企業(yè)收集個(gè)人信息的范疇不應(yīng)逾越《常見類型移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序必要個(gè)人信息范圍規(guī)定》的界限;服務(wù)類型多樣化的企業(yè)如不清楚收集范圍,也可主動(dòng)聯(lián)系當(dāng)?shù)鼐W(wǎng)信辦、通信管理局等監(jiān)管部門,明確收集界限以降低經(jīng)營風(fēng)險(xiǎn)。
二、在處理個(gè)人敏感信息時(shí),應(yīng)當(dāng)按照《個(gè)人信息保護(hù)法》規(guī)定的單獨(dú)同意規(guī)則,對(duì)于用戶的人臉識(shí)別信息、精準(zhǔn)定位信息、行動(dòng)軌跡信息等應(yīng)當(dāng)格外謹(jǐn)慎。
三、企業(yè)應(yīng)明確告知用戶收集信息的目的、方式、范圍,且應(yīng)當(dāng)與企業(yè)實(shí)際收集使用收集的用戶信息方式一致。另外,以概括授權(quán)的方式獲得用戶對(duì)個(gè)人信息處理方式的授權(quán)已經(jīng)被法律所禁止。如后續(xù)因業(yè)務(wù)更新等實(shí)際需要需要擴(kuò)大收集用戶信息范圍的,應(yīng)以短信或彈窗的方式對(duì)用戶進(jìn)行特別提示。
四、根據(jù)《個(gè)人信息保護(hù)法》的要求,處理個(gè)人信息達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量的個(gè)人信息處理者應(yīng)當(dāng)指定個(gè)人信息保護(hù)負(fù)責(zé)人,負(fù)責(zé)對(duì)個(gè)人信息處理活動(dòng)以及采取的保護(hù)措施等進(jìn)行監(jiān)督。個(gè)人信息處理者應(yīng)當(dāng)公開個(gè)人信息保護(hù)負(fù)責(zé)人的聯(lián)系方式,并將個(gè)人信息保護(hù)負(fù)責(zé)人的姓名、聯(lián)系方式等報(bào)送履行個(gè)人信息保護(hù)職責(zé)的部門。
五、根據(jù)《個(gè)人信息保護(hù)法》第五十一條的規(guī)定,盡快建立起個(gè)人信息保護(hù)體系3。
此次事件證明,企業(yè)都應(yīng)當(dāng)遵守國內(nèi)的行政監(jiān)管制度。只有不斷完善企業(yè)內(nèi)部制度規(guī)范,做好企業(yè)合規(guī),才能在市場(chǎng)上走得更穩(wěn)更遠(yuǎn)。
華進(jìn)官方微信公眾號(hào)
Copyright ? 2021 華進(jìn)聯(lián)合專利商標(biāo)代理有限公司.All Rights Reserved.粵ICP備12081038號(hào)