淺談企業個人信息保護合規風險及應對

隨著信息技術的發展，個人信息的收集、處理愈加方便容易，對個人信息的侵害也愈加頻繁，方式也日益多樣化。自2018年以來，我國陸續出臺了《民法典》《個人信息保護法》《數據安全法》等重要法律，通過立法把個人信息保護的道德義務轉化為法定義務，建立了較為完整的個人信息保護機制。除對侵犯公民個人信息的個人行為做出禁止性規定外，這些法律還對企業涉及個人信息的經營行為做出命令性要求，這就使個人信息保護成為企業合規管理的專項領域。

自相關法律出臺以來，已有若干企業因個人信息使用不當受到嚴厲的行政處罰。當前在進一步開發利用個人信息成為趨勢，將個人信息用于為客戶提供增值服務、為業務增長賦能的功能驅動下，收集和使用個人信息的規模不可避免地擴大，使用個人信息的業務模式和使用方式將更加復雜，個人信息保護合規風險也將隨之增加。

企業面臨的個人信息保護合規風險

目前，企業面臨的個人信息保護合規風險主要有以下幾種類型。

（一）非法獲取個人信息的風險

為完成公司或個人業績指標，有的企業或員工個人可能向第三方收買或以其他方式非法獲取個人信息。以房地產行業為例，在房產開發項目營銷流程中獲得潛在客戶信息的環節發生此項風險的可能性較高，如未經客戶同意采集客戶人臉信息，在房地產市場整體不景氣、銷售壓力大的背景下，此項風險發生的可能性顯著增加。另外，企業從第三方獲取個人信息且未經個人信息主體同意，亦存在此項風險。非法獲取個人信息的表現形式包括直接支付費用收買個人信息，也包括以合作、中介、代理名義等通過第三方獲取個人信息。非法獲取個人信息是嚴重的不合規行為，企業、直接責任主管人員和直接責任人員可能被追究刑事責任，企業可能面臨行政處罰和民事訴訟，企業聲譽可能受到嚴重損害。

（二）非法提供個人信息的風險

企業收集和存儲的個人信息具有較高的商業價值，第三方經營者可能希望獲取這些信息并進行非法使用。即使企業較少利用所掌握的個人信息與第三方開展商業合作，也存在因員工個人行為發生此項風險的可能性。非法提供個人信息是嚴重的不合規行為，與非法獲取個人信息具有相同法律后果。除有法定事由（例如配合司法調查、向政府防疫部門提供流調信息）外，企業向第三方提供個人信息且未經個人信息主體同意，均存在此項風險。即使司法機關認定非法提供個人信息為員工個人行為，企業仍然可能因為管理不當面臨行政處罰和民事訴訟，企業聲譽可能受到嚴重損害。非法提供個人信息的表現形式不僅包括倒賣個人信息，也包括以合作、中介、代理等名義向第三方提供個人信息。

（三）App等信息工具設計和使用不合規的風險

為了更加方便快捷地提供服務，部分企業越來越多地使用App、小程序、服務號等信息工具收集客戶個人信息。App等信息工具設計和使用不合規是監管部門執法重點。監管部門關注App等信息工具未經用戶同意收集和使用個人信息，以及違反必要原則收集與其提供的服務無關的個人信息。未經用戶同意收集和使用個人信息的具體情形包括：在征得用戶同意前就開始收集個人信息，或者打開可收集個人信息的權限；用戶明確表示不同意后，仍收集個人信息，或者打開可收集個人信息的權限；頻繁征求用戶同意、干擾用戶正常使用；實際收集的個人信息或打開的可收集個人信息權限超出用戶授權范圍；以默認選擇同意隱私政策等非明示方式征求用戶同意；未經用戶同意更改其設置的可收集個人信息權限狀態，如App更新時自動將用戶設置的權限恢復到默認狀態；利用用戶個人信息和算法定向推送信息，未提供非定向推送信息的選項；以欺詐、誘騙等不正當方式誤導用戶同意收集個人信息或打開可收集個人信息的權限，如故意欺瞞、掩飾收集使用個人信息的真實目的；未向用戶提供撤回同意收集個人信息的途徑、方式；違反其所聲明的收集使用規則，收集使用個人信息。

違反必要原則收集與其提供的服務無關的個人信息的具體情形包括：收集的個人信息類型或打開的可收集個人信息權限與現有業務功能無關；因用戶不同意收集非必要個人信息或打開非必要權限，拒絕提供業務功能；App新增業務功能申請收集的個人信息超出用戶原有同意范圍，若用戶不同意，則拒絕提供原有業務功能，新增業務功能取代原有業務功能的除外；收集個人信息的頻度等超出業務功能實際需要；僅以改善服務質量、提升用戶體驗、定向推送信息、研發新產品等為由，強制要求用戶同意收集個人信息；要求用戶一次性同意打開多個可收集個人信息的權限，用戶不同意則無法使用等。

App等信息工具設計和使用不合規可能導致App被限制使用（下架），企業亦可能受到行政處罰。

（四）個人信息保管不當風險

1.以電子文檔形式存在的個人信息保管不當。企業收集的個人信息，大部分以電子文檔形式存儲在辦公、業務管理和客戶服務信息系統中，部分存儲在辦公電腦硬盤上。如果信息系統的安全性未能滿足網絡安全和數據安全要求，可能發生個人信息意外泄露、公開、被盜、篡改和損毀等情況，企業將面臨行政處罰和民事訴訟，企業聲譽可能受到嚴重損害。使用辦公電腦硬盤存儲個人信息，可能存在更高的數據安全風險。監管部門在執法檢查中如果發現企業數據安全管理不到位，可能對企業進行行政處罰；如果發生數據泄露等風險事件，則可能導致更為嚴厲的處罰。

2.以紙質文檔形式存在的個人信息保管不當。企業收集的個人信息，有一部分以紙質文檔的形式生成或由第三方移交。紙質文檔的數據安全風險低于電子文檔，但是如果保管不善，也可能發生意外泄露、公開、被盜、篡改和損毀等情況。

3.超過合理且必要期限保留個人信息。目前，很多企業未明確規定個人信息保留期限，默認做法為永久保留，這不符合“合理必要”的原則，而且增加了數據安全風險。

（五）第三方機構的違規風險

企業在經營管理活動中常常引入中介、代辦、服務外包等第三方機構，這些機構可能代表企業收集和使用個人信息，或者在為企業提供服務的過程中接觸個人信息。第三方機構或其人員發生違規行為，可能導致企業承擔不利后果。

（六）違規營銷風險

企業未經個人信息主體同意向其發送營銷信息（即通常所說的“垃圾短信”和“騷擾電話”），或者在其要求停止發送后繼續發送，可能導致企業受到客戶投訴和行政處罰。

企業合規風險應對措施

雖然由于企業經營業態和管理模式的不同，個人信息保護的內容和形式也不盡相同，但是筆者認為，基于個人信息保護合規管理領域對企業的基本要求，建議企業應采取以下管理措施進行應對。

一是明確個人信息保護合規管理目標。個人信息保護是道德義務與法定義務交叉的領域，雖然近年立法、執法和司法解釋有了較大發展，但在理論和實務上都存在很多爭議問題，各企業在實踐中的做法也有較大差異。企業應在總部層面明確個人信息保護的合規立場，并在各相關下屬企業層面，結合經營管理實際明確具體的合規管理目標，如企業應在誠信合規準則等綱領性文件中申明管理層對個人信息保護的態度和原則。

二是明確個人信息保護合規管理職責。個人信息保護適用合規管理“三道防線”的一般原則，即業務部門是合規風險防范的第一道防線。企業在總部層面和各二級企業層面應明確個人信息保護合規牽頭管理部門；如果企業已經設立了合規管理綜合部門，則由該部門負責牽頭管理；如果尚未設立合規管理綜合部門，應由不承擔業務職能的中立部門負責牽頭管理，以避免出現職責沖突。

三是持續關注合規義務的發展變化。我國關于個人信息保護相關法律規范仍在不斷出臺和更新，不同社會輿論也在碰撞，企業應持續關注相關變化，及時調整合規管理目標、風險判斷標準和管理措施，避免成為違規典型，同時也要避免“因噎廢食”阻礙業務發展。

四是在相關下屬企業開展深化合規風險評估。個人信息保護義務的承擔主體不限于企業總部層面，企業總部在明確個人信息保護基本原則和管理模式后，應要求下屬單位結合經營管理實際深化合規風險評估，識別與個人信息保護合規風險存在關聯的業務流程、環節、崗位和人員，提高個人信息保護舉措的針對性和可操作性。

五是落實合規管理措施。適用于個人信息保護的具體合規管理措施包括：1.合規審查。合規審查的對象包括涉及個人信息收集和使用的業務模式、業務流程、管理制度、管理表單、信息化開發項目、App功能等。2.個人信息及隱私協議。除非屬于法定豁免的情況，企業在收集個人信息前，應通過協議方式獲得個人信息主體的同意。如果使用App等信息工具收集個人信息，應符合相關管理規范。3.合規條款。企業在涉及個人信息收集和使用的商業合作、業務外包或信息化開發項目中，通過合同條款的形式，明確交易對方的合規責任和義務。4.合規培訓。對于參與個人信息管理和在日常工作中接觸個人信息的企業員工，強制其參加個人信息保護合規年度培訓。5.管理制度。制定個人信息保護專項管理制度，明確個人信息收集、存儲、使用、分享和銷毀全生命周期的管理原則、管理職責和管理程序。6.保密管理。強化公司內部保密信息分級管理、保密信息接觸和使用權限控制、個人信息檔案資料管理。7.數據安全管理。對于以電子形式存儲在公司信息系統中的個人信息，進行全面的數據資產盤點，識別數據存儲方式、接觸權限、使用權限、數據流向等，評估現有數據安全措施是否滿足公司需要，并對缺陷問題進行改進。8.個人信息意外泄露應急響應預案。制定預案，明確意外事件分級處理方法和響應程序。

當前對大部分企業及員工而言，個人信息保護仍然是一個新的課題和挑戰。面對日趨復雜嚴峻的個人信息保護形勢，企業只有主動作為、積極應對，才能正確履行合規義務，防范個人信息保護合規風險，在確保企業經營行為不觸碰紅線的同時，為客戶提供更為優質的產品和服務。

作者為首開集團法律合規部部長