《個(gè)人信息保護(hù)法》視域下的企業(yè)合規(guī)義務(wù)與建議

邢 洋

(中國社會(huì)科學(xué)院大學(xué),北京 102488)

伴隨著數(shù)字化的浪潮,個(gè)人信息無疑是數(shù)字化時(shí)代企業(yè)最為核心的資產(chǎn)之一。合法合規(guī)處理和使用個(gè)人信息,可以使個(gè)人享受到科技進(jìn)步所帶來的智能和便捷。隨著個(gè)人信息的濫用和無邊界收集等問題的產(chǎn)生,個(gè)人信息保護(hù)愈發(fā)引起全社會(huì)的廣泛關(guān)注。黨的十八大以來,習(xí)近平總書記多次強(qiáng)調(diào),堅(jiān)持網(wǎng)絡(luò)安全為人民、網(wǎng)絡(luò)安全靠人民,切實(shí)保障個(gè)人信息安全,維護(hù)公民在網(wǎng)絡(luò)空間的合法權(quán)益。完善我國個(gè)人信息保護(hù)法律體系是維護(hù)最廣大人民利益的切身需要,這對(duì)作為主要信息使用、處理者之一的企業(yè)如何做到個(gè)人信息保護(hù)合規(guī)提出了更全面、更細(xì)致的要求。以企業(yè)涉嫌違法犯罪為節(jié)點(diǎn),企業(yè)合規(guī)可分為自主事前合規(guī)和強(qiáng)制事后合規(guī)[1],本文擬從企業(yè)的自主事前合規(guī)角度出發(fā),結(jié)合《個(gè)人信息保護(hù)法》的立法背景,探討個(gè)人信息保護(hù)合規(guī)的價(jià)值,以及企業(yè)制定個(gè)人保護(hù)合規(guī)計(jì)劃時(shí)應(yīng)遵循的義務(wù)并提出建議。

一、《個(gè)人信息保護(hù)法》的立法背景

2023年8月28日,中國互聯(lián)網(wǎng)絡(luò)信息中心發(fā)布的第52次《中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》顯示,截至2023年6月,我國網(wǎng)民規(guī)模已達(dá)10.79億,互聯(lián)網(wǎng)普及率高達(dá)76.4%。iiMedia Research(艾媒咨詢)提供的有關(guān)數(shù)據(jù)顯示,41.9%的網(wǎng)民遭遇過網(wǎng)絡(luò)信息泄露,9.7%的網(wǎng)民不清楚信息是否被泄露。在遭遇信息泄露后,多數(shù)網(wǎng)民選擇以后避免錄入隱私信息(41.4%)和設(shè)置信息密碼(36.9%)進(jìn)行風(fēng)險(xiǎn)規(guī)避,選擇報(bào)警的用戶人數(shù)最低,僅為20.1%。2022年3月,第十三屆全國人民代表大會(huì)第五次會(huì)議關(guān)于最高人民法院工作報(bào)告指出,2021年人民法院嚴(yán)懲竊取倒賣身份證、通信錄、快遞單、微信賬號(hào)、患者信息等各類侵犯公民個(gè)人信息犯罪,審結(jié)相關(guān)案件4 098件,同比上升60.2%。

近年來,侵犯公民個(gè)人信息犯罪呈現(xiàn)出的高發(fā)態(tài)勢,以及由此產(chǎn)生的日益嚴(yán)峻的社會(huì)危害,使各界廣泛呼吁盡快制定個(gè)人信息保護(hù)領(lǐng)域的專項(xiàng)法律,《個(gè)人信息保護(hù)法》的起草被提上了立法日程。在經(jīng)歷全國人大常委會(huì)三次審議后,《個(gè)人信息保護(hù)法》于2021年8月通過,于同年11月1日正式實(shí)施。《個(gè)人信息保護(hù)法》是我國首部針對(duì)個(gè)人信息保護(hù)的專門性立法,改變了個(gè)人信息保護(hù)無專門法可依的尷尬局面[2]。

二、企業(yè)建立個(gè)人信息合規(guī)體系的價(jià)值

我國對(duì)個(gè)人信息立法保護(hù)的高度隨著《個(gè)人信息保護(hù)法》的頒布施行得到了進(jìn)一步提升,個(gè)人信息處理者(本文主要分析企業(yè))需要建立符合法律法規(guī)要求的個(gè)人信息合規(guī)體系。雖然《個(gè)人信息保護(hù)法》提出建立個(gè)人信息保護(hù)合規(guī)體系的要求似乎加重了企業(yè)負(fù)擔(dān),但按照要求進(jìn)行合規(guī)操作亦存在諸多價(jià)值。

(一)降低企業(yè)風(fēng)險(xiǎn)并減少損失

企業(yè)在日常經(jīng)營中面臨諸多風(fēng)險(xiǎn),個(gè)人信息保護(hù)違規(guī)風(fēng)險(xiǎn)屬于可控風(fēng)險(xiǎn)范疇,可通過事前防范和加強(qiáng)管理進(jìn)行規(guī)避。2021年7月,網(wǎng)絡(luò)安全審查辦公室對(duì)滴滴公司實(shí)施審查,其主要存在違法收集和過度收集用戶信息等八方面違法情況。7月21日,國家網(wǎng)信辦依據(jù)相關(guān)法律法規(guī),對(duì)滴滴全球股份有限公司處人民幣80.26億元罰款,對(duì)公司相關(guān)主要負(fù)責(zé)人處人民幣100萬元罰款。近年來,國家網(wǎng)信辦已通報(bào)多家違規(guī)處理個(gè)人信息的企業(yè),甚至部分企業(yè)因侵犯個(gè)人信息而遭受刑事處罰[3]。

面對(duì)越來越嚴(yán)格的外部監(jiān)管環(huán)境,企業(yè)可通過建立個(gè)人信息合規(guī)體系搭建事前預(yù)防機(jī)制,規(guī)避因個(gè)人信息及數(shù)據(jù)方面不合規(guī)從而導(dǎo)致的行政調(diào)查、侵權(quán)訴訟、媒體曝光甚至刑事案件等后果,降低企業(yè)經(jīng)營所面臨的風(fēng)險(xiǎn)。

(二)增強(qiáng)品牌價(jià)值和市場競爭力

最初有聲音質(zhì)疑個(gè)人信息保護(hù)合規(guī)到底創(chuàng)造什么價(jià)值,價(jià)值是否等于金錢性的收入。在強(qiáng)調(diào)個(gè)人信息與數(shù)據(jù)隱私保護(hù)的大環(huán)境下,企業(yè)在個(gè)人信息安全和隱私保護(hù)方面的有效努力,不僅會(huì)得到監(jiān)管、合作方的認(rèn)可,更重要的是可以得到消費(fèi)者的最終認(rèn)同。不發(fā)生不合規(guī)事件,且企業(yè)的商業(yè)可持續(xù)發(fā)展能力在增強(qiáng),這些都是個(gè)人信息保護(hù)合規(guī)創(chuàng)造的價(jià)值,對(duì)外展現(xiàn)的是合規(guī)為企業(yè)塑造的品牌。品牌最大的價(jià)值亦不在于用價(jià)格進(jìn)行衡量,而是當(dāng)消費(fèi)者聽到品牌名稱,會(huì)認(rèn)為作為企業(yè)客戶是安全和安心的,這無疑將提升企業(yè)的品牌價(jià)值和市場競爭力。

(三)可主張減輕或免除法律責(zé)任

在司法實(shí)踐中,個(gè)人信息保護(hù)合規(guī)的價(jià)值也體現(xiàn)在可以幫助企業(yè)主張減輕或免除法律責(zé)任,其中較為典型的案例是雀巢公司員工侵犯公民個(gè)人信息案。6名雀巢公司員工為推銷其配方奶粉,通過向蘭州市多家醫(yī)院的醫(yī)務(wù)人員支付好處費(fèi)等手段,獲取包括但不限于孕產(chǎn)婦姓名、手機(jī)號(hào)碼等信息12萬余條,嚴(yán)重侵犯公民個(gè)人隱私。蘭州市城關(guān)區(qū)人民法院一審宣判,以侵犯公民個(gè)人信息罪分別判處雀巢公司6名員工拘役和有期徒刑。6名員工以涉案行為屬于單位犯罪為由進(jìn)行上訴,提出應(yīng)追究雀巢公司的刑事責(zé)任。對(duì)此情形,雀巢公司提供了公司制度、員工行為規(guī)范、所有營養(yǎng)專員接受培訓(xùn)并簽署的承諾函等證據(jù)文件,以證明6名員工在明知公司禁止性規(guī)定的情況下違規(guī)獲取公民個(gè)人信息,并非雀巢公司的單位意志體現(xiàn),系為提升其個(gè)人業(yè)績而實(shí)施犯罪的個(gè)人行為。雀巢公司提供的證據(jù)是為證明公司內(nèi)部已建立完善的個(gè)人信息和數(shù)據(jù)合規(guī)管理體系,已盡到防范員工行為的注意義務(wù)。經(jīng)過審理,蘭州市中級(jí)人民法院依法作出二審終審裁定,對(duì)于被告關(guān)于構(gòu)成單位犯罪的辯護(hù)理由不予支持,維持原判。

該案的指導(dǎo)和啟發(fā)意義在于,蘭州市中級(jí)人民法院對(duì)于雀巢公司在合規(guī)管理上所做的努力給予肯定,這表明企業(yè)建立合規(guī)體系是可以區(qū)分企業(yè)責(zé)任和員工責(zé)任的。因企業(yè)無法掌握每位員工的所有行為和動(dòng)向,越是規(guī)模龐大的企業(yè)越需要建立起個(gè)人信息保護(hù)和數(shù)據(jù)合規(guī)體系,在必要時(shí)可證明自身不存在主觀過錯(cuò),幫助企業(yè)減輕或免除相應(yīng)法律責(zé)任。

三、《個(gè)人信息保護(hù)法》明確的企業(yè)合規(guī)義務(wù)

(一)《個(gè)人信息保護(hù)法》第五十一條規(guī)定的義務(wù)

《個(gè)人信息保護(hù)法》第五十一條集中規(guī)定了個(gè)人信息處理者的主要合規(guī)義務(wù),包括但不限于制定內(nèi)部管理制度和操作規(guī)程;對(duì)個(gè)人信息實(shí)行分類管理;采取相應(yīng)的加密、去標(biāo)識(shí)化等安全技術(shù)措施等。

(二)其他條款規(guī)定的企業(yè)合規(guī)義務(wù)

1.充分告知義務(wù)——“告知—同意”原則

“告知—同意”原則于2013年最早在我國工信部制定的《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》中出現(xiàn),《個(gè)人信息保護(hù)法》構(gòu)建了“告知—同意”原則的規(guī)范框架體系[4]。該法律對(duì)什么是“實(shí)質(zhì)性的告知同意”進(jìn)行了明晰,即“由個(gè)人在充分知情的前提下自愿、明確作出”和告知的具體內(nèi)容,規(guī)定了個(gè)人的撤回同意權(quán)、利用個(gè)人信息進(jìn)行自動(dòng)化決策、搜集個(gè)人信息應(yīng)遵循的原則等。

2.保障信息查閱、復(fù)制、更正等權(quán)益義務(wù)

《個(gè)人信息保護(hù)法》明確了個(gè)人信息處理活動(dòng)中的各項(xiàng)權(quán)利,意味著個(gè)人信息處理者負(fù)有配合個(gè)人權(quán)利行使的義務(wù)。企業(yè)需依據(jù)用戶的需求,靈活和準(zhǔn)確地響應(yīng)數(shù)據(jù)主體訪問、查詢、更正、移轉(zhuǎn)和刪除等要求。

3.數(shù)據(jù)與算法的合規(guī)義務(wù)

(1)《個(gè)人信息保護(hù)法》要求企業(yè)在算法上遵守“明確合理目的”以及“個(gè)人權(quán)益影響最小”兩個(gè)原則,在算法對(duì)用戶權(quán)益造成損害時(shí),向用戶提供便捷的拒絕方式。

(2)數(shù)據(jù)是算法的基礎(chǔ),如果數(shù)據(jù)不夠準(zhǔn)確,則會(huì)導(dǎo)致算法和數(shù)據(jù)分析的結(jié)果產(chǎn)生偏差,《個(gè)人信息保護(hù)法》規(guī)定,處理個(gè)人信息應(yīng)保證個(gè)人信息的質(zhì)量,以防信息不準(zhǔn)確、不完整對(duì)個(gè)人權(quán)益造成損害,這讓保證個(gè)人信息質(zhì)量成為企業(yè)的義務(wù)。

(3)算法推薦是目前多數(shù)平臺(tái)提高服務(wù)效率的標(biāo)配,無論是社交軟件、購物平臺(tái)等都用算法推薦測算出用戶偏好,“精準(zhǔn)”進(jìn)行推薦,這導(dǎo)致了一系列問題的產(chǎn)生,常見的便是大數(shù)據(jù)殺熟。《個(gè)人信息保護(hù)法》規(guī)定,個(gè)人信息處理者利用個(gè)人信息進(jìn)行自動(dòng)化決策,應(yīng)當(dāng)保證決策的透明度和結(jié)果公平、公正。

4.事前風(fēng)險(xiǎn)評(píng)估義務(wù)

比《個(gè)人信息保護(hù)法》早施行兩個(gè)月的《數(shù)據(jù)安全法》僅規(guī)定“重要數(shù)據(jù)”的處理者有義務(wù)對(duì)其定期開展風(fēng)險(xiǎn)評(píng)估,并向有關(guān)主管部門報(bào)送風(fēng)險(xiǎn)評(píng)估報(bào)告,《個(gè)人信息保護(hù)法》明確了包括但不限于自動(dòng)化決策、處理敏感個(gè)人信息等情形下的事前評(píng)估義務(wù)。這將風(fēng)險(xiǎn)評(píng)估變成了企業(yè)的經(jīng)常性工作,企業(yè)應(yīng)研究風(fēng)險(xiǎn)評(píng)估報(bào)告包含的個(gè)人信息種類,收集時(shí)面臨的風(fēng)險(xiǎn)和相應(yīng)措施等。

5.合規(guī)審計(jì)義務(wù)

《個(gè)人信息保護(hù)法》規(guī)定企業(yè)應(yīng)當(dāng)定期對(duì)處理個(gè)人信息遵守法律、行政法規(guī)的情況進(jìn)行合規(guī)審計(jì)。但具體的審計(jì)內(nèi)容和操作標(biāo)準(zhǔn)尚無明確規(guī)定,需結(jié)合《個(gè)人信息保護(hù)法》《數(shù)據(jù)保護(hù)法》《網(wǎng)絡(luò)安全法》等相關(guān)基本法律中的具體規(guī)定,制定合規(guī)審計(jì)的方案。

6.委托外部進(jìn)行個(gè)人信息處理的合規(guī)義務(wù)

《個(gè)人信息保護(hù)法》未禁止對(duì)個(gè)人信息進(jìn)行外部委托處理,但應(yīng)細(xì)致區(qū)分委托處理和共同處理。共同處理應(yīng)取得信息主體的授權(quán),委托處理雖不是必須取得授權(quán),但應(yīng)在委托給受托人之前,做好個(gè)人信息保護(hù)影響評(píng)估和記錄。委托人和受托人應(yīng)簽訂書面委托合同,對(duì)委托內(nèi)容、期限、雙方權(quán)利義務(wù)等進(jìn)行明確規(guī)定,尤其應(yīng)明確受托人在處理個(gè)人信息時(shí)要注意不能超過法律授予的權(quán)限。

四、企業(yè)進(jìn)行個(gè)人信息保護(hù)的合規(guī)建議

在對(duì)數(shù)據(jù)和個(gè)人信息進(jìn)行強(qiáng)監(jiān)管的趨勢下,《個(gè)人信息保護(hù)法》被專家學(xué)者稱為有史以來最嚴(yán)格的數(shù)據(jù)安全保護(hù)法律之一。新增“情節(jié)嚴(yán)重”的處罰標(biāo)準(zhǔn),可沒收企業(yè)違法所得,并處五千萬元以下或者上一年度營業(yè)額百分之五以下罰款。《個(gè)人信息保護(hù)法》采取設(shè)置高額罰款和其他處罰的方式,倒逼企業(yè)重視個(gè)人信息保護(hù)合規(guī)建設(shè)。本文擬結(jié)合以上對(duì)企業(yè)合規(guī)義務(wù)的分析,就企業(yè)進(jìn)行個(gè)人信息保護(hù)提出合規(guī)建議。

(一)制定內(nèi)部管理制度和操作規(guī)程

首先,企業(yè)應(yīng)明晰處理和管理個(gè)人信息的基本情況,以此為基礎(chǔ)制定內(nèi)部制度,包括但不限于個(gè)人信息儲(chǔ)存、傳輸、處理等制度,個(gè)人信息安全保護(hù)制度,信息分級(jí)分類處理制度,風(fēng)險(xiǎn)評(píng)估制度等。其次,企業(yè)個(gè)人信息保護(hù)流程應(yīng)與制度相匹配,建立企業(yè)個(gè)人信息全流程管理,覆蓋信息銜接的各個(gè)環(huán)節(jié),嚴(yán)格規(guī)定全流程的權(quán)限管理。最后,配置個(gè)人信息保護(hù)專職人員。《個(gè)人信息保護(hù)法》雖未明確要求企業(yè)均應(yīng)設(shè)立個(gè)人信息保護(hù)負(fù)責(zé)人,僅要求如果達(dá)到一定處理信息的數(shù)量時(shí)應(yīng)設(shè)立,但從便于企業(yè)進(jìn)行個(gè)人信息保護(hù)統(tǒng)籌管理的角度來講,在必要情況下設(shè)立專門的機(jī)構(gòu)和專職人員,有利于推動(dòng)企業(yè)內(nèi)部各項(xiàng)制度和舉措的實(shí)施。

(二)對(duì)個(gè)人信息分類分級(jí)進(jìn)行管理

《個(gè)人信息保護(hù)法》《網(wǎng)絡(luò)安全法》《數(shù)據(jù)保護(hù)法》三部法律共同要求對(duì)個(gè)人信息要實(shí)行分類分級(jí)管理,針對(duì)企業(yè)合規(guī)的具體建議如下。

1.整理企業(yè)個(gè)人信息庫。企業(yè)應(yīng)對(duì)個(gè)人數(shù)據(jù)信息庫進(jìn)行梳理,包括但不限于企業(yè)目前擁有哪些個(gè)人數(shù)據(jù),個(gè)人數(shù)據(jù)的儲(chǔ)存和承載體在哪里,數(shù)據(jù)的流動(dòng)鏈條是什么,所涉及的部門有哪些,從而建立起個(gè)人信息數(shù)據(jù)合規(guī)的基本框架。

2.保留所需數(shù)據(jù),妥善處理非必要數(shù)據(jù)。根據(jù)《個(gè)人信息保護(hù)法》第六條的規(guī)定,處理個(gè)人信息應(yīng)遵循兩個(gè)原則:一是具有明確、合理的目的;二是采取對(duì)個(gè)人權(quán)益影響最小的方式。企業(yè)應(yīng)按照上述兩個(gè)原則區(qū)分必要信息和非必要信息,要求各部門無需再收集和存儲(chǔ)非必要信息。

3.分類分級(jí)管理個(gè)人數(shù)據(jù)。企業(yè)應(yīng)對(duì)必要信息進(jìn)行分類分級(jí)管理,尤其對(duì)特別信息進(jìn)行重點(diǎn)關(guān)注。第一,嚴(yán)格保護(hù)敏感個(gè)人信息,包括但不限于民族、宗教、金融賬戶、行動(dòng)路線、個(gè)人喜好等,此類信息與人身安全和財(cái)產(chǎn)安全掛鉤,應(yīng)受到法律特別保護(hù),因此企業(yè)亦應(yīng)對(duì)敏感個(gè)人信息實(shí)施嚴(yán)格的保護(hù)措施。二是對(duì)不滿十四周歲的未成年人信息應(yīng)特別管理,不滿十四周歲的未成年人屬于限制民事行為能力人,《個(gè)人信息保護(hù)法》規(guī)定,處理未成年人個(gè)人信息應(yīng)取得其父母或者其他監(jiān)護(hù)人的同意,應(yīng)制定專門的個(gè)人信息處理規(guī)則。

4.采取安全技術(shù)措施處理個(gè)人信息。《個(gè)人信息保護(hù)法》要求企業(yè)采用安全技術(shù)措施來保護(hù)其所處理的個(gè)人信息。這些安全技術(shù)措施包括但不限于個(gè)人信息的去標(biāo)識(shí)化存儲(chǔ)、匿名處理、加密傳輸?shù)?以此保障個(gè)人信息數(shù)據(jù)機(jī)密性;對(duì)敏感個(gè)人信息采取嚴(yán)格的控制訪問措施,設(shè)置內(nèi)部數(shù)據(jù)審批流程,并對(duì)敏感個(gè)人信息的使用進(jìn)行實(shí)時(shí)監(jiān)控及預(yù)警;對(duì)個(gè)人信息處理專職負(fù)責(zé)人設(shè)置信息系統(tǒng)高級(jí)處理權(quán)限等[5]。

5.加強(qiáng)對(duì)從業(yè)人員的管理,進(jìn)行教育和培訓(xùn)。企業(yè)應(yīng)明確設(shè)定涉?zhèn)€人信息不同崗位人員的安全職責(zé)和操作權(quán)限,建立發(fā)生安全事件的處罰機(jī)制;與相關(guān)人員簽署《保密協(xié)議》,并要求即使調(diào)離相關(guān)崗位或者終止勞動(dòng)合同時(shí),仍需履行保密義務(wù);根據(jù)企業(yè)個(gè)人信息分類分級(jí)的結(jié)果,對(duì)大量接觸敏感個(gè)人信息的從業(yè)人員進(jìn)行背景調(diào)查,了解其履歷等。《個(gè)人信息保護(hù)法》明確指出企業(yè)應(yīng)定期對(duì)從業(yè)人員進(jìn)行安全教育和培訓(xùn),個(gè)人信息安全的相關(guān)法律、法規(guī)、國標(biāo)、行標(biāo)和企業(yè)相關(guān)管理制度、操作規(guī)程等,都應(yīng)納入培訓(xùn)的內(nèi)容。

6.制定關(guān)于個(gè)人信息安全事件的應(yīng)急預(yù)案。雖然做好如上合規(guī)工作可以盡量避免個(gè)人信息安全事件帶來的風(fēng)險(xiǎn),但難以確保企業(yè)不會(huì)因產(chǎn)品不斷迭代和層出不窮的新技術(shù)而產(chǎn)生新的安全漏洞,事先制訂個(gè)人信息安全事件預(yù)案并定期演練,可備不時(shí)之需,在遇到網(wǎng)絡(luò)安全事件時(shí),及時(shí)啟動(dòng)應(yīng)急預(yù)案,采取補(bǔ)救措施,是企業(yè)一項(xiàng)重要的合規(guī)義務(wù)。

五、結(jié)語

《個(gè)人信息保護(hù)法》的施行,對(duì)企業(yè)提出了更高的個(gè)人信息保護(hù)要求,做好合規(guī)操作能幫助企業(yè)降低風(fēng)險(xiǎn)并減少損失,增強(qiáng)企業(yè)品牌價(jià)值和市場競爭力,亦能在某些情況下主張減輕或免除企業(yè)法律責(zé)任等。《個(gè)人信息保護(hù)法》對(duì)企業(yè)經(jīng)營者制定了較為細(xì)致全面的企業(yè)合規(guī)義務(wù)要求,企業(yè)應(yīng)建立對(duì)應(yīng)的、與合規(guī)義務(wù)相匹配的內(nèi)部管理制度和操作規(guī)程,對(duì)個(gè)人信息實(shí)行分類分級(jí)管理,采取安全技術(shù)措施處理個(gè)人信息,制定個(gè)人信息安全預(yù)案,重視從業(yè)人員的培訓(xùn)工作等,加強(qiáng)企業(yè)個(gè)人信息保護(hù)合規(guī)管理,建立健全個(gè)人信息保護(hù)合規(guī)體系。