企业收集数据最终是为了使用,大数据的本质就是对大体量的数据进行加工、分析, 进而产生商业价值。对大数据侵犯个人隐私的担忧针对的正是数据加工和使用环节。因此,数据使用和流转过程中的合规才是数据合规体系的核心和灵魂。
数据使用从主体层面看,分为企业自用和流通给第三方使用两种。整体来看,企业自用的合规风险相对较低,而数据流通环节则存在民事、商事甚至刑事风险,在建立合规制度和具体交易过程中要重点加以防范。
一、企业自身应加强内控制度的体系化建设
从现行法律规定和司法实践看,我国立法和司法层面均承认企业对于自己实际掌控的数据具有一定的财产性权益。因此,在使用合规方面,企业的风险防控重点在于确保信息安全、防止数据泄露和禁止侵犯隐私行为等方面。
具体来讲,企业采集的用户个人信息需要进行加密,并且将去标识化后的数据与可用于回复识别个人信息的数据分开存储。对于个人生物识别信息,企业则只有在进行了适当的技术处理后才能储存。
此前发生的很多公民个人信息泄露案,问题源头都是企业“内鬼”。因此,企业应当重视内控内审制度的设计和落地。在底层逻辑上,企业应当秉承最小化原则,即将被允许访问个人信息的内部数据操作人员的数量控制在最小范围内,并使其只能访问职责所需的最小范围内的个人信息,例如通过设置多层级审批降低请求次数。理论上,数据的安全管理人员、操作人员、审计人员应分别设置,使其形成有效的制衡,防止内部泄密情况的发生。
实际上,企业实际控制的与自然人有关的数据并不全都属于个人信息。出于提升商业价值和工作效率的考虑,企业应当比照《个人信息安全规范》附录的有关内容对既有数据进行分级分类,对于已经去标识化的数据可以采用层级较低的审批方式;而对属于个人信息甚至个人敏感信息的数据,在使用过程中则应当设立严格的审批制度,并尽可能的采用去标识化的方式进行展示,在技术上采取防止批量复制的措施。更为重要的是,企业应当确保数据的使用方式和使用范围与用户授权的方式和范围保持一致。
为了确保上述措施能够有效落实,我国《网络安全法》等法律法规明确要求企业建立一整套专门负责数据安全与隐私合规的管理体系。这一体系包括负责个人信息保护的专门负责人、专门机构及专门人员。该体系应深度参与企业对个人信息相关数据的管理和使用,制定、签发、实施、更新隐私政策,建立、维护和更新数据分级分类清单,开展个人信息安全影响评估,组织个人信息安全培训,在产品或服务上线发布前进行检测,定期进行内部审计。
二、尽力履行法定的积极义务
企业独自使用自己采集的数据并不能称之为大数据产业,数据价值的最大化依赖于数据的高效流动和精准应用。因此,在大数据时代,数据流通和数据交易必不可少。但我国《网络安全法》第四十二条规定,网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外;《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第三条第二款规定未经被收集者同意,将合法收集的公民个人信息向他人提供的,属于刑法第二百五十三条之一规定的“提供公民个人信息” ,但是经过处理无法识别特定个人且不能复原的除外。《个人信息安全规范》8.2也明确规定“个人信息原则上不得共享、转让”。
单纯从法律条文来看,对数据进行匿名化处理或取得用户合法有效的同意是规避数据交易法律风险的途径。但问题在于,如果数据在流通过程中发生泄露事件甚至导致违法犯罪,个人信息流通的关联方同样难辞其咎。我国网络安全法第21条规定了互联网企业在维护数据安全等方面的积极义务,刑法修正案九在原第287条后增加了之一、之二两条,将网络犯罪的帮助行为正犯化。因此,只做到匿名化和合法授权只能确保数据流通行为没有显著违反国家法律法规,却无法完全避免刑事法律责任。
企业在数据交易过程中不仅要确保自身依法依规,还要做好交易对手的尽职调查和风控工作,并根据匿名化数据的再识别风险等级有选择地进行交易。如果匿名化数据的再识别风险较低,将其向大范围受众披露也基本不会导致数据主体被再识别。反之,如果匿名化数据的再识别风险较高,此时只能向特定机构披露,获得这种再识别风险较高的匿名化数据的受众越少,数据主体被再识别的概率也就越小。上述披露的合法性基础在于数据利用的价值,因为再识别风险越高,往往也意味着该数据的可利用价值越大。但由于再识别风险较高,进行此种数据交易的当事企业应当遵守额外的义务来确保数据主体不被再识别。在再识别风险较高的数据交易过程中,数据提供者和交易平台应当以合同约定等多种形式确保数据接收者做到以下4点:一是仅将数据用于合同约定的目的,二是确保数据安全,三是禁止数据再披露、再流转,四是禁止开展任何再识别操作。在商业上可接受的前提下,数据出售方还可以通过为数据接收方制定安全规范标准、提供安全技能培训等多种形式强化积极义务的履行,规避法律风险。
三、建立完善的事后应急处置机制
通过对内建立完善的管理体系和对外开展全面的合规调查,企业能够最大限度的降低自身的数据合规风险。但是世界上没有绝对的安全,由于灰黑产业的诱惑过于巨大,从业人员众多且技术发展迅速,任何企业和组织都无法保证永远不发生个人信息安全事件。而一旦发生安全事件,企业首先要确保自己有完善的应急预案和应对处理机制,防止事态进一步扩大。
制定应急预案不仅仅是为了确保公司各有关部门能够快速响应信息泄露事件,也是《个人信息安全规范》的明确要求。在发生安全事件后,企业需要在第一时间对泄露事件进行记录并采取措施防止事态扩大,全面评估相关影响,还需要按照《国家网络安全事件应急预案》的规定及时上报,上报的内容需要包括设计个人信息主体的类型、数量、内容、性质等总体情况,事件初步评估结果,已采取或将要采取的处置措施,事件处置相关人员的联系方式等。
在完成上述工作的同时,企业还需要向可能受到安全事件影响的个人信息主体进行告知,如果难以逐一告知,则应当采取合理、有效的方式发布与公众有关的警示信息。告知的内容包括但不限于安全事件的内容及可能的影响,已采取或将要采取的处置措施,个人可能需要采取的防范措施和补救措施,事件处置相关人员或机构的联系方式等。
除了对事件发生后进行补救,相关法律法规还要求企业在日常经营管理过程中建立高效的个人信息保护投诉渠道。《网络安全法》第四十九条规定,网络运营者应当建立网络信息安全投诉、举报机制,公布投诉、举报方式等信息,及时受理并处理有关网络信息安全的投诉和举报。
在线客服
微信
