日前,国家互联网信息办公室依据《网络安全法》、《数据安全法》、《个人信息保护法》等法律规定对滴滴全球股份有限公司开出80.26亿元的“天价罚单”,可以说是现行数据安全法律框架内的顶格处罚。实际上,早在2021年7月,国家互联网信息办公室发布《关于下架“滴滴出行”App的通报》,具体内容为“‘滴滴出行’App存在严重违法违规收集使用个人信息问题。国家互联网信息办公室依据《网络安全法》相关规定,通知应用商店下架‘滴滴出行’App。”
时隔一年,大数据企业的数据合规问题再次进入公众视野,随着社会数字化水平的提升,企业处理个人信息过程中可能引发的风险也更加多样化。目前,我国与数据有关的立法包括《个人信息保护法》《数据安全法》《国家安全法》《网络安全法》等,以国家安全为核心的个人信息和数据保护的法律规范体系已初步构筑。
一、数字经济时代的“新石油”——数据
目前,数据已与土地、劳动力、资本、技术成为国家战略层面的五大重要生产要素之一,在《数字经济蓝皮书·基础篇·2019》中对“数据”作出了定义,“数据是数字的一种重要的表现,数字才是基础。数据往往是配合量纲等辅助参数,才能表征具体的含义和特征。它仅仅能够代表一批静态的数字所表达的数量概念。而且数据往往是成批出现的,在一批数据中,往往有一些是无效数据,要被处理过才能使用。数据的内容复杂多变,但数据的属性比较单一,远远没有像数字那样包含丰富的内涵。数据在保持原始性的前提下,数据可重复使用。”但是,从今年年初至今,“超星学习通”数据信息被盗,北京健康宝、西北工业大学遭受网络攻击等数据安全事件频发,让人们意识到,在市场经济中,掌握海量数据的企业遭受数据泄露不仅可能侵犯个人法益,还可能侵犯超个人法益。
数据安全是国家安全网络体系的重要组成部分。根据《国家安全法》第二十五条规定,国家建设网络与信息安全保障体系,提升网络与信息安全保护能力,加强网络和信息技术的创新研究和开发应用,实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控;加强网络管理,防范、制止和依法惩治网络攻击、网络入侵、网络窃密、散布违法有害信息等网络违法犯罪行为,维护国家网络空间主权、安全和发展利益。数据本身是以电子或其他方式对信息的记载,一个国家的地理、人口、交通道路、矿产资源位置、公民信息等都属于数据的范畴,维护国家数据主权的能力越来越成为衡量国家竞争力的重要标准。
数据合规关系到企业健康发展与公民人身财产权益。目前,随着信息网络的发达与繁荣,相当一部分大数据公司涌现,但是,不少公司违法违规采集市场主体的数据,滴滴公司此次被处罚,主要就是违法收集用户手机相册截图、剪切板信息、过度收集人脸识别信息、职业信息、亲情关系信息等。早在2019年1月,中央网信办、工业和信息化部、公安部、市场监管总局四部门在全国范围联合组织开展App违法违规收集使用个人信息专项治理行动,对大量App无隐私政策、强制索权等问题进行整治。生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息都属于《个人信息保护法》第28条规定的个人敏感信息,一旦这些用户数据被随意收集、违法获取、非法买卖泄露,极容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害。
二、企业数据合规应关注的要点
(一)对个人信息的合理使用
所谓个人信息,是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,包括姓名、身份证号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。
个人信息遭泄露、买卖、滥用的情况并不鲜见,诸多信息泄露事件如微博5.3亿用户信息包括手机号、昵称、所在地等在暗网出售;快递行业倒卖用户信息形成产业链;8万条婴儿信息被广西某医护人员倒买等事件都曾引起轩然大波。不少人都有类似经历:在注册某网站会员、去某售楼部、4S店留下个人信息后,就会有各式各样的推销甚至诈骗电话狂轰滥炸,对方可以精准的说出你的姓名、职业、住址等信息。显然,当个人数据公之于众,那么个体的财产、生命安全也就无从保障。
个人信息合理使用,包括几个层面:(1)信息收集合法,即符合《网络安全法》《数据安全法》《个人信息保护法》的规定,不得采取违法手段收集数据、信息、过度收集个人信息和敏感信息,还应当尽告知义务;(2)在信息的存储阶段,不同的数据级别对应不同的储存策略,包括存储内容、存储方式、存储频率、存储介质、存储期限等。存储的目的是为了业务的需要,因此数据的存储是非静态的,对数据存储需要进行定期演练;(3)信息安全,不能公开、散布个人信息,为信息提供安全的“容器”;同时,在收集阶段、注销阶段,需要告知个人。
企业在经营管理过程中,凡涉及到用户个人数据的获取和处理,都需要对信息流的全生命周期进行通盘梳理和分析,使数据在整个过程中合法合规,同时也应在防止数据泄露和篡改等方面提供成熟的技术解决方案。
(二)数据的应急管理
数据的泄露对企业的打击是毁灭性的,一旦因操作不慎或遭受外部攻击发生了数据篡改、数据异常、数据损坏等突发情况,建立一套严密的数据应急管理机制是十分必要的。
首先,成立专门的数据应急管理小组,明确各部门职责。在事件发生后,企业内部应是多部门联动,应急管理小组应牵头做好协调和统筹工作,采取初步应对措施,协助技术人员整理记录相关数据、证据,通知、协调和安抚数据主体,必要时法务人员可提前介入进行法律风险评估。其次,开展定期预警演练。事前的预防是从根源上减少事件发生的关键,在制定应急预案后,务必需要定期演练以检验预案的可行性和有效性。在进行演练时,要求各相关部门参与,按预案落实数据应急全流程。在演练结束后,需要进行深度有效的复盘,对资源的协调表现,参与部门的应变能力,参与人员的处理速度和措施的有效性进行评估和针对性改进。需要注意的是,应急预案应根据法律法规、监管政策和社会环境的变化而作出相应的调整。
三 、企业如何进行有效的数据合规
(一)梳理相关法律法规和监管标准,整体把握企业在处理个人信息过程中面临的风险
企业掌握的数据泄露往往会给企业乃至社会、国家造成较大的负面影响,对企业的经营和发展造成经济和声誉的双重打击。因此,国家逐步重视数据合规领域的立法和监管,引导企业依法合规经营,有效降低数据泄露、被盗的风险。在国内法方面,依据《网络安全法》第64条、《个人信息保护法》第66条至第68条、《数据安全法》第44条至第50条、《数据安全条例》第61条、第64条至第69条等有关规定,《刑法》第253条之一侵犯公民个人信息罪所创设的禁止性规范,如果企业违法违规处理个人信息,企业及相关责任人可能面临的处罚包括约谈、警告、罚款、计入信用档案、处分、限制或剥夺经营资格、从业禁止、没收违法所得、行政拘留,甚至刑事处罚。在外国法方面,欧盟的《通用数据保护条例》(General Data Protection Regulation,GDPR)第83条规定了高额的行政罚款,各国和地区的法律同样也对违法处理个人信息行为规定了行政甚至刑事处罚。因此,企业在开展业务的同时,个人信息保护合规都是企业运营的常态化要求,也是企业上市审查的重要内容。企业经营管理人员梳理数据合规的规范性要求,明确对数据收集、存储、使用、加工、传输、提供、公开、删除等每一个环节的权限,严格遵守法律、法规、规章对企业数据利用的规制范围。
(二)强化企业员工的数据合规培训,形成“全员参与”模式
企业应从管理层到执行层自上而下的制定全方位全覆盖的培训计划,定期为全体员工开展企业数据合规培训和指导,以便员工实时了解、动态掌握国家数据法律法规和政策变化。同时,要重点加强对数据处理活动享有决策性影响的员工开展提升实务操作能力的培训,确保企业数据安全管理系统操作人员明确数据采集、存储、处理、传输、出境全流程的操作标准和注意事项。此外,企业对于经营中的数据处理行为需要进行定期或不定期自我检视,在新的法律法规和政策推出的时候,第一时间进行评估,不断调整企业现有的合规管理制度,提升风险识别能力。
结语
大数据时代开启,也意味着强监管时代将至,掌握大量重要数据的企业必将面临前所未有的风险,企业搭建一套与自身业务性质和经营模式相适应的合规体系势在必行,企业可以借助专业机构和人员,在现行法律法规和政策框架内,分析和梳理企业在经营和管理过程中的数据变化,提供整改方案并推动方案落地,从而建立有针对性的数据安全识别风险机制和应对策略,为企业发展保驾护航。
来源:河北金龙律师事务所 作者:宋文丽