数字经济背景下,企业数据合规具体展现:数据安全+个人信息保护

最新文章

2020 年 4 月,国务院发布了《中共中央国务院关于构建更加完善的要素市场化配置体制机制的意见》发布,将数据作为继土地、劳动力、资本、技术后第五类生产要素。

2020 年 10 月,《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》发布,其中提出加快建设数字经济、数字社会、数字政府,建设数字中国,打造数字经济新优势,明确数据作为核心生产要素的重要性。

大数据、云计算、AI智能、区块链、5G网络等各类新兴数字科技都离不开数据。数据成为了资产和财富,数据积累的越大,价值越大。在数据推动经济发展的同时,数据安全、合规的挑战与之并存,实现数据从获取、分析、使用、传播、到销毁全生命周期的安全合法合规是涉及数据处理的各类企业将要面临的重要问题,也是利用数据获得相应利益的前提。

《国家安全法》首次在法律层面将网络安全提升到了国家安全的角度,随后相继出台了《网络安全法》、《数据安全法》、《个人信息保护法》,将数据安全纳入了国家法规和行业规范中,初步形成了网络空间安全治理的规范架构,数据安全及个人信息保护成为了互联网+运营的核心要求。2022年2月18日《网络安全审查办法》正式施行,该办法是网络及数据安全法的具体配套实施细则,从实务操作的角度对网络安全审查作出了相应规范指引。与此同时,各个行业主管部门也在制定各领域数据安全的标准规范,为企业数据安全工作提供参考标准。

在此大背景下,数据合规服务将成为律师为企业提供法律服务的重要工作之一,无论是互联网、电商、高新技术、生物医疗、金融等新兴行业,还是传统的能源、水利、交通、科技工业、生态农业等行业,均需要数据采集、分析、处理、交换等,均面临数据安全合规需求。综合目前的法律法规架构及具体的规定, 可以看出企业数据合规的两大核心为数据安全和个人信息保护。

一、数据安全

从国际国内的重大数安全事件中可以看出,数据安全的风险主要有数据泄露、数据丢失、数据破坏、数据滥用。关系国家安全、公众利益的数据一旦发生安全事故,将会产生危害国家安全的严重后果。数据安全包括数据收集、处理安全、技术措施和基础设施的安全以及数据权属带来的安全。根据《GB/T37988-2019信息安全技术 数据安全能力成熟度模型》国家标准,数据的生命周期分为采集、传输、存储、处理、交换和销毁六个阶段。从产业生态面临数据安全挑战看,各领域在数据全生命周期的不同阶段面临不同程度安全风险。因此,需要建设数据安全体系。

数据安全体系并非单一产品或平台的构建,而是建设一个覆盖数据全部生命周期和使用场景的数据安全体系,需要从决策到技术,从制度到工具,从组织架构到安全技术通盘考虑。因此,在对国家法律法规、行业规范、企业现况进行详细分析的基础上,结合业务目标来构建数据安全管理的架构,以安全防护技术措施及安全审查、评估为核心。1

(一)获得数据处理资质许可

《数据安全法》第三十四条规定,“法律、行政法规规定提供数据处理相关服务应当取得行政许可的,服务提供者应当依法取得许可。”

根据《电信条例》的规定,国家对电信业务经营按照电信业务分类,实行许可制度。

电信业务经营许可证根据经营的电信业务类型不同,分为基础电信业务经营许可证和增值电信业务经营许可证,根据《电信条例》所附的《电信业务分类目录》,增值电信业务包括:……(三)在线信息库存储和检索;(四)电子数据交换;(五)在线数据处理与交易处理;(六)增值传真;(七)互联网接入服务;(八)互联网信息服务;(九)可视电话会议服务。

企业经营上述数据存储、检索、处理、交易业务,必须事先申请并取得相应业务的经营许可证,具体业务不同,需申请的许可证也不同,根据《2015版最新电信业务分类目录》规定:中小企业常用的增值电信业务经营许可证分为以下类别:

(1) B1类增值电信业务:B11互联网数据中心业务、B12内容分发网络业务 、B13国内互联网虚拟专用网业务、B14互联网接入服务业务;

(2)B2第二类增值电信业务:B21在线数据处理与交易处理业务、B25信息服务业务、B22国内多方通信服务业务、B23存储转发类业务、B24呼叫中心业务。

比如企业开发的APP及小程序,在上线前,需要根据上述目录对应的业务类别,申请并取得增值业务经营许可证。

业务覆盖范围在两个以上省、自治区、直辖市的,须经国务院信息产业主管部门审查批准,取得《跨地区增值电信业务经营许可证》;业务覆盖范围在一个省、自治区、直辖市行政区域内的,须经省、自治区、直辖市电信管理机构审查批准,取得《增值电信业务经营许可证》。

为应对新兴网络信息业务的出现,《电信条例》同时还规定了,如果运用新技术试办《电信业务分类目录》未列出的新型电信业务的,应当向省、自治区、直辖市电信管理机构备案。如果企业经营关联业务不在《分类目录》中,也要履行备案手续。

《电信业务经营许可管理办法》详细规定了许可证办理的流程、条件、办理机构等等,企业可以作为操作指南。

(二)网络及数据分级保护

《网络安全法》第二十一条规定国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。

为了配套《网络安全法》实施,国家市场监督管理总局、中国国家标准化管理委员会联合发布《GB/T 22239-2019信息安全技术 网络安全等级保护基础要求》 ,形成了新的网络安全等级保护基本要求标准,规定了第一级到第五级等级保护对象的安全要求, 每个级别的安全要求均由安全通用要求和安全扩展要求构成,从安全技术、安全管理等方面作了要求。

《数据安全法》第21条规定国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。

关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。

各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。

工业和信息化部发布《工业和信息化领域数据安全管理办法(试行)》(征求意见稿),根据数据遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益等造成的危害程度,工业和信息化领域数据分为一般数据、重要数据和核心数据三级。工业和信息化领域数据处理者可在此基础上细分数据的类别和级别。

一般数据为:对公共利益或者个人、组织合法权益造成较小影响,社会负面影响小;受影响的用户和企业数量较少、生产生活区域范围较小、持续时间较短,对企业经营、行业发展、技术进步和产业生态等影响较小。

重要数据:对政治、国土、军事、经济、文化、社会、科技、电磁、网络、生态、资源、核安全等构成威胁,影响海外利益、生物、太空、极地、深海、人工智能等与国家安全相关的重点领域;对工业和信息化领域发展、生产、运行和经济利益等造成严重影响;造成重大数据安全事件或生产安全事故,对公共利益或者个人、组织合法权益造成严重影响,社会负面影响大;引发的级联效应明显,影响范围涉及多个行业、区域或者行业内多个企业,或者影响持续时间长,对行业发展、技术进步和产业生态等造成严重影响。

核心数据为:对政治、国土、军事、经济、文化、社会、科技、电磁、网络、生态、资源、核安全等构成严重威胁,严重影响海外利益、生物、太空、极地、深海、人工智能等与国家安全相关的重点领域;对工业和信息化领域及其重要骨干企业、关键信息基础设施、重要资源等造成重大影响;对工业生产运营、电信网络(含互联网)运行和服务、无线电业务开展等造成重大损害,导致大范围停工停产、大面积无线电业务中断、大规模网络与服务瘫痪、大量业务处理能力丧失等。

《工业数据分类分级指南(试行)》根据不同类别数据遭篡改、破坏、泄露或非法利用后,可能对工业生产、经济效益等带来的潜在影响分为一级、二级和三级。

2020年9月23日中国人民银行发布了《金融数据安全 数据安全分级指南》(JR/T 0197—2020),也是以数据安全性遭到破坏后可能造成什么样的影响作为安全级别的判断依据,将影响对象和影响程度作为数据分级的考量因素。

可以看出,数据安全分级的考虑因素基本是侵害对象及损害后果,除此之外,其他行业的企业要持续关注主管部门后续制定的数据目录,与企业处理的信息核实对照,确定重要数据及核心数据的类别,进行数据分级之后,根据数据的类别和级别来制定配套安全策略以及安全技术方案,对于重要数据要强化保护。

(三)采取数据安全防护技术

数据安全的一大风险之一就是数据窃取,数据安全关键防护技术是保证数据安全的技术基础,离开了防护技术的支出,数据安全将是空中楼阁。根据《GB/T37988-2019信息安全技术 数据安全能力成熟度模型》国家标准,各数据生命周期阶段,需采取的防护核心技术需满足以下能力要求。

企业应当按照网络安全等级保护制度的要求,按照数据级别,在数据不同处理阶段采取一种或多种技术措施,在设备系统安全、隐私算法、认证和访问控制等方面保证数据设备系统、数据存储、数据传输的安全有效控制,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。

采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月。

(四)积极申报网络安全审查

《数据安全法》第二十四条规定,国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查。《网络安全审查办法》第二条规定,关键信息基础设施运营者采购网络产品和服务,网络平台运营者开展数据处理活动,影响或者可能影响国家安全的,应当按照本办法进行网络安全审查。《网络安全审查办法》从操作执行角度对网络安全审查的具体对象、内容、流程等作了相关规定。

1.安全审查申报主体

(1)关键信息基础设施运营者采购网络产品和服务,影响或者可能影响国家安全的

安全审查的申报主体分为两类,一类为身份主体,即从事某项业务的经营主体,二类为处理信息的数量、范围和影响。

根据《关键信息基础设施安全保护条例》的规定,关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。

关键信息基础设施的认定由各行业主管部门制定认定规则,认定时应当主要考虑下列因素:①网络设施、信息系统等对于本行业、本领域关键核心业务的重要程度;②网络设施、信息系统等一旦遭到破坏、丧失功能或者数据泄露可能带来的危害程度;③对其他行业和领域的关联性影响。

后续需持续关注该部门相继制定的认证规则,需要注意的是,并非采购的全部网络产品时都需要安全审查,是影响或可能影响国家安全时才国家安全审查,考虑到关键信息基础设施关系着国家经济命脉、国计民生或社会公共利益,只要采购的网络产品与数据全生命周期的任一环节相关,均应认定为可能影响国家安全,建议都要报安全审查,以避免遗漏。

(2)掌握超过100万用户个人信息的网络平台运营者赴国外上市

及出于企业扩展及资本运营的需要,很多互联网运营主体赴国外上市,因赴国外上市的企业的控制权在国外,上市后的企业将受到当地政府的监管,并需要满足其相关监管要求,企业在国内收集的大量数据存在被国外政府、机构、控制人掌握的可能,将对我国公民个人信息信息权益保护带来风险,而且通过对个人信息的分解加工衍生相关各行业信息,将对经济安全及社会公共利益带来严重挑战,所以,对于掌握超过100万用户个人信息的网络平台运营者赴国外上市的,需要申报网络安全审查,该条标准以掌握信息的数量为判断标准,只要超过该书面标准的,必须申报安全审查。

(3)网络平台运营者开展数据处理活动,影响或者可能影响国家安全

如门户网站、电商、社交软件、第三方平台等网络运营者往往掌握着大量的个人或企业信息,在该信息的处理过程中,若发生数据安全风险后,可能影响国家安全的,都要进行安全审查,该条属于概括性规定,没有列明具体条件,仅以后果影响或可能影响国家安全作为程度要件。

国家网信办发布《网络数据安全管理条例》(征求意见稿)增加列举了汇聚掌握大量关系国家安全、经济发展、公共利益的数据资源的互联网平台运营者实施合并、重组、分立,影响或者可能影响国家安全的和数据处理者赴香港上市,影响或者可能影响国家安全的两种情形。

2.安全审查的内容

网络安全审查重点评估相关对象或者情形的以下国家安全风险因素:

(1)产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或者破坏的风险;

(2)产品和服务供应中断对关键信息基础设施业务连续性的危害;

(3)产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;

(4)产品和服务提供者遵守中国法律、行政法规、部门规章情况;

(5)核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险;

(6)上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险,以及网络信息安全风险;

(7)其他可能危害关键信息基础设施安全、网络安全和数据安全的因素。

根据《安全审查办法》的要求,关键信息基础设施运营者采购网络产品和服务要先进行风险预判,具体预判指南由行业主管部门制定,在相关主管部门颁布指南前,建议运营主体按照安全审查的风险评估因素进行风险预判,自我检查,自我修正。

3.事前审查为主

安全审查为风险防范的前置措施,《安全审查办法》规定审查申报材料包括拟签订的协议,所以可以看出安全审查通过后,关键信息基础设施运营者才可以采购影响或可能影响国家安全的网络产品和服务,掌握超过100万用户个人信息的网络平台运营者才能够赴国外上市,即使相关采购或投资协议已经签署,建议在协议中约定通过安全审查后,协议才能生效,避免安全审查未通过导致承担违约责任。同时,在网络产品和服务的采购协议中,要明确供应商的配合安全审查义务,包括承诺不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备,无正当理由不中断产品供应或者必要的技术支持服务等。

4.企业自主申报+网信办主动审查

除了企业自主申报外,当网络审查办公室认为需要开展网络安全审查的,可以主动进行审查,此时,企业应当予以积极配合。

(五)进行数据出境安全评估

1.需要数据安全评估的情形

《数据安全法》第三十一条规定,“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。”

《网络安全法》第三十七条规定“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。”

《个人信息保护法》第四十条规定“关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估。”

《数据出境安全评估办法》(征求意见稿)规定了应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估的情形:

(1)关键信息基础设施的运营者收集和产生的个人信息和重要数据;

(2)出境数据中包含重要数据;

(3)处理个人信息达到一百万人的个人信息处理者向境外提供个人信息;

(4)累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息;国家网信部门规定的其他需要申报数据出境安全评估的情形。

《网络数据安全条例》第三十五条规定了 数据处理者因业务等需要,确需向中华人民共和国境外提供数据的,应当具备下列条件之一:

(1)通过国家网信部门组织的数据出境安全评估;

(2)数据处理者和数据接收方均通过国家网信部门认定的专业机构进行的个人信息保护认证;

(3)按照国家网信部门制定的关于标准合同的规定与境外数据接收方订立合同,约定双方权利和义务;

综上,可见,对于相关规定中明确规定需要进行评估的情形以外的需向境外提供数据的,可以仅需要满足数据评估、个人信息保护认证或使用网信部门的标准合同三种条件之一即可。

2.评估内容

《数据出境安全评估办法》征求意见稿列举了数据出境安全评估风险事项,主要有:

(1)数据出境的目的、范围、方式等的合法性、正当性、必要性;

(2)境外接收方所在国家或者地区的数据安全保护政策法规及网络安全环境对出境数据安全的影响;境外接收方的数据保护水平是否达到中华人民共和国法律、行政法规规定和强制性国家标准的要求;

(3)出境数据的数量、范围、种类、敏感程度,出境中和出境后泄露、篡改、丢失、破坏、转移或者被非法获取、非法利用等风险;

(4)数据安全和个人信息权益是否能够得到充分有效保障;

(5)数据处理者与境外接收方订立的合同中是否充分约定了数据安全保护责任义务;

(6)遵守中国法律、行政法规、部门规章情况;

(7)国家网信部门认为需要评估的其他事项。

3.数据出境合同的主要内容

数据处理者与境外接收方签订合同中要充分约定:

(1)数据出境的目的、方式和数据范围,境外接收方处理数据的用途、方式等;

(2)数据在境外保存地点、期限,以及达到保存期限、完成约定目的或者合同终止后出境数据的处理措施;

(3)限制境外接收方将出境数据再转移给其他组织、个人的约束条款;

(4)境外接收方在实际控制权或者经营范围发生实质性变化,或者所在国家、地区法律环境发生变化导致难以保障数据安全时,应当采取的安全措施;

(5)违反数据安全保护义务的违约责任和具有约束力且可执行的争议解决条款;

(6)发生数据泄露等风险时,妥善开展应急处置,并保障个人维护个人信息权益的通畅渠道。

这为从事数据出境的企业合同签订提供了具体的参考条款,企业在签订合同时要尤其注意是否全面包含上述方面的内容。

另外需要注意的是数据安全评估的有效期为二年,期间发生信息处理方式、范围、目的、保存期限等发生变化,尤其是信息处理者与接收方的控制权发生变化的,也需要重新申报评估。

4.数据出境的含义

提示注意的是,《信息安全技术 数据出境安全评估指南(征求意见稿)》对“境内运营”和“数据出境”的具体含义作了界定,以便于实践中更好的识别两种情形,更好的适用数据安全评估制度。

(1)境内运营指网络运营者在中华人民共和国境内开展业务,提供产品或服务的活动。

注①:未在中华人民共和国境内注册的网络运营者,但在中华人民共和国境内开展业务,或向中华人民共和境内提供产品或服务的,属于境内运营。判断网络运营者是否在中华人民共和国境内开展业务,或向中华人民共和境内提供产品或服务的参考因素包括但不限于:使用中文;以人民币作为结算货币;向中国境内配送物流等。

注②:中华人民共和国境内的网络运营者仅向境外机构、组织或个人开展业务、提供商品或服务,且不涉及境内公民个人信息和重要数据的,不视为境内运营。

(2)数据出境指网络运营者通过网络等方式,将其在中华人民共和国境内运营中收集和产生的个人信息和重要数据,通过直接提供或开展业务、提供服务、产品等方式提供给境外的机构、组织或个人的一次性活动或连续性活动。

注1):以下情形属于数据出境:

①向本国境内,但不属于本国司法管辖或未在境内注册的主体提供个人信息和重要数据;

②数据未转移存储至本国以外的地方,但被境外的机构、组织、个人访问查看的(公开信息、网页访问除外);

③网络运营者集团内部数据由境内转移至境外,涉及其在境内运营中收集和产生的个人信息和重要数据的。

注2):非在境内运营中收集和产生的个人信息和重要数据经由本国出境,未经任何变动或加工处理的,不属于数据出境。

注3):非在境内运营中收集和产生的个人信息和重要数据在境内存储、加工处理后出境,不涉及境内运营中收集和产生的个人信息和重要数据的,不属于数据出境。

除此之外,《信息安全技术 数据出境安全评估指南(征求意见稿)》还详细规定了安全自评估、评估部门开展评估的详细流程,为企业数据安全评估提供了可操作的具体指引,在企业数据合规管理工作指引了方向,同时也注意到了数据安全评估与安全审查的对象和范围存在重叠,相关管理规定之间也存在交叉,在实务处理中要注意处理好相互之间的关系,全方位做好数据安全管理。

(六)加强数据处理时对个人信息的保护

《民法典》将个人信息纳入人格权编予以了保护,《个人信息保护法》则具体的按照数据处理的全生命周期流程分别规定了对个人信息的保护,企业从事数据处理活动中要尤其注意对个人信息保护,合法合规使用个人信息。

1.企业对数据享有竞争性权益

基于信息的共享性、流通性,对于信息的确权一直是理论界及实务界探讨且尚未有定论的问题,国际上如欧盟、美国等国家也没有从法律层面明确规定信息的所有权问题,虽然如此,暂且不论所有权问题,不可否认的是,个人对其原始数据自然享有人身和财产权利,因个人信息尤其是生物信息具有排他性,是独一无二的,来源于每个自然人,所以个人对其个人信息拥有完全充分的处分权、决定权。基于个人的授权,企业或其他组织可以收集、存储、分析、加工等,经过处理后衍生的数据信息已经不同于个人的单条信息的简单叠加,衍生信息是基于企业或其他组织运用技术手段进行的分析、加工,企业或其他组织对衍生就享有了竞争性权益。2

司法案例(例如(2017)京0108民初24512号、(2018)浙01民终7312号案件)中,法院通常也会避开关于数据财产归属问题,而基于企业投入了人力、物力等成本,依赖于企业创新的技术或方法,所以认定企业对衍生数据享有财产性权益,在法律适用方面,法院会先在知识产权法律体系下寻找请求权基础,如果无法纳入知识产权保护权利体系下,再从反不正当竞争角度给与救济,目前司法实践和理论界主流均采纳了企业享有的数据竞争权益,这也是从维护正当竞争的角度,对数据处理企业的保护。当然,企业享有数据竞争权益的前提是数据的处理合法获得了原始信息权利人的授权,且在授权范围内处理数据。

对于企业利用爬虫技术获取其他网络运营者公开的数据的行为合法与否,就国内司法实践而言,早在(2016)京73民终588号案中,北京知识产权法院就多主体之间数据权益关系进行了详细的探讨。针对平台上用户公开发布的信息,其他企业是否有权利用技术手段抓取问题,北京知识产权法院提出了“用户授权”+“平台授权”+“用户授权”的三重授权原则。根据这一原则,对于企业平台上的用户数据,即便该数据是由用户公开发布的,其他企业通过该平台抓取数据不仅应获得用户授权,还应获得平台方授权。

国际上大家广为知晓的美国hiQ Labs Inc. v. LinkedIn Corp.,938 F.3d 985(9th Cir. 2019) 案,在该案中法院认为美国联邦《计算机欺诈和滥用法》禁止未经授权访问的仅为未公开信息,从促进网络信息的流通出发,对于公开信息,当允许第三方的访问获取。该案已由最高法院发回重审。

2.数据处理中对个人信息保护的具体操作

(1)事先同意原则

《数据安全法》、《个人信息保护法》规定了处理个人信息以个人事先同意为主,无需事先同意为例外的原则,经营者在收集个人信息是需要实现经过个人的同意,《个人信息保护法》规定的例外情形为:(一)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;(二)为履行法定职责或者法定义务所必需;(三)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;(四)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;(五)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息。

《GB/T XXX 个人信息告知同意指南》(征求意见稿)规定了在收集使用、使用目的变更、对外提供、信息出境、处理个人敏感信息、信息处理规则发生变动、转委托等都需要履行告知同意程序,同时规定了各个处理事项项下可免于告知同意的情形。

需要注意的是,网络经营者一般通过与用户签订服务协议的方式履行告知义务,但是该服务协议作为经营者单方事先拟定统一适用的交易文件很可能会被认定为格式合同,相关告知和免责条款若被认定为格式条款或者经营者未采取显著方式予以特别提醒说明的,相应告知条款将会被司法机关认定为无效,经营者将承担不利后果,所以,在服务协议中要以才醒目显著的方式向用户作出提示,避免格式条款的风险。

经营者征得同意时,需优先采用明示同意的方式,确保个人信息主体在理解收集目的和相关处理规则的基础上自主给出的、具体的、清晰明确的意愿表示,且尽量避免采取授权同意的机制,以致个人信息主体忽略对个人信息处理规则的关注。经营者应当设立便捷的机制使个人信息主体能够变更其授权同意。

(2)满足合理、正当、必要要求

《个人信息保护法》第六条规定,处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。

即使豁免个人事先同意的情形下,也要满足个人信息使用的合理必要原则,在必要情形下收集。很多用人单位采取刷脸的考勤打卡系统,若不涉及企业数据安全、商业秘密保护等需要,则违反了必要性的要求,涉嫌过度收集个人信息。

(3)违法违规收集使用个人信息的行为认定

国家互联网信息办公室、工业和信息化部、公安部、市场监管总局联合制定了《App违法违规收集使用个人信息行为认定方法》,对未公开收集规则、未明示使用目的范围方式、未经用户同意、违反必要原则的认定情形作了详细规定,经营者需认真按照相关规定、自我检查、自我修正。

(4)执行个人信息国家相关标准

表1

随着个人信息保护的强化监管,网信办等相关部门会陆续出台相应的标准要求,企业要积极跟进最新标准,对照执行,积极响应国家监管要求。

需要注意,个人信息保护的每个环节均有相应的规范、指引和实务处理倾向,律师在为企业提供法律服务时需要穷尽检索,综合分析后,为企业提供针对性的法律意见。

(七)建立数据安全风险应急应对机制

(1)设立数据安全、合规岗位

《数据安全管理条例》(征求意见稿)中对于重要数据的管理要求设立数据安全管理机构及管理人员,设定关键岗位职责,对相应岗位人员进行安全背景审查,定期开展数据安全、合规培训,提高风险防范意识,在信息泄露、被窃取、侵害个人权益等风险出现时,可以第一时间发现,并迅速启动应急机制。

(2)定期开展风险检测

关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。制定数据安全应急预案

(3)制定数据安全应急机制

数据安全应急预案是企业数据安全的重要内容之一,所有的风险防范中都需要风险应急应对环节,《网络安全法》、《数据安全法》等规定均要求企业要设立数据应急预案,出现数据安全事故后,需要立即启动应急预案,快速数据泄露的范围、影响、风险等级等等,并决定履行后续的告知、报告程序。

企业应定期开展应急预案演练,检验预案的可行性及周全性,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险。

数据安全强监管时代,在数据安全及个人信息保护方面,除了国家法律层面的规定外,各部门、各地区及各行业均出台了相应部门规定、地方法规及行业标准等规范文件,各规范之间存在交叉和重叠,数据安全及个人信息保护方面的具体规定也散见于各个规范中,在为企业提供数据合规管理服务时要理清各规范之间的关系,确立效力层级,区分强制性规定和倡导性规定,穿透法律条文,结合国家政策,领会法律规定的本质要求及具体适用。后续,相关行业领域的细则、标准会陆续出台,企业及法律顾问要密切关注本行业的最新要求,积极响应文件规定,逐条对照,自查整改,以积极姿态拥抱数据安全合规。