个人信息保护法合规要点——企业收集处理个人信息的边界
在数字经济时代,个人信息已经成为企业经营活动中最广泛接触和处理的数据类型之一。从客户注册时填写的姓名和手机号码,到员工入职时提交的身份证信息,再到网站和应用程序自动收集的用户行为数据,个人信息的收集和处理几乎贯穿企业运营的每一个环节。个人信息保护法的正式实施,为个人信息的收集、存储、使用、加工、传输、提供、公开和删除等活动确立了全面的法律规范,企业必须重新审视和调整自己的个人信息处理活动,确保在合法合规的框架内开展业务。
个人信息保护法确立的个人信息处理核心原则包括合法正当必要诚信原则、目的明确原则、最小必要原则、公开透明原则、准确性原则和安全保障原则。其中,最小必要原则是企业最需要理解和落实的原则,它要求个人信息的收集和保存范围应当限于实现处理目的的最小范围,不得过度收集个人信息。这一原则直接约束了许多企业长期以来养成的过度收集用户信息的习惯。例如,一个仅提供信息查询功能的应用程序,就没有必要收集用户的地理位置信息和通讯录信息。企业在设计产品和服务时,应当首先思考为了完成当前业务功能,真正需要哪些个人信息。
个人信息处理者的告知义务是法律规定的核心义务之一。企业在收集个人信息前,应当以显著方式、清晰易懂的语言向个人告知以下事项:个人信息处理者的名称或者姓名和联系方式,个人信息的处理目的、处理方式、处理的个人信息种类和保存期限,个人行使法定权利的方式和程序,以及向境外提供个人信息的相关情况。告知的形式应当能够被用户方便地查阅和理解,不能将告知内容隐藏在冗长的用户协议或隐私政策中。同意是个人信息处理的合法性基础之一,但并非唯一的合法性基础。法律规定的其他合法性基础包括为订立履行合同所必需、为履行法定职责或法定义务所必需、为应对突发公共卫生事件所必需、为公共利益实施新闻报道或舆论监督等行为所必需,以及法律行政法规规定的其他情形。企业在确定个人信息处理的合法性基础时,应当根据实际情况选择最合适的依据。通常情况下,基于用户同意的处理应当确保同意是在知情的前提下自愿作出的,对于不满十四周岁未成年人的个人信息处理,应当取得其父母或监护人的同意。敏感个人信息的处理需要遵循更严格的规定。敏感个人信息包括生物识别信息、宗教信仰信息、特定身份信息、医疗健康信息、金融账户信息和不满十四周岁未成年人的个人信息等。处理敏感个人信息需要满足以下条件:具有特定的目的和充分的必要性,采取严格保护措施,取得个人的单独同意,向个人告知处理敏感个人信息的必要性和对个人权益的影响。企业在处理敏感个人信息时应当格外谨慎,因为在敏感个人信息处理上的违规行为将面临更严厉的法律处罚。
个人信息保护影响评估是法律要求企业在特定情况下开展的风险评估活动。企业在以下几种情况下应当事先进行个人信息保护影响评估:处理敏感个人信息,利用个人信息进行自动化决策,委托处理个人信息、向其他个人信息处理者提供个人信息或公开个人信息,向境外提供个人信息,以及其他对个人权益有重大影响的个人信息处理活动。评估的内容包括个人信息的处理目的和处理方式是否合法正当必要,对个人权益的影响程度和安全风险,以及所采取的安全保护措施是否合法有效并与风险程度相适应。评估报告和处理情况记录应当至少保存三年。个人信息跨境提供的规则是企业国际化经营必须面对的法律问题。个人信息保护法规定,个人信息处理者因业务需要确需向境外提供个人信息的,应当满足以下条件之一:通过国家网信部门组织的安全评估,经专业机构进行个人信息保护认证,按照标准合同与境外接收方订立合同,或者符合国家网信部门规定的其他条件。对于关键信息基础设施运营者和处理达到一定数量规模个人信息的信息处理者,向境外提供个人信息原则上应当通过安全评估。向境外提供个人信息的,还应当向个人告知境外接收方的名称和联系方式、处理目的和处理方式、个人信息的种类以及个人向境外接收方行使法定权利的方式和程序。
企业在日常运营中常见的个人信息处理场景包括客户数据管理场景,涉及客户注册信息的收集、客户服务记录的保存和客户行为数据的分析等。员工数据管理场景,涉及员工身份信息的收集、考勤数据的处理和绩效考核数据的保存等。营销推广场景,涉及通过电子邮件、短信和社交媒体渠道向客户推送营销信息和开展精准广告投放等。数据分析场景,涉及对用户行为数据进行统计分析以改进产品和服务质量等。每个场景都需要按照法律规定确定合法性基础,履行告知义务并采取相应的安全保护措施。在客户数据管理场景中,企业应当明确告知客户收集哪些个人信息、用于什么目的、保存多长时间,并取得客户的同意。在员工数据管理中,企业收集员工个人信息的范围应当限于人力资源管理所必需的信息,超出范围的处理需要取得员工的单独同意。在营销推广场景中,企业向客户发送商业性信息应当经过客户同意,并同时提供便捷的退订方式。在数据分析场景中,企业应当尽可能使用匿名化或脱敏处理后的数据进行分析,分析结果不应指向特定个人。
个人信息保护法实施后,企业的合规建设可以从以下几个方面着手。第一是开展个人信息盘点,全面梳理企业收集和处理的个人信息种类、来源、使用目的、存储位置和共享情况。第二是制定个人信息保护制度,参照法律规定和行业最佳实践制定企业个人信息保护管理办法和操作规程。第三是任命个人信息保护负责人,对于处理个人信息达到一定规模的企业,法律要求指定个人信息保护负责人,负责监督企业的个人信息保护工作。第四是建立个人信息主体权利响应机制,确保个人能够依法行使查询权、更正权、删除权、撤回同意权和可携带权等权利。第五是定期开展合规审计,企业应当定期对个人信息处理活动进行合规审计,审计结果作为改进个人信息保护工作的依据。第六是开展员工培训,让每一位与个人信息处理相关的员工都了解法律规定和企业要求,避免因无知导致违规。违反个人信息保护法的处罚力度是相当严厉的。一般违法行为的处罚包括警告、没收违法所得、罚款和责令暂停相关业务。情节严重的,罚款金额最高可达五千万元或者上一年度营业额的百分之五,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或营业执照。对直接负责的主管人员和其他直接责任人员处以十万元以上一百万元以下罚款,并可以禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。
常见问题解答。问:企业收集客户个人信息是否需要每次都单独弹窗提醒?答:首次收集时需要清晰告知收集的范围和目的,后续在原有目的范围内处理时不需要重复弹窗,但处理目的变更时需要重新告知并取得同意。问:企业员工的个人信息是否受个人信息保护法的保护?答:受保护。员工在工作场景中的个人信息和企业日常运营场景中的个人信息一样受到法律的保护,企业在收集和处理员工信息时同样需要遵循法律规定。问:企业委托第三方处理个人信息,第三方违规处理的责任由谁承担?答:企业与第三方承担连带责任,企业在委托第三方处理个人信息时应当对第三方的安全保护能力进行审查并在委托合同中明确约定双方的安全保护义务。问:小企业是否需要配备个人信息保护负责人?答:法律没有对所有企业强制要求配备个人信息保护负责人,处理个人信息达到一定规模的企业需要配备,小企业可以由企业负责人或法务人员兼任。
北京企密安信息安全技术有限公司 010-63711822 / jess@baomiwang.com
