企业的合规管理文章系列 | 第二章:个人信息与数据保护领域
在这篇文章中,我们继续对企业合规的不同类型和方面进行概述。在上一篇文章中,我们讨论了知识产权合规,以及公司应该采取哪些步骤来开始实施。
近期,随着电商购物节11.11的落幕之时,购物狂欢节12.12的脚步又姗姗而来。不知不觉,电商购物早已成为了我们生活中的一部分。正因如此,电商和APP的崛起,运营者倾向于尽可能多地收集与分析用户个人信息,以精准刻画出用户画像,构建低成本、高精准的用户群体数据库,获得可观的商业回报,但如何合法合规地通过平台、APP或其他网络渠道收集个人信息也成为了企业们的心病。
随着互联网技术的高速发展,信息交流空前便捷的同时使得个人信息安全面临威胁,如何合法、合规地处理公民个人信息,并使其效益最大化已成为每个互联网企业的需要攻克的难题。
为了帮助您规避与个人信息和数据保护相关的风险,我们将继续采访来自锦天城的李菁女士,并讨论个人信息和数据保护的重要性,以及在组织内实施整合的步骤。
如松:感谢您的时间李菁女士,通常处理个人信息的主要问题是什么,如果不以正确的方式处理用户的个人信息会有什么后果?
李菁: 企业在通过互联网开展商业活动的过程中,都可能绕不开对客户信息进行收集与管理、进行用户画像、WIFI探针、车牌识别、无线蓝牙主动监测等活动,而该等活动都与个人信息相关的人身权息息相关,如果企业未经同意使用个人信息、个人信息记录错误、个人信息泄露或者不当精准营销,都可能陷入以下不同困境:民事方面,可能涉及合同纠纷、不正当竞争纠纷、人身权类侵权纠纷等;行政处罚方面,涉及违法利用个人信息的行政责任;刑事处罚方面,涉及侵犯公民个人信息罪、侵犯著作权罪、诈骗罪、非法经营罪、拒不履行网络安全管理义务罪。
如松:谢谢您的介绍。请问应如何避免这种情况和降低风险?
李菁:我建议企业可以从以下几个方面着手:
1、加强数据的整体合规性。
企业数据合规可分为内部和外部两部分。
内部合规方面,企业需建立内部合规机制,明确企业运营过程中涉及的个人信息的收集、处理、传输、分享、存储、销毁项下具体岗位及其职责以及相对应的人员,以有效抵抗外部风险。
外部合规方面,企业应根据其收集信息的具体应用场景制定完备的用户协议和隐私政策。内容上,用户协议中需对企业收集信息的使用规则进行说明,明确运营方与用户之间的权责关系。隐私政策中需要对用户个人信息自收集至使用、存储、共享、出境等全流程的内容予以明确,同时还要保障用户查阅、更正、删除等权利的行使。形式上,需保障用户协议及隐私政策独立成文,在用户首次使用/打开产品时,以显著方式(弹窗、内嵌链接等)提示用户阅读,并且设置点击同意、勾选框设置等方式,获得用户对用户协议及隐私政策的授权同意。
2、重视盘点企业数据资产
企业应加强对个人信息与非个人信息的区分,自觉地对行业数据、特殊敏感数据类型分类。例如对个人敏感信息的收集需要用户明示同意,而一般个人信息默示同意便可收集,依此规定设置相关的隐私政策条款和授权按钮。
3、加强数据的隔离与共享机制
企业应注重与其合作伙伴共享数据的问题。若涉及个人信息,应征得同意并向个人信息主体告知共享、转让个人信息的目的、数据接收方的类型以及可能产生的后果,若没有告知,与此相对应的法律后果也较为严重,即应承担因第三方引起的个人信息安全责任。企业若在未能充分了解网络安全和数据合规事宜的情况下即匆忙开展业务、签订协议,极易触碰法律责任的红线。
4、以法律与规范为行事准则,定期组织内部培训会议
近年来,有关个人信息保护方面的法律与法规层出不穷,例如《GB/T 35273-2020信息安全技术 个人信息安全规范》、《网络安全实践指南—移动互联网应用基本业务功能必要信息规范》、《APP违法违规收集使用个人信息行为认定方法》、《信息安全技术 移动互联网应用程序(APP)收集个人信息基本规范(征求意见稿)》等。上述法律法规都意将公民个人信息保护问题纳入法治轨道,因此也成为了企业在个人信息合规方面的指明灯。企业内部可以定期组织上述法律法规的培训会议,从源头掌握和理解信息合规的方式方法,承担企业保护个人信息之职责。
如松:谢谢李菁女士的建议。
在下一部分,我们将有讨论劳动领域和反腐败。如果您有任何问题并想了解更多,请随时联系我们。
English version of the article you can read here