中銀文化
客戶至上、專業(yè)合作、勤勉盡責(zé)、優(yōu)質(zhì)高效
中銀解讀|《個(gè)人信息保護(hù)法》之企業(yè)合規(guī)治理建議(下)
時(shí)間:2023.03.02 作者:北京中銀(深圳)律師事務(wù)所 潘良、楊繼奇
分享到:
本文承接上期文章 《個(gè)人信息保護(hù)法》之企業(yè)合規(guī)治理建議(上)
二、《個(gè)人信息保護(hù)法》第五十一條以外的其他合規(guī)義務(wù)除了第五十一條規(guī)定,《個(gè)人信息保護(hù)法》還在其他條文中規(guī)定了企業(yè)的合規(guī)義務(wù),主要包括:
(一)收集、處理個(gè)人信息的充分告知義務(wù) 《個(gè)人信息保護(hù)法》第十七條、第十八條以及第三十條等規(guī)定,強(qiáng)調(diào)收集和處理個(gè)人信息的“知情同意”原則。企業(yè)在需要收集個(gè)人信息前,應(yīng)制定明確的個(gè)人信息保護(hù)政策(或稱“隱私政策”),向用戶提供企業(yè)基本信息、個(gè)人信息收集目的、應(yīng)用范圍和場(chǎng)景等,履行誠(chéng)實(shí)、充分的告知義務(wù)。此外,對(duì)于隱私政策,必須公開(kāi)并重點(diǎn)提示給目標(biāo)受眾,當(dāng)用戶在第一次注冊(cè)或運(yùn)行產(chǎn)品時(shí),須閱讀并確認(rèn)同意相關(guān)隱私政策。在隱私政策中征得用戶同意,是充分保障用戶的知情權(quán)的體現(xiàn)。
(二)信息主體權(quán)益保障義務(wù) 《個(gè)人信息保護(hù)法》中規(guī)定了用戶享有知情權(quán)、決定權(quán)、拒絕權(quán)、查閱權(quán)、復(fù)制權(quán)、修改權(quán)、補(bǔ)充權(quán)、刪除權(quán)等權(quán)利。這意味著個(gè)人信息處理者有義務(wù)維護(hù)用戶的上述權(quán)利。企業(yè)需要根據(jù)用戶的個(gè)性化需求,基于數(shù)據(jù)靈活、準(zhǔn)確地響應(yīng)用戶的查詢、修改、刪除、轉(zhuǎn)移等需求,為用戶提供權(quán)益保障的渠道和服務(wù)。
(三)數(shù)據(jù)與算法的合規(guī)義務(wù) 1、防止基于數(shù)據(jù)質(zhì)量的歧視
公司收集和保存的個(gè)人信息是基于數(shù)據(jù)的。如果數(shù)據(jù)不準(zhǔn)確,相應(yīng)的算法數(shù)據(jù)分析的結(jié)論也可能不準(zhǔn)確,從而會(huì)產(chǎn)生對(duì)相關(guān)數(shù)據(jù)主體的負(fù)面評(píng)價(jià),并最終影響用戶的合法權(quán)益。鑒于此,《個(gè)人信息保護(hù)法》第八條規(guī)定,處理個(gè)人信息應(yīng)當(dāng)保證個(gè)人信息的質(zhì)量,避免因個(gè)人信息不準(zhǔn)確、不完整對(duì)個(gè)人權(quán)益造成不利影響。《個(gè)人信息保護(hù)法》將保證個(gè)人信息質(zhì)量作為企業(yè)的法定義務(wù),從企業(yè)的角度來(lái)看,是為了保證企業(yè)數(shù)據(jù)獲取的準(zhǔn)確性,從而避免因數(shù)據(jù)質(zhì)量產(chǎn)生歧視。因此,企業(yè)在處理個(gè)人信息時(shí)應(yīng)當(dāng)保證個(gè)人信息的質(zhì)量,提高個(gè)人信息的準(zhǔn)確性和完整性。
2、防止不公平的歧視待遇
《個(gè)人信息保護(hù)法》第二十四條中規(guī)定的自動(dòng)化決策,其實(shí)就是算法推薦。所謂的算法推薦,是指通過(guò)一些數(shù)學(xué)算法進(jìn)行信息過(guò)濾,推測(cè)出用戶可能喜歡的東西,從而推薦對(duì)應(yīng)的產(chǎn)品給用戶。目前應(yīng)用推薦算法比較好的地方主要是在互網(wǎng)絡(luò)領(lǐng)域,比如搜索引擎、社交軟件和電子商務(wù)等互聯(lián)網(wǎng)平臺(tái),會(huì)經(jīng)常使用代碼和算法取代傳統(tǒng)內(nèi)容交付過(guò)程中的編輯角色,從而完成對(duì)用戶喜歡的產(chǎn)品的信息過(guò)濾。這種算法推薦的應(yīng)用在提升服務(wù)效率的同時(shí),也會(huì)出現(xiàn)一系列用戶侵權(quán)行為,“大數(shù)據(jù)殺熟”便是很典型的一種。因此,《個(gè)人信息保護(hù)法》第二十四條規(guī)定,個(gè)人信息處理者利用個(gè)人信息進(jìn)行自動(dòng)化決策,應(yīng)當(dāng)保證決策的透明度和結(jié)果公平、公正,不得對(duì)個(gè)人在交易價(jià)格等交易條件上實(shí)行不合理的差別待遇。鑒于此,個(gè)人信息處理者需要審查自身的算法推薦,是否具有充分的透明度以及結(jié)果公平公正,是否會(huì)導(dǎo)致出現(xiàn)不合理的差別待遇。
(四)事前風(fēng)險(xiǎn)評(píng)估義務(wù)根據(jù)《個(gè)人信息保護(hù)法》第五十五條規(guī)定,有下列情形之一的,個(gè)人信息處理者應(yīng)當(dāng)事前進(jìn)行個(gè)人信息保護(hù)影響評(píng)估,并對(duì)處理情況進(jìn)行記錄:(1)處理敏感個(gè)人信息;(2)利用個(gè)人信息進(jìn)行自動(dòng)化決策;(3)委托處理個(gè)人信息、向其他個(gè)人信息處理者提供個(gè)人信息、公開(kāi)個(gè)人信息;(4)向境外提供個(gè)人信息;(5)其他對(duì)個(gè)人權(quán)益有重大影響的個(gè)人信息處理活動(dòng)。
因此,事前風(fēng)險(xiǎn)評(píng)估應(yīng)成為信息處理者的常態(tài)化工作,信息處理者還應(yīng)保證事前風(fēng)險(xiǎn)評(píng)估工作制度化、規(guī)范化。除此之外,信息處理者在保證評(píng)估質(zhì)量的同時(shí),還應(yīng)盡可能高效、快速地推進(jìn)評(píng)估工作,這樣做的目的一方面是因?yàn)樾畔⒕哂袝r(shí)效性等特征,另一方面也有助于提升工作效率,做到質(zhì)量和效率的統(tǒng)一。
(五)合規(guī)審計(jì)義務(wù)《個(gè)人信息保護(hù)法》第五十四條規(guī)定,個(gè)人信息處理者應(yīng)當(dāng)定期對(duì)其處理個(gè)人信息遵守法律、行政法規(guī)的情況進(jìn)行合規(guī)審計(jì)。第六十四條也有規(guī)定,發(fā)現(xiàn)個(gè)人信息處理活動(dòng)存在較大風(fēng)險(xiǎn)或者發(fā)生個(gè)人信息安全事件的,監(jiān)管部門有權(quán)要求個(gè)人信息處理者委托專業(yè)機(jī)構(gòu)對(duì)其個(gè)人信息處理活動(dòng)進(jìn)行合規(guī)審計(jì)。個(gè)人信息處理者應(yīng)當(dāng)按照要求采取措施,進(jìn)行整改,消除隱患。
筆者認(rèn)為,雖然《個(gè)人信息保護(hù)法》對(duì)合規(guī)審計(jì)對(duì)象、審計(jì)內(nèi)容、審計(jì)標(biāo)準(zhǔn)等細(xì)則均未有明確規(guī)定,但大致細(xì)節(jié)主要應(yīng)包含:(1)定期審核個(gè)人信息的管理工作;(2)檢查內(nèi)部管理制度和個(gè)人信息備忘錄的完整性和合規(guī)性;(3)檢查風(fēng)險(xiǎn)評(píng)估報(bào)告和記錄;(4)審核查看、復(fù)制、修改、傳輸、刪除個(gè)人信息義務(wù)的履行情況;(5)查閱與個(gè)人信息有關(guān)的合同及其他法律文件;(6)根據(jù)個(gè)人信息和數(shù)據(jù)相關(guān)法律法規(guī)的更新及時(shí)調(diào)整內(nèi)部系統(tǒng)等。
(六)委托外部進(jìn)行個(gè)人信息處理的合規(guī)義務(wù)隨著數(shù)字經(jīng)濟(jì)的快速發(fā)展,外包數(shù)據(jù)處理變得越來(lái)越普遍。比如有些公司因自身?xiàng)l件不具備,便會(huì)將全部或部分信息儲(chǔ)存至外部的云服務(wù)器等。企業(yè)通過(guò)信息委托服務(wù)將信息委托給受托方保存或處理,并不意味著企業(yè)的風(fēng)險(xiǎn)與責(zé)任的轉(zhuǎn)移。在《個(gè)人信息保護(hù)法》實(shí)施后,企業(yè)在委托第三方處理時(shí),需要事先進(jìn)行信息處理保護(hù)影響評(píng)估工作,并記錄處理狀態(tài)。此外,委托雙方還必須簽訂書面委托協(xié)議,載明委托期限、受托人權(quán)限等基本信息。
(七)跨境數(shù)據(jù)傳輸?shù)暮弦?guī)義務(wù)《個(gè)人信息保護(hù)法》未禁止個(gè)人信息跨境傳輸,而是規(guī)定了實(shí)現(xiàn)數(shù)據(jù)跨境傳輸所需的條件和制度框架。但該規(guī)定并不完善,在實(shí)際操作層面還需要進(jìn)一步補(bǔ)充,比如跨境數(shù)據(jù)傳輸標(biāo)準(zhǔn)合同樣式、國(guó)家網(wǎng)信部門評(píng)估程序和標(biāo)準(zhǔn)、跨境傳輸認(rèn)證標(biāo)準(zhǔn)等。鑒于此,在數(shù)據(jù)跨境流動(dòng)過(guò)程中,企業(yè)必須嚴(yán)格按照法律規(guī)定,謹(jǐn)慎處理跨境數(shù)據(jù)傳輸問(wèn)題。
(八)確保數(shù)據(jù)來(lái)源合法合規(guī)義務(wù)首先,針對(duì)直接從用戶收集使用的數(shù)據(jù),如無(wú)法基于《個(gè)人信息保護(hù)法》第十三條(一)之外的條款建立個(gè)人信息處理的合法性基礎(chǔ),則企業(yè)需要通過(guò)隱私政策披露等方式就個(gè)人信息的收集及后續(xù)使用獲取用戶同意,以構(gòu)建收集相關(guān)信息用于自動(dòng)化決策的合法性基礎(chǔ);其次,針對(duì)間接從第三方獲取數(shù)據(jù),建議企業(yè)在開(kāi)展合作前,對(duì)于第三方數(shù)據(jù)供應(yīng)商進(jìn)行全面評(píng)估,就供應(yīng)商資質(zhì)、數(shù)據(jù)安全能力、是否存在任何不良記錄進(jìn)行盡調(diào),要求對(duì)方提供數(shù)據(jù)來(lái)源合法合規(guī)的相關(guān)證明,并簽署關(guān)于數(shù)據(jù)來(lái)源合法合規(guī)的相關(guān)承諾,從而盡可能規(guī)避因數(shù)據(jù)來(lái)源瑕疵而引發(fā)的合規(guī)風(fēng)險(xiǎn)。
(九)開(kāi)展個(gè)人信息保護(hù)影響評(píng)估義務(wù)企業(yè)應(yīng)積極開(kāi)展評(píng)估工作,評(píng)估領(lǐng)域主要包括:處理敏感個(gè)人信息、利用個(gè)人信息進(jìn)行自動(dòng)化決策、委托處理個(gè)人信息、向其他個(gè)人信息處理者提供個(gè)人信息、公開(kāi)個(gè)人信息、向境外提供個(gè)人信息等。評(píng)估內(nèi)容主要包括:(1)個(gè)人信息的處理目的、處理方式等是否合法、正當(dāng)、必要;(2)對(duì)個(gè)人權(quán)益的影響及安全風(fēng)險(xiǎn);(3)所采取的安全保護(hù)措施是否合法、有效并與風(fēng)險(xiǎn)程度相適應(yīng)等。
三、違反《個(gè)人信息保護(hù)法》可能需承擔(dān)的責(zé)任《個(gè)人信息保護(hù)法》頒布前,個(gè)人信息處理者面臨的責(zé)任主要為《民法典》中個(gè)人信息權(quán)益受到損害的民事責(zé)任。如果個(gè)人信息處理者還同時(shí)構(gòu)成網(wǎng)絡(luò)運(yùn)營(yíng)者、開(kāi)展數(shù)據(jù)處理活動(dòng)的組織,則《網(wǎng)絡(luò)安全法》以及《數(shù)據(jù)安全法》中的行政處罰同樣適用。此外,違反國(guó)家有關(guān)規(guī)定向他人出售或者提供個(gè)人信息,情節(jié)嚴(yán)重的,還可能引發(fā)刑事責(zé)任。此次《個(gè)人信息保護(hù)法》的實(shí)施,對(duì)法律責(zé)任再次進(jìn)行了完善和補(bǔ)充,尤其是在第七章中,確立了相關(guān)民事責(zé)任承擔(dān)的舉證責(zé)任倒置規(guī)則,并且設(shè)定了適用于所有的個(gè)人信息處理者的分檔。綜上,關(guān)于違反《個(gè)人信息保護(hù)法》可能需承擔(dān)的責(zé)任,具體而言:
(一)民事責(zé)任的承擔(dān)個(gè)人信息處理者須證明自己對(duì)于個(gè)人信息權(quán)益的損害沒(méi)有過(guò)錯(cuò),否則應(yīng)當(dāng)按照《民法典》的相關(guān)規(guī)定承擔(dān)包括停止侵害、排除妨礙、賠償損失、賠禮道歉等在內(nèi)的法律責(zé)任。
(二)行政責(zé)任的承擔(dān)《個(gè)人信息保護(hù)法》中規(guī)定的行政責(zé)任主要包括責(zé)令改正、給予警告、沒(méi)收違法所得以及在拒不改正的情況下被處以一百萬(wàn)元以下的罰款。對(duì)于直接負(fù)責(zé)的主管人員和其他責(zé)任人員將被處一萬(wàn)元以上十萬(wàn)元以下罰款。對(duì)于違反《個(gè)人信息保護(hù)法》,情節(jié)嚴(yán)重的,除被責(zé)令改正、沒(méi)收違法所得外,還有可能被處以五千萬(wàn)元以下或者上一年度營(yíng)業(yè)額百分之五以下的罰款;企業(yè)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員同時(shí)有可能被處十萬(wàn)元以上一百萬(wàn)元以下罰款。此外,前述人員還可能在一定期限內(nèi)被禁止擔(dān)任相關(guān)企業(yè)的董事、監(jiān)事、高級(jí)管理人員和個(gè)人信息保護(hù)負(fù)責(zé)人。雖然《個(gè)人信息保護(hù)法》對(duì)行政處罰作出了規(guī)定,但目前對(duì)于相關(guān)處罰的認(rèn)定標(biāo)準(zhǔn)還尚未明確,還需要有關(guān)部門對(duì)前述處罰的具體認(rèn)定標(biāo)準(zhǔn)等進(jìn)行補(bǔ)充規(guī)定。
(三)刑事責(zé)任的承擔(dān)《個(gè)人信息保護(hù)法》第七十一條規(guī)定,違反本法規(guī)定,構(gòu)成違反治安管理行為的,依法給予治安管理處罰;構(gòu)成犯罪的,依法追究刑事責(zé)任。《刑法》第二百五十三條之一規(guī)定,違反國(guó)家有關(guān)規(guī)定,向他人出售或者提供公民個(gè)人信息,情節(jié)嚴(yán)重的,處三年以下有期徒刑或者拘役,并處或者單處罰金;情節(jié)特別嚴(yán)重的,處三年以上七年以下有期徒刑,并處罰金。違反國(guó)家有關(guān)規(guī)定,將在履行職責(zé)或者提供服務(wù)過(guò)程中獲得的公民個(gè)人信息,出售或者提供給他人的,依照前款的規(guī)定從重處罰。竊取或者以其他方法非法獲取公民個(gè)人信息的,依照第一款的規(guī)定處罰。單位犯前三款罪的,對(duì)單位判處罰金,并對(duì)其直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員,依照各該款的規(guī)定處罰。
綜合上述意見(jiàn)和建議,在強(qiáng)調(diào)保護(hù)個(gè)人數(shù)據(jù)和隱私的環(huán)境下,企業(yè)在數(shù)據(jù)安全和隱私保護(hù)方面的有效努力,依法合規(guī)經(jīng)營(yíng)能有效降低企業(yè)風(fēng)險(xiǎn),減少損失。
否則,可能會(huì)引發(fā)行政調(diào)查、民事訴訟、刑事責(zé)任等。企業(yè)應(yīng)建立個(gè)人信息保護(hù)規(guī)章制度、運(yùn)行實(shí)施并不斷改進(jìn)和完善,使單位的個(gè)人信息保護(hù)能力和單位信息安全級(jí)別得到提高,使客戶、消費(fèi)者和員工的個(gè)人信息得到有效保護(hù),使公司合規(guī)治理結(jié)構(gòu)不斷完善。
