互聯(lián)網(wǎng)企業(yè)數(shù)據(jù)合規(guī)風險及應對
近日�����,某互聯(lián)網(wǎng)企業(yè)被處于罰款引起熱議�����。監(jiān)管部門查處的違法事實中���,企業(yè)侵犯的對象主要是個人隱私信息與敏感的個人信息。具體來看����,主要違反了以下法律規(guī)定:
一、違法收集個人信息��,未遵循《網(wǎng)絡安全法》第四十一條規(guī)定的合法�、正當、必要原則�����。《常見類型移動互聯(lián)網(wǎng)應用程序必要個人信息范圍規(guī)定》第三條規(guī)定����,本規(guī)定所稱必要個人信息,是指保障App基本功能服務正常運行所必需的個人信息����,缺少該信息App即無法實現(xiàn)基本功能服務。具體是指消費側用戶個人信息��,不包括服務供給側用戶個人信息��。另外��,該規(guī)定第五條也對“網(wǎng)絡約車類收集的必要的個人信息”進行了明確規(guī)定1���。
二����、《個人信息保護法》第二十九條規(guī)定����,處理敏感個人信息應當取得個人的單獨同意;法律�、行政法規(guī)規(guī)定處理敏感個人信息應當取得書面同意的,從其規(guī)定����。企業(yè)收集的人臉識別信息、年齡段信息�、地址信息等均屬于《個人信息保護法》第二十八條2規(guī)定的“個人敏感信息”范疇。
在監(jiān)管部門作出的處罰決定書中�,有這么一句不起眼的話,“該企業(yè)對境內各業(yè)務線重大事項具有最高決策權��,制定的企業(yè)內部制度規(guī)范對境內各業(yè)務線全部適用��,且對落實情況負監(jiān)督管理責任”��。
就此可以提煉出兩個信息:1.企業(yè)的數(shù)據(jù)合規(guī)決策體制統(tǒng)一而清晰�����,被處罰時可以把影響縮小到最頂部層面��,減少了對企業(yè)多個業(yè)務層面的波及�����,值得肯定;2.企業(yè)是否擁有一份良好的企業(yè)內部制度規(guī)范對企業(yè)意義重大��,換言之���,企業(yè)應實實在在建立并全面落實合規(guī)管理體系���。
本案中,主要涉及到的是行政監(jiān)管合規(guī)方面的問題����。相較于檢察院以“不起訴”的方式激勵企業(yè)合規(guī),行政機關一般通過發(fā)布合規(guī)指引或者合規(guī)指南的方式�����,來加強對相關企業(yè)的合規(guī)管理���。只有從根本上解決企業(yè)違反行政法規(guī)的問題���,才能從實質上實現(xiàn)企業(yè)的“去違法化”乃至“去犯罪化”問題。因此����,企業(yè)應認真學習行政機關發(fā)布的合規(guī)指引和合規(guī)指南、注意結合自身行業(yè)特征梳理和發(fā)現(xiàn)個人信息保護和數(shù)據(jù)安全的欠缺和問題��,及時完善相關組織體系�����、管理制度�、操作流程和保障機制,同時加強對員工開展數(shù)據(jù)合規(guī)培訓��。
本次事件���,也對企業(yè)如何做好數(shù)據(jù)合規(guī)建設帶來了以下啟示:
一��、企業(yè)應當根據(jù)自身服務類型的實際情況����,按照《常見類型移動互聯(lián)網(wǎng)應用程序必要個人信息范圍規(guī)定》手機個人的必要信息�。服務類別單一的企業(yè)收集個人信息的范疇不應逾越《常見類型移動互聯(lián)網(wǎng)應用程序必要個人信息范圍規(guī)定》的界限;服務類型多樣化的企業(yè)如不清楚收集范圍��,也可主動聯(lián)系當?shù)鼐W(wǎng)信辦�、通信管理局等監(jiān)管部門���,明確收集界限以降低經(jīng)營風險。
二����、在處理個人敏感信息時,應當按照《個人信息保護法》規(guī)定的單獨同意規(guī)則�,對于用戶的人臉識別信息、精準定位信息����、行動軌跡信息等應當格外謹慎。
三�����、企業(yè)應明確告知用戶收集信息的目的���、方式����、范圍�����,且應當與企業(yè)實際收集使用收集的用戶信息方式一致。另外���,以概括授權的方式獲得用戶對個人信息處理方式的授權已經(jīng)被法律所禁止�。如后續(xù)因業(yè)務更新等實際需要需要擴大收集用戶信息范圍的�����,應以短信或彈窗的方式對用戶進行特別提示���。
四、根據(jù)《個人信息保護法》的要求�����,處理個人信息達到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者應當指定個人信息保護負責人�,負責對個人信息處理活動以及采取的保護措施等進行監(jiān)督。個人信息處理者應當公開個人信息保護負責人的聯(lián)系方式����,并將個人信息保護負責人的姓名、聯(lián)系方式等報送履行個人信息保護職責的部門����。
五��、根據(jù)《個人信息保護法》第五十一條的規(guī)定�����,盡快建立起個人信息保護體系3�����。
此次事件證明�,企業(yè)都應當遵守國內的行政監(jiān)管制度����。只有不斷完善企業(yè)內部制度規(guī)范,做好企業(yè)合規(guī)�����,才能在市場上走得更穩(wěn)更遠����。
400-883-1990
