今年8月20日,《個人資訊保護法》正式透過,並將於11日1日正式施行。繼《網路安全法》《資料安全法》之後,《個人資訊保護法》的施行意味著數字經濟正在進入到規範化、精細化執行階段,“有法可依”將逐漸完善,這在國家網路安全發展程序中具有里程碑意義。
從該部法律的名稱不難看出,
這是國家對個人資訊保安的重視,公民的人格尊嚴不受侵犯,公民的通訊自由和通訊秘密受法律保護,因此條例的實施對於保障公民的人格尊嚴和相關權益具有重要意義。
然而對於企業而言,之前由於在個人資訊領域的監管空白或不嚴格,使得個人資訊被濫用,也給企業帶來了一定利益,但
隨著《個人資訊保護法》的施行,一些過去能夠有利可圖的方式將有可能觸犯法律。圍繞於此,企業合規的一些要點值得梳理。
大資料“殺熟”將休矣
上海的王先生使用手機在一電商平臺購物時,中途錯用了另一部手機結賬,卻意外發現,同一商家的同樣一件商品,註冊至今12年、經常使用、總計消費近26萬元的高階會員賬號,反而比註冊至今5年多、很少使用、總計消費2400多元的普通賬號,價格貴了25塊錢。
“大資料殺熟”,即“看人下菜碟”,針對同款產品或服務,“熟客”的價格總是比新使用者更高,一般稱為殺熟一代;還有一種是透過大資料推算出對某產品需求較大的客戶,在個性化推送下的精確殺熟,也會抬高價格,稱為“殺熟二代”。相較於以往顯而易見的差異化定價,如今消費者在下單時,會收到複雜演算法臨時生成的各類優惠券、價格組合,實際上,不同賬號的價格差異其實比以前更大。這種情況在外賣餐飲、住宿、高鐵機票、網約車等領域十分常見,如外賣app的“會員加價”、打車app老客戶頁面相同路段顯示的車費更高等等,而且消費者取證投訴還相當困難。
對於“大資料殺熟”,《個人資訊保護法》在第二十四條作出了明確的規定:
要求所有的個人資訊處理者都不得利用個人資訊,對個人在交易價格等交易條件上實行不合理的差別待遇。
收集個人資訊“宜少不宜多”
有時候我們線上下點餐會被要求註冊會員,而在這注冊過程中又要我們提供很多與服務無關的個人資訊,如填寫生日、籍貫、學歷等。近年來,過度收集使用者資訊問題也頻頻引發質疑。
《個人資訊保護法》對個人資訊的收集範圍、處理方式、儲存期限等作了嚴格限制。收集個人資訊,
應當限於實現處理目的的最小範圍。處理個人資訊應當採取對個人權益影響最小的方式。
除法律、行政法規另有規定外,個人資訊的儲存期限應當為實現處理目的所必要的最短時間。在公共場所安裝影象採集、個人身份識別裝置,應當為維護公共安全所必需。
知情同意是《個人資訊保護法》規定的個人資訊處理活動最重要的合法性基礎。
除了包括該法在內的法律、行政法規有特殊規定的,處理個人資訊應當取得個人的同意。基於個人同意處理個人資訊的,該同意應當由個人在充分知情的前提下自願、明確作出。個人資訊處理者公開其處理的個人資訊、處理敏感個人資訊、向境外提供個人資訊的,應當取得個人的單獨同意。
在《個人資訊保護法》中涉及此項內容的較多,但重點是以下幾條:
《個人資訊保護法》第六條
規定:處理個人資訊應當具有明確、合理的目的,並應當與處理目的直接相關,採取對個人權益影響最小的方式。收集個人資訊,應當限於實現處理目的的最小範圍,不得過度收集個人資訊。
第十條明確規定:
任何組織、個人不得非法收集、使用、加工、傳輸他人個人資訊,不得非法買賣、提供或者公開他人個人資訊;
不得從事危害國家安全、公共利益的個人資訊處理活動。
第五十一條規定:
個人資訊處理者應當根據個人資訊的處理目的、處理方式、個人資訊的種類以及對個人的影響、可能存在的安全風險等,採取必要措施確保個人資訊處理活動符合法律、行政法規的規定,
並防止未經授權的訪問以及個人資訊洩露或者被竊取、篡改、刪除。
因此企業需要透過技術手段保障個人資訊資料的安全性。
個人資訊跨境受到監管
隨著國際間的交流合作日漸緊密,個人資訊資料的跨境流動在全球蓬勃發展的數字經濟中發揮著越來越重要的作用。網際網路技術的發展縮短了人與人之間的時空距離,同時也帶來了一定的安全風險。
例如,當前不少國內企業赴美股、港股上市,國內投資者目光也開始關注美股、港股市場,希望能夠分享企業發展帶來的紅利。於是,我國居民個人在境外投資規模正在快速增長,另一方面,赴境外上市的企業也有可能把個人資訊傳送到境外,例如前段時間“滴滴被查”事件。
為此,個人資訊保護法為個人資訊跨境流動設立專門章節(第三章)
,確立個人資訊處理者向境外提供個人資訊所具備的條件和要求,明確關鍵資訊基礎設施運營者和處理個人資訊達到國家網信部門規定數量的個人資訊處理者應當將在我國境內收集和產生的個人資訊儲存在境內。確需向境外提供的,應當透過國家網信部門組織的安全評估,從而保障個人資訊保安、自由流動,以適應國際經貿往來的現實需要。
人臉識別將得到規範
2019年,遊客郭某因不滿杭州野生動物世界將年卡使用者入園方式從指紋識別升級到人臉識別,而以侵犯隱私權和服務合同違約為由將杭州野生動物世界告上法庭,被稱為中國“人臉識別第一案”。
近年來,人臉識別技術在社會生活中得到廣泛運用,但是與之而來的糾紛也日益增多,同時也引發輿論對經營場所濫用人臉識別技術的擔憂:人臉資訊採集的界限究竟在哪兒?
這是因為,人臉識別資訊以或顯或隱的方式表徵著自然人的人格,一旦被非法收集、使用、儲存、傳輸、披露,對資訊主體造成歧視、人格尊嚴貶損和隱私洩露等後果可能伴隨一生。因此,屬於敏感個人資訊的人臉識別資訊被非法處理的後果較一般個人資訊更為嚴重,需要法律的特殊保護。
對此,《個人資訊保護法》第二十六條明確規定:
在公共場所安裝影象採集、個人身份識別裝置,應當為維護公共安全所必需,遵守國家有關規定,並設定顯著的提示標識。
所收集的個人影象、身份識別資訊只能用於維護公共安全的目的,不得用於其他目的;取得個人單獨同意的除外。
提出對其個人資訊活動進行合規審計
審計通常可分為財務報表審計、經營審計和合規性審計三個類別。合規性審計一般指審計機構和審計人員依據國家法律、法規和財經制度對被審計單位的生產經營管理活動及其有關資料是否合規所進行的一種監督活動。
《個人資訊保護法》第五十四條僅明確了企業應當定期進行合規審計的原則性規定,而並未說明該如何進行合規審計。
不過,《資訊保安技術個人資訊保安規範》(2020年10月1日實施)中則作出了較為詳細的審計要求,審計要求可供參考,包括:
①應對個人資訊保護政策、相關規程和安全措施的有效性進行審計;
②應建立自動化審計系統,監測記錄個人資訊處理活動;
③審計過程形成的記錄應能對安全事件的處置、應急響應和事後調查提供支撐;
④應防止非授權訪問、篡改或刪除審計記錄;
⑤應及時處理審計過程中發現的個人資訊違規使用、濫用等情況;
⑥審計記錄和留存時間應符合法律法規的要求。
此外《個人資訊保護法》第六十四條規定:履行個人資訊保護職責的部門在履行職責中,發現個人資訊處理活動存在較大風險或者發生個人資訊保安事件的,可以按照規定的許可權和程式對該個人資訊處理者的法定代表人或者主要負責人進行約談,
或者要求個人資訊處理者委託專業機構對其個人資訊處理活動進行合規審計。
個人資訊處理者應當按照要求採取措施,進行整改,消除隱患。
從以上的梳理,不難看出,在資料執法領域,強監管和嚴格的法律責任是一個監管趨勢。個人資訊保護》是有史以來最嚴格的資料安全保護法律之一。
尤其是
《個人資訊保護法》新設了“情節嚴重”的處罰標準,罰款的最高額度是五千萬以下或者是上一年營業額5%的罰款。
新法案透過選擇採取設定高額罰款等嚴厲的事後處罰機制,
倒逼企業實現對個人資訊的全面保護。
企業尤其是涉及個人資訊處理的網際網路企業,
應當在《個人資訊保護法》基礎上建立一系列自身的合規制度,
包括個人資訊保護合規體系、個人資訊保安保護制度、個人資訊保護負責人制度、個人資訊授權撤回處理機制等。
設立的合規制度應當覆蓋個人資訊的採集、傳輸、儲存、共享、出境等各個環節。
『首席風控合規官 Chief Risk Control and Compliance Office』
向金融、科技、網際網路領域提供合規、監管、風控的高質量內容平臺,分享前沿準確的政策解讀與行業動態,構建國內最專業的“合規從業者”社群與媒體矩陣。官方公眾號:首席風控合規官CRCO
