伴随着数字经济发展,对个人信息的采集和利用成为一种“刚需”。个人信息保护不断涌现出新问题,随意收集、违法获取、过度使用、非法买卖个人信息等情况“野火烧不尽”。数据的挖掘利用与个人信息保护之间张力扩大,急需专门法律对个人信息处理活动提供规范样本。
2021年11月1日,《个人信息保护法》正式施行,转眼间即将实施一周年。南财合规科技研究院长期关注个人信息保护议题,持续跟踪报道立法进程、监管动态,反映公众呼声。借此机会,将推出“南财个人信息保护月”系列活动,探讨《个人信息保护法》实施以来的落实情况以及对企业带来的影响。将围绕“守门人”条款的落实、用户个人信息权益的实现、数字广告行业的变革、数字经济发展与合规的平衡等多个维度推出20余篇系列稿件,刊出个人信息保护特刊,并且举办线下高峰论坛。
法律的生命力在于实施,在完成立法后,《个人信息保护法》需司法和执法接力,也需要企业恪守法律要求。我们希望能借助媒体的力量,持续追踪问效,推动个人信息权益的保障,提升全社会个人信息保护的水位线。
互联网在国内的高速发展,潜移默化地改变着每个人的生活,其中最显著的一点,互联网带来便利的同时,个人信息泄露也成为避无可避的问题。随着《个人信息保护法》的实施,保护个人信息安全成为企业合规的必答题。
如果说,互联网三十年,前半程是狂奔,后半程则是合规。从2014年庞理鹏起诉趣拿公司和东航的官司开始,互联时代的个人信息保护战陆续在国内打响:国内首起安全软件号码标注隐私权纠纷案、朱某诉百度隐私权纠纷案、新浪微博诉脉脉不正当竞争案、徐玉玉电信诈骗案等涉及公民信息的民事、刑事诉讼相继发生,也推动了《个人信息保护法》的出台。作为信息处理者的企业,需要承担诸如安全保障、个人信息分级分类、信息主体权益保障、事前风险评估等多项义务,以保障个人信息安全。
需要注意的是,数据合规从来不是单一问题,而是覆盖企业法律、管理、业务、技术等多方面的综合问题。合规是昂贵的,根据《福布斯》报告,GDPR让美国财富500强企业多花费了78亿美元合规成本,普华永道给出更明确的合规成本估计:68%的公司预计将花费100万到1000万美元。
保护个人信息安全的数据合规亦如此。在当前经济下行压力增大的情形下,一个现实问题摆在企业面前,当面临自身发展与保护个人信息的数据合规两大主题时,如何抉择?
金融科技、智能汽车、互联网领域 合规投入不降反增
2019年,春元进入一家互联网企业,负责游戏内容合规工作。当时的她还是一名职场小白,到现在已经能够高效处理来自游戏的各种事项。合规是她工作的日常,但也成为公司开始某项工作的重要一环。“现在只要和游戏相关,有些在我看来甚至和游戏不沾边,但都会有同事拉着我一起开会,讨论其中是否会有触犯到法律法规的内容和情节。”
“对于公司产品来说,研发、上市、运营等环节都投入了很大的成本,如果因合规问题导致产品无法上线或者被处罚,对于公司来说都是巨大损失。”春元介绍道。
随着互联网法治的进一步发展,我国先后通过《网络安全法》《数据安全法》《个人信息保护法》等法规,同时《互联网信息服务算法推荐管理规定》《数据出境安全评估办法》等部门规章也陆续出台,互联网法治的网在织密、织牢。数据合规也就成为互联网企业的关键词。
北京策略律师事务所执行主任、数据合规项目组负责人庞理鹏介绍,企业合规治理呈现出这样一个规律:随着各类APP、物联网、大数据等的发展,企业越来越意识到数据资产的重要性,在个人信息保护、数据合规方面,更加注重最新立法政策与相关理论的学习以及实践中完善合规体系建设和合规风险预防。相对应地,企业合规的重点或侧重点以个人信息保护、数据安全、网络安全合规为核心。
梳理发现,当前经济环境下,一些企业合规上会减少投入,但是也有企业加大对个人信息保护的投入。
就广东省合规与风险法律专业委员会主任、深圳市数据合规法律专业委员会主任、广东卓建律师事务所高级合伙人李兰兰观察来看,近三年来许多企业会节约开支,砍掉和减少合规部分的投入。因为“企业得先保证自己活下去”。
但据庞理鹏介绍,目前的经济环境下,公司运营成本的投入都会有所调整。但开展不同业务的公司对于投入调整的侧重点不同。“一些公司,如金融科技、智能汽车、在线教育、电信及互联网等,对于合规的投入不降反增。”
美团在接受21世纪经济报道的采访时表示,美团很早就成立了专门的数据合规和隐私保护委员会,统筹内部数据隐私合规治理工作。公司层面制定《数据安全管理办法》《数据安全管理流程》等一系列规则制度,在今年制定并对内发布了“数据合规和隐私保护工作手册”,围绕个人信息全生命周期处理活动,制定了统一的内部合规原则和标准流程。
技术投入和系统能力建设上,美团健全数据全生命周期合规管理和安全防御体系。具体到隐私合规方面,一是建设并上线App隐私权限注册管理平台,对十三类隐私数据的合规收口管理。二是设立App上线前隐私合规检测流程,避免App带着隐私合规问题上线。三是通过App隐私合规检测平台建立漏洞检测能力,提前发现并解决风险问题。
晚入场者缺乏个人信息保护竞争优势
盈利和成本,企业发展过程中无法回避的问题。当企业遇上个人信息保护,盈利、成本、竞争等因素亦在个人信息保护落地过程中其中扮演了不可忽视的角色。
一位不愿具名的专家表示,目前《个人信息保护法》条款落地难点主要在于企业盈利目标和成本考量:首先是利润上,企业需要使用个人信息进行精准营销。个人信息的应用和企业的经济利益息息相关,所以企业会自发地规避法律上的规制;另一方面则是企业合规实践的成本考量,落地还是有点困难的。
上海交通大学凯原法学院教授李剑从竞争角度对这一问题做出解释,从竞争的角度来讲,加强个人信息保护使得先进入市场的企业基于已掌握的数据资源获得更大竞争优势;对于较晚进入市场的主体来讲,因数据已经被先入场的竞争者所获得,后入场者开拓新的用户比较难。“对于较晚进入市场的主体来说,如果没有足够的数据,很难在服务层面展开对于个人信息保护的竞争。”
此外,不同类型、不同级别规模的企业对于合规监管的反应也不同,这或许也是执行的难点。面对同一法律标准,对于大型企业而言,前期已积累大量资源,自身实力较为雄厚,更容易搭建完善的个人信息保护体系;但是对于中小企业来说,搭建个人信息保护体系的合规成本则相对较高。
对于企业来说,作用于个人信息保护的数据合规早已不是纸上空谈,而是需要落在实处。未落实《个人信息保护法》的企业,往往面临合规整改、罚款等措施。
“企业进行合规有两种现象:一是因涉案引起的被动合规。一些企业已经涉嫌刑事犯罪,在‘合规不起诉’机制下,为了免于受到刑事责任,企业向检察院申请一个合规整改的机会,整改完毕通过第三方监控人监督评估考核或检察院的合规审查则可以获得不起诉或减轻刑事责任的结果,所以,它们必须“补”合规,这就是‘涉案企业合规’。另一种则是强监管对象的主动合规,主要包括金融、医疗、汽车、电商等重点行业的企业和大型平台公司。”李兰兰进一步补充,这些企业拥有数据量较大,或涉及敏感个人信息或重要数据等,保护不当会影响公共利益和国家安全,企业本身也受到行业主管部门的监管,所以会主动开展合规建设。
对于数据合规治理,我国有了实践。8月10日,最高人民检察院发布第三批涉案企业合规典型案例,其中上海Z网络科技有限公司(以下简称“Z公司”)、陈某某等人非法获取计算机信息系统数据案引起关注,这是检察机关自2020年探索涉案企业合规制度以来,首个涉及企业违法处理数据情况的应用实例,对于司法实践开展数据合规治理有重要的参考价值。
Z公司系一家为本地商户提供数字化转型服务的互联网大数据公司。2019年至2020年,在未经上海E信息科技有限公司(以下简称“E公司”,系国内特大型美食外卖平台企业)授权许可的情况下,Z公司通过爬虫程序,获取E公司运营的外卖平台数据。
最终,检察机关经审查对Z公司作出合规考察决定。Z公司需从数据合规管理、数据风险识别、评估与处理、数据合规运行与保障等方面保障数据合规,做到数据来源合规、数据安全合规以及数据管理制度合规。
加强审查 数据合规需嵌入业务各个环节
对于企业未来的数据合规路径,专家与企业从不同角度,表达了不同的思路。
北京浩天律师事务所合伙人郭金龙曾处理过多起平台合规诉讼,在他看来,作为互联网创业者,应加强合规审查,避免因商业模式创新而带来的潜在法律风险,降低因不合规而造成创业项目失败的风险。企业在经营活动中,应当认真进行合规论证,避免落入恶意竞争的规制范围。
由于一直在从事数据合规的法律业务,庞理鹏对企业互联网平台在个人信息获取与使用上也有自己的观点和认识:他表示企业首先要遵守《个人信息保护法》的各项规定,如应当遵循合法、正当、必要的原则,公开收集规则,明示收集信息的目的、方式和范围,并经被收集者同意。其次,还应当遵守相关法规、国家标准,如涉及个人信息出境的,应当按照《数据出境安全评估办法》的规定,向国家网信部门申报数据出境安全评估。最后,为实现个人信息的数据流通价值,平台可在遵守相关法律法规、国家标准的基础上,通过对个人信息的共享、转移、融合处理等方式在保证个人信息安全的前提下实现其有效利用。
中央党校(国家行政学院)政法部民商经济法室主任王伟表示,企业应当根据《民法典》、《个人信息保护法》、《数据安全法》等相关法律,构建完善的个人信息保护合规管理机制,在展业、销售、财务、物流、客服等各个环节保护好个人信息。通过建立严格的合规准则和标准、合规审查、合规风险预警、投诉处理、反欺诈反舞弊、合规问责等机制,并将其嵌入各个业务环节、重要业务系统,是防范违规风险的重要路径。
李兰兰建议,在兼顾合规成本与法律风险防范的前提下,企业可以根据自身的实际情况分版块、分步骤、分阶段开展合规建设,从核心业务如APP合规、数据交易合规、产品开发合规、平台建设合规、数据出境合规等“专项合规”开始做起,然后再慢慢扩大至其他业务线和整体合规体系建设。
对于企业来说,个人信息保护及数据安全治理包含用户的主动参与。快手安全负责人表示,不仅希望能将选择和知情的权利交给用户,更提倡用户参与到共治体系中来,用每一位用户的体验和真实感受来推动平台隐私保护机制的升级和完善,共同实现科技向善。同时该负责人表示,未来,快手将在隐私保护、数据治理、个性化服务升级等领域持续加大投入,在保障安全的前提下,优化用户权益保护项目,与各方一道共同建设“真实、多元、美好、有用”的内容社区。
律师介绍
特别声明:以上内容仅代表受访者观点,不代表策略律师及策略律师事务所出具的任何形式之法律意见。如有意向就相关议题进一步交流探讨,欢迎与本所联系!