金石文集 >> 金石研究
互联网企业的数据合规概述(上)——王冠
2021-09-15 13:09:29
目录
一、数据安全基本概念与范畴
二、数据合规之行政合规
三、数据合规之刑事合规
据网络媒体消息,今年,7月2日国家网信办将滴滴纳入核查名单,7月5日货车帮、BOSS直聘、运满满也进入名单。这4家互联网企业均是境外上市企业,其经营信息分别涉及道路交通数据、就业数据、仓储物流数据等等。之所以被监管部门核查,并非因为境外上市,而是因为涉及的具体数据信息可能存在数据安全问题。如果并无数据安全问题,则不会因为境外上市而被查。例如,知乎(据说几乎都是假数据)则没有这个问题。有网友调侃如下:
滴滴:这是道路数据
BOSS直聘:这是就业数据
运满满、货车帮:这是运输数据
知乎:中国人均年薪百万
一、基本概念与问题
数据,是指任何以电子或者其他方式对信息的记录。网络数据主要是指互联网企业提供网络平台收集的用户个人身份信息、设备信息、账户信息、隐私信息、社会关系信息、消费信息、个人爱好等等诸多方面的信息。这些信息通过一定的数据分析,可以判断出个人的身份、家庭办公地址、出行规律、消费习惯等等。随着信息社会的深入发展,数据价值化与商品化成为现实。对于互联网企业来说,数据具有风险管控、精准营销、产品开发与营销战略制定等多方面的价值和作用。出于这些商业目标和资本逐利的追求,企业对数据的运用往往是无所不用其极,其中包括大量的滥用数据的行为。大数据分析等网络技术的运用使得互联网企业尝到了滥用数据(用户个人信息)的甜头,对数据的渴求和滥用更是变本加厉。
数据安全,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。近年来,数据违规收集与滥用,迅速成为数据保护的突出问题,引发国家以及社会民众的广泛关注。
数据安全问题的主要表现:
(1)未公开收集使用个人信息的规则
(2)强制、过度索要用户授权
(3)强制用户提供个人信息
(4)超范围收集、使用个人信息
(5)未公开第三方插件具有收集、使用个人信息的功能
(6)未提供彻底有效的注销账号功能(账号注销后网络后台数据依然存在)
(7)用户个人信息泄露、传播、买卖
(8)通过个人信息肆意开展营销活动
(9)其他
正是由于数据安全问题的不断涌现,数据治理与个人信息保护已经成为各国政府高度重视的社会治理课题。就我国而言,相关规定和立法活动已经开展十余年。
主要立法规定包括:
2009年《刑法修正案(七)》增设出售、非法提供公民个人信息罪、非法获取公民个人信息罪。
2012年3月15日,工业和信息化部出台《规范互联网信息服务市场秩序若干规定》。
2012年12月28日,全国人大常委会通过了《关于加强网络信息保护的决定》。
2012年12月26日,国务院发布《征信管理条例》。
2013年6月28日,工业和信息化部发布了《电信和互联网用户个人信息保护规定》。
2015年《刑法修正案(九)》修改整合为侵犯公民个人信息罪。
2017年6月1日,我国颁布了《网络安全法》。
2019年,《儿童个人信息网络保护规定》、《App违法违规收集使用个人信息行为认定法》。
2020年6月1日,出台《网络安全审查办法》。
2021年6月10日,我国颁布《数据安全法》。
可见,数据安全的法律规制,不仅包括大量的行政法律法规和规章制度,还涉及刑事法律法规。由此而衍生出数据合规问题,即数据的行政合规与刑事合规问题。数据的行政合规是指企业或者个人对数据的收集、使用以及管理等活动,符合相关行政法律法规、部门规章、行业标准等规范。数据的刑事合规是指企业或者个人对数据的收集、使用以及管理等活动,符合刑事法律规范。
二、数据合规之行政合规
数据的行政合规是目前数据合规的主要合规内容和方向。对于互联网企业来说,数据符合相关的行政监管规定,是企业数据安全问题的首要问题。一般来说,数据行政合规问题是常见的数据合规问题。互联网企业通常较为重视数据价值的发掘和利用,而对数据安全问题则关注不够,往往是被动接受和应付数据合规行政监管,以致出现类似滴滴这样的重大数据安全事件。因此,互联网企业应将数据安全与数据价值进行等量观之。事实上,二者同等重要,不可偏废。互联网企业需要从战略发展的高度重新刷新对数据安全的认识,树立数据合规意识,在企业经营管理过程中践行数据合规要求,方能确保企业长治久安。
数据的行政合规主要包括个人信息收集、存储、访问与使用、个人信息委托处理、共享、转让、公开披露、主体权利保护、个人信息出境、以及数据危机处理等环节。
(一)个人信息收集分为直接收集和间接收集。直接收集个人信息是指互联网平台通过与用户的交互而记录收集个人信息、或者用户主动提供的个人信息。间接收集个人信息是指通过共享,买卖、利用软件公开搜集等方式间接获取个人信息的行为。《网络安全法》第41条明确,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。基于此,不得以欺诈、诱骗、误导的方式收集个人信息;不得隐藏产品或者服务具有收集个人信息的功能;不得非法获取个人信息;不得强制用户提供个人非必要信息后才提供产品或者服务;不得超范围收集信息;不得巧设名目和理由强制要求用户同意提供个人信息;不得频繁索要信息等等。
(二)个人信息存储是指网络企业对用户个人信息进行记录储存,并有义务采取必要安全措施对用户个人信息进行保护。《网络安全法》第42条对个人信息存储进行了原则性规定:网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。这里强调了网络平台对用户个人信息具有必要的保全义务,并且对网络数据的安全性负有直接责任。基于此,要求网络平台对个人信息的存储应当秉持期限尽量短、存储方式尽量安全、数据尽量去除可标识性、数据保密等基本原则。
(三)个人信息访问与使用是指互联网企业在提供产品或者服务时,访问并使用用户的个人信息,比如位置、手机照相机等个人信息。由于这种直接访问使用用户个人信息的方式可以直接获取用户的个人信息,其中很容易获取个人手机或者电脑中存储的其他隐私信息,所以极易造成个人信息的泄露。据统计,2019年数据泄露中有12%的数据系非授权访问。因此,如何对这种未经授权的访问与使用个人信息行为进行必要的限制,成为数据安全与数据合规的重要环节。因此,《数据安全法》第三十二条:任何组织、个人收集数据,应当采取合法、正当的方式,不得窃取或者以其他非法方式获取数据。法律、行政法规对收集、使用数据的目的、范围有规定的,应当在法律、行政法规规定的目的和范围内收集、使用数据。可见,个人信息的访问应该坚持合法的方式、正当的目的、最小的访问权限、严格的内部使用审批制度等原则。
(四)个人信息委托处理、共享、转让、公开披露主要是网络平台向其他合作企业或者个人提供自己所收集的信息,主要方式包括委托处理、共享、转让、或者公开披露等。应当说,数据的合作使用是数据价值的重要体现,许多互联网公司主要依靠数据交易和流量引流进行盈利。比如目前较为主流的巨型网络公司。但是,这些个人信息的买卖、共享等对外提供,是否得到了用户的授权,是否向用户进行明示,是否在强迫用户授权(否则不提供产品或者服务的强制授权),均是实践中常见的问题。《网络安全法》第四十二条:网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。经过处理无法识别特定个人且不能复原的除外,是一个变通的方式,既确保了互联网企业利用个人信息的权益,又确保了个人信息的安全性。这似乎兼顾了企业与用户的双方利益,但其中用户毕竟没有获得任何经济收益,而用户个人信息的安全性是最起码的权益。因此,以此作为平衡双方利益的基点,对用户来说并不十分公平。
(五)个人信息主体权利保护是指个人作为自己个人信息的权利主体享有的权利,主要涉及个人信息的财产权、删除权、更正权、撤回权、注销权、投诉举报权等等。对此,很遗憾的是,目前我国法律并未赋予个人的信息财产权,仅仅赋予了其删除权和更正权。《网络安全法》第四十三条:个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。可见,对个人信息主体权利的保护还是不到位的。这其中的立法难度和阻力,可想而知。
(六)个人信息出境是指境内的网络运营者向境外提供数据信息。这种数据对外提供行为,小到可以损害个人信息权利,大到可以危机国家安全,因此应当予以严格控制。根据我国目前相关法规要求,个人信息出境必须经过省级网信办的安全评估,且网络运营商必须以明示且明确的方式向用户说明个人信息出境的目的、范围、方式、信息内容、可能产生的影响等等,且必须经过用户同意。滴滴案件可能主要就是涉及这方面的问题。
(七)数据危机应对是指网络运营者对出现的数据安全问题进行有效处理和应对。数据安全风险可以说防不胜防,很难做到万无一失。因此,不仅需要构建专门的数据安全管理机构和内部控制制度,建立有效的数据安全管理与应对的办法和预案,还需要确定安全管理负责人,强化员工的安全培训等方式,以期最大化的减少数据安全风险与最有效地管控数据安全危机。必要时,需要借助合规律师,针对企业数据合规问题进行全面的风险识别和风险管控,以及配合政府的合规审查与整改。