浅谈企业个人信息保护合规风险及应对

发布时间：2023-03-02来源：可持续发展经济导刊作者：媒体中心

随着信息技术的发展，个人信息的收集、处理愈加方便容易，对个人信息的侵害也愈加频繁，方式也日益多样化。

自2018年以来，我国陆续出台了《民法典》《个人信息保护法》《数据安全法》等重要法律，通过立法把个人信息保护的道德义务转化为法定义务，建立了较为完整的个人信息保护机制。除对侵犯公民个人信息的个人行为做出禁止性规定外，这些法律还对企业涉及个人信息的经营行为做出命令性要求，这就使个人信息保护成为企业合规管理的专项领域。

自相关法律出台以来，已有若干企业因个人信息使用不当受到严厉的行政处罚。当前在进一步开发利用个人信息成为趋势，将个人信息用于为客户提供增值服务、为业务增长赋能的功能驱动下，收集和使用个人信息的规模不可避免地扩大，使用个人信息的业务模式和使用方式将更加复杂，个人信息保护合规风险也将随之增加。

企业面临的个人信息保护合规风险

目前，企业面临的个人信息保护合规风险主要有以下几种类型。

（一）非法获取个人信息的风险

为完成公司或个人业绩指标，有的企业或员工个人可能向第三方收买或以其他方式非法获取个人信息。以房地产行业为例，在房产开发项目营销流程中获得潜在客户信息的环节发生此项风险的可能性较高，如未经客户同意采集客户人脸信息，在房地产市场整体不景气、销售压力大的背景下，此项风险发生的可能性显著增加。

另外，企业从第三方获取个人信息且未经个人信息主体同意，亦存在此项风险。非法获取个人信息的表现形式包括直接支付费用收买个人信息，也包括以合作、中介、代理名义等通过第三方获取个人信息。非法获取个人信息是严重的不合规行为，企业、直接责任主管人员和直接责任人员可能被追究刑事责任，企业可能面临行政处罚和民事诉讼，企业声誉可能受到严重损害。

（二）非法提供个人信息的风险

企业收集和存储的个人信息具有较高的商业价值，第三方经营者可能希望获取这些信息并进行非法使用。即使企业较少利用所掌握的个人信息与第三方开展商业合作，也存在因员工个人行为发生此项风险的可能性。

非法提供个人信息是严重的不合规行为，与非法获取个人信息具有相同法律后果。除有法定事由（例如配合司法调查、向政府防疫部门提供流调信息）外，企业向第三方提供个人信息且未经个人信息主体同意，均存在此项风险。

即使司法机关认定非法提供个人信息为员工个人行为，企业仍然可能因为管理不当面临行政处罚和民事诉讼，企业声誉可能受到严重损害。非法提供个人信息的表现形式不仅包括倒卖个人信息，也包括以合作、中介、代理等名义向第三方提供个人信息。

（三）App等信息工具设计和使用不合规的风险

为了更加方便快捷地提供服务，部分企业越来越多地使用App、小程序、服务号等信息工具收集客户个人信息。App等信息工具设计和使用不合规是监管部门执法重点。监管部门关注App等信息工具未经用户同意收集和使用个人信息，以及违反必要原则收集与其提供的服务无关的个人信息。

未经用户同意收集和使用个人信息的具体情形包括：

在征得用户同意前就开始收集个人信息，或者打开可收集个人信息的权限；
用户明确表示不同意后，仍收集个人信息，或者打开可收集个人信息的权限；
频繁征求用户同意、干扰用户正常使用；
实际收集的个人信息或打开的可收集个人信息权限超出用户授权范围；
以默认选择同意隐私政策等非明示方式征求用户同意；
未经用户同意更改其设置的可收集个人信息权限状态，如App更新时自动将用户设置的权限恢复到默认状态；
利用用户个人信息和算法定向推送信息，未提供非定向推送信息的选项；
以欺诈、诱骗等不正当方式误导用户同意收集个人信息或打开可收集个人信息的权限，如故意欺瞒、掩饰收集使用个人信息的真实目的；
未向用户提供撤回同意收集个人信息的途径、方式；
违反其所声明的收集使用规则，收集使用个人信息。

违反必要原则收集与其提供的服务无关的个人信息的具体情形包括：

收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关；
因用户不同意收集非必要个人信息或打开非必要权限，拒绝提供业务功能；
App新增业务功能申请收集的个人信息超出用户原有同意范围，若用户不同意，则拒绝提供原有业务功能，新增业务功能取代原有业务功能的除外；
收集个人信息的频度等超出业务功能实际需要；
仅以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由，强制要求用户同意收集个人信息；
要求用户一次性同意打开多个可收集个人信息的权限，用户不同意则无法使用等。

App等信息工具设计和使用不合规可能导致App被限制使用（下架），企业亦可能受到行政处罚。

（四）个人信息保管不当风险

1.以电子文档形式存在的个人信息保管不当。企业收集的个人信息，大部分以电子文档形式存储在办公、业务管理和客户服务信息系统中，部分存储在办公电脑硬盘上。如果信息系统的安全性未能满足网络安全和数据安全要求，可能发生个人信息意外泄露、公开、被盗、篡改和损毁等情况，企业将面临行政处罚和民事诉讼，企业声誉可能受到严重损害。

使用办公电脑硬盘存储个人信息，可能存在更高的数据安全风险。监管部门在执法检查中如果发现企业数据安全管理不到位，可能对企业进行行政处罚；如果发生数据泄露等风险事件，则可能导致更为严厉的处罚。

2.以纸质文档形式存在的个人信息保管不当。企业收集的个人信息，有一部分以纸质文档的形式生成或由第三方移交。纸质文档的数据安全风险低于电子文档，但是如果保管不善，也可能发生意外泄露、公开、被盗、篡改和损毁等情况。

3.超过合理且必要期限保留个人信息。目前，很多企业未明确规定个人信息保留期限，默认做法为永久保留，这不符合“合理必要”的原则，而且增加了数据安全风险。

（五）第三方机构的违规风险

企业在经营管理活动中常常引入中介、代办、服务外包等第三方机构，这些机构可能代表企业收集和使用个人信息，或者在为企业提供服务的过程中接触个人信息。第三方机构或其人员发生违规行为，可能导致企业承担不利后果。

（六）违规营销风险

企业未经个人信息主体同意向其发送营销信息（即通常所说的“垃圾短信”和“骚扰电话”），或者在其要求停止发送后继续发送，可能导致企业受到客户投诉和行政处罚。

企业合规风险应对措施

虽然由于企业经营业态和管理模式的不同，个人信息保护的内容和形式也不尽相同，但是笔者认为，基于个人信息保护合规管理领域对企业的基本要求，建议企业应采取以下管理措施进行应对。

一是明确个人信息保护合规管理目标。个人信息保护是道德义务与法定义务交叉的领域，虽然近年立法、执法和司法解释有了较大发展，但在理论和实务上都存在很多争议问题，各企业在实践中的做法也有较大差异。企业应在总部层面明确个人信息保护的合规立场，并在各相关下属企业层面，结合经营管理实际明确具体的合规管理目标，如企业应在诚信合规准则等纲领性文件中申明管理层对个人信息保护的态度和原则。

二是明确个人信息保护合规管理职责。个人信息保护适用合规管理“三道防线”的一般原则，即业务部门是合规风险防范的第一道防线。企业在总部层面和各二级企业层面应明确个人信息保护合规牵头管理部门；如果企业已经设立了合规管理综合部门，则由该部门负责牵头管理；如果尚未设立合规管理综合部门，应由不承担业务职能的中立部门负责牵头管理，以避免出现职责冲突。

三是持续关注合规义务的发展变化。我国关于个人信息保护相关法律规范仍在不断出台和更新，不同社会舆论也在碰撞，企业应持续关注相关变化，及时调整合规管理目标、风险判断标准和管理措施，避免成为违规典型，同时也要避免“因噎废食”阻碍业务发展。

四是在相关下属企业开展深化合规风险评估。个人信息保护义务的承担主体不限于企业总部层面，企业总部在明确个人信息保护基本原则和管理模式后，应要求下属单位结合经营管理实际深化合规风险评估，识别与个人信息保护合规风险存在关联的业务流程、环节、岗位和人员，提高个人信息保护举措的针对性和可操作性。

五是落实合规管理措施。适用于个人信息保护的具体合规管理措施包括：

合规审查。合规审查的对象包括涉及个人信息收集和使用的业务模式、业务流程、管理制度、管理表单、信息化开发项目、App功能等。
个人信息及隐私协议。除非属于法定豁免的情况，企业在收集个人信息前，应通过协议方式获得个人信息主体的同意。如果使用App等信息工具收集个人信息，应符合相关管理规范。
合规条款。企业在涉及个人信息收集和使用的商业合作、业务外包或信息化开发项目中，通过合同条款的形式，明确交易对方的合规责任和义务。
合规培训。对于参与个人信息管理和在日常工作中接触个人信息的企业员工，强制其参加个人信息保护合规年度培训。
管理制度。制定个人信息保护专项管理制度，明确个人信息收集、存储、使用、分享和销毁全生命周期的管理原则、管理职责和管理程序。
保密管理。强化公司内部保密信息分级管理、保密信息接触和使用权限控制、个人信息档案资料管理。
数据安全管理。对于以电子形式存储在公司信息系统中的个人信息，进行全面的数据资产盘点，识别数据存储方式、接触权限、使用权限、数据流向等，评估现有数据安全措施是否满足公司需要，并对缺陷问题进行改进。
个人信息意外泄露应急响应预案。制定预案，明确意外事件分级处理方法和响应程序。