APP下载

《个人信息保护法》背景下企业如何进行有效管理和风险防范

2022-11-21秦美虎

法制博览 2022年3期
关键词:个人信息保护法信息处理保护法

秦美虎

北京大成(兰州)律师事务所,甘肃 兰州 730000

一、企业经营中涉及的个人信息及敏感个人信息

个人信息的有效保护不仅关乎对个人隐私及名誉的保护,而且是保证言论自由和思想自由的重要前提,如果个人知道会因自己的言论导致非难,必然会走向内心的自我监督,这严重损伤了我国《宪法》所赋予的言论自由的权利。根据《个人信息保护法》第四条以及第二十八条的规定,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。具体而言,企业在内部人事管理、安全维护、日常运营、对外开展业务等过程中,接触的包括自然人的姓名、出生年月、个人身份证件号码、住址、电话、邮箱、医疗、行踪等员工信息或客户资料,均属于个人信息,企业在对该类信息进行收集、存储、使用、加工、传输、提供、公开、删除等时均应符合法律、行政法规的规定,并采取措施防止信息泄露、篡改、丢失。同时,上述个人信息中涉及种族、民族、宗教信仰、指纹、人脸识别信息等个人生物特征、医疗健康信息等的信息,以及不满十四周岁未成年人的个人信息属于敏感个人信息,法律对此类信息的保护更为严格,即企业只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下方可处理。

二、企业在经营管理中处于个人信息处理者的法律地位

根据《个人信息保护法》第七十三条的规定,个人信息处理者,是指在个人信息处理中自主决定处理目的、处理方式的组织、个人。企业在日常的经营管理中,无可避免地需要按照企业管理制度和流程收集、存储、使用员工或客户的个人信息,如在用工过程中掌握的企业员工姓名、身份信息、联系方式、银行账户等个人信息,在对外经营中获取的客户信息等,这就必然会涉及自主决定处理此类个人信息的目的和方式,因此,企业在处理和使用此类信息时,显然是处于个人信息处理者的法律地位[1]。同时,《个人信息保护法》第五十一条通过“个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响,采取相关措施防止个人信息的泄露和丢失”的规定,对企业权力作出了限制,避免因滥用个人信息导致个人数据成为控制私人的一种武器,为私人带来巨大的经济乃至精神损失。

三、《个人信息保护法》下企业存在的法律风险

(一)采集员工个人信息时未事先告知并取得其同意的风险

根据《个人信息保护法》第七条、第十三条、第十四条、第十五条、第十七条、第二十三条的规定,事先告知和取得个人合法有效同意是企业处理个人信息的合法性基础之一。因此,企业在处理个人信息前,应当将信息处理目的、处理方式、保存期限、个人权利行使方式和程序等事项以显著方式,真实、准确、完整地告知员工,取得其同意,并提供便捷的撤回同意的方式。处理目的、处理方式发生变更的,应当重新取得员工同意。若未事先征得员工同意或该同意是未经充分告知前提下做出,将可能引发侵权风险。

(二)超出必要范围收集、处理员工信息的风险

根据《个人信息保护法》第六条、第十条的规定,企业作为个人信息处理者在处理个人信息时,要遵循两个“最小”一个“最短”原则,即收集使用个人信息应当具有明确、合理的目的,并限制在对个人权益影响最小的方式和实现处理目的的最小范围,不得过度收集员工及客户的个人信息;除法律、行政法规另有规定外,个人信息的保存期限应不超过为实现处理目的所必要的最短时间。企业在日常管理中,应加强个人信息采集的事前必要性评估,慎重确定员工或客户的个人信息获得范围,即需采集的信息应视为订立、履行合同或按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需等。例如为防止员工从事与工作无关的个人行为或其他不当行为等,可能对其工作过程进行监控[2],或者出于考勤管理的需要,在核实缺勤、安排休假、审核外勤及差旅、病假等场景中要求员工提供其行踪、医疗记录等,均有必要在事前进行合法性、合理性、必要性的评估,选择对员工隐私侵犯最小的方式或采取替代性方案进行管理,并对员工进行充分的告知,有时还需获得员工授权,避免可能的风险与纠纷。

(三)对个人信息管理不当的风险

1.企业委托第三方机构处理个人信息的风险。根据《个人信息保护法》第二十一条第一款的规定,企业在日常管理中,如需委托第三方处理个人信息,首先,应在事前向涉及的员工告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得其单独同意。其次,应通过签订书面协议的方式,与受托人约定委托处理的目的、期限、处理方式、信息的种类、保护措施以及双方的权利和义务等。此外,在委托合同履行过程中,企业应加强对受托人的信息处理活动进行监督,使得受托人处理个人信息的目的、方式等不超出约定,否则将可能出现信息泄露的风险。

2.企业受托处理个人信息时操作不当的风险。根据《个人信息保护法》第二十一条第二款、第三款的规定,企业在作为受托方处理个人信息时,应严格按照约定进行,确保处理个人信息的目的、方式等符合约定,且未经信息委托方同意,企业也不得再转委托他人处理上述个人信息。如果根据相关法律法规规定,导致委托合同不生效、无效、被撤销或者终止的,企业应当及时将受托处理的个人信息全部返还给委托方或者予以删除,不得擅自保留,否则,也容易引发侵权风险。

3.因公司合并、分立、解散等转移个人信息的风险。根据《个人信息保护法》第二十二条的规定,企业如出现合并、分立、解散、被宣告破产等情形,需要转移个人信息的,应及时向所涉及的员工或客户告知义务接收方的名称或者姓名和联系方式。企业如果是接收方,则应继续妥当履行个人信息处理者的义务。且处理个人信息的目的、方式与之前相比发生变化的,企业应当重新取得所涉个人的同意。

4.不当公开员工个人信息的风险。根据《个人信息保护法》第二十三条的规定,企业因对外宣传、业务合作等方面的需要向第三方提供员工信息或应其他机构要求配合披露个人信息时,应事先向涉及的员工告知接收方的名称或者姓名、联系方式、处理所涉及的信息种类、方式以及处理目的,并确保取得员工的单独同意,否则可能会出现侵权的风险。

5.员工离职后未及时对其个人信息更新、删除的风险。根据《个人信息保护法》第四十七条的规定,个人信息处理者停止提供产品或者服务,应当主动删除个人信息。因此,在员工离职后,企业应就其个人信息如何处理及时与员工本人进行协商、约定,如员工提出删除请求的,企业应及时对自身掌握的员工个人信息库进行全面更新或删除,避免侵权风险。

6.因员工死亡而忽略对其个人信息继续妥善管理的风险。根据《个人信息保护法》第四十九条的规定,自然人死亡的,其近亲属如因保障自身的合法、正当利益需要,有权对死者的相关个人信息进行查阅、复制、更正、删除等,企业相应地负有在此过程中做好配合的义务,例如为死者近亲属提供死者个人信息的访问途径和方式,避免侵权风险。

7.对客户信息保管及处理不当导致客户信息外露的风险。根据《个人信息保护法》第二十五条、第五十一条的规定,客户信息作为企业的重要商业秘密,是企业深入了解合作伙伴、更好经营合作关系、不断提升核心竞争力的有力武器。因此,在未经客户的单独同意时,任何人不得公开其相关资料信息,且企业在日常管理中应通过采取合理手段确定相关客户资料的操作权限等措施防止员工未经授权非法查询客户资料甚至泄露、篡改客户的资料信息等行为的发生,避免丧失客户信任导致客户流失,甚至引发民事纠纷。

(四)新冠疫情中收集和使用员工个人信息的风险

在当前新冠疫情防控逐渐常态化的新形势下,企业出于配合国家疫情防控措施和保护员工及他人健康的需要,往往需全面掌握员工与疫情相关的信息,例如员工的姓名、性别、地址、电话号码、电子邮箱等基本个人信息,以及员工的近期旅行记录、所乘交通工具、住宿信息、个人健康情况、隔离场所等个人敏感信息。此外,对于疑似病例,企业也有可能根据主管部门需要进一步收集疑似患者的密切接触者(例如家人及朋友)的信息。虽然《个人信息保护法》已经规定在“应对突发公共卫生事件”或者“紧急情况下为保护自然人的生命健康和财产安全所必需”的情形下,收集个人信息无需以取得员工个人同意为前提,但企业仍需注意遵循最小范围原则,避免对员工信息的过度收集[3]。同时,对上述信息收集后仅限于配合疾病预防控制机构、医疗机构有关传染病的预防、控制和治疗工作的范围内使用,不得用作其他用途。

(五)使用指纹或人脸识别等方式进行安全管理的风险

根据《个人信息保护法》第二十六条、第二十八条的规定,无论是指纹认证抑或是人脸识别,都属于敏感个人信息的一种,一旦泄露极易对当事人的人身和财产安全造成重大危害,甚至还可能威胁公共安全,故必须对其适用范围进行严格限制,只有在具有特定的目的和充分的必要性时方能使用。如企业基于安全管理措施的需要,在门禁、监控系统中添加员工个人指纹或面孔等生物识别信息时,应当取得员工同意,如果没有事先告知并征得员工同意,将存在侵权风险。

(六)滥用自动化决策处理客户信息的风险

自动化决策,是指通过事先预设好的算法,借助计算机程序对个人(尤其是消费者)的行为习惯、兴趣爱好或者经济、健康、信用状况等进行自动分析、评估以及决策的活动。根据《个人信息保护法》第二十四条、第五十五条、第五十六条的规定,企业在利用大数据对客户信息进行自动化处理(包括但不限于商务信息推送、商业广告营销、产品服务推荐等)时,不仅应遵守个人信息处理的一般规则,保证决策事项合法、正当、必要,决策结果公平、公正、透明,还应当在事前就相关事项向客户进行充分告知并取得其同意,且为客户提供不针对其个人特征的选项,或者向其提供便捷的拒绝方式,不得擅自以其不同意为由拒绝提供产品或者服务,也不能因此对客户实行不合理的差别待遇。

(七)个人信息跨境的风险

在当前经济全球化发展趋势下,企业对外联系日益紧密,尤其对跨国公司而言,经常会面临因内部人力资源统一管理需要,对全球范围的员工进行统一管理与信息处理,这就可能涉及员工个人信息的频繁跨境传输问题。根据《个人信息保护法》第三十八条、第三十九条的规定,企业向境外提供员工个人信息的,需至少满足以下条件之一方可进行:1.通过国家网信部门组织的安全评估;2.按照国家网信部门的规定经专业机构进行个人信息保护认证;3.按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务。同时,企业还应在事前就境外信息接收方的名称和联系方,信息的处理目的、方式、种类以及员工主张权利的方式和程序等内容向员工进行充分告知,并征得其单独同意。

四、《个人信息保护法》下企业如何实施有效管理和风险防范

(一)企业个人信息管理应遵循的基本原则

1.合法、正当、诚信原则,即企业处理个人信息应当合法、正当、必要且诚信,不能以误导、欺诈、胁迫等方式处理个人信息。

2.最小程度原则,即企业处理个人信息的目的应明确、合理,并在实现目的的最小范围内以对其权益影响最小的方式处理个人信息,避免过度收集。

3.公开透明原则,即企业处理个人信息的手段、过程等应公开、透明。

4.完整性和准确性原则,即企业有义务保证信息处理的质量,避免因处理不当导致个人信息不准确、不完整,进而对其权益造成不利影响。

5.安全保障原则,即企业负有保障所处理的个人信息安全的义务。

(二)企业实施管理和防范风险的具体方式

1.加强组织保障。随着《个人信息保护法》的出台,企业按照传统的“管理-服从”模式已无法适应时代发展的需要,企业管理者应转变管理思想,放下身段,从单一制度的制定者转变为具体制度的践行者,尤其是《个人信息保护法》“法律责任”章明确规定,违法处理个人信息情节严重的,不仅要对企业实施处罚,也要对企业主管人员和直接责任人员以罚款、职业禁入等处罚措施,并记入信用档案。有其他违法行为的,还可能承担民事责任、遭受行政处罚甚至追究刑事责任。因此,企业管理层更应该带头落实《个人信息保护法》的各项规定,大力支持相关执行部门工作,保障企业经营依法合规。

2.建立健全内部管理制度和操作规程。首先,企业应当注意根据不同类别个人信息在处理目的、方式、对权益的影响、安全风险等方面的差异,制定相对应的管理制度和操作规程,包括但不限于:个人信息的告知、收集及使用制度,敏感个人信息的特殊处理制度,安全保护制度(包括信息传输、存储等),个人信息共享、提供、转让规则,个人信息跨境传输规则,应急预案管理制度,审计制度以及相应的操作流程等,确保个人信息处理活动在符合法律、行政法规的框架内进行。其次,加强动态管理,根据个人信息保护的法律法规变化和监管动态,及时对现有的规章制度进行更新完善,将外部有关合规要求转化为内部规章制度。同时,加强从个人信息收集、传输、存储到处理、删除等各环节的衔接和涵盖全流程的管理,严格注意各流程的权限管理。必要时,可以考虑从公司层面成立相关部门,并指派专人负责,保障相关制度及措施的有效实施。

3.对个人信息实施分类分级管理。企业应根据自身经营实际,梳理个人信息收集、使用、存储及处理的不同场景,并在此基础上,对需要处理的信息进行分级分类,针对不同情景下的不同信息制定更细化的规定,包括处理权限、流程等的区分。尤其是对敏感个人信息和未成年人(未满十四周岁)个人信息,相关的程序和保护措施要求较之一般个人信息要更加严格。例如收集电话号码与收集人脸信息时,由于后者属于生物识别信息,属于敏感个人信息的范畴,获取授权时在程序上较前者要更加严谨。此外,如对个人信息的处理可能会对其权益产生重大影响时,必须在事前进行妥善、合理的评估,并对处理情况进行记录,相关评估报告和处理情况应至少保存三年。

4.采取安全技术措施保障信息安全。有条件的企业应采用建立防火墙、匿名化、加密、去标识化等安全技术措施来保护其所处理的个人信息。匿名化,是指个人信息经过处理无法识别特定自然人且不能复原的过程。通过匿名化处理后的数据,可以应用到更多的业务场景,甚至是形成企业所独有的数据资产,为企业带来收益。

5.加强员工信息安全培训教育,牢固树立信息保护意识。通过培训明确个人信息保护的概念与重要意义,以及泄露客户个人信息应承担的法律责任,并通过不定期抽查或现场考试等形式倒逼员工不断增强自我保护意识和风险防控能力。企业应妥善保留培训及考核记录,并将培训结果作为员工年度考核内容之一。加强对客户信息处理各个业务环节的控制,加强数据流向管理,并明确每环节数据保护责任人,严防客户信息泄露。

6.建立健全安全事件应急预案。企业应结合自身经营实际,制定或完善企业个人信息安全事件应急预案,包括应急响应的组织机构和工作机制、责任机制等,并依据预案要求定期组织实施演练。一旦发生危及企业信息安全的事件,企业及时启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。

7.开展合规审计。企业应对自身个人信息保护制度的制定、相关规程和安全措施的有效性,个人信息处理活动监测记录情况,安全事件应急处置情况,个人信息违规使用、滥用及追责情况等定期进行合规审计,确保符合法律法规要求。

8.谨慎使用自动化决策工具用于信用评估、商业营销等活动。在自动化决策前,需进行安全影响评估(评估情况应至少保存三年),并通过隐私政策或公告、站内信的方式,向客户告知自动化决策的存在、应用场景、基本的运行逻辑及可能对个人产生的影响。

9.关注司法动向。由于《个人信息保护法》刚出台,一些内容具体如何实施仍不明确,例如,如何区分个人信息和隐私,互联网企业应如何成立外部独立监督机构等。在此情况下,关注并学习相关司法解释以及司法裁判,可以为企业如何开展个人信息保护工作提供有效的指引和导向,有利于企业规范合法推动个人信息保护。

10.加强特殊情形下个人信息的妥善处理。例如在遭遇新冠疫情等特殊公共卫生事件时,企业对其收集的员工信息,应采取严格的管理和技术防护措施妥善保管,防止信息被窃取或泄露。即便是因联防联控工作需要公开,也应对相关信息进行脱敏处理后再行发布。

五、结语

随着大数据时代的到来,个人信息作为一种重要的社会资源越来越被人们所重视,公民的个人维权意识不断增强。企业作为重要的个人信息处理主体,在日常经营中其管理权的行使难免会与员工或客户的个人信息受保护权产生碰撞、摩擦,进而引发相应的法律风险。因此,企业应在遵守国家法律法规的前提下,采取有效措施保障个人信息不受侵犯,确保企业自身利益的最大化。

猜你喜欢

个人信息保护法信息处理保护法
我国将加快制定耕地保护法
东营市智能信息处理实验室
未成年人保护法 大幅修订亮点多
地震烈度信息处理平台研究
聚众淫乱罪的保护法益及处罚限定
CTCS-3级列控系统RBC与ATP结合部异常信息处理
个人信息的法律保护
个人信息保护法在大数据时代的适用和域外效力
个人信息保护法域外效力研究