企业的个人信息保护义务

个人信息保护是中国近年来比较受人关注的一个话题。尽管时至今日,中国仍未出台统一的《个人信息保护法》,但立法呈现出对于个人信息保护的强化趋势,特别是 2012 年末《关于加强网络信息保护的决定》(“《决定》”),作为全国人大常委会公布的法律,标志着企业的个人信息保护义务被立法确定下来。

《民法通则》、《侵权责任法》对于个人信息之保护局限于个人隐私之范畴,且对于企业的个人信息收集使用并无特别规制。《刑法修正案七》虽然规定了“出售、非法提供公民个人信息罪”、“非法获取公民个人信息罪”,但是对于规制主体限定为国家机关或者金融、电信、交通、教育、医疗等单位。2011 年工信部出台的《规范互联网信息服务市场秩序若干规定》对互联网服务供应商(ISP)如何收集、使用其用户的个人信息以及如何保护用户个人信息进行规范,但该规定主要针对对象互联网服务供应商,并不包括其他企业。

为了应对频发的“个人信息泄密门”事件,2012 年 12 月全国人大常委会通过了《决定》,在明确个人电子信息基本范围(即“能够识别公民个人身份和涉及公民个人隐私的电子信息”)的基础上,对网络服务提供者和其他企业事业单位收集、使用个人信息作了规定,明确了企业对个人信息的保护义务。

但是,《决定》保护对象限于个人电子信息,同时对于企业的个人信息保护义务的规定还是比较原则的,其主要包括:(1)目的明确原则。企业在“收集、使用公民个人电子信息,应当明示收集、使用信息的目的、方式和范围”。(2)被收集者同意原则。(3)个人信息的收集及使用规则必须公开原则。(4)严格保密原则。企业及其员工“对在业务活动中收集的公民个人电子信息必须严格保密,不得泄露、篡改、毁损,不得出售或者非法向他人提供”。(5)妥善保管原则。相关企业“应当采取技术措施和其他必要措施,确保信息安全”,“在发生或者可能发生信息泄露、毁损、丢失的情况时,应当立即采取补救措施”。

对于企业而言,如何全面、适当履行个人信息保护义务,以防范个人信息泄密事件的发生,成为一个重要的课题。

建议企业可以参照工信部《信息安全技术公共及商用服务信息系统个人信息保护指南》(非强制性标准,2013 年 2 月 1 日起施行)的相关规定,结合企业实际状况,建立企业自己的个人信息保护制度。一般来说,企业的个人信息保护制度主要包括两个方面:

对企业员工的个人信息保护。可以采取的主要措施包括:告知员工收集个人信息数据的范围和目的;要求员工入职时签署确认书,同意公司收集、使用员工提供的个人信息;规定员工个人信息保管、使用的人员、条件和程序等,并严格监督执行。

对企业用户的个人信息保护。可以考虑的主要措施有:制定统一的用户个人信息收集规则,并通过公司网站、手册、咨询窗口等合理的途径公开;要求用户签署信息收集使用同意书,并严格对相关文件进行管理;明确限定知晓用户个人信息的员工的范围,并要求相关员工签订保密承诺;建立完善的用户个人信息使用、管理、审批制度;建立用户个人信息定期审核、删除制度,对于符合法律法规或者公司规定年限的过期信息,及时予以删除等等。