中国个人信息保护的法律规制新动向及实务应对

        “听说现在做电话推销可能要坐牢呢。”“本来打算搞个应用软件方便员工请假、查工资的,但听说企业风险很大啊。”……最近,与个人信息保护相关的一系列法律、法规、司法解释的出台,以及相关案件的报道,使得越来越多的企业关注个人信息保护相关问题。

        然而,一知半解或者道听途说往往使人惶恐却无济于事。对于企业而言,更需要去理性地了解:个人信息保护的哪些新规与企业经营相关,对此企业又该如何降低相应的法律风险。

        2017年6月1日起,新施行的涉及个人信息与网络安全的新规包括:《中华人民共和国网络安全法》、《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》、《互联网新闻信息服务管理规定》及其实施细则。

        结合现行法和上述新规的内容来看,企业可以从收集、使用、转移等几个方面防范个人信息保护相关的法律风险。

        首先,关于信息收集,应当需要遵循合法原则、同意原则和必要性原则。

        所谓合法原则,是指不得通过买卖、或者黑客入侵等手段非法获取个人信息。根据《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的,即可入刑。

        《网络安全法》第22条明确规定:“网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意……”。实践中,很多企业为了更好地了解用户对产品的体验或者发展潜在客户需要收集用户/潜在用户的信息。当企业在收集相关信息时,应当注意通过合理的方式取得相关用户的同意。同时,如文首所述那样,通过网络平台或手机APP对员工进行信息化管理的企业越来越多。尽管根据现行《信息安全技术公共及商用服务信息系统个人信息保护指南》(以下简称《指南》)规定,对于一般个人信息可以采用默示同意,但考虑到国家对个人信息保护的重视(特别是《个人信息保护法》出台呼声越来越高),建议企业谨慎对待,可以考虑在网络平台或APP上注册页面设置“我已阅读并同意网站使用条款和隐私政策”的明显提示,只有当使用者点击该选项后才能成功注册,以视为同意该企业获取其个人信息。

        关于必要性原则,前述《指南》明确规定了“最少够用原则”。因此,无论是员工信息还是用户/潜在用户信息,企业均应仅仅收集与目的相符合的必要范围内的信息。

        其次,关于信息的使用,主要从两个方面控制其风险:

        一、使用目的限定。《指南》对此作了明确规定,要求企业不得在个人信息主体不知情的情况下改变处理个人信息的目的而加工、利用或转移,而且在达到预先目的以后,应当在最短时间内彻底删除个人信息。实践中,不少企业以为合法收集到的个人信息便是公司财产,可以使用不受限制的观点显然是错误的。

        二、采取合理的信息保护措施。根据《网络安全法》规定,应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。实务中,企业应当对网络平台或APP所储存的个人信息采取严格的加密措施,防止内部员工泄露所收集的个人信息或第三方的侵入盗取;企业应当将接触个人信息的人员限定为必要的内部员工及/或第三方合作伙伴的必要人员;此外,企业应当对个人信息存储设备定期进行安全评估。实践中,当发生个人信息泄露事件时,应当及时通知个人信息主体,以使其可以采取必要的措施,同时应当报告有关部门,配合执法部门的调查。

        此外,需要特别注意的是,《网络安全法》首次规定企业在中国境内获取的个人信息因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。因此,企业所收集到的个人信息原则上应当存储在中国,若要跨境,需要注意报审。