15010055730

联系电话

地址:北京朝阳区广渠路21号金海商富中心B座705

Copyright ©2019 北京一法企业管理有限公司  All rights reserved  京ICP备16058371号  网站建设:中企动力 北京

战略合作伙伴:   因特律师事务所 |   法智易  |  大连大学人文学部  |  知识产权出版社  |  法律出版社  | 

>
>
>
排查企业数据合规风险的五步骤,从考拉征信董事长被抓说起

标杆案例

排查企业数据合规风险的五步骤,从考拉征信董事长被抓说起

导读

上周,多家媒体爆出北京考拉征信服务有限公司(以下称“考拉征信”)的法定代表人、董事长、销售、技术等20余名涉案人员被抓。据传,考拉征信从上游公司获取数据接口后又违规将查询接口出卖,并非法缓存公民个人身份信息,供下游公司查询牟利,造成公民身份信息包括身份证照片的大量泄露,上亿条公民姓名、身份证号、身份证相片这些极其隐私的个人信息被相关公司包装成数据产品进行贩卖,严重侵犯了公民个人隐私,相关涉案人员已经因侵犯公民个人信息罪被法院判处了相应刑罚。

 

 

这已经不是大数据类型的公司第一次爆出此类新闻,半年来,数据查询业务逐渐暂停,只服务老客户而不再拓新,爬虫类的产品也慢慢销声匿迹,大数据类公司员工因为侵犯公民个人信息罪而被警方带走调查羁押的也不在少数。可以看出,数据合规的监管手段逐渐加强,老百姓维权意识也在不断提高,据悉,不少案件来自于个人举报获得的线索。

2019年以来,监管部门先后开展多次整治行动,中央网信办、工信部、公安部、国家市场监管总局开展APP违法违规收集使用个人信息专项治理;公安部组织全国公安机关开展净网行动,打击侵犯公民个人信息违法犯罪;工信部于2019年11月起,开展APP侵害用户权益专项整治工作。

同时,相关监管政策也在紧锣密鼓地筹备当中,《信息安全技术 个人信息安全规范》征求意见稿已修改三次,《儿童个人信息网络保护规定》已于今年落地,《数据安全管理办法》以及《个人信息保护法》等有望不久后正式发布。

在个人信息保护监管趋严的当下,作为法务人员,我们应该怎样开展自查自纠、防范于未然的合规工作,笔者结合曾经的法务经验和当前的律师经验,与大家分享一二。

实践中,生存优先的中小企业负责人更加注重刑事责任,而行政责任、企业商誉等并不在特别优先考虑范围,这也和企业的发展阶段有关,稳步发展前总会经历一段野蛮生长期,就像很多大数据公司,成立之初,数据匮乏,数据积累的过程本身就带有原罪,数据收集渠道广泛而无法解释具体来源,这就不难理解为何如此轻易就触犯侵犯公民个人信息罪。

作为法务人员,首先需要熟悉刑事罪名的内涵和外延,了解法律红线,才能准确判断企业行为的法律风险。如侵犯公民个人信息罪,根据刑法第二百五十三条,该罪包含了三种情形,即,违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的;违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的;窃取或者以其他方法非法获取公民个人信息的。最高院的司法解释对这三种情形都有进一步的说明,笔者在此不赘述。

需要注意的是,要准确把握该罪中“公民个人信息”、“国家有关规定”、“情节严重”的范围界定,另外注意企业行为是否可能构成侵犯公民个人信息罪的共犯。

除了侵犯公民个人信息罪以外,还要注意是否可能触犯其他罪名,如由于使用爬虫技术而构成非法侵入计算机信息系统罪、非法获取计算机信息系统罪、破坏计算机信息系统罪,以及侵犯商业秘密或著作权等。

其次,作为法务人员要了解如何排查企业数据合规风险,笔者通过以下几个步骤提出一些建议以供参考:

1、排查数据源

首先,法务人员应该审查本公司是否收集个人信息,收集的途径有哪些,每种收集途径又包括哪些合作机构,明确不同途径收集个人信息的范围、内容、使用目的,排查数据源是评估数据合规的前提。

一般来说,数据收集的途径包括直接收集、间接收集以及通过爬虫技术爬取。直接收集通常是通过自有网站或APP与信息主体交互,用户直接填写或提供,间接收集主要是通过第三方渠道获得,包括购买、共享、交换等。

2、分析数据源的合法合规性

分析数据源的合法合规性时,也要区分三个场景。

在公司直接收集个人信息的场景中,分析公司网站或APP是否完整全面地向用户公示了收集使用规则,是否划分了基本业务功能和扩展业务功能,是否符合最小必要原则,是否存在一揽子授权或强制授权等。

在公司间接收集个人信息的场景中,分析个人信息提供方向公司共享的是个人信息还是用户画像,个人信息提供方是否有合法数据来源,是否已获得信息主体的授权同意,公司是否对个人信息提供方进行了必要审查,是否在协议中明确双方的责任和义务等,如果涉及个人信息提供方向公司开放数据接口,还需要确认获取数据的范围和种类。

本月,中国互联网金融协会向其会员发布了《关于增强个人信息保护意识依法开展业务的通知》,其中第二条明确指出:未经消费者授权同意,各会员机构不收集、处理、使用和对外提供消费者个人信息。各会员机构不以默认授权、概况授权、功能捆绑等误导、强迫消费者的方式收集个人信息,不与违规收集和使用个人信息的第三方开展数据合作,不滥用、非法买卖和泄露消费者个人信息。

在公司使用爬虫技术爬取个人信息时,需要分析该爬虫技术是否会绕过被爬网站的防护机制,是否严重影响被爬网站的运营,是否会侵入计算机系统获取后台信息等。

3、分析数据的应用场景

当发现某一数据源为非法或不合规时,找出该数据源所服务的产品,评估该数据源是否必要,是否可以找到替代数据源或替代数据,在这一过程中,需要法务人员与产品研发共同确认替代数据的可行性,如是否可以使用群体画像等粗颗粒度信息。

4、数据存储环节排查

收集来的数据是否是实现目的所必须的存储期限,到期后是否删除或匿名化处理,加密措施是否与数据的敏感程度相匹配,如对生物识别信息的存储是否采用TEE等安全系统,是否对接触数据的员工设定最小访问权限。

5、数据使用环节排查

鉴于获取和对外提供数据都有可能触犯刑罚,排查完数据收集、存储环节,再来排查数据使用环节。

首先,需要明确个人信息使用在公司哪些产品和应用上,该使用行为是否与公司公示的收集使用规则一致,是否会损害信息主体的权益,如个人信息使用目的超出收集使用规则范围,则需要再次获得用户授权。

个人信息对外提供情形,分为委托处理、共享、转让、公开披露等,不同的场景需要分别核查其合规性。

委托处理场景通常指,公司委托其他合作机构进行数据清洗、梳理、分析,在该模式下无须获得信息主体的授权同意,但是注意,受托处理者应当保证在完成受托任务后,删除或匿名化处理所接收的个人信息,公司不仅要在协议中约定其责任和义务还需要审查其是否将个人信息删除或匿名化处理,防止受托者对个人信息进行超过委托范围的使用。

在共享转让场景下,公司不仅要进行个人信息安全影响评估,还要获得信息主体对于共享转让的授权同意,请注意,这里的同意需要明示同意,而不是一揽子授权同意,也就是说,公司要保证信息主体知晓其个人信息被共享转让的事实。如公司未获得授权进行共享转让,就有可能构成侵犯公民个人信息罪中的合法收集非法提供情形。

公司对个人信息进行公开披露时,也需要进行个人信息安全影响评估以及获得信息主体的授权同意,尽量避免公开披露个人敏感信息,且不应损害信息主体的合法权益。

这时有法务朋友说了,即使完全掌握上述合规审查要点,也需要其他部门的配合,尤其是业务部门,数据的收集使用涉及公司利益和个人利益,在业绩驱使下,业务部门往往倾向于对抗而不是配合,而且公司领导层的支持也很关键,在合规意识不高的公司,很难开展工作。

这些确实是合规工作开展的困境,没有其他部门的配合,法务人员再专业也难以施展,这时就需要运用专业知识去影响他人,向公司领导层传达目前的监管形势,向其他部门分析产品可能出现的法律风险,争取可以参与到数据合规的排查甚至是产品设计的合规工作中去。即使在一些重视合规风险的企业,也需要法务人员不断宣导法律风险才能得到足够的支持和配合。

如果发现公司运营过程中存在数据合规法律风险,而公司领导层无意整顿改变,那么作为法务人员,尤其是法务负责人,就要认真评估自身的职业风险。

写在最后,除了前述集中于刑事法律风险的排查外,目前的监管对于网络运营者的监管重点仍旧是隐私政策和权限管理,法务人员还需要关注《信息安全技术 个人信息安全规范》、《APP违法违规收集使用个人信息自评估指南》、《APP违法违规收集使用个人信息行为认定方法(征求意见稿)》、《互联网个人信息安全保护指南》、《信息安全技术 移动互联网应用(App)收集个人信息基本规范(草案)》等政策性文件。


小编微信:Crocso 如欲就法务与合规管理进行交流、培训、咨询等,可与我联系,将为您推荐大咖老师、资深专家和律师。