大数据时代信息的流动和共享在给人们带来便利的同时,也带来信息泄露和信息侵权风险。为此, 国家相继出台一系列法律法规、监管规定,加强对个人信息权利和基本自由的保护,亦对企业合规经营提出新的要求。结合2021年发布的《个人信息保护法》《数据安全法》等法律法规,现对个人信息保护合规风险进行如下提示。
一、什麽是个人信息
个人信息,是以电子或者其他方式记录的与识别或者可识别的自然人有关的信息,不包括匿名化处理後的信息。个人信息具体包括:自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。
二、如何处理个人信息
个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。
(一)处理个人信息的基本原则和要求
处理个人信息时,应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。符合以下情形之一的,方可处理个人信息:(一) 取得个人的同意;(二)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需; (三)为履行法定职责或者法定义务所必需;(四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;(五)为公共利益实施新闻报导、舆论监督等行为,在合理的范围内处理个人信息;(六)依照法律规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;(七)法律、行政法规规定的其他情形。处理个人信息应当取得个人同意,但是前述第二项至第七项规定情形的,不需取得个人同意。
个人信息处理前,应当以显着方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:(一)个人信息处理者的名称或者姓名和联系方式;(二)个人信息的处理目的、处理方式、处理的个人信息种类、保存期限;(三)个人行使法律规定权利的方式和程序; (四)法律、行政法规规定应当告知的其他事项。
(二)处理个人信息的几种特殊情况
共同处理个人信息,应当约定各自的权利和义务。
委托处理个人信息,应当与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等,并对受托人的个人信息处理活动进行监督。因合并、分立、解散、被宣告破产等原因转移个人信息,应当向个人告知接收方的名称或者姓名和联系方式;接收方应当继续履行个人信息处理者的义务。向其他个人信息处理者提供处理的个人信息,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类, 并取得个人的单独同意。利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇;通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特徵的选项,或者向个人提供便捷的拒绝方式。处理个人敏感信息,应当取得个人的单独同意。
因业务需要跨境提供个人信息,应当具备下列条件:(一)通过国家网信部门组织的安全评估; (二)按照国家网信部门的规定经专业机构进行个人信息保护认证;(三)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;(四)法律、行政法规或者国家网信部门规定的其他条件。个人信息处理者应当采取必要措施,保障境外接收方处理个人信息的活动达到法律规定的个人信息保护标准。
三、哪些行为是明确禁止行为
个人信息处理中的不得从事的行为包括:任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息; 提供具有收集使用者信息功能的网络产品、服务时, 未向使用者明示及取得同意;收集与提供的服务无关的个人信息;违反法律、行政法规的规定和双方的约定收集、使用个人信息;未依照法律、行政法规的规定和与用户的约定,处理保存的个人信息;泄露、篡改、毁损收集的个人信息;未经被收集者同意,向他人提供个人信息,但经过处理无法识别特定个人且不能复原的除外;窃取或者以其他非法方式获取个人信息;非法出售或者非法向他人提供个人信息;未经消费者同意或者请求,或者消费者明确表示拒绝的情况下,向其发送商业性信息;其他禁止行为。
四、违规处理个人信息承担何种责任
违反相关规定,侵害个人信息依法得到保护的权利,将可能会承担行政、民事及刑事三重责任。
行政责任:责令改正,给予警告,没收违法所得, 对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。情节严重的,责令改正,没收违法所得, 并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人,其他需承担的行政处罚责任。
民事责任:停止侵害、消除影响、赔礼道歉并赔偿损失。
刑事责任:违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照该款的规定处罚。
五、合规风险提示
(一)集团各单位在日常经营、管理中涉及客户、合作夥伴、员工信息的收集、存储、使用、传输、提供等个人信息处理事项,特别是涉及上述信息在集团内、外部不同法人主体转移的业务外包、客户信息归集用於商业经营等经营管理事项,应严格遵循相关法律法规、监管规定,对自身无法准确判断的相关事项,应及时谘询本级企业合规管理部门意见。
(二)集团各级企业合规管理部门,应系统学习个人信息保护领域法律法规、监管规定,及时向本级企业经营、管理单位提供合规谘询意见,根据工作需要进行新规解读;持续跟踪关注有关司法判例、行政处罚案件,梳理总结主要合规风险点,协助企业经营管理单位做好个人信息合规风险防范、管控、应对和化解工作。
( 作者现供职於集团法务和风险管理部)