《团体信息保护法》三读经由过程,标记取我国对团体信息的破法保护方面上升到了新的高度;但绝对应的是,作为“信息处理者”的企业也有了法律上新的任务。作者 | 吕长军 中国传媒大年夜学法律硕士校外导师编辑 | 布鲁斯2021年8月, 我国《团体信息保护法》三读经由过程 ,标记取我国对团体信息的破法保护方面上升到了新的高度;但绝对应的是,作为“信息处理者”[1]的企业也有了法律上新的任务,包含:轨制完备任务、保险保证任务、团体信息分级分类任务、外部权限管理任务、信息品质与算法合规任务、信息主体权利保证任务、事先伤害评价任务(比方事先团体信息保护影响评价)、合规审计任务、以及特别处理者的任务等,因此须要依法树破起符合法律请求的团体信息及数据[2]合规体系。一、企业树破团体信息及数据合规体系的价值《团体信息保护法》中对企业提出了树破团体信息保护合规体系的请求,仿佛企业包袱减轻,但现实上企业按照《团体信息保护法》的请求来停止合规操纵有诸多的价值:其一,合规价值。我国先后出台的《收集保险法》、《数据保险法》跟《团体信息保护法》三部法律不只构建起团体信息跟数据保护的基本框架, 并且均明白请求企业树破数据(或团体信息)合规轨制,而《团体信息保护法》更是请求大年夜型互联网平台、营业范例复杂的企业 “应当按照国度规定树破健全团体信息合规轨制体系”[3];同时,诸多境外数据保护法律法则如GDPR等也请求企业树破数据及团体信息保护合规体系。可能说,树破团体信息及数据合规体系曾经成为现代企业的一项重要法律任务。其二, 品牌价值跟市场竞争力。在夸大年夜团体数据与隐私保护的大年夜情况下,企业在数据保险跟隐私保护方面的有效尽力,终极会掉掉落共同方的承认,更为重要的是可能掉掉落花费者的最后认同,这无疑将晋升企业的品牌价值跟市场竞争力。其三,降落企业伤害及增加丧掉。任何企业在团体信息及数据方面不合规的行动,均有可能产生行政考察、侵权诉讼、媒体曝光、乃至刑事案件等成果,将可能会为企业带来严重的经济跟名誉丧掉,包含行政处罚、诉讼赔偿、刑事处罚、客户消散等。其四,有助于应对行政监禁或诉讼。企业的团体信息及数据合规体系的完备,可能在必定程度上证明企业已充分尽到数据及团体信息保护的任务,可能有效助力企业应对监禁法律跟诉讼抗辩。二、《团体信息保护法》第51条下企业的合规任务在《团体信息保护法》中,第51条会合阐述了团体信息处理者的重要合规任务,包含轨制建立、信息分类、技巧办法、人员管理跟应急预案五个基本方面以及兜底的其他办法。第51条规定:团体信息处理者应当根据团体信息的处理目标、处理方法、团体信息的品种以及对团体权利的影响、可能存在的保险伤害等,采取下列办法确保团体信息处理活动符合法律、行政法则的规定,并避免未经受权的拜访以及团体信息泄漏、修改、丧掉:(一)制订外部管理轨制跟操纵规程;(二)对团体信息履行分类管理;(三)采取响应的加密、去标识化等保险技巧办法;(四)公道断定团体信息处理的操纵权限,并按期对从业人员停止保险教导跟培训;(五)制订并构造履行团体信息保险变乱应急预案;(六)法律、行政法计规定的其他办法。1、制订公司外部管理轨制跟操纵规程《团体信息保护法》请求团体信息处理者(企业)外部应树破完美的团体信息保护轨制以及操纵规程。1)健全外部管理轨制对企业而言,懂得跟梳理企业团体信息处理活动的目标、范畴跟方法,是停止信息处理管理的基本。在此基本上,须要收拾、制订顺应企业外部的团体信息相干轨制,包含但不限于:(1)团体信息收集、传输及处理轨制;(2)团体用户信息收集及处理告诉轨制;(3)团体信息保险保护轨制(包含传输、利用及数据库保险等);(4)信息分级分类管理轨制;(5)团体信息伤害评价轨制 ;(6)审计轨制等。除上述重要轨制外,企业外部管理轨制中还应有应急预案轨制、团体信息出境管理轨制等。(详见下文)外部轨制应存在合规性、可行性、完备性;也即既要符合法律法则请求,又要从企业本身现真相况出发,可操纵,同时应留神单方面覆盖响应各个营业条线, 存在完备性。2)制订团体信息收集、传输、存储及处理操纵流程流程与轨制相反相成。企业应留神“团体信息处理全流程管理”的重要性,履行从团体信息收集、传输、存储四处理、删除等各环节的连接跟涵盖全流程的管理,并在流程中应留神严格的权限管理。3)设置收集保险担任人、团体信息保护担任人等专职人员《收集保险法》请求收集运营者设置专门保险管理机构跟保险管理担任人,《信息保险技巧 团体信息保险标准》规定了团体信息把持者应当设置团体信息保护担任人,而GDPR则请求设置数据保护官。《团体信息保护法》不硬性请求全部的企业均设破“团体信息保护担任人”,而是请求假如处理团体信息达到必定”数量”, 则应设置团体信息保护担任人[4],但“数量”并未予以明白标准。当涉及的团体信息数据量较大年夜时,企业应当考虑设定团体信息保护担任人,由其停止相干任务的兼顾跟管理,在有须要的情况下可能考虑成破相干部分,担任树破外部合规管理轨制跟相干办法以致履行轨制及办法的履行。2、团体信息履行分级分类管理《收集保险法》、《数据保护法》跟《团体信息保护法》都提出要将数据停止分级分类管理。无论从合规或管理效力而言, 企业都有须要对数据停止分级分类管理。起首,梳理企业信息库存。搞清企业现在拥有哪些团体信息(数据)、承载团体信息的数据位于那边、怎样活动以及与哪些部分相干,是在企业中创建团体信息保护合规框架的基本。其次,明白所需信息, 去除非须要信息。对团体信息的处理,应满意《团体信息法》第6条提出的 “明白公道目标”以及“团体权利影响最小”两个原则。因此,企业应当明白其须要哪些范例的团体信息,经由过程清单等情势将所需信息的内容跟目标停止摆设,同时,应在企业体系中去除非须要的信息,并严格请求各部分不再停止收集或储存。再次,对须要处理的信息停止分级分类,以便进一步的管理,包含处理权限、流程等任务的辨别。其中,企业应对以下两类信息停止甄别并加以特别关注:1)敏感团体信息。敏感团体信息包含种族、平易近族、宗教信奉、团体生物特点、医疗安康、金融账户、团体行迹等信息。这类信息多与人身、财富保险相干,因此遭到法律特别保护,相干的顺序跟保护办法请求较之一般团体信息要严格。2)未成年人(未满十四处岁)团体信息。我国法律请求对该类信息的处理当依法获得其监护人的批准。须要留神的是, 企业收集的团体信息, 不只仅指收集的外部团体信息, 也包含对外部员工的团体信息。固然《团体信息保护法》提出因对外部员工“人力资本管理”从而可能停止各种团体信息的收集、处理, 但毫不料味着可能忽视外部员工团体信息权利的保护。3、团体信息保险保护办法在收集情况下,数据保险是团体信息保护的基本,而保证数据保险是团体信息处理者的一项重要且基本的任务,同时也是一项法律任务。我国《收集保险法》请求收集运营者保证收集保险、保护收集数据的完全性、保密性跟可用性[5];《数据保险法》强迫性规定了数据处理者保证数据保险的法律任务[6], 《团体信息保护法》则请求企业采取保险技巧办法来保护其所处理的团体信息。匿名化后的数据,不须要按照有关团体信息保护的条目, 但仍应按照数据保护的法律规定。4、团体信息处理权限及保险教导与培训团体信息处理权限制度经过多年企业界的现实, 被证明是一项较好的对团体信息及数据管理的机制,《团体信息保护法》将该机制直接列为企业的一项法律任务。该机制的要点在于:1)设破外部分工跟权限制度。将团体信息的收集、储存、利用等处理环节,以及伤害监控、合规等任务停止明白的分工,并根据分工跟信息分级分类情况,对差别员工设置对应级其余权限。2) 全员参加(而非重点人员参加)保险与权限培训。经由过程团体信息与数据的保险教导与培训,坚固树破数据保险认识,明白各自权限地点, 避免工资形成数据泄漏。5、团体信息保险变乱应急轨制合规任务虽能防患于未然,但并不克不及完全打消伤害。跟着技巧进步跟企业产品迭代,保险漏洞总难以避免,因此企业应当制订数据保险变乱应急预案并按期练习训练,以备不断之需。我国《收集保险法》中已规定收集运营者应当制订收集保险变乱应急预案[9],及时处理体系漏洞、打算机病毒、收集攻击、收集侵入等保险伤害;在产生迫害收集保险的变乱时,及时启动应急预案,采取响应的弥补办法,并按照规定向有关主管部分报告。《团体信息保护法》再次夸大年夜企业应树破团体信息保险变乱应急预案并按期停止练习训练,并将此作为企业的一项法律任务。三、《团体信息保护法》下企业的其他合规任务除第51条外,《团体信息保护法》还在其他条则中规定了企业的一些重要的合规任务, 重要包含:1、收集、处理团体信息的充分告诉任务《团体信息保护法》再次夸大年夜了团体信息收集与处理的“告诉-批准”原则。对须要收集团体信息的企业而言,应制订出明白的团体信息保护政策(《隐私政策》),实在、完全的向用户告诉企业的基本情况、团体信息收集、利用目标、范畴及场景、团体信息处理方法及规矩、对外共享及表露情况、团体信息主体权力保证机制、赞扬处理渠道等。团体信息保护政接应公开辟布且应送达团体信息主体, 由用户在注册或初次运转产品时浏览并勾选批准后才可持续利用。如涉及团体信息会被用于用户画像跟特性化展示的,则应在《隐私政策》中征得用户的批准,充分保证用户知情权;而在停止主动化决定前,应当就主动化决定的通明跟公平性做好充分辩明。须要特别留神的是,《团体信息保护法》请求对收集团体敏感信息的,应获得用户的单独批准[10],因此企业不克不及采取早年的概约性、打包式的批准,而应单独提示用户勾选批准方可。2、信息主体权利保证任务(应供给团体信息查阅复制、修改、移转及删除效劳)《团体信息保护法》明白了在团体信息处理活动中团体的各项权力,包含知情权、决定权、限制权、拒绝权、查阅、复制权、可携权、改正、补充权、删除权。既然团体享有一系列团体信息权力,也意味着团体信息处理者负有共同团体权力行使的任务。企业须要根据用户团体的须要,机动跟正确地呼应数据主体拜访查询、改正、删除、移转等请求。1)接收信息主体的请求,供给团体信息查阅、复制的道路及效劳临时以来,不少互联网平台将用户信息视为重要的财富性权利,而用户想懂得平台究竟控制本人哪些信息却偶然连查询的渠道、道路都不。GDPR开了团体信息严格保护的先河,确认团体有查询权,即有权请求互联网公司(信息把持者)供给控制本人信息的明细清单。《团体信息保护法》也规定了企业应为用户供给团体信息查阅、复制的法律任务,因此企业也应制订响应的接收用户请求、核实身份、汇总信息、供给信息的轨制跟流程。2)接收信息主体的请求, 供给团体信息修改的道路及效劳《团体信息保护法》第十五条规定了信息主体对团体信息的修改权,企业应为团体信息处理者供给修改的道路跟效劳。响应的,企业应树破起修改相同渠道、外部修改机制等。3)接收信息主体的请求,供给移转的道路及效劳《团体信息保护法》第十五条规定了信息主体对团体信息的可携带权,即团体恳求将团体信息转移至其指定的团体信息处理者,符合国度网信部分规定前提的,团体信息处理者应当供给转移的道路。该规定不只有利于团体自由处理其团体信息,也有利于攻破数据把持跟数据孤岛景象。而作为企业也应就此制订移转的外部操纵流程。4)接收信息主体的请求,供给便捷删除效劳《团体信息保护法》第十五条规定了“基于团体批准而停止的团体信息处理活动,团体有权撤回其批准。团体信息处理者应当供给便捷的撤回批准的方法”。撤回批准,是团体信息主体处罚本身权力的一种方法。企业应断定撤回方法、撤回渠道等呼应机制,并应保证用户行使权力的便利性,符合“便捷原则”。固然法律未阐明何为“便捷”, 但按照平日的懂得,“撤回”的难度不该大年夜于“批准”的难度。因此,企业可在企业主网页、APP登录进口等明显页面安顿“撤回”的链接或选项, 并供给清楚的操纵领导。企业外部因数据的修改跟删除有可能涉及多个部分,故应树破一系列的操纵流程,并应研判其中的伤害。3、数据与算法的合规任务1)数据品质的检查跟审视,避免因数据品质激发鄙弃算法以数据为基本, 数据不正确,则算法成果、数据分析结论则基本不会正确,有可能会对相干数据主体带来负面评价,从而招致其合法权利遭到影响。《团体信息保护法》第8条规定:“处理团体信息应当保证团体信息的品质,避免因团体信息不正确、不完全对团体权利形成倒霉影响。”《团体信息保护法》将保证团体信息品质作为企业的法定任务,从企业的角度说,则应树破检查跟审视数据的响应轨制跟流程, 以保证数据获取的正确度。2)保证算法公平公道, 避免不公道差别待遇互联网时代“算法为王”。算法推荐是查抄引擎、交际软件、电子商务等多少乎全部平台的标配。平台用代码、算法调换了传统的内容披发过程中编辑的角色,进步了效劳效力的同时,也会招致比方大年夜数据杀熟、劣质内容众多等一系列侵犯用户权力的景象。也正因为算法推荐下的社会成绩层出不穷,国度开端经由过程破法手段停止干涉,并在《团体信息保护法》下开端确破了算法问责制,这在我国还是初次。《团体信息保护法》第二十四条规定,团体信息处理者利用团体信息停止主动化决定,应当保证决定的通明度跟成果公平、公平。算法的通明性、公平及公平性本属于伦理范畴, 《团体信息保护法》将它上升到了法律的高度, 成为相干企业的法律任务。它请求团体信息处理者必须对所用算法停止检查跟审视,保证主动化决定的通明度跟成果的公平、公平,不得对团体在买卖价格等买卖前提上履行不公道的差别待遇。3) 主动化决定(算法),需遵守“明白公道目标”以及“团体权利影响最小”两个原则《团体信息保护法》第六条规定,企业停止主动化决定,需遵守“明白公道目标”以及“团体权利影响最小”两个原则,并且在主动化决定对团体权利形成严重影响时,应“向团体供给便捷的拒绝方法”, 也即付与团体主体拒绝权。这对临时以来经由过程特性化推荐、经由过程用户画像为用户供给各种信息效劳的企业来说,产生较强的影响跟制约。4、事先伤害评价任务[11]根据《团体信息保护法》的规定,鄙人列情况中,企业应当停止事先伤害评价,且应将伤害评价报告跟处理情况记录至少保存三年:1)处理敏感团体信息;2)利用团体信息停止主动化决定;3) 委托处理团体信息、向他人供给团体信息、公开团体信息;4) 向境外供给团体信息;5)其他对团体有严重影响的团体信息处理活动。我国《数据保险法》中仅规定“重要数据”的处理者应当对其数据活动按期开展伤害评价,并向有关主管部分报送伤害评价报告[12];《团体信息保护法》则明白在涉及“敏感团体信息”、“主动化决定”、“委托处理”、“向第三方供给”、“对外公开”、“跨境供给”等情况下付与全部的团体信息处理者以“事先评价”的任务。因此,伤害评价将成为作为信息处理者的企业的一项常常性任务, 应将其轨制化、常态化,在保证评价品质的情况下尽管实现高效、快捷。笔者认为,伤害评价报告应当包含本构造涉及的团体信息品种、数量, 收集、存储、利用、委托、供给等的情况,面对的保险伤害及其应对办法等。5、合规审计任务《团体信息保护法》请求按期对企业处理团体信息按照法律、行政法则的情况停止合规审计[13]。但由谁审计、具体审计内容、审计标准尚未有明白规定,企业应未雨绸缪,参照《团体信息保护法》、《收集保险法》、《数据保护法》三部基本法律中绝对具体的规定,制订出应对审计的打算。笔者认为,重要内容应包含:1) 检察外部管理轨制跟团体信息备忘录的完备性跟合规性;2) 按期审计团体信息处理跟管理任务;3) 审计履行团体信息查阅复制、修改、移转及删除任务情况(信息主体权利保证情况);4) 考核伤害评价报告及记录情况;5) 考核团体信息相干的条约及其他法律文书;6) 根据团体信息及数据相干法律法则的更新,及时调剂外部轨制的情况。6、委托外部停止团体信息处理的合规任务《团体信息保护法》并非不容许停止团体信息的外部委托处理, 但是应辨别“独特处理”与“委托处理”, 其中,独特处理当获得信息主体的充分受权。在数字经济开展迅猛的明天, 数据外部委托处理曾经极为罕见, 比方云效劳,SAAS效劳等, 均须要数据的外部存储与处理。委托处理虽不必获得信息主体的受权,但是,《团体信息保护法》掉效后,在对委托第三方(受托人)处理的情况下,委托处理团体信息之前,应事先停止团体信息保护影响评价,并对处理情况停止记录。两边应签订书面委托条约, 其中应明白载明委托事项、受托人权限、时期等事项, 尤其是委托受托人停止信息处理不该超越团体权力主体的受权权限或相干法律授予的权限。7、跨境数据传输的合规任务《团体信息保护法》并非禁止团体信息跨境传输,而是规定了实现数据跨境传输的须要前提以及轨制性框架,并引入了国际上一些较为成熟的做法,如标准条约机制等。但是,在操纵层面另有待于进一步的轨制以及有关部分的领导性看法去停止细化,包含标准条约模板、国度网信部分的评价流程及标准、认证部分及认证标准、错误等国度的清单等[14]。因此,在跨境数据活动场景中,企业应严格按照《团体信息保护法》、《收集保险法》与《数据保险法》的规定, 慎重处理跨境数据传输的成绩。对企业(尤其是互联网企业)而言,《团体信息保护法》请求的企业合规内容多而杂,可能涉及企业多个部分,因此企业应根据本身现真相况有一个完全的应对思绪跟打算, 全部部分都应当做好调剂跟共同的筹备。我国的《团体信息保护法》接收了海外破法的优良做法以及过往国内现实宝贵经验,可谓是“集大年夜成者”,真正把我国对团体信息保护晋升到了新的程度;但“徒法缺乏以自行”,团体信息保护法另有待于包含企业在内的各方一同尽力,才干真正起到保护公平易近团体信息、保护公平易近收集空间权利以及促进信息公道利用的感化。相干链接:全文 | 《中华国平易近共跟国团体信息保护法》每周速览 | 团体信息保护法草案三审解释:[1] 团体信息处理者不只仅包含企业,也包含当局部分、奇迹单位等;本文重要探究企业的合规任务。[2] 数据是信息的载体, 团体信息在收集情况下平日以数据情势存在,故在收集时代团体信息保护跟数据保护弗成分别。[3] 拜见《团体信息保护法》第58条。[4] 拜见《团体信息保护法》第五十二条:处理团体信息达到国度网信部分规定命量的团体信息处理者应当指定团体信息保护担任人,担任对团体信息处理活动以及采取的保护办法等停止监督。团体信息处理者应当公开团体信息保护担任人的接洽方法,并将团体信息保护担任人的姓名、接洽方法等报送履行团体信息保护职责的部分。[5] 拜见《收集保险法》第10条。[6] 拜见《数据保险法》 第25条。[9] 拜见《收集保险法》第 25 条。[10] 拜见《团体信息保护法》第 29 条。[11] 拜见《团体信息保护法》第 55 条。[12] 拜见《数据保险法》 第28条.[13] 《团体信息保护法》第54条规定:团体信息处理者应当按期对其处理团体信息按照法律、行政法则的情况停止合规审计。[14] 拜见《团体信息保护法》第38条、第40条、第43条。