意见领袖丨北京和昶律师事务所
数据不仅是数字经济的关键要素,也是信息时代重要的生产要素。在我国,数据安全更是被上升为与国家安全同等重要的地位。
1、数据安全是企业持续发展的基础
当前各类数据主体多样,处理活动复杂,安全风险加大。随着立法不断强调并严格要求对数据进行保护,企业的合规举措也应不断提高。回顾2020年上半年,国内就发生了新浪微博5.38亿用户数据在暗网出售、建设银行员工贩卖5万多条客户信息等数据泄露事件。此外,据国外媒体报道,万豪、美高梅酒店至少1,580万客人信息遭泄露;化妆品巨头雅诗兰黛,因不安全服务器泄露了4.4亿用户敏感信息……这些事件轻则造成企业商誉受损、失去客户信任,重则可能面临行政处罚和刑事指控,例如2015年Uber数据泄露事件遭美国司法部刑事调查;2017年雅虎前CEO玛丽莎·梅耶尔被要求就网络安全漏洞问题作证,否则将面临刑事指控。
大部分企业对网络、数据安全缺乏足够的重视,也缺乏相应的责任感。企业对网络技术依赖越多,接入的设备也多,每个接入网络的设备和人都可能被黑客利用成为窃取数据的跳板,或员工本身就是“黑客”,这让企业防不胜防。在把数据作为生产资料使用的同时,也应当把数据作为生产资料保护,这是现代企业应当树立的重要观念。
大量企业的数据存在云端,虽然“云”本身的安全性有一定的技术保障,但接入云端的第三方应用软件、系统和接口的安全性却令人担忧。如果不对这些数据进行加密,它们就处于一种“裸奔”的状态,可能导致企业的系统漏洞和数据泄露事件。如果企业不重视,这些漏洞要么未被及时修复,要么未被检测发现,待爆雷后成为公共事件,亡羊补牢已晚矣。2018年8月,华住集团旗下汉庭、美爵等酒店共计5亿条包含个人身份证号、手机号码、开房记录等的个人信息泄露,并被打包在暗网上销售。案件虽成功告破,但也暴露出以酒店业为代表的多数企业并未做好数据安全保护措施,在数据泄露后也没有紧急预案处置应对突发情况。
今年的的调查数据显示,72%的上市公司和69%的规模在千人以上的公司对于系统漏洞、计算机病毒、网络攻击、网络侵入、数据泄露等突发安全事件,有应急预案和危机处置机制。但是这些制度在实际运行中的效果如何,还有待观察。上述华住集团信息泄露和一系列的银行信息泄露事件反映的就是这个问题。比制定制度更重要的是有效运行制度,并在运行中不断完善,提升员工的个人信息保护意识。
不同行业对数据安全的重视程度不同,越是对数据依赖程度高的行业,企业越重视数据安全。71%的银行、金融业受访企业有这一制度安排,但是银行数据体量庞大,决定了数据安全是百密不能有一疏的工作,只要一个员工没管住,数据就可能如溃提之水奔涌而出,中信事件和建设银行信息泄露事件就是很好的例子。所以,数据安全没有最好,只有更好。
履行网络安全管理义务,并将数据安全事项及时向行政监管部门(公安、网信办、工信办等)报告,积极回应监管要求等方面,银行和金融业与物流和交通运输业的受访者中,有超过50%的企业重视这一工作。这些行业要提供服务,就要采集相应的个人信息,因此对所收集的个人信息采取保护措施也就十分必要。虽有50%左右的受访者比较重视数据安全,但行业重视度的绝对值并不高,仍有改善空间。
2、互联网企业的个人信息保护
中国互联网产业何以前浪翻腾、后浪奔涌?一是,对于数据这样一个全新的事物,法律也在摸索中,尤其是关于个人信息的采集、使用边界不甚清晰;二是,网民数量叹为观止,海量个人信息不断“投喂”企业,为企业发展提供了源源不断如活水般的生产资料。
早期,互联网企业利用数据野蛮生长,但随着立法不断严密,监管必定不断收紧,并将长时间保持这个趋势。2019年,工信部、国家网信办等多部门联合开展了贯穿全年的APP个人信息专项治理工作,2020年仍在持续中。所涉问题集中在私自收集个人信息、过度索取权限、私自共享给第三方等方面。
用户让渡个人信息作为实现便捷功能的对价,这是市场逻辑,无可厚非。但是如果企业不经“通知-同意”程序,违规获取个人信息,就打破了“君子协定”,进入法律法规的监管区。根据互联网企业规模的大小,在个人信息保护方面存在的问题也有不同特征:
第一,规模较大、体系成熟的互联网企业,满足“60分”的合格线,但没有做到优秀。例如,根据工信部通报,QQ强制用户使用定向推送功能,不给权限不让用;QQ阅读私自收集个人信息,还私自分享给第三方;当当私自和超范围收集个人信息,不给权限不让用;高铁管家、12306软件过度索取权限……这些都是互联网行业的知名企业,一般而言都具有合规意识,他们会通过隐私政策告知用户收集和使用规则,另一方面又往往通过各种形式扩充收集个人信息的范围和种类,试图抓取更多信息,请求开放更多权限,服务其数据挖掘,收集“必要性”原则屡屡被突破。
但是,随着《个人信息安全规范》的生效和《个人信息保护法》的制定,个人信息收集、使用规则将更加具体和可操作,也将对企业提出更高的合规要求。越是依赖个人信息产出的互联网大企业,违规的成本越高,这就需要做到从“及格”到“优秀”的质的跨越,也是从“要我合规”到“我要合规”的观念提升。
第二,规模较小,或处于创业期的互联网企业,个人信息保护工作往往处于“60分”合格线以下。实践中大量侵犯个人信息的犯罪,多以这一类企业为主。由于成本所限,这些公司没有专门的合规部门,个人信息保护意识不强,在收集个人信息时,不提供或提供极为粗糙的隐私政策,私自收集个人信息,甚至向第三方共享、出售。2018年8月,浙江省公安局破获了一起重大个人信息盗窃案,原新三板挂牌公司瑞智华胜,窃取知名互联网公司30亿条用户个人信息,该公司法定代表人与相关经营人员因此获刑,另有两家关联公司也被立案处理。该公司2017年12月在新三板挂牌,2018年8月上述事件曝光,瑞智华胜作出紧急停牌处理,短短两个月后的11月2日,瑞智华胜在新三板就被正式摘牌。一家处于初创期的明星上市公司,因缺乏个人信息保护的相关意识,非法经营个人信息买卖业务,使得企业多年努力毁于一旦。
此外,值得特别注意的是第三方软件开发工具包(SDK),据相关报告和央视“3•15”晚会披露,部分APP的SDK插件在未经用户同意的情形下,收集用户的联系人、短信、位置、设备信息等,甚至短信内容会被全部传走。因为SDK的责任往往由相应APP开发公司承担,这会为企业埋下很多隐患,所以,APP不能仅考虑SDK的便捷,更应该对其合法性和合规性保持警觉。
综上所述,互联网大企业往往在法律红线之内的模糊地带,最大化商业利益。但是“能力越大、责任越大”,他们要做的,不止是合法,而是做好行业表率,促进用户与企业的互信,推动行业自律与发展。与此相对,小企业合规意识和能力不足,往往试图蒙混过关,但互联网产业的野蛮生长期已经过去,任何侥幸心理,都可能因小利而失大局。
3、传统企业的个人信息保护
互联网企业的个人信息保护是显性问题,关注度高,相比而言,传统行业的个人信息保护问题则难以暴露,更为隐秘。根据本调查问卷显示,获取个人信息最多的传统行业是文化/传媒/娱乐服务业与银行/金融业,但分别只有22%和21%的受访者表示,其所在企业采用“隐私政策”或用户协议等方式提示用户收集个人信息;收集个人信息时,经用户同意,最小限度地使用个人信息是基本原则,物流/交通运输服务业对这一原则的重视程度最高,但也仅为25%;用户同意方能与第三方共享,这是个人信息共享的合法前提,在不同行业中,消费品行业采用这一做法的占比最高,银行/金融业仅为7.8%,甚至低于整体均值0.2个百分点。
银行/金融业由于征信需要,是收集个人信息较多的行业,但频频发生的银行个人信息泄露事件,揭示银行的个人信息保护还有提升空间。“中信事件”是传统行业个人信息泄露的缩影,虽然中信银行在客户信息保护方面,建立了一系列的制度、流程,但员工不仅未按照流程操作,还将客户信息对外提供并加盖公章,这种为了“大客户”利益而将储户信息随意提供给第三方的行为,完全超出了大众的预期。这一事件比较有代表性,揭示出传统行业的个人信息泄露往往不是技术性的,而是人为的,这就对传统行业的数据储存和保管提出了更高的要求。传统行业一般基于业务需要收集必要个人信息,比如银行、快递公司等,提供的服务本身就要求客户提供姓名、住址等信息,在个人信息收集的合法性方面一般不存在问题。风险在于,这些个人信息一般会通过数据化的方式保存,但是传统行业较为缺乏数据安全的观念和技术支撑,对所收集个人信息的利用,没有界限感。例如,银行将储户开卡所必需提供的个人信息,进行用户画像,又通过电话、短信等方式给储户推荐理财产品,就是典型的超范围使用个人信息的情形。证券公司也会收集大量的客户财产信息,因此也存在同样的问题。传统行业一般不存在一个事先的程序与客户约定个人信息的二次利用或共享,所收集个人信息除了满足特定服务需求外,不应有别的用途,还应妥善保管。除非有明确法律规定,不能把个人信息挪作他用或者与第三方共享在经营过程中获取的个人信息,是基本原则。
总而言之,无论互联网企业还是传统行业,都应对所收集数据分级、加密,并进行脱敏处理;对内,要严格限定个人信息的查看和使用规则,并进行员工培训,培养相关合规意识;对外,要制定详尽的个人信息保护政策供用户了解同意。如果条件允许,一定要设置员工权限并进行留痕记录,便于事后追责。
个人信息保护的浪潮将席卷一切领域,以萎缩产业为代价的个人信息保护不可取,以侵害个人信息权利为代价的行业发展也不会长久。个人信息保护与企业发展,是在更高价值层面上的统一,不是“零和游戏”。企业只有尊重个体尊严,对个人信息用之有度,才会有长远健康的发展。
注:以上内容摘自于北京和昶律师事务所与《财富》(中文版)共同发布的“2020中国企业家法律风险报告”。
相关链接: