信息時代的數(shù)據(jù)安全和個人信息保護

2020年10月13日17:25 作者:和昶律所

【2020中國企業(yè)家十大法律風險】

　　意見領袖丨北京和昶律師事務所

　　數(shù)據(jù)不僅是數(shù)字經(jīng)濟的關鍵要素，也是信息時代重要的生產(chǎn)要素。在我國，數(shù)據(jù)安全更是被上升為與國家安全同等重要的地位。

　　1、數(shù)據(jù)安全是企業(yè)持續(xù)發(fā)展的基礎

　　當前各類數(shù)據(jù)主體多樣，處理活動復雜，安全風險加大。隨著立法不斷強調(diào)并嚴格要求對數(shù)據(jù)進行保護，企業(yè)的合規(guī)舉措也應不斷提高。回顧2020年上半年，國內(nèi)就發(fā)生了新浪微博5.38億用戶數(shù)據(jù)在暗網(wǎng)出售、建設銀行員工販賣5萬多條客戶信息等數(shù)據(jù)泄露事件。此外，據(jù)國外媒體報道，萬豪、美高梅酒店至少1，580萬客人信息遭泄露；化妝品巨頭雅詩蘭黛，因不安全服務器泄露了4.4億用戶敏感信息……這些事件輕則造成企業(yè)商譽受損、失去客戶信任，重則可能面臨行政處罰和刑事指控，例如2015年Uber數(shù)據(jù)泄露事件遭美國司法部刑事調(diào)查；2017年雅虎前CEO瑪麗莎·梅耶爾被要求就網(wǎng)絡安全漏洞問題作證，否則將面臨刑事指控。

　　大部分企業(yè)對網(wǎng)絡、數(shù)據(jù)安全缺乏足夠的重視，也缺乏相應的責任感。企業(yè)對網(wǎng)絡技術(shù)依賴越多，接入的設備也多，每個接入網(wǎng)絡的設備和人都可能被黑客利用成為竊取數(shù)據(jù)的跳板，或員工本身就是“黑客”，這讓企業(yè)防不勝防。在把數(shù)據(jù)作為生產(chǎn)資料使用的同時，也應當把數(shù)據(jù)作為生產(chǎn)資料保護，這是現(xiàn)代企業(yè)應當樹立的重要觀念。

　　大量企業(yè)的數(shù)據(jù)存在云端，雖然“云”本身的安全性有一定的技術(shù)保障，但接入云端的第三方應用軟件、系統(tǒng)和接口的安全性卻令人擔憂。如果不對這些數(shù)據(jù)進行加密，它們就處于一種“裸奔”的狀態(tài)，可能導致企業(yè)的系統(tǒng)漏洞和數(shù)據(jù)泄露事件。如果企業(yè)不重視，這些漏洞要么未被及時修復，要么未被檢測發(fā)現(xiàn)，待爆雷后成為公共事件，亡羊補牢已晚矣。2018年8月，華住集團旗下漢庭、美爵等酒店共計5億條包含個人身份證號、手機號碼、開房記錄等的個人信息泄露，并被打包在暗網(wǎng)上銷售。案件雖成功告破，但也暴露出以酒店業(yè)為代表的多數(shù)企業(yè)并未做好數(shù)據(jù)安全保護措施，在數(shù)據(jù)泄露后也沒有緊急預案處置應對突發(fā)情況。

　　今年的的調(diào)查數(shù)據(jù)顯示，72%的上市公司和69%的規(guī)模在千人以上的公司對于系統(tǒng)漏洞、計算機病毒、網(wǎng)絡攻擊、網(wǎng)絡侵入、數(shù)據(jù)泄露等突發(fā)安全事件，有應急預案和危機處置機制。但是這些制度在實際運行中的效果如何，還有待觀察。上述華住集團信息泄露和一系列的銀行信息泄露事件反映的就是這個問題。比制定制度更重要的是有效運行制度，并在運行中不斷完善，提升員工的個人信息保護意識。

　　不同行業(yè)對數(shù)據(jù)安全的重視程度不同，越是對數(shù)據(jù)依賴程度高的行業(yè)，企業(yè)越重視數(shù)據(jù)安全。71%的銀行、金融業(yè)受訪企業(yè)有這一制度安排，但是銀行數(shù)據(jù)體量龐大，決定了數(shù)據(jù)安全是百密不能有一疏的工作，只要一個員工沒管住，數(shù)據(jù)就可能如潰提之水奔涌而出，中信事件和建設銀行信息泄露事件就是很好的例子。所以，數(shù)據(jù)安全沒有最好，只有更好。

　　履行網(wǎng)絡安全管理義務，并將數(shù)據(jù)安全事項及時向行政監(jiān)管部門（公安、網(wǎng)信辦、工信辦等）報告，積極回應監(jiān)管要求等方面，銀行和金融業(yè)與物流和交通運輸業(yè)的受訪者中，有超過50%的企業(yè)重視這一工作。這些行業(yè)要提供服務，就要采集相應的個人信息，因此對所收集的個人信息采取保護措施也就十分必要。雖有50%左右的受訪者比較重視數(shù)據(jù)安全，但行業(yè)重視度的絕對值并不高，仍有改善空間。

　　2、互聯(lián)網(wǎng)企業(yè)的個人信息保護

　　中國互聯(lián)網(wǎng)產(chǎn)業(yè)何以前浪翻騰、后浪奔涌？一是，對于數(shù)據(jù)這樣一個全新的事物，法律也在摸索中，尤其是關于個人信息的采集、使用邊界不甚清晰；二是，網(wǎng)民數(shù)量嘆為觀止，海量個人信息不斷“投喂”企業(yè)，為企業(yè)發(fā)展提供了源源不斷如活水般的生產(chǎn)資料。

　　早期，互聯(lián)網(wǎng)企業(yè)利用數(shù)據(jù)野蠻生長，但隨著立法不斷嚴密，監(jiān)管必定不斷收緊，并將長時間保持這個趨勢。2019年，工信部、國家網(wǎng)信辦等多部門聯(lián)合開展了貫穿全年的APP個人信息專項治理工作，2020年仍在持續(xù)中。所涉問題集中在私自收集個人信息、過度索取權(quán)限、私自共享給第三方等方面。

　　用戶讓渡個人信息作為實現(xiàn)便捷功能的對價，這是市場邏輯，無可厚非。但是如果企業(yè)不經(jīng)“通知-同意”程序，違規(guī)獲取個人信息，就打破了“君子協(xié)定”，進入法律法規(guī)的監(jiān)管區(qū)。根據(jù)互聯(lián)網(wǎng)企業(yè)規(guī)模的大小，在個人信息保護方面存在的問題也有不同特征：

　　第一，規(guī)模較大、體系成熟的互聯(lián)網(wǎng)企業(yè)，滿足“60分”的合格線，但沒有做到優(yōu)秀。例如，根據(jù)工信部通報，QQ強制用戶使用定向推送功能，不給權(quán)限不讓用；QQ閱讀私自收集個人信息，還私自分享給第三方；當當私自和超范圍收集個人信息，不給權(quán)限不讓用；高鐵管家、12306軟件過度索取權(quán)限……這些都是互聯(lián)網(wǎng)行業(yè)的知名企業(yè)，一般而言都具有合規(guī)意識，他們會通過隱私政策告知用戶收集和使用規(guī)則，另一方面又往往通過各種形式擴充收集個人信息的范圍和種類，試圖抓取更多信息，請求開放更多權(quán)限，服務其數(shù)據(jù)挖掘，收集“必要性”原則屢屢被突破。

　　但是，隨著《個人信息安全規(guī)范》的生效和《個人信息保護法》的制定，個人信息收集、使用規(guī)則將更加具體和可操作，也將對企業(yè)提出更高的合規(guī)要求。越是依賴個人信息產(chǎn)出的互聯(lián)網(wǎng)大企業(yè)，違規(guī)的成本越高，這就需要做到從“及格”到“優(yōu)秀”的質(zhì)的跨越，也是從“要我合規(guī)”到“我要合規(guī)”的觀念提升。

　　第二，規(guī)模較小，或處于創(chuàng)業(yè)期的互聯(lián)網(wǎng)企業(yè)，個人信息保護工作往往處于“60分”合格線以下。實踐中大量侵犯個人信息的犯罪，多以這一類企業(yè)為主。由于成本所限，這些公司沒有專門的合規(guī)部門，個人信息保護意識不強，在收集個人信息時，不提供或提供極為粗糙的隱私政策，私自收集個人信息，甚至向第三方共享、出售。2018年8月，浙江省公安局破獲了一起重大個人信息盜竊案，原新三板掛牌公司瑞智華勝，竊取知名互聯(lián)網(wǎng)公司30億條用戶個人信息，該公司法定代表人與相關經(jīng)營人員因此獲刑，另有兩家關聯(lián)公司也被立案處理。該公司2017年12月在新三板掛牌，2018年8月上述事件曝光，瑞智華勝作出緊急停牌處理，短短兩個月后的11月2日，瑞智華勝在新三板就被正式摘牌。一家處于初創(chuàng)期的明星上市公司，因缺乏個人信息保護的相關意識，非法經(jīng)營個人信息買賣業(yè)務，使得企業(yè)多年努力毀于一旦。

　　此外，值得特別注意的是第三方軟件開發(fā)工具包（SDK），據(jù)相關報告和央視“3?15”晚會披露，部分APP的SDK插件在未經(jīng)用戶同意的情形下，收集用戶的聯(lián)系人、短信、位置、設備信息等，甚至短信內(nèi)容會被全部傳走。因為SDK的責任往往由相應APP開發(fā)公司承擔，這會為企業(yè)埋下很多隱患，所以，APP不能僅考慮SDK的便捷，更應該對其合法性和合規(guī)性保持警覺。

　　綜上所述，互聯(lián)網(wǎng)大企業(yè)往往在法律紅線之內(nèi)的模糊地帶，最大化商業(yè)利益。但是“能力越大、責任越大”，他們要做的，不止是合法，而是做好行業(yè)表率，促進用戶與企業(yè)的互信，推動行業(yè)自律與發(fā)展。與此相對，小企業(yè)合規(guī)意識和能力不足，往往試圖蒙混過關，但互聯(lián)網(wǎng)產(chǎn)業(yè)的野蠻生長期已經(jīng)過去，任何僥幸心理，都可能因小利而失大局。

　　3、傳統(tǒng)企業(yè)的個人信息保護

　　互聯(lián)網(wǎng)企業(yè)的個人信息保護是顯性問題，關注度高，相比而言，傳統(tǒng)行業(yè)的個人信息保護問題則難以暴露，更為隱秘。根據(jù)本調(diào)查問卷顯示，獲取個人信息最多的傳統(tǒng)行業(yè)是文化/傳媒/娛樂服務業(yè)與銀行/金融業(yè)，但分別只有22%和21%的受訪者表示，其所在企業(yè)采用“隱私政策”或用戶協(xié)議等方式提示用戶收集個人信息；收集個人信息時，經(jīng)用戶同意，最小限度地使用個人信息是基本原則，物流/交通運輸服務業(yè)對這一原則的重視程度最高，但也僅為25%；用戶同意方能與第三方共享，這是個人信息共享的合法前提，在不同行業(yè)中，消費品行業(yè)采用這一做法的占比最高，銀行/金融業(yè)僅為7.8%，甚至低于整體均值0.2個百分點。

　　銀行/金融業(yè)由于征信需要，是收集個人信息較多的行業(yè)，但頻頻發(fā)生的銀行個人信息泄露事件，揭示銀行的個人信息保護還有提升空間。“中信事件”是傳統(tǒng)行業(yè)個人信息泄露的縮影，雖然中信銀行在客戶信息保護方面，建立了一系列的制度、流程，但員工不僅未按照流程操作，還將客戶信息對外提供并加蓋公章，這種為了“大客戶”利益而將儲戶信息隨意提供給第三方的行為，完全超出了大眾的預期。這一事件比較有代表性，揭示出傳統(tǒng)行業(yè)的個人信息泄露往往不是技術(shù)性的，而是人為的，這就對傳統(tǒng)行業(yè)的數(shù)據(jù)儲存和保管提出了更高的要求。傳統(tǒng)行業(yè)一般基于業(yè)務需要收集必要個人信息，比如銀行、快遞公司等，提供的服務本身就要求客戶提供姓名、住址等信息，在個人信息收集的合法性方面一般不存在問題。風險在于，這些個人信息一般會通過數(shù)據(jù)化的方式保存，但是傳統(tǒng)行業(yè)較為缺乏數(shù)據(jù)安全的觀念和技術(shù)支撐，對所收集個人信息的利用，沒有界限感。例如，銀行將儲戶開卡所必需提供的個人信息，進行用戶畫像，又通過電話、短信等方式給儲戶推薦理財產(chǎn)品，就是典型的超范圍使用個人信息的情形。證券公司也會收集大量的客戶財產(chǎn)信息，因此也存在同樣的問題。傳統(tǒng)行業(yè)一般不存在一個事先的程序與客戶約定個人信息的二次利用或共享，所收集個人信息除了滿足特定服務需求外，不應有別的用途，還應妥善保管。除非有明確法律規(guī)定，不能把個人信息挪作他用或者與第三方共享在經(jīng)營過程中獲取的個人信息，是基本原則。

　　總而言之，無論互聯(lián)網(wǎng)企業(yè)還是傳統(tǒng)行業(yè)，都應對所收集數(shù)據(jù)分級、加密，并進行脫敏處理；對內(nèi)，要嚴格限定個人信息的查看和使用規(guī)則，并進行員工培訓，培養(yǎng)相關合規(guī)意識；對外，要制定詳盡的個人信息保護政策供用戶了解同意。如果條件允許，一定要設置員工權(quán)限并進行留痕記錄，便于事后追責。

　　個人信息保護的浪潮將席卷一切領域，以萎縮產(chǎn)業(yè)為代價的個人信息保護不可取，以侵害個人信息權(quán)利為代價的行業(yè)發(fā)展也不會長久。個人信息保護與企業(yè)發(fā)展，是在更高價值層面上的統(tǒng)一，不是“零和游戲”。企業(yè)只有尊重個體尊嚴，對個人信息用之有度，才會有長遠健康的發(fā)展。

　　注：以上內(nèi)容摘自于北京和昶律師事務所與《財富》（中文版）共同發(fā)布的“2020中國企業(yè)家法律風險報告”。