企业数据合规,从数据源开始
发布时间:2022-09-26 | 发布者: 东东工作室 | 浏览次数: 次(原标题:企业数据合规,从数据源开始)
一、数据源合规的重要性
虽然企业数据合规的基本工作覆盖了数据的收集、存储、加工、传输、删除、销毁等各个处理环节,但企业针对各环节的合规资源投入应当有所侧重。在合规实务中,我们建议企业应特别重视数据源的合规。为免歧义,本文所称的数据源合规主要包含三个层面的含义:(1)数据收集前已获得用户授权或依法无需获得授权;(2)数据收集不违反合法、正当、必要、诚信原则;(3)用户的授权可覆盖拟进行的数据处理活动。基于以下理由,数据源的合规尤为重要:
1、数据源违规易遭行政处罚
行政监管部门尤为关注个人信息收集、使用行为的合规性。如APP侵害用户权益专项整治行动,重点整治APP、SDK未经用户同意收集个人信息、超范围收集个人信息的行为。经网络检索并初步统计,依据《个人信息保护法》所作出的相关行政处罚案例中,大多数的行政处罚事由为未经授权收集个人信息、超出最小必要范围收集个人信息以及超出授权范围使用个人信息。
在“威科先行”平台行政处罚一栏中,以“个人信息”为关键词检索自2022年1月1日至2022年6月27日止的行政处罚案例,剔除无关案例后,因个人信息违规处理而予以行政处罚的案例共计【145】起,其中“非法收集个人信息”的案例占比为【91.77%】。如以处罚事由划分,,非法获取、出售、向他人提供个人信息的案例有【38】例,占比【26】%;利用职务之便非法收集或为营利目的而向他人购买个人信息等共【33】例,占比【23】%。网络运营者、网络产品或服务提供者非法收集个人信息共【74】例,占比【51】%。
2、数据源合规亦为IPO审核重点
发审委在询问企业的数据合规性时,几乎必问询企业数据来源的合法性。偶发性的超范围收集个人信息等数据收集违规行为暂不会对企业的IPO造成严重影响。但如企业的主要营收依赖于对不合规的数据源的利用,在个人信息合规监管趋严的态势下,其上市之路将困难重重。
2019年10月11日,证监会否决墨迹天气的IPO申请,数据源不合规为主要理由之一。墨迹天气的营收主要来自互联网广告业务,因而需要收集并处理大量的用户数据。从提升广告投放效果的角度而言,墨迹天气收集的数据类型、精度、频次、数量都是越大、越高越好。但依据最小必要原则,墨迹天气作为一款工具类APP可收集的数据范围又相当有限。根据四部门联合印发的《常见类型移动互联网应用程序必要个人信息范围规定》,基本功能服务为“日历、天气”的实用工具类APP,无须个人信息即可使用基本功能服务。如用户仅使用工具类APP的基本功能,则即便此类APP在隐私政策中披露了收集个人信息的范围,但相关信息的收集行为也难以满足最小必要原则。如数据源合规性存在明显问题,后续利用此类数据提供增值广告服务亦难合规。
3.数据源违规将影响对数据产品所享有的权益
在司法裁判中,法院在认定企业对数据是否享有合法权益时,也会考虑其数据的收集、使用是否合乎法律规定。如企业实质性地违反了个人信息保护或其他法律的相关规定,根据“不洁之手原则”,就不能因此享有受法律保护的竞争性权益[0]。在淘宝诉美景一案中,被告认为淘宝未经商户和消费者同意,以营利为目的,私自抓取、采集和出售商户和消费者享有财产权的相关信息,侵犯了商户的经营秘密和用户的财产权、个人隐私,具有违法性。虽然法院经审查后认为淘宝公司未违反其所宣示的用户信息收集、使用规则的行为,其收集、使用网络用户信息以及涉案数据产品公开使用网络用户信息的行为符合法律规定,具有正当性,但从法院的审理思路也不难发现,如企业的数据来源违法,将影响其对原始数据及数据产品所享有的权益的认定。
4.非法数据源的刑事风险
数据领域的刑事风险多集中在数据的收集、使用环节。如企业的数据来源非法,其数据的收集、使用行为将面临较大的刑事风险。司法实务中与数据处理相关的高频罪名、典型行为以及入罪标准如下:
无论是按条数计算还是按照违法所得、经济损失计算,在数据收集效率极高的大数据时代,上述相关罪名的入罪门槛较低。
除此之外,如企业与第三方合作时未对其数据来源做合法性审查(如上游数据系以非法购买、非法爬虫、非法入侵计算机信息系统等方式所获取的数据),则还有构成掩饰、隐瞒犯罪所得罪以及帮助信息网络犯罪活动罪的刑事风险。
二、数据源合规难点
虽然数据源合规极为重要,但在实操落地时却存在各类难题。根据不同的数据收集模式,通过梳理数据源合规实务中存在的难点,具体总结如下:
1、直接获取模式
直接获取模式是指企业作为个人信息处理者在向用户提供产品或服务时直接收集个人信息的模式。直接获取模式下,企业面临的主要合规难点如下:
(1)获得同意难
《个保法》第13条规定了个人信息处理者无需取得个人同意即可收集个人信息的情形,但例外情形的适用范围较窄。在实践中,企业大多数的个人信息处理活动仍需以取得个人同意作为合法性基础。《个保法》对于授权同意的获得提出了较高的要求,不仅要求“同意应当由个人在充分知情的前提下自愿、明确作出”,还设置了敏感个人信息单独同意等规则。
在实务中,企业常常因为各种各样的原因不愿意获取用户授权或难以获得用户授权。如事后告知用户要求获取同意的,则企业将有较大可能拿不到授权,直接影响业务收入,因此部分企业并不愿意按照《个保法》的要求获取用户授权同意。再如部分企业自身并无收集个人信息的业务场景,而是依赖第三方获得授权同意,则用户授权的情况容易存在种种瑕疵。以第三方SDK为例,其在APP内并无独立交互界面,而是依赖于APP运营者取得用户的授权同意。在APP隐私政策中未披露该SDK的情形下,该SDK处理用户个人信息将缺乏合法性基础。再如线下零售门店使用智能摄像头采集人脸信息、使用物联网设备采集用户的个人信息等,难以使用opt-in的方式获得用户的明示授权同意。
(2)最小必要难
除取得个人同意外,企业收集、使用个人信息还应当符合目的限制、最小化、公开透明等原则。根据《个保法》第6条,企业收集、使用个人信息“应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式”、“收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息”。
以APP专项治理工作为例,执法机构不仅仅关注APP是否明示个人信息处理规则并取得个人同意,还关注APP是否超范围收集个人信息、APP收集个人信息是否符合最小必要原则(收集的个人信息类型、数量、频次等)。根据《常见类型移动互联网应用程序必要个人信息范围规定》、《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》(GB/T 41391-2022)(以下简称41391)等部门规章、国家标准的规定,监管部门倾向于根据APP提供的基本功能来判断APP的必要个人信息范围,且41391要求APP不应收集与APP业务功能无关的信息。
最小必要原则与企业充分利用大数据以挖掘用户价值的需求存在一定的紧张关系。当前监管部门倾向于参考《常见类型移动互联网应用程序必要个人信息范围规定》认定企业可收集信息的必要范围,并要求企业区分基本功能与扩展功能,以此划定收集的个人信息范围及收集方式。在当前监管趋势下,以基本功能吸引用户,大范围收集用户数据后用于附加功能变现的商业模式可能难以为继。
2、间接获取模式
间接获取模式是指企业通过共享、转让、收集公开信息等间接获取个人信息的模式。间接获取模式下,企业主要面临以下合规难点:
(1)授权链路瑕疵
无论企业是作为受托方获取个人信息还是通过共享、转让的方式获取个人信息,企业作为个人信息接收方都应当对上游数据源进行审查,审查的内容包括提供方收集个人信息是否合法、是否符合最小必要原则,以及企业后续的处理活动是否属于信息主体的授权范围内等。但在大数据时代,个人信息流转链路十分复杂,企业通过多个中间方所获得的个人信息,需要审查个人信息在多个主体之间流转的授权链路是否完整、授权是否清晰。如在复杂链条中,其中一方的授权不规范都将导致企业数据来源的瑕疵。大多数商业场景中,企业需要将间接获取的数据与自有或其它数据源进行融合加工处理,而上游数据源的授权范围往往难以覆盖企业后续的处理活动。
(2)审查边界模糊
间接获取模式下企业通过要求数据提供方在业务协议中承诺数据来源合法、签署合规承诺函、合规调研问卷等方式对数据来源合法性做形式审查,有些企业可能还会要求数据提供方提供隐私政策文本及签署日志、系统抽检等方式对数据源进行实质审查。但由于企业获取的个人信息数量十分庞大,也只能要求数据提供方提供部分样例。此类审查方式是否已充分符合《个保法》的相关要求尚有待商榷。
三、企业IPO与数据源合规审查
对于涉及大量数据处理的企业,数据源合规是证监会的关注重点。且随着《数据安全法》、《个人信息保护法》等法律法规的实施,证监会对于涉及数据处理的企业的数据合规的问询相较以往也更加细致深入。从近期公布的《合合信息:8-1-2发行人及保荐机构关于第二轮审核问询函的回复》、《太美科技:8-1-1 发行人及保荐机构关于浙江太美医疗科技股份有限公司首次公开发行股票并在科创板上市申请文件的第一轮审核问询函的回复》、《 数聚智连:8-5 发行人及保荐机构关于第二轮审核问询函的回复意见》等文件来看,近期证监会对于数据合规的问询以下特点值得关注:
1、要求发行人逐一说明收集的数据类型及合规性
相较于以往问询中较为笼统地要求发行人说明其数据来源是否合法合规,在近期的问询中,证监会要求发行人说明业务收集的具体的数据类型,以及对应的数据来源、数据收集后的使用方式、使用目的,并通过进一步询问数据收集、使用的场景来判断数据的收集、使用是否合规。
在对合合信息的第二轮审核问询函中,证监会要求其“以表格形式列示,发行人各项业务中所获取的各类信息数据的具体储存方式及期限、使用方式及用途,是否存在超出数据获取协议或隐私政策的情形”以及“以表格形式列示,发行人各项业务中所销售或交换的各类信息数据的内容、来源、加工处理方式、交付产品形态、客户类型”。
在对太美科技的第一轮审核问询函中,要求其说明“主要产品及核心技术涉及的数据来源及类型、数据获取方式、存储方式,在数据使用中是否需取得相关方的许可或授权、相关授权是否完整,是否存在侵犯患者隐私的情形”。数聚智联在首轮问询函中披露在业务开展中自电商平台获取数据的主要类型包括用户个人信息、订单管理信息及平台运营信息后,在第二轮问询中,证监会进一步要求其说明“可获取、使用的数据具体类型、数量规模,与电商平台、品牌方之间关于用户个人数据使用的合作机制、权责划分机制”。在数据的收集、使用涉及多方主体的情况下,发行人需结合业务场景来说明数据收集、使用的合法性、必要性及正当性。
2、要求发行人说明是否超范围使用数据
在近期的问询中,证监会明确要求发行人说明是否存在超出数据获取协议或隐私政策的范围使用数据的情形,尤其是是否违规将所获取的数据向用户提供增值服务。如发行人多个业务线涉及数据的处理,还关注是否将A业务线获取的数据是否用于B业务线中。
在对美亚柏科(主营业务为为司法机关及行政执法部门提供电子数据取证产品及大数据、网络空间安全、智慧城市等解决方案。)的问询中,证监会要求其明确说明“是否存在收集、存储个人数据、对相关数据挖掘及提供增值服务等情况”。
超出用户授权范围对数据进行处理分析、商用是典型的违规使用数据的行为。如企业涉及数据处理的主营业务利润增长空间有限,则就收集后的数据是否存在其它超出授权使用的情形会是证监会的关注重点。
3、关注同行数据收集、使用的合规性
值得注意的是,在近期的问询中,证监会不止一次要求发行人说明数据获取方式是否符合行业惯例以及同行业对类似用户数据的收集、运用的合规性。在对数聚智联第二次问询中,发审委要求其说明同行业对类似用户数据的收集、运用的合规性。在答复中,数聚智联援引已上市的同行业企业的招股书及由第三方律所出具的关于数据合规性的法律意见书来辅助论证其数据收集、使用的合规性。针对合合信息在第一轮问询中披露的广告换数据、数据换数据的业务模式,发审委进而要求其说明“广告换数据、数据换数据的业务模式是否符合行业惯例”。合合信息通过说明企查查、天眼查等类似产品公开文件披露的与第三方进行战略合作或数据互换情况来辅助论证其广告换数据、数据换数据的业务模式符合行业惯例。发审委要求发行人说明同行数据收集、使用的合规性也是在考察涉及数据处理的企业商业模式本身的合规性。
而发行人针对数据源合规性的答复呈以下特点:
1、主要以隐私政策等协议授权说明数据来源的合规性
在直接收集模式下,发行人一般通过说明其隐私政策的内容、授权流程等说明其数据的收集、使用已获得授权。但对于隐私政策包含哪些的具体条款,以及特定类型的数据(例如敏感个人信息)以及特定的数据获取方式的授权是否符合《个人信息保护法》的规定则语焉不详。在间接收集模式下,发行人通过说明与合作方签署的关于承诺数据来源合法合规的条款来说明数据收集的合规性。保荐人等中介机构的核查目前也停留在审查相关协议、第三方出具的关于数据合规性的法律意见书,以及访谈对应的负责人阶段。不过,在少数文件中,中介机构通过登录相关产品、抽取相关数据库访问日志、权限调整日志等方式核查数据收集、使用的合规性。
但值得注意的是,在从近期公布的几个拟IPO企业的问询答复来看,发行人对于隐私政策及相关授权文件的合规性作了更为细致的说明,包括隐私政策的结构、包括的主要内容,以及产品的技术检测结果与隐私政策声明是否一致等。部分企业甚至聘请第三方机构单独就隐私政策的合规性发表合规评估意见。
2、援引第三方出具的法律意见书等文件辅助说明数据收集、使用的合规性
发行人在论证其数据收集、使用的合规性时,会援引第三方出具的关于数据合规的专项评估意见、法律意见书、尽职调查报告等文件来辅助论证其数据来源的合规性。
四、关于数据源合规的建议
1、关注商业模式的合规性
个人信息监管趋严,企业收集、使用个人信息应遵守合法、正当、必要和诚信原则。如企业的数据收集业务场景与数据使用业务场景明显不匹配,则即便通过隐私政策等方式获取用户的授权同意,其数据源仍难以满足合规要求。因此,为了避免数据源合规的明显瑕疵,企业在收集信息前即应当考虑其业务模式对应的数据处理活动是否符合合法、正当、必要和诚信原则。如对数据的使用明显超出数据收集时的必要范围的,建议对业务模式做针对性的调整(如增加场景、改变业务内容等)以使得数据的处理符合必要性原则。
2、注重授权协议及授权流程的合规性
《个人信息保护法》、《信息安全技术 个人信息安全规范》、《常见类型移动互联网应用程序必要个人信息范围规定》等相关法律法律、标准文件等对互联网应用程序收集个人信息的规范提出了较为全面、细致的要求,例如收集敏感个人信息需取得单独同意、不得因为用户不同意提供非必要个人信息而拒绝用户使用其基本功能服务等。企业应当参考相关法律法规、国家标准规范其互联网产品的个人信息收集行为,区分互联网产品的基本功能与扩展功能,在用户启用不同的功能前要求用户分别授权,向用户提供细粒度的授权方式以确保用户授权的自愿、明确下,并且避免出现超范围收集个人信息、未经用户同意收集个人信息等情形。在产品功能发生变化需要更改个人信息处理规则的,应当及时更新隐私政策等授权文件确保用户授权的有效性。
3、建立内控机制,隔离刑事风险
为避免部分员工违规操作给企业以及主管负责人带来刑事风险,建议企业在内部建立相应的内控机制,明确数据收集、使用违规红线。在员工出现违法犯罪行为时,如企业可有效证明其已建立数据合规体系,将在一定程度上隔离企业及负责人的刑事风险。
4、遵循最小必要原则使用数据
如企业获得的数据本身合规性存在瑕疵,建议谨慎评估为满足业务可用性所必需的数据,并善用去标识化、匿名化技术,确保对数据最小程度的加工、使用。由此,即便企业难以做到完全的合规,也能降低违规情节,从而尽量将风险控制在可接受范围之内。
本文系未央网专栏作者:张豪 发表,内容属作者个人观点,不代表网站观点,未经许可严禁转载,违者必究!转载请标注:我爱技术网——企业数据合规,从数据源开始