中国信通院张夕夜等:个人信息保护合规的必要性及其指引
《个人信息保护法》将于2021年11月1日施行,作为个人信息保护领域的基本法,其全面规定了企业等个人信息处理者的义务及责任,并在三处明确提出合规要求。随着《个人信息保护法》的出台与实施,其与《数据安全法》《网络安全法》《刑法》中相关条款共同形成公法视角下的个人信息保护法律体系。一方面,面对强制合规义务及责任,企业应当建立合规管理体系,以践行处理个人信息的法定义务,避免因违法处理个人信息而受到处罚。另一方面,与强制合规并存的合规激励机制,如合规争取宽大行政或刑事处理,则使企业主动建立健全个人信息保护合规体系。
一、法律责任
应然状态下的法律责任是企业个人信息保护不完善时可能面临的合规风险,而不是企业承担责任的实然状态。行政和解制度、企业合规改革等合规激励机制,赋予企业以合规争取宽大行政处理及刑事处理的可能性,以此来减轻企业本应承担的责任,将较重的应然责任转为轻微的实然责任。
(一)应然状态下的法律责任
1、行政处罚
根据《个人信息保护法》《数据安全法》《网络安全法》 ,企业在处理个人信息时若违反禁止性规范或未严格落实义务性规范,可能面临履行个人信息保护职责的部门吊销营业执照等合规风险,具体如下。
(1)申戒罚。企业违反法律规定处理个人信息,或者处理个人信息未履行法律规定的个人信息保护义务的,由履行个人信息保护职责的部门给予警告。
(2)财产罚。企业违法处理个人信息拒不改正的,由履行个人信息保护职责的部门对企业及责任人员处以罚款,并没收企业违法所得。
(3)行为罚。一是限制开展经营活动。对违法处理个人信息的应用程序,责令暂停或者终止提供服务。二是吊销许可证件。违法处理个人信息情节严重的,吊销相关业务许可或者吊销营业执照。三是限制从业。禁止相关责任人员在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。
2、刑事责任
根据我国《刑法》规定,企业若违反法律规定处理个人信息,或未尽到个人信息保护的义务,可触犯作为犯“侵犯公民个人信息罪”及不作为犯“拒不履行信息网络安全管理义务罪”。
(1)作为犯罪。《刑法》第二百五十三条之一为“侵犯公民个人信息罪”,根据此条规定,违反国家有关规定,向他人出售或者提供公民个人信息情节严重的,窃取或者以其他方法非法获取公民个人信息的,处有期徒刑或者拘役,并处或者单处罚金。
(2)不作为犯罪。《刑法》第二百八十六条之一为“拒不履行信息网络安全管理义务罪”,根据此条规定,网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,致使用户信息泄露造成严重后果的,或有其他严重情节的,处有期徒刑、拘役或者管制,并处或者单处罚金。
(二)实然状态下的法律责任
1、宽大行政处理
在证券期货监管及反不正当竞争等领域,我国在行政监管环节已经开始了以合规换取宽大处理的制度和实践。具体到个人信息保护领域,可在两个方面做好个人信息保护合规管理,以争取宽大行政处理。
积极的作为义务方面,一是面向用户遵守个人信息处理的规则。如采集个人信息应当具有合法性基础,允许用户撤回同意,为用户行使删除、更正的权利提供便利,告知用户必要事项,通知安全事件等。二是企业内部承担安全管理的义务。如个人信息分类管理,采取加密等技术措施,建立应急机制,设立组织机构,进行影响评估及合规审计等。
消极的不作为方面,《个人信息保护法》等相关条款是企业处理个人信息时的禁止性规范,包括不得窃取或者以其他非法方式收集数据,不得过度收集个人信息,不得公开处理的个人信息等。据此,若企业未从事上述违法行为,仅员工因个人行为遭受行政调查时,企业可以提出尽到了培训、惩戒等方面的合规管理义务,从而将单位责任与员工的个人责任进行切割。
特别的,无论是积极的作为义务还是消极的不作为义务,若企业因“未尽强制性的义务”或“从事了禁止性的行为”而受到行政调查时,企业可以通过合规承诺,说服履行个人信息保护的职责部门免除或减轻企业的行政法律责任。
2、宽大刑事处理
我国当前正在进行企业合规改革试点。根据最高检《关于开展企业合规改革试点工作方案》,开展企业合规改革试点工作,是指检察机关对于办理的涉企刑事案件,在依法做出“能不捕的不捕、能不诉的不诉、能不判实刑的提出适用缓刑”的量刑建议的同时,针对企业涉嫌具体犯罪,结合办案实际,督促涉案企业作出合规承诺并积极整改落实,促进企业合规守法经营,减少和预防企业犯罪的改革举措。
具体到个人信息保护领域,同样可以在两个方面做好个人信息保护合规管理,以争取宽大刑事处理。积极的作为义务方面即履行信息网络安全管理义务。消极的不作为义务方面即不允许员工在产品和服务中出售、提供、窃取、非法获取个人信息。
三、合规指引
为贯彻落实相关要求,规范相关行为,提高相关企业合规意识和水平,相关部门在企业境外经营、金融、反垄断等领域编制了相关管理指引,如国家发改委等七部委印发《企业境外经营合规管理指引》,为企业在具体领域的合规工作提供指引和参考。借鉴这些领域合规实践,根据《个人信息保护法》《数据安全法》《网络安全法》及《刑法》,制定“个人信息保护合规指引”,具体内容包括以下八个方面。
(一)拟定规章制度
根据个人信息保护的法律法规变化和监管动态,建立健全并不断更新个人信息保护合规管理制度,阐明个人信息保护合规目的与内涵,明确处理个人信息的行为规范及违规后果,将外部有关合规要求转化为内部规章制度。一是形成个人信息安全管理基础性制度。二是在个人信息收集、存储、使用、加工、传输、提供、公开、删除等各个处理环节践行个人信息保护的义务。三是明确违规行为的内部处理流程和责任承担方式,签署承诺性书面声明,企业员工违规按既定方式处理。
(二)建立组织机构
设立个人信息保护内部合规机制的组织机构,明确个人信息保护合规主管部门、负责人及职责。合规部门负责具体起草本企业个人信息保护合规管理计划和管理制度;组织开展或者参与个人信息保护合规审计、检查与考核等相关工作,及时发现薄弱环节,督促违规整改和持续改进;落实本企业个人信息保护合规宣传计划,定期和不定期组织或协助人事部门、业务部门开展合规培训、宣传等工作;指导各业务单位做好个人信息保护合规、为各业务单位提供合规咨询和支持;就个人信息保护合规举报进行登记和受理并对举报进行调查和审核,判断是否存在违规行为,并提出处理建议。
(三)开展教育培训
组织开展个人信息安全教育培训,定期对从业人员进行教育和培训。一是培训内容。明确个人信息保护的概念与重要意义,本企业合规政策和相关管理办法,员工自身的个人信息保护合规职责,违规相关风险等。二是培训实效。通过不定期抽查或现场考试等形式加大培训督查力度,并纳入员工年度考核内容,保留培训及考核记录。
(四)建设合规文化
建设个人信息保护合规文化,将合规文化融入企业生产经营活动,形成全员认可的合规文化理念。对内畅通沟通渠道,员工可就合规问题进行咨询或发表意见,并形成反馈机制;对外宣传合规文化,展示企业合规形象,为企业发展营造良好的合规舆论及监管环境。
(五)进行影响评估
在处理敏感个人信息,利用个人信息进行自动化决策,委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息,向境外提供个人信息等四种情形时,进行个人信息影响评估。评估内容包括个人信息处理目的、处理方式等是否合法、正当、必要,对个人权益的影响及安全风险,所采取的保护措施是否合法、有效并与风险程度相适应。评估基本方法有访谈、检查、测试等。评估报告和处理情况记录应当至少保存三年。
(六)加强风险监测
从人员、流程、技术等安全要素出发,加强风险监测。人员方面,组建一支专业的协同团队,消除安全风险避免安全事件;流程方面,形成良好的管理流程,确保人员发挥作用、监测措施能够落地;技术方面,完善监测技术体系,不断优化升级新型技术工具。
(七)制定应急措施
制定并组织实施个人信息安全事件应急机制。一是采取补救措施。评估事件带来的影响和损害,抑制事件的影响进一步扩大,并恢复数据与服务。二是通知相关部门和个人。通知应当包括个人信息泄露、篡改、丢失的信息种类、原因和可能造成的危害,采取的补救措施和个人可以采取的减轻危害的措施,个人信息处理者的联系方式。
(八)定期合规审计
对个人信息保护合规机制的合理性、可行性、有效性等进行审计,评估具体流程合规操作的规范性。由企业自发进行的定期审计,可以由企业内部专人进行,也可以聘请外部第三方机构进行;由个人信息保护职责部门要求进行的外部审计,适用于企业在处理个人信息时面临较大风险或者发生个人信息安全事件。审计完成后形成审计报告,总结内部合规机制运行状况以及提出整改方向。
作者简介
张夕夜,中国信息通信研究院知识产权中心工程师,专注于企业数据合规与治理的研究工作。近来年主持了平台数据使用管理办法、信息共享研究等课题。
联系方式:zhangxiye@caict.ac.cn
钱悦,中国信息通信研究院知识产权中心研究员,主要从事企业合规管理咨询和体系认证,国际商法及知识产权保护法律研究,国际知识产权及跨境交易规则研究等。
联系方式:qianyue@caict.ac.cn
校 审 | 陈 力、 珊 珊
编 辑 | 凌 霄
推荐阅读