《中国数据保护年度报告(2018)》系列之一:企业数据收集和利用的现实局面
元达律师事务所 & LexisNexis律商联讯
《网络安全法》的实施,意味着各类公司及事业实体都需要承担相应的网络安全义务,这给数据安全领域的企业合规带来重大挑战。
为了解企业数据合规的真实情况,元达律师事务所与LexisNexis律商联讯携手进行了此次问卷调研,历时数月。受访对象的性质包括但不限于国有企业、民营企业、外商独资企业、中外合资企业等,覆盖金融业、制造业、信息服务业、租赁及商务业等行业,因此,调研结果基本能够反映出不同性质、领域的公司及事业实体在数据安全合规领域的现状。调研问卷的内容围绕企业数据合规完成的状况展开,主要包括数据合规应对、数据保护以及《网络安全法》框架下网络安全义务的履行情况等。
本报告发现,为数众多的企业已经开始积累对数据合规义务的认知,但一个相对普遍的困扰是缺乏连结法律合规及技术现实的启动及运行机制。此类困扰也将直接影响到数据合规义务履行的情况。本文截取了调研结果的一部分,真实展现了企业在数据合规方面的现实状况和问题,以供读者先睹为快。
大数据时代,收集个人信息有助于企业为用户提供更加精准和优质的服务。但是不当收集、使用相关数据会增加企业侵犯个人信息或者不正当竞争的风险。为了解企业运营过程中获取数据的途径,本报告问卷设置了相应问题。
表一:
选项 | 比例 |
生产或经营中产生 | 58.33% |
从注册用户处进行收集 | 37.96% |
从第三方直接购买 | 19.44% |
从网络抓取公开的数据 | 16.67% |
通过与第三方合作获取 | 29.17% |
其他(请注明) | 2.31% |
不清楚 | 18.98% |
调研结果如表一显示,每个选项都占有不低的比例,可见企业收集数据的途径是多种多样的。本报告提醒,企业无论以何种途径收集数据,均负有确保其安全的义务。
此外,为了解受访企业在运营过程中是否会收集用户个人信息,或产生、收集重要数据,本报告问卷亦设置了相应的问题。
表二:
选项 | 比例 |
收集个人信息 | 54.63% |
产生、收集重要数据(如金融服务中的账户信息、个人信用信息,食品药品行业中的食品安全溯源标识信息等) | 34.26% |
以上均为“否” | 17.59% |
不清楚 | 15.28% |
表二调研结果显示,过半数的企业表示会收集用户个人信息;约三分之一的企业表示会产生、收集重要数据;仅有少量企业表示既未收集用户个人信息,也未产生、收集重要数据。
为确认现阶段企业对个人信息的收集是否符合《网络安全法》的规定,本报告问卷还从以下方面设置了相应问题:
第一,企业在收集用户个人信息的过程中,是否向用户展示个人信息收集、使用的规则以及展示的方式。
表三:
选项 | 比例 |
用户注册时有相关链接展示,其可以进入单独的规则页面 | 21.3% |
用户注册时会通过弹窗等增强式告知方式,直接向用户展示有关规则的内容 | 23.61% |
用户注册界面直接显示相关规则,但是无增强式弹窗告知 | 11.11% |
其他(请注明) | 6.48% |
不向用户展示相应规则 | 4.17% |
不收集用户个人信息 | 0% |
不清楚 | 39.81% |
表三调研结果表明,多数企业会采取各种方式向用户展示收集信息的规则。这符合《网络安全法》的相关规定,即网络运营者收集个人信息时应“公开收集、使用规则”。
此外,表三问卷问题还列举了不同的展示方式。仅展示链接等方法可能并不会对用户产生提示,会有一定的合规风险;而“增强式”的告知方式最符合“公开”和“明示”的要求。因此,本报告建议,企业采用“增强式”的告知方式,以避免合规风险。
第二,用户在使用受访企业网站或受访企业提供的网络服务、产品时,是否需要对有关收集、使用其个人信息的相关规则表示同意。本问题旨在了解企业收集、使用用户个人信息是否征得用户同意的情况。
图一:
根据《网络安全法》的相关规定,企业在向用户明示个人信息的收集、使用规则之后,仍应当征得用户的同意,这是一个“合意”的过程。本问题的设置即基于此病承接前面的问题。调研结果(图一)显示,仅有半数企业在收集用户个人信息时要求用户“点击同意”。对于未设置“点击同意”步骤的企业,即使企业对规则作了最大化地公开和明示,本报告提醒,不经过同意,其仍不能使用用户的个人信息。因此,本报告建议,相关企业应对以上步骤进行相应的调整,减少合规风险的产生。
在收集和利用个人信息的过程中,企业还应当注意,《网络安全法》第四十三条赋予了用户对其个人信息的删除权和更正权。本报告调研问卷中设置了相应的问题。
表四:
选项 | 比例 |
不允许用户提出删除或更正要求 | 4.17% |
允许用户提出删除要求,并说明具体方法 | 30.09% |
允许用户提出删除要求,但未说明具体方法 | 12.96% |
允许用户提出更正要求,并说明具体方法 | 18.98% |
允许用户提出更正要求,但未说明具体方法 | 9.72% |
没有隐私政策 | 3.7% |
不清楚 | 53.7% |
本报告调研结果(表四)表明,网络运营者对于用户删除权和更正权的保障并不充分。
有4.17%的企业不允许用户删除和更正其个人信息。这显然未保障用户的合法权利。有43.5%的受访企业允许用户对个人信息进行删除,28.8%的受访企业允许用户对个人信息进行更正。这说明部分受访企业或许基于效率考量,仅保障了用户对个人信息的删除权。而《网络安全法》规定用户既享有删除权又享有更正权,因此,本报告认为,部分企业对用户对其个人信息的删除权与更正权保障不充分。
12.96%的受访企业允许用户对其个人信息提出删除要求,却未告知具体方法;9.72%的受访企业允许用户提出更正要求,却未告知具体方法。本报告认为,这些做法都阻碍了用户行使《网络安全法》规定的删除权和更正权。本报告建议,企业应该充分保障用户对其个人信息的删除权与更正权,以消除合规风险。
基于本报告,元达律师事务所和LexisNexis律商联讯将于2018年4月12日在上海举办的“2018中国数据保护研讨会”。
详情请见:【活动邀请】4月12日•上海|2018中国数据保护研讨会