大数据公司合规风险防范全攻略
【导读】本文详细地解读了“公民个人信息”立法现状,以大数据行业的四种盈利模式为切入,详细分析了大数据公司在不同领域内所面对的合规风险,并从商业伙伴选择、开发方式优化、内部管理完善等多个角度提出了合规建议。(本文作者为柯立坤、何晓君,本文源于“创业与法律”公众号,编辑时对文章内容略作调整。)
一、立法现状
2017年5月9日,最高人民法院和最高人民检察院为打击侵犯个人信息犯罪联合出台的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(下文简称《司法解释》),开篇第一条对“公民个人信息”进行了定义,即公民个人信息是指“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、手机号码、通讯联系方式、住址、账号密码、财产状况、行踪轨迹等”。
该解释对违法行为进行了具体的规定,结合《刑法》第二百五十三条之一,侵犯公民个人信息的违法行为可以分为三种:
1. 向特定人提供公民个人信息或通过信息网络或其他途径发布公民个人信息;
2. 违规购买、收受、交换公民个人信息;
3. 出售公民个人信息。同时,2017年6月1日生效的《网络安全法》对网络运营者、网络服务提供者对保护公民个人信息的义务进行了详细的规定。
《刑法》第二百五十三条之一
违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
《司法解释》第三条
向特定人提供公民个人信息,以及通过信息网络或者其他途径发布公民个人信息的,应当认定为刑法第二百五十三条之一规定的“提供公民个人信息”。
未经被收集者同意,将合法收集的公民个人信息向他人提供的,属于刑法第二百五十三条之一规定的“提供公民个人信息”,但是经过处理无法识别特定个人且不能复原的除外。
《司法解释》第四条
违反国家有关规定,通过购买、收受、交换等方式获取公民个人信息,或者在履行职责、提供服务过程中收集公民个人信息的,属于刑法第二百五十三条之一第三款规定的“以其他方法非法获取公民个人信息”。
《网络安全法》第二十一条
国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
1. 制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
2. 采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
3. 采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
4. 采取数据分类、重要数据备份和加密等措施;
5. 法律、行政法规规定的其他义务。
《网络安全法》第二十七条
任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动;不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具;明知他人从事危害网络安全的活动的,不得为其提供技术支持、广告推广、支付结算等帮助。
除了上述近期的立法之外,此前关于个人信息的保护的法律法规,主要按行业分布在电信、互联网、医疗、银行、征信等行业的由各部委主导的立法中。这些零散的立法,有一些更加详细的要求,但没有形成对个人信息的立体保护体系。
二、 大数据行业的盈利模式
大数据行业目前有四大盈利模式:
1. 解决方案部署
主要是为需求方构建、部署大数据系统,收取维护、升级费用。以大数据公司——北京XX信息技术公司为例,该公司针对酒店信息化建设的需求,为酒店构建一套大数据系统,致力于打通酒店行业“住前、住中、住后”全数据链条,让酒店得以从宏观上立足整体统筹全局,制定更可行的营业方案,并且能收集到客户切实的需求,从微观上作出调整,以便获取更高的满意度和更大的利润。
2. 提供基础设施
基础设施是指数据库、数据源、数据清洗、数据处理工具、数据API等,需求方可以自由选择需要的服务模式,根据设施不同进行收费,灵活性强。数据堂就是典型的数据供应商,数据业务是公司的核心业务。数据堂通过共享、众包平台积累海量数据并根据客户需要提供平台上的数据,实现盈利。
3. 提供数据工具/产品化服务
即为数据需求方提供移动统计分析工具、第三方数据服务、数据分析服务等。该模式下数据供给方可以利用自有平台合法收集用户信息,通过整合线下资源,为数据需求方提供市场调查服务、人工判断、预警服务和分析服务,或者为其提供目标人群的数据资料,使其得以开展有针对性的精准广告宣传活动。
4. 利用大数据与传统行业结合产生新的商业的行业应用模式
该模式不能为服务对象直接变现,但能创造更高的社会公共价值。以公共交通行业为例,传统的公共交通规划不合理现象突出,实行“互联网+”战略后不仅能改善路网结构,还满足了乘客实时查询公交的需求,使公共交通行业成功实现升级。
三、大数据公司如何预防合规风险
具体来说,大数据公司预防合规风险可从以下方面采取措施:
1. 最基本的风险防范措施就是获得用户授权
在收集个人信息时,必须先与用户签订隐私协议或隐私保护条款。过去的隐私条款,常常是概括性的授权,即使用用户协议/注册协议等一次性取得所有用户个人信息的授权,并非按照逐一功能取得逐一授权;或某一子公司取得用户的授权,通过格式条款让用户同意取得的个人信息可以出于“为用户提供更好服务”的目的,给集团其他关联公司或合作伙伴使用。
但上述两种方式逐渐招致了批评,2017年中央网信办对10款用户量较大的网络产品进行了隐私条款的评审,经过评审、整改,部分产品的隐私权条款实现了优化和提升:
a. 运用增强式告知(即单独弹窗告知收取个人信息的核心内容)、即时提示(即按照摄像头、地理位置等功能需求逐一提示取得授权)等方式,在注册、使用环节引导用户阅读、了解隐私条款的核心内容(增加有超链接功能的目录);主动区分核心功能和附加功能提供用户选择。
b. 提供了更便利的在线“一站式”撤回和关闭授权,在线访问、更正、删除其个人信息,在线注销账户等功能。
2. 应区分高敏感度信息和一般个人信息
● 高敏感度
姓名、身份证件号码、手机号码、通讯联系方式、住址、账号密码、财产状况、行踪轨迹、病历资料、开房记录、指纹、人脸信息、征信报告
● 一般个人信息
性别、任职单位、职务、毕业院校、生日
● 合法个人数据
无法单独识别个人的信息(网页浏览记录、检索关键词、兴趣、爱好)
那么对于敏感信息应当如何保护呢?通过借鉴不同企业的经验可以发现,最基本的是企业内部完善对用户信息的保密措施,建立数据保护制度和完善数据保护规程。例如采取数据脱敏、匿名、内外网隔离,生产库查询库隔离,堡垒机审计措施,避免“内鬼”往外倒腾数据。网络安全法对于个人信息保护采用了公共责任立法的原则。
即,如果网络运营者发生信息泄漏等事故,网络运营者需要承担相应的法律责任(《网络安全法》第五十九条、第六十四条),除非网络运营者、网络服务提供者已经按照法律、法规规定尽到全面的网络安全保护义务才有可能减轻责任或免除责任。
研究所处不同行业的细分立法,制定符合细分行业特点的个人信息管理策略:
●邮政行业
案例链接:被告人严明周原系某快递公司快递员。任职期间,严明周私自保存了8910张登记有客户个人信息(含公民姓名、地址、电话号码等信息)的快递单存根联。严明周的朋友被告人刘远培为了方便做微商便向严提出能否将其留存的快递单存根联提供给刘,严答应。
严明周将上述8910张快递单存根联出售给刘远培,刘经营的微商生意获利后,支付2000元报酬给严。法院以被告人严明周犯侵犯公民个人信息罪,判处有期徒刑十个月,并处罚金3000元;被告人刘远培犯侵犯公民个人信息罪,判处有期徒刑十个月,并处罚金3000元。(案号:(2017)粤1972刑初246号)
因泄露快递单面信息被判刑的案件数量呈上升趋势,在寄快递已经要求实名制的情况下,若个人信息保护体系不能完善,个人信息相当于“裸奔”,因此,快递行业在保护公民个人信息方面应尽快完善相应制度。
《快递暂行条例(征求意见稿)》中第三十二条就规定了经营快递业务的企业应当建立快递运单及电子数据管理制度,妥善保管用户信息等电子数据,定期销毁快递运单,采取有效技术手段保证用户信息安全。具体办法由国务院邮政管理部门会同国务院有关部门制定。
经营快递业务的企业及其从业人员不得出售、泄露或者非法提供快递服务过程中知悉的用户信息。发生或者可能发生用户信息泄露的,经营快递业务的企业应当立即采取补救措施,并向所在地邮政管理部门报告。第三十三条规定了经营快递业务的企业应当依法建立健全安全生产责任制,确保快递服务安全。
目前,快递实名制信息安全联盟推出了“后台实名制+前台隐私化”系统性解决方案,利用分布式信息存储技术,从源头分离数据保障安全。该方案把用户个人信息保存在后台,对保护个人信息是一个质的飞跃。对于传统的快递单,应当及时进行销毁处理,降低信息泄露的风险。此外,快递行业应当对快递从业人员进行严格筛选、培训,对擅自泄露公民个人信息者开除并公告,抵制其再次进入快递行业。
●金融行业
案情简介:被告人席艳在担任被告单位西安鼎立金融信息服务有限公司业务部部长期间,为开展业务,经公司法定代表人被告人侯哲锋同意,经曹山(另案处理)联系,以28000元从邢某(另案处理)处购买了20GB以上(近一百余某)的公民个人信息。邢某收到鼎立公司支付的钱款后,通过曹山付给席艳好处费3000元。2016年9月27日,席艳、侯哲锋被公安机关抓获。
《商业银行法》、《证券法》、《保险法》等分别对不同领域的金融机构提出了个人信息的保密义务。《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》中明确了所有金融机构都有义务保护个人信息不被泄露。
个人金融信息包括个人的身份信息、财产信息、资金账户信息、个人的消费、理财、借贷等金融交易信息、信用信息,还包括对个人消费习惯、投资意愿等原始信息进行分析处理所形成的反应其特定情况的衍生信息。银行等金融机构在收集、使用公民个人信息前,必须与用户签订授权协议,并按协议行使权利。
●医疗行业
案情简介:被告人郑某、杨某分别担任雀巢(中国)有限公司西北区婴儿营养部市务经理、兰州分公司婴儿营养部甘肃区域经理期间,为了抢占市场份额,推销雀巢奶粉,授意该公司兰州分公司婴儿营养部员工被告人杨某甲、李某某、杜某某、孙某通过拉关系、支付好处费等手段,多次从兰州大学第一附属医院、兰州军区总医院、兰州兰石医院等多家医院医务人员手中非法获取公民个人信息。
其中,被告人郑某自2012年2月开始,通过上述手段,非法获取公民个人信息40507条。被告人杨某自2011年开始,通过上述手段,非法获取公民个人信息45659条。被告人杨某甲通过上述手段,非法获取公民个人信息20085条,被告人李某某通过上述手段,非法获取公民个人信息14163条,被告人杜某某通过上述手段,非法获取公民个人信息10448条,被告人孙某通过上述手段,非法获取公民个人信息963条。
期间,被告人王某甲利用其担任兰州大学第一附属医院妇产科护师的便利,将其在工作中收集的公民个人信息2074条非法提供给被告人杨某甲、孙某,收取好处费13610元。被告人丁某某利用其担任兰州军区总医院妇产科护师的的便利,将其在工作中收集的公民个人信息996条非法提供给被告人李某某,收取好处费4250元。被告人杨某甲利用其担任兰州兰石医院妇产科护师的便利将其在工作中收集的公民个人信息724条非法提供给被告人杜某某,收取好处费6995元。
该案是传统类型的医疗行业侵犯公民个人信息犯罪的现象。如今,“互联网+”和医疗行业的结合,医疗行业保护个人信息更是面临着更大的挑战。近年来,微信挂号、线上方问诊等看病新形式的出现,方便公民对健康的管理的同时,隐藏着巨大的个人信息泄露风险。
公民的健康信息具有很高的商业价值,对各种营养品、保健品、药品、医疗器械等商家实施“精准营销”发挥重要的作用。同时也对药物的研究、治疗方案的创新等有非常重要的作用。医疗行业使用大数据要避免合规风险,就要在尊重用户隐私的基础上搜集、使用。最简单的就是得到用户的授权,其次,使用数据前匿名化,就算数据流通使用也不会具体到特定的个人身上,这种大数据就不属于个人信息保护的范围内了。
3. 谨慎选择商业合作伙伴
数据供给方和需求方合作时,为保障双方的利益,必须签订协议并做如下约定:
a. 数据供给方要承诺和保证数据来源合法;
b. 数据需求方要承诺和保证,不使用数据供给方提供的数据和存量的数据结合识别个人;
c. 明确在合作过程中发生数据泄露的违约赔偿责任;
d. 要求合作对象采取必要的技术措施和内部控制手段,保障数据安全;
e. 可以要求合作对象对内部员工的违规行为承担连带赔偿责任。
4. 使用不暴露合作数据的开发方式
比如某大数据分析公司和银行合作,银行只提供了少量经过数据脱敏的数据供该大数据公司前期测验开发使用,并要求大数据公司在前期开发也必须委派人员到银行提供的独立内网开发环境中保密进行。
何渊:欧盟议会全球首个“关于制定机器人民事法律规则的决议”(介绍部分)
何渊:人工智能时代“大数据”加上“差异化算法”带来的身份歧视,就是商业领域隐匿的穷人与狗不得入内!
【前沿5】美国布鲁斯的经典隐私理论和德国的人格权理论:四种类型的隐私侵权体系比整体保护体系更好吗?
【前沿2】《自动驾驶的监管挑战:面对悲剧性选择人工智能如何决策》
诚意推荐 欢迎关注