我们谈论数据合规中的个人信息保护时,在说什么?(附游戏与跨境电商两行业的解析)

华云数创(北京)科技有限公司    数据安全 法律+科技    我们谈论数据合规中的个人信息保护时,在说什么?(附游戏与跨境电商两行业的解析)

      作为个人信息保护领域的基础性法律---《中华人民共和国个人信息保护法》(下称《个保法》)统一了个人信息保护和利用规则,体现了国家对个人信息保护力度不断加强。

《个保法》对企业个人信息数据安全合规提出了新的考验。

在我们谈论企业数据合规中个人信息保护时,究竟在说什么?在与企业的交流中我们发现,还有很多人对此时不清晰的。

01

厘清个人信息的两个概念

 

企业在构建满足《个保法》的数据合规体系时,必须首先厘清两个概念:“个人信息的含义”和“个人信息处理行为类别”。
 
「个人信息的含义」
 
《个保法》第四条的规定:“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”

即:凡是涉及到与个人主体相关的,能够进行个体识别的信息都属于个人信息,比如电话号码、身份证号码、家庭住址、教育背景、亲属关系以及宗教信仰。

个人信息又分为一般个人信息敏感个人信息,敏感个人信息是“一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息”。因此,敏感个人信息包括但不限于个人基因、指纹、声纹、面部识别特征、医疗和金融数据等

 

「个人信息处理行为类别」

企业运营过程中,大量的个人信息处理行为面临着不确定的诸多法律风险。《个保法》统一规范的处理行为类别,包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等行为。从收集行为,到存储、使用、加工等一系列的个人信息处理行为,都将受到《个保法》的规制,也应当都纳入企业数据合规的范畴。

 

02

数据合规建设、个人信息保护的目的和初心

数据安全和保护个人信息,这又是指什么?基本上指的是:

- 数据不被无权访问者访问;
- 数据不被泄露,不被篡改,不被毁损,不被窃取,不被丢失,不被非法使用;
- 数据在处于安全的网络和设备环境中,这种安全状态足以保证系统不被攻击,不被控制,可以正常运行;
- 作为自然人,享有人格尊严,享有隐私权,享有平等对待权;
- 数据和个人信息不会被违法犯罪分子利用,造成国家、社会和个人重大损失
- ……

这就是数据合规建设、个人信息保护的目的和初心。企业违反这些义务和责任,造成数据不安全、个人信息保护力度不够,可能导致:国家秘密泄露,威胁我国经济、军事、文化、社会安全,影响我国国家安全、主权和领土完整;可能导致企业商业秘密泄露,丧失商机甚至经营一蹶不振;可能导致公民个人名誉权、荣誉权等人格权受损,可能导致财产损失甚至是巨额财产损失,甚至导致死亡、精神失常、家庭不复存在等恶劣后果。企业既不能享受数字时代的红利,还会面临最高额5000万的罚款......

 

03

企业处理个人信息的基本原则

有企业问,我们设置的办公室门禁系统,采用人脸识别的方式作为开门的方式,这个违反《个保法》吗?

这个问题在很多的企业都会遇到,在小区物业也经常碰到。根据《个保法》要求,如企业未提供其他方式门禁方式,而是强制要求员工提供人脸作为进出办公室的条件,那么就有违收集信息的必要性原则。

企业处理个人信息的有哪些基本原则呢?

知情同意原则。知情-同意原则是企业处理个人行为应遵守的核心原则。但知情-同意不是处理个人信息的唯一合法性基础,还有一条特殊的同意规则:为促进企业合理收集和利用个人信息,签订和履行合同所必需时、基于公共卫生或公共安全需要、基于法定义务处理个人信息均属于正当合法的处理行为,无需信息主体同意即可以收集使用个人信息,但必须严格限制适用上述范围。

最小必要原则。企业应当遵守相关领域或行业的部门规章、国家标准等文件,从必要个人信息范围、最小影响、直接关联、最小类型、最小频度、最小数量、最小权限等维度,从个人信息的收集、储存、使用、删除等生命周期,对“最小必要原则”进行全面适用。

其它原则。合法、正当、必要和诚信原则以及公开、透明原则。企业在处理个人信息时,不得误导、欺诈、胁迫信息主体,向信息主体公开个人信息处理规则、明示处理目的和处理方式以及范围。

04

数据安全与数据合规的衔接

 

企业在个人信息数据方面的不合规行为,不仅会导致行政处罚、侵权诉讼。甚至刑事处罚等法律后果,而且也会影响企业的市场竞争力和未来发展。因而,企业必须建立个人信息数据合规体系,实现企业个人信息数据安全,这即是企业的一项重要法律义务,也是未来企业竞争力的体现。

企业在进行数据合规、个人信息保护合规与数据安全管理时,有三个方面的问题需要考虑:

- “规”的充分性、针对性。即全面准确地了解合规领域不同层级、不同维度的规范要求;

- “度”的把握。即各种合规要求,做到什么程度算达标;

- 证明自己达标,即合规证据的梳理与留存。

下图给出了企业数据安全义务与数据合规义务的关联,企业的个人信息保护同样需要遵循和满足。

图1 数据安全义务与数据合规义务的联系(来自华云数创科技)

 

 

企业在履行数据合规中的个人信息保护义务时,需要关注数据的整个生命周期,从数据的采集、存储、适用、传输、提供、公开到删除的整个周期着手,每一个环节都有明确和严格的规定,不可偏颇。

图2 圈数据生命周期中数据合规需要满足的关键点(来自华云数创科技)

05

行业案例研究

 

1、游戏行业的个人信息保护
首先我们针对游戏行业的特点,梳理和明确对于个人信息的收集。

图3 游戏行业个人信息的收集(来自华云数创科技)

关于游戏行业数据合规中个人信息的使用。

图4 游戏行业个人信息的使用(来自华云数创科技)

2、跨境电商领域的个人信息保护

最近遇到很多的跨境电商就个人信息保护问题的合作需求,在此我们给出了一个参考案例如下。

5跨境电商领域的个人信息保护(来自华云数创科技)

 

06

写在最后

 

做好多方权益平衡,构建个人信息保护的整体价值观,落实好《个保法》的要求,企业面临的个人信息合规的许多问题或可迎刃而解。

华云数创科技与著名律师事务所共同打造了“企业数据合规服务工作站”,将发挥“法律+科技”双轮驱动的作用,赋能行业和企业,对经济发展起到放大、叠加、倍增作用,以数据合规为抓手,引导企业合法合规成长,实现企业经营、数据权益、行业治理的多赢和共赢。

有关更为详细的数据安全和数据合规的问题,我们十分愿意与广大的企业一起沟通合作。

 

 

2022-11-28 14:25
浏览量:0
前一个:
后一个: