姜先良 律师,北京市中闻律师事务所权益合伙人,北京市法院前法官,商业机构合规管理顾问专家。主要执业领域:企业合规管理与风险防控、公司争议解决、刑事辩护、民事案件执行、金融不良资产处置。
2019年5月1日,据Politico杂志报道,Facebook正在和美国联邦贸易委员会(FTC)协商一份和解协议,Facebook预计将向FTC支付30—50亿美元的罚款。FTC将在Facebook内部建立一个独立的隐私监督委员会,CEO马克·扎克伯格将扮演负责执行公司隐私政策的“指定合规官”的角色,这将使他个人对Facebook处理该问题负责。
Facebook侵犯用户隐私案是一起非常典型的互联网企业运营安全问题。在网络这个虚拟世界中,用户数据就像是现实世界中的水和空气。谁拥有数量更多的用户数据,谁就有了更强大的竞争力。但基于用户个人隐私这一基本人权,获取用户数据必须合法,即必须获得用户本人的同意和使用授权。同时,使用用户数据必须出于正当目的,而且应采取有效措施保管数据,防止数据泄露或被他人窃取。对Facebook这样一个超级互联网企业来说,在用户数据的获取、使用和管理各个环节,都需要采取大量的合规措施,此次FTC要在Facebook内部建立一个独立的隐私监督委员会,就是从企业组织架构上加强对用户数据保护的领导。这是一项根本性举措,对于我国互联网企业加强公民个人信息保护,具有重要的启示意义和借鉴价值。
2017年6月1日开始施行的《中华人民共和国网络安全法》,围绕保护“网络信息安全”这一目标,其中的第三章要求网络运营者建立健全用户信息保护制度,并确立了收集、使用用户个人信息的“合法、正当、必要”原则。同时,为帮助互联网企业管理者明晰用户个人信息保护的行为底线,《网络安全法》主要采用禁止性规范的立法技术设定行为的合法性边界,包括:1.不得收集与其提供的服务无关的个人信息;2.不得违反法律、行政法规的规定和双方的约定收集、使用个人信息;3.不得泄露、篡改、毁损其收集的个人信息;4.不得窃取或者以其他非法方式获取个人信息;5.不得非法出售或者非法向他人提供个人信息;6.发送的电子信息、提供的应用软件不得设置恶意程序等。
《网络安全法》设置的这些行为底线是比较原则的,所以在互联网企业的经营中,基于利益驱动仍大量发生突破底线的违法违规情形。为此,中央网信办、工信部、公安部、市场监管总局等四部门决定2019年1月至12月在全国范围组织开展App违法违规收集使用个人信息专项治理。为收集违法违规线索,专项治理工作组开通了举报渠道。截至2019年4月16日已反馈了3480多条举报信息,主要违规行为包括:26%的App没有隐私条款或未在隐私条款中明确收集个人信息的目的、方式、范围;31%的App在申请打开收集个人信息相关权限时,未明确告知用户;20%的App收集与业务功能无关的个人信息,如金融借贷App收集用户通信录;19%的App未经用户同意,向他人提供设备ID、应用程序列表等个人信息;13%的App强制索要与业务功能无关的权限,如计算器、手电筒App强制要求打开地理位置权限。还有一些App存在不支持用户注销账户、更正或删除信息等问题。归纳起来,App运营者的这些违规情形要么和用户没有事先约定收集信息规则,要么违反约定收集信息,要么超越自身业务范围收集信息。
作为互联网企业,如何与客户约定收集个人信息规则,已不单单是企业与用户之间的私事,必须上升到落实《网络安全法》加强用户个人信息保护的公共利益,从而为互联网企业的整体经营提供合规标准。2018年11月30日, 公安部网络安全保卫局发布了《互联网个人信息安全保护指引(征求意见稿)》(以下简称《征求意见稿》)。2019年4月10日, 公安部网络安全保卫局、北京网络行业协会、公安部第三研究所联合发布了《互联网个人信息安全保护指南》(以下简称《指南》)。《指南》是在《征求意见稿》的基础上修改而成的, 主要从管理机制、安全技术措施、业务流程和应急处置四个方面对个人信息持有者的个人信息安全保护工作提供了参考。
管理机制方面,《指南》明确个人信息持有者需要履行网络安全等级保护定级备案手续,同时在安全管理制度、组织架构及人员配备、培训等方面提出了具体要求。
技术措施方面,《指南》为满足個人信息保护的技术需要,从通用网络、区域边界、计算环境、应用和数据等方面明确企业采取的技术措施内容;同时在持有个人信息数量达到一定程度时,进一步提出了云计算安全、物联网安全的技术措施要求。
业务流程方面,《指南》对网络运营者的收集、保存、应用、删除、第三方委托处理、共享和转让、公开披露用户个人信息等环节的经营行为提出了具体要求。
应急处置方面,《指南》对应急机制和预案、处置和响应措施等提出了具体要求。
虽然《指南》不属于立法体系中的“部门规章”,但作为网络安全的执法部门、行业监管部门以及技术部门共同颁布的规范性文件,《指南》无论对于收集使用个人信息的互联网企业,还是对于网络监管部门的监管行为,都有重要的指导意义和规范引领作用。
根据《网络安全法》设定的底线条款和《指南》明确的行为标准,我们可以看出,互联网企业要加强对用户个人信息的保护,需要考虑全面完善自身合规管理体系。在通常意义上,一个企业完备的合规体系包含六个要素:一是制度机制、二是检查评估、三是举报渠道、四是独立调查、五是外部监测、六是合规承诺。
围绕这六个要素,互联网企业加强个人信息保护的重点工作是:
一是严格遵守网络安全等级保护制度。按照安全等级要求开展合规管理,全面提升管理的标准化水平。App运营者要结合此次四部委开展的专项治理行动,坚持问题导向进行整改,着力纠偏和改正。
二是加大对个人信息保护的技术投入。这是互联网企业加强用户个人信息保护最核心的管理措施,也是最重要的成本投入。用户数据信息是互联网经营环境的基本单元要素,作为互联网企业必须构建一个安全的数据存储和使用环境,在此基础上进一步提供安全便捷的信息使用技术。所以互联网企业保护个人信息的技术措施涵盖网络环境技术、边界技术、计算技术、应用技术等,这些技术在不同安全等级中有不同的标准和要求。
三是要建立健全个人信息保护的合规团队。无论是制度层面,还是技术层面,互联网企业保护个人信息的合规力量应涵盖公司经营的各个方面。借鉴FTC将在Facebook内部建立独立的隐私监督委员会的合规整改要求,在互联网企业的合规管理机构中,最高层级的管理机构要设立专门的用户个人信息保护机构。该机构可以是合规管理领导机构的内设机构,也可以是独立的特别机构。
四是加大对侵犯用户个人信息舞弊行为的问责。随着公民个人信息保护力度的不断加大,互联网企业发生的侵犯公民个人信息的案件,很容易出现员工个人行为与单位行为的责任混同。根本原因在于《网络安全法》出台后,并没有明确划定互联网企业保护用户个人信息的行为合规边界,作为企业的注意义务和管理责任范围是什么并不清晰。这种情况下企业很容易无所适从,所以个人责任和单位责任容易发生混淆。随着《指南》的出台,企业在履行好自身合规责任时,还要加大对员工侵犯用户个人信息舞弊行为的问责,这样才能确保制度有效落地,同时避免单位被监管部门甚至执法机关错误追责。