个人信息保护下的增值电信业务公司合规化管理研究

谢剑辉

［摘 要］增值電信业务公司在短消息发送业务开展过程中接触到大量公众的个人信息。如何实现短信息发送业务合规化管理，以更好地保护公民个人信息安全和个人合法权益，强化市域社会治理，成为此类公司业务合规化管理的重点。特别是在《中华人民共和国民法典》《中华人民共和国个人信息保护法》业已生效，配套法律法规和行业自律性制度也纷纷出台并不断完善的背景下，实现此类公司业务合规化管理尤为重要。基于此，文章对增值电信业务公司短消息发送业务中个人信息保护合规化管理的问题进行分析，并提出合规化管理建议，以期推动此类公司规范管理短消息发送业务。

［关键词］增值电信业务公司；个人信息保护；合规化管理；短消息发送业务

doi：10.3969/j.issn.1673 - 0194.2023.18.050

［中图分类号］F626.5［文献标识码］A［文章编号］1673-0194（2023）18-0153-03

1     研究背景

增值电信业务公司是指获得中华人民共和国增值电信业务经营许可证，并从事增值电信业务经营的公司，在以信息化促进市域社会治理现代化过程中发挥重要作用。增值电信业务公司在提供增值电信服务的过程中，其主营业务就是为客户大量发送短信息，既包括普通商业短信、会员短信，也包括政府防洪、高温预警等公益信息。该类公司在这一业务过程中，涉及大量个人信息收集、存储、维护、处理的问题，这些问题也就成为公司业务合规化管理的重中之重［1］。国家法律法规和相关主管部门规章对短信发送中的个人信息保护提出许多合规要求，但不少公司并未认真看待和解读这些规范要求，在个人信息保护理念上存在缺失，更谈不上落实到公司的实际管理之中，因而给公司的业务合规化管理带来隐患。有的公司因为不合规行为产生不少民事纠纷，面临行政处罚甚至刑事责任的承担，更有甚者由于个人信息的大量泄露，给国家安全造成严重损害［2］。

2     增值电信业务公司短消息发送业务中个人信息保护合规化管理的问题

2.1   公司对个人信息保护合规化管理的重要性不甚了解，保护意识不足

增值电信业务公司的着眼点是业绩提升，近年来面对经济下行压力，以及较为激烈的行业竞争形势，短信息发送业务量呈下滑之势，维持业务量成为公司的当务之急，其对业务合规的意义认知不足，对个人信息保护合规化管理的重要性更是不甚了解。公司往往强调对销售人员的业绩进行刺激，目前采取的还是“底薪+提成”的销售模式，销售人员为了提升业绩和增加收入，在业务洽谈中总是尽力促成协议的达成，对客户的个人信息保护并未给予充分的重视［3］。

2.2   公司短消息发送业务模式的自身特点容易导致合规风险

（1）此类公司业务模式的特点之一是数量巨大。该类公司每天都有大量的短信息通过106通道进行发送，京东、国美、字节跳动等公司每月的短信发送量都在百万条以上，通过三网合一平台发送短信的数量巨大，其中必然产生大量的自然人姓名、电话号码、生物识别信息。根据《电信和互联网用户个人信息保护规定》，电信业务经营者及其工作人员对提供服务过程中收集、使用的用户个人信息应当严格保密，不得泄露、窜改或者毁损，不得出售或者非法向他人提供。但由于短消息发送业务数量巨大，公司不可避免地会出现员工泄露个人信息的风险。

（2）此类公司业务模式特点还包括在业务开展中几乎未与个人用户发生直接关系，大多是信息发送主体公司通过增值电信服务公司的短信发送通道为其客户或会员发送短信。因此，客户公司是否有与其会员达成同意发送的一致意思，个人用户是否接受短信息发送，发送的时间是否有要求等，此类公司很难对其明确判断。部分公司的隐私政策如《京东隐私政策》《淘宝网隐私政策》《美图专业证件照个人信息保护政策》等可以通过网络查询获取，但有些客户公司没有制定隐私政策，在实践中增值电信服务公司很难要求发送主体公司提供材料进行合规审查，公司可能在个人用户未同意的情况下为其发送短信。在此情况下，个人用户往往会因自身的利益受到损害而通过12321网络不良与垃圾信息举报受理中心进行投诉。个人用户对增值电信中短信息的发送流程基本缺乏了解，其投诉的对象往往就是投诉短信发送者，即增值电信业务公司，故可能产生的行政责任大多需要由增值电信业务公司承担，这也给公司短信息发送业务带来风险。

2.3   相关法律和规范性文件尚需完善，业务合规标准无法准确界定

近年来，尽管我国个人信息保护的法律规范已取得长足进步，但仍有需要完善之处。以《最高人民法院、最高人民检察院关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》为例，其十一条第（三）项规定了明知他人利用网络实施犯罪的认定标准之一：……交易价格或者方式明显异常的。但何为交易价格明显异常，如何判断价格过高或过低，并无进一步的明确解释，同时什么是交易方式明显异常的，也缺乏典型的表述方式，这导致公司在实践中对此类行为是否构成帮助信息网络犯罪缺乏明确的界定界限［4］，这也给公司业务合规化管理带来不少压力。

3     增值电信业务公司短消息发送业务中的个人信息保护合规化管理建议

3.1   强化个人信息治理，构建内部制度

公司应建立内部个人信息保护体系，实现合规化、制度化的体系设计。公司不应片面追求利润，而应在实现盈利的同时注重公司的风险防控和社会责任，只有多元治理，共同参与，才有可能形成个人信息保护的合力，实现各方多赢。用户数量巨大、业务类型复杂的增值电信业务公司要履行“看门人”义务，强化个人信息治理，这不但对国家安全与经济安全等具有重大意义，也是公司内部管理能力的重要体现。基于此，公司在内部制度构建层面，应在法律框架下构建公司内部网络安全管理制度、安全警示制度、运营风控管理制度等，建立先进实用、完整可靠的信息系统安全体系，实现个人信息保护的体系化、制度化。

3.2   加強内部业务流程的合规管控

内控体系的建立和实施是个人信息保护的重点，公司应通过合理管控内部业务流程，在技术管理层面更好地保护个人信息。

（1）首先，公司应加强对个人信息实行分类管理，针对不同种类个人信息建立访问控制措施并确定操作权限。对个人信息的重要操作设置内部审批流程，分别设置安全管理、数据操作、业务、财务人员等角色等。其中，对敏感个人信息的处理应采取更为严格的保护措施，包括但不限于采用信息加密等安全措施，将个人生物识别信息与其他个人信息分开存储，对敏感个人信息的处理目的、处理方式、对个人权益的影响及安全风险、所采取的保护措施进行事前个人信息保护影响评估［5］。

（2）其次，公司还应形成建立敏感词管理库，强化拒绝模板拦截审核环节。其一，根据《互联网信息服务管理办法》《中华人民共和国电信条例》《关于依法开展治理手机违法短信息有关工作的通知》等规定，形成与云通信服务系统相匹配的敏感词管理库并不断更新，通过敏感词审核、拒绝模板审核环节，根据客户事先报备的模板进行比对，由系统自动完成审核。其二，涉及加微信、加QQ、推广App等三大运营商明确规定禁止发送的，强化拒绝模板拦截。其三，通过客户异常行为审核环节，建立实时风控系统，以捕捉短信发送主体的异常行为，主要拦截以链接类、行业应用类短信账号发送会员营销短信行为，以及验证码攻击行为等用户异常行为。其四，在人工审核环节，由技术部专员针对系统自动拦截下来的短信进行实时审核。公司通过4道拦截程序，能有效避免个人信息泄露之后可能导致的被用于违法犯罪等情况，将个人信息被泄露后的负面效果降至最低。

（3）最后，公司应对所获取的个人信息进行合规处理，避免信息泄露［6］。增值电信服务公司在短消息发送业务中，最大的风险来自个人信息的泄露问题，所以公司要在明确个人信息保护的范围之后，先由网络安全部门组织开展信息系统安全等级保护建设、测评、自查和整改等工作，制定系统应急预案，通过网络日志、文档等形式准确记录对个人信息的处理活动，在技术层面规避个人信息泄露风险。然后，公司需要根据《通信短信息服务管理规定》和公司网络安全管理等内控制度，明确各类人员权限，禁止非授权人员查询用户信息。同时，对于实践中客户要求公司提供个人用户信息用于核对数量和相应款项的，需要慎重设计对接流程，并对个人用户信息进行脱敏处理，以避免个人信息泄露导致的侵权或违约等法律风险。

3.3   严格业务合同的合规审核和合同履行中的安全防控

在对外的业务开展过程中，公司应确保从业务流程层面严格规范个人信息的保护。《通信业务协议书》是增值电信业务公司与客户确定合同权利义务关系的重要凭证，对业务协议的审查管理是外部风险防控和合规管理的重要环节，公司法务风控等部门除了要做好一般性、常规性的合同审查，还需要重点审查以下条款。

（1）首先，应对客户公司进行初步客情调查［7］，包括客户公司的设立时间、客户所从事的行业、是否与客户有合作先例、客户是否存在重大涉诉问题、客户是否有负面舆情新闻等，以此准确评估客户的资信能力，从而初步判断客户公司对个人信息保护的严谨程度，并评估泄密风险。此外，协议条款中是否涉及违法收集个人用户信息的问题，公司需要判断收集个人信息是否已征得他人同意，是否遵循合法、正当、必要和诚信原则，是否限于达到处理目的的最小范围而收集个人信息，以及个人信息的有效保护方式，并根据具体需要设定专门的个人信息协议条款约定双方的权利义务。

（2）其次，应对客户公司的合同义务要求，特别是个人信息和数据安全相关条款的约定，就相应的违约责任和救济办法进行约定，包括客户应承诺的发送短信须确认会员等个人用户已经同意，不得利用公民个人信息从事任何违法犯罪活动，不利用上行短信非法收集客户个人信息等，并设计相应的责任条款。对于自定义短信发送的客户，即平台型公司，此类平台公司往往会提供在线教育、交友、旅游、租赁等行业的广告发送渠道，对其穷尽调查几乎不太现实，故而严谨细致的协议条款可以确保公司在可能被要求承担责任之后有向客户公司追偿的权利，从而规避业务风险。

（3）最后，在主协议以外，公司还需要考虑是否根据客户的具体情况，专门设计其他附件，包括《个人信息安全承诺书》《数据安全协议书》等，以专门对互联网平台型公司或其他服务对象众多的计算机网络公司、云服务公司等客户进行个人信息保护风险的约定，从公平合理的角度分配和转移风险，以最大限度保护本公司的合法权益。

3.4   加强和政府相关部门以及行业协会的合规标准沟通

社会在飞速发展，网络的变化更是令人难以应对，单独的一个公司在面对互联网时代层出不穷的违法违规信息，或者侵害个人身份信息等合法权益时，是很难作出完全判断和防御的，这时需要依靠社会的力量。因此，公司可以和行业协会、公安部门、工信部门等保持经常性的沟通，建立信息共享机制，这样才能在数字经济时代不断完成合规化管理的升级。例如，公司应加强行业交流，共同建立合规标准，如《个人信息安全规范》等行业自律性规定。公司还应在行业协会的指导下根据个人信息内涵的改变及时完善敏感词库，并根据《中华人民共和国网络安全法》等法律规定建立网络安全保护等级，增强公司的信息安全管理能力。

4     结束语

增值电信业务公司在提供短消息服务过程中，需要防范各类风险，加强合规化管理。增值电信业务公司在短消息发送业务中的个人信息保护合规化管理方面，需要得到客户公司的认同，同时还要避免不规范经营的同类公司以相对低廉的价格抢夺客户资源。从长远发展来看，我国的法治环境在不断优化，全面依法治国成为国家基本治国理政的方略，《中华人民共和国民法典》《中华人民共和国个人信息保护法》的颁布及一系列法律法规的出台让公民的个人信息得到更好的保护，这也必将对公司的合规经营提出更高的要求，所以增值电信类公司在拓展业务的同时，要集中精力进行个人信息保护的合规化管理，降低公司发展风险，以实现公司可持续和高质量发展。

主要参考文献

［1］张宝增.企业合规管理体系的建设探究［J］.中外企业家，2020（10）：41-42.

［2］李颖.市域治理下的社会风险整体性防控研究［J］.山东社会科学，2021（9）：81-86.

［3］刘柯言.企业级电信增值业务发展战略研究［J］.黑龙江科技信息，2014（28）：157.

［4］张明楷.论帮助信息网络犯罪活动罪［J］.政治与法律，2016（2）：2-16.

［5］杨雨欣.网络空间治理背景下个人信息保护机制研究［J］.网络安全技术与应用，2022（5）：139-140.

［6］郑植.对电信增值业务项目投资及运营管理的探索与再思考［J］.企业科技与发展，2011（16）：103-106，130.

［7］刘娟.电信企业业务应急保障管理体系［J］.信息与电脑（理论版），2014（20）：182-183.