关注微信公众号

1、您可在微信通讯录搜索“jzfdclaw”或“建筑房地产法律资讯”,即可关注。
2、扫描上方二维码添加。
业务领域->知识产权与高科技->企业直接数据收集合规有哪些要点?

企业直接数据收集合规有哪些要点?

随着人工智能、区块链、云计算为代表的数字技术快速迭代,数字经济重塑各国经济结构的深刻力量日益凸显。数据作为支撑数字经济发展的关键生产要素,其无形性、即时性与非排他性等不同于传统物质客体的复杂属性决定数据治理应具备动态化视角,覆盖数据处理全生命周期。目前,我国相继颁布实施了《网络安全法》《数据安全法》《个人信息保护法》,初步建立起数字经济治理体系。随着国家数据局成立,数据监管逐步成为我国数据资源统筹规划的重心,企业数据合规管理迫在眉睫。

结合法律规定与企业数据处理实践,数据处理流程可分为收集、存储、使用、传输与删除这五个环节。其中,数据收集作为首个环节,其合规管理工作关系到企业后续数据处理的合法性与正当性。通过区分来源,数据收集可分为直接收集与间接收集这两种方式。直接收集主要指企业向个人自主收集数据以便开展后续业务。企业由此所获得的数据涵盖公民个人信息,因个人信息兼具人身及财产属性,企业在此过程中如未充分履行相关义务,极有可能面临承担民事、行政乃至刑事责任的风险。间接收集一般指企业利用爬虫或其他技术方式从公开或半公开平台抓取数据,或从第三方数据供应商处获得数据。在这种情形下,企业或将面对非法爬取数据及第三方数据供应商违法违规收集数据的法律风险。本文将以企业向个人收集数据这一场景为主,分析企业直接数据收集过程中的合规要点,并辅以相关司法实务,理解条款在具体争议中的应用内涵。

一、确立数据分类标准,厘清合规范畴

整合数据资产,梳理数据种类,应成为企业开展数据合规的第一步。企业在经营过程中所涉及的数据冗杂繁多,包括支持日常业务流程所产生的交易数据、为制定长效规划对市场进行分析的决策数据以及实现内部管理所产生的管理数据等等。目前,虽然汽车、金融、医疗、电信等行业相继出台了具体的数据分级分类指南或规范,但其他行业尚且缺乏明确指引。从数据应用场景中所产生的纠纷来看,个人信息保护纠纷是企业数据处理时的频发问题,也是相关部门进行监管的重点。因此,企业在确立数据分类标准时,应重点关注个人信息的识别。


定义

实务判定

一般个人信息

个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。

司法实践中通常以涉案数据能否直接或间接识别特定自然人为判断依据。

除了姓名、电话号码、订单信息等能够直接识别特定自然人的数据,还包括设备信息、位置信息、浏览记录此类与其他数据结合即可识别特定自然人的数据。

敏感个人信息

一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。

判定是否为敏感个人信息应取决于该数据一旦泄露或超出授权范围扩散,是否会对个人信息主体权益带来重大风险。

二、遵循相关法律法规,充分履行义务

(1)遵循合法、正当、必要和诚信原则

根据《民法典》《网络安全法》《个人信息保护法》等相关规定,“合法、正当、必要和诚信”原则为个人信息处理的基本原则。司法实践中,上述四项原则的判断标准如下:

合法

数据处理应符合法律的明确规定,包括依据合法、方式合法和结果合法。如法律未对具体场景进行规范,其认定则取决于相应场景下,处理行为是否在用户的“合理预期”范畴内。

正当

包括目的正当,使用形式和程序的正当性。要求数据收集和处理者充分履行告知-同意义务,保证用户对其数据所享有的合法权益。

必要

一方面,必要原则要求个人信息处理不得超出正常提供服务目的,并且对个人权益造成最小损害。另一方面,必要原则要求个人信息处理者积极作为,采取必要的组织与技术措施,最大程度保护个人信息。

诚信

个人信息收集和处理者不得使用误导、欺诈、胁迫等方式处理个人信息。

(2)充分履行告知-同意义务

个人信息处理除遵循四项基本原则,还须符合“告知-同意”等具体化条件。在司法判例中,法院明确基本原则与具体要求为并用关系,可优先以具体化条件为判断依据。是否履行告知-同意义务,是争议中判断企业是否遵循四项基本原则的关键因素。《个人信息保护法》中规定了数据处理者为取得个人同意所需告知的内容、方式及例外,同时明确个人撤回同意的权利与后果,充分保障数据主体权益。

司法实践中,衡量是否获取有效同意,需考察一般理性用户在具体场景下,对数据处理主体处理特定信息的目的、方式和范围知晓的清晰程度,以及作出意愿表示的自主、具体、明确程度。不仅需要考察数据处理的场景和方式,还应考量数据处理者获取“同意”的方式。因此,数据处理者应以告知义务为核心,避免采用格式化的隐私政策文本或在运营过程中强迫或变相强迫用户提供个人信息(用户只有同意提交信息才能使用产品功能),并严格限制第三方共享条款。企业应结合数据处理全流程,以简明、生动的方式履行告知义务,将扩大用户知情范围,加深用户理解程度为告知前提。

此外,对于敏感个人信息,企业应遵循相关规定,说明收集目的与必要性,并告知用户该数据处理行为对个人权益可能产生的影响,取得个人的单独同意。收集不满十四周岁未成年人个人信息时,还应取得其父母或其他监护人的同意,并制定专门处理规则。在相关实务中,法院以公示方式、公示内容等因素作为判断数据处理者是否合法合规的依据,标准较之一般个人信息更为严格。

(3)特殊场景下的事前评估机制

《个人信息保护法》第55条、第56条规定企业如需进行对个人权益有重大影响的数据处理活动,应当事前形成个人信息保护影响评估报告,且该报告及处理记录应当至少保存三年。企业应在开展数据收集前梳理业务全流程,识别主要风险源,提前建立防控机制。当面对监管机构的调查执法时,该事前评估机制有助于证明企业善意履行相关义务,以减轻企业相关责任,提升安全风险管理能力。