楠木軒

網絡安全與數據合規|個人信息收集合規要點

由 都超英 發佈於 科技

個人信息的收集規則雖然根據所處行業的不同,收集信息類型的不同有所區別。但我們只要明確信息收集的核心原則即“用户同意”原則+“最小化“原則,便可掌握個人信息收集合規的基本框架。作者在本文之後的論述中,通過將個人信息收集方式進行分類,將上述兩個原則融入在具體的合規操作中,以便讀者對其本質有更直觀,更立體的理解。

目前,常見的個人信息收集方式共有三種,分別是向用户直接收集、向第三方採購,以及通過網絡爬蟲方式進行收集。其各自的合規要點列明如下:

一、向用户直接收集個人信息。

遵守《民法典》[1]《網絡安全法》[2]的原則性要求;

保證收集個人信息的最小必要性。例如,收集個人信息的數量和頻率應為實現業務需求所必須的最小數量和頻率;

當產品或服務提供多項需收集個人信息的業務功能時,應保證個人信息權利主體可以自主選擇。例如,不可通過一攬子協議要求用户一次性同意其未申請或未使用相關個人信息的請求;

收集個人信息時應取得個人信息權利主體授權同意,其中個人敏感信息還需取得明示同意;[3]

制定個人信息保護政策,實踐中通常的表現形式為制定隱私政策。

[1]《民法典》第一千零三十五條 處理個人信息的,應當遵循合法、正當、必要原則,不得過度處理,並符合下列條件: (一)徵得該自然人或者其監護人同意,但是法律、行政法規另有規定的除外; ( 二)公開處理信息的規則; ( 三)明示處理信息的目的、方式和範圍; ( 四)不違反法律、行政法規的規定和雙方的約定。

個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開等。

[2]《網絡安全法》第四十一條 網絡運營者收集、使用個人信息,應當遵循合法、正當、必要的原則,公開收集、使用規則,明示收集、使用信息的目的、方式和範圍,並經被收集者同意。

網絡運營者不得收集與其提供的服務無關的個人信息,不得違反法律、行政法規的規定和雙方的約定收集、使用個人信息,並應當依照法律、行政法規的規定和與用户的約定,處理其保存的個人信息。

[3]《信息安全技術 個人信息安全規範》(GB/T 35273—2020)3.6 明示同意 explicit consent

個人信息主體通過書面、口頭等方式主動作出紙質或電子形式的聲明,或者自主作出肯定性動作,對其個人信息進行特定處理作出明確授權的行為。

二、向第三方採購數據信息

審核引入相應數據類型和數據量的必要性;

數據採購協議中要求數據供應商做出合法合規的承諾與保證;

企業內部落實數據合規管理制度;

堅守不得非法獲取公民個人信息的刑事責任紅線。

三、通過爬蟲數據獲得個人信息

對被爬網站:遵守robots協議和技術協議;考慮網站的負載能力;

對用户:要確保“三重授權”:即用户授權平台+平台授權採集方+用户授權採集方;

內部措施:建立爬取前的審核機制和爬取後的數據處理機制;避免觸發侵犯個人信息罪、非法獲取計算機信息系統數據罪等刑事責任,或侵犯第三方權益、構成不正當競爭等民事風險。

結語

隨着工業和信息化部發布《關於開展APP侵害用户權益專項整治工作的通知》,已有近百個app數十個平台被點名督促整改,近期的315晚會針對SDK插件竊取用户信息也做出了專項報導,幾乎每個企業,尤其是科技企業的網絡安全數據合規工作亟待進行。本團隊將對整個網絡安全及數據保護框架進行梳理,希望幫助到企業的相關合規審查,以預防潛在的風險。