数字化时代,企业对数据的处理贯穿收集、存储、使用等各环节,任意一个环节都可能面临数据安全与数据合规的挑战。对此,《数据安全法》、《网络安全法》与《个人信息保护法》三部法中明确了对数据处理各个环节进行数据安全风险的监测、评估和防护要求,以及数据在收集、使用、处理、存储等过程中的合规要求。
在这一监管要求之下,企业在开展数据合规工作时必须充分认识到数据的流动性,并落脚于数据处理的各个流程以逐步击破数据安全挑战。
一、取得数据处理的资质许可
互联网数据处理者应当向各省、自治区、直辖市电信管理机构办理《增值电信业务经营许可证》及ICP备案,根据具体业务申请不同的许可证。业务覆盖范围在两个以上省、自治区、直辖市的,经国务院信息产业主管部门审查批准取得《跨地区增值电信业务经营许可证》。办理流程、条件、机构等可参照《电信业务经营许可管理办法》。
需要关注的是,目前个人征信领域已“断直连”,即要求:提供相关数据服务需通过获取牌照或者与具有牌照的实体通过协议合作的方式展开。参照这一监管趋势,未来国家可能会加强对传统经营领域内的数据处理服务的监管并新设许可要求。对此企业要有相应的预期,并时刻关注业界和监管动态,及时更新合规管理制度,落实合规监管事项。
二、企业数据收集的合规管理
数据收集是数据处理全流程的起点,是数据后续使用、开发的基础。企业收集数据的方式主要包括以下三种:其一,面向数据主体直接收集,如企业可通过自身运营的APP收集用户的数据,包括个人身份信息、财产信息、地理位置信息等;其二,从其他网络平台爬取,如通过爬虫技术或API等技术方式从其他公开或半公开的互联网平台爬取数据;其三,从第三方处间接收集数据。
(一)向数据主体收集
企业在面向数据主体收集数据的过程中,应当遵循合法、正当、最小必要等基本原则,同时还应当注意对数据主体权利的保障。
1. 基本原则
2. 保障数据主体权利
(1)知情同意权
(2)个人信息可携权
(3)更正、补充权
(4)用户删除权
3.个人生物识别信息
个人生物识别信息包括脸部特征、指纹、虹膜、声音、基因、步态、笔迹等可识别自然人的生理特性与行为特征的信息。2020年3月6日发布《信息安全技术 个人信息安全规范》完善了个人生物识别信息在收集、存储和共享等环节的保护要求,为企业处理个人生物识别信息提供了进一步的指引。
(1)个人生物识别信息的收集
(2)个人生物识别信息的存储
(3)个人生物识别信息的共享、转让、披露
(二)从其他网络平台爬取
从其他网络平台爬取数据是指利用网络爬虫或者其他技术方式,根据所设定的关键词、取样对象等特定的规则,从其他网络平台自动地抓取相关数据,并对抓取数据进行大规模复制或其他使用行为。在爬取数据的过程中,能否明确数据爬取的合法边界并进行合法爬取,是关系企业存亡的问题,企业应当予以重视。
1. 合法爬取
2. 非法爬取的风险
数据爬虫技术的应用为企业带来便利的同时,也使得企业面临着法律风险。近年来,网络爬取行为导致的法律责任问题成为司法实务界关注的焦点,如“新浪微博”诉“超级星饭团”不正当竞争纠纷案、“大众点评”诉“百度地图”不正当竞争纠纷案等。企业应当正视非法爬取的风险,并在实际操作中予以规避。
(1)数据爬取的访问进入
(2)数据爬取的对象
(3)数据爬取的后续利用
(三)从第三方处获取
企业在经营管理的过程中常常会向第三方获取数据,如在广告营销、用户画像分析、市场调研分析等场景下均会涉及到第三方数据供应商。在这一过程中,若该第三方收集数据的方式不合法、不合规,则即使企业后续使用数据的行为合法、合规,亦无法完全规避相关的法律风险。因此,企业在从第三方处获取数据时仍应当履行相关的合规义务。
三、企业数据存储的合规管理
近年来,国内外企业数据泄露事件频发,给企业敲响了警钟。企业在实现数据收集合规后要继续切实履行数据控制者的责任,根据法律法规的要求存储数据,降低数据泄露事件的发生概率,维护数据安全及数据主体的权益。
1. 存储方式
2. 存储期限
3. 存储位置
以上是针对企业在数据的收集及数据的存储两大环节应当注意的相关问题,对于企业在后续数据的使用、向第三方提供数据、数据的出境及数据的删除等问题,笔者团队将在下期文章中继续解析。
