最新消息
最新消息| 以公民個人信息保護為視角探索企業數據合規管理路徑 | 2023-03-07 |
| 文章来源:由「百度新聞」平台非商業用途取用"http://www.jsjc.gov.cn/qingfengyuan/202302/t20230220_1482975.shtml" ——以涉案小微企業數據合規整改為樣本文余紅江蘇省南京市玄武區人民檢察院文周穎江蘇省南京市玄武區人民檢察院一、侵犯公民個人信息合規案件樣本分析(一)南京X婚紗攝影有限公司、J婚紗攝影有限公司、A珠寶有限公司侵犯公民個人信息案1.案情簡介南京X婚紗攝影有限公司(以下簡稱X公司)、南京J婚紗攝影有限公司(以下簡稱J公司)將在公司經營過程中獲取的包括姓名、電話號碼的客戶信息存儲于某瓜系統中,未設置存儲期限、查看權限、下載權限等。X公司、J公司的法定代表人,將其合法收集的個人信息出售給具有業務關聯性的A珠寶有限公司(以下簡稱A公司)、婚慶公司等,并安排員工負責提供公民個人信息。后被出售的公民個人信息被A公司等企業用于銷售推廣獲利。2.合規整改過程X公司、Y公司和Z公司因涉嫌侵犯公民個人信息罪分別被移送檢察機關審查起訴,經初期考察及企業合規承諾,檢察機關聯合第三方監督評估組織對三家企業開展合規風險分析以及有效性合規整改。X公司、Y公司和A公司在第三方監督評估組織的指導下,分析犯罪成因,從以下三個方面開展了合規整改工作:一是積極建設合規文化,將合規文化融入企業生產經營活動,通過將相關法律規定的學習、考試納入員工考核標準的方式,形成公司全員認可的合規文化理念;二是建立個人信息數據合規管理體系,在企業內部設立“數據合規管理小組”,內設專職人員,組長為法定代表人,專門負責個人信息保護及利用的統籌和管理工作,明確信息管理權限,將數據管理、員工責任、獎懲制度寫入員工手冊;三是強化公司內部監督管理,設立“內部監管小組”,定期開展企業內部合規審計,及時發現企業經營過程中存在的法律問題與疏漏,在動態流程中控制風險。第三方監督評估組織對三家企業以專項要素式合規進行整改指導和考察,并注重“一企一策”,避免紙面合規。在中期檢查中,針對X公司數據收集環節風險,第三方監督評估組織從客戶知情方面提出整改建議,后該公司創新制作涉及公民個人信息保護的客戶告知書,以擺臺形式放置于接待場所,不僅獲得了較好的整改效果,同時也使企業重新獲得了客戶的信任。針對J公司數據存儲環節風險,第三方監督評估組織從系統優化方面提出整改建議,后該公司升級數據管理系統的數據存儲期限、查看、下載權限的設置。針對A公司數據使用環節風險,第三方監督評估組織從優化數據合規文化方面提出整改建議,后該公司多次開展員工數據合規法律知識培訓和考核,將個人信息保護法及相關法律法規以專欄的形式展示在公司醒目位置。經專家論證、二次考察、公開聽證,第三方監督評估組織及聽證人員均認為三家企業在合規整改上取得了較好的效果,一致通過了整改結果,最終經檢委會審議,決定對三家企業作相對不起訴。3.樣本分析X公司、Y公司和A公司是典型的企業侵犯公民個人信息犯罪,而三家企業均系在正常的經營過程中,或因為獲取客源,或因利益相關,在未經授權的情況下,購買或者出售公民個人信息。而在案發后合規整改過程中,企業均能夠通過分析犯罪成因,總結出企業涉罪的原因,三家企業均系因自上而下缺乏合規氛圍,未形成合法的、完備的數據合規管理體系,最終導致企業涉罪。(二)南京Y文化藝術交流有限公司員工侵犯公民個人信息案1.案情簡介南京Y文化藝術交流有限公司(以下簡稱Y公司)系課外培訓機構,其員工王某某通過“地推”的方式獲取兒童姓名及兒童家長聯系方式用于公司業務推廣。王某某在獲取兒童姓名及家長聯系方式后未經權利人允許,將其收集的信息以銷售或者交換的方式提供給他人用于推廣獲利,共計8000余條。2.風險提示整改該案系典型的員工犯罪案件,而企業雖未涉嫌犯罪,但在經營過程中仍存在合規風險,導致公司收集的兒童家長信息泄露、員工涉罪。檢察機關受理案件后,根據已辦理的X公司等侵犯公民個人信息企業合規案件中提煉的數據合規路徑,將該企業存在的數據合規風險進行提煉,以書面形式予以提示。檢察機關提示企業在經營過程中存在以下三點數據合規風險:一是數據來源渠道的合規風險,該企業鼓勵員工通過“地推”的方式獲取兒童家長信息,獲取后也未告知家長個人信息用途;二是數據存儲風險,該企業在員工獲取家長信息后并未要求員工信息上交由企業統一管理,導致信息被員工倒賣;三是數據使用風險,員工沒有數據合規意識,隨意交換、銷售,導致合規風險的發生。檢察機關針對上述三方面的數據合規風險,向該企業制發了法律風險提示函,防止類似風險的發生。企業對照檢察機關提出的風險及整改建議,從以下三個方面進行了合規整改:一是建立數據合規文化,對新員工進行數據合規培訓、落實獎懲機制;二是構建數據合規組織體系,從經營實際出發指導企業、員工數據合規管理;三是制定數據合規的實體章程,規定員工的數據使用權限和禁止性規定,嚴禁員工將用于公司經營的個人信息向他人出售、交換。3.樣本分析本案系企業員工為獲取拓展業務、非法獲利,將企業的客戶信息出售或者與他人交換,雖然未涉及企業犯罪,但從本質上仍系企業合規體系不完備而導致的。無明文約束員工日常工作中的行為,導致個人信息的交換和出售成為常態。在本案中,王某某并未將責任推向企業,但在某些案件中,一旦員工將責任推向企業,而企業在未建立完善的合規實體法,責任無法切割,會導致企業面臨刑事涉罪風險而無法自證。二、公民個人信息保護領域出現合規風險的原因根據《個人信息保護法》的規定以及上述檢察機關辦理的侵犯公民個人信息合規案例可見,作為互聯網大數據時代經營者的企業,數據從產生、收集到后續的使用、保存等全生命周期都會面臨一系列的安全風險。而小微企業由于自身的經營特點,規模較小,內設機構簡單,在公民個人信息保護領域,更容易在數據來源、數據存儲和數據使用三個方面存在合規風險。(一)數據來源的合規風險企業在數據來源渠道上出現合規風險,往往是由于缺乏自上而下的數據合規文化。缺乏數據合規文化,就會使企業成員對是非的判斷逐漸模糊,習慣于在守法與違法的模棱兩可中忽視自身行為的合規性,即越軌者感覺不到自己行為的不道德性。以A公司侵犯公民個人信息案為例,在該案中,上至企業負責人,下至普通員工,均向婚紗攝影行業購買拍攝婚紗照新人的個人信息,并以打電話、加微信的方式向該群體推銷珠寶定制。而在案發后,涉案人員均表示,在這一過程中早已意識到購買客戶信息行為的不法性,但因為公司并未禁止,且其他人甚至老板均實施同樣的購買信息行為,在相互的心理支撐下,使違法犯罪成為經營日常。(二)數據存儲的合規風險在企業存儲數據期間,企業的人員組織結構安排及權限設計是數據合規的重要一環,在涉及侵犯公民個人信息犯罪案件中,涉案人員占比最大的往往是企業普通員工。由于企業對于數據管理缺乏敏感度,在員工服務完成后,信息仍被永久性存儲在員工系統中,被員工下載并打包銷售,導致侵犯公民個人信息案件發生。以J公司侵犯公民個人信息案為例,企業用于婚紗攝影預定、管理的“某瓜”系統中包含所有客戶的個人信息,信息的查詢、下載沒有權限設計,所有能夠登錄該系統的人員均可以通過簡單操作,將客戶個人信息下載成表格形式,從而造成公民個人信息的泄露。(三)數據使用的合規風險企業在合法獲得公民個人信息后的使用場合必然是由信息關聯人員授權的,用于特定的行為或者領域。對于企業而言,其僅能用于自己經營使用或者在獲得授權人同意授權后提供給相關人員、行業,但企業往往基于缺乏數據合規文化和管理體系,而在未獲得權利人授權的情況下,將其個人信息提供給相關行業,導致信息使用階段數據合規風險的發生。三、小微企業公民個人信息保護領域數據合規管理路徑小微企業做好信息保護工作,能夠避免發生上述合規風險,同時,也使企業的社會信賴度得以提高,進而有利于企業經營與發展。小微企業應當從建立數據合規文化、構建數據合規組織體系、制定數據合規實體章程三個方面建立數據合規管理體系,從而避免出現數據合規風險。(一)理念先行,建立數據合規企業文化企業合規文化是企業文化的重要組成部分,而數據合規文化又是在大數據時代經營的企業合規文化的重要組成部分。在企業營造出數據合規的文化氛圍后,員工只要進入企業,就會感受這種氛圍并受其影響,這種影響可能比法律法規的影響更為深刻。企業建立數據合規文化,是在企業合規文化的基礎上,融入數據合規的內涵,主要從以下四個方面營造數據合規文化。一是數據合規物質文化,作為表面層次的合規文化,企業應當在經營場所內張貼、上墻相關數據合規法律法規,體現數據合規的重要性。二是數據合規行為文化,行為文化主要表現為企業管理人員和員工在生產經營管理及學習、培訓、團體活動中產生的行為文化,多方面、多維度渲染企業數據合規文化,充分發揮和調動全員合規建設的主動性。三是數據合規制度文化,企業制度文化應當包括企業的章程、合規管理制度和流程、獎懲辦法等,也就是在員工中形成維護、服從合規制度的氛圍,對于違反合規機制的人員落實懲戒制度。(二)組織保障,構建數據合規組織體系數據合規僅僅依靠員工的守法理念是遠遠不夠的,如果沒有完善的合規組織體系,合規文化也只能是“喊口號”,企業需要建立數據合規組織體系作為數據合規管理的組織保障。一是確立數據合規最高責任人,在小微企業設立的數據合規組織體系中,只有以法定代表人或者實際控制人作為數據合規的總負責人,才能體現數據合規在企業經營中的重要性及企業經營戰略高度,由法定代表人或者實際控制人牽頭也更便于合規章程的制定和落實。二是建立合規專員和數據合規專項小組,合規專員就是為了幫助企業及時識別數據合規風險,動態掌握相關法律法規。但僅設立合規專員可能存在專員是否有從經營的角度指導企業數據合規管理的權限問題,因此,在設立合規專員的同時,對于小微企業來說,設立數據安全專項小組更為重要、合理,由法定代表人領導并直接對其負責,囊括企業所有有可能涉及客戶個人信息的部門,強化內部監督,把控住合規風險防范的關口。三是優化數據管理載體和權限,數據管理載體的安全性決定著企業數據信息的安全性,涉及侵犯公民個人信息罪的企業多是因為數據管理的載體和權限存在管理漏洞,導致數據泄露。一方面,企業在利用業務系統登記、采集客戶信息時,應當緊抓合規,將個人信息的傳遞利用限制在客戶同意的范圍內,避免發生過度采集個人信息的現象;另一方面,在信息查詢權限和時限上,要嚴格劃分層級,取消信息導出功能,避免大規模信息泄露情況的發生。(三)制度落細,制定數據合規實體章程數據合規體系是企業的內控機制,而要運行好內控機制則需要將所有涉及數據合規風險的內容均落實到實體章程中。對內的實體章程就是員工手冊,對外的實體章程叫合規政策。制定員工手冊,要把行業中涉及數據管理的全部法律法規要求進行羅列,重點分析業務中可能遇到的風險點,規定員工的數據使用權限以及禁止性規定。也就是明確告知員工哪些事情可以做,哪些事情不可以做,即使是為了企業利益為了業務開展,禁止性規定的內容也是不能做的。另外,要在員工手冊中明確獎懲機制,一方面,設立多渠道舉報機制,激勵企業內部員工主動舉報數據違規侵害企業利益行為,經查證屬實的,按照相應標準給予獎勵。另一方面,設立懲戒機制,對于違反員工手冊觸發數據合規風險的員工,要予以懲罰,并明確懲罰的內容、方式,起到一般預防、警示作用。制定合規政策,也就是對外公開的企業數據合規的章程,明確企業有哪些業務可能涉及收集客戶的個人信息,明確告知企業獲取信息的用途并得到客戶的承諾。在小微企業運行中,往往存在一定的業務關聯和利益輸送,而在實務中,對是否必須要完全切斷業務關聯有不同的意見。筆者認為,如果能夠獲取客戶授權同意,由客戶簽署數據使用渠道知情承諾書后,相關行業之間是可以存在一定的推廣和推薦的。以婚紗攝影行業與珠寶、婚慶行業為例,從其行業特點來講,一定程度的捆綁,不僅有利于企業經營,也能夠在客戶同意的情況下,為客戶提供便利。 關鍵字標籤:www.aurawedding.tw/ |
|
 |
|
