当前位置:浅议公司企业如何规范化处理个人信息
发布时间:2022/4/21 11:06:25
在大数据时代,数据价值挖掘逐渐深入,个人信息数据给公司企业带来的价值不可估量,但如何对个人信息进行规范化处理是一个重大议题,照搬照抄是目前市场上各家公司的通病,业务不同其对信息需求也就不同,复制粘贴的方式不仅不能很好的解决问题,反而会适得其反。笔者认为公司规范化处理个人信息应注意以下几点:
1.确定所采集的个人信息类型。公司企业应当明确自己在个人信息方面的业务需求,根据业务类型制定所需个人信息类目,并针对类目内容制定后续方案。公司企业在处理个人信息时,应当根据实际业务发展调整个人信息处理方案,明确该信息是否为必须采集的信息,该信息采集频率最低是多少才能保证业务稳定开展等,个人信息的采集处理并非多多益善,不同类型的个人信息存储起来有不同的规范要求,以“防止不时之需”为由,盲目采集个人信息会在后续公司企业发展过程中增加企业运营风险,同时增加法律风险。
2.确定个人信息采集方式。个人信息采集方式,包括但不限于纸质信息填写、线上信息填写、视频录制等。在采集过程中应当给予用户必要的自主选择权,非必要采集的信息应当充分征得用户同意,不得以用户不提供必要信息就拒绝提供服务的方式诱导用户上传信息,或被动同意信息采集。对于未成年人应当根据相应国家法律法规按照年龄对个人信息采集方式进行区分处理,不能一概而论,笼统采集。
公司企业为采集个人信息,应当制定详细的告知协议,确保用户在充分知晓的前提下同意其个人信息被采集使用。
告知协议应当具备以下内容:
1.概念性文字说明。对于协议中出现的专有名词或其他特殊名词应当作出相应的文字说明以避免用户在阅读告知协议时产生歧义与误解。
2.必要性说明。应当对个人信息处理者为何采集某类个人信息的必要性作出解释。
3.使用方式说明。应当对于被采集的个人信息将会被如何使用进行说明,明确告知使用范围,告知其个人信息在何种情况下可能被公开或向第三方共享,告知其信息是否将被利用于计算机算法以作出自动化决策等。
4.信息保护方式说明。应当对采集到的个人信息如何存储,是否个人信息处理者已制定保护方案,是否对采集到的信息进行了必要的匿名化处理等进行说明。
5.撤回同意许可方式说明。
6.信息使用主体联系方式。
除上述内容限制外,告知协议应当对其需要明确标注的文字内容,做加粗、变色等处理,区别于其他格式性条款,对于个人普通信息、个人隐私信息、个人生物信息做到区分告知,对于未成年人的个人信息采集应当征得其监护人同意。
个人信息采集应当以明示的方法进行,把必须采集的信息与非必须采集信息区分处理(例如添加必填项功能)。在调用采集模块化功能时,应当单独向用户提出申请,例如调用摄像头权限、麦克风权限、读取用户照片、通讯录等,且调用功能权限应当每次调用每次申请,每次采集应当留痕备查。
采集记录应当分类存放,着重记录采集时间、采集内容、采集类目、信息使用方式等必要信息。
采集到的个人信息应当注意存储安全,制定存储规范或系统运行安全规范,提高存储介质的物理安全水平与系统安全水平,同时,定期对个人信息存储系统与设备进行维护。采集到的个人信息应当进行去标识化处理。对已经利用完毕的且没必要继续保存的个人信息应当做匿名化处理并及时删除,做匿名化处理时应当注意“匿名化”手段是否能够达到法律法规的标准,不能存在“被匿名化”信息在结合其他信息后依然可以识别特定人的情形。
建立健全管理制度,对所有可能接触到个人信息的人员做好培训,规范信息处理流程,落实保密义务,明确保密责任。
公司企业在不具备采集个人信息的能力情况下可以通过购买第三方服务的方式进行信息采集以满足业务需求。公司企业作为个人信息处理者应当做到以下几点:
1.建立与第三方的管理机制并设置评估准入门槛。个人信息处理者应当掌握第三方对于个人信息业务的基本情况,包括但不限于采集方式、储存方式、处理方式、安全保护等方面。
2.与第三方签订规范的个人信息处理相关合同,以文字形式落实双方权利义务。
3.应当明确告知个人信息提供者,个人信息采集服务由第三方提供,同时制定免责条款。
4.应当建立监督机制,对第三方提供的服务进行监督,抽查其对个人信息保护方面的落实情况,一旦发现违法违规情形应及时断开服务接口。
1.个人信息处理者在展示个人信息时应当注意去标识化处理。
2.个人信息处理者在利用个人信息做自动化决策时应当注意公平原则,严禁利用消息不对等的特殊地位侵犯个人信息提供者的合法权益。
3.个人信息处理者在利用个人信息提供者行为习惯向其推送特定化服务时应当提供显著标识,同时应当提供便捷的拒绝方式,保证个人信息提供者能够合理全面享受服务。
4.个人信息处理者利用其掌握的个人信息向个人信息提供者推送广告时应当事先征得个人信息提供者的同意。同时为个人信息提供者提供便捷的关闭后续推送服务的方式按钮。
个人信息属于特殊信息,一旦发生信息泄露将会给个人信息提供者与个人信息处理者带来巨大的损失,个人信息处理者应当制定切实可行的关于个人信息遗漏相关的应急预案,以确保一旦发生紧急情况有案可循。
个人信息的特殊性注定了其在各类信息中的独特地位,各种支离破碎的其他信息也只有结合了个人信息才能刻画出具有指向性的相对完整的人物画像。笔者认为价值必然伴随着风险,信息会给新型企业赋能,也会给传统企业注入活力,但所有的一切都应当在依规合法的基础上开展,也只有这样才能创造出公司、用户双赢互利的局面。
王啸,浙江子城律师事务所专职律师,毕业于中国人民公安大学网络安全与执法专业,具有公安工作经验,致力于研究互联网领域的民事、刑事问题。
电话:18043005992(微信同号)
邮箱:wangxiaozclf@yeah.net
