全面数字化转型为运营商带来崭新发展机遇的同时,也引发一系列合规问题,企业面临前所未有的法律风险和严峻挑战。在数字化转型的过程中,合规建设和风险防控已成为当务之急,在疫情防控常态化情形下,需要认真研判外部法治环境和数字化转型对合规管理的新要求,通过推进依法合规管理体系建设,实现合规管理组织体系健全、制度体系完备、工作流程规范、管控措施到位,聚焦助力企业数字化转型和高质量发展。
健全数据信息安全合规管理制度
运营商全面数字化转型,面临全新商业模式的变革、全新业务流程再造、全新营商环境和法治环境的适应,企业的依法合规和风险防控显得十分重要,比任何时候都需要法律的支撑,传统的法务管理方式面临挑战,依法合规管理制度建设具有举足轻重的作用。
《民法典》适应互联网、大数据时代对信息通信权利保护的需要,是指导运营商依法数字化转型的指南,对运营商具有重大影响。《民法典》明确:个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。国家针对个人信息泄露和滥用的问题,加快立法完善个人信息保护的法律制度。备受社会关注的《中华人民共和国个人信息保护法(草案)》已经提请十三届全国人大常委会第二十二次会议审议;全国信息安全标准化技术委员会制定发布《个人信息安全规范》《大数据服务安全能力要求》等国家标准。
运营商掌握大量数据信息,在开发产品、处理个人信息中承担着保护个人信息安全的责任和义务,需要依照法律法规和国家标准的强制性要求,建立健全企业内部个人信息安全管理制度,包括个人信息处理文档化管理制度、个人信息分级授权管理机制、个人信息安全风险等级评估制度、个人信息安全事件应急机制等。
针对用户数据信息管理的重要岗位、重点领域环节,建立健全岗位职责,加强关键岗位人员权限管控,形成集事前防范、事中控制和事后救济于一体的闭环管控机制,切实把控用户数据信息收集和使用的合规行为。《网络安全法》明确规定:“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则。”运营商在提供产品和服务时使用“用户信息”关键要解决好合法性问题,主要通过依据法律规定、合同约定、授权同意等方式获得。企业从业人员、外包人员必须通过法律培训、考试上岗,对关键岗位人员工作权限、账号权限进行严格管控,签订安全保密协议和依法合规行为承诺书,确立严禁非法提供、出售用户信息的法律红线。
运营商应当将“用户信息收集和使用审查”纳入企业内部控制制度管理流程,使大数据各项业务流转活动互相联系、互相制约及程序流转规范。内控环节的责任确保遵循所有相关适用的法律规范,未遵循相关适用的法律规范,导致用户信息泄露、法律诉讼、经济损失及被司法行政机关查处等风险事件,对违法违规行为当事人按照相关规定进行追责。
在个人信息终止使用后,应当停止对个人信息进行收集和使用,并提供注销号码或账号的服务;不得泄露、篡改、毁损、出售或者非法向他人提供个人信息。
依法承担数据信息安全的合规义务
合规义务包括对法律法规的遵守、对企业内部规章制度的遵守、对商业道德和社会责任的遵守等。运营商承担着数据安全、数据脱敏处理、数据跨境流动、网络信息内容生态治理和关键信息基础设施运营者主体责任五个方面的合规义务。
确保数据信息的安全。一是重视数据信息安全保障。基于数据信息安全防护手段和措施能力不足,突出表现为数据处理不规范,在对外合作中提供未脱敏的数据;缺乏安全管控制度流程,对收集的用户数据未在内网进行处理,造成数据泄露风险事件;对资质和能力审查不严,使用存在漏洞的第三方开源程序,数据安全无法保障。二是严控数据信息使用范围。运营商应当建立数据安全管理责任制度,制定标识赋码、科学分类、风险分级、安全审查规则,确保国家关键信息基础设施的自主可控、稳定安全。在新冠肺炎疫情防控常态化下,个人信息迅速传播转发,医疗数据和个人信息泄露、超范围使用较普遍,未经被收集者同意公开个人信息的情况时常发生,保护数据信息安全的任务十分繁重。三是防止数据信息泄露、毁损、丢失。在大数据产品开发的数据交易中,必须高度重视数据安全和信息泄露的法律风险管控,确保其收集的个人信息安全,防止数据信息泄露、毁损、丢失,防范因违规承担的法律责任。
严格实行数据脱敏处理。数据脱敏是指对用户个人敏感信息通过脱敏规则进行数据的变形,实现敏感隐私数据的可靠保护,可以直接帮助企业实现依法合规使用,有效防范个人敏感信息泄露的风险。运营商在数据产品开发和对外使用过程中,对于经用户个人同意收集的信息,应当进行脱敏处理,隐去用户名称、IP地址等可以直接指向或对应到用户个人身份的信息。在数据产品开发应用领域,大量存在着诸如手机号码、交易记录、通话记录、账户、住址、征信等个人敏感信息,在使用过程中面临着严格的监管要求,承担着有效保护的法律责任。数据脱敏实施规则主要有两种情况:一是网络运营商和互联网公司自身需要,量身定制适合自己的数据脱敏工具,在使用用户个人信息数据进行用户行为分析、个性化推荐、精准营销时,必须采取数据脱敏手段。二是为了满足大数据产品开发应用的需要,运营商和互联网公司将掌握的用户个人信息数据,通过数据脱敏处理这一关键环节后提供给合作伙伴及相关客户,并将数据安全解决方案一起提供给客户。
加强数据跨境流动的管控。由于各国对个人数据信息保护标准不一致,造成数据在全球范围内不受限制地流动,缺乏安全可信的在线环境,导致数据隐私和网络信息安全法律风险加大,加强管控责任重大。数字经济快速发展在加速个人数据全球流通和融合的同时,也形成数据的黑色产业链,离境数据被恶意利用和买卖的现象频发,很多网络攻击和网络犯罪都是跨国、跨境行为。我国《网络安全法》提出个人信息和重要信息的流动应遵循本地化存储和管理的原则,需要跨境流动须进行安全审评并上报相关部门批准。
关注网络信息内容的生态治理。国家互联网信息办公室发布的《网络信息内容生态治理规定》,明确网络生态治理的对象是网络信息内容,主要涉及内容生产者、内容服务平台和内容服务使用者三类主体,重点规范了三类主体及网络行业组织的权利与义务。作为制作、复制、发布网络信息内容的组织或者个人,应当遵守法律法规,遵循公序良俗,特别是网络信息内容服务平台企业应当履行信息内容管理主体责任。作为使用网络信息内容服务的组织或者个人,应当按照法律法规的要求和用户协议约定,切实履行相应的法律义务,对网上的违法和不良信息内容有义务以投诉、举报等方式行使监督权。
关键信息基础设施运营商的特殊义务。《网络安全法》在具体实施中关键信息基础设施保护是核心内容之一,运营商亟须构建关键信息基础设施保障体系,加强合规体系建设,承担主体责任和义务。中央网络安全和信息化委员会正在研究制定《关键信息基础设施安全保护条例》,将从法规上建立关键信息基础设施的保护主体责任和管理制度。关键信息基础设施履行的安全保护义务包括设置专门的安全管理机构和安全管理负责人,并对该负责人和关键岗位人员进行安全背景审查;制定网络安全事件应急预案,采取数据分类、重要数据备份和加密等措施;制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任等。
严格用户个人信息使用的制度流程
认真遵循法律法规关于保护个人信息安全的相关规定,合理界定提供数据信息的范围,严格执行网络运营商的制度流程,做到依法合规,重点把握好以下几点。
对外提供应当依法取得用户个人同意。用户个人同意的方式可以在与网络运营商的《业务服务协议》中事先约定,也可以另行取得同意或通过短信方式同意。
明确提供用户个人信息的使用限制。一是运营商对外合作提供的必须是脱敏数据信息,合作伙伴负有保密义务,不得以任何方式提供给第三方使用。二是运营商通过对用户个人信息进行收集和脱敏处理、加工后形成数据分析报告等交付件或成果,对此享有使用权和知识产权,在与合作伙伴签订的合同中应当明确权利归属。三是征信机构作为特殊的数据信息提供方,需要特别关注征信机构的资质情况。征信机构有权对企业、事业单位等组织的信用信息和个人的信用信息进行采集、整理、保存、加工,并向数据信息使用者提供。
加强对外合作合同的合法性审查。针对数据信息的收集、加工、存储、分析、利用和对外提供而开展的经营活动,必须重视对外合作合同的合法性审查。一是合同重要条款包括:严格审查对方资质资信条件和技术方案;要求合作方遵循相关信息安全管理的办法和大数据流程,接受考核;重视侵权处理,对于合作方发展大数据业务引发的用户投诉或侵权纠纷等,要求具备能够妥善处理的能力;明确约定个人信息数据的使用范围及用途对象,防止数据被非法用于其他途径或被泄露的责任追究等。二是对外提供匿名化个人信息合同,应当审查合作方的个人信息安全保护措施、能力和水平,与合作方书面约定该个人信息为匿名化个人信息,要求其不得尝试复原匿名化信息的可识别性。三是认真评估拓展数据信息业务涉及的法律关系,推出的数字业务做到法律审查全覆盖,依法制定涉及关键数据的用户信息和个人隐私的保护方案。
规范社会代理商的用户信息管理和查询行为。一是运营商有义务帮助社会代理商开展依法合规教育,普及用户信息保护的政策法规要求。社会代理商对用户信息负有安全保密责任,除非法律规定或者征得运营商书面同意,社会代理商及代理网点不得向第三方提供、披露或泄露相关用户个人数据信息。二是在签订社会代理商合作合同时,必须明确约定违规违法泄露用户信息的法律责任和赔偿内容,加大对社会代理商用户信息保护工作的考核管理力度。运营商与外包服务供应商签订服务协议时,需要明确其保护用户个人信息的职责和保密义务,明确用户个人信息泄露的补救手段与责任追究、保证用户个人信息安全的承诺和措施。三是外包协议终止后,需要监督外包服务供应商及时销毁因外包业务而获得的用户个人信息。与外包服务供应商签订的保密协议(保密条款),需要明确约定外包服务供应商的保密义务不因外包服务的终止而终止。
法定机构的用户信息查询。运营商需要分清查询“一般用户信息”和“用户通信内容”所对应的不同法定机构再进行配合调查。司法机关调取和查询用户数据与通话内容等信息,实行法定原则,是法律法规赋予的权力。
我国现行法律法规有权查询“一般用户信息”的有公安机关、检察机关、国家安全机构、人民法院、监察机关、政府价格主管部门、政府统计机构和国务院证券监督管理机构等法定机构。公安机关、检察机关、国家安全机构和监察机关四个法定机构有权对短信内容、通话记录等涉及用户通信秘密的“用户通信内容”进行查询,且只能因为法律规定的事由进行查询,并按照规定程序进行。
法定机构的用户信息查询需要把握的几点:一是防止泄露用户信息和侵犯用户隐私。运营商向无权查询的国家机关提供查询或向有权查询的国家机关超范围提供查询,将面临侵犯用户通信自由和通信秘密的风险。二是避免被查询司法机关处罚。运营商无正当理由拒绝向有权查询的国家司法机关提供查询信息,例如《民事诉讼法》第一百一十四条规定可对其主要负责人或者直接责任人员予以罚款;对仍不履行协助义务的,可以予以拘留。三是调取用户信息必须符合法定原则。人民法院在调取个人电子信息和数据时,必须确保公民隐私权不受非法侵害,区分一般个人信息与通信内容的个人隐私。《监察法》第十八条规定,监察机关及其工作人员对监督、调查过程中知悉的国家秘密、商业秘密、个人隐私应当保密。
强化个人信息保护的审查
重视用户协议内容约定和个人信息保护条款审查是确保运营合规的基础。运营商涉及使用和提供用户个人信息的,必须在与用户签订的《业务服务协议》中明确双方相关的权利和义务。《业务服务协议》应当包含的内容有:
运营商对通过办理业务获得的用户个人资料和信息数据负有保密义务,工作人员泄露用户个人信息属于违法行为。法定机关依法对用户个人资料和信息数据调查取证的,运营商有义务配合。
通过格式条款取得用户个人书面授权或同意的,应当在授权书或协议中明确适用向第三方提供用户个人信息的目的、范围、内容等,在协议的醒目位置明确提示该授权或同意可能产生的后果。
运营商可以使用用户资料和通信数据,但仅限于为建立与用户的沟通渠道、改善服务工作质量或业务营销等用途,并负有保密义务。
用户应当按照协议约定的时间和方式及时、足额交纳通信费用;客户不交纳通信费用的,运营商可以采取信函、电话、诉讼或委托第三方等形式进行追欠,也可按照有关规定向银行等征信机构提供用户欠费信息。
关注运营商免责条款,因第三人违法犯罪行为(包括但不限于通过改号软件等实施网络诈骗)或其他网络运营商无法控制的意外情况,给用户个人造成直接或间接损失的,运营商不承担赔偿责任。
建立与行政司法机关的沟通机制
运营商应当加强与司法及行政部门的交流沟通,争取更多的法律支持和业务指导。根据《民法典》和网络信息安全新法律法规的实施及立法动向,运营商应当与司法及行政部门建立正常的沟通联系机制。针对可能发生和已经出现的法律风险重点领域,定期举行分析研讨会,解读数字化转型发展涉及的新政策和新法律规定,剖析典型案例暴露出企业依法合规方面存在的漏洞及需要改进的方面。在沟通中及时了解和掌握法院司法审判动态、行政保护原则、政府部门监管要求,有效防范和化解数字化转型业务运营中的法律风险,确保数字化转型发展的依法合规。
总之,互联网和数字经济时代,努力构建依法合规管理科学体系,建立健全有效的法律风险防范机制,有助于运营商在构建新的运营管理体系和数字业务商业模式中处理好各种法律关系,促进数字化转型的健康发展。
