通商半月谈 | 个保法时代，互联网平台如何合规？

【说明】

法商半月谈，系法律商业双驱动的万程通商团队的半月学习会，以商业内容的学习为主，并结合法律做分享交流。本期分享内容为我们第1期的内容，主要学习交流了个保法的相关内容。本文作者：项泮慧、周梦。

【以下为正文】

在信息技术发展飞速的时代，用户数据、用户数量、用户流量情况决定一个互联网品牌的存亡。在众多互联网平台中寻找共性就会发现，互联网平台搜集个人信息越来越不满足于姓名、电话、地址等普遍信息，即使是一个提供天气预报的APP也会请求通话记录的权限。

11月3日，工信部通报38款APP存在超范围、过度收集用户个人信息等问题，要求11月9日前完成整改。而APP超范围、高频次索取权限，非服务场景收集用户个人信息，正是线上个人信息保护的突出隐患。个人信息是宝贵的数字资产，保护个人信息权益是广大人民群众最关心最直接最现实的利益问题之一。

面对过度收集、非法获取、非法交易、泄露、滥用等乱象，作为商家如何做到信息合规，《个人信息保护法》（以下简称“《个保法》”）如何发挥好一面保护个人信息安全的防火墙的作用，是目前亟待实践的问题。

01 《个保法》的主要内容及亮点

个保法的亮点主要是对当前社会生活中侵害个人信息的突出问题作出了积极回应：

针对应用程序过度收集个人信息现象，规定收集个人信息应当限于实现处理目的的最小范围，不得过度收集；
针对大数据杀熟现象，规定个人信息处理者进行自动化决策时应保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇。
对敏感个人信息需要取得单独同意、个人撤回同意的规则、死者个人信息的保护等。

以网络社交软件举例，违规收集个人信息常有，而合规管理个人信息不常有。针对社交软件的使用场景，《个保法》明确做出了对个人信息和敏感个人信息管理要求，比如说“最小收集原则”。

最小收集原则，就是APP程序、网站只应该采集为其提供服务所必需的信息，而不要采取不相关的信息。只有其服务和该信息相关，才能进行采集。

网络社交软件提供社交服务即可，在软件中提供理财服务即属于不相关的信息。如果社交软件在收集了大量不必要的个人信息后未尽到妥善保管用户数据的义务，将可能造成数据泄漏，给予违法犯罪分子可乘之机，对用户主体的财产安全乃至于人身安全产生影响。

假设该社交软件提供相关金融财务包括数据流转相关的服务，涉及到股票或者其他理财产品，只要涉及到金融属性，就要在《个保法》规定的基础上遵从中国人民银行和银保监会相关的要求。

《个保法》为了强化对敏感个人信息的保护，对其设置了特殊的处理规则。姓名、电话、地址等属于普通的个人信息，敏感的个人信息包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。对敏感个人信息的处理需要取得权利人的单独同意。

近期edg夺冠使得许多人热血沸腾，电子竞技员已纳入国家职业技能范畴。一般而言，未成年人是游戏的主要用户，电子经济员的整体年龄因此偏小。游戏开发商需要侧重未成年人个人信息的收集和处理。尤其需要对其年龄进行区分，重点要放在未成年人是否要达到14岁，如未达到14岁则需要获得监护人个人信息的授权和使用。

在不排除未成年人冒用成年人身份信息的情况下，如何进行身份验证将成为一大难题。部分游戏平台开始尝试使用人脸识别等技术来解决冒用成年人身份登录游戏的问题，该方法对于未成年人防沉迷系统的针对性效果十分显著，但在个人信息保护日趋严格的当下，采集生物识别信息来实现防沉迷身份验证的技术方式是否合规，仍需要相关行业以及部门的通力合作过程中以达成共识。

“双十一”狂欢购物节背后的成功即各大电商平台对于用户的购买偏好一定是进行数据分析以达到精准营销。不仅仅是电商平台，在相关出行平台、外卖平台等平台中，都存在该种隐形的共识。如何保证数据算法的公开透明，是该类平台面临个人信息保护合规的重中之重。

02 相关平台如何在《个保法》时代做到合规？

《个保法》第51条集中阐述了个人信息处理者的主要合规义务，包括制度建设、信息分类、技术措施、人员管理和应急预案五个基本方面以及兜底的其他措施。

制度建设方面，了解和梳理平台个人信息处理活动的作用、权限和方法，是平台进行信息处理管理的基础。在此基础上，需要整合、制定适应平台内部的个人信息相关制度，包括但不限于：（1）个人信息收集、传输及处理制度；（2）个人用户信息收集及处理告知制度；（3）个人信息安全保护制度（包括传输、使用及数据库安全等）；（4）信息分级分类管理制度；（5）个人信息风险评估制度 ;（6）审计制度等。然后制定个人信息收集、传输、存储及处理操作流程，将其实施落地。

尤其是关于个人用户信息收集及处理告知制度，对于应当适用“单独同意”的情形，我们建议相关平台针对需要授权的数据处理活动制作专门的授权同意文件/文本，在用户实际触发相关业务功能时启动单独同意的授权机制，可以通过界面弹窗、跳转链接、邮箱推送、纸面文件等方式充分告知用户，并设置强制阅读停留、用户主动点击确认、文件签署上传等同意模式，确保数据处理活动获得用户自主、明确的同意决定。

信息分类方面，《网络安全法》、《数据保护法》和《个保法》都提出将数据进行分级分类管理的要求。不仅仅是有利于信息合规，也有利于管理效率。

技术措施方面，各大平台大多是采取建立防火墙、匿名化、加密、去标识化等常见手段来保护其所处理的个人信息。

人员管理方面，平台可以将个人信息的处理、风险监控、合规等工作进行分工，基于分工以及信息分级分类情况，对不同员工设置对应级别的权限，以此提高协作效率，减少监守自盗的风险。另外，我们建议平台所有的工作人员都参与信息安全与权限培训，在内部进行多管齐下的合规操作。

应急预案的存在即未雨绸缪。即使合规工作始终进行中，但谁都不能够百分百确保不发生意外，尤其是技术在不断进步，各个平台产品更新换代，以及意识形态的滞后性，使得安全漏洞难以避免。因此，平台应当制定数据安全事件应急预案并定期演练，防患于未然。

本站仅提供存储服务，所有内容均由用户发布，如发现有害或侵权内容，请点击举报。