姜先良 律師，北京市中聞律師事務(wù)所權(quán)益合伙人，北京市法院前法官，商業(yè)機(jī)構(gòu)合規(guī)管理顧問(wèn)專(zhuān)家。主要執(zhí)業(yè)領(lǐng)域：企業(yè)合規(guī)管理與風(fēng)險(xiǎn)防控、公司爭(zhēng)議解決、刑事辯護(hù)、民事案件執(zhí)行、金融不良資產(chǎn)處置。

2019年5月1日，據(jù)Politico雜志報(bào)道，F(xiàn)acebook正在和美國(guó)聯(lián)邦貿(mào)易委員會(huì)（FTC）協(xié)商一份和解協(xié)議，F(xiàn)acebook預(yù)計(jì)將向FTC支付30—50億美元的罰款。FTC將在Facebook內(nèi)部建立一個(gè)獨(dú)立的隱私監(jiān)督委員會(huì)，CEO馬克·扎克伯格將扮演負(fù)責(zé)執(zhí)行公司隱私政策的“指定合規(guī)官”的角色，這將使他個(gè)人對(duì)Facebook處理該問(wèn)題負(fù)責(zé)。

Facebook侵犯用戶隱私案是一起非常典型的互聯(lián)網(wǎng)企業(yè)運(yùn)營(yíng)安全問(wèn)題。在網(wǎng)絡(luò)這個(gè)虛擬世界中，用戶數(shù)據(jù)就像是現(xiàn)實(shí)世界中的水和空氣。誰(shuí)擁有數(shù)量更多的用戶數(shù)據(jù)，誰(shuí)就有了更強(qiáng)大的競(jìng)爭(zhēng)力。但基于用戶個(gè)人隱私這一基本人權(quán)，獲取用戶數(shù)據(jù)必須合法，即必須獲得用戶本人的同意和使用授權(quán)。同時(shí)，使用用戶數(shù)據(jù)必須出于正當(dāng)目的，而且應(yīng)采取有效措施保管數(shù)據(jù)，防止數(shù)據(jù)泄露或被他人竊取。對(duì)Facebook這樣一個(gè)超級(jí)互聯(lián)網(wǎng)企業(yè)來(lái)說(shuō)，在用戶數(shù)據(jù)的獲取、使用和管理各個(gè)環(huán)節(jié)，都需要采取大量的合規(guī)措施，此次FTC要在Facebook內(nèi)部建立一個(gè)獨(dú)立的隱私監(jiān)督委員會(huì)，就是從企業(yè)組織架構(gòu)上加強(qiáng)對(duì)用戶數(shù)據(jù)保護(hù)的領(lǐng)導(dǎo)。這是一項(xiàng)根本性舉措，對(duì)于我國(guó)互聯(lián)網(wǎng)企業(yè)加強(qiáng)公民個(gè)人信息保護(hù)，具有重要的啟示意義和借鑒價(jià)值。

APP收集使用個(gè)人信息違規(guī)現(xiàn)象頻發(fā)

2017年6月1日開(kāi)始施行的《中華人民共和國(guó)網(wǎng)絡(luò)安全法》，圍繞保護(hù)“網(wǎng)絡(luò)信息安全”這一目標(biāo)，其中的第三章要求網(wǎng)絡(luò)運(yùn)營(yíng)者建立健全用戶信息保護(hù)制度，并確立了收集、使用用戶個(gè)人信息的“合法、正當(dāng)、必要”原則。同時(shí)，為幫助互聯(lián)網(wǎng)企業(yè)管理者明晰用戶個(gè)人信息保護(hù)的行為底線，《網(wǎng)絡(luò)安全法》主要采用禁止性規(guī)范的立法技術(shù)設(shè)定行為的合法性邊界，包括：1.不得收集與其提供的服務(wù)無(wú)關(guān)的個(gè)人信息;2.不得違反法律、行政法規(guī)的規(guī)定和雙方的約定收集、使用個(gè)人信息;3.不得泄露、篡改、毀損其收集的個(gè)人信息;4.不得竊取或者以其他非法方式獲取個(gè)人信息;5.不得非法出售或者非法向他人提供個(gè)人信息;6.發(fā)送的電子信息、提供的應(yīng)用軟件不得設(shè)置惡意程序等。

《網(wǎng)絡(luò)安全法》設(shè)置的這些行為底線是比較原則的，所以在互聯(lián)網(wǎng)企業(yè)的經(jīng)營(yíng)中，基于利益驅(qū)動(dòng)仍大量發(fā)生突破底線的違法違規(guī)情形。為此，中央網(wǎng)信辦、工信部、公安部、市場(chǎng)監(jiān)管總局等四部門(mén)決定2019年1月至12月在全國(guó)范圍組織開(kāi)展App違法違規(guī)收集使用個(gè)人信息專(zhuān)項(xiàng)治理。為收集違法違規(guī)線索，專(zhuān)項(xiàng)治理工作組開(kāi)通了舉報(bào)渠道。截至2019年4月16日已反饋了3480多條舉報(bào)信息，主要違規(guī)行為包括：26%的App沒(méi)有隱私條款或未在隱私條款中明確收集個(gè)人信息的目的、方式、范圍;31%的App在申請(qǐng)打開(kāi)收集個(gè)人信息相關(guān)權(quán)限時(shí)，未明確告知用戶;20%的App收集與業(yè)務(wù)功能無(wú)關(guān)的個(gè)人信息，如金融借貸App收集用戶通信錄;19%的App未經(jīng)用戶同意，向他人提供設(shè)備ID、應(yīng)用程序列表等個(gè)人信息;13%的App強(qiáng)制索要與業(yè)務(wù)功能無(wú)關(guān)的權(quán)限，如計(jì)算器、手電筒App強(qiáng)制要求打開(kāi)地理位置權(quán)限。還有一些App存在不支持用戶注銷(xiāo)賬戶、更正或刪除信息等問(wèn)題。歸納起來(lái)，App運(yùn)營(yíng)者的這些違規(guī)情形要么和用戶沒(méi)有事先約定收集信息規(guī)則，要么違反約定收集信息，要么超越自身業(yè)務(wù)范圍收集信息。

作為互聯(lián)網(wǎng)企業(yè)，如何與客戶約定收集個(gè)人信息規(guī)則，已不單單是企業(yè)與用戶之間的私事，必須上升到落實(shí)《網(wǎng)絡(luò)安全法》加強(qiáng)用戶個(gè)人信息保護(hù)的公共利益，從而為互聯(lián)網(wǎng)企業(yè)的整體經(jīng)營(yíng)提供合規(guī)標(biāo)準(zhǔn)。2018年11月30日， 公安部網(wǎng)絡(luò)安全保衛(wèi)局發(fā)布了《互聯(lián)網(wǎng)個(gè)人信息安全保護(hù)指引（征求意見(jiàn)稿）》（以下簡(jiǎn)稱(chēng)《征求意見(jiàn)稿》）。2019年4月10日， 公安部網(wǎng)絡(luò)安全保衛(wèi)局、北京網(wǎng)絡(luò)行業(yè)協(xié)會(huì)、公安部第三研究所聯(lián)合發(fā)布了《互聯(lián)網(wǎng)個(gè)人信息安全保護(hù)指南》（以下簡(jiǎn)稱(chēng)《指南》）。《指南》是在《征求意見(jiàn)稿》的基礎(chǔ)上修改而成的， 主要從管理機(jī)制、安全技術(shù)措施、業(yè)務(wù)流程和應(yīng)急處置四個(gè)方面對(duì)個(gè)人信息持有者的個(gè)人信息安全保護(hù)工作提供了參考。

管理機(jī)制方面，《指南》明確個(gè)人信息持有者需要履行網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)備案手續(xù)，同時(shí)在安全管理制度、組織架構(gòu)及人員配備、培訓(xùn)等方面提出了具體要求。

技術(shù)措施方面，《指南》為滿足個(gè)人信息保護(hù)的技術(shù)需要，從通用網(wǎng)絡(luò)、區(qū)域邊界、計(jì)算環(huán)境、應(yīng)用和數(shù)據(jù)等方面明確企業(yè)采取的技術(shù)措施內(nèi)容;同時(shí)在持有個(gè)人信息數(shù)量達(dá)到一定程度時(shí)，進(jìn)一步提出了云計(jì)算安全、物聯(lián)網(wǎng)安全的技術(shù)措施要求。

業(yè)務(wù)流程方面，《指南》對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)者的收集、保存、應(yīng)用、刪除、第三方委托處理、共享和轉(zhuǎn)讓、公開(kāi)披露用戶個(gè)人信息等環(huán)節(jié)的經(jīng)營(yíng)行為提出了具體要求。

應(yīng)急處置方面，《指南》對(duì)應(yīng)急機(jī)制和預(yù)案、處置和響應(yīng)措施等提出了具體要求。

雖然《指南》不屬于立法體系中的“部門(mén)規(guī)章”，但作為網(wǎng)絡(luò)安全的執(zhí)法部門(mén)、行業(yè)監(jiān)管部門(mén)以及技術(shù)部門(mén)共同頒布的規(guī)范性文件，《指南》無(wú)論對(duì)于收集使用個(gè)人信息的互聯(lián)網(wǎng)企業(yè)，還是對(duì)于網(wǎng)絡(luò)監(jiān)管部門(mén)的監(jiān)管行為，都有重要的指導(dǎo)意義和規(guī)范引領(lǐng)作用。

制度、技術(shù)、團(tuán)隊(duì)、問(wèn)責(zé) 加強(qiáng)個(gè)人信息保護(hù)的四個(gè)重點(diǎn)

根據(jù)《網(wǎng)絡(luò)安全法》設(shè)定的底線條款和《指南》明確的行為標(biāo)準(zhǔn)，我們可以看出，互聯(lián)網(wǎng)企業(yè)要加強(qiáng)對(duì)用戶個(gè)人信息的保護(hù)，需要考慮全面完善自身合規(guī)管理體系。在通常意義上，一個(gè)企業(yè)完備的合規(guī)體系包含六個(gè)要素：一是制度機(jī)制、二是檢查評(píng)估、三是舉報(bào)渠道、四是獨(dú)立調(diào)查、五是外部監(jiān)測(cè)、六是合規(guī)承諾。

圍繞這六個(gè)要素，互聯(lián)網(wǎng)企業(yè)加強(qiáng)個(gè)人信息保護(hù)的重點(diǎn)工作是：

一是嚴(yán)格遵守網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。按照安全等級(jí)要求開(kāi)展合規(guī)管理，全面提升管理的標(biāo)準(zhǔn)化水平。App運(yùn)營(yíng)者要結(jié)合此次四部委開(kāi)展的專(zhuān)項(xiàng)治理行動(dòng)，堅(jiān)持問(wèn)題導(dǎo)向進(jìn)行整改，著力糾偏和改正。

二是加大對(duì)個(gè)人信息保護(hù)的技術(shù)投入。這是互聯(lián)網(wǎng)企業(yè)加強(qiáng)用戶個(gè)人信息保護(hù)最核心的管理措施，也是最重要的成本投入。用戶數(shù)據(jù)信息是互聯(lián)網(wǎng)經(jīng)營(yíng)環(huán)境的基本單元要素，作為互聯(lián)網(wǎng)企業(yè)必須構(gòu)建一個(gè)安全的數(shù)據(jù)存儲(chǔ)和使用環(huán)境，在此基礎(chǔ)上進(jìn)一步提供安全便捷的信息使用技術(shù)。所以互聯(lián)網(wǎng)企業(yè)保護(hù)個(gè)人信息的技術(shù)措施涵蓋網(wǎng)絡(luò)環(huán)境技術(shù)、邊界技術(shù)、計(jì)算技術(shù)、應(yīng)用技術(shù)等，這些技術(shù)在不同安全等級(jí)中有不同的標(biāo)準(zhǔn)和要求。

三是要建立健全個(gè)人信息保護(hù)的合規(guī)團(tuán)隊(duì)。無(wú)論是制度層面，還是技術(shù)層面，互聯(lián)網(wǎng)企業(yè)保護(hù)個(gè)人信息的合規(guī)力量應(yīng)涵蓋公司經(jīng)營(yíng)的各個(gè)方面。借鑒FTC將在Facebook內(nèi)部建立獨(dú)立的隱私監(jiān)督委員會(huì)的合規(guī)整改要求，在互聯(lián)網(wǎng)企業(yè)的合規(guī)管理機(jī)構(gòu)中，最高層級(jí)的管理機(jī)構(gòu)要設(shè)立專(zhuān)門(mén)的用戶個(gè)人信息保護(hù)機(jī)構(gòu)。該機(jī)構(gòu)可以是合規(guī)管理領(lǐng)導(dǎo)機(jī)構(gòu)的內(nèi)設(shè)機(jī)構(gòu)，也可以是獨(dú)立的特別機(jī)構(gòu)。

四是加大對(duì)侵犯用戶個(gè)人信息舞弊行為的問(wèn)責(zé)。隨著公民個(gè)人信息保護(hù)力度的不斷加大，互聯(lián)網(wǎng)企業(yè)發(fā)生的侵犯公民個(gè)人信息的案件，很容易出現(xiàn)員工個(gè)人行為與單位行為的責(zé)任混同。根本原因在于《網(wǎng)絡(luò)安全法》出臺(tái)后，并沒(méi)有明確劃定互聯(lián)網(wǎng)企業(yè)保護(hù)用戶個(gè)人信息的行為合規(guī)邊界，作為企業(yè)的注意義務(wù)和管理責(zé)任范圍是什么并不清晰。這種情況下企業(yè)很容易無(wú)所適從，所以個(gè)人責(zé)任和單位責(zé)任容易發(fā)生混淆。隨著《指南》的出臺(tái)，企業(yè)在履行好自身合規(guī)責(zé)任時(shí)，還要加大對(duì)員工侵犯用戶個(gè)人信息舞弊行為的問(wèn)責(zé)，這樣才能確保制度有效落地，同時(shí)避免單位被監(jiān)管部門(mén)甚至執(zhí)法機(jī)關(guān)錯(cuò)誤追責(zé)。