謝劍輝

［摘 要］增值電信業(yè)務(wù)公司在短消息發(fā)送業(yè)務(wù)開展過程中接觸到大量公眾的個人信息。如何實現(xiàn)短信息發(fā)送業(yè)務(wù)合規(guī)化管理，以更好地保護公民個人信息安全和個人合法權(quán)益，強化市域社會治理，成為此類公司業(yè)務(wù)合規(guī)化管理的重點。特別是在《中華人民共和國民法典》《中華人民共和國個人信息保護法》業(yè)已生效，配套法律法規(guī)和行業(yè)自律性制度也紛紛出臺并不斷完善的背景下，實現(xiàn)此類公司業(yè)務(wù)合規(guī)化管理尤為重要?；诖耍恼聦υ鲋惦娦艠I(yè)務(wù)公司短消息發(fā)送業(yè)務(wù)中個人信息保護合規(guī)化管理的問題進行分析，并提出合規(guī)化管理建議，以期推動此類公司規(guī)范管理短消息發(fā)送業(yè)務(wù)。

［關(guān)鍵詞］增值電信業(yè)務(wù)公司；個人信息保護；合規(guī)化管理；短消息發(fā)送業(yè)務(wù)

doi：10.3969/j.issn.1673 - 0194.2023.18.050

［中圖分類號］F626.5［文獻標(biāo)識碼］A［文章編號］1673-0194（2023）18-0153-03

1? ? ?研究背景

增值電信業(yè)務(wù)公司是指獲得中華人民共和國增值電信業(yè)務(wù)經(jīng)營許可證，并從事增值電信業(yè)務(wù)經(jīng)營的公司，在以信息化促進市域社會治理現(xiàn)代化過程中發(fā)揮重要作用。增值電信業(yè)務(wù)公司在提供增值電信服務(wù)的過程中，其主營業(yè)務(wù)就是為客戶大量發(fā)送短信息，既包括普通商業(yè)短信、會員短信，也包括政府防洪、高溫預(yù)警等公益信息。該類公司在這一業(yè)務(wù)過程中，涉及大量個人信息收集、存儲、維護、處理的問題，這些問題也就成為公司業(yè)務(wù)合規(guī)化管理的重中之重［1］。國家法律法規(guī)和相關(guān)主管部門規(guī)章對短信發(fā)送中的個人信息保護提出許多合規(guī)要求，但不少公司并未認真看待和解讀這些規(guī)范要求，在個人信息保護理念上存在缺失，更談不上落實到公司的實際管理之中，因而給公司的業(yè)務(wù)合規(guī)化管理帶來隱患。有的公司因為不合規(guī)行為產(chǎn)生不少民事糾紛，面臨行政處罰甚至刑事責(zé)任的承擔(dān)，更有甚者由于個人信息的大量泄露，給國家安全造成嚴重損害［2］。

2? ? ?增值電信業(yè)務(wù)公司短消息發(fā)送業(yè)務(wù)中個人信息保護合規(guī)化管理的問題

2.1? ?公司對個人信息保護合規(guī)化管理的重要性不甚了解，保護意識不足

增值電信業(yè)務(wù)公司的著眼點是業(yè)績提升，近年來面對經(jīng)濟下行壓力，以及較為激烈的行業(yè)競爭形勢，短信息發(fā)送業(yè)務(wù)量呈下滑之勢，維持業(yè)務(wù)量成為公司的當(dāng)務(wù)之急，其對業(yè)務(wù)合規(guī)的意義認知不足，對個人信息保護合規(guī)化管理的重要性更是不甚了解。公司往往強調(diào)對銷售人員的業(yè)績進行刺激，目前采取的還是“底薪+提成”的銷售模式，銷售人員為了提升業(yè)績和增加收入，在業(yè)務(wù)洽談中總是盡力促成協(xié)議的達成，對客戶的個人信息保護并未給予充分的重視［3］。

2.2? ?公司短消息發(fā)送業(yè)務(wù)模式的自身特點容易導(dǎo)致合規(guī)風(fēng)險

（1）此類公司業(yè)務(wù)模式的特點之一是數(shù)量巨大。該類公司每天都有大量的短信息通過106通道進行發(fā)送，京東、國美、字節(jié)跳動等公司每月的短信發(fā)送量都在百萬條以上，通過三網(wǎng)合一平臺發(fā)送短信的數(shù)量巨大，其中必然產(chǎn)生大量的自然人姓名、電話號碼、生物識別信息。根據(jù)《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》，電信業(yè)務(wù)經(jīng)營者及其工作人員對提供服務(wù)過程中收集、使用的用戶個人信息應(yīng)當(dāng)嚴格保密，不得泄露、竄改或者毀損，不得出售或者非法向他人提供。但由于短消息發(fā)送業(yè)務(wù)數(shù)量巨大，公司不可避免地會出現(xiàn)員工泄露個人信息的風(fēng)險。

（2）此類公司業(yè)務(wù)模式特點還包括在業(yè)務(wù)開展中幾乎未與個人用戶發(fā)生直接關(guān)系，大多是信息發(fā)送主體公司通過增值電信服務(wù)公司的短信發(fā)送通道為其客戶或會員發(fā)送短信。因此，客戶公司是否有與其會員達成同意發(fā)送的一致意思，個人用戶是否接受短信息發(fā)送，發(fā)送的時間是否有要求等，此類公司很難對其明確判斷。部分公司的隱私政策如《京東隱私政策》《淘寶網(wǎng)隱私政策》《美圖專業(yè)證件照個人信息保護政策》等可以通過網(wǎng)絡(luò)查詢獲取，但有些客戶公司沒有制定隱私政策，在實踐中增值電信服務(wù)公司很難要求發(fā)送主體公司提供材料進行合規(guī)審查，公司可能在個人用戶未同意的情況下為其發(fā)送短信。在此情況下，個人用戶往往會因自身的利益受到損害而通過12321網(wǎng)絡(luò)不良與垃圾信息舉報受理中心進行投訴。個人用戶對增值電信中短信息的發(fā)送流程基本缺乏了解，其投訴的對象往往就是投訴短信發(fā)送者，即增值電信業(yè)務(wù)公司，故可能產(chǎn)生的行政責(zé)任大多需要由增值電信業(yè)務(wù)公司承擔(dān)，這也給公司短信息發(fā)送業(yè)務(wù)帶來風(fēng)險。

2.3? ?相關(guān)法律和規(guī)范性文件尚需完善，業(yè)務(wù)合規(guī)標(biāo)準(zhǔn)無法準(zhǔn)確界定

近年來，盡管我國個人信息保護的法律規(guī)范已取得長足進步，但仍有需要完善之處。以《最高人民法院、最高人民檢察院關(guān)于辦理非法利用信息網(wǎng)絡(luò)、幫助信息網(wǎng)絡(luò)犯罪活動等刑事案件適用法律若干問題的解釋》為例，其十一條第（三）項規(guī)定了明知他人利用網(wǎng)絡(luò)實施犯罪的認定標(biāo)準(zhǔn)之一：……交易價格或者方式明顯異常的。但何為交易價格明顯異常，如何判斷價格過高或過低，并無進一步的明確解釋，同時什么是交易方式明顯異常的，也缺乏典型的表述方式，這導(dǎo)致公司在實踐中對此類行為是否構(gòu)成幫助信息網(wǎng)絡(luò)犯罪缺乏明確的界定界限［4］，這也給公司業(yè)務(wù)合規(guī)化管理帶來不少壓力。

3? ? ?增值電信業(yè)務(wù)公司短消息發(fā)送業(yè)務(wù)中的個人信息保護合規(guī)化管理建議

3.1? ?強化個人信息治理，構(gòu)建內(nèi)部制度

公司應(yīng)建立內(nèi)部個人信息保護體系，實現(xiàn)合規(guī)化、制度化的體系設(shè)計。公司不應(yīng)片面追求利潤，而應(yīng)在實現(xiàn)盈利的同時注重公司的風(fēng)險防控和社會責(zé)任，只有多元治理，共同參與，才有可能形成個人信息保護的合力，實現(xiàn)各方多贏。用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的增值電信業(yè)務(wù)公司要履行“看門人”義務(wù)，強化個人信息治理，這不但對國家安全與經(jīng)濟安全等具有重大意義，也是公司內(nèi)部管理能力的重要體現(xiàn)?；诖?，公司在內(nèi)部制度構(gòu)建層面，應(yīng)在法律框架下構(gòu)建公司內(nèi)部網(wǎng)絡(luò)安全管理制度、安全警示制度、運營風(fēng)控管理制度等，建立先進實用、完整可靠的信息系統(tǒng)安全體系，實現(xiàn)個人信息保護的體系化、制度化。

3.2? ?加強內(nèi)部業(yè)務(wù)流程的合規(guī)管控

內(nèi)控體系的建立和實施是個人信息保護的重點，公司應(yīng)通過合理管控內(nèi)部業(yè)務(wù)流程，在技術(shù)管理層面更好地保護個人信息。

（1）首先，公司應(yīng)加強對個人信息實行分類管理，針對不同種類個人信息建立訪問控制措施并確定操作權(quán)限。對個人信息的重要操作設(shè)置內(nèi)部審批流程，分別設(shè)置安全管理、數(shù)據(jù)操作、業(yè)務(wù)、財務(wù)人員等角色等。其中，對敏感個人信息的處理應(yīng)采取更為嚴格的保護措施，包括但不限于采用信息加密等安全措施，將個人生物識別信息與其他個人信息分開存儲，對敏感個人信息的處理目的、處理方式、對個人權(quán)益的影響及安全風(fēng)險、所采取的保護措施進行事前個人信息保護影響評估［5］。

（2）其次，公司還應(yīng)形成建立敏感詞管理庫，強化拒絕模板攔截審核環(huán)節(jié)。其一，根據(jù)《互聯(lián)網(wǎng)信息服務(wù)管理辦法》《中華人民共和國電信條例》《關(guān)于依法開展治理手機違法短信息有關(guān)工作的通知》等規(guī)定，形成與云通信服務(wù)系統(tǒng)相匹配的敏感詞管理庫并不斷更新，通過敏感詞審核、拒絕模板審核環(huán)節(jié)，根據(jù)客戶事先報備的模板進行比對，由系統(tǒng)自動完成審核。其二，涉及加微信、加QQ、推廣App等三大運營商明確規(guī)定禁止發(fā)送的，強化拒絕模板攔截。其三，通過客戶異常行為審核環(huán)節(jié)，建立實時風(fēng)控系統(tǒng)，以捕捉短信發(fā)送主體的異常行為，主要攔截以鏈接類、行業(yè)應(yīng)用類短信賬號發(fā)送會員營銷短信行為，以及驗證碼攻擊行為等用戶異常行為。其四，在人工審核環(huán)節(jié)，由技術(shù)部專員針對系統(tǒng)自動攔截下來的短信進行實時審核。公司通過4道攔截程序，能有效避免個人信息泄露之后可能導(dǎo)致的被用于違法犯罪等情況，將個人信息被泄露后的負面效果降至最低。

（3）最后，公司應(yīng)對所獲取的個人信息進行合規(guī)處理，避免信息泄露［6］。增值電信服務(wù)公司在短消息發(fā)送業(yè)務(wù)中，最大的風(fēng)險來自個人信息的泄露問題，所以公司要在明確個人信息保護的范圍之后，先由網(wǎng)絡(luò)安全部門組織開展信息系統(tǒng)安全等級保護建設(shè)、測評、自查和整改等工作，制定系統(tǒng)應(yīng)急預(yù)案，通過網(wǎng)絡(luò)日志、文檔等形式準(zhǔn)確記錄對個人信息的處理活動，在技術(shù)層面規(guī)避個人信息泄露風(fēng)險。然后，公司需要根據(jù)《通信短信息服務(wù)管理規(guī)定》和公司網(wǎng)絡(luò)安全管理等內(nèi)控制度，明確各類人員權(quán)限，禁止非授權(quán)人員查詢用戶信息。同時，對于實踐中客戶要求公司提供個人用戶信息用于核對數(shù)量和相應(yīng)款項的，需要慎重設(shè)計對接流程，并對個人用戶信息進行脫敏處理，以避免個人信息泄露導(dǎo)致的侵權(quán)或違約等法律風(fēng)險。

3.3? ?嚴格業(yè)務(wù)合同的合規(guī)審核和合同履行中的安全防控

在對外的業(yè)務(wù)開展過程中，公司應(yīng)確保從業(yè)務(wù)流程層面嚴格規(guī)范個人信息的保護?！锻ㄐ艠I(yè)務(wù)協(xié)議書》是增值電信業(yè)務(wù)公司與客戶確定合同權(quán)利義務(wù)關(guān)系的重要憑證，對業(yè)務(wù)協(xié)議的審查管理是外部風(fēng)險防控和合規(guī)管理的重要環(huán)節(jié)，公司法務(wù)風(fēng)控等部門除了要做好一般性、常規(guī)性的合同審查，還需要重點審查以下條款。

（1）首先，應(yīng)對客戶公司進行初步客情調(diào)查［7］，包括客戶公司的設(shè)立時間、客戶所從事的行業(yè)、是否與客戶有合作先例、客戶是否存在重大涉訴問題、客戶是否有負面輿情新聞等，以此準(zhǔn)確評估客戶的資信能力，從而初步判斷客戶公司對個人信息保護的嚴謹程度，并評估泄密風(fēng)險。此外，協(xié)議條款中是否涉及違法收集個人用戶信息的問題，公司需要判斷收集個人信息是否已征得他人同意，是否遵循合法、正當(dāng)、必要和誠信原則，是否限于達到處理目的的最小范圍而收集個人信息，以及個人信息的有效保護方式，并根據(jù)具體需要設(shè)定專門的個人信息協(xié)議條款約定雙方的權(quán)利義務(wù)。

（2）其次，應(yīng)對客戶公司的合同義務(wù)要求，特別是個人信息和數(shù)據(jù)安全相關(guān)條款的約定，就相應(yīng)的違約責(zé)任和救濟辦法進行約定，包括客戶應(yīng)承諾的發(fā)送短信須確認會員等個人用戶已經(jīng)同意，不得利用公民個人信息從事任何違法犯罪活動，不利用上行短信非法收集客戶個人信息等，并設(shè)計相應(yīng)的責(zé)任條款。對于自定義短信發(fā)送的客戶，即平臺型公司，此類平臺公司往往會提供在線教育、交友、旅游、租賃等行業(yè)的廣告發(fā)送渠道，對其窮盡調(diào)查幾乎不太現(xiàn)實，故而嚴謹細致的協(xié)議條款可以確保公司在可能被要求承擔(dān)責(zé)任之后有向客戶公司追償?shù)臋?quán)利，從而規(guī)避業(yè)務(wù)風(fēng)險。

（3）最后，在主協(xié)議以外，公司還需要考慮是否根據(jù)客戶的具體情況，專門設(shè)計其他附件，包括《個人信息安全承諾書》《數(shù)據(jù)安全協(xié)議書》等，以專門對互聯(lián)網(wǎng)平臺型公司或其他服務(wù)對象眾多的計算機網(wǎng)絡(luò)公司、云服務(wù)公司等客戶進行個人信息保護風(fēng)險的約定，從公平合理的角度分配和轉(zhuǎn)移風(fēng)險，以最大限度保護本公司的合法權(quán)益。

3.4? ?加強和政府相關(guān)部門以及行業(yè)協(xié)會的合規(guī)標(biāo)準(zhǔn)溝通

社會在飛速發(fā)展，網(wǎng)絡(luò)的變化更是令人難以應(yīng)對，單獨的一個公司在面對互聯(lián)網(wǎng)時代層出不窮的違法違規(guī)信息，或者侵害個人身份信息等合法權(quán)益時，是很難作出完全判斷和防御的，這時需要依靠社會的力量。因此，公司可以和行業(yè)協(xié)會、公安部門、工信部門等保持經(jīng)常性的溝通，建立信息共享機制，這樣才能在數(shù)字經(jīng)濟時代不斷完成合規(guī)化管理的升級。例如，公司應(yīng)加強行業(yè)交流，共同建立合規(guī)標(biāo)準(zhǔn)，如《個人信息安全規(guī)范》等行業(yè)自律性規(guī)定。公司還應(yīng)在行業(yè)協(xié)會的指導(dǎo)下根據(jù)個人信息內(nèi)涵的改變及時完善敏感詞庫，并根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》等法律規(guī)定建立網(wǎng)絡(luò)安全保護等級，增強公司的信息安全管理能力。

4? ? ?結(jié)束語

增值電信業(yè)務(wù)公司在提供短消息服務(wù)過程中，需要防范各類風(fēng)險，加強合規(guī)化管理。增值電信業(yè)務(wù)公司在短消息發(fā)送業(yè)務(wù)中的個人信息保護合規(guī)化管理方面，需要得到客戶公司的認同，同時還要避免不規(guī)范經(jīng)營的同類公司以相對低廉的價格搶奪客戶資源。從長遠發(fā)展來看，我國的法治環(huán)境在不斷優(yōu)化，全面依法治國成為國家基本治國理政的方略，《中華人民共和國民法典》《中華人民共和國個人信息保護法》的頒布及一系列法律法規(guī)的出臺讓公民的個人信息得到更好的保護，這也必將對公司的合規(guī)經(jīng)營提出更高的要求，所以增值電信類公司在拓展業(yè)務(wù)的同時，要集中精力進行個人信息保護的合規(guī)化管理，降低公司發(fā)展風(fēng)險，以實現(xiàn)公司可持續(xù)和高質(zhì)量發(fā)展。

主要參考文獻

［1］張寶增.企業(yè)合規(guī)管理體系的建設(shè)探究［J］.中外企業(yè)家，2020（10）：41-42.

［2］李穎.市域治理下的社會風(fēng)險整體性防控研究［J］.山東社會科學(xué)，2021（9）：81-86.

［3］劉柯言.企業(yè)級電信增值業(yè)務(wù)發(fā)展戰(zhàn)略研究［J］.黑龍江科技信息，2014（28）：157.

［4］張明楷.論幫助信息網(wǎng)絡(luò)犯罪活動罪［J］.政治與法律，2016（2）：2-16.

［5］楊雨欣.網(wǎng)絡(luò)空間治理背景下個人信息保護機制研究［J］.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2022（5）：139-140.

［6］鄭植.對電信增值業(yè)務(wù)項目投資及運營管理的探索與再思考［J］.企業(yè)科技與發(fā)展，2011（16）：103-106，130.

［7］劉娟.電信企業(yè)業(yè)務(wù)應(yīng)急保障管理體系［J］.信息與電腦（理論版），2014（20）：182-183.