對用戶的隱私安全保持敬畏

姜先良 律師，北京市中聞律師事務所權益合伙人，北京市法院前法官，商業機構合規管理顧問專家。主要執業領域：企業合規管理與風險防控、公司爭議解決、刑事辯護、民事案件執行、金融不良資產處置。

2019年5月1日，據Politico雜志報道，Facebook正在和美國聯邦貿易委員會（FTC）協商一份和解協議，Facebook預計將向FTC支付30—50億美元的罰款。FTC將在Facebook內部建立一個獨立的隱私監督委員會，CEO馬克·扎克伯格將扮演負責執行公司隱私政策的“指定合規官”的角色，這將使他個人對Facebook處理該問題負責。

Facebook侵犯用戶隱私案是一起非常典型的互聯網企業運營安全問題。在網絡這個虛擬世界中，用戶數據就像是現實世界中的水和空氣。誰擁有數量更多的用戶數據，誰就有了更強大的競爭力。但基于用戶個人隱私這一基本人權，獲取用戶數據必須合法，即必須獲得用戶本人的同意和使用授權。同時，使用用戶數據必須出于正當目的，而且應采取有效措施保管數據，防止數據泄露或被他人竊取。對Facebook這樣一個超級互聯網企業來說，在用戶數據的獲取、使用和管理各個環節，都需要采取大量的合規措施，此次FTC要在Facebook內部建立一個獨立的隱私監督委員會，就是從企業組織架構上加強對用戶數據保護的領導。這是一項根本性舉措，對于我國互聯網企業加強公民個人信息保護，具有重要的啟示意義和借鑒價值。

APP收集使用個人信息違規現象頻發

2017年6月1日開始施行的《中華人民共和國網絡安全法》，圍繞保護“網絡信息安全”這一目標，其中的第三章要求網絡運營者建立健全用戶信息保護制度，并確立了收集、使用用戶個人信息的“合法、正當、必要”原則。同時，為幫助互聯網企業管理者明晰用戶個人信息保護的行為底線，《網絡安全法》主要采用禁止性規范的立法技術設定行為的合法性邊界，包括：1.不得收集與其提供的服務無關的個人信息;2.不得違反法律、行政法規的規定和雙方的約定收集、使用個人信息;3.不得泄露、篡改、毀損其收集的個人信息;4.不得竊取或者以其他非法方式獲取個人信息;5.不得非法出售或者非法向他人提供個人信息;6.發送的電子信息、提供的應用軟件不得設置惡意程序等。

《網絡安全法》設置的這些行為底線是比較原則的，所以在互聯網企業的經營中，基于利益驅動仍大量發生突破底線的違法違規情形。為此，中央網信辦、工信部、公安部、市場監管總局等四部門決定2019年1月至12月在全國范圍組織開展App違法違規收集使用個人信息專項治理。為收集違法違規線索，專項治理工作組開通了舉報渠道。截至2019年4月16日已反饋了3480多條舉報信息，主要違規行為包括：26%的App沒有隱私條款或未在隱私條款中明確收集個人信息的目的、方式、范圍;31%的App在申請打開收集個人信息相關權限時，未明確告知用戶;20%的App收集與業務功能無關的個人信息，如金融借貸App收集用戶通信錄;19%的App未經用戶同意，向他人提供設備ID、應用程序列表等個人信息;13%的App強制索要與業務功能無關的權限，如計算器、手電筒App強制要求打開地理位置權限。還有一些App存在不支持用戶注銷賬戶、更正或刪除信息等問題。歸納起來，App運營者的這些違規情形要么和用戶沒有事先約定收集信息規則，要么違反約定收集信息，要么超越自身業務范圍收集信息。

作為互聯網企業，如何與客戶約定收集個人信息規則，已不單單是企業與用戶之間的私事，必須上升到落實《網絡安全法》加強用戶個人信息保護的公共利益，從而為互聯網企業的整體經營提供合規標準。2018年11月30日， 公安部網絡安全保衛局發布了《互聯網個人信息安全保護指引（征求意見稿）》（以下簡稱《征求意見稿》）。2019年4月10日， 公安部網絡安全保衛局、北京網絡行業協會、公安部第三研究所聯合發布了《互聯網個人信息安全保護指南》（以下簡稱《指南》）?！吨改稀肥窃凇墩髑笠庖姼濉返幕A上修改而成的， 主要從管理機制、安全技術措施、業務流程和應急處置四個方面對個人信息持有者的個人信息安全保護工作提供了參考。

管理機制方面，《指南》明確個人信息持有者需要履行網絡安全等級保護定級備案手續，同時在安全管理制度、組織架構及人員配備、培訓等方面提出了具體要求。

技術措施方面，《指南》為滿足個人信息保護的技術需要，從通用網絡、區域邊界、計算環境、應用和數據等方面明確企業采取的技術措施內容;同時在持有個人信息數量達到一定程度時，進一步提出了云計算安全、物聯網安全的技術措施要求。

業務流程方面，《指南》對網絡運營者的收集、保存、應用、刪除、第三方委托處理、共享和轉讓、公開披露用戶個人信息等環節的經營行為提出了具體要求。

應急處置方面，《指南》對應急機制和預案、處置和響應措施等提出了具體要求。

雖然《指南》不屬于立法體系中的“部門規章”，但作為網絡安全的執法部門、行業監管部門以及技術部門共同頒布的規范性文件，《指南》無論對于收集使用個人信息的互聯網企業，還是對于網絡監管部門的監管行為，都有重要的指導意義和規范引領作用。

制度、技術、團隊、問責 加強個人信息保護的四個重點

根據《網絡安全法》設定的底線條款和《指南》明確的行為標準，我們可以看出，互聯網企業要加強對用戶個人信息的保護，需要考慮全面完善自身合規管理體系。在通常意義上，一個企業完備的合規體系包含六個要素：一是制度機制、二是檢查評估、三是舉報渠道、四是獨立調查、五是外部監測、六是合規承諾。

圍繞這六個要素，互聯網企業加強個人信息保護的重點工作是：

一是嚴格遵守網絡安全等級保護制度。按照安全等級要求開展合規管理，全面提升管理的標準化水平。App運營者要結合此次四部委開展的專項治理行動，堅持問題導向進行整改，著力糾偏和改正。

二是加大對個人信息保護的技術投入。這是互聯網企業加強用戶個人信息保護最核心的管理措施，也是最重要的成本投入。用戶數據信息是互聯網經營環境的基本單元要素，作為互聯網企業必須構建一個安全的數據存儲和使用環境，在此基礎上進一步提供安全便捷的信息使用技術。所以互聯網企業保護個人信息的技術措施涵蓋網絡環境技術、邊界技術、計算技術、應用技術等，這些技術在不同安全等級中有不同的標準和要求。

三是要建立健全個人信息保護的合規團隊。無論是制度層面，還是技術層面，互聯網企業保護個人信息的合規力量應涵蓋公司經營的各個方面。借鑒FTC將在Facebook內部建立獨立的隱私監督委員會的合規整改要求，在互聯網企業的合規管理機構中，最高層級的管理機構要設立專門的用戶個人信息保護機構。該機構可以是合規管理領導機構的內設機構，也可以是獨立的特別機構。

四是加大對侵犯用戶個人信息舞弊行為的問責。隨著公民個人信息保護力度的不斷加大，互聯網企業發生的侵犯公民個人信息的案件，很容易出現員工個人行為與單位行為的責任混同。根本原因在于《網絡安全法》出臺后，并沒有明確劃定互聯網企業保護用戶個人信息的行為合規邊界，作為企業的注意義務和管理責任范圍是什么并不清晰。這種情況下企業很容易無所適從，所以個人責任和單位責任容易發生混淆。隨著《指南》的出臺，企業在履行好自身合規責任時，還要加大對員工侵犯用戶個人信息舞弊行為的問責，這樣才能確保制度有效落地，同時避免單位被監管部門甚至執法機關錯誤追責。