6家企业涉及个人信息合规使用的实务问题答疑(涉人脸识别、告知&删除、内部员工信息、儿童信息)
2020-11-26
昨日,《信息安全技术 个人信息安全影响评估指南》国家标准正式发布,并将于2021年6月1日正式实施。
该标准能够有效支撑《个人信息保护法(草案)》中的第五十四条,该标准也支撑实施GDPR项下的DPIA!企业的法务合规们更新起来哦~
今日,小编特别整理来自6家企业涉个人信息安全与保护的相关实务提问,以及网安领域资深律师专家解答,与大家一起来看看企业都关注哪些个人信息问题呢?
本文内容主要涉及:生物识别信息、个人信息收集的告知、儿童信息、内部员工信息、删除信息的尺度、技术供应商审查...
Q1. 收集个人照片和录像是不是属于收集生物识别信息中的面部特征信息?
答:在录像或者收集照片的时候,大致有两种用途,一种是用于存证功能,比如上保险的时候,确认谁签的字。另外一种功能是通过面部的数据处理提取你的生物识别特征,用于面部识别。那么对于第2种使用方式,对识别的个人照片进行处理、提取识别特征,这是一个个人生物识别信息的收集和使用。从收集本身来讲的话,没有处理的目的,也没有处理方式的话,不构成个人生物识别信息的收集,这是一个边界。
【答复人:陈际红 中伦律师事务所 合伙人】
Q2. 收集个人信息时应告知个人信息主体所要收集的信息的类型,请问数据类型要精细到什么程度?
答:这个问题我觉得需要结合个人信息安全规范的附录去考虑的。我们再做这类工作的时候,不管是隐私政策还是其他的一些文件,往往会考虑字段这些问题。有的时候当你说得过细,用户无法理解。
所以有几种方式可以参考,一种方式是从场景下去考虑,在不同场景下我会收集什么样的信息?因此,数据的精细程度取决于你想告诉用户在什么样的目的下,在什么样的场景下收集。但如果我们把这种字段说得特别详细,脱离了收集场景和收集目的,对于用户来说也很难理解,他不太能理解你为什么要收集一个特定的,包括留存权限的问题,更多的纠纷很多时候出现在权限上,对于在一个情况下为什么要打开这个权限?如果你没有把场景和目的进行告知,场景和目的是用户真正能听懂的,到了数据的维度上,基本上现在我们是建议按照个人信息安全规范的附录去做。
【答复人:王新锐 安理律师事务所 合伙人】
Q3. 现在很多便利店餐厅都会开通自己的小程序或者APP,鼓励消费者开通一些钱包功能,充入一定的金额进行消费。在开通的时候,有的时候会需要消费者设置密码或者免密支付的功能,这些常规都是找外部的技术供应商提供的。我想请问一下,在向消费者开通这些功能的时候,是否会涉及到密码法的问题,或者是否会需要审核这些供应商的资质?
答:首先,现在很多系统里面,包括电商的系统交易系统、内部办公系统里面都会有一些加密认证的软件密码模块的。这个软件密码模块如果是由第三方的供应商来提供的,肯定是要去审查这个供应商的软件密码模块是不是取得相应的型号认证和证书。如果没取得,那就存在合作风险的问题。
其次,本身由消费者来使用这个东西的时候,其实不涉及到这个问题,因为他管的是企业商业的使用,而不是涉及到消费者使用的问题。
问:供应商他本身可能也是借助外部的密码模块的产品,因此我们企业需要去看一下他的资质,但是对于消费者使用来讲,我们对消费者会有相应的责任上的问题吗?
答:企业有两个责任,第一如果没去审查供应商的资质,本身是合规的问题,第二因为没审查这个问题导致消费者的数据未来发生泄漏的时候,那可能还会承担民事责任的问题。
【答复人:黄春林 汇业律师事务所 高级合伙人】
Q4. 我们企业不希望未成年人儿童登陆我们得官网,所以在网页上标出了本网站不为儿童提供服务,是不是在网站上标一下这句话就够了,还是我们需要做进一步的标识去证明网站的用户确实就是非儿童。
答:因为现在基本很多国内的这些平台都会标注“我们不为未成年人提供服务,如果要提供服务需要征得父母的同意”这一部分。从您说的,如果我们彻底不想为儿童提供服务的话,首先第一步肯定需要通过你的网站,包括用户协议相关的地方做相对比较显著的提示,我们不为儿童提供服务,如果您是儿童,我们建议您删除等这些措施。
第二步还要做的就是注册,因为很多网站都要求实名制注册,至少最基础的措施需要通过他使用的身份信息来判断,比如他的年龄是否满14岁的要求,我觉得这两步结合起来基本上就可以。
当然如果能够更完善的做到在后续的过程中,万一我们这边通过分析用户的行为,或获得了他的一些其他信息来综合比对,发现是儿童,及时做删除,或是收到了父母的投诉,表明实际上这个是儿童在使用,对于这种情况我们要做及时的响应,我觉得这些结合起来的话来对企业做免责会是更好的设计。
【答复人:宋海新 中伦律师事务所 资深律师】
Q5. 在删除个人信息的时候要删除到什么程度,如果在活动轨迹中会传递个人信息,是否此类轨迹要删除?
答:通过与中国一些大型的互联网公司以及一些科技公司的沟通,我的感受是彻底的删除数据是一个很困难的事情,困难在于数据很多时候是在业务的过程中产生的。如果这个业务过程中产生的数据完全删除掉,可能会对之后的核实产生困难。
比如我是电子商务中间产生的数据,提供服务过程中产生的数据,如果全都删掉可能会有一个将来无法核实原先发生了什么事情的问题。所以通常在这一块会有两种思路,一种是把数据进行一个隔离处理,我们把数据进行隔离处理,使得公司内部没有办法进行访问,但在特定情况下,如果是需要核实一些情况,通过一个权限,我们仍然有办法能看到数据。
另外一种就是完全删除掉了,比如google就有这种情况,google说我到期存储多长时间,我就把原始数据彻底删除掉。彻底删除掉的过程中是把做匿名化的处理,还是整个把所有跟个人身份有关的都剔除掉,还是把数据原始也删除掉,我觉得跟公司的情况有关系。
但是如果活动轨迹中传递个人信息,那轨迹目前在中国是一个识别说,在国外其实有不同的理解,但总体上如果是个人信息,它强调的是能够跟其他的信息能够一起识别个人的身份,这种个人信息意味着你落入到个人信息的范畴内,可能还是要按照法律的规定,如果需要删除的时候是要删除掉的。
【答复人:王新锐 安理律师事务所 合伙人】
Q6. 请问中国员工信息都存储于境外总部HR平台,需要如何处理?
答:这是一个特别高频的问题,大多数的跨国公司在访谈或者服务中都发现,在员工信息的问题上,通常总部层面有一个统一的供应商去做这些事情,这个系统也许在纽约、德国、韩国、日本......
这个事情目前来看是一个很难短期内去把系统做改变的事情,从《个人信息保护法》的出境上,不像原来所有的事情都要去做审批备案,其实在一些特定情况下可以通过合同的方式约定,问题不是特别大,所以短期内业务上不用做调整。
但是,我们因为参与到这些方面法规的支持工作,也会了解到还是有一定的灵活性,比如像员工的信息,一方面认可员工的信息会出境,我觉得在之后的劳动合同中要说明,因为你是在一家跨国公司工作,所以你的信息可能会被保管在全球系统,但是保管的信息不会涉及到那些跟工作没关系的信息。因为有的公司要给员工做福利计划,帮员工去买保险,那就会提供员工及其配偶及家人的一些信息,这些信息是要去提供的,这部分信息要说清楚,因为这个同意不光是员工本人同意,还涉及到有可能是儿童,给他们家的小孩子买医疗保险。但这种场景目前来看,在《个人信息保护法》下是一个比较宽容,比较接受的一个场景,我觉得不太会带来很高的安全风险。
【答复人:王新锐 安理律师事务所 合伙人】
文章来源:商业合规观察
如有侵权,联系后台删除,谢谢!
