企业如何保护“个人信息”，避免公共危机

今年“3.15晚会”对于一些手机软件及网络公司非法收集用户个人信息（PII，Personally Identifiable Information）现象的曝光，使“个人隐私”、“个人信息保护”这一话题再次成为公众、媒体评论的焦点。诚然，中国目前对于个人信息保护的立法已处于紧密进程中，但对一个已经国际化或欲进身国际化的中国企业而言，这个问题不能等到立法完善之后再来谋篇布局。
      相信“3.15晚会”后，高德公司高层的出面道歉、网易公司的沉默……都会不同程度上让这些企业的公信力及公众评价受到影响，但参与到整个“个人信息”处理链条中的，并不止这些直接收集个人信息的软件开发商、网络运营商，还有手机或终端设备的生产厂商、受委托收集个人信息的资讯公司等等。那么处于不同环节中的企业该如何建立“个人信息保护机制”，避免公共危机呢？笔者拟从一般企业对个人信息的收集、存储、使用与转移环节中的责任角度略抒浅见（专门从事征信业务的企业须遵守相关条例和规定，不在本文论述范围内）。

一、 中国目前关于“个人信息保护”的法律法规概况
      总体而言，中国虽然已经构建了以刑事、民事、行政保护为主保护个人信息的综合立法架构，但仍明显呈现出民事责任规定不详细、行政处罚不明确，各行业、各地方分别立法，缺少统一立法与执法标准的格局。随着社会各届的关注度越来越高，立法呼声亦日益增强。2012年12月28日，《全国人民代表大会常务委员会关于加强网络信息保护的决定》（以下称“《决定》”）出台；2013年2月1日起，我国首个个人信息保护国家标准——《信息安全技术公共及商用服务信息系统个人信息保护指南》（以下称“《国标》”）开始实施。
       从某种角度而言，以上两个文件就企业如何处理个人信息的活动，制订了一些基本原则，并给出了指导性意见。如《决定》确定了企业事业单位在收集、使用个人信息的活动中，应当遵循合法、正当、必要的原则；应当公开其收集、使用规则；应采取技术措施确保信息安全；未经电子信息接收者同意或者请求，不得发送商业性电子信息。
      《国标》将个人信息分为个人一般信息和个人敏感信息（例如：身份证号码、手机号码、种族、政治观点、宗教信仰、基因、指纹等），对于个人敏感信息，则需要建立在明示同意的基础上方能收集和利用，即必须首先获得个人信息主体明确的授权；《国标》还提出了处理个人信息时应当遵循的八项基本原则：目的明确、最少够用、公开告知、个人同意、质量保证、安全保障、诚信履行和责任明确。标准的出台意味着我国个人信息保护工作正式进入“有标可依”阶段。
       二、 企业在处理个人信息过程中的责任及原则
在这个信息网络发达得已经超乎我们想象的社会中，但凡需要企业与自然人接触的，都可能会涉及企业自行收集或（受）委托第三方收集用户个人信息的情况，如企业为招聘、雇用员工之目的；手机设备或电脑设备生产商为服务或推广产品、服务之目的；软件开发商为实现其产品功能之目的；资讯或公关传媒公司受客户特定委托之目的；网络服务商或运营商收集用户信息更是常态……但无论属于何种行业，处于哪个位阶，企业都需要安全、谨慎处理个人信息。
     （一）建立安全处理个人信息活动的制度、组织及技术保障
      国际化企业将“个人信息保护”视为一项非常重要的工作。这不仅是因为美国、欧盟等国家对个人信息的法律规定非常明确、严格，更重要的是，这些国际化企业深深知道，如果不恰当地处理个人信息，还会给企业带来法律以外的诸多风险，如：损害商誉、股东利益或商业合作关系；丧失客户的信任；影响雇员士气及产能；业务流失，继而导致收入和市场份额减少。
      2012年“3.15晚会”曝光了罗维邓白氏涉嫌非法采集公民个人信息并低价贩卖的内幕。5月初，作为全球最大的商业信息服务机构之一，美国邓白氏公司决定终止罗维邓白氏在中国的业务运营并已着手关停与之相关的业务。邓白氏公司于2009年收购罗维互动。2011年全年，罗维邓白氏收入为2200万美元，运营收入为200万美元。
      所以国际化企业在个人信息管理方面，都会建立比较完备的制度、规范，并利用加密等等技术手段防止未经授权的信息访问，以保障信息安全。 一般而言，其制度层面会包括：适用全球的个人信息保护规定；专门的细则（根据不同的业务目标或各国家法律规定而制订，如：为营销目的处理个人信息的管理细则、网上隐私政策等）；需遵从的相关“涉外个人信息传输协议”等。这些制度，大体会涵盖以下内容：PII及敏感PII的定义；可能涉及的业务范畴及使用目的（如HR、财务、销售、服务、市场推广、采购等）；保护PII的基本原则；收集、使用、传输、查阅或修改个人信息的标准或要求；如何存储个人信息；委托第三方处理个人信息时，如何实施有效管理……
      同时，国际化企业在全球及各区域会设置专岗专人（包括全球的Chief privacy officer以及各区域的privacy officer），进行个人信息处理的统一管理、培训、监控及日常的沟通协调工作。
      此次在“3.15”晚会期间，最致媒体诟病的是软件开发商、网络公司在用户毫不知情的情况下，使用“cookies”非法收集用户的个人信息。在国际化企业中，对于类似“cookies/clickstream”的使用，一般都有严格要求。例如，通过网站使用cookies前都会明确告知用户，并且会采取必要的技术监控措施，以确保用户不愿继续使用时，能关闭该功能。
      为确保合规运营、便于统一管理个人信息，有的公司还会专门建立处理个人信息的系统，如通过Email向用户发送EDM（Email Direct Marketing，邮件营销）信息的电子系统。通过该系统建立了一整套针对EDM营销方案的审核及评估机制，借助这个信息发送、退订及查阅、修改的统一平台，实现安全控制、使用个人信息的目的。
    （二）企业在收集、存储、转移个人信息过程中的责任及处理原则
      企业为自用目的收集个人信息时，必须关注信息主体应有的权利以及自身的责任，否则可能会面临巨大的风险及损失。2011年8月，韩国昌原市一家律师事务所代表27612名iPhone用户向苹果发起集体诉讼，指控这家美国科技巨头非法收集和储存用户地理位置信息，侵犯用户隐私，赔偿总额将达到约2600万美元。此前，韩国一名iPhone用户以苹果通过隐藏文件追踪其地理位置为由，将苹果韩国分部告上法庭，法院判处苹果向该男子赔偿100万韩元。
      简而概括之，企业在收集个人信息时至少应该注意以下几个原则：（1）收集合法、正当。企业收集个人信息时必须保证信息来源可靠；收集方式合法（如：不得使用在线自动收集、字母或数字任意组合的手段收集电子邮件地址）；收集的信息范围确有必要，凡与业务无关的，不应收集。（2）信息主体享有知情权。收集信息的企业需明确告知信息主体以下内容：收集的信息范围，使用目的与方式，保存期限，信息主体查阅、修改其个人信息的实现方法，与企业的有效联系方式等等。从形式上来说，一般会体现为企业的“隐私权声明”等法律文件或法律条款。（3）信息主体有明确的选择权。企业对个人信息能否进行收集、使用、披露等必须征得信息主体的同意，信息主体有拒绝的选择权利，并且这些选择结果（包括电子确认文件）应予明确的记录与妥善存档。
      企业在存储（保管）或转移个人信息时，需特别注意要采取必要的安全技术措施防止信息泄露，并保证信息的准确性。同时，还需遵从“三个限制”原则：（1）内部接触人员的范围受限。凡是无关人员均不得接触该等信息，仅限于为特定目的使用人员在完成内部的审批程序后方可接触该等信息；（2）保存的期限受限。严格按照承诺使用期间保存该等信息；（3）信息披露范围及目的受限。披露时不得涉及与目的无关的信息，严格限制接收方的人员范围。按照《国标》的要求，“要向个人信息主体明确告知包括但不限于以下信息：转移或委托的目的、转移或委托个人信息的具体内容和使用范围、接受委托的个人信息获得者的名称、地址、联系方式等”。
      再者，在保管个人信息过程中，企业还需向信息主体提供对其个人信息进行查阅及修改的途径。“个人信息主体要求对其个人信息进行查询时，个人信息管理者要如实并免费告知是否拥有其个人信息、拥有其个人信息的内容、个人信息的加工状态等”。
      如果委托的第三方收集个人信息不慎或不恰当，极易导致使用企业承担责任。因此，企业委托第三方收集个人信息时必须建立全链条的管控措施。一、建立事前评估、甄选机制。在开展业务前，必须对委托的第三方进行全面考查与评估，选择操作规范、业界口碑好、履约能力强、有充分技术手段保护信息安全的合作伙伴。二、进行严格的合同约束。通过严谨、明确的合同条款约定收集方的义务，包括：保证信息的来源合法可靠，其在获得个人信息前必须将信息使用目的、最终使用人等内容告知信息主体并得到其同意，采取充分、严格的保密措施保证个人信息安全，妥善保管、删除/销毁个人信息，设定严格的违约责任条款……三、事中控制与审查。可设立对第三方的工作进行调查或独立审计的权利并在过程中实施。
     （三）企业在使用个人信息过程中的责任及处理原则
      企业使用个人信息最重要的一点，就是不得超出收集个人信息时告知信息主体的使用目的、范围及方法等。这里，需要特别说明一下将个人信息用于营销目的的注意事项。
向未主动请求的用户发送的电子邮件广告、刊物或其他资料实际上就是我们常说的垃圾邮件[6]。在美国，领先的Email营销服务商Datran Media Corp就因其在明知侵犯用户隐私权的情况下，使用其它公司搜集的600万Email地址向用户发  送垃圾邮件（包括打折药品、减肥药丸等产品宣传广告），而被纽约首席检察官起诉为违法行为，最终Datran同意以110万美元罚款来修正此错误。
      根据《决定》第七条，未经电子信息接收者同意或者请求，或者电子信息接收者明确表示拒绝的，不得向其发送商业性电子信息。因此，企业在每次向个人发送商业性（营销）电子信息时，都需确保：（一）已明确获得了信息主体接收该等电子信息的确认（需有电子邮件或书面凭证）；（二）发送材料时应同时明确告知信息主体“退订”的渠道及持续有效的方式；（三）营销材料中应明示发出方的名称，并在首页附显著的“广告”标记；（四）一旦收到“退订”信息，需及时梳理个人信息名单，确保下次不得再向退订用户发送营销材料；（五）妥善保存信息主体订阅和退订营销材料的记录。
     （四）手机或电脑终端设备生产商OEM软件所涉及到的个人信息保护问题
     “3.15”晚会中关于预装软件自动收集用户个人信息的报道，还涉及到了手机或电脑终端设备生产商。有些出厂时就已经预装在硬件产品中的应用软件，用户可能不会看到任何关于信息收集的提示。有法律人士认为，这些终端厂商亦构成共同侵权。先不论这个问题是否成立，作为终端设备制作商如何避免“惹火上身”呢？首先，应通过与软件权利人签署的合同，让软件权利人作出明确担保，如：凡软件涉及到收集用户个人信息功能的，必须明确告知用户或得到用户的同意；如果因此使生产商遭受损失的，应由软件厂商承担责任。另外，终端设备制作商应通过自已产品本身所附带的产品手册或注册协议等文件，明确告知用户本公司的“隐私政策”，设立相关免责声明（软件权利人侵犯个人信息行为的，应由侵权人承担责任）等。
     重视用户个人信息，是企业对用户的足够尊重，也是给自己的必要保护。企业的自我约束与发展，不仅是能力的体现，更是诚信的彰显。保护个人信息安全，从企业自律作起，对净化行业的不良现象、促进中国法制进程都是应有之义。