秦美虎

北京大成（蘭州）律師事務(wù)所，甘肅 蘭州 730000

一、企業(yè)經(jīng)營中涉及的個人信息及敏感個人信息

個人信息的有效保護不僅關(guān)乎對個人隱私及名譽的保護，而且是保證言論自由和思想自由的重要前提，如果個人知道會因自己的言論導(dǎo)致非難，必然會走向內(nèi)心的自我監(jiān)督，這嚴重損傷了我國《憲法》所賦予的言論自由的權(quán)利。根據(jù)《個人信息保護法》第四條以及第二十八條的規(guī)定，個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息。具體而言，企業(yè)在內(nèi)部人事管理、安全維護、日常運營、對外開展業(yè)務(wù)等過程中，接觸的包括自然人的姓名、出生年月、個人身份證件號碼、住址、電話、郵箱、醫(yī)療、行蹤等員工信息或客戶資料，均屬于個人信息，企業(yè)在對該類信息進行收集、存儲、使用、加工、傳輸、提供、公開、刪除等時均應(yīng)符合法律、行政法規(guī)的規(guī)定，并采取措施防止信息泄露、篡改、丟失。同時，上述個人信息中涉及種族、民族、宗教信仰、指紋、人臉識別信息等個人生物特征、醫(yī)療健康信息等的信息，以及不滿十四周歲未成年人的個人信息屬于敏感個人信息，法律對此類信息的保護更為嚴格，即企業(yè)只有在具有特定的目的和充分的必要性，并采取嚴格保護措施的情形下方可處理。

二、企業(yè)在經(jīng)營管理中處于個人信息處理者的法律地位

根據(jù)《個人信息保護法》第七十三條的規(guī)定，個人信息處理者，是指在個人信息處理中自主決定處理目的、處理方式的組織、個人。企業(yè)在日常的經(jīng)營管理中，無可避免地需要按照企業(yè)管理制度和流程收集、存儲、使用員工或客戶的個人信息，如在用工過程中掌握的企業(yè)員工姓名、身份信息、聯(lián)系方式、銀行賬戶等個人信息，在對外經(jīng)營中獲取的客戶信息等，這就必然會涉及自主決定處理此類個人信息的目的和方式，因此，企業(yè)在處理和使用此類信息時，顯然是處于個人信息處理者的法律地位［1］。同時，《個人信息保護法》第五十一條通過“個人信息處理者應(yīng)當根據(jù)個人信息的處理目的、處理方式、個人信息的種類以及對個人權(quán)益的影響，采取相關(guān)措施防止個人信息的泄露和丟失”的規(guī)定，對企業(yè)權(quán)力作出了限制，避免因濫用個人信息導(dǎo)致個人數(shù)據(jù)成為控制私人的一種武器，為私人帶來巨大的經(jīng)濟乃至精神損失。

三、《個人信息保護法》下企業(yè)存在的法律風險

（一）采集員工個人信息時未事先告知并取得其同意的風險

根據(jù)《個人信息保護法》第七條、第十三條、第十四條、第十五條、第十七條、第二十三條的規(guī)定，事先告知和取得個人合法有效同意是企業(yè)處理個人信息的合法性基礎(chǔ)之一。因此，企業(yè)在處理個人信息前，應(yīng)當將信息處理目的、處理方式、保存期限、個人權(quán)利行使方式和程序等事項以顯著方式，真實、準確、完整地告知員工，取得其同意，并提供便捷的撤回同意的方式。處理目的、處理方式發(fā)生變更的，應(yīng)當重新取得員工同意。若未事先征得員工同意或該同意是未經(jīng)充分告知前提下做出，將可能引發(fā)侵權(quán)風險。

（二）超出必要范圍收集、處理員工信息的風險

根據(jù)《個人信息保護法》第六條、第十條的規(guī)定，企業(yè)作為個人信息處理者在處理個人信息時，要遵循兩個“最小”一個“最短”原則，即收集使用個人信息應(yīng)當具有明確、合理的目的，并限制在對個人權(quán)益影響最小的方式和實現(xiàn)處理目的的最小范圍，不得過度收集員工及客戶的個人信息；除法律、行政法規(guī)另有規(guī)定外，個人信息的保存期限應(yīng)不超過為實現(xiàn)處理目的所必要的最短時間。企業(yè)在日常管理中，應(yīng)加強個人信息采集的事前必要性評估，慎重確定員工或客戶的個人信息獲得范圍，即需采集的信息應(yīng)視為訂立、履行合同或按照依法制定的勞動規(guī)章制度和依法簽訂的集體合同實施人力資源管理所必需等。例如為防止員工從事與工作無關(guān)的個人行為或其他不當行為等，可能對其工作過程進行監(jiān)控［2］，或者出于考勤管理的需要，在核實缺勤、安排休假、審核外勤及差旅、病假等場景中要求員工提供其行蹤、醫(yī)療記錄等，均有必要在事前進行合法性、合理性、必要性的評估，選擇對員工隱私侵犯最小的方式或采取替代性方案進行管理，并對員工進行充分的告知，有時還需獲得員工授權(quán)，避免可能的風險與糾紛。

（三）對個人信息管理不當?shù)娘L險

1.企業(yè)委托第三方機構(gòu)處理個人信息的風險。根據(jù)《個人信息保護法》第二十一條第一款的規(guī)定，企業(yè)在日常管理中，如需委托第三方處理個人信息，首先，應(yīng)在事前向涉及的員工告知接收方的名稱或者姓名、聯(lián)系方式、處理目的、處理方式和個人信息的種類，并取得其單獨同意。其次，應(yīng)通過簽訂書面協(xié)議的方式，與受托人約定委托處理的目的、期限、處理方式、信息的種類、保護措施以及雙方的權(quán)利和義務(wù)等。此外，在委托合同履行過程中，企業(yè)應(yīng)加強對受托人的信息處理活動進行監(jiān)督，使得受托人處理個人信息的目的、方式等不超出約定，否則將可能出現(xiàn)信息泄露的風險。

2.企業(yè)受托處理個人信息時操作不當?shù)娘L險。根據(jù)《個人信息保護法》第二十一條第二款、第三款的規(guī)定，企業(yè)在作為受托方處理個人信息時，應(yīng)嚴格按照約定進行，確保處理個人信息的目的、方式等符合約定，且未經(jīng)信息委托方同意，企業(yè)也不得再轉(zhuǎn)委托他人處理上述個人信息。如果根據(jù)相關(guān)法律法規(guī)規(guī)定，導(dǎo)致委托合同不生效、無效、被撤銷或者終止的，企業(yè)應(yīng)當及時將受托處理的個人信息全部返還給委托方或者予以刪除，不得擅自保留，否則，也容易引發(fā)侵權(quán)風險。

3.因公司合并、分立、解散等轉(zhuǎn)移個人信息的風險。根據(jù)《個人信息保護法》第二十二條的規(guī)定，企業(yè)如出現(xiàn)合并、分立、解散、被宣告破產(chǎn)等情形，需要轉(zhuǎn)移個人信息的，應(yīng)及時向所涉及的員工或客戶告知義務(wù)接收方的名稱或者姓名和聯(lián)系方式。企業(yè)如果是接收方，則應(yīng)繼續(xù)妥當履行個人信息處理者的義務(wù)。且處理個人信息的目的、方式與之前相比發(fā)生變化的，企業(yè)應(yīng)當重新取得所涉?zhèn)€人的同意。

4.不當公開員工個人信息的風險。根據(jù)《個人信息保護法》第二十三條的規(guī)定，企業(yè)因?qū)ν庑麄鳌I(yè)務(wù)合作等方面的需要向第三方提供員工信息或應(yīng)其他機構(gòu)要求配合披露個人信息時，應(yīng)事先向涉及的員工告知接收方的名稱或者姓名、聯(lián)系方式、處理所涉及的信息種類、方式以及處理目的，并確保取得員工的單獨同意，否則可能會出現(xiàn)侵權(quán)的風險。

5.員工離職后未及時對其個人信息更新、刪除的風險。根據(jù)《個人信息保護法》第四十七條的規(guī)定，個人信息處理者停止提供產(chǎn)品或者服務(wù)，應(yīng)當主動刪除個人信息。因此，在員工離職后，企業(yè)應(yīng)就其個人信息如何處理及時與員工本人進行協(xié)商、約定，如員工提出刪除請求的，企業(yè)應(yīng)及時對自身掌握的員工個人信息庫進行全面更新或刪除，避免侵權(quán)風險。

6.因員工死亡而忽略對其個人信息繼續(xù)妥善管理的風險。根據(jù)《個人信息保護法》第四十九條的規(guī)定，自然人死亡的，其近親屬如因保障自身的合法、正當利益需要，有權(quán)對死者的相關(guān)個人信息進行查閱、復(fù)制、更正、刪除等，企業(yè)相應(yīng)地負有在此過程中做好配合的義務(wù)，例如為死者近親屬提供死者個人信息的訪問途徑和方式，避免侵權(quán)風險。

7.對客戶信息保管及處理不當導(dǎo)致客戶信息外露的風險。根據(jù)《個人信息保護法》第二十五條、第五十一條的規(guī)定，客戶信息作為企業(yè)的重要商業(yè)秘密，是企業(yè)深入了解合作伙伴、更好經(jīng)營合作關(guān)系、不斷提升核心競爭力的有力武器。因此，在未經(jīng)客戶的單獨同意時，任何人不得公開其相關(guān)資料信息，且企業(yè)在日常管理中應(yīng)通過采取合理手段確定相關(guān)客戶資料的操作權(quán)限等措施防止員工未經(jīng)授權(quán)非法查詢客戶資料甚至泄露、篡改客戶的資料信息等行為的發(fā)生，避免喪失客戶信任導(dǎo)致客戶流失，甚至引發(fā)民事糾紛。

（四）新冠疫情中收集和使用員工個人信息的風險

在當前新冠疫情防控逐漸常態(tài)化的新形勢下，企業(yè)出于配合國家疫情防控措施和保護員工及他人健康的需要，往往需全面掌握員工與疫情相關(guān)的信息，例如員工的姓名、性別、地址、電話號碼、電子郵箱等基本個人信息，以及員工的近期旅行記錄、所乘交通工具、住宿信息、個人健康情況、隔離場所等個人敏感信息。此外，對于疑似病例，企業(yè)也有可能根據(jù)主管部門需要進一步收集疑似患者的密切接觸者（例如家人及朋友）的信息。雖然《個人信息保護法》已經(jīng)規(guī)定在“應(yīng)對突發(fā)公共衛(wèi)生事件”或者“緊急情況下為保護自然人的生命健康和財產(chǎn)安全所必需”的情形下，收集個人信息無需以取得員工個人同意為前提，但企業(yè)仍需注意遵循最小范圍原則，避免對員工信息的過度收集［3］。同時，對上述信息收集后僅限于配合疾病預(yù)防控制機構(gòu)、醫(yī)療機構(gòu)有關(guān)傳染病的預(yù)防、控制和治療工作的范圍內(nèi)使用，不得用作其他用途。

（五）使用指紋或人臉識別等方式進行安全管理的風險

根據(jù)《個人信息保護法》第二十六條、第二十八條的規(guī)定，無論是指紋認證抑或是人臉識別，都屬于敏感個人信息的一種，一旦泄露極易對當事人的人身和財產(chǎn)安全造成重大危害，甚至還可能威脅公共安全，故必須對其適用范圍進行嚴格限制，只有在具有特定的目的和充分的必要性時方能使用。如企業(yè)基于安全管理措施的需要，在門禁、監(jiān)控系統(tǒng)中添加員工個人指紋或面孔等生物識別信息時，應(yīng)當取得員工同意，如果沒有事先告知并征得員工同意，將存在侵權(quán)風險。

（六）濫用自動化決策處理客戶信息的風險

自動化決策，是指通過事先預(yù)設(shè)好的算法，借助計算機程序?qū)€人（尤其是消費者）的行為習(xí)慣、興趣愛好或者經(jīng)濟、健康、信用狀況等進行自動分析、評估以及決策的活動。根據(jù)《個人信息保護法》第二十四條、第五十五條、第五十六條的規(guī)定，企業(yè)在利用大數(shù)據(jù)對客戶信息進行自動化處理（包括但不限于商務(wù)信息推送、商業(yè)廣告營銷、產(chǎn)品服務(wù)推薦等）時，不僅應(yīng)遵守個人信息處理的一般規(guī)則，保證決策事項合法、正當、必要，決策結(jié)果公平、公正、透明，還應(yīng)當在事前就相關(guān)事項向客戶進行充分告知并取得其同意，且為客戶提供不針對其個人特征的選項，或者向其提供便捷的拒絕方式，不得擅自以其不同意為由拒絕提供產(chǎn)品或者服務(wù)，也不能因此對客戶實行不合理的差別待遇。

（七）個人信息跨境的風險

在當前經(jīng)濟全球化發(fā)展趨勢下，企業(yè)對外聯(lián)系日益緊密，尤其對跨國公司而言，經(jīng)常會面臨因內(nèi)部人力資源統(tǒng)一管理需要，對全球范圍的員工進行統(tǒng)一管理與信息處理，這就可能涉及員工個人信息的頻繁跨境傳輸問題。根據(jù)《個人信息保護法》第三十八條、第三十九條的規(guī)定，企業(yè)向境外提供員工個人信息的，需至少滿足以下條件之一方可進行：1.通過國家網(wǎng)信部門組織的安全評估；2.按照國家網(wǎng)信部門的規(guī)定經(jīng)專業(yè)機構(gòu)進行個人信息保護認證；3.按照國家網(wǎng)信部門制定的標準合同與境外接收方訂立合同，約定雙方的權(quán)利和義務(wù)。同時，企業(yè)還應(yīng)在事前就境外信息接收方的名稱和聯(lián)系方，信息的處理目的、方式、種類以及員工主張權(quán)利的方式和程序等內(nèi)容向員工進行充分告知，并征得其單獨同意。

四、《個人信息保護法》下企業(yè)如何實施有效管理和風險防范

（一）企業(yè)個人信息管理應(yīng)遵循的基本原則

1.合法、正當、誠信原則，即企業(yè)處理個人信息應(yīng)當合法、正當、必要且誠信，不能以誤導(dǎo)、欺詐、脅迫等方式處理個人信息。

2.最小程度原則，即企業(yè)處理個人信息的目的應(yīng)明確、合理，并在實現(xiàn)目的的最小范圍內(nèi)以對其權(quán)益影響最小的方式處理個人信息，避免過度收集。

3.公開透明原則，即企業(yè)處理個人信息的手段、過程等應(yīng)公開、透明。

4.完整性和準確性原則，即企業(yè)有義務(wù)保證信息處理的質(zhì)量，避免因處理不當導(dǎo)致個人信息不準確、不完整，進而對其權(quán)益造成不利影響。

5.安全保障原則，即企業(yè)負有保障所處理的個人信息安全的義務(wù)。

（二）企業(yè)實施管理和防范風險的具體方式

1.加強組織保障。隨著《個人信息保護法》的出臺，企業(yè)按照傳統(tǒng)的“管理－服從”模式已無法適應(yīng)時代發(fā)展的需要，企業(yè)管理者應(yīng)轉(zhuǎn)變管理思想，放下身段，從單一制度的制定者轉(zhuǎn)變?yōu)榫唧w制度的踐行者，尤其是《個人信息保護法》“法律責任”章明確規(guī)定，違法處理個人信息情節(jié)嚴重的，不僅要對企業(yè)實施處罰，也要對企業(yè)主管人員和直接責任人員以罰款、職業(yè)禁入等處罰措施，并記入信用檔案。有其他違法行為的，還可能承擔民事責任、遭受行政處罰甚至追究刑事責任。因此，企業(yè)管理層更應(yīng)該帶頭落實《個人信息保護法》的各項規(guī)定，大力支持相關(guān)執(zhí)行部門工作，保障企業(yè)經(jīng)營依法合規(guī)。

2.建立健全內(nèi)部管理制度和操作規(guī)程。首先，企業(yè)應(yīng)當注意根據(jù)不同類別個人信息在處理目的、方式、對權(quán)益的影響、安全風險等方面的差異，制定相對應(yīng)的管理制度和操作規(guī)程，包括但不限于：個人信息的告知、收集及使用制度，敏感個人信息的特殊處理制度，安全保護制度（包括信息傳輸、存儲等），個人信息共享、提供、轉(zhuǎn)讓規(guī)則，個人信息跨境傳輸規(guī)則，應(yīng)急預(yù)案管理制度，審計制度以及相應(yīng)的操作流程等，確保個人信息處理活動在符合法律、行政法規(guī)的框架內(nèi)進行。其次，加強動態(tài)管理，根據(jù)個人信息保護的法律法規(guī)變化和監(jiān)管動態(tài)，及時對現(xiàn)有的規(guī)章制度進行更新完善，將外部有關(guān)合規(guī)要求轉(zhuǎn)化為內(nèi)部規(guī)章制度。同時，加強從個人信息收集、傳輸、存儲到處理、刪除等各環(huán)節(jié)的銜接和涵蓋全流程的管理，嚴格注意各流程的權(quán)限管理。必要時，可以考慮從公司層面成立相關(guān)部門，并指派專人負責，保障相關(guān)制度及措施的有效實施。

3.對個人信息實施分類分級管理。企業(yè)應(yīng)根據(jù)自身經(jīng)營實際，梳理個人信息收集、使用、存儲及處理的不同場景，并在此基礎(chǔ)上，對需要處理的信息進行分級分類，針對不同情景下的不同信息制定更細化的規(guī)定，包括處理權(quán)限、流程等的區(qū)分。尤其是對敏感個人信息和未成年人（未滿十四周歲）個人信息，相關(guān)的程序和保護措施要求較之一般個人信息要更加嚴格。例如收集電話號碼與收集人臉信息時，由于后者屬于生物識別信息，屬于敏感個人信息的范疇，獲取授權(quán)時在程序上較前者要更加嚴謹。此外，如對個人信息的處理可能會對其權(quán)益產(chǎn)生重大影響時，必須在事前進行妥善、合理的評估，并對處理情況進行記錄，相關(guān)評估報告和處理情況應(yīng)至少保存三年。

4.采取安全技術(shù)措施保障信息安全。有條件的企業(yè)應(yīng)采用建立防火墻、匿名化、加密、去標識化等安全技術(shù)措施來保護其所處理的個人信息。匿名化，是指個人信息經(jīng)過處理無法識別特定自然人且不能復(fù)原的過程。通過匿名化處理后的數(shù)據(jù)，可以應(yīng)用到更多的業(yè)務(wù)場景，甚至是形成企業(yè)所獨有的數(shù)據(jù)資產(chǎn)，為企業(yè)帶來收益。

5.加強員工信息安全培訓(xùn)教育，牢固樹立信息保護意識。通過培訓(xùn)明確個人信息保護的概念與重要意義，以及泄露客戶個人信息應(yīng)承擔的法律責任，并通過不定期抽查或現(xiàn)場考試等形式倒逼員工不斷增強自我保護意識和風險防控能力。企業(yè)應(yīng)妥善保留培訓(xùn)及考核記錄，并將培訓(xùn)結(jié)果作為員工年度考核內(nèi)容之一。加強對客戶信息處理各個業(yè)務(wù)環(huán)節(jié)的控制，加強數(shù)據(jù)流向管理，并明確每環(huán)節(jié)數(shù)據(jù)保護責任人，嚴防客戶信息泄露。

6.建立健全安全事件應(yīng)急預(yù)案。企業(yè)應(yīng)結(jié)合自身經(jīng)營實際，制定或完善企業(yè)個人信息安全事件應(yīng)急預(yù)案，包括應(yīng)急響應(yīng)的組織機構(gòu)和工作機制、責任機制等，并依據(jù)預(yù)案要求定期組織實施演練。一旦發(fā)生危及企業(yè)信息安全的事件，企業(yè)及時啟動應(yīng)急預(yù)案，采取相應(yīng)的補救措施，并按照規(guī)定向有關(guān)主管部門報告。

7.開展合規(guī)審計。企業(yè)應(yīng)對自身個人信息保護制度的制定、相關(guān)規(guī)程和安全措施的有效性，個人信息處理活動監(jiān)測記錄情況，安全事件應(yīng)急處置情況，個人信息違規(guī)使用、濫用及追責情況等定期進行合規(guī)審計，確保符合法律法規(guī)要求。

8.謹慎使用自動化決策工具用于信用評估、商業(yè)營銷等活動。在自動化決策前，需進行安全影響評估（評估情況應(yīng)至少保存三年），并通過隱私政策或公告、站內(nèi)信的方式，向客戶告知自動化決策的存在、應(yīng)用場景、基本的運行邏輯及可能對個人產(chǎn)生的影響。

9.關(guān)注司法動向。由于《個人信息保護法》剛出臺，一些內(nèi)容具體如何實施仍不明確，例如，如何區(qū)分個人信息和隱私，互聯(lián)網(wǎng)企業(yè)應(yīng)如何成立外部獨立監(jiān)督機構(gòu)等。在此情況下，關(guān)注并學(xué)習(xí)相關(guān)司法解釋以及司法裁判，可以為企業(yè)如何開展個人信息保護工作提供有效的指引和導(dǎo)向，有利于企業(yè)規(guī)范合法推動個人信息保護。

10.加強特殊情形下個人信息的妥善處理。例如在遭遇新冠疫情等特殊公共衛(wèi)生事件時，企業(yè)對其收集的員工信息，應(yīng)采取嚴格的管理和技術(shù)防護措施妥善保管，防止信息被竊取或泄露。即便是因聯(lián)防聯(lián)控工作需要公開，也應(yīng)對相關(guān)信息進行脫敏處理后再行發(fā)布。

五、結(jié)語

隨著大數(shù)據(jù)時代的到來，個人信息作為一種重要的社會資源越來越被人們所重視，公民的個人維權(quán)意識不斷增強。企業(yè)作為重要的個人信息處理主體，在日常經(jīng)營中其管理權(quán)的行使難免會與員工或客戶的個人信息受保護權(quán)產(chǎn)生碰撞、摩擦，進而引發(fā)相應(yīng)的法律風險。因此，企業(yè)應(yīng)在遵守國家法律法規(guī)的前提下，采取有效措施保障個人信息不受侵犯，確保企業(yè)自身利益的最大化。