华诚数据 | 大数据公司的数据合规误区与应对 张丹 华诚律师事务所 前言 2016年以来,互联网金融的发展带来了个人信息在信贷领域的滥用,魔蝎、新颜、白骑士、聚信立等大数据公司纷纷陷入侵害用户个人信息权益的泥沼,同盾、拉卡拉也未能幸免于难。为保障个人信息安全,打击套路贷和暴力催收,监管在2020年初又释放出打击大数据公司或金融科技公司非法数据业务的信号;而2020年7月12日发布的《商业银行互联网贷款管理暂行办法》中也强调商业银行不得与违规收集和使用个人信息的第三方开展数据合作。 面对监管力度的强化,大数据公司如何把握数据合规风险以及如何应对,本文针对个人信息的收集、存储、使用阶段不同的合规风险进行分析并给出建议。 正文 大数据公司意指,有能力采集、分析、处理批量数据,并将数据处理结果为其他企业提供信息技术咨询服务的公司,该类公司还能协助客户构建数据模型、进行数据资产交易,以及提供个人信息分析结果的服务。提供该等服务的公司可能为金融科技公司、助贷机构、征信机构亦或信息科技公司等。
采集环节
存储环节
使用环节
1. 通过用户提供的账号密码采集信息时,首先尽量不使用该种方式采集用户个人信息,如果场景需要必须采集时,注意以显著方式告知用户采集的信息范围、使用方式和目的以及信息存储期限,并获得用户的明示授权同意;同时注意不超范围采集信息,尤其是多主体信息以及信息所属平台的数据。
2. 在与第三方合作获取信息时,应要求第三方说明个人信息来源,并对其说明的来源进行合法性确认,应了解第三方获得的个人信息主体的授权同意范围,是否可能超范围转让共享,如开展业务所需进行的个人信息处理活动超出授权范围,应重新获得授权,涉及敏感信息时,还应获得明示授权。
3. 在向第三方提供信息时,注意审查第三方的使用目的,是否存在定向诈骗、推送黄赌毒广告、进行套路贷的暴力催收等侵害公民、法人、其他组织,甚至是国家利益的情形,如存在该等情形,则企业应将该类企业排除出合作名单。
4. 个人信息应加密传输和存储,注意API接口的安全性,同时应设置访问权限控制,操作日志记录以及敏感操作预警,防范信息系统安全,还应对技术人员进行安全意识培训、考核,必要时获取相应的资格证书。
5. 在使用爬虫等自动化手段获取信息时,应注意不绕开防护措施、不违反robots协议,如使用技术手段强行侵入被爬信息系统,有可能构成破坏计算机信息系统罪、非法获取计算机信息系统罪或非法控制计算机信息系统罪,即使未达到刑事责任,也有可能由于对被爬系统数据权益的侵害而构成不正当竞争。除此之外,还应注意合理使用被爬的公开信息,避免对个人信息主体权益造成损害。
6. 在将个人信息委托处理、转让共享、公开披露时,将基于不同目的的个人信息汇聚融合时,信息系统使用自动化决策机制时,第三方产品或服务接入时以及对个人信息匿名化和去标识化进行效果评估时,都应进行个人信息安全影响评估。PIA的作用在于可以尽早发现个人信息处理过程中存在的安全风险,减少管理成本和法律费用,同时也可以证明企业遵守了相关法律法规和标准的要求,减轻或免除相关法律责任。
7. 应定期进行安全审计,建立自动化审计系统,检测记录个人信息处理活动,对个人信息保护机制、安全措施等进行评估审计,对个人信息获取途径及使用目的进行审计,对相关制度的有效性及可操作性进行审计,及时处理审计过程中发现的个人信息违规使用滥用情况,并保存审计记录。
结 语
本网站之内容旨在提供有关华诚的一般信息。本网站之内容不得被视为与访问者建立律师-客户关系,也不视为是为任何具体事宜提供法律意见。网站访问者应向律师咨询以获得专业法律意见。 对于任何争议的特定事实和情况,在没有获得恰当的法律或其他专业意见之前,本所客户和其他网站访问者不能将华诚网站上的任何信息作为采取行动与否的依据。