信息化觀察網(wǎng)

全面數(shù)字化轉型為運營商帶來嶄新發(fā)展機遇的同時，也引發(fā)一系列合規(guī)問題，企業(yè)面臨前所未有的法律風險和嚴峻挑戰(zhàn)。在數(shù)字化轉型的過程中，合規(guī)建設和風險防控已成為當務之急，在疫情防控常態(tài)化情形下，需要認真研判外部法治環(huán)境和數(shù)字化轉型對合規(guī)管理的新要求，通過推進依法合規(guī)管理體系建設，實現(xiàn)合規(guī)管理組織體系健全、制度體系完備、工作流程規(guī)范、管控措施到位，聚焦助力企業(yè)數(shù)字化轉型和高質量發(fā)展。

健全數(shù)據(jù)信息安全合規(guī)管理制度

運營商全面數(shù)字化轉型，面臨全新商業(yè)模式的變革、全新業(yè)務流程再造、全新營商環(huán)境和法治環(huán)境的適應，企業(yè)的依法合規(guī)和風險防控顯得十分重要，比任何時候都需要法律的支撐，傳統(tǒng)的法務管理方式面臨挑戰(zhàn)，依法合規(guī)管理制度建設具有舉足輕重的作用。

《民法典》適應互聯(lián)網(wǎng)、大數(shù)據(jù)時代對信息通信權利保護的需要，是指導運營商依法數(shù)字化轉型的指南，對運營商具有重大影響?！睹穹ǖ洹访鞔_：個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等。國家針對個人信息泄露和濫用的問題，加快立法完善個人信息保護的法律制度。備受社會關注的《中華人民共和國個人信息保護法（草案）》已經(jīng)提請十三屆全國人大常委會第二十二次會議審議；全國信息安全標準化技術委員會制定發(fā)布《個人信息安全規(guī)范》《大數(shù)據(jù)服務安全能力要求》等國家標準。

運營商掌握大量數(shù)據(jù)信息，在開發(fā)產(chǎn)品、處理個人信息中承擔著保護個人信息安全的責任和義務，需要依照法律法規(guī)和國家標準的強制性要求，建立健全企業(yè)內部個人信息安全管理制度，包括個人信息處理文檔化管理制度、個人信息分級授權管理機制、個人信息安全風險等級評估制度、個人信息安全事件應急機制等。

針對用戶數(shù)據(jù)信息管理的重要崗位、重點領域環(huán)節(jié)，建立健全崗位職責，加強關鍵崗位人員權限管控，形成集事前防范、事中控制和事后救濟于一體的閉環(huán)管控機制，切實把控用戶數(shù)據(jù)信息收集和使用的合規(guī)行為?！毒W(wǎng)絡安全法》明確規(guī)定：“網(wǎng)絡運營者收集、使用個人信息，應當遵循合法、正當、必要的原則。”運營商在提供產(chǎn)品和服務時使用“用戶信息”關鍵要解決好合法性問題，主要通過依據(jù)法律規(guī)定、合同約定、授權同意等方式獲得。企業(yè)從業(yè)人員、外包人員必須通過法律培訓、考試上崗，對關鍵崗位人員工作權限、賬號權限進行嚴格管控，簽訂安全保密協(xié)議和依法合規(guī)行為承諾書，確立嚴禁非法提供、出售用戶信息的法律紅線。

運營商應當將“用戶信息收集和使用審查”納入企業(yè)內部控制制度管理流程，使大數(shù)據(jù)各項業(yè)務流轉活動互相聯(lián)系、互相制約及程序流轉規(guī)范。內控環(huán)節(jié)的責任確保遵循所有相關適用的法律規(guī)范，未遵循相關適用的法律規(guī)范，導致用戶信息泄露、法律訴訟、經(jīng)濟損失及被司法行政機關查處等風險事件，對違法違規(guī)行為當事人按照相關規(guī)定進行追責。

在個人信息終止使用后，應當停止對個人信息進行收集和使用，并提供注銷號碼或賬號的服務；不得泄露、篡改、毀損、出售或者非法向他人提供個人信息。

依法承擔數(shù)據(jù)信息安全的合規(guī)義務

合規(guī)義務包括對法律法規(guī)的遵守、對企業(yè)內部規(guī)章制度的遵守、對商業(yè)道德和社會責任的遵守等。運營商承擔著數(shù)據(jù)安全、數(shù)據(jù)脫敏處理、數(shù)據(jù)跨境流動、網(wǎng)絡信息內容生態(tài)治理和關鍵信息基礎設施運營者主體責任五個方面的合規(guī)義務。

確保數(shù)據(jù)信息的安全。一是重視數(shù)據(jù)信息安全保障。基于數(shù)據(jù)信息安全防護手段和措施能力不足，突出表現(xiàn)為數(shù)據(jù)處理不規(guī)范，在對外合作中提供未脫敏的數(shù)據(jù)；缺乏安全管控制度流程，對收集的用戶數(shù)據(jù)未在內網(wǎng)進行處理，造成數(shù)據(jù)泄露風險事件；對資質和能力審查不嚴，使用存在漏洞的第三方開源程序，數(shù)據(jù)安全無法保障。二是嚴控數(shù)據(jù)信息使用范圍。運營商應當建立數(shù)據(jù)安全管理責任制度，制定標識賦碼、科學分類、風險分級、安全審查規(guī)則，確保國家關鍵信息基礎設施的自主可控、穩(wěn)定安全。在新冠肺炎疫情防控常態(tài)化下，個人信息迅速傳播轉發(fā)，醫(yī)療數(shù)據(jù)和個人信息泄露、超范圍使用較普遍，未經(jīng)被收集者同意公開個人信息的情況時常發(fā)生，保護數(shù)據(jù)信息安全的任務十分繁重。三是防止數(shù)據(jù)信息泄露、毀損、丟失。在大數(shù)據(jù)產(chǎn)品開發(fā)的數(shù)據(jù)交易中，必須高度重視數(shù)據(jù)安全和信息泄露的法律風險管控，確保其收集的個人信息安全，防止數(shù)據(jù)信息泄露、毀損、丟失，防范因違規(guī)承擔的法律責任。

嚴格實行數(shù)據(jù)脫敏處理。數(shù)據(jù)脫敏是指對用戶個人敏感信息通過脫敏規(guī)則進行數(shù)據(jù)的變形，實現(xiàn)敏感隱私數(shù)據(jù)的可靠保護，可以直接幫助企業(yè)實現(xiàn)依法合規(guī)使用，有效防范個人敏感信息泄露的風險。運營商在數(shù)據(jù)產(chǎn)品開發(fā)和對外使用過程中，對于經(jīng)用戶個人同意收集的信息，應當進行脫敏處理，隱去用戶名稱、IP地址等可以直接指向或對應到用戶個人身份的信息。在數(shù)據(jù)產(chǎn)品開發(fā)應用領域，大量存在著諸如手機號碼、交易記錄、通話記錄、賬戶、住址、征信等個人敏感信息，在使用過程中面臨著嚴格的監(jiān)管要求，承擔著有效保護的法律責任。數(shù)據(jù)脫敏實施規(guī)則主要有兩種情況：一是網(wǎng)絡運營商和互聯(lián)網(wǎng)公司自身需要，量身定制適合自己的數(shù)據(jù)脫敏工具，在使用用戶個人信息數(shù)據(jù)進行用戶行為分析、個性化推薦、精準營銷時，必須采取數(shù)據(jù)脫敏手段。二是為了滿足大數(shù)據(jù)產(chǎn)品開發(fā)應用的需要，運營商和互聯(lián)網(wǎng)公司將掌握的用戶個人信息數(shù)據(jù)，通過數(shù)據(jù)脫敏處理這一關鍵環(huán)節(jié)后提供給合作伙伴及相關客戶，并將數(shù)據(jù)安全解決方案一起提供給客戶。

加強數(shù)據(jù)跨境流動的管控。由于各國對個人數(shù)據(jù)信息保護標準不一致，造成數(shù)據(jù)在全球范圍內不受限制地流動，缺乏安全可信的在線環(huán)境，導致數(shù)據(jù)隱私和網(wǎng)絡信息安全法律風險加大，加強管控責任重大。數(shù)字經(jīng)濟快速發(fā)展在加速個人數(shù)據(jù)全球流通和融合的同時，也形成數(shù)據(jù)的黑色產(chǎn)業(yè)鏈，離境數(shù)據(jù)被惡意利用和買賣的現(xiàn)象頻發(fā)，很多網(wǎng)絡攻擊和網(wǎng)絡犯罪都是跨國、跨境行為。我國《網(wǎng)絡安全法》提出個人信息和重要信息的流動應遵循本地化存儲和管理的原則，需要跨境流動須進行安全審評并上報相關部門批準。

關注網(wǎng)絡信息內容的生態(tài)治理。國家互聯(lián)網(wǎng)信息辦公室發(fā)布的《網(wǎng)絡信息內容生態(tài)治理規(guī)定》，明確網(wǎng)絡生態(tài)治理的對象是網(wǎng)絡信息內容，主要涉及內容生產(chǎn)者、內容服務平臺和內容服務使用者三類主體，重點規(guī)范了三類主體及網(wǎng)絡行業(yè)組織的權利與義務。作為制作、復制、發(fā)布網(wǎng)絡信息內容的組織或者個人，應當遵守法律法規(guī)，遵循公序良俗，特別是網(wǎng)絡信息內容服務平臺企業(yè)應當履行信息內容管理主體責任。作為使用網(wǎng)絡信息內容服務的組織或者個人，應當按照法律法規(guī)的要求和用戶協(xié)議約定，切實履行相應的法律義務，對網(wǎng)上的違法和不良信息內容有義務以投訴、舉報等方式行使監(jiān)督權。

關鍵信息基礎設施運營商的特殊義務。《網(wǎng)絡安全法》在具體實施中關鍵信息基礎設施保護是核心內容之一，運營商亟須構建關鍵信息基礎設施保障體系，加強合規(guī)體系建設，承擔主體責任和義務。中央網(wǎng)絡安全和信息化委員會正在研究制定《關鍵信息基礎設施安全保護條例》，將從法規(guī)上建立關鍵信息基礎設施的保護主體責任和管理制度。關鍵信息基礎設施履行的安全保護義務包括設置專門的安全管理機構和安全管理負責人，并對該負責人和關鍵崗位人員進行安全背景審查；制定網(wǎng)絡安全事件應急預案，采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施；制定內部安全管理制度和操作規(guī)程，確定網(wǎng)絡安全負責人，落實網(wǎng)絡安全保護責任等。

嚴格用戶個人信息使用的制度流程

認真遵循法律法規(guī)關于保護個人信息安全的相關規(guī)定，合理界定提供數(shù)據(jù)信息的范圍，嚴格執(zhí)行網(wǎng)絡運營商的制度流程，做到依法合規(guī)，重點把握好以下幾點。

對外提供應當依法取得用戶個人同意。用戶個人同意的方式可以在與網(wǎng)絡運營商的《業(yè)務服務協(xié)議》中事先約定，也可以另行取得同意或通過短信方式同意。

明確提供用戶個人信息的使用限制。一是運營商對外合作提供的必須是脫敏數(shù)據(jù)信息，合作伙伴負有保密義務，不得以任何方式提供給第三方使用。二是運營商通過對用戶個人信息進行收集和脫敏處理、加工后形成數(shù)據(jù)分析報告等交付件或成果，對此享有使用權和知識產(chǎn)權，在與合作伙伴簽訂的合同中應當明確權利歸屬。三是征信機構作為特殊的數(shù)據(jù)信息提供方，需要特別關注征信機構的資質情況。征信機構有權對企業(yè)、事業(yè)單位等組織的信用信息和個人的信用信息進行采集、整理、保存、加工，并向數(shù)據(jù)信息使用者提供。

加強對外合作合同的合法性審查。針對數(shù)據(jù)信息的收集、加工、存儲、分析、利用和對外提供而開展的經(jīng)營活動，必須重視對外合作合同的合法性審查。一是合同重要條款包括：嚴格審查對方資質資信條件和技術方案；要求合作方遵循相關信息安全管理的辦法和大數(shù)據(jù)流程，接受考核；重視侵權處理，對于合作方發(fā)展大數(shù)據(jù)業(yè)務引發(fā)的用戶投訴或侵權糾紛等，要求具備能夠妥善處理的能力；明確約定個人信息數(shù)據(jù)的使用范圍及用途對象，防止數(shù)據(jù)被非法用于其他途徑或被泄露的責任追究等。二是對外提供匿名化個人信息合同，應當審查合作方的個人信息安全保護措施、能力和水平，與合作方書面約定該個人信息為匿名化個人信息，要求其不得嘗試復原匿名化信息的可識別性。三是認真評估拓展數(shù)據(jù)信息業(yè)務涉及的法律關系，推出的數(shù)字業(yè)務做到法律審查全覆蓋，依法制定涉及關鍵數(shù)據(jù)的用戶信息和個人隱私的保護方案。

規(guī)范社會代理商的用戶信息管理和查詢行為。一是運營商有義務幫助社會代理商開展依法合規(guī)教育，普及用戶信息保護的政策法規(guī)要求。社會代理商對用戶信息負有安全保密責任，除非法律規(guī)定或者征得運營商書面同意，社會代理商及代理網(wǎng)點不得向第三方提供、披露或泄露相關用戶個人數(shù)據(jù)信息。二是在簽訂社會代理商合作合同時，必須明確約定違規(guī)違法泄露用戶信息的法律責任和賠償內容，加大對社會代理商用戶信息保護工作的考核管理力度。運營商與外包服務供應商簽訂服務協(xié)議時，需要明確其保護用戶個人信息的職責和保密義務，明確用戶個人信息泄露的補救手段與責任追究、保證用戶個人信息安全的承諾和措施。三是外包協(xié)議終止后，需要監(jiān)督外包服務供應商及時銷毀因外包業(yè)務而獲得的用戶個人信息。與外包服務供應商簽訂的保密協(xié)議（保密條款），需要明確約定外包服務供應商的保密義務不因外包服務的終止而終止。

法定機構的用戶信息查詢。運營商需要分清查詢“一般用戶信息”和“用戶通信內容”所對應的不同法定機構再進行配合調查。司法機關調取和查詢用戶數(shù)據(jù)與通話內容等信息，實行法定原則，是法律法規(guī)賦予的權力。

我國現(xiàn)行法律法規(guī)有權查詢“一般用戶信息”的有公安機關、檢察機關、國家安全機構、人民法院、監(jiān)察機關、政府價格主管部門、政府統(tǒng)計機構和國務院證券監(jiān)督管理機構等法定機構。公安機關、檢察機關、國家安全機構和監(jiān)察機關四個法定機構有權對短信內容、通話記錄等涉及用戶通信秘密的“用戶通信內容”進行查詢，且只能因為法律規(guī)定的事由進行查詢，并按照規(guī)定程序進行。

法定機構的用戶信息查詢需要把握的幾點：一是防止泄露用戶信息和侵犯用戶隱私。運營商向無權查詢的國家機關提供查詢或向有權查詢的國家機關超范圍提供查詢，將面臨侵犯用戶通信自由和通信秘密的風險。二是避免被查詢司法機關處罰。運營商無正當理由拒絕向有權查詢的國家司法機關提供查詢信息，例如《民事訴訟法》第一百一十四條規(guī)定可對其主要負責人或者直接責任人員予以罰款；對仍不履行協(xié)助義務的，可以予以拘留。三是調取用戶信息必須符合法定原則。人民法院在調取個人電子信息和數(shù)據(jù)時，必須確保公民隱私權不受非法侵害，區(qū)分一般個人信息與通信內容的個人隱私。《監(jiān)察法》第十八條規(guī)定，監(jiān)察機關及其工作人員對監(jiān)督、調查過程中知悉的國家秘密、商業(yè)秘密、個人隱私應當保密。

強化個人信息保護的審查

重視用戶協(xié)議內容約定和個人信息保護條款審查是確保運營合規(guī)的基礎。運營商涉及使用和提供用戶個人信息的，必須在與用戶簽訂的《業(yè)務服務協(xié)議》中明確雙方相關的權利和義務?！稑I(yè)務服務協(xié)議》應當包含的內容有：

運營商對通過辦理業(yè)務獲得的用戶個人資料和信息數(shù)據(jù)負有保密義務，工作人員泄露用戶個人信息屬于違法行為。法定機關依法對用戶個人資料和信息數(shù)據(jù)調查取證的，運營商有義務配合。

通過格式條款取得用戶個人書面授權或同意的，應當在授權書或協(xié)議中明確適用向第三方提供用戶個人信息的目的、范圍、內容等，在協(xié)議的醒目位置明確提示該授權或同意可能產(chǎn)生的后果。

運營商可以使用用戶資料和通信數(shù)據(jù)，但僅限于為建立與用戶的溝通渠道、改善服務工作質量或業(yè)務營銷等用途，并負有保密義務。

用戶應當按照協(xié)議約定的時間和方式及時、足額交納通信費用；客戶不交納通信費用的，運營商可以采取信函、電話、訴訟或委托第三方等形式進行追欠，也可按照有關規(guī)定向銀行等征信機構提供用戶欠費信息。

關注運營商免責條款，因第三人違法犯罪行為（包括但不限于通過改號軟件等實施網(wǎng)絡詐騙）或其他網(wǎng)絡運營商無法控制的意外情況，給用戶個人造成直接或間接損失的，運營商不承擔賠償責任。

建立與行政司法機關的溝通機制

運營商應當加強與司法及行政部門的交流溝通，爭取更多的法律支持和業(yè)務指導。根據(jù)《民法典》和網(wǎng)絡信息安全新法律法規(guī)的實施及立法動向，運營商應當與司法及行政部門建立正常的溝通聯(lián)系機制。針對可能發(fā)生和已經(jīng)出現(xiàn)的法律風險重點領域，定期舉行分析研討會，解讀數(shù)字化轉型發(fā)展涉及的新政策和新法律規(guī)定，剖析典型案例暴露出企業(yè)依法合規(guī)方面存在的漏洞及需要改進的方面。在溝通中及時了解和掌握法院司法審判動態(tài)、行政保護原則、政府部門監(jiān)管要求，有效防范和化解數(shù)字化轉型業(yè)務運營中的法律風險，確保數(shù)字化轉型發(fā)展的依法合規(guī)。

總之，互聯(lián)網(wǎng)和數(shù)字經(jīng)濟時代，努力構建依法合規(guī)管理科學體系，建立健全有效的法律風險防范機制，有助于運營商在構建新的運營管理體系和數(shù)字業(yè)務商業(yè)模式中處理好各種法律關系，促進數(shù)字化轉型的健康發(fā)展。