任买科技推动数据整治大潮下个人信息数据合规

任买科技守夜人，是我们的法务Team.大家对法务的印象是什么？戴着黑框眼镜、呆板、僵化、严肃？其实不是。任买科技拥有一支战斗序列的法务，他们正像守夜人军团一样守卫着任买科技业务前、中、后端的各个阶段。他们来自传统金融行业、新兴科技金融领域。他们每天与业务、政策、技术摸爬滚打在一起，say Yes 也say NO，他们严肃论证、尽心守卫。

最近几个月，数据服务行业迎来了行业寒冬，多家第三方数据服务公司因涉嫌侵犯公民个人信息被调查，其余未被调查的从业公司也陆续下架爬虫服务，数据行业内部人人自危，对于严重依赖数据开展业务的公司，如何在做到保证业务正常进行的同时又保护好客户的个人信息、保护好公司及员工的安全，成为整个行业需要思考的一个问题。

一、个人信息及其性质

“个人信息”,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、出生日期、身份证件号码、个人生物识别信息（指纹、虹膜等）、住址、电话号码、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。

某一信息或某些信息能够识别出特定的自然人或特定自然人活动的，那么这些信息属于个人信息，反之则不是个人信息。敲黑板：经过处理无法识别特定个人且不能复原的除外，所以，对原始个人数据及时加工处理使之不能与个人对应的就不是个人信息了。

如何明晰个人信息和公司资产二者界限，涉及到数据的性质及权属问题。数据不像实物或者知识产权，有明确的权属划分，个人信息归个人所有的同时，还有可能被其他自然人/法人知悉、存储、使用，这种被多个主体同时享有的可能性也是公司数据资产的来源。正是数据所具有的这种非排他性、非独占性的特质，使其在权属及使用上面会存在诸多的权属不明确、边界不清晰的情况。一旦越界，就可能触犯信息所有权人的合法权益，甚至触犯刑法。为了合法合规的使用数据，法律和监管政策向我们提出了数据合规的要求。

二、个人信息数据合规要求

（一）权责一致原则

信息控制者需对其个人信息处理活动负责，需对自身行为进行自限，需要对个人信息主体合法权益造成的损害承担责任。

信息控制者在收集、使用个人信息时要在法律和客户的授权范围内收集、使用。

存储客户的个人信息，需要信息控制者建立健全的个人信息管理制度及稳健、安全的存储系统，管理制度中需要明确具体的负责人、权限、哪些人员可以接触哪些数据、调取使用数据的流程及范围等。

（二）目的明确原则

信息控制者收集及使用个人信息，需具有合法、正当、必要、明确的个人信息处理目的。

信息控制者在收集信息是有明确的合法、正当、必要的用途，例如打车类APP为了能向客户提供基本服务，需要客户提供手机号、个人位置等信息，但如果没有任何合理理由，而要求客户提供其他信息，如房产信息、电商平台交易信息，则违背了正当原则。

（三）选择同意原则

信息控制者需向个人信息主体明示个人信息处理目的、方式、范围、规则等，征求其授权同意。

网站、平台或其他信息控制者在收集个人信息时应符合法律法规的要求，经客户同意才能获取客户的个人信息，不能未经客户授权而窃取客户个人信息；不得欺诈、诱骗、强迫客户提供个人信息；不得隐瞒产品或服务所具有的收集个人信息的功能；不得非法从其他组织或个人收集、购买个人信息。

信息控制者在使用个人信息时，应在客户授权范围内使用，信息控制者在收集客户个人信息时，应公开其收集个人信息的范围、方式及使用用途的规则，信息控制者在收集到客户个人信息后，应当按照该规则进行使用，不得超出客户已授权范围。若信息控制者更换其服务事项或扩展服务范围，超出了客户的原授权范围，则需要客户再次授权其个人信息。

部分信息控制者在收集客户个人信息后，除了提供基础服务外，往往通过短信或邮件的形式对客户进行商业营销。那么信息控制者除了需要在收集客户个人信息规则中，增加会对客户进行商业营销的内容外，还需要在营销内容中，向客户提供明确的退订或拒绝途径，方便客户取消。

若将客户个人信息进行匿名化处理，处理后无法识别特定自然人，则处理后的信息可提供给第三方，无需再次经过客户同意或授权。

存储客户的个人信息应有具体的期限，客户在授权给信息控制者时往往明确了授权期限，超出授权期限时，信息控制者应删除该客户个人信息，或进行匿名化处理，处理后的信息无法识别出特定客户。

2018年5月1日开始实施的《信息安全技术个人信息安全规范》中，要求通过注册账户提供服务的个人信息控制者，应向客户提供注销账户的方法，且该方法应简便易操作。同时要求，客户注销账户后，个人信息控制者应删除其个人信息或做匿名化处理。

举个例子：2018年年初，支付宝公布了一年一度的用户“个人账单”，却引来不小风波，原因是在账单首页中，有一行特别小的字，“我同意《芝麻服务协议》”，并且已经帮支付宝的用户勾选好了“同意”选项，而协议条款内容则涉及“你允许芝麻信用收集你的支付宝使用信息”，意图将支付宝及芝麻信用的数据进行打通共享。2018年1月6日，网信办约谈支付宝（中国）网络技术有限公司和芝麻信用管理有限公司的有关负责人。网信办负责人指出，支付宝、芝麻信用未通过明显位置展示及客户明确授权的方式收集使用个人信息的方式，不符合刚刚发布的《个人信息安全规范》国家标准的精神，违背了其前不久签署的《个人信息保护倡议》的承诺；应严格按照网络安全法的要求，加强对支付宝平台的全面排查，进行专项整顿，切实采取有效措施，防止类似事件再次发生。

支付宝的这种做法没有给客户明确的提示，也没有给与客户选择同意的权利，是对客户本身权益的侵犯。

（四）最少够用原则

除与个人信息主体另有约定外，只处理满足个人信息主体授权同意的目的所需的最少个人信息类型和数量。目的达成后，应及时根据约定删除个人信息或将个人原始信息进行匿名化处理。

信息控制者收集客户的个人信息应是与其提供服务或产品有直接关联性的，没有该信息则无法向客户提供服务或产品。例如打车类APP采集客户的手机号、个人位置等信息后，即能向客户提供其所需服务，那不能再采集其他无关信息。

需要注意的是，部分APP在收集客户个人信息时，往往写的范围过于宽泛，不够明确，具体，例如部分APP的用户隐私协议或隐私条款中，约定收集“个人全部相关信息”，而没有结合具体的应用场景或提供的服务范围，没有明确具体收集哪些信息，这就违反了“正当”及“必要”的原则，需要调整隐私协议或隐私条款。

对于外接的第三方数据公司，要做到充分尽调，尽可能的保证外接数据的安全性；对于自己采集的数据，要遵循选择同意、最少够用等原则，保证自有数据的来源合规性。

举个例子：工信部信息通信管理局部署下，中国互联网协会召开手机APP收集和使用用户个人信息情况专家评议会。会上通报，通过技术检测及用户举报发现，多款APP疑似存在过度收集用户敏感信息以及未经用户同意收集使用用户个人信息的行为。QQ音乐、网易新闻、携程旅行等明星应用都登上“黑榜”，听歌APP要“看”用户短信，新闻APP要“听”用户录音，看书APP要知道用户位置，明明和所提供的服务没什么关系，却强行收集，认为数据多多益善。但是，过度收集或者未经授权收集就是非法收集，监管部门已经对这些过度收集行为say no.

在数据作为生产资料、甚至作为生产力的全球大背景下，数据共享是历史发展的必然，在这个过程中，如何正确、合理、适度、规范的使用数据，是一个长期的、需要各方努力探索的过程。