企業顧問實務
王鯤
邦盛律師事務所
合夥人
韓香莉
邦盛律師事務所
律師
物
聯網技術的快速發展,使大量智慧裝置在衣食住行等日常生活及社會生產中得到廣泛應用。與此同時,隨著中國《個人資訊保護法》(下稱《個保法》)的出臺與相關配套規章制度及標準的逐步完善和落地,物聯網企業在使用者個人資訊處理活動的全生命週期方面迎來了巨大的挑戰。本文將從多個方面探討物聯網企業在個人資訊保護合規過程中所面臨的具體挑戰及其應對之道。
個人資訊收集。根據中國個人資訊保護相關法規,物聯網企業在獲取個人資訊時,須遵循合法、正當、目的明確原則和最小化處理原則,不得過度收集和獲取使用者個人資訊。大多數物聯網裝置需透過移動網際網路應用程式(App)獲取使用者的知情同意,依賴隱私政策、書面同意宣告、使用者註冊協議等方式。對此,相關物聯網企業需注意同時遵循《網路安全標準實踐指南——移動網際網路應用程式(App)收集使用個人資訊自評估指南》等相關法規,如必須提供使用者自主同意或拒絕的選項,為使用者提供撤回同意收集個人資訊的途徑和方式,在個人資訊使用目的、方法及範圍等發生變化時再次徵得使用者同意等。
此外,在無法獲得使用者同意或授權時,物聯網企業還應在法律法規允許的情況下,採取技術手段和方式獲取去標識化的非個人資訊,避免影響使用者的正常使用和與該許可權無關的業務功能,以防降低業務功能的服務質量。
資料儲存、傳輸。根據中國《個保法》及《個人資訊出境安全評估辦法》(下稱《評估辦法》)等規定,關鍵資訊基礎設施運營者和處理個人資訊達到國家網信部門規定數量的個人資訊處理者,應當將個人資訊儲存在中國境內。因此,物聯網企業在處理使用者個人資訊時,應綜合考慮以下因素來確定資料儲存地:業務服務內容是否涉及國家關鍵資訊基礎建設或國家秘密;處理個人資訊的數量以及使用者權利保護的要求;資料傳輸成本和跨境傳輸的必要性;所適用的法規是否要求資料本地化儲存等。
如果涉及使用者個人資訊跨境傳輸,企業應當透過國家網信部門組織的安全評估。若企業違反《評估辦法》的規定,未經安全評估擅自向境外提供個人資訊,將依法承擔相應的法律責任及懲罰措施,包括且不限於罰款、暫停或撤銷相關業務許可等。同時,企業還需採取必要措施,確保境外接收方在處理個人資訊時符合中國《個保法》。
此外,物聯網企業還應關注使用者個人資訊的儲存期限。中國《個保法》未明確規定個人資訊的儲存期限,僅限定為實現處理目的所必要的最短時間,即除法律、行政法規另有規定外,當企業停止服務或不再需要使用者個人資訊時,應及時採取刪除或清除等措施。
識別和處理敏感個人資訊。近年來,多款品牌的智慧家電產品相繼出現資訊洩露的安全漏洞,其中智慧掃地機器人的“監視事件”更是為物聯網裝置資訊安全保護敲響了警鐘。識別和處理敏感個人資訊是物聯網企業處理使用者個人資訊的重中之重,一旦使用者的個人敏感資訊被洩露或非法使用,可能容易侵害使用者的人身安全、財產安全甚至人格尊嚴。
2024年9月,全國網路安全標準化技術委員會發布的《網路安全標準實踐指南——敏感個人資訊識別指南》(下稱《指南》),為《個保法》第二十八條第一款關於敏感個人資訊的規定提供了實踐指引,也為企業在識別、處理和保護敏感個人資訊方面提供了重要參考。其中,企業需要特別注意生物識別資訊(生物特徵識別資訊)。這類資訊,如人臉、聲紋、指紋、掌紋等,是透過技術處理自然人的物理生物或行為特徵而獲得的,能夠單獨或與其他資訊結合識別該自然人身份的個人資訊。生物識別資訊廣泛應用於智慧門鎖、智慧音箱等物聯網裝置,在開啟門鎖、語音遙控、解鎖電腦等便利性功能上發揮重要作用。
物聯網企業在收集及處理該類個人資訊時,除保證使用者個人資訊的準確性和完整性外,還應採取去標識化或採取技術手段進行加密保護或隔離,以達到使用者個人資料的脫敏和分類分級。
救濟措施。目前,不少物聯網企業正在逐步搭建資料合規管理體系,以規範公司在資料收集、使用、處理和傳輸等環節的操作流程。在搭建資料合規管理體系時,企業還應特別考慮在收集、使用、傳輸等環節中,若因網路安全或意外情況導致使用者個人資訊的洩露、毀損、丟失等事故時,應採取的救濟措施以及使用者可獲得的救濟途徑。
物聯網企業應建立內部緊急預案,並在事故發生時,以電話、郵件、簡訊、公告等多種方式通知或提示可能受到影響的使用者採取必要措施,對可能擴大的損失進行補救或預防,並將事故相關情況及時上報相關政府監管部門,將風險控制在有限範圍內。
作者 | 邦盛律師事務所合夥人王鯤、律師韓香莉
本文刊載於《商法》2025年2月刊,原標題為“物聯網企業個人資訊處理之挑戰與應對”。如欲閱讀電子版,歡迎瀏覽《商法》官網。
長按掃碼關注我們
為了讓您第一時間獲取專業法律資源
請常點“在看”
並將“CBLJ 商法”設為星標
閱讀原文檢視更多邦盛律師事務所的相關內容
