用戶數據使用合規實務指南

高杉峻：本文是熊定中律師繼《數據競爭與司法裁判》、《互聯網平台對用戶數據的權利起點》之後，互聯網數據系列文章的第三篇。這個領域的法律討論至關重要但又剛剛起步，衷心期待該領域更多的優秀稿件。

數據使用合規實務指南

作者｜熊定中（北京清律律師事務所主任、首席合伙人，微信：siberwaage）、向子瞭（北京清律律師事務所律師助理）

*本文經授權發布，僅代表作者觀點，不代表其供職機構及「高杉LEGAL」立場，且不作為針對任何個案的法律意見*

【特別提示】

1、本指南僅限於數據使用業務，並不涉及從用戶處進行的數據收集業務。用戶數據收集業務需要另行起草合規指南，且大量數據商業化使用企業並不涉及直接從用戶處收集環節，可無需考慮該部分。

2、本文供數據合規相關法律專業人員研究使用，不建議非專業人士直接使用，亦不代表本文可不做調整直接適用於企業實際運營過程而無違法違規風險。

一、個人信息相關法律制度及概念

鑒於《中華人民共和國網路安全法》《最高人民法院、最高人民檢察院關於辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》於2017年6月1日施行，配合之前已有的部分相關個人信息保護的法律法規，我國已形成了一套體系化的，從民事、行政及刑事全方位覆蓋的個人信息保護制度，個人和單位都需嚴格遵守，如有違反則各自會有相應的法律責任需要承擔。

與此同時，國家對個人信息的認識已從隱私權中獨立出來，現以概括加列舉的方式對個人信息的法律內涵進行了定義，具體而言個人信息是指以電子或者其他方式記錄的，能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息。

二、個人信息數據分類

為了便於企業對實踐中的數據使用業務進行審核，暫時可以把業務中可能接觸到的，所有跟個人屬性相關的數據分為特定、敏感和標籤數據三類，並根據收集、使用的數據類別不同，設計與業務相匹配的合規機制。

特定數據是指憑此數據就能識別到具體個人的數據，比如身份證號碼、指紋。敏感數據是指憑此數據一般公眾就可以確定其對應的是一個具體的人或者數據本身隱私性非常強的數據，比如手機號碼、個人郵箱、徵信報告，而標籤數據是指僅憑此單一數據無法確定到個人，需要多個數據相互配合的數據，比如性別、年齡、興趣愛好。

除特定數據外，其他的數據所屬類別並非恆定，如個人行動軌跡，其既有很強的隱私性也無法單獨確定到個人，因此同時具備了敏感數據和標籤數據的特徵，需要根據實際情況靈活判斷。

三、合規及風險防控要點

一般而言，企業如需在提供服務的過程中對數據進行處理，就會有接收、保管和提供三個階段，以下分別就各階段的注意要點進行介紹。

1.數據接收

不考慮企業自行進行用戶數據收集行為（不在本指南範圍），企業接收的其他數據一般是由數據提供方提供。由於數據合規業務同時涉及刑事風險防範，僅合同約定對方的合規性可能不足以防範此類風險，需要在能否進行數據接收上慎重審核，以判斷是否可以接受數據提供方的數據，尤其是在高標的、大規模商業合作中，花費一定人力物力進行小型「盡職調查」是較為穩妥的做法。實際商業運營過程中，數據接收方可根據合作層級、規模來平衡合規風險和成本，對如下列所述操作指引進行選擇性適用。

1.1數據提供方資質

考慮數據提供方是否有良好的商譽及較大的企業規模。一般而言大公司受到監管機關關注的可能性大，也有足夠的資源完善其合規制度。與其合作，數據接收方的合規工作可以視情況適當從簡。

1.2數據提供方的數據收集

1.2.1數據提供方的數據需有合法來源，首先核實對方與被收集人的《用戶協議》或有關個人隱私條款的模板（下稱「協議」）內容是否「合理」（作為數據接收方，無需對提供方進行嚴謹合規，法務人員從普通常識角度判斷即可），也即核實數據提供方所提供的數據，是否是按照在其與被收集人的協議約定而進行的收集、使用與共享。

1.2.1.1數據收集的範圍

被收集人是否明知該數據被數據提供方收集，例如協議並未涉及需要收集地理位置相關數據，但所提供的數據中卻含有該類數據，則合規性存疑。如果是收集敏感數據甚至是特定數據時，是否設有特殊的獲取同意方式，如在網站上單獨彈出窗口，需用戶主動勾選同意等。

1.2.1.2數據使用的方式

部分商業合作內容，是數據提供方要求接收方企業提供一定的數據分析或數據交換等服務。此種情況下，數據接收方企業應判斷此種服務是否與協議中已明確告知被收集人的服務內容具有關聯關係。如協議中明確表明收集數據會被用於「向您提供您可能感興趣的廣告」，則數據接收方企業向數據收集方提供廣告投放分析服務就有其合理性。也即需明確協議中是否對數據的使用規則進行了完整、清晰的說明，提供的服務不能超出協議中使用規則聲稱的直接或合理關聯範圍。

1.2.1.3與第三方共享數據的程度

即使數據的收集和使用符合以上兩點要求，因數據接收方企業對被收集人而言是第三方，且數據被收集後原則上不進行共享，基於此數據接收企業還需要考察自身是否滿足協議中針對數據共享情形設定的條件。一般而言，數據提供方會將數據與「供應商或合作夥伴」進行共享，數據接收企業就需要依據數據提供方與數據接收企業簽訂的服務合同進行判斷，雙方的關係是否符合該定義，並根據實際情況在服務合同中進行調整，以維護數據接收企業權益。進一步需要核實，協議中是否詳細說明了共享的目的，且數據接收企業提供的服務是否在該共享目的範圍內，例如數據提供方作為線上商城服務提供商，其在協議中明確告知被收集人，其會收集姓名、地址及聯繫電話用於配送商品，並提供給簽約的運輸合作夥伴，則運輸公司從數據提供方獲取被收集人的姓名、地址及聯繫電話就在協議共享目的的範圍內，屬於合法共享。

1.2.2其次可以與對方簽訂保證協議，保證其向第三方提供數據是已合法獲得被收集人授權的行為，一般而言，注重合規的公司也會要求數據接收方企業簽署與數據相關的保密或使用協議，以延續其對被收集人的做出的承諾（例如淘寶和支付寶均在隱私規則中明確承諾將會要求共享數據的第三方企業簽署數據保護協定）。但請注意，一旦查證屬實發生了侵犯個人信息的行為，以上協議無法免除數據接收方企業的行政甚至刑事責任，對於民事責任，數據接收方企業也僅僅是能通過違約責任將最終損害賠償責任轉嫁至第三方，但應當先行承擔對於被侵權方的賠償責任。

1.3數據接收範圍及形式

根據業務實際需要，僅接收必要的數據，而不是對方可以提供的所有數據，嚴格遵循最小夠用原則。同時還需要注意針對特定數據不要明碼接收，敏感數據及標籤數據需保證全部接收後無法達到確定個人的效果，否則必須減少接收的數據類型。

1.4單項業務風險評估

即使滿足以上3項要求，或數據接收企業已聘請專業人員針對單項業務進行了嚴格的風險評估，認為可以接收特定數據、能確定到具體個人的敏感數據或標籤數據，仍需考量到如果數據提供方被行政機關甚至司法機關判定為非法收集、使用或共享被收集人提供的數據，是否能夠承擔相應的法律後果，包括但不限於賠償損失、暫停相關業務、停業整頓、吊銷營業執照、對直接負責的主管人員和其他直接責任人員定罪處罰，並對單位判處罰金。

2.數據管理

2.1儲存地點及時限

2.1.1針對在中國境內（註：不含港澳台）收集或處理過的數據，必須要儲存在境內。

2.1.2如非必要，數據儲存不要超出因業務需要的時間，以免承擔過多的管理責任。同時在接到數據提供方提出刪除數據的要求時，請及時刪除或匿名化處理相關數據並留存好記錄，最後以正式的書面形式向對方回復結果，留存備查。

2.2安全制度

不同類型的數據如果泄露或被不當使用所造成的後果是不一樣的，如在刑法上針對非法獲取、出售或者提供公民行蹤軌跡信息、通信內容、徵信信息、財產信息與非法獲取、出售或者提供公民住宿信息、通信記錄、健康生理信息、交易信息的入罪數量標準就完全不一致，分別是50條和500條。因此需要根據數據與個人關聯的緊密程度設計相應的安全保障體系，將有限的資源合理分配，做到風險等級差異化管理。建議可以從以下方面著手，注意留存好書面材料以資證明。

2.2.1設立嚴格的數據使用和訪問制度，通過控制數據訪問的許可權和設定多重身份認證技術保護個人信息，避免數據被違規使用。

2.2.2對工作人員處理數據的行為進行系統監控。可以採取專門的數據和技術安全審計，設立日誌審計和行為審計多項措施。

2.2.3建立數據安全專項部門或小組，負責安全應急響應並組織推進和保障個人信息安全。

2.2.4舉辦安全和隱私保護培訓課程，並做好培訓記錄以供查驗。

2.2.5聘請外部獨立第三方對信息安全保障體系進行評估，例如ISO27001認證。

2.2.6一旦發生數據安全事件，及時向數據提供方及監管部門報告，報告內容應包含安全事件的基本情況和可能的影響、已採取或將要採取的處置措施、降低風險的建議及補救措施。

3.數據提供

3.1數據接收方評估

此時的數據接收方指的是除數據提供方外的，為數據接收企業服務提供支持的第三方。

3.1.1首先根據數據接收企業與數據提供方簽訂的服務合同內容判斷，是否需要告知數據提供方，數據接收企業還需要委託第三方參與對數據的處理。

3.1.2其次，分析數據接收方是否因自身所在行業領域的特殊性，天然持有個人信息的資料庫，可以將數據接收企業提供的數據與其自身資料庫匹配，如快遞；金融；電信；交通；賓館；購物等行業，與其進行合作就需要以高度審慎的態度進行評估，以免幫助對方補充完整用戶個人畫像。

3.1.3同時還需進一步考察對方是否在其內部設有數據隔離制度，能夠做到資料庫與資料庫之間無法關聯，這也是防止對方將接收的數據匹配到其已有的個人信息資料庫中，繼而完善了本不應由其知曉的個人信息。

若數據接收企業是將服務產生的相關數據反饋給數據提供方，因是否可以提供相應服務已在雙方簽訂服務合同前進行了合規審查，請注意按照合同的約定嚴格執行即可。

3.2數據提供範圍及形式

3.2.1注意根據數據提供方對數據接收企業的要求，與數據接收方進行相應的約定，嚴格限定違約責任。

3.2.2特定數據，需繼續保持非明碼狀態提供；敏感數據，在只有通過向外提供此數據，才能順利進行相關業務的時候提供；標籤數據，需要判斷提供的種類數量是否足以讓對方完善或補足用戶個人畫像，並酌情刪減。

3.3數據出境

針對存在與跨國公司合作，需要向境外提供數據的情況，在現有的趨勢下，為了保護好數據接收企業自身利益，首先請先在內部梳理好出境數據的性質、數量、範圍、敏感程度，準備數據出境的必要性分析，如確因服務所需而向境外傳輸的，需要核實數據提供方與被收集人之間的協議是否就該情況作出過明確告知並徵得同意，如未約定的，請務必要求數據提供方再次獲取被收集人明示同意後，再進行處理，否則將存在違法風險。因數據境外傳輸是需要向被收集人明確告知出境目的、接收方、安全保障措施、安全風險等情況並徵得同意的前提下才可進行，建議數據接收企業在與數據提供方簽訂服務協議時就進行相應的約定，以免因數據無法出境不能提供服務而承擔違約責任。同時也需要了解數據出境目的地的網路安全狀況，確保與出境數據的境外接收方形成有效的聯動機制。最後，注意保持與行業主管或監管部門進行有效的溝通，並隨時關注規則變化。

四、結語

隨著國家對大數據產業關注的深入，針對個人信息甚至用戶信息的保護趨勢也是會越來越規範化，提前做好企業內部制度的基礎建設，並隨時根據新政策新形勢調整，不僅有利於降低自身的法律風險還可以增強客戶對企業的信任感。所以說即使通過收集、使用數據並提供相關服務能夠帶來可觀的回報，但請務必注意要把相關行為控制在合法合規的範圍內，否則面臨的將會是商業上的損失甚至需承擔刑事責任。

【參考文件】

1.中華人民共和國網路安全法，主席令第五十三號，全國人民代表大會常務委員會。

2.最高人民法院、最高人民檢察院關於辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋，法釋〔2017〕10號，最高人民法院、最高人民檢察院。

3.個人信息和重要數據出境安全評估辦法（徵求意見稿），國家互聯網信息辦公室。

4.隱私條款專項評審工作指導意見，中央網信辦、工信部、公安部、國家標準委。

5.個資外泄事故的處理及通報指引，2015年10月（第一次修訂版），香港個人資料私隱專員公署。

6.信息安全技術個人信息安全規範，2017年7月24日，提交全國信息安全標準化技術委員會報批稿。

7.高德隱私權政策，2017年7月28日版本，2017年7月28日生效，http://map.amap.com/doc/serviceitem.html。

8.京東隱私政策，2017年8月20日更新，2017年8月27日生效，https://about.jd.com/privacy/。

9.支付寶隱私權政策，2017年8月23日發布，2017年9月22日生效，https://docs.alipay.com/policies/privacy/alipay。

10.淘寶網：法律聲明及隱私權政策，2017年8月21日更新，https://terms.alicdn.com/legal-agreement/terms/suit_bu1_taobao/suit_bu1_taobao201703241622_61002.html。

11.騰訊隱私政策，http://www.qq.com/privacy.htm。

12.微博個人信息保護政策（修訂版），https://m.weibo.cn/c/privacy。

推薦閱讀：