近年,国家网络安全协调局采访了支付宝(中国)网络技术有限公司和芝麻信用管理有限公司的负责人,指出在支付宝和芝麻信用采集中使用个人信息的方式不符合国家标准精神;同时,据《纽约时报》报道称,一家名为剑桥分析(Cambridge Analytics)的公司泄露了Facebook上超过5000万的用户信息数据,联邦贸易委员会(Federal Trade Commission)发起了一项调查。
综合以上形势及近年(尤其2019-2020年)密集出台的系列相关规定,本文将特别针对呼叫中心行业企业就个人信息保护合规流程操作提供一些落地指引。
如上所述,移动互联网安全事件的频繁发生暴露了当前消费者个人信息保护的不足。
2019、2020年,对大数据行业来说是极为动荡而波折的一年,呼叫中心行业企业经营日常必然面临着大量的用户个人信息及各类型的数据处理。同时,在法律监管层面,以《中华人民共和国网络安全法》《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》为核心的制度体系不断完善,《中华人民共和国电子商务法》《最高人民法院、最高人民检察院关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》等法律司法解释及《个人信息出境安全评估办法(征求意见稿)》《数据安全管理办法(征求意见稿)》《民法典》等陆续出台及即将出台的《个人信息保护法》和《数据安全法》等等规定,均体现出国家对网络安全及数据的监管力度和深度在不断扩张,各部委联合执法专项治理行动的通知屡见报端,舆论对信息安全/数据应用的关注力度也在逐渐加强,企业或公民个人对维护数据权益的诉讼行为也日益增多。
基于上述背景,在大数据技术创新与应用日趋活跃的当下,如何对用户在使用服务过程中产生和集聚的海量数据进行安全合法的利用,成为了所有想进一步提升数据应用效率,构建业务流程闭环企业需要应对的第一个难题。
在企业数据业务及数据安全问题愈发受到重视,监管力度愈发增强的现在,企业数据业务合规是众多企业都正在面临的问题。企业如何在强监管环境下对数据业务进行合规管理,在不同行业中如何进行数据合规管理和数据保护,面临不断迭代的新技术,企业又该如何应对数据合规问题?
企业的商业运营模式及新产品设计由业务人员(主要是产品经理和技术人员)负责,业务人员通常仅考虑如何满足各项市场商业指标及需求,而不会去自觉考虑是否合规,但如果产品设计完成后,在产品落地或运营中因受到主管机关处罚或发生用户纠纷,才发现合规问题,再进行整改,那时候成本则可能非常高昂,甚至可能根本无法修改而只能将产品下架废弃,前面的努力也将付诸东流,甚至可能由此给开发者自身带来巨大的法律风险及经济损失。
因此合规人员应该尽早参与产品的开发和设计,在产品设计流程之初即将法律合规列入产品设计的重要参数。以对某产品开展个人信息保护合规为例,流程可简述为:
其次,划圈确定作为合规对象的产品在运营过程中涉及的个人信息的范畴。
最后,将上述圈画出来的两种个人信息的范围进行比对后,配合产品开发流程提出专业的合规意见,明确目前预设计的产品所涉及的个人信息范围中有哪些属于受保护的个人信息,结合这些合规意见对新产品进行进一步优化和调整。
然而,目前行业多数企业合规需求的提出,基本上都是为了满足(或者说应对)监管的需要,企业并未意识到合规的真正隐藏价值——一套优秀的合规成果,不仅能够实现满足监管目的的需求,还可以实现资源配置优化,增强产品竞争力,而且在遭遇突发事件时,若已提前设置有行之有效的法律合规联动机制,则可以帮助企业协调内外资源,及时回应舆情或监管关注。当然,这都需要合规团队有足够前沿的知识储备和商业意识作为支撑。
因此,优秀的数据合规是行业企业实现产品竞争力的有力保障,在越来越重视个人信息保护及数据合规的法律要求及监管状态下,行业企业应当格外重视商业运营及新品设计开发过程中个人信息保护法律合规的重要性及隐藏价值,以在风云变幻的市场环境中及时取得优势地位,获取市场资源,展现商业价值。
