第二节 要管理的数据处理活动太多了:覆盖数据全生命周期
白晓萌萌在厘清了数据保护覆盖的对象为个人信息后,需要进一步了解数据合规工作的范围。从信息技术的本质而言,个人信息是一个或几个字段,即数据。如“01010202,F,click,2021-04-21 9:26:00”,该行数据根据自定义的数据结构,含义为“ID是01010202,性别为女,在2021年4月21日9点26分发生了一次点击行为”。数据有自己的生命周期,如图1-2所示[1],从逻辑上可以简单分为数据收集、使用、存储、披露至销毁。使用“数据全生命周期”的框架,一方面符合数据的基本规律,另一方面可以帮助数据合规人员全面梳理企业处理个人信息的活动,进而分阶段评估和处置相应的个人信息保护风险。
图1-2 数据全生命周期
1.数据收集
数据收集是指获得个人信息的控制权的行为,包括由个人信息主体主动提供,通过与个人信息主体交互或记录个人信息主体行为等自动采集,以及通过共享、转让、收集公开信息等间接获取个人信息等行为。如果产品或服务的提供者提供工具供个人信息主体使用,提供者不对个人信息进行访问,则不属于本标准所称的收集。例如,离线导航软件在终端获取个人信息主体位置信息后,如果不回传至软件提供者,则不属于个人信息主体位置信息的收集[2]。需要提示的是,如果产品或服务提供者提供工具,虽然个人信息不会上传到服务器,但是在本地能访问、处理,即享有控制权,则仍然属于收集个人信息。例如,部分App读取用户移动设备剪贴板的内容,构成数据收集。
数据收集从来源可以分为自主收集和从第三方间接获取两种。企业自主收集个人信息的,如在服务中要求用户提供账号名和密码用以创建账号,则应满足知情同意、合法、必要、正当等原则。若企业从第三方间接获取,如广告主收到广告发布平台收集的用户浏览点击广告行为,则应进一步了解第三方收集数据的合法性以及用户授权范围等。
数据收集从用户感知程度可以分为积极收集和消极收集两种。积极收集是用户可感知的,如用户自主提交的账号、个人信息档案等。消极收集是指用户相对无感的收集,如产品或服务自动采集的GPS位置、人脸信息等。例如,2021年3·15晚会上曝光某些线下门店使用具备人脸识别功能的摄像头,准确掌握用户到店情况、浏览商品情况,以及性别与年龄等,用以精准推销。用户对这种消极收集的感知更弱,数据收集中更应该履行充分告知义务。
2.数据使用
数据使用没有具体的定义,一般概括为除了存储和销毁以外的其他处理活动。这类活动一般都是基于收集时的目的或功能,若超出该目的,则需要另行告知用户且经过用户同意。数据使用的处理活动可能根据其活动的特性有所不同,如数据清洗、数据建模、数据分析等,从个人信息保护角度需要特殊关注的主要是用户画像、个性化展示以及数据汇聚。在数据使用过程中,应采取适当且必要的安全保障技术和组织措施。
3.数据披露
数据披露并非是严谨的法律概念,而是从技术逻辑角度描述将数据提供给特定和不特定的第三方,可能包括共享、转让和公开披露。
共享是个人信息控制者向其他控制者提供个人信息,且双方分别对个人信息拥有独立控制权的过程[3]。例如,支付服务提供商将订单支付结果提供给电子商务平台,而支付结果在支付服务提供商和电子商务平台有其各自的目的,因此也拥有独立控制权。
转让是将个人信息控制权由一个控制者向另一个控制者转移的过程[4]。例如,A企业独立运营的产品收集了个人信息,后来A企业被B企业并购,该产品的运营方变成B企业,则收集的这些个人信息从A企业转让给了B企业。
公开披露是指向社会或不特定人群发布信息的行为[5]。例如,用户主动在社交媒体上公布其个人相关信息,包括手机号码、家庭住址等。
数据披露环节从风险防控的角度理解,增加了参与数据处理活动的主体,个人信息保护风险可能有所增加。因此要求企业在发生数据披露时应当充分履行告知义务,包括接收个人信息的第三方名称或类型、披露个人信息的类型、披露个人信息的目的等,并经过用户同意。而且企业应当与第三方之间定义相互的义务和因个人信息保护而承担的责任等。
4.数据存储
数据存储一般是指将个人信息存储到一定的介质上。数据存储环节主要关注的是存储期限。个人信息存储期限应当根据数据收集的目的、法律规定以及用户意愿等确定,该存储期限或存储期限的确定规则应当告知用户。
同时数据存储环节也会关注存储所采用的技术措施,如是否进行了去标识化,是否针对敏感个人信息予以加密等。
5.数据销毁
法律规定和国家标准中可能会使用“数据删除”,但是“数据销毁”一词相对来说更准确,它明确指向个人信息的彻底删除,而非仅是加密或者简单覆写。因为后两种情况可能会存在数据恢复后造成个人信息泄露的风险。在数据存储期限届满或用户行使注销账号等权利时,应当进行个人信息销毁。
[1] Travis D. Breaux, An Introduction to Privacy for Technology Professionals, 2020。
[2] 《信息安全技术 个人信息安全规范》(GB/T 35273—2020)第3.5条。
[3] 《信息安全技术 个人信息安全规范》(GB/T 35273—2020)第3.13条。
[4] 《信息安全技术 个人信息安全规范》(GB/T 35273—2020)第3.12条。
[5] 《信息安全技术 个人信息安全规范》(GB/T 35273—2020)第3.11条。