数据安全与合规治理双轮驱动

首开集团大厦                                                          ■企业/供图

　　在新时代高质量发展的战略要求下，国有企业肩负着维护市场经济秩序、保障社会公共利益的使命，依法合规经营则是履行使命的关键所在。首开集团作为市属第二批合规管理试点企业，于2020年正式启动了合规管理试点建设工作。围绕非经营性资产管理、房地产及物业经营管理、建筑工程等主营业务领域，首开集团通过建立健全合规管理制度、开展合规风险识别评估、加强合规培训与交流、完善协同审查机制以及强化监督问责等举措，开展了一系列合规建设工作。

　　当前，数字经济蓬勃发展，信息数据的价值愈发凸显。首开集团在长期经营过程中，积累了涵盖购房客户、小区业主、租赁商户、企业员工等群体的海量个人信息数据资产。这些信息数据既是企业创新服务模式、提升客户体验的宝贵资源，同时也潜藏着不容忽视的合规风险。随着信息技术的不断进步，个人信息侵权现象频发，我国相继颁布《中华人民共和国民法典》《中华人民共和国个人信息保护法》等法律，将个人信息保护的道德义务转化为法定义务。本文以个人信息保护为切入点，立足首开集团合规实践，力求为国有企业合规建设提供有益借鉴。

　　一、严守三原则，聚焦多重点：首开集团夯实个人信息保护合规专项工作基础

　　首开集团秉持全面性、适用性、有效性原则，于2021年正式启动个人信息保护合规专项工作。全面性上，覆盖全业务领域、成员企业、部门员工，贯穿个人信息全生命周期各环节；适用性上，要求各所属企业依实际制定可操作管理措施，并动态调整；有效性上，确保承诺与要求切实落地。

　　工作范围聚焦多重点，涵盖集团公司及其全资、控股子公司和实际控制单位。重点关注自然人产权人、购房人等主体，聚焦员工合规、市场营销、物业服务、App使用、商业合作及大数据分析等领域的个人信息保护，全方位保障个人信息安全。

　　二、六类风险精准梳理，多维隐患全面剖析：首开集团明晰个人信息保护挑战

　　（一）非法获取个人信息的风险

　　为达成业绩指标，部分企业或员工存在非法获取个人信息的风险。以房地产行业为例，在项目营销环节，未经客户同意采集人脸信息等非法获取行为时有发生，尤其在市场低迷、销售压力增大的情况下，此类风险显著增加。此外，企业未经个人信息主体同意，通过第三方获取信息也属于违规行为，其表现形式多样，既包括直接付费收买，也涵盖以合作、中介、代理等名义间接获取。非法获取个人信息属于严重违规行为，企业不仅会面临行政处罚、民事诉讼甚至刑事追责，直接责任主管人员和相关责任人也可能被追究刑事责任，企业声誉也将受到损害。

　　（二）非法提供个人信息的风险

　　企业收集、存储的个人信息极具商业价值，常成为第三方非法获取的目标。即便企业减少与第三方的商业合作，员工的个人行为也可能引发信息泄露风险。此类违规行为不仅表现为倒卖个人信息，还包括以合作、中介、代理等名义，向第三方泄露个人信息。非法提供个人信息属于严重违规行为，其法律后果与非法获取个人信息相同。除配合司法调查、政府防疫流调等法定情形外，未经个人信息主体同意向第三方提供信息，均存在法律风险。即使司法机关认定为员工个人行为，企业也可能因管理疏漏面临行政处罚和民事诉讼，声誉也会受损。

　　（三）App等信息工具设计和使用不合规的风险

　　为提升客户服务体验，部分企业在业务开展过程中广泛运用App、小程序等工具收集个人信息，这类工具设计与使用是否合规是监管执法的重点，其中主要关注未经同意收集使用以及违反必要原则两类违规行为。

　　未经用户同意收集和使用个人信息情形包括：在用户同意前就进行收集或开启权限；用户不同意仍强行收集；频繁征求同意从而干扰用户使用；实际收集的信息超出授权范围；以非明示的方式征求同意；未经同意更改权限状态；定向推送未提供非定向选项；用欺诈手段误导用户同意；不提供撤回同意的途径；违反声明规则收集和使用个人信息等。

　　违反必要原则收集无关信息的情形包括：收集信息或开启权限与业务功能无关；因用户拒绝非必要的信息收集就拒绝提供业务功能；App新增业务功能收集超原有同意范围，且用户不同意就拒绝提供原有业务功能（新增取代原有情况除外）；收集频度超出实际需求；以改善服务等为由强制用户同意；要求一次性同意多项权限，用户不同意就无法使用等。

　　以上情况一旦被监管部门查处，相关App可能会被限制使用甚至下架，企业也会受到行政处罚，进而业务正常运营和客户满意度产生影响。

　　（四）个人信息保管不当风险

　　企业在个人信息保管环节存在三类风险，主要包括：

　　1.电子文档保管风险：企业收集的个人信息多以电子文档形式存储于办公、业务管理和客户服务信息系统，或存储在办公电脑硬盘中。若信息系统安全性不达标，无法满足网络安全和数据安全要求，极易引发个人信息意外泄露、公开、被盗、篡改及损毁等风险，企业将面临行政处罚、民事诉讼，声誉也会受损。使用办公电脑硬盘存储，数据安全风险更高，一旦监管部门检查发现企业数据安全管理存在漏洞，可能予以行政处罚；若发生数据泄露事件，处罚将更为严厉。

　　2.纸质文档保管风险：部分个人信息以纸质文档生成，或由第三方移交，虽其数据安全风险低于电子文档，但如果保管不善仍可能出现信息意外泄露、公开、被盗、篡改和损毁等风险。

　　3.超期保留风险：当前，许多企业未明确个人信息的保留期限，常采取默认永久保留的做法，这既违背了“合理必要”原则，也进一步加大了数据安全风险。

　　（五）第三方机构的违规风险

　　在业务运营过程中，部分企业常常与中介、代办、服务外包等第三方机构开展合作。这些机构在代表企业收集、使用个人信息或者在接触个人信息的过程中，若出现内部管理不善、违规操作等情形，比如信息泄露、私自滥用信息等，企业作为信息控制者，可能会因管理不当承担连带责任，进而面临法律风险和声誉损失。

　　（六）违规营销风险

　　企业未经个人信息主体同意，向其发送营销信息（即“垃圾短信”或“骚扰电话”），或者在对方要求停止发送后，仍继续推送，这种行为极易引发客户投诉，损害客户关系，导致企业遭受行政处罚，对品牌形象产生负面影响。

　　三、五措并举固防线，多管齐下护安全：强化个人信息保护合规建设之思考

　　由于企业经营业态和管理模式不同，个人信息保护的内容和形式也不尽相同。笔者基于个人信息保护合规管理领域对企业的基本要求，建议企业采取以下管理措施加以应对：

　　（一）明确个人信息保护合规管理目标

　　个人信息保护是道德义务与法定义务交叉的领域，虽然近年来立法、执法和司法解释有了较大发展，但在理论和实务方面都存在很多争议问题，各企业在实践中的做法也有较大差异。企业应在总部层面明确个人信息保护的合规立场，并在各相关下属企业层面，结合经营管理实际明确具体的合规管理目标，例如：企业应在诚信合规准则等纲领性文件中申明管理层对个人信息保护的态度和原则。

　　（二）明确个人信息保护合规管理职责

　　个人信息保护适用合规管理“三道防线”的一般原则，即业务部门是合规风险防范的第一道防线。企业应在总部层面和各二级企业层面明确个人信息保护合规牵头管理部门；若企业已经设立了合规管理部门，则由该部门负责牵头管理；若尚未设立合规管理部门，则应由不承担业务职能的中立部门负责牵头管理，以避免出现职责冲突。

　　（三）持续关注合规义务的发展变化

　　我国关于个人信息保护的相关法律规范仍在不断出台和更新，不同社会舆论也在相互碰撞。企业应持续关注这些变化，及时调整合规管理目标、风险判断标准和管理措施，避免成为违规典型案例，同时也要避免“因噎废食”而阻碍业务发展。

　　（四）在相关下属企业开展深化合规风险评估

　　个人信息保护义务的承担主体不限于企业总部层面。企业总部在明确个人信息保护基本原则和管理模式后，应要求下属企业结合经营管理实际，深化合规风险评估，识别与个人信息保护合规风险相关联的业务流程、环节、岗位和人员，提高个人信息保护举措的针对性和可操作性。

　　（五）落实合规管理措施

　　适用于个人信息保护的具体合规管理措施包括但不限于：

　　1.开展全面合规审查，对涉及个人信息收集使用的业务模式、流程、制度、App功能等进行审查。

　　2.规范个人信息及隐私协议。非法定豁免情形下，收集个人信息前需获得主体同意，使用App收集应遵循相关规范。

　　3.明确合规条款，在商业合作等项目合同中约定交易对方的合规责任义务。

　　4.加强合规培训，要求接触个人信息的员工参加合规专项培训。

　　5.完善管理制度，制定专项制度，明确个人信息全生命周期管理的原则、职责与程序。

　　6.强化保密管理，实施内部保密信息分级管控、权限控制与档案管理。

　　7.做好数据安全管理，盘点电子存储的个人信息数据资产，评估并改进安全措施。

　　8.制定个人信息意外泄露应急响应预案，明确分级处理与响应程序，全方位保障个人信息安全。

　　四、四步扎实推进，筑牢信息屏障：首开集团个人信息保护专项工作成果显著

　　首开集团分四个阶段有序推进个人信息保护合规专项工作，目前已取得系统性、阶段性成果。

　　“梳台账，清底数”，各部门、子集团及事业部全面完成个人信息处理全流程梳理，实现集团内信息管理底数全覆盖。

　　“查风险，明隐患”，集团总部法律合规部牵头组织跨部门风险评估，协同各单位识别潜在合规风险点，形成风险清单与应对策略，为精准防控提供依据。

　　“立规范，强管理”，根据对集团内53家单位的调研结果，结合个人信息的业务场景、信息主体、信息收集目的、收集类型等要素，以《中华人民共和国个人信息保护法》为蓝本，形成《首开集团个人信息保护合规指引》，经多轮意见征集后正式发布。

　　“广宣贯，严督查”，通过开展专项培训，推动指引落地见效；同步完成对子集团、事业部的全面检查及三级以下成员企业的抽样核查，切实保障合规要求在基层有效落实。

　　个人信息保护是合规建设的重要组成部分，也是企业践行社会责任、提升品牌形象的必然要求。首开集团通过开展个人信息保护专项合规实践，彰显了其在合规经营方面的坚定决心和积极作为。在未来发展中，首开集团将继续秉持依法合规的经营理念，持续优化合规管理体系，不断探索创新合规管理模式，为企业的高质量发展筑牢坚实的合规防线，同时也为行业的合规发展贡献首开的智慧和力量。