21世纪经济报道 见习记者钟雨欣 北京报道
“生鲜电商第一股”每日优鲜近期频频传出“坏消息”。
7月28日,有网友曝出每日优鲜“就地解散”,对此,每日优鲜回应称在实现盈利的大目标下,公司对业务及组织进行调整,部分员工离职。在“解散”传闻发生之前,每日优鲜App曾因“超范围收集个人信息”且未按要求完成整改,被工信部通报。
年报“难产”、股价大跌、业务暂停、员工讨薪……每日优鲜多次登上热搜,站在舆论的风口浪尖。在其风波背后,还有一些延伸问题值得思考:当身陷困境之时,互联网平台应如何合规处理用户数据?如何避免数据安全风险?
数据安全问题不可忽视
据北京市消协网站,针对近日“每日优鲜”无法正常经营引发大量消费者投诉【进入黑猫投诉】的情况,8月4日下午,北京市消协约谈北京每日优鲜电子商务有限公司,并要求每日优鲜务必妥善处理消费者投诉,及时公布退费方案和登记方式;积极配合消协组织的工作;三个工作日内将情况说明和整改方案书面反馈至市消协。8月12日,每日优鲜称已向北京消协提交整改方案。
据国家企业信用信息公示系统显示,每日优鲜旗下两家子公司,北京每日优鲜科技有限公司、上海每日优鲜电子商务有限公司,因登记的住所或者经营场所无法联系,分别被当地市场监督管理部门于8月1日、8月3日列入经营异常名录。此外,浙江每日优鲜电子商务有限公司于8月4日进行注销备案,注销原因为决议解散,现正在进行债权人公告,债权人自公告之日起45日内可向清算组申报债权。
四面楚歌,风雨欲来,等待每日优鲜的是溃败还是重生,仍不得而知。一个不可忽视的问题是:当拥有海量用户信息的互联网平台身陷危机之时,如何保障其数据安全?
《个人信息保护法》第二十二条就企业因合并、分立、解散、被宣告破产等特殊情形下转移个人信息的情形,做出了提供方的告知义务及信息接收方应继续履行相关义务的规定:“个人信息处理者因合并、分立、解散、被宣告破产等原因需要转移个人信息的,应当向个人告知接收方的名称或者姓名和联系方式。接收方应当继续履行个人信息处理者的义务。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意。”
浙江垦丁律师事务所合伙人李晋沅表示,对于互联网企业来说,用户数据往往构成其核心资产的重要组成部分。“当互联网企业停止经营,根据《个人信息保护法》等法律法规,对于用户提供的原生数据,企业需要停止使用并销毁,而经过企业再加工后形成的衍生数据在进行脱敏处理后,可以作为数据资产进行转移。”
建立健全数据合规长效机制
“互联网平台会因不同业务而涉及到很多种类的个人信息数据,在日常经营中需要对数据进行分类分级处理,涉及到金融类的数据如用户银行卡信息则需要更高层级的保护。”李晋沅向21世纪经济报道记者表示。
《个人信息保护法》规定,个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。此外,《个人信息保护法》对企业内部管理制度和操作规程、分类管理、安全技术措施、操作权限、教育培训、个人信息安全事件应急预案等也作出相关要求,强调企业对于个人信息保护的主体责任。这意味着企业作为个人信息处理者,需要在个人信息的全生命周期完善合规保障措施,弥补相应环节短板。
互联网平台拥有大量商业经营数据和个人信息数据,在日常运营中需要筑牢数据保护屏障,一旦发生泄露情况,对个人权益和企业商业运营都将造成不良影响。
据广州市公安局,今年7月广州一家技术公司在开发一款App系统后,因未履行数据安全保护义务,导致该系统安全漏洞被不法分子利用,1070余万条公民个人信息面临泄露风险,被警方行政立案,罚款5万元。
该公司开发的“驾培平台”存储了驾校培训学员的姓名、身份证号、手机号、个人照片等信息1070万余条,但并未建立数据安全管理制度和操作规程,对于日常经营活动采集到的驾校学员个人信息未采取去标识化和加密措施,系统存在未授权访问漏洞等严重数据安全隐患。有关部门表示,该公司系统平台一旦被不法分子突破窃取,将导致大量驾校学员个人信息泄露,给广大人民群众个人利益造成重大影响。根据《数据安全法》的有关规定,广州警方对该公司未履行数据安全保护义务的违法行为,依法处以警告并处罚款人民币5万元的行政处罚。这是广东警方适用《数据安全法》的首批案例之一。
相关警方特别提醒:网络安全事关国家安全,所有单位与个人都有保护数据安全的责任与义务,特别是持有、掌握大量公民个人信息的单位,更应该严格依法采取保护措施,有效保障公民个人信息安全。
如果相关信息被泄露,个人应当如何维权?李晋沅表示,在实践中个人通过自身力量维权可能面临维权成本高、维权周期长等问题,《个人信息保护法》设置了公益诉讼条款,加强了对侵犯个人信息行为的法律规制。未来个人信息保护公益诉讼与私益诉讼需要做好衔接,形成保护合力。
据最高人民检察院工作报告显示,2021年我国检察机关共办理个人信息保护领域公益诉讼2000余件,同比上升近3倍。2021年4月,最高人民检察院发布检察机关个人信息保护公益诉讼典型案例,包括浙江省杭州市余杭区检察院诉某网络科技有限公司侵害公民个人信息民事公益诉讼案等11件。发布透露,对互联网企业未履行个人信息管理和保护义务的,检察机关将通过公益诉讼要求其承担公益损害责任,推动落实企业主体责任。
数据安全是数字经济发展不可忽视的议题。近年来,《网络安全法》《数据安全法》《个人信息保护法》等相关法律法规加速落地,配套的相关规则不断完善,企业谈论数据安全的语境也在发生变化。“企业正在从被动配合转向主动合规,越来越多的企业积极参与到各类标准建设当中,发挥技术优势,为数据安全贡献力量,形成良性互动,促进行业共同发展。”李晋沅表示。
(作者:钟雨欣)