摘要
循繩墨方可求曲直���,遵典章方可避禍端。從《中央企業合規管理指引(試行)》到《中央企業合規管理辦法》���,從ISO19600:2014《合規管理體係 指南》到ISO37301:2021《合規管理體係 要求及使用指南》����,企(qi)業(ye)合(he)規(gui)管(guan)理(li)工(gong)作(zuo)始(shi)終(zhong)貫(guan)穿(chuan)於(yu)企(qi)業(ye)生(sheng)產(chan)發(fa)展(zhan)的(de)全(quan)生(sheng)命(ming)周(zhou)期(qi)。各(ge)類(lei)技(ji)術(shu)服(fu)務(wu)采(cai)購(gou)作(zuo)為(wei)企(qi)業(ye)生(sheng)產(chan)經(jing)營(ying)的(de)重(zhong)要(yao)一(yi)環(huan)�,自(zi)然(ran)也(ye)應(ying)遵(zun)守(shou)相(xiang)應(ying)合(he)規(gui)管(guan)理(li)要(yao)求(qiu)。但(dan)遺(yi)憾(han)的(de)是(shi)�,或(huo)許(xu)源(yuan)於(yu)“舍小我�����,成大我”的傳統道德觀念所導致的個人權益保障的劣後性��,企業采購活動中的個人信息保護明顯缺位����,值得各法人實體高度關注。
一�、采購市場個人信息保護現狀
bizhejieheguowangjingyanrenwei�����,geqiyeyouqishiguoyouqiyezaizhaobiaocaigouhuodongzhongduishejigerenxinxibaohugongzuodechulixianzhuang�,yicaigoufangshidebutongdazhikeyifenweiruxialianglei:一是招標類采購。對於該類采購����,因有《中華人民共和國招標投標法》和《中華人民共和國招標投標法實施條例》及相關配套文件的約束���,通常招標全程較為規範����;二是非招標類采購�����,如詢價采購�、競jing爭zheng性xing談tan判pan采cai購gou。囿you於yu無wu明ming確que的de單dan獨du專zhuan項xiang法fa律lv法fa規gui約yue束shu��,則ze呈cheng現xian亂luan象xiang叢cong生sheng狀zhuang態tai���,具ju體ti表biao現xian如ru采cai購gou文wen件jian明ming確que要yao求qiu報bao價jia人ren提ti供gong團tuan隊dui服fu務wu成cheng員yuan身shen份fen證zheng複fu印yin件jian���、學曆證����、社保證明等涉及敏感個人信息的屬於過度搜集範圍的資料文件。
本文以下討論就將基於該等企業非招標類采購中涉及的敏感個人信息保護問題展開。
二���、現行個人信息保護規定
目前�����,就企業采購活動所涉及的個人信息保護的立法���,主要是《中華人民共和國民法典》(以下簡稱《民法典》)和《中華人民共和國個人信息保護法》(以下簡稱《個保法》)。
《民法典》第(di)一(yi)千(qian)零(ling)三(san)十(shi)四(si)條(tiao)規(gui)定(ding)���,自(zi)然(ran)人(ren)的(de)個(ge)人(ren)信(xin)息(xi)受(shou)法(fa)律(lv)保(bao)護(hu)。個(ge)人(ren)信(xin)息(xi)是(shi)以(yi)電(dian)子(zi)或(huo)者(zhe)其(qi)他(ta)方(fang)式(shi)記(ji)錄(lu)的(de)能(neng)夠(gou)單(dan)獨(du)或(huo)者(zhe)與(yu)其(qi)他(ta)信(xin)息(xi)結(jie)合(he)識(shi)別(bie)特(te)定(ding)自(zi)然(ran)人(ren)的(de)各(ge)種(zhong)信(xin)息(xi)�����,包(bao)括(kuo)自(zi)然(ran)人(ren)的(de)姓(xing)名(ming)�、出生日期�、身份證件號碼�����、生物識別信息���、住址�、電話號碼�����、電子郵箱���、健康信息��、行蹤信息等。個人信息中的私密信息���,適用有關隱私權的規定�;沒有規定的�,適用有關個人信息保護的規定。
《個保法》第二條規定自然人的個人信息受法律保護���,任何組織�、個人不得侵害自然人的個人信息權益。第五條規定處理個人信息應當遵循合法����、正當����、必要和誠信原則����,不得通過誤導���、欺詐�、脅迫等方式處理個人信息。第二十八條規定敏感個人信息是一旦泄露或者非法使用�����,容易導致自然人的人格尊嚴受到侵害或者人身�����、財產安全受到危害的個人信息�,包括生物識別����、宗教信仰�、特定身份�、醫療健康���、金融賬戶�、xingzongguijidengxinxi���,yijibumanshisizhousuiweichengnianrendegerenxinxi。zhiyouzaijuyoutedingdemudehechongfendebiyaoxing����,bingcaiquyangebaohucuoshideqingxingxia��,gerenxinxichulizhefangkechulimingangerenxinxi。
綜上可知�,對於采購文件中采購人所要搜集的涉及自然人的“身份證複印件�、學曆證書��、社保證明�����、勞動合同”信息涉及或可能涉及敏感個人信息。
三�����、敏感個人信息的界定與識別
《個保法》第二十八條將一旦泄露或者非法使用��,容易導致自然人的人格尊嚴受到侵害或者人身�、財產安全受到危害的個人信息均列為個人敏感信息����,並以列舉方式進行部分展示���,如生物識別�、特定身份等。
《網絡安全標準實踐指南-敏感個人信息識別指南》指出�����,敏感個人信息識別規則為符合以下任一條件的個人信息���,應識別為敏感個人信息:
一旦遭到泄露或者非法使用����,容易導致自然人的人格尊嚴受到侵害。
一旦遭到泄露或者非法使用����,容易導致自然人的人身安全受到危害。
一旦遭到泄露或者非法使用�����,容易導致自然人財產安全受到危害。
識shi別bie時shi既ji要yao考kao慮lv單dan項xiang敏min感gan個ge人ren信xin息xi識shi別bie����,也ye要yao考kao慮lv多duo項xiang一yi般ban個ge人ren信xin息xi彙hui聚ju或huo融rong合he後hou的de整zheng體ti屬shu性xing��,分fen析xi其qi一yi旦dan泄xie露lu或huo非fei法fa使shi用yong可ke能neng對dui個ge人ren權quan益yi造zao成cheng的de影ying響xiang����,如ru果guo符fu合he前qian述shu條tiao件jian����,應ying將jiang彙hui聚ju或huo融rong合he後hou的de個ge人ren信xin息xi整zheng體ti參can照zhao敏min感gan個ge人ren信xin息xi進jin行xing識shi別bie與yu保bao護hu。
因此���,身份證複印件含有個人的特定身份信息���,當然屬於個人敏感信息。學曆證書��、社保證明��、勞動合同等資料上方的姓名�����、照片��、身份證號碼�、證書編號等能構成對自然人特定身份識別的信息亦屬於敏感個人信息。
四���、敏感個人信息的處理原則
《個保法》明確“處理”包括個人信息的收集����、存儲�、使用��、加工�、傳輸�、提供�����、公開�、刪除等。處理個人信息應當具有明確���、合(he)理(li)的(de)目(mu)的(de)����,並(bing)應(ying)當(dang)與(yu)處(chu)理(li)目(mu)的(de)直(zhi)接(jie)相(xiang)關(guan)����,采(cai)取(qu)對(dui)個(ge)人(ren)權(quan)益(yi)影(ying)響(xiang)最(zui)小(xiao)的(de)方(fang)式(shi)。收(shou)集(ji)個(ge)人(ren)信(xin)息(xi)���,應(ying)當(dang)限(xian)於(yu)實(shi)現(xian)處(chu)理(li)目(mu)的(de)的(de)最(zui)小(xiao)範(fan)圍(wei)�,不(bu)得(de)過(guo)度(du)收(shou)集(ji)個(ge)人(ren)信(xin)息(xi)。
對於敏感個人信息�,《個保法》haiyaoqiuyingzaijuyoutedingdemudehechongfendebiyaoxing�,bingcaiquyangebaohucuoshixiajinxing��,tongshiyingqudegerendedandutongyi��,qieshiqianjinxinggerenxinxibaohuyingxiangpinggu���,bingduichuliqingkuangjinxingjilu�,fangkejinxingmingangerenxinxidechuli。qizhong�����,gerenxinxibaohuyingxiangpingguyingdangbaokuoxialieneirong:(一)個人信息的處理目的����、處理方式等是否合法����、正當���、必要�;(二)對個人權益的影響及安全風險��;(三)所采取的保護措施是否合法�、有效並與風險程度相適應。個人信息保護影響評估報告和處理情況記錄應當至少保存三年。
五 ��、信息處理者的責任與義務
一項企業采購活動的完成�����,通常涉及采購人��、招標代理機構�����、報價人三方。因此����,對於涉及敏感個人信息的處理���,上述三類主體均應遵守《個保法》之要求。
對采購者而言����,一旦發布的采購文件要求搜集個人身份證複印件等敏感個人信息��,其應就該搜集行為按照《個保法》的要求�����,在采購文件中以顯著方式���、清晰易懂的語言真實���、準確�、完整地向個人告知:(一)個人信息處理者的名稱或者姓名和聯係方式���;(二)個人信息的處理目的��、處理方式�,處理的個人信息種類�、保存期限�����;(三)個人行使本法規定權利的方式和程序�;(四)法律���、行(xing)政(zheng)法(fa)規(gui)規(gui)定(ding)應(ying)當(dang)告(gao)知(zhi)的(de)其(qi)他(ta)事(shi)項(xiang)。該(gai)等(deng)事(shi)項(xiang)發(fa)生(sheng)變(bian)更(geng)的(de)�����,還(hai)應(ying)當(dang)將(jiang)變(bian)更(geng)部(bu)分(fen)告(gao)知(zhi)個(ge)人(ren)。個(ge)人(ren)信(xin)息(xi)處(chu)理(li)者(zhe)通(tong)過(guo)製(zhi)定(ding)個(ge)人(ren)信(xin)息(xi)處(chu)理(li)規(gui)則(ze)的(de)方(fang)式(shi)告(gao)知(zhi)上(shang)述(shu)規(gui)定(ding)事(shi)項(xiang)的(de)�����,處(chu)理(li)規(gui)則(ze)應(ying)當(dang)公(gong)開(kai)�,並(bing)且(qie)便(bian)於(yu)查(zha)閱(yue)和(he)保(bao)存(cun)。除(chu)此(ci)之(zhi)外(wai)���,個(ge)人(ren)信(xin)息(xi)處(chu)理(li)者(zhe)處(chu)理(li)敏(min)感(gan)個(ge)人(ren)信(xin)息(xi)的(de)����,還(hai)應(ying)當(dang)向(xiang)個(ge)人(ren)告(gao)知(zhi)處(chu)理(li)敏(min)感(gan)個(ge)人(ren)信(xin)息(xi)的(de)必(bi)要(yao)性(xing)以(yi)及(ji)對(dui)個(ge)人(ren)權(quan)益(yi)的(de)影(ying)響(xiang)�����,取(qu)得(de)個(ge)人(ren)的(de)單(dan)獨(du)同(tong)意(yi)。據(ju)此(ci)�����,也(ye)不(bu)難(nan)看(kan)出(chu)����,不(bu)必(bi)要(yao)的(de)過(guo)度(du)收(shou)集(ji)個(ge)人(ren)信(xin)息(xi)的(de)行(xing)為(wei)����,使(shi)得(de)處(chu)理(li)者(zhe)必(bi)須(xu)為(wei)了(le)保(bao)護(hu)敏(min)感(gan)個(ge)人(ren)信(xin)息(xi)安(an)全(quan)而(er)付(fu)出(chu)更(geng)高(gao)的(de)成(cheng)本(ben)�����,如(ru)獲(huo)取(qu)個(ge)人(ren)的(de)單(dan)獨(du)同(tong)意(yi)��、實施更強的安全技術措施���、進行個人信息影響評估並記錄等。
如果采購活動通過委托招標代理機構進行���,那麼根據《個保法》第五十九條之規定�����,接受委托處理個人信息的受托人���,應當依照本法和有關法律��、行政法規的規定�,采取必要措施保障所處理的個人信息的安全��,並協助個人信息處理者履行本法規定的義務。
作為報價人�,如欲按照采購文件要求組織並提交報價文件��,那麼該報價人對敏感個人信息的搜集�,同樣亦應履行事前告知�、風險評估����、取得個人單獨同意���、采取保護措施等法定義務。
六�����、實踐案例
筆者通過公開渠道以“招標投標”“采購”和“個人信息保護”weiguanjianzijinxingjiansuo�,shangweisoujidaoyouguanzaizhaobiaocaigouhuodongzhongyinshejibaojiarenyifanggerenminganxinxierzuizhongchengsuqiequdefayuanpanjuedeanli。dangran�,zhegejieguobingbunengkendingqianshuguodusoujimingangerenxinxidehefaheguixing。
就拿筆者近期遇到的這個案例來講:某企業法律服務采購文件要求報價人提供擬組建的項目團隊成員的身份證複印件����、學曆證明����、社保證明�����,甚至還要求提供該團隊成員的個人勞動合同複印件。然而����,通篇采購文件卻隻字未提上述《個保法》中對信息處理者應盡的法律義務內容����,如無任何以顯著方式��、清晰易懂的語言真實����、準確�、完整地向個人告知其搜集該等個人信息的處理目的���、處理方式���,處理的個人信息種類�����、保存期限以及其形式知情權�、決定權����、查閱權�����、複製權���、刪除權等信息。
ruguozhengzaiyueduzhepianwenzhangdeniyeshiyiminglvshidehua����,dudaogaidengcaigouwenjianyaoqiushi�,buzhinishifoutongbizheyiyangdunjiaohanyichegu����,rumangcizaibei。suirandoushuoyanxiashiyigegerenxinxishujuluobendeshidai�����,danshishangshubaojiayaoqiuchengxianchuqianzaijiafangqiangliedixiangbanibagejingguangjinxingshenshidehuamiangan�,nidagaiyehuirenweiheguiyishirucizhidanbodejiafang��,queshijixuzhuanyelvshizhuqigouzhuheguifanghuoqiangba。
yanguizhengchuan。zhongsuozhouzhi���,lvshizhiyezhengshijingguojiatongyirenzhengdenenggouzhengminggerenjubeitigongfalvfuwunenglidezhuanyezizhi。zuoweizhuanyejishufuwucaigou���,yaoqiubaojiarentigongtuanduichengyuanlvshizhiyezhengshushangyizugoumanzuqicaigoumude。shenfenzhengfuyinjianxinenggoushibiegerentedingshenfendemingangerenxinxi�����,shebaozhengmingwenjianhanyougerenshenfenzhenghaomajiguowangjiaofeijiludengmingangerenxinxi����,laodonghetongfuyinjianyedangranhanyoumingangerenxinxi���,qiesanzhejunyucaigourendesoujimudebuzhijiexiangguan����、bumanzuchongfenbiyaoxingyaoqiu。zongzhi�,bizherenweiduiyugaianlizhongcaigourenduishenfenzhengfuyinjiandesoujiwanquanwubiyao����,duixuelizhengdesoujishangyoushexianqishixingqingxiangyinsu���,duishebaozhengminghelaodonghetongfuyinjiandesoujishenzhilvexianhuaji�����,genghekuangzhengtilaikangaicaigouwenjianneironghaiyufaxiangbei。
當然�,如果報價人為了獲取該筆業務��,“從”了潛在“甲方”����,那麼����,作為法律專業機構的律師事務所的行為同樣受《民法典》和《個保法》的約束���,在處理律師個人敏感信息時����,律師事務所更應注意事前對律師個人信息保護影響進行評估�����、告知�����、取得個人單獨同意����、落實個人信息保護的加密和去標識化技術處理等信息處理者的法定義務。
七 ����、《個保法》中的歸責原則
如ru上shang所suo述shu�����,雖sui然ran當dang下xia未wei發fa生sheng多duo起qi在zai招zhao標biao采cai購gou活huo動dong中zhong因yin涉she及ji報bao價jia人ren一yi方fang個ge人ren敏min感gan信xin息xi而er最zui終zhong成cheng訴su且qie取qu得de法fa院yuan判pan決jue的de案an例li���,但dan是shi���,各ge法fa人ren實shi體ti也ye不bu能neng心xin存cun僥jiao幸xing����,低di估gu違wei法fa成cheng本ben���,因yin為wei《個保法》對個人信息損害賠償責任采取過錯推定原則。
《個保法》第(di)六(liu)十(shi)九(jiu)條(tiao)規(gui)定(ding)�����,處(chu)理(li)個(ge)人(ren)信(xin)息(xi)侵(qin)害(hai)個(ge)人(ren)信(xin)息(xi)權(quan)益(yi)造(zao)成(cheng)損(sun)害(hai)��,個(ge)人(ren)信(xin)息(xi)處(chu)理(li)者(zhe)不(bu)能(neng)證(zheng)明(ming)自(zi)己(ji)沒(mei)有(you)過(guo)錯(cuo)的(de)�,應(ying)當(dang)承(cheng)擔(dan)損(sun)害(hai)賠(pei)償(chang)等(deng)侵(qin)權(quan)責(ze)任(ren)。這(zhe)就(jiu)意(yi)味(wei)著(zhe)��,在(zai)信(xin)息(xi)處(chu)理(li)者(zhe)不(bu)能(neng)證(zheng)明(ming)獲(huo)得(de)了(le)個(ge)人(ren)單(dan)獨(du)同(tong)意(yi)或(huo)符(fu)合(he)法(fa)定(ding)許(xu)可(ke)情(qing)形(xing)����,或(huo)沒(mei)有(you)按(an)照(zhao)其(qi)他(ta)條(tiao)款(kuan)規(gui)定(ding)履(lv)行(xing)特(te)定(ding)義(yi)務(wu)���,如(ru)未(wei)履(lv)行(xing)《個保法》第五十一條所規定的采取安全保護措施����,如采取製定內部管理製度和操作規程����、對個人信息實行分類管理���、采取相應的加密去標識化等安全技術措施���、合理確定個人信息處理的操作權限並定期對從業人員進行安全教育和培訓����、製定並組織實施個人信息安全事件應急預案等措施����,則極有可能被認定為存在過錯����,繼而需承擔個人信息權益損害賠償等侵權責任。
八 �、法律建議
法度既守��,方能百險自弭。在《個保法》已經實施3年有餘的情況下���,各法人實體應嚴格貫徹落實其規定要求���;建立並完善個人信息保護內部管理製度和操作規程����,優化合規製度體係����;落實個人信息保護的合規部門和崗位��,做到分工明確���、職責到人���;定期梳理本企業個人信息保護風險庫��;加強合規審計���、考核與培訓��;提高並強化個人信息保護合規意識����,避免過度處理。
