用户个人信息保护合规法律问题前沿及流程指引 —— 呼叫中心行业企业，这些你都知道了么？

客户世界 | 2020年12月29日 | 客世原创 | 评论已关闭 | 1121

据工信部最新数据统计显示，截至2020年10月，中国三大运营商移动电话用户总数已达 16 亿户统计，移动宽带用户（3G和4G用户）总数约为13亿户，占手机用户总数的81.25%。随着移动互联网的发展和各种移动应用的兴起，手机已成为人们日常生活中不可缺少的工具。但随着近年来互联网安全事件的爆发，各种应用在给用户带来了便利的同时，其背后的用户权利和个人信息保护问题逐渐引起了消费者的密切关注。

近年，国家网络安全协调局采访了支付宝（中国）网络技术有限公司和芝麻信用管理有限公司的负责人，指出在支付宝和芝麻信用采集中使用个人信息的方式不符合国家标准精神；同时，据《纽约时报》报道称，一家名为剑桥分析（Cambridge Analytics）的公司泄露了Facebook上超过5000万的用户信息数据，联邦贸易委员会（Federal Trade Commission）发起了一项调查。

综合以上形势及近年（尤其2019-2020年）密集出台的系列相关规定，本文将特别针对呼叫中心行业企业就个人信息保护合规流程操作提供一些落地指引。

一、呼叫中心行业企业用户个人信息等数据合规法律问题前沿态势

如上所述，移动互联网安全事件的频繁发生暴露了当前消费者个人信息保护的不足。为了加强对网络平台的全面调查，防止类似事件再次发生，有效保护公民的个人信息安全，中国于2017年颁布了《中华人民共和国网络安全法》，自《网络安全法》实施以来，国家对网络安全进行了全面调查。国家网信办、国家发改委、工信部、公安部、国家安全部、国家市场监督管理总局以及消费者救助系统等单位在全国开展了一系列针对个人信息的专项检查和整改行动，惩处违法违规行为，同时加强公众对个人信息保护的重视。2017年12月29日，中国国家标准化管理委员会正式发布GB/T 35273-2017《信息安全技术个人信息安全规范》（以下简称《个人信息安全规范》），将于2018年5月1日起实施，以国家标准的形式，将《安全技术规范》（以下简称《个人信息安全规范》）；2020年4月13日，十二部委联合发布《网络安全审查办法》等等一系列规章制度（具体详见《客户世界》2020年11月刊《呼叫中心2020新政前沿及法律解读》一文）规定了个人信息收集、保存、使用和共享的合规性要求，并为网络运营商制定隐私政策和改进内部控制提供指导。

2019、2020年，对大数据行业来说是极为动荡而波折的一年，呼叫中心行业企业经营日常必然面临着大量的用户个人信息及各类型的数据处理。同时，在法律监管层面，以《中华人民共和国网络安全法》《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》为核心的制度体系不断完善，《中华人民共和国电子商务法》《最高人民法院、最高人民检察院关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》等法律司法解释及《个人信息出境安全评估办法（征求意见稿）》《数据安全管理办法（征求意见稿）》《民法典》等陆续出台及即将出台的《个人信息保护法》和《数据安全法》等等规定，均体现出国家对网络安全及数据的监管力度和深度在不断扩张，各部委联合执法专项治理行动的通知屡见报端，舆论对信息安全/数据应用的关注力度也在逐渐加强，企业或公民个人对维护数据权益的诉讼行为也日益增多。

基于上述背景，在大数据技术创新与应用日趋活跃的当下，如何对用户在使用服务过程中产生和集聚的海量数据进行安全合法的利用，成为了所有想进一步提升数据应用效率，构建业务流程闭环企业需要应对的第一个难题。

在企业数据业务及数据安全问题愈发受到重视，监管力度愈发增强的现在，企业数据业务合规是众多企业都正在面临的问题。企业如何在强监管环境下对数据业务进行合规管理，在不同行业中如何进行数据合规管理和数据保护，面临不断迭代的新技术，企业又该如何应对数据合规问题？

二、呼叫中心行业企业运营及新产品设计开发中用户个人信息保护合规法律流程指导

企业的商业运营模式及新产品设计由业务人员（主要是产品经理和技术人员）负责，业务人员通常仅考虑如何满足各项市场商业指标及需求，而不会去自觉考虑是否合规，但如果产品设计完成后，在产品落地或运营中因受到主管机关处罚或发生用户纠纷，才发现合规问题，再进行整改，那时候成本则可能非常高昂，甚至可能根本无法修改而只能将产品下架废弃，前面的努力也将付诸东流，甚至可能由此给开发者自身带来巨大的法律风险及经济损失。因此合规人员应该尽早参与产品的开发和设计，在产品设计流程之初即将法律合规列入产品设计的重要参数。以对某产品开展个人信息保护合规为例，流程可简述为：

首先，根据个人信息保护的相关法规和国家标准以及未来的前沿态势，确定受保护的个人信息的范围及未来市场与法律监管的预见性。

其次，划圈确定作为合规对象的产品在运营过程中涉及的个人信息的范畴。

最后，将上述圈画出来的两种个人信息的范围进行比对后，配合产品开发流程提出专业的合规意见，明确目前预设计的产品所涉及的个人信息范围中有哪些属于受保护的个人信息，结合这些合规意见对新产品进行进一步优化和调整。

综上，呼叫中心行业企业在运营及新产品设计开发环节中，作为企业法律合规人员懂得分析法规、厘清与拟设计的新产品的合规范围及法律要求仅仅是第一步，合规人员还需与产品经理精诚合作、密切配合，懂得分析产品，并在合规基础上协助调整、优化产品，合规的思考视角需要依据商业逻辑而非固有的法律逻辑，这一点对企业合规人员或聘请的外部顾问律师提出了更高的要求。

然而，目前行业多数企业合规需求的提出，基本上都是为了满足（或者说应对）监管的需要，企业并未意识到合规的真正隐藏价值——一套优秀的合规成果，不仅能够实现满足监管目的的需求，还可以实现资源配置优化，增强产品竞争力，而且在遭遇突发事件时，若已提前设置有行之有效的法律合规联动机制，则可以帮助企业协调内外资源，及时回应舆情或监管关注。当然，这都需要合规团队有足够前沿的知识储备和商业意识作为支撑。

因此，优秀的数据合规是行业企业实现产品竞争力的有力保障，在越来越重视个人信息保护及数据合规的法律要求及监管状态下，行业企业应当格外重视商业运营及新品设计开发过程中个人信息保护法律合规的重要性及隐藏价值，以在风云变幻的市场环境中及时取得优势地位，获取市场资源，展现商业价值。

作者：张明敏；为执业律师；

本文刊载于《客户世界》2020年12月刊。