摘要
循绳墨方可求曲直,遵典章方可避祸端。从《中央企业合规管理指引(试行)》到《中央企业合规管理办法》,从ISO19600:2014《合规管理体系 指南》到ISO37301:2021《合规管理体系 要求及使用指南》,企业合规管理工作始终贯穿于企业生产发展的全生命周期。各类技术服务采购作为企业生产经营的重要一环,自然也应遵守相应合规管理要求。但遗憾的是,或许源于“舍小我,成大我”的传统道德观念所导致的个人权益保障的劣后性,企业采购活动中的个人信息保护明显缺位,值得各法人实体高度关注。
一、采购市场个人信息保护现状
笔者结合过往经验认为,各企业尤其是国有企业在招标采购活动中对涉及个人信息保护工作的处理现状,以采购方式的不同大致可以分为如下两类:一是招标类采购。对于该类采购,因有《中华人民共和国招标投标法》和《中华人民共和国招标投标法实施条例》及相关配套文件的约束,通常招标全程较为规范;二是非招标类采购,如询价采购、竞争性谈判采购。囿于无明确的单独专项法律法规约束,则呈现乱象丛生状态,具体表现如采购文件明确要求报价人提供团队服务成员身份证复印件、学历证、社保证明等涉及敏感个人信息的属于过度搜集范围的资料文件。
本文以下讨论就将基于该等企业非招标类采购中涉及的敏感个人信息保护问题展开。
二、现行个人信息保护规定
目前,就企业采购活动所涉及的个人信息保护的立法,主要是《中华人民共和国民法典》(以下简称《民法典》)和《中华人民共和国个人信息保护法》(以下简称《个保法》)。
《民法典》第一千零三十四条规定,自然人的个人信息受法律保护。个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。
《个保法》第二条规定自然人的个人信息受法律保护,任何组织、个人不得侵害自然人的个人信息权益。第五条规定处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。第二十八条规定敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。
综上可知,对于采购文件中采购人所要搜集的涉及自然人的“身份证复印件、学历证书、社保证明、劳动合同”信息涉及或可能涉及敏感个人信息。
三、敏感个人信息的界定与识别
《个保法》第二十八条将一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息均列为个人敏感信息,并以列举方式进行部分展示,如生物识别、特定身份等。
《网络安全标准实践指南-敏感个人信息识别指南》指出,敏感个人信息识别规则为符合以下任一条件的个人信息,应识别为敏感个人信息:
一旦遭到泄露或者非法使用,容易导致自然人的人格尊严受到侵害。
一旦遭到泄露或者非法使用,容易导致自然人的人身安全受到危害。
一旦遭到泄露或者非法使用,容易导致自然人财产安全受到危害。
识别时既要考虑单项敏感个人信息识别,也要考虑多项一般个人信息汇聚或融合后的整体属性,分析其一旦泄露或非法使用可能对个人权益造成的影响,如果符合前述条件,应将汇聚或融合后的个人信息整体参照敏感个人信息进行识别与保护。
因此,身份证复印件含有个人的特定身份信息,当然属于个人敏感信息。学历证书、社保证明、劳动合同等资料上方的姓名、照片、身份证号码、证书编号等能构成对自然人特定身份识别的信息亦属于敏感个人信息。
四、敏感个人信息的处理原则
《个保法》明确“处理”包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。
对于敏感个人信息,《个保法》还要求应在具有特定的目的和充分的必要性,并采取严格保护措施下进行,同时应取得个人的单独同意,且事前进行个人信息保护影响评估,并对处理情况进行记录,方可进行敏感个人信息的处理。其中,个人信息保护影响评估应当包括下列内容:(一)个人信息的处理目的、处理方式等是否合法、正当、必要;(二)对个人权益的影响及安全风险;(三)所采取的保护措施是否合法、有效并与风险程度相适应。个人信息保护影响评估报告和处理情况记录应当至少保存三年。
五 、信息处理者的责任与义务
一项企业采购活动的完成,通常涉及采购人、招标代理机构、报价人三方。因此,对于涉及敏感个人信息的处理,上述三类主体均应遵守《个保法》之要求。
对采购者而言,一旦发布的采购文件要求搜集个人身份证复印件等敏感个人信息,其应就该搜集行为按照《个保法》的要求,在采购文件中以显著方式、清晰易懂的语言真实、准确、完整地向个人告知:(一)个人信息处理者的名称或者姓名和联系方式;(二)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;(三)个人行使本法规定权利的方式和程序;(四)法律、行政法规规定应当告知的其他事项。该等事项发生变更的,还应当将变更部分告知个人。个人信息处理者通过制定个人信息处理规则的方式告知上述规定事项的,处理规则应当公开,并且便于查阅和保存。除此之外,个人信息处理者处理敏感个人信息的,还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响,取得个人的单独同意。据此,也不难看出,不必要的过度收集个人信息的行为,使得处理者必须为了保护敏感个人信息安全而付出更高的成本,如获取个人的单独同意、实施更强的安全技术措施、进行个人信息影响评估并记录等。
如果采购活动通过委托招标代理机构进行,那么根据《个保法》第五十九条之规定,接受委托处理个人信息的受托人,应当依照本法和有关法律、行政法规的规定,采取必要措施保障所处理的个人信息的安全,并协助个人信息处理者履行本法规定的义务。
作为报价人,如欲按照采购文件要求组织并提交报价文件,那么该报价人对敏感个人信息的搜集,同样亦应履行事前告知、风险评估、取得个人单独同意、采取保护措施等法定义务。
六、实践案例
笔者通过公开渠道以“招标投标”“采购”和“个人信息保护”为关键字进行检索,尚未搜集到有关在招标采购活动中因涉及报价人一方个人敏感信息而最终成诉且取得法院判决的案例。当然,这个结果并不能肯定前述过度搜集敏感个人信息的合法合规性。
就拿笔者近期遇到的这个案例来讲:某企业法律服务采购文件要求报价人提供拟组建的项目团队成员的身份证复印件、学历证明、社保证明,甚至还要求提供该团队成员的个人劳动合同复印件。然而,通篇采购文件却只字未提上述《个保法》中对信息处理者应尽的法律义务内容,如无任何以显著方式、清晰易懂的语言真实、准确、完整地向个人告知其搜集该等个人信息的处理目的、处理方式,处理的个人信息种类、保存期限以及其形式知情权、决定权、查阅权、复制权、删除权等信息。
如果正在阅读这篇文章的你也是一名律师的话,读到该等采购文件要求时,不知你是否同笔者一样顿觉寒意彻骨,如芒刺在背。虽然都说眼下是一个个人信息数据裸奔的时代,但是上述报价要求呈现出潜在甲方强烈地想把你扒个精光进行审视的画面感,你大概也会认为合规意识如此之单薄的甲方,确实急需专业律师助其构筑合规防火墙吧。
言归正传。众所周知,律师执业证是经国家统一认证的能够证明个人具备提供法律服务能力的专业资质。作为专业技术服务采购,要求报价人提供团队成员律师执业证书尚已足够满足其采购目的。身份证复印件系能够识别个人特定身份的敏感个人信息,社保证明文件含有个人身份证号码及过往缴费记录等敏感个人信息,劳动合同复印件也当然含有敏感个人信息,且三者均与采购人的搜集目的不直接相关、不满足充分必要性要求。总之,笔者认为对于该案例中采购人对身份证复印件的搜集完全无必要,对学历证的搜集尚有涉嫌歧视性倾向因素,对社保证明和劳动合同复印件的搜集甚至略显滑稽,更何况整体来看该采购文件内容还与法相悖。
当然,如果报价人为了获取该笔业务,“从”了潜在“甲方”,那么,作为法律专业机构的律师事务所的行为同样受《民法典》和《个保法》的约束,在处理律师个人敏感信息时,律师事务所更应注意事前对律师个人信息保护影响进行评估、告知、取得个人单独同意、落实个人信息保护的加密和去标识化技术处理等信息处理者的法定义务。
七 、《个保法》中的归责原则
如上所述,虽然当下未发生多起在招标采购活动中因涉及报价人一方个人敏感信息而最终成诉且取得法院判决的案例,但是,各法人实体也不能心存侥幸,低估违法成本,因为《个保法》对个人信息损害赔偿责任采取过错推定原则。
《个保法》第六十九条规定,处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。这就意味着,在信息处理者不能证明获得了个人单独同意或符合法定许可情形,或没有按照其他条款规定履行特定义务,如未履行《个保法》第五十一条所规定的采取安全保护措施,如采取制定内部管理制度和操作规程、对个人信息实行分类管理、采取相应的加密去标识化等安全技术措施、合理确定个人信息处理的操作权限并定期对从业人员进行安全教育和培训、制定并组织实施个人信息安全事件应急预案等措施,则极有可能被认定为存在过错,继而需承担个人信息权益损害赔偿等侵权责任。
八 、法律建议
法度既守,方能百险自弭。在《个保法》已经实施3年有余的情况下,各法人实体应严格贯彻落实其规定要求;建立并完善个人信息保护内部管理制度和操作规程,优化合规制度体系;落实个人信息保护的合规部门和岗位,做到分工明确、职责到人;定期梳理本企业个人信息保护风险库;加强合规审计、考核与培训;提高并强化个人信息保护合规意识,避免过度处理。
