拓展大數據業務如何防控法律風險？

快速發展的大數據時代，如何發揮數據資產的價值，對網絡運營商來說是一個嶄新課題，也是法律法規對企業經營管理的新要求。網絡運營商在開發應用大數據業務中享有使用用戶個人信息的權利，同時承擔著用戶個人信息使用安全的法律風險防控責任，需要依法保護用戶個人信息、確保數據信息安全、實行數據脫敏處理、嚴格數據跨境流動管控和網絡信息內容生態治理，才能有效防範法律風險，為促進大數據業務的健康發展保駕護航。

數據信息的隱私與安全

依法保護用戶個人信息

用戶個人信息受法律保護，《民法典》明確：個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等。

網絡運營商掌握大量數據信息，在開發產品處理個人信息中，承擔著保護個人信息安全的責任和義務，需要依照法律法規規定和國家標準的強制性要求，建立健全企業內部個人信息安全管理制度，包括個人信息處理文檔化管理制度、個人信息分級授權管理機制、個人信息安全風險等級評估制度、個人信息安全事件應急機制等制度。應當重視對個人信息的去識別化、匿名化處理，降低個人信息處理風險。尤其是在對個人信息處理項目中包含大規模居民統一身份識別代碼信息等敏感個人信息、未成年人個人信息、個人信息決策時，網絡運營商應當進行個人信息保護風險評估，對個人信息處理項目實施後可能的個人信息被洩露、毀損、篡改、濫用等風險進行評估，開展法律審查，並提出相應風險防範措施。

在個人信息終止使用後，應當停止對個人信息進行收集和使用，並提供註銷號碼或帳號的服務；不得洩露、篡改、毀損、出售或者非法向他人提供個人信息。

確保數據信息的安全

網絡運營商承擔著數據信息安全保護的重要職責，在發生或者可能發生個人信息洩露、毀損、丟失的情況時，應當立即採取補救措施，按照規定及時告知用戶個人並向有關主管部門報告，切實保障數據信息安全。

重視數據信息安全保障。大數據平臺數據量大、數據類型多樣、組件設計獨立等，導致大數據的採集、存儲、處理、應用、傳輸等環節存在較大風險。基於數據安全防護手段和措施能力不足，突出表現為數據處理不規範，在對外合作中提供未脫敏的數據；缺乏安全管控制度流程，對收集的用戶數據未在內網處理，造成數據洩露風險；對資質和能力審查不嚴，使用存在漏洞的第三方開源程序，數據安全無法保障。

嚴控數據信息使用範圍。國務院辦公廳在印發的《關於促進和規範健康醫療大數據應用發展的指導意見》中，提出加強健康醫療數據安全保障，加快健康醫療數據安全體系建設，建立數據安全管理責任制度，制定標識賦碼、科學分類、風險分級、安全審查規則，確保國家關鍵信息基礎設施的自主可控、穩定安全。在新冠肺炎疫情防控形勢下，個人信息被迅速傳播轉發，醫療數據和個人信息洩露、超範圍使用較普遍，保護數據信息安全的任務十分繁重。為此，國家網信辦專門發布《關於做好個人信息保護利用大數據支撐聯防聯控工作的通知》，明確「除授權機構外，未經被收集者同意不得收集使用個人信息；收集個人信息堅持最小化原則；收集的個人信息，不得用於其他用途；未經被收集者同意，不得公開個人信息；對個人信息的安全保護負責」。

防止數據信息洩露、毀損、丟失。當前，在大數據產品開發的數據交易過程中，必須高度重視數據安全和信息洩露的法律風險管控，確保其收集的個人信息安全，防止數據信息洩露、毀損、丟失。我國首部《兒童個人信息網絡保護規定》特別規定，網絡運營者發現兒童個人信息發生或者可能發生洩露、毀損、丟失的，應當立即啟動應急預案，採取補救措施；造成或者可能造成嚴重後果的，應當立即向有關主管部門報告，並將事件相關情況以郵件、信函、電話、推送通知等方式告知受影響的兒童及其監護人。

實行數據脫敏處理

數據脫敏是指對用戶個人敏感信息通過脫敏規則進行數據的變形，實現敏感隱私數據的可靠保護，可以直接幫助企業實現依法合規使用，有效防範個人敏感信息洩露的風險。

網絡運營商應當建立健全企業管理制度流程，在產品開發和對外使用過程中，對於經用戶個人同意收集的信息，應當進行脫敏處理，確保個人行為數據中敏感信息的脫敏，隱去用戶名稱、號碼、IP位址等可以直接指向或對應到用戶個人身份的信息。在大數據產品開發應用領域，大量存在著諸如手機號碼、交易記錄、通話記錄、帳戶信息、住址信息、徵信需求等個人敏感信息，在使用過程中面臨著嚴格的監管要求，承擔著有效保護的法律責任，這就需要網絡運營商針對不同情況採取不同脫敏規則。

目前，使用數據脫敏規則主要有兩種情況：一是網絡運營商和網際網路公司自身需要，量身定製適合自己的數據脫敏工具，在使用用戶個人信息敏感數據進行用戶行為分析、個性化推薦、精準營銷等分析應用時，必須採取數據脫敏手段，有效防範企業法律風險。二是為了滿足大數據產品開發應用的需要，網絡運營商和網際網路公司利用掌握的用戶個人信息數據，從提供完整數據安全體系的角度出發，通過數據脫敏處理這一關鍵環節提供給合作夥伴及相關客戶，並將數據安全解決方案一起提供給客戶，以防止違法侵權行為的發生。

嚴格數據跨境流動的管控

數據跨境流動是指通過各種技術和方法，實現數據跨越國境流動。由於各國對個人數據信息保護標準不一致，造成數據在全球範圍內不受限制地流動缺乏安全可信的在線環境，將導致數據隱私和網絡信息安全法律風險加大，加強管控責任重大。

在數字經濟時代，數據跨境流動對全球經濟增長的貢獻已經超過傳統的跨國貿易和投資，數據全球化已成為推動全球經濟發展的重要力量。然而，數字經濟快速發展在加速個人數據全球流通和融合的同時，卻形成數據的黑色產業鏈，離境數據被惡意利用和買賣的現象頻發，很多網絡攻擊和網絡犯罪都是跨國、跨境行為，個人數據洩露事件不斷發生，對個人隱私、財產甚至人身安全造成威脅。

我國《網絡安全法》提出個人信息和重要信息的流動實施本地化存儲和管理的原則，如果需要跨境流動須進行安全評審，並報相關部門批准。2019年6月，國家網際網路信息辦公室發布《個人信息出境安全評估辦法（徵求意見稿）》，界定個人信息出境的行為，明確網絡運營者和個人信息接收者的職責，規定個人信息出境申報評估要求、申報材料、重點評估內容、個人信息出境記錄、出境合同內容及權利義務要求、安全風險及安全保障措施分析報告內容要求等。

關注網絡信息內容的生態治理

國家網際網路信息辦公室最近發布的《網絡信息內容生態治理規定》，明確網絡生態治理的對象是網絡信息內容，主要涉及內容生產者、內容服務平臺和內容服務使用者三類主體，重點規範了三類主體及網絡行業組織的權利與義務。

網絡信息內容生產者。作為製作、複製、發布網絡信息內容的組織或者個人，應當遵守法律法規，遵循公序良俗，不得損害國家利益、公共利益和他人合法權益，特別是網絡信息內容服務平臺企業應當履行信息內容管理主體責任。

網絡信息內容服務平臺。作為提供網絡信息內容傳播服務的網絡信息服務提供者，應當建立健全網絡信息內容生態治理機制及平臺管理制度，重點建立和完善用戶註冊、帳號管理、信息發布審核、跟帖評論審核、版面頁面生態管理、實時巡查、應急處置和網絡謠言、黑色產業鏈信息處置等制度。

網絡信息內容服務使用者。作為使用網絡信息內容服務的組織或者個人，應當按照法律法規的要求和用戶協議約定，切實履行相應的法律義務，對網上的違法和不良信息內容有義務以投訴、舉報等方式行使監督權，確保達到國家規定的網絡信息內容生態治理目標。

（薛興華 《 人民郵電報 》（ 2020年08月21日 第 03 版））