数据合规实务观察|实现个人信息保护合规,更新隐私政策就够了吗?
导言
当提及个人信息保护合规,企业的第一反应通常即是更新隐私政策。毫无疑问,面向外部消费者、客户或公众展示的隐私政策显然是企业展现自身合规成果的一块亮眼招牌,但大多数企业又往往止步于此,而很少进一步思考:我们更新的隐私政策符合个人信息保护法要求吗?实现个人信息保护合规,更新隐私政策就够了吗?让我们通过以下的实务案例来寻找答案。
实务观察
- 某快消品企业隐私政策有什么问题?
我们曾协助快消品行业某知名企业就其个人信息保护情况开展合规差距分析,特别针对该企业日常业务所涉及的消费者个人信息处理活动进行了专项评估。
在此过程中,我们发现该企业的消费者隐私政策虽然在《个人信息保护法》出台后第一时间进行了更新,但从隐私政策内容上看,一方面无法完整覆盖各渠道销售业务,缺乏统一性和系统性,另一方面,隐私政策中涉及的个人信息处理目的、方式、种类等告知要素仍未能达到《个人信息保护法》的实质要求,并且也缺乏法律所要求的其他应当告知事项,比如个人行使个人信息权利的方式和程序等。
所以,虽然有了新的政策,但是离实现《个人信息保护法》设定的合规要求尚有很大的差距,合规风险依然存在。
- 如何真正实现隐私政策的合规?
在我们看来,制定一份符合法律要求的消费者隐私政策(或称个人信息保护政策),不仅需要准确理解相关法律要求,更需要在制定之前对于自身业务、运营和管理过程中如何处理消费者个人信息形成清晰、完整和准确的认知,这一步骤实际上是采取各项个人信息保护合规措施的重要前提之一。要维护好隐私政策的“面子”,首先得要有个人信息保护合规的“里子”。
除了隐私政策文本层面的设计和制定,隐私政策本身的公示方式、获取同意流程(如需)也是不可忽视的合规议题。
特别是对于快消行业,消费者个人信息的处理贯穿于线上线下各个环节,涵盖门店零售、经销商批发、自营电商、第三方电商平台等多个渠道,涉及销售、支付、物流、仓储、退换货、甚至统一会员管理全流程,这就让合规的实现无法仅仅依靠一个个模板化的文件,而需要更多的优化设计让隐私政策在内容上达到合规且符合业务需求,在形式上统一全面而又简洁,在使用上实现易用、易更新。
- 隐私政策之外,企业还需要做什么?
而在隐私政策之外,还有更多的合规要求需要企业严阵以待。
如何在个人信息保护过程中协调处理或有效管理第三方(如第三方电商平台、物流供应商、经销商)?是否需要特殊处理敏感个人信息?是否需要开展个人信息保护影响评估?如何建立高效的合规管理机制?而对于跨国企业,如何在跨境提供个人信息时确保合规?又如何平衡合规要求和集团管理要求?……
合规启示
更新隐私政策以符合法律要求无疑是重要的合规步骤,但其他合规要求同样不容忽视。
而为避免隐私政策成为一纸空文、诸多合规步骤成为无本之木,一个重要的前提工作是:企业必须“认识你自己”,有效梳理企业所涉及的个人信息处理活动,方能发现合规差距、对症下药。