引言

目前一些企業(yè)在銷售上采取線上直營(yíng)+分銷的銷售策略，在這一過(guò)程中，企業(yè)或運(yùn)營(yíng)有多個(gè)網(wǎng)頁(yè)、APP、小程序等，這將會(huì)產(chǎn)生諸多需要注意的數(shù)據(jù)合規(guī)問(wèn)題?，F(xiàn)我們摘取在實(shí)踐過(guò)程中的一些咨詢問(wèn)題，進(jìn)行總結(jié)，以供分享。



我司目前運(yùn)營(yíng)的B2B網(wǎng)站、天貓商城、微信小程序商城、手機(jī)APP是否可以統(tǒng)一使用一份隱私政策？

關(guān)于隱私政策能否通用，總體上隱私政策邏輯近似，因此可以使用同一模板，但應(yīng)根據(jù)具體的使用場(chǎng)景，結(jié)合該場(chǎng)景下敏感的個(gè)人信息處理場(chǎng)景進(jìn)行調(diào)整。如經(jīng)銷商訂單系統(tǒng)網(wǎng)站不涉及付款，這與天貓商城的情況存在差異，則涉及個(gè)人信息處理的情形也不盡相同，此時(shí)在隱私政策收集個(gè)人信息的目的部分則應(yīng)注意加以區(qū)分。



我司主要從事日用消費(fèi)品生產(chǎn)和銷售（包括直營(yíng)和分銷），為實(shí)現(xiàn)經(jīng)銷商管理，運(yùn)營(yíng)有一B2B網(wǎng)站供經(jīng)銷商下訂單（但不涉及付款），請(qǐng)問(wèn)這一過(guò)程是否存在個(gè)人信息相關(guān)風(fēng)險(xiǎn)？

由于該系統(tǒng)頁(yè)面為經(jīng)銷商訂單用途的信息收集渠道，而這一過(guò)程中涉及的數(shù)據(jù)可能包括個(gè)人信息及非個(gè)人信息。因此貴所在判斷風(fēng)險(xiǎn)時(shí)，應(yīng)當(dāng)首先對(duì)個(gè)人信息進(jìn)行識(shí)別。



從風(fēng)險(xiǎn)角度來(lái)看，除目前信息收集方面的主要合規(guī)風(fēng)險(xiǎn)除獲得授權(quán)同意外，則在于是否滿足個(gè)人信息收集的三要件，即正當(dāng)性、合法性和必要性，其中主要涉及的可能會(huì)是必要性問(wèn)題。因此我們認(rèn)為，貴司應(yīng)評(píng)估收集的個(gè)人信息是否為提供經(jīng)銷商下單服務(wù)所必需。當(dāng)然，如果并非個(gè)人信息，則不在考慮范疇。



前述網(wǎng)站是否需要做網(wǎng)絡(luò)安全等級(jí)保護(hù)的備案？

從等保必要性角度來(lái)說(shuō)，《網(wǎng)安法》第二十一條明確，網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求，履行安全保護(hù)義務(wù)?！稊?shù)安法》第二十七條也明確，在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度基礎(chǔ)上開展數(shù)據(jù)處理活動(dòng)并履行數(shù)據(jù)安全保護(hù)義務(wù)。因此，可以認(rèn)為，等保備案屬于強(qiáng)制性的義務(wù)。

從實(shí)踐的角度來(lái)看，等保主要是根據(jù)不同的信息系統(tǒng)，按單個(gè)系統(tǒng)逐個(gè)進(jìn)行等級(jí)測(cè)評(píng)、定級(jí)和實(shí)施的。目前具有網(wǎng)絡(luò)聯(lián)網(wǎng)功能和用戶個(gè)人信息收集等功能的單獨(dú)聯(lián)網(wǎng)系統(tǒng)，都在辦理網(wǎng)絡(luò)等級(jí)測(cè)評(píng)、定級(jí)及備案的適用范圍內(nèi)，如人事系統(tǒng)、財(cái)務(wù)系統(tǒng)、官網(wǎng)、APP、小程序等等。故該網(wǎng)頁(yè)作為一個(gè)單獨(dú)的聯(lián)網(wǎng)的信息系統(tǒng)，是應(yīng)當(dāng)要做等保備案的。



如未進(jìn)行等保備案，則可能的風(fēng)險(xiǎn)有哪些？

對(duì)于不履行網(wǎng)絡(luò)安全保護(hù)義務(wù)所可能導(dǎo)致的風(fēng)險(xiǎn)，根據(jù)《網(wǎng)安法》第五十九條規(guī)定，網(wǎng)絡(luò)運(yùn)營(yíng)者不履行本法第二十一條、第二十五條規(guī)定的網(wǎng)絡(luò)安全保護(hù)義務(wù)的，由有關(guān)主管部門責(zé)令改正，給予警告；拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的，處一萬(wàn)元以上十萬(wàn)元以下罰款，對(duì)直接負(fù)責(zé)的主管人員處五千元以上五萬(wàn)元以下罰款。



此外，從實(shí)踐來(lái)看，獲得等保備案的企業(yè)，在自證已經(jīng)盡到網(wǎng)絡(luò)安全法規(guī)定的網(wǎng)絡(luò)安全保護(hù)義務(wù)的舉證上，也更加的便利。否則，一旦發(fā)生個(gè)人信息泄露和網(wǎng)絡(luò)安全風(fēng)險(xiǎn)事件等，該等義務(wù)很難通過(guò)企業(yè)的日常存證來(lái)舉證完成。