“企业数字化转型在获得智能化赋能所带来效率提升的同时,也会面临诸多应用场景下的合规挑战。如何在企业经营过程中完成重新授权的合规事项十分关键。也就是说,企业向数字型企业转变过程中,应保证收集数据的方式是合法的。”在日前举办的企业数字化转型研讨活动中,金诚同达律师事务所律师彭凯表示。
金诚同达律师事务所律师周晨黠以直接对接消费者的零售型企业为例介绍说,该类企业往往通过线下方式获取消费者信息。信息的来源渠道通常包括双方签订的会员协议、买卖合同,甚至是消费者就某一笔交易产生的付款记录。对于线下渠道获得的信息,只有在收集时明确告知用户使用目的,才能在授权范围内使用信息。一旦超授权范围使用个人信息,就应该重新获得用户的授权同意。
彭凯强调,线下获得信息主要受到两方面质疑:一是授权的真实性很难核实,比如授权签字人是否为用户本人。二是线下收集的信息如果转成线上的电子存储数据,就将产生“电子存储”问题,企业需要在线上再次获取用户授权。
会上,周晨黠以“人脸识别第一案”为例,对经营者处理消费者个人信息,尤其是指纹和人脸等个人生物识别信息行为的评价和规范问题进行了介绍。
2019年4月,郭兵支付1360元购买野生动物世界“畅游365天”双人年卡,确定指纹识别入园方式。郭兵与其妻子留存了姓名、身份证号码、电话号码等,并录入指纹、拍照。后野生动物世界将年卡客户入园方式从指纹识别调整为人脸识别,并更换了店堂告示。2019年7月、10月,野生动物世界两次向郭兵发送短信,通知年卡入园识别系统更换事宜,要求激活人脸识别系统,否则将无法正常入园。此后,双方就入园方式、退卡等相关事宜协商未果,郭兵遂提起诉讼,要求确认野生动物世界店堂告示、短信通知中相关内容无效,并以野生动物世界违约且存在欺诈行为为由要求赔偿年卡卡费、交通费,删除个人信息等。
“我国法律对于个人信息在消费领域的收集、使用虽未予禁止,但强调对个人信息处理过程中的监督和管理,即个人信息的收集要遵循合法、正当、必要的原则和征得当事人同意;个人信息的利用要遵循确保安全原则,不得泄露、出售或者非法向他人提供;个人信息被侵害时,经营者需承担相应的侵权责任。”彭凯表示,野生动物世界在合同履行期间将原指纹识别入园方式变更为人脸识别方式,属于单方变更合同的违约行为,郭兵对此明确表示不同意,故店堂告示和短信通知的相关内容不构成双方之间的合同内容,对郭兵也不具有法律效力,郭兵有权要求野生动物世界承担相应法律责任。
周晨黠表示,强制要求使用人脸信息入园的做法,与重新授权问题比较接近,也涉及到采集新信息的问题。该案件中动物园对原告人脸信息的采集,理由是这种采集没有经过原告同意,超出了必要原则的要求,不具有正当性。而姓名、身份证号码信息,属于野生动物园履行合同所必要采集的信息,在合法、正当、必要范畴。
“关于重新授权,建议企业应明确原先的授权范围,在超范围使用前获得个人信息主体的重新授权,并应通过恰当的方式构建授权渠道,保证收集信息符合合法、必要、正当等原则。”彭凯说。(穆青风)