個(gè)人信息保護(hù)下的增值電信業(yè)務(wù)公司合規(guī)化管理研究

謝劍輝

［摘 要］增值電信業(yè)務(wù)公司在短消息發(fā)送業(yè)務(wù)開(kāi)展過(guò)程中接觸到大量公眾的個(gè)人信息。如何實(shí)現(xiàn)短信息發(fā)送業(yè)務(wù)合規(guī)化管理，以更好地保護(hù)公民個(gè)人信息安全和個(gè)人合法權(quán)益，強(qiáng)化市域社會(huì)治理，成為此類(lèi)公司業(yè)務(wù)合規(guī)化管理的重點(diǎn)。特別是在《中華人民共和國(guó)民法典》《中華人民共和國(guó)個(gè)人信息保護(hù)法》業(yè)已生效，配套法律法規(guī)和行業(yè)自律性制度也紛紛出臺(tái)并不斷完善的背景下，實(shí)現(xiàn)此類(lèi)公司業(yè)務(wù)合規(guī)化管理尤為重要。基于此，文章對(duì)增值電信業(yè)務(wù)公司短消息發(fā)送業(yè)務(wù)中個(gè)人信息保護(hù)合規(guī)化管理的問(wèn)題進(jìn)行分析，并提出合規(guī)化管理建議，以期推動(dòng)此類(lèi)公司規(guī)范管理短消息發(fā)送業(yè)務(wù)。

［關(guān)鍵詞］增值電信業(yè)務(wù)公司；個(gè)人信息保護(hù)；合規(guī)化管理；短消息發(fā)送業(yè)務(wù)

doi：10.3969/j.issn.1673 - 0194.2023.18.050

［中圖分類(lèi)號(hào)］F626.5［文獻(xiàn)標(biāo)識(shí)碼］A［文章編號(hào)］1673-0194（2023）18-0153-03

1? ? ?研究背景

增值電信業(yè)務(wù)公司是指獲得中華人民共和國(guó)增值電信業(yè)務(wù)經(jīng)營(yíng)許可證，并從事增值電信業(yè)務(wù)經(jīng)營(yíng)的公司，在以信息化促進(jìn)市域社會(huì)治理現(xiàn)代化過(guò)程中發(fā)揮重要作用。增值電信業(yè)務(wù)公司在提供增值電信服務(wù)的過(guò)程中，其主營(yíng)業(yè)務(wù)就是為客戶(hù)大量發(fā)送短信息，既包括普通商業(yè)短信、會(huì)員短信，也包括政府防洪、高溫預(yù)警等公益信息。該類(lèi)公司在這一業(yè)務(wù)過(guò)程中，涉及大量個(gè)人信息收集、存儲(chǔ)、維護(hù)、處理的問(wèn)題，這些問(wèn)題也就成為公司業(yè)務(wù)合規(guī)化管理的重中之重［1］。國(guó)家法律法規(guī)和相關(guān)主管部門(mén)規(guī)章對(duì)短信發(fā)送中的個(gè)人信息保護(hù)提出許多合規(guī)要求，但不少公司并未認(rèn)真看待和解讀這些規(guī)范要求，在個(gè)人信息保護(hù)理念上存在缺失，更談不上落實(shí)到公司的實(shí)際管理之中，因而給公司的業(yè)務(wù)合規(guī)化管理帶來(lái)隱患。有的公司因?yàn)椴缓弦?guī)行為產(chǎn)生不少民事糾紛，面臨行政處罰甚至刑事責(zé)任的承擔(dān)，更有甚者由于個(gè)人信息的大量泄露，給國(guó)家安全造成嚴(yán)重?fù)p害［2］。

2? ? ?增值電信業(yè)務(wù)公司短消息發(fā)送業(yè)務(wù)中個(gè)人信息保護(hù)合規(guī)化管理的問(wèn)題

2.1? ?公司對(duì)個(gè)人信息保護(hù)合規(guī)化管理的重要性不甚了解，保護(hù)意識(shí)不足

增值電信業(yè)務(wù)公司的著眼點(diǎn)是業(yè)績(jī)提升，近年來(lái)面對(duì)經(jīng)濟(jì)下行壓力，以及較為激烈的行業(yè)競(jìng)爭(zhēng)形勢(shì)，短信息發(fā)送業(yè)務(wù)量呈下滑之勢(shì)，維持業(yè)務(wù)量成為公司的當(dāng)務(wù)之急，其對(duì)業(yè)務(wù)合規(guī)的意義認(rèn)知不足，對(duì)個(gè)人信息保護(hù)合規(guī)化管理的重要性更是不甚了解。公司往往強(qiáng)調(diào)對(duì)銷(xiāo)售人員的業(yè)績(jī)進(jìn)行刺激，目前采取的還是“底薪+提成”的銷(xiāo)售模式，銷(xiāo)售人員為了提升業(yè)績(jī)和增加收入，在業(yè)務(wù)洽談中總是盡力促成協(xié)議的達(dá)成，對(duì)客戶(hù)的個(gè)人信息保護(hù)并未給予充分的重視［3］。

2.2? ?公司短消息發(fā)送業(yè)務(wù)模式的自身特點(diǎn)容易導(dǎo)致合規(guī)風(fēng)險(xiǎn)

（1）此類(lèi)公司業(yè)務(wù)模式的特點(diǎn)之一是數(shù)量巨大。該類(lèi)公司每天都有大量的短信息通過(guò)106通道進(jìn)行發(fā)送，京東、國(guó)美、字節(jié)跳動(dòng)等公司每月的短信發(fā)送量都在百萬(wàn)條以上，通過(guò)三網(wǎng)合一平臺(tái)發(fā)送短信的數(shù)量巨大，其中必然產(chǎn)生大量的自然人姓名、電話(huà)號(hào)碼、生物識(shí)別信息。根據(jù)《電信和互聯(lián)網(wǎng)用戶(hù)個(gè)人信息保護(hù)規(guī)定》，電信業(yè)務(wù)經(jīng)營(yíng)者及其工作人員對(duì)提供服務(wù)過(guò)程中收集、使用的用戶(hù)個(gè)人信息應(yīng)當(dāng)嚴(yán)格保密，不得泄露、竄改或者毀損，不得出售或者非法向他人提供。但由于短消息發(fā)送業(yè)務(wù)數(shù)量巨大，公司不可避免地會(huì)出現(xiàn)員工泄露個(gè)人信息的風(fēng)險(xiǎn)。

（2）此類(lèi)公司業(yè)務(wù)模式特點(diǎn)還包括在業(yè)務(wù)開(kāi)展中幾乎未與個(gè)人用戶(hù)發(fā)生直接關(guān)系，大多是信息發(fā)送主體公司通過(guò)增值電信服務(wù)公司的短信發(fā)送通道為其客戶(hù)或會(huì)員發(fā)送短信。因此，客戶(hù)公司是否有與其會(huì)員達(dá)成同意發(fā)送的一致意思，個(gè)人用戶(hù)是否接受短信息發(fā)送，發(fā)送的時(shí)間是否有要求等，此類(lèi)公司很難對(duì)其明確判斷。部分公司的隱私政策如《京東隱私政策》《淘寶網(wǎng)隱私政策》《美圖專(zhuān)業(yè)證件照個(gè)人信息保護(hù)政策》等可以通過(guò)網(wǎng)絡(luò)查詢(xún)獲取，但有些客戶(hù)公司沒(méi)有制定隱私政策，在實(shí)踐中增值電信服務(wù)公司很難要求發(fā)送主體公司提供材料進(jìn)行合規(guī)審查，公司可能在個(gè)人用戶(hù)未同意的情況下為其發(fā)送短信。在此情況下，個(gè)人用戶(hù)往往會(huì)因自身的利益受到損害而通過(guò)12321網(wǎng)絡(luò)不良與垃圾信息舉報(bào)受理中心進(jìn)行投訴。個(gè)人用戶(hù)對(duì)增值電信中短信息的發(fā)送流程基本缺乏了解，其投訴的對(duì)象往往就是投訴短信發(fā)送者，即增值電信業(yè)務(wù)公司，故可能產(chǎn)生的行政責(zé)任大多需要由增值電信業(yè)務(wù)公司承擔(dān)，這也給公司短信息發(fā)送業(yè)務(wù)帶來(lái)風(fēng)險(xiǎn)。

2.3? ?相關(guān)法律和規(guī)范性文件尚需完善，業(yè)務(wù)合規(guī)標(biāo)準(zhǔn)無(wú)法準(zhǔn)確界定

近年來(lái)，盡管我國(guó)個(gè)人信息保護(hù)的法律規(guī)范已取得長(zhǎng)足進(jìn)步，但仍有需要完善之處。以《最高人民法院、最高人民檢察院關(guān)于辦理非法利用信息網(wǎng)絡(luò)、幫助信息網(wǎng)絡(luò)犯罪活動(dòng)等刑事案件適用法律若干問(wèn)題的解釋》為例，其十一條第（三）項(xiàng)規(guī)定了明知他人利用網(wǎng)絡(luò)實(shí)施犯罪的認(rèn)定標(biāo)準(zhǔn)之一：……交易價(jià)格或者方式明顯異常的。但何為交易價(jià)格明顯異常，如何判斷價(jià)格過(guò)高或過(guò)低，并無(wú)進(jìn)一步的明確解釋?zhuān)瑫r(shí)什么是交易方式明顯異常的，也缺乏典型的表述方式，這導(dǎo)致公司在實(shí)踐中對(duì)此類(lèi)行為是否構(gòu)成幫助信息網(wǎng)絡(luò)犯罪缺乏明確的界定界限［4］，這也給公司業(yè)務(wù)合規(guī)化管理帶來(lái)不少壓力。

3? ? ?增值電信業(yè)務(wù)公司短消息發(fā)送業(yè)務(wù)中的個(gè)人信息保護(hù)合規(guī)化管理建議

3.1? ?強(qiáng)化個(gè)人信息治理，構(gòu)建內(nèi)部制度

公司應(yīng)建立內(nèi)部個(gè)人信息保護(hù)體系，實(shí)現(xiàn)合規(guī)化、制度化的體系設(shè)計(jì)。公司不應(yīng)片面追求利潤(rùn)，而應(yīng)在實(shí)現(xiàn)盈利的同時(shí)注重公司的風(fēng)險(xiǎn)防控和社會(huì)責(zé)任，只有多元治理，共同參與，才有可能形成個(gè)人信息保護(hù)的合力，實(shí)現(xiàn)各方多贏。用戶(hù)數(shù)量巨大、業(yè)務(wù)類(lèi)型復(fù)雜的增值電信業(yè)務(wù)公司要履行“看門(mén)人”義務(wù)，強(qiáng)化個(gè)人信息治理，這不但對(duì)國(guó)家安全與經(jīng)濟(jì)安全等具有重大意義，也是公司內(nèi)部管理能力的重要體現(xiàn)。基于此，公司在內(nèi)部制度構(gòu)建層面，應(yīng)在法律框架下構(gòu)建公司內(nèi)部網(wǎng)絡(luò)安全管理制度、安全警示制度、運(yùn)營(yíng)風(fēng)控管理制度等，建立先進(jìn)實(shí)用、完整可靠的信息系統(tǒng)安全體系，實(shí)現(xiàn)個(gè)人信息保護(hù)的體系化、制度化。

3.2? ?加強(qiáng)內(nèi)部業(yè)務(wù)流程的合規(guī)管控

內(nèi)控體系的建立和實(shí)施是個(gè)人信息保護(hù)的重點(diǎn)，公司應(yīng)通過(guò)合理管控內(nèi)部業(yè)務(wù)流程，在技術(shù)管理層面更好地保護(hù)個(gè)人信息。

（1）首先，公司應(yīng)加強(qiáng)對(duì)個(gè)人信息實(shí)行分類(lèi)管理，針對(duì)不同種類(lèi)個(gè)人信息建立訪問(wèn)控制措施并確定操作權(quán)限。對(duì)個(gè)人信息的重要操作設(shè)置內(nèi)部審批流程，分別設(shè)置安全管理、數(shù)據(jù)操作、業(yè)務(wù)、財(cái)務(wù)人員等角色等。其中，對(duì)敏感個(gè)人信息的處理應(yīng)采取更為嚴(yán)格的保護(hù)措施，包括但不限于采用信息加密等安全措施，將個(gè)人生物識(shí)別信息與其他個(gè)人信息分開(kāi)存儲(chǔ)，對(duì)敏感個(gè)人信息的處理目的、處理方式、對(duì)個(gè)人權(quán)益的影響及安全風(fēng)險(xiǎn)、所采取的保護(hù)措施進(jìn)行事前個(gè)人信息保護(hù)影響評(píng)估［5］。

（2）其次，公司還應(yīng)形成建立敏感詞管理庫(kù)，強(qiáng)化拒絕模板攔截審核環(huán)節(jié)。其一，根據(jù)《互聯(lián)網(wǎng)信息服務(wù)管理辦法》《中華人民共和國(guó)電信條例》《關(guān)于依法開(kāi)展治理手機(jī)違法短信息有關(guān)工作的通知》等規(guī)定，形成與云通信服務(wù)系統(tǒng)相匹配的敏感詞管理庫(kù)并不斷更新，通過(guò)敏感詞審核、拒絕模板審核環(huán)節(jié)，根據(jù)客戶(hù)事先報(bào)備的模板進(jìn)行比對(duì)，由系統(tǒng)自動(dòng)完成審核。其二，涉及加微信、加QQ、推廣App等三大運(yùn)營(yíng)商明確規(guī)定禁止發(fā)送的，強(qiáng)化拒絕模板攔截。其三，通過(guò)客戶(hù)異常行為審核環(huán)節(jié)，建立實(shí)時(shí)風(fēng)控系統(tǒng)，以捕捉短信發(fā)送主體的異常行為，主要攔截以鏈接類(lèi)、行業(yè)應(yīng)用類(lèi)短信賬號(hào)發(fā)送會(huì)員營(yíng)銷(xiāo)短信行為，以及驗(yàn)證碼攻擊行為等用戶(hù)異常行為。其四，在人工審核環(huán)節(jié)，由技術(shù)部專(zhuān)員針對(duì)系統(tǒng)自動(dòng)攔截下來(lái)的短信進(jìn)行實(shí)時(shí)審核。公司通過(guò)4道攔截程序，能有效避免個(gè)人信息泄露之后可能導(dǎo)致的被用于違法犯罪等情況，將個(gè)人信息被泄露后的負(fù)面效果降至最低。

（3）最后，公司應(yīng)對(duì)所獲取的個(gè)人信息進(jìn)行合規(guī)處理，避免信息泄露［6］。增值電信服務(wù)公司在短消息發(fā)送業(yè)務(wù)中，最大的風(fēng)險(xiǎn)來(lái)自個(gè)人信息的泄露問(wèn)題，所以公司要在明確個(gè)人信息保護(hù)的范圍之后，先由網(wǎng)絡(luò)安全部門(mén)組織開(kāi)展信息系統(tǒng)安全等級(jí)保護(hù)建設(shè)、測(cè)評(píng)、自查和整改等工作，制定系統(tǒng)應(yīng)急預(yù)案，通過(guò)網(wǎng)絡(luò)日志、文檔等形式準(zhǔn)確記錄對(duì)個(gè)人信息的處理活動(dòng)，在技術(shù)層面規(guī)避個(gè)人信息泄露風(fēng)險(xiǎn)。然后，公司需要根據(jù)《通信短信息服務(wù)管理規(guī)定》和公司網(wǎng)絡(luò)安全管理等內(nèi)控制度，明確各類(lèi)人員權(quán)限，禁止非授權(quán)人員查詢(xún)用戶(hù)信息。同時(shí)，對(duì)于實(shí)踐中客戶(hù)要求公司提供個(gè)人用戶(hù)信息用于核對(duì)數(shù)量和相應(yīng)款項(xiàng)的，需要慎重設(shè)計(jì)對(duì)接流程，并對(duì)個(gè)人用戶(hù)信息進(jìn)行脫敏處理，以避免個(gè)人信息泄露導(dǎo)致的侵權(quán)或違約等法律風(fēng)險(xiǎn)。

3.3? ?嚴(yán)格業(yè)務(wù)合同的合規(guī)審核和合同履行中的安全防控

在對(duì)外的業(yè)務(wù)開(kāi)展過(guò)程中，公司應(yīng)確保從業(yè)務(wù)流程層面嚴(yán)格規(guī)范個(gè)人信息的保護(hù)。《通信業(yè)務(wù)協(xié)議書(shū)》是增值電信業(yè)務(wù)公司與客戶(hù)確定合同權(quán)利義務(wù)關(guān)系的重要憑證，對(duì)業(yè)務(wù)協(xié)議的審查管理是外部風(fēng)險(xiǎn)防控和合規(guī)管理的重要環(huán)節(jié)，公司法務(wù)風(fēng)控等部門(mén)除了要做好一般性、常規(guī)性的合同審查，還需要重點(diǎn)審查以下條款。

（1）首先，應(yīng)對(duì)客戶(hù)公司進(jìn)行初步客情調(diào)查［7］，包括客戶(hù)公司的設(shè)立時(shí)間、客戶(hù)所從事的行業(yè)、是否與客戶(hù)有合作先例、客戶(hù)是否存在重大涉訴問(wèn)題、客戶(hù)是否有負(fù)面輿情新聞等，以此準(zhǔn)確評(píng)估客戶(hù)的資信能力，從而初步判斷客戶(hù)公司對(duì)個(gè)人信息保護(hù)的嚴(yán)謹(jǐn)程度，并評(píng)估泄密風(fēng)險(xiǎn)。此外，協(xié)議條款中是否涉及違法收集個(gè)人用戶(hù)信息的問(wèn)題，公司需要判斷收集個(gè)人信息是否已征得他人同意，是否遵循合法、正當(dāng)、必要和誠(chéng)信原則，是否限于達(dá)到處理目的的最小范圍而收集個(gè)人信息，以及個(gè)人信息的有效保護(hù)方式，并根據(jù)具體需要設(shè)定專(zhuān)門(mén)的個(gè)人信息協(xié)議條款約定雙方的權(quán)利義務(wù)。

（2）其次，應(yīng)對(duì)客戶(hù)公司的合同義務(wù)要求，特別是個(gè)人信息和數(shù)據(jù)安全相關(guān)條款的約定，就相應(yīng)的違約責(zé)任和救濟(jì)辦法進(jìn)行約定，包括客戶(hù)應(yīng)承諾的發(fā)送短信須確認(rèn)會(huì)員等個(gè)人用戶(hù)已經(jīng)同意，不得利用公民個(gè)人信息從事任何違法犯罪活動(dòng)，不利用上行短信非法收集客戶(hù)個(gè)人信息等，并設(shè)計(jì)相應(yīng)的責(zé)任條款。對(duì)于自定義短信發(fā)送的客戶(hù)，即平臺(tái)型公司，此類(lèi)平臺(tái)公司往往會(huì)提供在線教育、交友、旅游、租賃等行業(yè)的廣告發(fā)送渠道，對(duì)其窮盡調(diào)查幾乎不太現(xiàn)實(shí)，故而嚴(yán)謹(jǐn)細(xì)致的協(xié)議條款可以確保公司在可能被要求承擔(dān)責(zé)任之后有向客戶(hù)公司追償?shù)臋?quán)利，從而規(guī)避業(yè)務(wù)風(fēng)險(xiǎn)。

（3）最后，在主協(xié)議以外，公司還需要考慮是否根據(jù)客戶(hù)的具體情況，專(zhuān)門(mén)設(shè)計(jì)其他附件，包括《個(gè)人信息安全承諾書(shū)》《數(shù)據(jù)安全協(xié)議書(shū)》等，以專(zhuān)門(mén)對(duì)互聯(lián)網(wǎng)平臺(tái)型公司或其他服務(wù)對(duì)象眾多的計(jì)算機(jī)網(wǎng)絡(luò)公司、云服務(wù)公司等客戶(hù)進(jìn)行個(gè)人信息保護(hù)風(fēng)險(xiǎn)的約定，從公平合理的角度分配和轉(zhuǎn)移風(fēng)險(xiǎn)，以最大限度保護(hù)本公司的合法權(quán)益。

3.4? ?加強(qiáng)和政府相關(guān)部門(mén)以及行業(yè)協(xié)會(huì)的合規(guī)標(biāo)準(zhǔn)溝通

社會(huì)在飛速發(fā)展，網(wǎng)絡(luò)的變化更是令人難以應(yīng)對(duì)，單獨(dú)的一個(gè)公司在面對(duì)互聯(lián)網(wǎng)時(shí)代層出不窮的違法違規(guī)信息，或者侵害個(gè)人身份信息等合法權(quán)益時(shí)，是很難作出完全判斷和防御的，這時(shí)需要依靠社會(huì)的力量。因此，公司可以和行業(yè)協(xié)會(huì)、公安部門(mén)、工信部門(mén)等保持經(jīng)常性的溝通，建立信息共享機(jī)制，這樣才能在數(shù)字經(jīng)濟(jì)時(shí)代不斷完成合規(guī)化管理的升級(jí)。例如，公司應(yīng)加強(qiáng)行業(yè)交流，共同建立合規(guī)標(biāo)準(zhǔn)，如《個(gè)人信息安全規(guī)范》等行業(yè)自律性規(guī)定。公司還應(yīng)在行業(yè)協(xié)會(huì)的指導(dǎo)下根據(jù)個(gè)人信息內(nèi)涵的改變及時(shí)完善敏感詞庫(kù)，并根據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》等法律規(guī)定建立網(wǎng)絡(luò)安全保護(hù)等級(jí)，增強(qiáng)公司的信息安全管理能力。

4? ? ?結(jié)束語(yǔ)

增值電信業(yè)務(wù)公司在提供短消息服務(wù)過(guò)程中，需要防范各類(lèi)風(fēng)險(xiǎn)，加強(qiáng)合規(guī)化管理。增值電信業(yè)務(wù)公司在短消息發(fā)送業(yè)務(wù)中的個(gè)人信息保護(hù)合規(guī)化管理方面，需要得到客戶(hù)公司的認(rèn)同，同時(shí)還要避免不規(guī)范經(jīng)營(yíng)的同類(lèi)公司以相對(duì)低廉的價(jià)格搶奪客戶(hù)資源。從長(zhǎng)遠(yuǎn)發(fā)展來(lái)看，我國(guó)的法治環(huán)境在不斷優(yōu)化，全面依法治國(guó)成為國(guó)家基本治國(guó)理政的方略，《中華人民共和國(guó)民法典》《中華人民共和國(guó)個(gè)人信息保護(hù)法》的頒布及一系列法律法規(guī)的出臺(tái)讓公民的個(gè)人信息得到更好的保護(hù)，這也必將對(duì)公司的合規(guī)經(jīng)營(yíng)提出更高的要求，所以增值電信類(lèi)公司在拓展業(yè)務(wù)的同時(shí)，要集中精力進(jìn)行個(gè)人信息保護(hù)的合規(guī)化管理，降低公司發(fā)展風(fēng)險(xiǎn)，以實(shí)現(xiàn)公司可持續(xù)和高質(zhì)量發(fā)展。

主要參考文獻(xiàn)

［1］張寶增.企業(yè)合規(guī)管理體系的建設(shè)探究［J］.中外企業(yè)家，2020（10）：41-42.

［2］李穎.市域治理下的社會(huì)風(fēng)險(xiǎn)整體性防控研究［J］.山東社會(huì)科學(xué)，2021（9）：81-86.

［3］劉柯言.企業(yè)級(jí)電信增值業(yè)務(wù)發(fā)展戰(zhàn)略研究［J］.黑龍江科技信息，2014（28）：157.

［4］張明楷.論幫助信息網(wǎng)絡(luò)犯罪活動(dòng)罪［J］.政治與法律，2016（2）：2-16.

［5］楊雨欣.網(wǎng)絡(luò)空間治理背景下個(gè)人信息保護(hù)機(jī)制研究［J］.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2022（5）：139-140.

［6］鄭植.對(duì)電信增值業(yè)務(wù)項(xiàng)目投資及運(yùn)營(yíng)管理的探索與再思考［J］.企業(yè)科技與發(fā)展，2011（16）：103-106，130.

［7］劉娟.電信企業(yè)業(yè)務(wù)應(yīng)急保障管理體系［J］.信息與電腦（理論版），2014（20）：182-183.