引言

目前一些企業(yè)在銷售上采取線上直營+分銷的銷售策略，在這一過程中，企業(yè)或運營有多個網(wǎng)頁、APP、小程序等，這將會產(chǎn)生諸多需要注意的數(shù)據(jù)合規(guī)問題?，F(xiàn)我們摘取在實踐過程中的一些咨詢問題，進行總結(jié)，以供分享。



我司目前運營的B2B網(wǎng)站、天貓商城、微信小程序商城、手機APP是否可以統(tǒng)一使用一份隱私政策？

關(guān)于隱私政策能否通用，總體上隱私政策邏輯近似，因此可以使用同一模板，但應(yīng)根據(jù)具體的使用場景，結(jié)合該場景下敏感的個人信息處理場景進行調(diào)整。如經(jīng)銷商訂單系統(tǒng)網(wǎng)站不涉及付款，這與天貓商城的情況存在差異，則涉及個人信息處理的情形也不盡相同，此時在隱私政策收集個人信息的目的部分則應(yīng)注意加以區(qū)分。



我司主要從事日用消費品生產(chǎn)和銷售（包括直營和分銷），為實現(xiàn)經(jīng)銷商管理，運營有一B2B網(wǎng)站供經(jīng)銷商下訂單（但不涉及付款），請問這一過程是否存在個人信息相關(guān)風險？

由于該系統(tǒng)頁面為經(jīng)銷商訂單用途的信息收集渠道，而這一過程中涉及的數(shù)據(jù)可能包括個人信息及非個人信息。因此貴所在判斷風險時，應(yīng)當首先對個人信息進行識別。



從風險角度來看，除目前信息收集方面的主要合規(guī)風險除獲得授權(quán)同意外，則在于是否滿足個人信息收集的三要件，即正當性、合法性和必要性，其中主要涉及的可能會是必要性問題。因此我們認為，貴司應(yīng)評估收集的個人信息是否為提供經(jīng)銷商下單服務(wù)所必需。當然，如果并非個人信息，則不在考慮范疇。



前述網(wǎng)站是否需要做網(wǎng)絡(luò)安全等級保護的備案？

從等保必要性角度來說，《網(wǎng)安法》第二十一條明確，網(wǎng)絡(luò)運營者應(yīng)當按照網(wǎng)絡(luò)安全等級保護制度的要求，履行安全保護義務(wù)?！稊?shù)安法》第二十七條也明確，在網(wǎng)絡(luò)安全等級保護制度基礎(chǔ)上開展數(shù)據(jù)處理活動并履行數(shù)據(jù)安全保護義務(wù)。因此，可以認為，等保備案屬于強制性的義務(wù)。

從實踐的角度來看，等保主要是根據(jù)不同的信息系統(tǒng)，按單個系統(tǒng)逐個進行等級測評、定級和實施的。目前具有網(wǎng)絡(luò)聯(lián)網(wǎng)功能和用戶個人信息收集等功能的單獨聯(lián)網(wǎng)系統(tǒng)，都在辦理網(wǎng)絡(luò)等級測評、定級及備案的適用范圍內(nèi)，如人事系統(tǒng)、財務(wù)系統(tǒng)、官網(wǎng)、APP、小程序等等。故該網(wǎng)頁作為一個單獨的聯(lián)網(wǎng)的信息系統(tǒng)，是應(yīng)當要做等保備案的。



如未進行等保備案，則可能的風險有哪些？

對于不履行網(wǎng)絡(luò)安全保護義務(wù)所可能導致的風險，根據(jù)《網(wǎng)安法》第五十九條規(guī)定，網(wǎng)絡(luò)運營者不履行本法第二十一條、第二十五條規(guī)定的網(wǎng)絡(luò)安全保護義務(wù)的，由有關(guān)主管部門責令改正，給予警告；拒不改正或者導致危害網(wǎng)絡(luò)安全等后果的，處一萬元以上十萬元以下罰款，對直接負責的主管人員處五千元以上五萬元以下罰款。



此外，從實踐來看，獲得等保備案的企業(yè)，在自證已經(jīng)盡到網(wǎng)絡(luò)安全法規(guī)定的網(wǎng)絡(luò)安全保護義務(wù)的舉證上，也更加的便利。否則，一旦發(fā)生個人信息泄露和網(wǎng)絡(luò)安全風險事件等，該等義務(wù)很難通過企業(yè)的日常存證來舉證完成。