近日,国家网信办、工信部、公安部及市监总局联合启动“2025年个人信息保护系列专项行动”,近期已经有多个专项执法案例见诸报端。本轮专项行动中,明确将“线下消费场景违法违规收集使用个人信息”作为系列专项行动的执法重点之一。在此之前,多地公安机关针对零售门店个人信息保护违规开展执法检查并处罚。
此外,《公共安全视频图像信息系统管理条例》《人脸识别技术应用安全管理办法》《未成年人网络保护条例》等新规逐步落地,也会将零售门店的CCTV、人脸识别、未成年人保护等合规情况,再次推向监管执法和大众媒体的关注热点。同时,零售行业依据《个人信息保护合规审计管理办法》开展合规审计时,也无法回避零售门店这个重要的个人信息处理场景。
因此,当前阶段,零售行业开展门店个人信息合规评估项目,可谓正当时。该项目立足于解决监管执法的紧迫问题,同时有利于弥补“重线上、轻线下”的传统个保合规的隐秘角落,更能实现个保合规建设“一石三鸟”(专项执法行动自查、新法新规落地改进、模块化个保合规审计)的多效并举。
结合近期类似项目经验,就如何多效并举开展零售门店个人信息处理合规评估项目,汇业律师事务所黄春林律师团队简要分享如下,仅供参考。
一、零售门店场景示例
传统个保合规项目中,大多聚焦于APP、小程序、网站等网络渠道,较少触及零售门店的场景。即便是在数字化转型的大背景下,门店业务在零售行业的实际业务占比仍然较高,门店仍然有很多不同于网络渠道的个人信息处理场景。因部分场景可能是线下的、零星的、门店个性化的,因此往往处于企业个人信息保护合规项目的“隐秘角落”,长期以来游离于集团中心化部署的合规人员的视野。
在前期大量项目的基础上,汇业黄春林律师团队梳理的零售门店的个人信息处理场景包括但不限于:
二、项目评估维度
根据类似项目经验,为了确保项目切中当前监管执法重点且实现多效并举,同时尽量与前期线上个保合规建设各有侧重,建议零售门店个人信息处理合规评估项目中,提前制定评估清单并重点涵盖如下评估维度:
(1)个人信息收集合规:全面梳理前述场景(尤其是线下场景)的个人信息收集的目的、方式及范围。重点确保:场景、主体及字段等层面分别满足必要性;依法履行了告知同意义务(尤其是代客操作等场景);不存在欺诈、胁迫及强制收集个人信息的情形;等等。
(2)个人信息存储展示合规:全面梳理前述场景(尤其是线下场景)的个人信息存储与展示合规。重点关注:本地设备的个人信息加密存储合规、脱敏展示合规;非电子化(例如交易小票、预购预付合同等纸质)存储与管理个人信息合规;存储期限最小必要合规;等等。
(3)个人信息使用合规:全面梳理前述场景(尤其是线下场景)的个人信息使用合规。重点关注:门店员工权限管理合规;审计留痕与日志合规;门店特殊场景(例如私域社群、门店直播、线下取货、线下身份核验等)使用个人信息合规;等等。
(4)请求响应合规:包括个人信息主体线下查询、删除等响应流程合规;公安、法院等官方机构调取个人信息的响应流程合规;等等。
(5)CCTV及人脸信息处理合规:结合《公共安全视频图像信息系统管理条例》《人脸识别技术应用安全管理办法》等新规的要求,全面评估门店的CCTV及人脸识别合规,具体包括设备及系统合规,安装及标识合规,告知同意合规,保护措施合规,用户权利保障合规,政府性合规,等等。
(6)未成年人保护合规:包括必要性合规评估,告知同意合规评估,管理及技术措施合规评估,等等。
三、项目评估方法
首先,零售门店个人信息处理合规评估项目可大可小,应当根据公司资源情况,在项目启动前,合理确定项目范围、方法、时间及进度等,科学制定项目方案。例如,对于绝大多数零售品牌而言,全量评估所有门店的合规性并不现实,因此合理确定门店样本的工作,就显得尤为重要。
其次,项目调研中,科学应用问卷调研、实地走访、人员访谈、文档核验、穿行测试等多种方式,确保评估工作底稿的全面性和客观性,是保障项目效果的重要一环。
再次,项目工作组应当全面梳理法律法规、监管执法尺度、行业合规水位等评估依据,全面、客观、务实地评估合规差距,并制作分级分类的合规风险清单,出具有效平衡合规风险及整改成本的整改建议,并确保整改建议的可落地性。同时,尽量确保该项目与后续即将开展个保合规审计项目的衔接性,可以把该项目作为个保合规审计的一个子模块,也可以作为一个试点样本。
最后,可以通过制作项目总结报告、零售门店个人信息保护合规指引、门店负责人个人信息保护合规承诺、门店员工个人信息保护合规培训课件等方式,帮助零售门店提高合规韧性,并建立可持续的合规发展之路。
声明:本文来自网络与数据法律实务,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
