地址:北京市东城区建国门内大街26号新闻大厦7-8层
电话:86 10 8800 4488, 6609 0088
传真:86 10 6609 0016
邮编:100005
国枫视角
酒店管理系列之七(2):酒店行业个人信息合规要点指引(下)
在上篇文章(酒店管理系列之七:酒店行业个人信息合规要点指引(上))中,我们主要梳理了常见的酒店系统类型,并以此为路径,对酒店基于这些系统,在个人信息的收集和存储过程中应当注意的合规要点进行了阐述。本文中,我们将继续带来有关个人信息使用、共享、转让及个人信息权益保障等方面的合规指引。
1.个人信息的使用 根据上篇文章中对酒店常见系统的介绍,酒店在收集数据后,会根据经营和管理方面的需要和目的,将个人信息流转到不同的系统中进行处理、使用、共享等。在多样化的系统、人员及错综的流转中,结合现行法律规范下的合规框架,我们认为需要酒店注意的使用合规要求主要包括:内部访问控制、展示限制、用户画像的限制以及个性化展示的合规要求。 1)内部访问控制 自前台系统、APP及OTA收集的个人信息,向中央化系统及PMS系统流动的过程中,除经历了“承载”系统的变迁外,同时也经历着不同部门人员的访问和处理行为。为避免这种“内部”风险,加强风险发生的合理应对,法律规范提出了“内部访问控制”的具体合规要求,包括: a)给予授权访问的部门人员以最小化授权和操作权限; b)对个人信息重要操作环节(如批量拷贝、修改、下载等)设置内部审批流程; c)对授权人员分离设置不同的角色,明确权责; d)设置个人信息保护负责人或机构,对特定授权(如临时超权限授权等)等行为建立审批机制并记录在册; e)对个人敏感信息设置更为严格访问控制,不同部门需按照业务流程的需求才能触发操作授权。例如,只有当收到消费者投诉时,投诉处理人员才可访问该个人信息主体的相关信息。 2)个人信息的展示 在酒店服务场景中,涉及通过界面公开展示个人信息的(如大堂、餐厅及会议厅引导显示屏,打印纸张等),建议酒店对涉及个人信息的展示采取“脱敏”处理(如隐去姓名、地址等信息的部分字段),降低个人信息在展示环节的泄露风险。 3)用户画像的使用限制 依照《个人信息安全规范》(GB/T35273-2020)的定义,用户画像是指通过收集、汇聚、分析个人信息,对某特定自然人个人特征,如职业、经济、健康、教育、个人喜好、信用、行为等方面作出分析或预测,形成其个人特征模型的过程。用户画像包括直接使用特定自然人个人信息形成特征模型的“直接用户画像”,以及用来源于特定自然人以外的个人信息(如所在群体的数据)形成特征模型的“间接用户画像”。用户画像被普遍用于征信、精准营销等商业场景,是电子商务的核心之一。酒店企业基于身份信用核验、广告或产品推送等需要而使用个人信息生成用户画像时,应当注意以下合规要求: a)生成用户画像的信息,不得包含违法或歧视的内容; b)使用个人信息生成用户画像的,应当在隐私政策中说明其应用场景和可能对用户产生的影响; c)使用用户画像不得损害国家、社会公共利益以及公民、企业的合法权益; d)除为实现个人信息主体授权同意的使用目的所必需外,使用个人信息时应消除明确身份指向性,避免精确定位到特定个人(使用间接用户画像); e)酒店应当允许用户拒绝画像并提供拒绝的有效途径(如在设置中提供授权开关)。 4)个性化展示的合规要求 在生成用户画像或取得其他基础数据后,酒店企业通常会通过其网站、APP或合作方短信等方式,基于这些基础数据而向用户提供广告展示、产品推送、搜索排名等个性化展示,以符合其营销策略,提高流量转化率。企业需要在个性化展示中满足的合规要求包括: a)显著区分个性化以及非个性化展示的内容,如标明“定推”等字样,或通过不同的栏目、版块、页面分别展示等; b)向消费者提供个性化展示时,也应当同时提供不针对其个人特征的选项; c)应当在隐私政策中说明个性化展示的应用场景和可能对用户产生的影响,并建议向消费者提供开启和关闭的选择方式。 2.委托处理的合规要求 为满足特定的商业需要,受限于酒店企业设施设备、技术能力及成本的考量,企业可能会将个人信息委托第三方专业机构进行特定目的的处理、加工等操作。一些连锁、高端酒店或管理公司往往会选择值得信任的第三方供应商提供技术平台、数据分析等委托处理及服务。当酒店企业存在委托第三方处理数据的需求时,应当同时注意到以下的合规要求: a)不应超出已征得个人信息主体授权同意的范围; b)应当与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等,并对受托人的个人信息处理活动进行监督,建议的方式包括: i.应对进行个人信息安全影响评估,确保受托人达到具有适当的数据安全能力要求。同时需要提示的是,根据《个保法》的要求,评估报告应当至少保存三年; ii.委托人应对受托人进行审计监督; iii.准确记录和存储委托处理个人信息的情况; iv.建立发现受托人方违法违约行为的熔断和补救机制; v.委托合同终止、被撤销或被认定无效的,应当确保受托人不再保留个人信息。 3.第三方接入管理 酒店在为其配套服务而进行第三方服务及产品采购时,又或在开发/更新系统和APP过程中,常常会需要通过API或SDK等方式接入第三方产品或服务(如征信、支付、地图等),而这些产品或服务因为本身的功能特点,往往会具备收集个人信息的相关功能。对此,酒店在应对此类接入第三方,应当满足以下基本的合规要求,包括: a)建立第三方产品或服务接入管理机制和工作流程,必要时应建立安全评估等机制设置接入条件; b)应与第三方产品或服务提供者通过合同等形式明确双方的安全责任及应实施的个人信息安全措施; c)应向个人信息主体明确标识产品或服务由第三方提供; d)应妥善留存平台第三方接入有关合同和管理记录,确保可供相关方查阅; e)应要求第三方向个人信息主体征得收集个人信息的授权同意,必要时核验其实现的方式; f)应要求第三方产品或服务建立响应个人信息主体请求和投诉等的机制,以供个人信息主体查询、使用; g)应监督第三方产品或服务提供者加强个人信息安全管理,发现第三方产品或服务没有落实安全管理要求和责任的,应及时督促整改,必要时停止接入; h)产品或服务嵌入或接入第三方自动化工具(如代码、脚本、接口、算法模型、软件开发工具包、小程序等)的,宜采取以下措施: i.开展技术检测确保其个人信息收集、使用行为符合约定要求; ii.对第三方嵌入或接入的自动化工具收集个人信息的行为进行审计,发现超出约定的行为,及时切断接入。 4.个人信息的共享、转让 在酒店的商业活动中,酒店因采购、广告、营销或其他商业合作时,难免会有向第三方共享、乃至转让信息的需要。同时,如果涉及酒店资产转让,相关主体涉及合并、分立等情况时,个人信息的合规要求同样需要作为重点流程予以充分考量。因此,无论何种前置因素,在个人信息发生共享、转让前,酒店企业应当关注并执行以下合规要求: a) 事先开展个人信息安全影响评估; b) 满足收集个人信息的合规要求(具体详见上篇);这里需要注意的是,如果共享、转让经去标识化处理的个人信息,且确保数据接收方无法重新识别或者关联个人信息主体的(等同于匿名化),则不需受到该限制。 c) 明确约定数据接收方的责任和义务; d) 准确记录和存储个人信息的共享、转让情况,包括共享、转让的日期、规模、目的,以及数据接收方基本情况等; e) 发现接收方违法违约行为的熔断和补救机制; f) 对用户了解信息接收方情况、行使用户权利的行为,具有协助义务; g) 共享、转让个人生物识别信息的,应单独向个人信息主体告知目的、涉及的个人生物识别信息类型、数据接收方的具体身份和数据安全能力等,并征得个人信息主体的明示同意。 5.个人信息出境规则 《网络安全法》确立了CIIO“向境外提供个人信息和重要数据应当进行安全评估”的基本原则。在《数据安全法》做出了过渡性规定后,《个保法》对个人信息的出境规则做出了进一步的规定。 a)合规主体的扩大 《个保法》将需要满足个人信息出境合规要求的主体,从“CIIO”扩大至“个人信息处理者”。同时,《个保法》将“个人信息处理者”定义为在个人信息处理活动中自主决定处理目的、处理方式的组织、个人,并将“收集、存储、使用、加工、传输、提供、公开、删除”等行为囊括于“个人信息处理”活动,完整、具体的阐明了个人信息的主体范围。 b)合规条件的扩大 《个保法》显然借鉴了一部分国际的通行做法,由此前清一色的“安全评估”,丰富为了几种不同的合规条件,除“安全评估”外,个人信息处理者,还可以通过满足个人信息保护认证、签署标准合同、以及按照国际条约、协定等条件,实现数据的出境合规。 这里需要进一步提示的是,对于CIIO和处理个人信息达到国家网信部门规定数量的个人信息处理者,则仍然需要通过国家网信部门组织的“安全评估”(法律、行政法规和国家网信部门规定可以不进行安全评估除外),方可实现合规出境。这里的“国家网信部门规定数量”的标准目前并无生效法律规范予以确定,但在最新发布的《数据出境安全评估办法(征求意见稿)》中,出现了两个具体“量化”条款:一是“处理个人信息达到一百万人的个人信息处理者”,二是“累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息”,前者是主体的条件,后者是行为的条件,满足条件之一的,即需要申报出境安全评估。在相关出境合规要求正式落地后,企业也应当及时关注量化标准是否存在更新,以便对应审查是否满足该条件。 c)单独授权 相较于敏感个人信息的告知、授权要求,针对个人信息出境的要求同样严格。法律不但要求个人信息处理者向个人主体告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,还要求取得个人单独授权。 d)限制和禁止 在特定情况下,个人信息处理者向境外提供个人信息,存在审批限制甚至是禁止性要求,包括: i.向外国司法或者执法机构提供“境内存储”的个人信息的,应当经主管机关批准。 ii.存在侵害中国公民的个人信息权益,或者危害国家安全、公共利益等情形的,将被禁止出境。 除以上法律规定的基本合规要求外,有关个人信息乃至出境合规的细则何时落地,成为企业关注的焦点之一。但无论是新发布的《数据出境安全评估办法(征求意见稿)》、还是此前颁布的《个人信息出境安全评估办法(征求意见稿)》以及《数据出境安全评估指南(征求意见稿)》等合规细则,相关配套规范在将来陆续落地后,有关个人信息出境的合规实践将更为明确,建议有数据出境需求的酒店企业,特别是跨国酒店集团企业随时跟进合规动向,我们也会及时更新相关解读和指引,敬请关注。 6.客户权利的保障 个人信息具有人身属性。消费者对酒店企业收集使用的个人信息,仍然具有法定的各项权利。《个人信息保护法》对此做出了具体的规定,包括知情权、决定权、拒绝权、复制查阅权、更正权、转移权、删除权等等。酒店在持续提供服务、处理个人信息的过程中,亦应当注意采取必要的措施,如在电脑和手机端为消费者提供行使个人信息权利的便捷操作入口、设置专用的联系通道响应消费者的要求等,依法有效保障消费者的上述各项个人信息处理权益。 结语 2021年,立法和监管齐头并进,将互联网安全和数据合规要求推向了前所未有的高度,依据合规要求,酒店企业乃至全行业的制度建立、自查自审(安全影响评估、个人信息审计)、获得系统性评价(等保、关保)、应对监管评审(出境安全评估、网络安全审查)等,已经成为全流程、全周期的常态性需要。而“个人信息”的合规,是永不缺席的核心要求之一。希望通过本文的梳理,给酒店行业以及其他相关行业的理解和合规建设,提供一些建议,带来一些裨益。