Facebook数据泄露危机对国内互联网企业的启示

面对公众对于个人数据的安全问题日益担忧，以用户为收入主要来源的互联网企业能够做些什么是我们商事合规业务关注的问题。结合国内外个人信息保护立法及监管要求、国内商事审判实务，我们将合规构建互联网企业个人信息保护制度归纳为以下几个要点，以供企业在建立风险防范机制时进行参考：

何为“客户拒绝营销机制”，台湾《个人资料保护法》规定，企业应向客户提供表示拒绝接受营销的方式，并负担所需的费用。广告等营销方式可能是部分互联网企业主要的商业模式，企业应在广告和文宣中向客户提供拒绝的渠道。除此之外，客户作为个人信息权利主体，也应保证其访问、更正、删除、撤回同意、注销账户以及获取副本的权利，这也要求企业对个人信息权利主体请求设置常规化的响应机制。

互联网企业可能通过不同渠道搜集客户信息，如网页、电话或实体方式，针对不同渠道应建立客户告知流程，并尽量避免“格式条款”的概况式授权所可能造成的无效风险，对于敏感信息需要用户做出书面声明或主动进行“肯定性动作”，并将客户明确同意提供信息，知悉收集信息所涉内容、范围和使用途径等信息留存。

用户信息的泄露通常通过内部泄露或外部泄露两个途径。内部泄露主要为员工泄露，互联网企业应尤为注意对关键岗位人员的背景审查、保密协议的签署，明确各岗位权限、职责分工、制定作业标准，并定期进行网络安全教育和技能培训；外部泄露主要是指企业与第三方合作的过程中，用户信息被第三方获取导致的泄露，因此当涉及外包商、合作伙伴时企业还应首先评估个人信息泄露的安全风险、建立客户通知机制，在对外协议中还应专门约定保护个人信息安全的义务承担和责任划分。

在防卫手段和抓取数据的手段不断升级的今天，用户信息泄露恐怕难以完全杜绝。互联网企业应及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险；在发生危害网络安全的事件时，根据不同等级的安全事件启动应急预案、采取相应的补救措施，并向有关主管部门报告。上述应急机制不但能够提升企业网络安全事件的应对能力，还能够更准确的评估自身风险，更是网络安全事件发生后对外抗辩的重要事由。