中銀文化
客戶至上、專業合作、勤勉盡責、優質高效
解讀 | 公益項目中的個人信息保護
時間:2024.04.25 作者:北京中銀(深圳)律師事務所 劉國梁、陳艷、劉泉
分享到:
隨著數字經濟和信息技術在全球的高速發展,數字信息(包括個人信息數據)的流動與處理覆蓋著社會的各個層面,同時數據安全也面臨著巨大挑戰。近日,《紐約時報》一篇報道揭示,包括OpenAI和谷歌在內的科技巨頭涉嫌使用海量視頻,以及網上其他具有版權和隱私爭議的用戶數據來訓練AI大模型。而社會組織擁有大量捐贈人、受益人等個人信息數據,如何做好公益項目中的個人信息保護,已然成為其合規工作中必不可少的重要一環。
在公益實踐過程中,常常會涉及社會組織在不同場景下對捐贈人、受益人及被訪談人等個人信息的收集。而且目前公益項目越來越多地通過圖片與視頻等方式講述慈善故事、運用采訪與調研記錄項目的實施情況,亦或者對比受助者的變化情況作為成果展示。許多公益項目甚至直接通過互聯網進行募捐,并通過小程序或鏈接的方式要求捐贈人填寫個人信息進行核驗。既要保障個人信息數據的安全,又要不妨礙信息的自由流動,促進公益項目的發展與推廣,這對社會組織公益項目管理是一個考驗。
因此,社會組織執行公益項目,在面對既要公開透明又要保護隱私的同時,首先應履行事前告知義務并征得個人同意,應讓當事人對所需要收集的個人信息范圍簽署同意知情書。若當事人不同意公開有關信息,社會組織不能夠對個人信息進行泄露。且禁止過度收集或超出用途范疇處理信息。其次,劃定信息公開的深度和范圍。確定有多少人被納入到公開范圍之內,加以區分不同人的信息公開深度。最后,確定各類信息的敏感度,要對不同的敏感度的信息做好分類處理,根據重要程度及假設發生事故的嚴重程度做好預案。并且,慈善組織應建立全流程的數據安全管理制度,對公益項目中合規義務及風險進行識別。同時對收集的數據采用相應的安全技術措施,通過加密、數據處理以及備份文件等方式加以保護。并在發生個人信息泄露或者安全事件時第一時間啟動應急處理機制,固定相關電子數據移送司法機關處理。
而根據《個人信息保護法》等法律法規制定的《個人信息出境標準合同辦法》(以下簡稱“辦法”)的出臺,國家對個人信息出境處理也提出了明確的要求。《辦法》規定標準合同內容為提供個人信息,不涉及重要數據。個人信息處理者采用標準合同出境需遵守事前評估、自主締約、事后備案的流程。并且,《辦法》要求個人信息處理者向境外提供個人信息前,應當開展個人信息保護影響評估;在出現有關情形時除了及時開展個人信息保護影響評估,還應當補充或者重新訂立標準合同并履行相應備案手續。《辦法》對規范數據活動以及保護個人信息權益具有重要作用,也在另一方面要求公益項目個人信息出境時建立相關技術和管理措施,以保證數據安全。
公益項目通過網絡使用個人數據信息是把雙刃劍,一方面它大大提高了募款的效率,互聯網的傳播廣度使公益項目能被更多愛心人士關注,社會組織還能夠通過龐大的信息分析出各種數據模型,有利于往后的公益項目進行;另一方面,互聯網也將公益項目中的個人信息數據安全置于潛在的風險。個人信息自由流動與安全,這讓大家對社會組織合規發展有著新的期待。
