安全資訊

引言

目前一些企業在銷售上采取線上直營+分銷的銷售策略，在這一過程中，企業或運營有多個網頁、APP、小程序等，這將會產生諸多需要注意的數據合規問題?，F我們摘取在實踐過程中的一些咨詢問題，進行總結，以供分享。



我司目前運營的B2B網站、天貓商城、微信小程序商城、手機APP是否可以統一使用一份隱私政策？

關于隱私政策能否通用，總體上隱私政策邏輯近似，因此可以使用同一模板，但應根據具體的使用場景，結合該場景下敏感的個人信息處理場景進行調整。如經銷商訂單系統網站不涉及付款，這與天貓商城的情況存在差異，則涉及個人信息處理的情形也不盡相同，此時在隱私政策收集個人信息的目的部分則應注意加以區分。



我司主要從事日用消費品生產和銷售（包括直營和分銷），為實現經銷商管理，運營有一B2B網站供經銷商下訂單（但不涉及付款），請問這一過程是否存在個人信息相關風險？

由于該系統頁面為經銷商訂單用途的信息收集渠道，而這一過程中涉及的數據可能包括個人信息及非個人信息。因此貴所在判斷風險時，應當首先對個人信息進行識別。



從風險角度來看，除目前信息收集方面的主要合規風險除獲得授權同意外，則在于是否滿足個人信息收集的三要件，即正當性、合法性和必要性，其中主要涉及的可能會是必要性問題。因此我們認為，貴司應評估收集的個人信息是否為提供經銷商下單服務所必需。當然，如果并非個人信息，則不在考慮范疇。



前述網站是否需要做網絡安全等級保護的備案？

從等保必要性角度來說，《網安法》第二十一條明確，網絡運營者應當按照網絡安全等級保護制度的要求，履行安全保護義務?！稊蛋卜ā返诙邨l也明確，在網絡安全等級保護制度基礎上開展數據處理活動并履行數據安全保護義務。因此，可以認為，等保備案屬于強制性的義務。

從實踐的角度來看，等保主要是根據不同的信息系統，按單個系統逐個進行等級測評、定級和實施的。目前具有網絡聯網功能和用戶個人信息收集等功能的單獨聯網系統，都在辦理網絡等級測評、定級及備案的適用范圍內，如人事系統、財務系統、官網、APP、小程序等等。故該網頁作為一個單獨的聯網的信息系統，是應當要做等保備案的。



如未進行等保備案，則可能的風險有哪些？

對于不履行網絡安全保護義務所可能導致的風險，根據《網安法》第五十九條規定，網絡運營者不履行本法第二十一條、第二十五條規定的網絡安全保護義務的，由有關主管部門責令改正，給予警告；拒不改正或者導致危害網絡安全等后果的，處一萬元以上十萬元以下罰款，對直接負責的主管人員處五千元以上五萬元以下罰款。



此外，從實踐來看，獲得等保備案的企業，在自證已經盡到網絡安全法規定的網絡安全保護義務的舉證上，也更加的便利。否則，一旦發生個人信息泄露和網絡安全風險事件等，該等義務很難通過企業的日常存證來舉證完成。