电子邮件相关的个人信息保护合规十问十答
发布时间:2020-07-20
文 | 黄春林 合伙人 吴旻奇 汇业律师事务所
电子邮件作为商业场景中最常见的联系方式,广泛应用于用户注册、商业联络、合同签订、客户服务、员工招聘等环节。但是,在当前法律/标准文意相对模糊、执法尺度差异较大的背景下,员工企业邮箱是个人信息吗,如何获得信息主体的有效授权,如何合规使用、存储、处理电子邮件及其数据,等等这些类似问题,成为困扰企业合规遵从的重要实务问题。
就实务中企业广泛关注的电子邮件相关的个人信息保护合规问题,结合最新立法趋势与执法实践,汇业律师事务所黄春林律师团队汇总解答如下,仅供参考。
一、员工企业邮箱是个人信息吗?
根据《网络安全法》、《个人信息安全规范》等规定,个人使用的电子邮件(往往由个人向公共邮箱服务商自行申请)因具有识别性特征,无疑属于个人信息,《个人信息安全规范》附录也明确列举电子邮件为“个人通信信息”类个人信息。
但是,企业配置给员工的企业邮箱是否属于员工的个人信息?我们理解,在绝大多数场景下(考虑到“个人信息”的主观性和相对性),答案是肯定的。首先,法律和标准定义的个人信息概念采取的是目的导向(识别性与关联性),并未限定特定的场景,《个人信息安全规范》附录列举并未排除员工的电子邮件;其次,实际使用场景中,很多员工往往会用工作邮箱注册其他网络账户(例如LinkedIn、支付宝、ZOOM等),因此将员工企业邮箱纳入个人信息范畴,更加符合立法目的。
二、向用户邮箱地址发送EDM,是否需要获得额外授权?
根据《广告法》、《互联网广告管理暂行办法》等规定,未经用户同意,不得通过电子邮件等方式向用户推送营销广告内容。但是,这里的“同意”是指明示同意,还是授权同意?企业是否可以仅通过隐私政策获得概括同意?这些问题成为困扰企业合规遵从的重要问题。
实际上,要明确这个问题,应当准确理解个人信息的收集、使用最小化原则:(1)从企业端而言,应当确保基于基本业务功能的必要性使用;(2)从用户端而言,应当确保基于用户基本期待的最小化使用。因此,参照《个人信息安全》等规定及行业最佳实践,若向用户邮箱地址发送当前当次交易/服务的履行信息的,例如付款验证、物流信息、维保信息等,则满足必要性、最小化原则,无需获得用户的额外授权;若向用户邮箱地址发送其他营销类信息(EDM)的,则不能仅通过隐私政策等方式获得用户的概括同意,而应当获得用户的额外授权。授权方式的强度(主动/被动、事前/事后等),应与营销内容与当前当次主体/交易/服务的关联性成反相关性。
三、企业可以在网上爬取公开的邮箱地址吗?
回答这个问题,取决于对“公开”的理解,以及“爬取方式”和“如何使用”。
对“公开”的理解,即:(1)“由谁公开”,是用户“自主”公开(例如LinkedIn、二手交易),还是由其他人擅自公开;(2)“如何公开”,是仅向特定注册账户公开(例如撮合交易平台),还是完全无限制公开(例如百度贴吧)。只有同时满足两个条件,才能适用《个人信息安全规范》第5.6条f款的豁免同意情形。
此外,爬取方式也会影响爬取的合规性。例如是否采取代理IP、账户池、绕过验证码等方式绕开、破坏平台方的技术限制措施,或者造成平台方流量负担,等等。
最后,最终使用方式也会影响爬取的合规性。例如是否开展数据融合,是否超出用户公布时的基本期待(例如在租房平台公布邮箱,不得用于保险领域营销信息推送),是否用于二次销售,等等。
四、商业合同联系信息含有邮箱地址,是否需要获得额外授权?
一般认为,考虑到系信息主体自行提供(事实上很多时候并非如此),且参照《个人信息安全规范》第5.6条g款豁免情形,收集、存储商业合同中填写的甲乙双方联系人信息(含邮箱地址),无需获得信息主体的额外授权。
但是,考虑到企业往往会在履行双方当次合同之外使用合同联系人信息(例如培训/展会邀请、后期催收或争议解决、营销调研等),而且部分企业的CRM、财务系统等还会将该等信息跨境传输给境外其他主体(例如集团总部或关联公司),因此,黄春林律师团队建议,参照反商业贿赂条款或保密条款,企业至少应当在商业合同中加入个人信息保护的标准条款,以获得最低要求的明示及授权合规。
五、通过展会/培训等方式获取邮箱地址,是否需要获得额外授权?
参考行业交易惯例,从平衡交易效率与交易安全的角度考虑,黄春林律师团队认为,信息主体在展会、培训会现场通过自主递交/填写联系信息或交换名片的方式提供邮箱地址的,在收集环节及基本业务场景使用(例如回访、标准销售等),企业无需履行标准告知责任,可以不用获得信息主体的额外同意。
但是,若使用范畴超过了基本业务场景使用(例如旅游展会收集的个人信息用于房产销售),或者使用主体发生变更(例如医院培训活动收集的个人信息用于药企销售),企业应当获得信息主体的额外授权。授权方式亦应当遵从反相关原则。
六、电子邮件含有个人信息的,如何合规发送?
我们建议,电子邮件往往含有发送方、抄送方、收件人及其他主体的个人信息,因此邮件发送方应当参照邮件签名的“环保条款”、“保密条款”等内容,增加标准的“个人信息保护申明条款”。
此外,我们不建议直接通过邮件的方式传输大量个人信息集合(例如Excel表格、文本文档等),而应当采取API接口、镜像/堡垒机等留痕方式传输。只能通过邮箱发送的,应当采取加密的方式传输,且加密文档和密码应当分开发送,具备条件的还应当要求对方签署签收记录和数据安全专用条款。
七、企业可以私自查阅员工的企业邮箱吗?
尽管员工的企业邮箱(公司域名后缀或公司提供的其他邮箱)是企业提供的,但员工仍然可能会使用企业邮箱处理个人事务(包括私人通信或存储隐私信息)。考虑到《宪法》赋予公民通信自由权和《民法典》赋予的隐私权,未经员工同意,企业不得私自查阅员工的工作电子邮件。
但是,若企业在为员工配置企业邮箱之前,已经通过书面文件告知并明确禁止员工利用企业邮箱处理个人事务的,员工收到或签收该等文件的,企业则可以基于反腐败、反商业贿赂等场景查阅员工的企业邮箱。
八、通过电子邮件收取应聘者简历,是否需要获得额外授权?
考虑到简历系由应聘者自主提供,并参照《信息安全技术 个人信息告知同意指南(征求意见稿)》第6.1条m款的规定,企业通过HR邮箱等方式收集、存储应聘者简历的,无需获得应聘者的额外同意。但是,企业应当通过自动回复邮件等方式,告知应聘者使用的目的、方式及存储期限等。同时,基于最小化原则考虑,企业应当及时删除落选应聘者的简历,严禁将落选简历提供给第三方或者跨境传输至境外。
九、企业选择邮箱服务商的个人信息保护合规要点有哪些?
(1)除非集团统一配置邮箱,原则上应当与在境内具有企业邮箱服务资质(B23)及信息安全保障能力的企业签订合同;
(2)应当与邮箱服务供应商签署专门的个人信息保护及数据安全条款;
(3)应当要求邮箱服务供应商提供标准隐私政策(企业邮箱具有2B和2C的双重属性);
(4)内部配置员工账户的,应当保留实名认证及签收记录;
(5)全球统一配置邮箱服务器的,可能被认定为CII的,应当全球分区存储数据,且严格管理员工通过邮箱发送、传输重要数据及客户个人信息;等等。
十、电子邮件可以作为实名验证的依据吗?
根据黄春林律师团队与多地网安沟通的情况,尽管大多数公共邮箱开通时已经开展了实名验证,但一般监管部门不接受邮箱作为间接实名验证的依据。
但是在民事诉讼领域,企业邮箱或其他能够证明确属持有人实际持有的,经公证或可以现场勘验的,一般会认定该邮箱发送内容的证据效力。
但在互联网金融合同签订中,仅有邮箱验证,大多数监管机构通常会挑战KYC风险及自主自愿合规。
(免责申明:本文未考虑具体商业场景的差异,上述意见仅供参考,不得作为任何行动或不行动法律意见,正式法律意见请咨询专业律师。)