解读 | 公益项目中的个人信息保护
时间:2024.04.25   作者:北京中银(深圳)律师事务所 刘国梁、陈艳、刘泉

随着数字经济和信息技术在全球的高速发展,数字信息(包括个人信息数据)的流动与处理覆盖着社会的各个层面,同时数据安全也面临着巨大挑战。近日,《纽约时报》一篇报道揭示,包括OpenAI和谷歌在内的科技巨头涉嫌使用海量视频,以及网上其他具有版权和隐私争议的用户数据来训练AI大模型。而社会组织拥有大量捐赠人、受益人等个人信息数据,如何做好公益项目中的个人信息保护,已然成为其合规工作中必不可少的重要一环。


在公益实践过程中,常常会涉及社会组织在不同场景下对捐赠人、受益人及被访谈人等个人信息的收集。而且目前公益项目越来越多地通过图片与视频等方式讲述慈善故事、运用采访与调研记录项目的实施情况,亦或者对比受助者的变化情况作为成果展示。许多公益项目甚至直接通过互联网进行募捐,并通过小程序或链接的方式要求捐赠人填写个人信息进行核验。既要保障个人信息数据的安全,又要不妨碍信息的自由流动,促进公益项目的发展与推广,这对社会组织公益项目管理是一个考验。


因此,社会组织执行公益项目,在面对既要公开透明又要保护隐私的同时,首先应履行事前告知义务并征得个人同意,应让当事人对所需要收集的个人信息范围签署同意知情书。若当事人不同意公开有关信息,社会组织不能够对个人信息进行泄露。且禁止过度收集或超出用途范畴处理信息。其次,划定信息公开的深度和范围。确定有多少人被纳入到公开范围之内,加以区分不同人的信息公开深度。最后,确定各类信息的敏感度,要对不同的敏感度的信息做好分类处理,根据重要程度及假设发生事故的严重程度做好预案。并且,慈善组织应建立全流程的数据安全管理制度,对公益项目中合规义务及风险进行识别。同时对收集的数据采用相应的安全技术措施,通过加密、数据处理以及备份文件等方式加以保护。并在发生个人信息泄露或者安全事件时第一时间启动应急处理机制,固定相关电子数据移送司法机关处理。


而根据《个人信息保护法》等法律法规制定的《个人信息出境标准合同办法》(以下简称“办法”)的出台,国家对个人信息出境处理也提出了明确的要求。《办法》规定标准合同内容为提供个人信息,不涉及重要数据。个人信息处理者采用标准合同出境需遵守事前评估、自主缔约、事后备案的流程。并且,《办法》要求个人信息处理者向境外提供个人信息前,应当开展个人信息保护影响评估;在出现有关情形时除了及时开展个人信息保护影响评估,还应当补充或者重新订立标准合同并履行相应备案手续。《办法》对规范数据活动以及保护个人信息权益具有重要作用,也在另一方面要求公益项目个人信息出境时建立相关技术和管理措施,以保证数据安全。


公益项目通过网络使用个人数据信息是把双刃剑,一方面它大大提高了募款的效率,互联网的传播广度使公益项目能被更多爱心人士关注,社会组织还能够通过庞大的信息分析出各种数据模型,有利于往后的公益项目进行;另一方面,互联网也将公益项目中的个人信息数据安全置于潜在的风险。个人信息自由流动与安全,这让大家对社会组织合规发展有着新的期待。