原标题:预警信号:20余家房企合计被罚203万,企业数据合规将是必然趋势
2021年浙江省开启的“亮剑2021”消费者安全综合执法行动,已于今年6月落下帷幕。据公布的十大典型案例显示,宁波共查处20余家房地产企业侵害消息者个人信息案,合计罚款203万元。
宁波市市场监管局于今年1月份根据网络舆情监测,发现当地房地产企业存在违法采集消费者个人信息的行为。经过多方摸排与现场调查以后,发现被罚企业在售楼处安装人脸抓拍机、人脸认证机和后台服务器等设备,擅自采集消费者个人信息,并通过人脸认证机对客户身份信息进行采集、比对,侵犯了消费者的个人信息。
无独有偶,今年6月21日,广东省顺德市也开出了佛山第一张非法收集人脸识别信息的罚单。虽然,该房企在展示架上摆了“采集人脸信息”的招牌,说明收集、使用消费者人脸信息的目的、方式和范围,但未证明此举经过消费者同意,因而被罚16万元。
相关案例已给广大房地产企业释放出了强烈的预警信号,应当未雨绸缪,做好数据合规工作。
01
房地产企业的数据合规将是必然趋势
今年以来,国家在数据监管上的一系列动作都预示着企业的数据合规将是必然,房地产企业也不例外。
① 一系列的强监管,表明数据合规是必然
- 国家监管力度不断加大
今年以来,国家针对企业违规收集个人信息数据的打击力度日益加大,KEEP、滴滴等公司先后因违规收集个人信息而受到处罚,7部门更是入驻滴滴开启网络安全检查。
宁波市与顺德市对于房地产企业的处罚释放出了强烈的预警信号,我们可以预测,未来国家将加强对房地产行业数据合规的监管。而大数据的发展便利了网络舆情监测的同时,也给房地产企业的数据合规提出了更高的要求。
- 信息保护的法律体系不断健全
7月28日,最高院发布了《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》。
同时,《民法典》《网络安全法》《数据安全法》等法律法规都明确规定加强对个人信息的保护,并规定相关主体在进行个人信息处理时应当遵循的行为规则。特别是《数据安全法》的出台,更是要求相关主体在进行数据处理时应当做到遵守法律规定,保护数据安全。
除此之外,还有很多的相关的法律法规都强调了个人信息或者数据合规的重要性,并规定了相关主体处理数据时的行为规则。
因此,在数据合规与网络安全的强监管下,房地产企业开展数据合规很有必要。
② 房地产企业转型升级的必然要求
2020年因新冠疫情,全国各地多省市发布了鼓励网上看房、线上售房的规定。
支持开发商转变思想观念,推进和拓展网上销售渠道,通过微信公众号、企业官网、小程序等方式,推行线上项目查询、线上开盘、VR售楼处、线上预约选房等服务,探索开发电子认购、定金支付等配套功能,帮助更多消费者通过在线平台满足购房置业的需求。
在当前房地产行业转型升级的大背景下,住建部也推进了“全国一张网”的建设。未来将实现房屋网签备案系统全国联网,部门间数据共享,建立跨地区、跨部门、跨层级的全国房地产市场数据库。
这意味着,房地产行业的转型升级必然伴随着数字化竞争。而在数字化竞争过程中就特别需要解决三个核心问题,即数据违规收集问题、用户数据泄露问题、数据非法使用问题。
倘若这些问题没有得到解决,势必给企业带来不良影响,最终阻碍企业转型升级。
具体表现为,数据违规将承担行政处罚、民事赔偿,甚至是刑事责任。同时,数据存储或监管不力不仅造成客户及业务的流失,还将损坏企业名誉,影响行业口碑。并且,还可能对企业文化造成不良影响。
③ 投融资及上市的需要
第一,房地产企业数据不合规,可能面临运行管理与融资风险。现在,不少投资机构都越来越关注拟投资企业的数据合规情况。如果拟投资企业的数据合规工作做的不好,投资机构可能放弃投资。
第二,房企拿地经常会以投资并购的方式进行,作为买方需要承继卖方在数据合规上的责任,倘若卖方没有做好数据合规工作,将给自身带来潜在风险。而作为卖方做好内部的数据合规工作,将有助于交易的顺利进行。
第三,对于将要上市的房企来说,证券监管部门也将加强对数据合规的审查。已有多家企业直接因数据合规问题导致上市计划被迫中止。
正是由于房地产企业融资与上市的需要,更应当加强对数据合规的重视。
02
房企做好数据合规的六板斧
加强对数据和信息合法、合理利用,才能最大化信息与数据的经济价值,保障企业的长远发展。结合相关法律规定,房地产企业需要从以下6个方面做好数据合规工作。
① 在个人数据的处理上做好合规工作
房地产企业因行业特性,收集的信息与数据大多为个人数据,因此要做好数据合规工作的前提是,做好个人数据处理的合规。具体表现为:
第一,个人数据的收集应坚持最小化原则,即实现产品或者服务功能所必须的最少数量的个人数据。主要包括身份信息、婚姻关系信息、已有房产信息、收入证明等。
第二,公共场所安装图像采集、个人身份识别设备,应遵守国家有关规定,以显著方式、清晰易懂的语言单独向信息主体告知收集、使用个人数据的目的、方式和范围以及存储时间等规则。
第三,收集个人数据前,应获得被收集者的明示同意。
第四,个人数据的存储期限应为实现个人信息主体授权使用的目的所必需的最短时间。
第五,在信息主体明示停止使用功能、服务或者撤回授权时,应删除个人数据或者进行匿名化处理。
② 建立健全组织管理体系
按照相关法律法规的规定,企业需要根据自身的实际情况,建立网络安全、数据保护和个人信息保护体系。
任命个人信息保护负责人和个人信息保护工作机构,明确责任部门与人员及其具体职责,并为个人信息保护负责人、工作机构提供必要的资源。
③ 投入必要的技术设施,避免数据泄露
根据有关国家标准的要求,采取技术措施,防范计算机病毒和网络攻击、网络侵入等危害网络安全行为。所以,企业应当建立适当的数据安全能力,落实必要的技术措施,防止个人信息的泄漏、损毁、丢失、篡改。
采取技术措施,监测、记录网络运行状态、网络安全事件,并按照规定至少在6个月内留存相关的网络日志。
④ 加强员工的管理与培训
对于安全、合规、审计等直接责任部门或人员,要加强专业知识和工作能力的教育和培训。同时,对于其他工作部门和人员,需要加强合规风险与意识的教育和培训。
定期对相关人员开展网络安全教育、技术培训和技能考核,以增强员工在信息保护上的能力与水平。
⑤ 委托第三方机构进行数据合规认证调查
委托专业的数据合规认证机构,对房企现有项目和业务进行评估测试自身的合规能力,在开展新新项目之前除了进行现有的一般尽职调查外,对企业的组织管理和数据结构要进行必要的数据调查合规论证,发现问题风险即刻注意防范。
⑥ 建立健全数据管理制度
首先,制定与完善数据处理规则。房企应主动对照相关法律法规文件,在逐项梳理数据资产和各种数据处理行为的合法性、正当性和必要性的基础上制定和完善《隐私政策》。
其次,建立和完善数据保护制度。企业应当根据有关法律的强制性要求,参照有关国家标准或行业标准,制定和完善各类数据保护管理制度,比如数据分类分级制度、信息系统权限管理制度、数据调用审批制度、个人信息安全影响评估制度等。
03
写在最后
房地产企业在与购房者签订买卖合同的过程当中,已收集了大量的身份信息、联系电话、银行卡等信息,这本身就已具备了巨大的数据体量。随着房地产行业的转型升级,数字化信息技术的引进与建设,相信在不久的将来,国家必然会加强对房地产行业的数据监管。
由此可见,数据合规迫在眉睫,但房企也不必将其看成是烫手山芋。房企拥有的客户数据本身就是价值连城的“数据资产”,如果在合规的基础上盘活数据,则可以发挥其应有价值,为企业创造更高的效益,这也是房企在转型升级过程中值得思考的问题。
责任编辑: