上周行政部小张收到一封邮件,说要批量导出公司客户手机号做节日群发。他顺手点了‘全部导出’,结果第二天法务就找上门——这事儿差点踩到《个人信息保护法》的红线。
不是所有数据都能随便用
很多同事以为‘公司系统里的数据=公司能随便用’,其实不对。比如员工打卡记录、客户微信昵称、访客登记的身份证号,哪怕只是存在你电脑本地Excel里,只要能关联到具体个人,就属于‘个人信息’,受法律约束。
三个动作先做稳
第一,查权限:IT部门给销售部开了CRM后台全员可导出权限?马上关掉。按需分配——只有客服主管能导出近30天投诉用户信息,其他人只能查不能导。
第二,加水印:内部共享含客户手机号的报表时,别直接发Excel。用PDF+动态水印(带查看人姓名+时间),截图也留痕。某电商公司就靠这招揪出过离职员工私下导出客户名单的事。
第三,删旧账:市场部存着三年前展会收集的2000张纸质名片?扫描件该删删,原件碎纸机走起。《个人信息保护法》第十九条明确:保存期限不得超过实现处理目的所必需的最短时间。
遇到这些情况,立刻停手
• 领导微信说‘把上季度活跃用户邮箱打包发我’——先问用途,再确认是否已获用户明示同意;
• 行政采购新打印机,厂商要求开通远程诊断功能——得签单独的数据处理协议,写清他们能看什么、不能碰什么;
• 用免费WiFi工具给访客扫码连网?别选那些要读取手机通讯录的App,换用企业级Portal认证。
去年有家设计公司被罚12万,就因为用某款‘一键美化PPT’插件,它偷偷把员工正在编辑的文件上传到境外服务器。工具好不好用,得先翻它的隐私政策第3.2条——写没写清楚数据去哪了?
<!-- 检查第三方SDK合规性的基础动作 -->
// 查接入的统计SDK文档
// 确认是否支持GDPR/PIPL双模式开关
// 关闭非必要权限:位置、通讯录、相册法务不常来办公室,但风险天天在。把‘这个数据我为什么需要?谁授权我用了?用完放哪?多久清一次?’变成每次点鼠标前的下意识自问,比背法条管用。