物联网技术的快速发展，使大量智能设备在衣食住行等日常生活及社会生产中得到广泛应用。与此同时，随着中国《个人信息保护法》(下称《个保法》)的出台与相关配套规章制度及标准的逐步完善和落地，物联网企业在用户个人信息处理活动的全生命周期方面迎来了巨大的挑战。本文将从多个方面探讨物联网企业在个人信息保护合规过程中所面临的具体挑战及其应对之道。

一、个人信息收集。

根据中国个人信息保护相关法规，物联网企业在获取个人信息时，须遵循合法、正当、目的明确原则和最小化处理原则，不得过度收集和获取用户个人信息。大多数物联网设备需通过移动互联网应用程序(App)获取用户的知情同意，依赖隐私政策、书面同意声明、用户注册协议等方式。对此，相关物联网企业需注意同时遵循《网络安全标准实践指南——移动互联网应用程序(App)收集使用个人信息自评估指南》等相关法规，如必须提供用户自主同意或拒绝的选项，为用户提供撤回同意收集个人信息的途径和方式，在个人信息使用目的、方法及范围等发生变化时再次征得用户同意等。

此外，在无法获得用户同意或授权时，物联网企业还应在法律法规允许的情况下，采取技术手段和方式获取去标识化的非个人信息，避免影响用户的正常使用和与该权限无关的业务功能，以防降低业务功能的服务质量。

二、数据存储、传输。

根据中国《个保法》及《个人信息出境安全评估办法》(下称《评估办法》)等规定，关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者，应当将个人信息存储在中国境内。因此，物联网企业在处理用户个人信息时，应综合考虑以下因素来确定数据存储地：业务服务内容是否涉及国家关键信息基础建设或国家秘密；处理个人信息的数量以及用户权利保护的要求；数据传输成本和跨境传输的必要性；所适用的法规是否要求数据本地化存储等。

如果涉及用户个人信息跨境传输，企业应当通过国家网信部门组织的安全评估。若企业违反《评估办法》的规定，未经安全评估擅自向境外提供个人信息，将依法承担相应的法律责任及惩罚措施，包括且不限于罚款、暂停或撤销相关业务许可等。同时，企业还需采取必要措施，确保境外接收方在处理个人信息时符合中国《个保法》。

此外，物联网企业还应关注用户个人信息的存储期限。中国《个保法》未明确规定个人信息的存储期限，仅限定为实现处理目的所必要的最短时间，即除法律、行政法规另有规定外，当企业停止服务或不再需要用户个人信息时，应及时采取删除或清除等措施。

三、识别和处理敏感个人信息。

近年来，多款品牌的智能家电产品相继出现信息泄露的安全漏洞，其中智能扫地机器人的“监视事件”更是为物联网设备信息安全保护敲响了警钟。识别和处理敏感个人信息是物联网企业处理用户个人信息的重中之重，一旦用户的个人敏感信息被泄露或非法使用，可能容易侵害用户的人身安全、财产安全甚至人格尊严。

2024年9月，全国网络安全标准化技术委员会发布的《网络安全标准实践指南——敏感个人信息识别指南》(下称《指南》)，为《个保法》第二十八条第一款关于敏感个人信息的规定提供了实践指引，也为企业在识别、处理和保护敏感个人信息方面提供了重要参考。其中，企业需要特别注意生物识别信息(生物特征识别信息)。这类信息，如人脸、声纹、指纹、掌纹等，是通过技术处理自然人的物理生物或行为特征而获得的，能够单独或与其他信息结合识别该自然人身份的个人信息。生物识别信息广泛应用于智能门锁、智能音箱等物联网设备，在开启门锁、语音遥控、解锁电脑等便利性功能上发挥重要作用。

物联网企业在收集及处理该类个人信息时，除保证用户个人信息的准确性和完整性外，还应采取去标识化或采取技术手段进行加密保护或隔离，以达到用户个人数据的脱敏和分类分级。

四、救济措施。

目前，不少物联网企业正在逐步搭建数据合规管理体系，以规范公司在数据收集、使用、处理和传输等环节的操作流程。在搭建数据合规管理体系时，企业还应特别考虑在收集、使用、传输等环节中，若因网络安全或意外情况导致用户个人信息的泄露、毁损、丢失等事故时，应采取的救济措施以及用户可获得的救济途径。

物联网企业应建立内部紧急预案，并在事故发生时，以电话、邮件、短信、公告等多种方式通知或提示可能受到影响的用户采取必要措施，对可能扩大的损失进行补救或预防，并将事故相关情况及时上报相关政府监管部门，将风险控制在有限范围内。

来源：商法CBLJ

作者：

• 王鲲，邦盛律师事务所合伙人；联系方式：wangkun@baclaw.cn
• 韩香莉，邦盛律师事务所律师；联系方式：hanxiangli@baclaw.cn