论文部分内容阅读
当前,大数据产业正直活跃发展期。5G以大带宽,低时延,广连接等特点,带给大数据爆发性增长与行业应用繁荣的同时放大数据保护合规风险。为促进发展与保证安全,国家数据保护合规及监管体系建快速推进。
近年来,国内数据合规——个人信息保护合规相关重要法规制度及建设进程,可分为以下几部分:
2017年6月1日,以个人信息保护合规为关键要素的《网络安全法》生效,《网络安全法》强调个人信息与隐私保护,规范个人信息的收集和使用。根据《网络安全法》的立法目的及有关规定,企业(网络运营者)需确认的合规义务范围应从“数据安全合规”延展至更为具体、影响更广泛的“个人信息保护合规”。
欧盟《通用数据保护条例》(General Data Protection Regulation,Regulation (EU) 2016/679 of the European Parliament and of the Council,the “GDPR”)于2018年5月生效,对跨国业务及国内立法产生深远影响。
2018年,被业内称为“数据保护元年”;此后至今,以个人信息保护为核心的数据保护的立法、执法和检查日益频繁。
根据法律法规及监管要求,结合一般企业商业目的,我们总结一般场景下企业个人信息保护合规风险应对方式,供企业参考。
2019年,中央网信办、工业和信息化部、公安部、市場监管总局联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》,在全国范围组织开展App违法违规收集使用个人信息专项治理。
此外,2019年涉及个人信息保护的6项法律及法规相继发布,具体如下:
《数据安全法》、《个人信息保护法》已纳入十三届全国人大常委会立法规划。《数据安全法(草案)》于2020年7月2日公布。
2020年3月6日,由全国信息安全标准化技术委员会归口的GB/T 35273-2020《信息安全技术个人信息安全规范》正式发布,并将于2020年10月1日正式施行。与2017版本相比,增加了“多项业务功能自主选择”、“用户画像使用限制”、“个性化展现使用”、“基于不同业务目的所收集的个人信息的汇聚融合”等内容,针对个人信息面临的安全问题,规范个人信息控制者在收集、保存、使用、共享、转让、公开披露等信息处理环节中的相关行为,旨在遏制个人信息非法收集、滥用、泄漏等乱象,最大程度地保障个人的合法权益和社会公共利益。
2019年-2020年,数据安全管理办法(征求意见稿)、个人信息出境安全评估办法(征求意见稿)、移动互联网应用程序(App)收集个人信息基本规范(草案)、个人信息告知同意指南(征求意见稿)、网络安全标准实践指南—移动互联网应用程序(App)收集使用个人信息自评估指南(征求意见稿)、网络安全标准实践指南—移动互联网应用程序(App)个人信息安全防范指引(征求意见稿)相继发布,2020年个人信息合规法律法规制度数量将成井喷式增长。
在较为繁杂的法律法规体系下,企业确认合规义务难度加大,未正确确认合规义务将直接影响对合规风险的预防、识别和积极应对。在此,我们根据法律法规及监管要求,结合一般企业商业目的,我们总结一般场景下企业个人信息保护合规风险应对方式,供企业参考。
(一)明确个人信息保护基本原则并行使对应准则
结合有关法律法规、标准及企业商业目的,用户个人信息保护应遵循包括但不限于以下基本原则,并在实践中采取原则对应的具体行为准则:
1、知情同意原则,企业应明确向个人信息主体明示个人信息处理目的、方式、范围、规则等,获得其授权,并在授权范围内进行数据处理;
2、公开透明原则,企业应保证在包括但不限于PC、无线端产品、服务、网站上线时同时发布对应的隐私权政策或隐私条款,以明确、易懂和合理的方式公开处理个人信息的范围、目的、规则等,使得用户能简单易懂的获取企业有关隐私权和安全实践的信息;
3、最少够用原则,企业进行用户个人数据的收集、使用、存储、共享等数据处理时,应在为实现业务需求的必要范围内进行;
4、数据质量原则,企业应当对收集的重要和常用的用户个人信息数据和衍生类个人数据(用户画像)进行定期检查、验证,依据用户授权或法律规定的使用目的,检查、验证所记录的用户个人数据的客观性、真实性和准确性并及时进行更正;
5、确保安全原则,企业应具备与所面临的安全风险相匹配的安全能力,并采取足够的管理措施和技术手段,保护个人信息的保密性、完整性、可用性。
(二)用户个人信息保护必要要求
1、隐私权政策及条款的公示要求
(1)企业应该各业务线包括但不限于PC、无线端产品、服务、网站上线时,同时发布对应的隐私权政策或隐私条款。隐私政策及条款应易于访问,例如,在网站主页、移动应用程序安装页等显著位置设置链接。
(2)原则上,各业务线的隐私政策应与企业整体隐私政策统一,若统一的隐私政策范围不适用特定业务线的,业务线应拟定特定隐私政策或条款。
(3)如果使用二级域名的网站,若一级域名网站的隐私权政策不适用于该网站的,应于二级域名网站上线的同时发布该网站独立的隐私权政策。
(4)在线的隐私权政策、隐私条款、包含隐私条款的用户协议、单独的授权文件的上方/下方,应当提供用户点击同意的按鈕,按钮上应当有用户表达同意的文案,例如“我已阅读并接受”、“我已阅读并同意”等。
2、退出机制要求
使用用户个人数据进行精准化营销的,营销触达渠道(页面浮出、网页、电子邮件、短信等)应当设置用户的退出机制,由用户选择是否拒绝接受或更换触达的内容。
(三)个人信息采集合法合规
1、向用户直接采集信息
在制度层面,企业按照当前的监管要求在隐私权政策、隐私条款、授权文件中,逐一列出收集使用个人信息的目的、方式、范围等,否则可能存在被认定为“未明示收集使用个人信息的目的、方式和范围”的情况。
在执行层面,用户个人数据的收集应与用户授权或法律规定的范围一致。不得欺骗、诱骗、强制个人信息主体提供其个人信息;不得隐瞒产品或服务所具有的收集个人信息的功能;不得收集法律法规明令禁止收集的个人信息。
此外,对于存量数据可能存在授权瑕疵问题,企业应当尝试通过隐私政策推送或更新的方式,取得用户补充授权。如无法取得补充授权,企业应当对存在授权瑕疵的数据进行清洗与风险等级划分,对高风险的数据进行数据隔离或删除。
2、从第三方间接获取用户个人信息
应当对第三方的数据来源及使用的合规性进行事前的核查和评估,建议实施规范如下:
(1)在接受第三方的数据前应履行尽职调查,评估隐私合规风险,核查第三方数据收集的方法、用户授权的内容、用户同意的方式,确保第三方数据的用户授权范围足够覆盖企业处理数据的业务需求。
(2)要求第三方数据源就用户授权提供有效、充足的承诺与证明;并在与第三方的协议中包含如下条款“第三方承诺其数据来源及使用合法合规,未侵犯任何第三方的合法权益,并保证承担违反承诺的法律责任”。
(3)选取多个合格的第三方数据服务商。
(4)与第三方的数据传输必须具备监控机制和访问控制。使用加密方式传输数据。
另,建议企业制定严格的第三方数据审批采购流程。
(四)个人信息使用合法合规
1、对内数据融合
(1)在数据融合的过程中,企业应确保不会超出相关个人信息主体的授权范围。在满足数最少够用原则下,因考虑到获得客户二次授权的可行性较低及业务压力,企业应在确定初始授权范围时作出适当安排。
(2)应当根据具体的数据融合商业模式(同一实体内数据融合或同一集团数据融合),确定实体或集团中涉及的企业在数据融合中的角色定位(数据控制者与数据处理者、共同数据控制者),根据具体的数据处理角色,以协议、审计等方式促进实体或集团内不同角色间相应权利、义务、责任的落实。
2、对外数据共享
(1)企业应当在对外共享收集的个人信息前,充分告知共享、转让个人信息的目的、数据接收方类型和可能的后果并取得信息主体授权;
(2)通过协议约束个人信息接收方:规定个人信息接收方的责任和义务,明确因接收方导致的数据泄露或其他数据合规风险,接收方应承担相关责任;约定在发现接收方违反法律法规或约定处理个人信息时,发送方有权立刻要求接收方停止该行为与采取补救措施;明确约定披露的数据用途、存储地点、使用期限及数据归属,数据授权范围等;约定协议解除或终止时接收方应当删除有关数据;其他协议应当规定的内容。
(3)企业在向他人提供个人信息前,应当评估可能带来的合规风险。评估内容至少包括以下几方面:该数据泄露可能造成的损害;存储该数据的地点;存储该数据的设备所采用的安全防护措施;该数据的访问控制措施及相应的人员管理制度;该数据传输所采用的安全保护措施;其他应评估的内容。
(4)留存与第三方交互、共享个人信息的日志记录、协议文本。
以上是我们总结的一般场景下企业个人信息保护合规风险应对方式,供企业参考。实务过程中,情况复杂多变,我们将根据企业自身特点,为企业量身打造合规解决方案,以合规促进企业发展,以合规为企业创造价值。
(本文作者为北京市炜衡律师事务所高级合伙人杨振煜律师,北京市炜衡律师事务所白宇思律师)
链接:
北京市炜衡律师事务所成立于1995年,是由原司法部中国法律事务中心部分骨干律师创建的合伙制律师事务所。秉承“洞察、沟通、解决、良知”的执业理念,以“为中外客户提供全面、优质、高效的法律服务”为最高追求,经过二十五年的奋斗,如今已成为中国著名的大型综合性律师事务所,总所设在北京,并在上海、深圳等近四十个国内外城市设立分所。炜衡律师事务所多次被授予“全国优秀律师事务所”“北京市优秀律师事务所”等荣誉称号,先后入选钱伯斯、ALB《亚洲法律杂志》、《商法》杂志等排名。
炜衡律师事务所北京总所与各分所执业律师近3500人,其中北京总所执业律师近400人,并设有20余个业务部门,竭诚为国内外广大客户提供规模化、网络化、专业化、国际化的专业法律服务。