导航
中兴通讯股份有限公司遭遇美国商务部制裁的事件迅速发酵,并引起了社会公众广泛热议。从法律人士的角度看,中兴的本土观念和经验不符合国际化规则与运营要求是问题的本源,这也是中兴因缺少必要的规则和法律意识,而栽进的一个“坑”。那么对于越来越多进入国际化市场的中国企业而言,还有哪些合规问题可能成为企业发展的障碍?
2017年6月1日《中华人民共和国网络安全法》(以下简称“《网安法》”)开始实施。欧盟的《一般数据保护法案》(又称“《数据保护通用条例》”,General Data Protection Regulation,GDPR)已进入倒计时生效模式(2018年5月25日正式开始执行)。两年来,“个人隐私”、“个人信息保护”的话题一次次成为公众、媒体评论的焦点,其原因不仅在于政府立法力度之大、之快,在于人们自我保护和权利意识的不断觉醒和提升,更在于中国企业要做大做强所面临的全球化、一体化法律规则的必然适用与遵从。
但对于很多中国企业而言,对后两者的认知与判断仍不充分,甚至可能成为其业务发展的潜在风险。在这个信息网络发达得已经超乎我们想象的社会中,但凡需要企业与自然人接触的,都可能会涉及企业收集个人信息的情况,如企业招聘、雇用员工;手机或电脑设备生产商向用户推广产品或提供服务;软件开发商实现其产品功能;资讯或公关传媒公司受客户委托对用户开展调研;网络服务商或运营商在用户注册或登录时收集其个人信息……那么处于不同环节中的企业该如何建立个人信息保护机制,避免风险呢(专门从事征信业务的企业须遵守相关条例和规定,不在本文论述范围内)?笔者拟从《网安法》及GDPR的主要规定说起,就企业个人信息的合规实务略抒浅见。
一、 中国“个人信息保护”的立法概况
随着《网安法》的出台,总体而言,中国已经基本上构建了以承担刑事、民事、行政责任来保护个人信息的综合立法架构,但仍然缺少统一的单独立法与执法标准。《网安法》第四章第40条至45条仅专门针对个人信息保护的原则进行了规定,其他就个人信息保护的立法分散于近百部法律、行政法规及部门规章中。
为配合《网安法》的实施,国家互联网信息办公室及相关行业主管机关、标准化机构已经在紧锣密鼓地发布、征求意见或正在制定与《网安法》相配套的一系列法规和标准。包括《网络产品和服务安全审查办法》(试行)、《国家网络安全事件应急预案》、《个人信息和重要数据出境安全评估办法》(征求意见稿)、《关键信息基础设施安全保护条例(征求意见稿)》、《公共互联网网络安全威胁监测与处置办法》、《信息安全技术数据出境安全评估指南》(征求意见稿)、《信息安全技术 个人信息安全规范》、《关键信息基础设施的具体范围和安全等级保护办法》、《个人信息去标识化指南》等等。
其中《信息安全技术 个人信息安全规范》已于2018年5月1日开始实施。这个标准虽然是非强制性的,但其在制订时充分考虑了GDPR的最新标准,同时也参照了美国个人信息保护的先进实践经验,其保护水平或程度介于欧盟与美国之间,是一个非常详尽和全面的指导文件。对于中国企业而言,在国内目前的法律规置背景下,这个标准不失为一个有帮助性和借鉴意义的合规实务参照。但如果涉及到国际业务,尤其是欧盟业务,企业则必须在个人信息保护方面再升一格,即严格按照GDPR的标准执行。
二、 GDPR的主要变化及对企业带来的挑战
2016年4月14日,欧洲议会投票通过了商讨四年的《一般数据保护法案》(GDPR),该法案取代了当前的数据保护指令(DPD),并将于2018年5月25日正式生效。GDPR的通过意味着欧盟对个人信息保护及其监管达到了前所未有的高度,堪称史上最严格的数据保护法案。我们可以看到,GDPR的主要变化给企业,尤其是从事欧洲业务的企业带来了很大的挑战。以下简要列举一些变化要点。
1. GDPR适用范围从属地主义原则向属人主义原则扩张
GDPR的适用对象不仅包括欧盟内的企业,还包括虽然住所不在欧盟境内,却向欧盟用户提供商品或服务(不论是否收费)的所有企业,即只要这些企业有收集和/或处理了与欧盟公民有关的个人信息的事实。这一原则的变化,也是GDPR在全球引起极大震动的原因之一。不论是传统行业,还是电子商务、社交平台等新兴领域,只要涉及向欧盟境内个人提供产品或服务并处理个人信息,即受GDPR的约束。
2. 完善了个人敏感信息的类别并进一步明确了处理原则
除了关于个人种族、政治倾向、宗教和哲学信仰、商业团体资格、以及关于个人健康或者性生活的敏感信息外,GDPR还明确加入了基因数据和生物数据两个类别。作为一般法则,GDPR禁止处理敏感数据,除非能够满足特定的例外条件。
3. 增加了数据主体的权利
GDPR 另一大亮点在于增强了数据主体的权利,主要体现在删除权和可携带权。 “删除权”又称 “被遗忘权”,传统上是指当用户不再希望个人信息被处理并且数据控制者已经没有合法理由保存该数据时,用户有权要求删除数据。GDPR对删除权的更多要求体现在:如果数据控制者将相关个人信息进行了公开传播,当用户提出删除时,该数据控制者应负责通知其他数据控制者和第三方,让其停止利用、删除有关数据主体的个人信息链接或复制件,这实际上是对传统“删除权”范畴的扩张。“个人信息可携权”是指用户可以无障碍的将其个人信息从一个信息服务提供者处转移至另一个信息服务提供者;数据控制者需要配合用户以常见且可读的方式提供数据文本。
这些对数据主体权利的补充,对企业提出了更多的合规要求,包括企业重建规范流程和制度、升级技术系统、完善业务流程等。
4. 对“个人同意”进行了更明确的规定
GDPR强调,获得数据主体的“同意”是所有处理个人信息活动的合法化的基础,因此“同意”必须是具体的、明确的,而且是在数据主体充分知情的前提下自由做出的;用户有权撤销同意。据此,帮助用户勾选或默示都不能证明数据主体表示了“明确的同意”。相应的,数据控制者需对用户的同意承担举证责任。
5. 新增了数据处理者的责任
GDPR对负责数据的主体进行了区分,包括数据控制者和处理者,后者多指不负责决定处理数据目的和方式的企业或组织,如数据外包方;GDPR另一重大变化之一,是对数据控制者和处理者的权利义务有了更明确的要求,同时在某些方面,要求数据处理者与数据控制者承担同等责任。一旦违法,数据处理者的违规行为同样将受到严格处罚。
以上立法的变化将对当前云计算生态体系、区块链等技术应用带来重大影响,从事相关业务的企业应引起足够重视。
6. 执法权力、处罚与司法救济
GDPR赋予了监管机构更大的执法权并规定了高额的罚金,整体上处罚分为两档:(1)处以1千万欧元或者上一年度全球营收的2%,两者取其高;(2)处以2千万欧元或者企业上一年度全球营业收入的4%,两者取其高。如果一个以上的数据控制者、处理者涉及侵权,则共同承担连带责任。这些罚则加重了企业的责任,也促使企业不得不投入重多的精力、技术和金钱来完善各自的数据安全保护体系。
7. 一站式监管简化了合规工作
这点变化对企业而言,不啻为福音。GDPR创设了一站式监管机制,欧盟数据保护理事会(European Data Protection Board)作为欧盟数据监管的最高权力机构负责统一立法和提供指导,以确保GDPR适用的一致性。对于在多个欧盟成员国均有业务或经营场所的企业和组织,一站式监管机制将为其指定一个主要机构作为监管的牵头机构,其监管效力辐射于全欧盟境内,以上建置简化了国际商事主体在欧盟境内进行信息交换的流程。
三、 企业如何确保个人信息处理活动的合规性
鉴于法律规定愈发严格的趋势,企业必须对个人信息保护的合规问题引起足够的重视,尤其是涉外业务,从战略、制度的顶层设计,到技术安全的严密布阵,容不得丝毫侥幸,否则可能会栽进违反个人信息保护的“大坑”。
(一)制订个人信息保护战略,完善相关制度及保障措施
国际化企业必须将“个人信息保护”上升到战略高度,并制订长期规划。如果不恰当地处理个人信息,除了法律责任外,还会给企业带来诸多其他风险,如:股票损失;商誉、股东利益或商业合作关系受到损害;丧失客户的信任;影响雇员士气;业务流失,继而导致收入和市场份额减少……
前期Facebook近5000万用户个人数据被不当利用事件引发了轩然大波,致使事发后Facebook 的股价连续下跌,两个交易日竟下跌了接近500亿美元。而在此前,Facebook的个人信息保护政策也多被垢病。作为国际化企业,必须格外重视个人信息保护问题,并且应该将其放置于重要的战略地位,全公司须自上而下地在文化、管理、员工意识和行为等各层面推进落实个人信息的保护。
1. 制度保障
企业要认真审视是否已经根据新的法律要求建立了比较完备的制度、规范及细化的流程。包括:(1)适用于全集团的统一个人信息保护规定(国际化企业应制定适用于全球且与欧盟保护水平一致的规定);(2)针对企业主要业务或不同国家地区所适用法律而制订的专门细则,如:为营销目的处理个人信息的管理细则、网上或APP隐私政策制订与更新标准、未成年人信息的处理流程等;(3)需遵从的国际性标准条款,如与欧盟签署的“涉外个人信息传输协议” 等。
2. 组织保障
一般而言,成熟的国际化企业均会在全球及重要区域设置专岗专人(包括全球的Chief privacy officer以及各区域的privacy officer),进行个人信息处理的统一管理、职责分配、培训、监控及日常的沟通协调工作。GDPR还特别规定了企业必须设立数据保护官的法定情形,包括:政府部门及公共机构作为数据控制者;机构核心业务涉及有关大规模活动;处理特殊类型的个人信息,或者数据处理活动与刑事定罪相关。数据保护官的联系方式必须予以公布,同时向监管机构报备。
对于中国企业而言,在本土环境下的相关从业者,往往缺乏丰富的国际化实务经验,如何获取这方面的人才或外部资源,建立组织保障,帮助企业快速在个人信息保护方面搭建全面、系统且有效的管理体系,这是急待走出去的中国企业考虑和解决的问题。
3. 技术保障
再好的制度与组织保障,都必须依靠技术来落实个人信息的保护。企业必须选择技术标准过硬的系统或设备,或者投入经费进行安全技术研发,利用完全的加密手段防止未经授权的信息访问,以保障信息安全。为确保合规运营、便于统一管理个人信息,有的公司还会专门建立处理个人信息的系统或平台,如通过Email向用户发送EDM(Email Direct Marketing,邮件营销)信息的电子系统。通过该系统建立了一整套针对EDM营销方案的审核及评估机制,实现信息发送、退订及查阅、修改的合规要求。
4. 监察保障
无论是《网安法》还是GDPR都对企业数据的日常管理提出了评估、监测及报告的要求。《网安法》规定企业保存网络日志不少于六个月;要定期开展网络安全认证、检测、风险评估等活动;并且在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,及时告知用户并向有关主管部门报告。
GDPR提出了文档化管理的要求,即数据控制者必须全面记载其数据处理活动,做到一举一动都有据可查;对于高风险的数据处理活动,尤其是采用新技术时,数据控制者应当进行严格评估;一旦发生数据泄露事故,数据控制者需要在72小时内通知监管机构。
(二)确保隐私政策合规
去年南方都市报率先发起了对常用1500余款APP及网站的隐私政策(即个人信息保护政策)透明度的专项评测活动,并发布了《2017个人信息保护年度报告》。结果显示,透明度高的极少(其中10家企业,基本上是2017年7月经中央网信办等四部委组织隐私政策评审的首批参评对象),透明度低则占到绝大多数,超过总数的80%。我们说企业个人信息保护最直接,也是最基础的体现就是《隐私政策》,它不仅是企业对用户的承诺,也是企业对自己的一种保护和内化的管理要求,企业个人信息保护合规应该首先从《隐私政策》做起。
1. 隐私政策须明确、易查找
很多企业在自己的网站或APP中并没有独立的隐私政策条款,不少企业将其杂糅在《用户协议》中,简要提及一条或者用专章列示出来,但《用户协议》往往冗长、内容繁杂,用户很少能有耐心通读或发现该条款,大多情况下,用户是在不知不觉的情况下“同意”了《用户协议》。但根据GDPR的最新要求,如果允许使用个人信息的“同意”是和对其他事项的认可一并作出的,那么要求企业在收集个人信息时,必须将该项“同意”与其他事项明确、清晰的区分开来。因此,企业这种的 “一刀切同意”的做法,还是值得商榷的。从合规的角度,企业应该制订独立、明确的隐私政策,并且在用户提供信息时能通过显著、有效的途径,让用户查阅到隐私政策的全部内容。
2. 隐私政策应征得用户的明确同意
我们发现企业在获取用户个人信息时,往往会涉及用户的手机号、邮箱地址、甚至是身份证号和住址,而这些都属于个人敏感信息。对此类信息的处理,法律要求在收集时必须得到用户的明确同意,因此实践中,很多企业以方便用户体验为由,采用代为勾选、或默示选择的方式均与法律要求不符。
3. 隐私政策应详尽易懂、全面告知用户
一个完整、合规的隐私政策至少应在形式及内容要件上包含以下方面:
(1)隐私政策的结构需合理;对用户权益有重大影响的条款应给予特别提示(黑体加粗);明确标注隐私政策的生效或更改日期等。
(2)隐私政策应明确告知用户以下内容:收集哪些个人信息、使用个人信息的目的、范围、用途;处理方式和手段;储存时限;用户提供个人信息可能存在的风险,不提供可能出现的后果;是否向用户提供了明确的投诉渠道,有效的联系方式;给予用户访问、更正及删除个人信息的权利(包括向用户提供查询、更正、补充或删除其个人信息的有效途径及操作说明);与第三方(如关联公司或合作伙伴、第三方服务商)共享用户个人信息的处理原则、实现的途径及方式;承诺使用安全技术和程序对个人信息进行保密,防止泄漏、毁损或被篡改;特殊情形下个人信息的处理原则(包括使用个人信息向用户发送广告、对未成年人信息的处理等);针对个人信息泄漏事故,企业明确了相关责任和补救方式;使用Cookie、clickstream和web beacon等追踪技术的专门声明等等。
4. 隐私政策更新、修订应及时通知
对隐私政策进行修改、更新后,企业应妥善保存各原始文本,并通过适当的方式(网站公告、邮件或电话通知等)告知用户。如果更新的隐私政策在个人信息收集范围、使用目的或途径等方面与之前已经用户同意的隐私政策有差异,并且扩大了相关范畴,需要再次征得用户的明确同意 。
(三)企业对个人信息的处理原则及注意事项
1. 企业在收集个人信息时应遵循的原则
简而言之,企业收集个人信息时,应遵循的原则包括:(1)合法、正当、最少够用。企业收集个人信息时必须保证信息来源可靠;收集方式合法(如:不得使用在线自动收集、字母或数字任意组合的手段收集电子邮件地址);收集的信息凡与业务无关的,不应收集。(2)信息主体享有知情权。从形式上来说,一般会体现为企业的《隐私政策》等类似法律文件。(3)信息主体有明确的选择权,即信息主体明确同意。信息主体有拒绝的选择权利,并且这些选择结果(包括电子确认文件)应予明确的记录与妥善存档。
企业非法收集用户个人信息,可能会面临巨大的风险及损失。2011年8月,韩国昌原市一家律师事务所代表27612名iPhone用户向苹果发起集体诉讼,指控这家美国科技巨头非法收集和储存用户地理位置信息,侵犯用户隐私,赔偿总额将达到约2600万美元。此前,韩国一名iPhone用户以苹果通过隐藏文件追踪其地理位置为由,将苹果韩国分部告上法庭,法院判处苹果向该男子赔偿100万韩元。
2. 企业在存储(保管)或转移个人信息时的注意事项
企业在存储(保管)或转移个人信息时,需特别注意:采取必要的安全技术措施防止信息泄露,并保证信息的准确性;同时,还需遵从“三个限制”原则:(1)内部接触人员的范围受限。凡是无关人员均不得接触该等信息,仅限于为特定目的使用人员在完成内部的审批程序后方可接触该等信息;(2)保存的期限受限。严格按照承诺使用期间保存该等信息;(3)信息披露范围及目的受限。披露时不得涉及与目的无关的信息,严格限制接收方的人员范围;如“要向个人信息主体明确告知包括但不限于以下信息:转移或委托的目的、转移或委托个人信息的具体内容和使用范围、接受委托的个人信息获得者的名称、地址、联系方式等”。除此以外,还是特别注意,涉及向境外转移个人信息的,应严格按照法律的要求进行自我评估或相关部门的批准。
再者,在保管个人信息过程中,企业还需向信息主体提供对其个人信息进行查阅及修改的途径。个人信息主体要求对其个人信息进行查询时,数据管理者要如实告知是否拥有其个人信息、拥有的内容、个人信息的加工状态等。
如果委托的第三方收集个人信息不慎或不恰当,极易导致委托企业承担责任。因此,企业委托第三方收集个人信息时必须建立全链条的管控措施。一、建立事前评估、甄选机制。在开展业务前,必须对委托的第三方进行全面考查与评估,选择操作规范、业界口碑好、履约能力强、有充分技术手段保护信息安全的合作伙伴。二、进行严格的合同约束。通过严谨、明确的合同条款约定收集方的义务,包括:保证信息的来源合法可靠,其在获得个人信息前必须将信息使用目的、最终使用人等内容告知信息主体并得到其同意,采取充分、严格的保密措施保证个人信息安全,妥善保管、删除/销毁个人信息,设定严格的违约责任条款等;三、事中控制与审查。可设立对第三方的工作进行调查或独立审计的权利并在过程中实施。
3. 企业使用个人信息的原则
(1)企业使用个人信息最重要的一点,就是不得超出收集个人信息时告知信息主体的使用目的、范围及方法等。一旦使用个人信息超出收集时明确告知权利主体的使用范围、用途、方式或使用主体发生变化等,均需重新得到个人信息权利主体的同意。
(2)向信息主体提供商业广告的特别注意事项。向未主动请求的用户发送的电子邮件广告、刊物或其他资料实际上就是我们常说的垃圾邮件。在美国,领先的Email营销服务商Datran Media Corp就因其在明知侵犯用户隐私权的情况下,使用其它公司搜集的600万Email地址向用户发送垃圾邮件(包括打折药品、减肥药丸等产品宣传广告),而被纽约首席检察官起诉为违法行为,最终Datran同意以110万美元罚款来修正此错误。
根据2012年12月28日《全国人民代表大会常务委员会关于加强网络信息保护的决定》第七条,“未经电子信息接收者同意或者请求,或者电子信息接收者明确表示拒绝的,不得向其发送商业性电子信息”。因此,企业在每次向个人发送商业性(营销)电子信息时,都需确保:(一)已明确获得了信息主体接收该等电子信息的确认(需有电子邮件或书面凭证);(二)发送材料时应同时明确告知信息主体“退订”的渠道及持续有效的方式;(三)营销材料中应明示发出方的名称,并在首页附显著的“广告”标记;(四)一旦收到“退订”信息,需及时梳理个人信息名单,确保下次不得再向退订用户发送营销材料;(五)妥善保存信息主体订阅和退订营销材料的记录。
(3)对数据画像活动的特别规制。《网安法》第四十二条为数据匿名化提供了法律依据,即为大数据、数据画像提供了法律保障,但企业如何具体运用及实现还有待于相关法规或标准的出台。GDPR对“数据画像”概念的外延界定较为广泛,它是指任何通过自动化方式处理个人信息的活动,包括工作表现,经济状况、位置、健康状况、个人偏好,可信赖度或者行为表现等。这一概念被普遍认为能够覆盖目前大多数利用个人信息的大数据分析活动。GDPR规定画像活动必须经过数据主体的明确同意方为合法,但不少业内专家认为,实务中,获得用户在数据画像方面的同意是难以操作的,这将对大数据背景下的分析营销活动带来负面影响。
因此,对于依赖于数据画像的企业来说,需要及时了解欧盟的进一步立法及执法动态,并同时加强内部的合规管理。
4. 企业删除个人信息的注意事项
当信息主体向网络服务提供者提出删除其个人信息的需求时,网络服务提供者应及时删除,并要求其所转让、共享以及接受其披露的任何第三方及时删除。删除后,应实现在任何情况下,个人信息主体无法被识别且处理后的信息不能被复原。有企业困惑于这种删除是否将已经匿名化的数据也一并删除掉?根据普遍观点,匿名化数据不受个人数据保护法调整,即一旦个人信息被匿名化,其本身已经切断了与特定个人的联系,处于不可识别的状态,但企业应特别注意应保证匿名化数据,在任何时候均无法识别、不能被复原。
(四)手机或电脑终端设备生产商OEM软件所涉及到的个人信息保护问题
有些出厂时就已经预装在硬件产品中的应用软件,在收集中用户个人信息时,可能不会出现任何关于信息收集的提示。有法律人士认为,这些终端厂商亦构成共同侵权。先不论这个问题是否成立,作为终端设备制作商如何避免“惹火上身”呢?首先,应通过与软件权利人签署的合同,让软件权利人做出明确担保,如:凡软件涉及到收集用户个人信息功能的,必须明确告知用户并得到用户的同意;如果因此使生产商遭受损失可信息主体投诉的,应由软件厂商承担责任。另外,终端设备制作商应通过自已产品本身所附带的产品手册或注册协议等文件,明确告知用户本公司的“隐私政策”,设立相关免责声明(软件权利人侵犯个人信息行为的,应由侵权人承担责任)等。
总之,重视用户个人信息,是企业对用户的足够尊重,也是给自己的必要保护。企业的自我约束与发展,不仅是能力的体现,更是诚信的彰显。越来越多的中国企业正在以崛起的姿态阔步于世界,但也需要以更开放、更积极的态度来面向并接受国际规则。保护个人信息安全,从企业自律作起,于促进中国法制进程和成就国际化企业而言都是应有之义。
参考文献:
1. 《信息安全技术 个人信息安全规范》
2. 《网络产品和服务安全审查办法》(试行)
3. 《个人信息和重要数据出境安全评估办法》(征求意见稿)
4. 《关键信息基础设施安全保护条例(征求意见稿)》
5. 《南都报告:1550家平台隐私政策测评结果出炉 超八成透明度低》
6. 《<欧盟数据保护通用条例>:十个误解与争议》,王融,腾讯研究院
7. 《数据匿名化的法律规制》,王融,中国征信杂志
8. 《苹果在韩遭遇2.7万人集体诉讼 索赔2600万美元》(http://tech.sina.com.cn/t/2011-08-17/12005941535.shtml)
9. 《从垃圾邮件看网络隐私权的法律保护》,高雁(http://www.lawtime.cn/zhishi/eclaw/eddzyj/eddzyjflyj/2006112945850.html)
10. 《Email营销服务商引发美国最大的侵犯用户隐私事件》(http://www.jingzhengli.cn/baogao/f20060316.htm)
11. 《欧盟<通用数据保护条例>(GDPR)实务指引(第一篇)》至《欧盟<通用数据保护条例>(GDPR)实务指引(第十一篇)》,上海大成所,戴健民、邓志松
12. 《删除权:被遗忘权的中国道路》,许可(http://www.sohu.com/a/195376709_99932760)
