Copyright © 2021-2023 LIGOU.CMS 版权所有
2022/07/12
“
2022年6月27日,LCOUNCIL携手通力律师事务所合伙人潘永建律师、通力律师事务所合伙人周楷人律师、通力律师事务所顾问朱晓阳律师、通力律师事务所邓梓珊,成功举行了“如何搭建安全高效的企业数据合规体系?”线上直播分享,4700余人次参与了本次会议。四位嘉宾聚焦于个人信息立法现状与趋势,从数据合规、隐私计算和数字化营销三个层面,为同行们带来了数据合规体系建设指引。
” 扫码申请本场免费回看
分享环节 活动伊始,通力律师事务所合伙人潘永建律师进行本次开场主题介绍,潘律从个人信息立法和实践、重要数据的界定、数据跨境传输、企业数据合规指引这四个话题为我们带来分享。
一、个人信息立法和实践
// 个人受法律保护的个人信息范围
潘律表示,要解决个人信息保护问题,首先要明确受法律保护的个信范围。根据个人信息保护法,个人信息有两个标准,一个是可识别标准,即信息是否可以具体指向到个人;另外是关联标准,即与可识别信息相关联的信息,这二者都受到法律保护。 // 个人信息处理要保证四大原则,并避开红线 个人信息处理从信息收集开始,到后续的使用、分享、存储、转移、公开,以及销毁,都需要遵守四原则——合法、正当、必要、诚信,并且都要有明确合理的目的。但同时也要避免踩到个人信息处理红线,即一些典型性违法问题。潘律指出,不能构成个人信息过度收集的问题,还要保障个人信息主体的权益,即采用技术和管理措施对所采集信息进行保护。此外,如需公开个人信息,需公示相关情况且取得本人同意。
最后,潘律对个人信息保护领域的最新发展以及各类典型案例进行了详细讲解,以最新执法趋势为依据,为企业个信保护提出了有效实践建议。潘律总结了个人信息处理的五大要点,即个信处理者的义务:保证个人信息安全、设立个人信息负责人(需达到规定数量)或境内代表、合规审计、事先风险评估,以及个人信息安全事件应急响应。
二、重要数据的界定与案例
// 如何识别重要数据
从数据分类的角度看,重要数据是指从政府、监管者角度来看重要的数据,与企业视角有所不同。根据最新《重要数据识别指南(征求意见稿)》最新修订,潘律总结了识别重要数据的六大基本原则,即要聚焦于安全影响,促进数据流动,衔接既有规定,综合考虑风险,定量定性结合,动态识别复查;以及重要数据识别流程,即梳理数据资产→判断安全影响→识别重要数据→审核重要数据→形成目录。
// 重要数据要有明确的管理流程
如若企业出现重要数据,要有明确负责人、管理机构,定期开展风险评估与规范存储;若需要跨境运输,要采用“自评估+网信部安全评估”的双评估形式。随后,潘律对常见易忽略的重要数据违法案例进行了讲解与提示,潘律表示,实务中越来越多的重要或敏感数据被境外间谍机关所关注,尽管重要数据认定还未清晰,仍然要绷紧数据保护合规的弦,按照重要数据的相关规则与要求,做出方向性判断。
三、数据(含个人信息)跨境传输
// 数据跨境传输最新立法进展
潘律指出,4月信标委出台的征求意见稿有两处变更。一条是针对跨国公司或同一经济、事业实体内部的个人信息跨境处理活动,可以由境内一方申请,并承担法律责任。另外一条是个保法第三条规定,境外个人信息处理者在境外处理中国境内自然人个人信息,且无需安全评估的,可以由境外组织机构在境内设置的专门机构或指定代表申请认证,并承担法律责任。同时,人类遗传资源这一特殊领域,也对境外机构采集、使用、保藏我国人类遗传资源做出了限制规定。
// 数据跨境传输最新实践
潘律向同行们介绍到,越来越多的试验区,包括上海临港、北京、海南等地,在开展数据出境的压力测试。首先是调查清楚数据底细,即在试验区域的数据类型、数据体量、数据流向、以及数据用途,通过合作试验区的实践,未来的数据跨境传输发展规划会更加明晰。 随后,潘律为我们介绍了企业数据合规的方法论。首先,企业要从信息系统与数据构成两方面进行现状自查,同时配合企业等保测评(强制性法定义务)情况,来制定整改方案,并进行CII自评;接下来,从个人信息主体到重要数据,都要确保数据来源的合法;此外,对跨境传输等重点领域,要从必要性、合法性进行定量定性分析。潘律总结,数据合规要面向数据全生命周期,要匹配、符合其他法律规定或特殊要求,协调冲突。 随后,由通力律师事务所顾问朱晓阳律师带来以“《个人信息保护法》与隐私计算”为题的分享。朱律从个保法下的合规要点、隐私计算对个保法的回应、隐私计算无法解决的问题三个话题展开进行了讲解。
一、个保法下的合规要点
// 企业隐私保护的要点、义务
朱律首先指出了隐私保护一是要遵循最小必要原则,要有明确合理的目的,并保证收集在必要、最小的范围内,很多企业在获得用户授权同意后,忽略了这一原则。如果所收集的信息超出服务的最小必要性,即使征得个信主体同意,法律层面仍判定构成违法。二是充分告知,不论是以征得同意、履行合同、还是履行法定义务为基础,都需要进行充分告知。三是授权同意。四是存储期限与本地存储,保证用完后及时删除;对于关键信息基础设施运营者和处理个人信息超过规定数量的企业,在中国境内收集的信息应当在境内存储。最后是安全保障义务,存储人要采取技术措施,对收集数据进行保护。 二、隐私计算对个保法的回应
朱律总结了隐私计算能够为企业带来的好处。一方面,隐私计算有助于防止个人信息被滥用,它可以把明文转化为密文,除掌握原始数据一方,其他参与方就接触不到原始数据,很大程度保证了信息不会被滥用。第二,隐私计算可以有效减轻授权同意的合规负担,除原始数据持有方外,不会接触到原始数据,就不会构成法律下的数据共享,大大增加了数据的价值开发,免去很多的合规成本。第三,隐私计算有助于实现一定程度的匿名化,数据存储在服务器中如果是匿名化的,就避免了数据传输过程的数据泄露带来的后续数据安全问题,因此不会对个信主体产生影响。其次,隐私计算有助于帮助企业证明无过错,当个人信息权益受到侵害时,可以举证企业已采取符合行业标准的安全技术措施,表示侵害后果超出了企业的控制范围,帮助企业减少风险。最后,朱律强调,隐私计算不是万能钥匙,企业仍要重视数据来源端的合规性问题,在必要情况下,还需要做一些合法性的尽调。
一、隐私计算无法解决的问题
// 隐私计算技术处理后的个人信息依然可能构成个人信息
朱律指出,将个人信息转化为匿名数据的过程本身就是对个人信息的处理,因此这个过程是受到个保法约束的,即“收集和匿名化”这个过程,仍然需要获得主体同意。并且要注意,如果匿名化技术能够简单被破解,那就达不到法律要求,将不被认为是匿名化。
// 技术措施外,企业还需要采取强有力管理措施
一是要制定隐私安全策略和规程,确定个人信息处理的操作权限,并且定期开展员工安全培训,树立合规意识,必要时组织员工签署保密协议,二是要制定并组织实施个人信息安全事件应急预案,能够做到对危机事件的及时应对,最大程度减小后续产生的损失。 接下来,由通力律师事务所邓梓珊女士,围绕数字化营销的常见模式、数据来源的合法性核查、供应商及合作方资质审查、方案落地的实操要点这四个主题,为我们带来分享。 一、数字化营销的常见模式与法律定性
// 数字化营销的核心还是在于合法获取数据
邓梓珊女士首先分析了数字化营销的目标,她指出,不论公域还是私域,最终目标都是通过数据去精准分析用户喜好,结合相应策略和营销手段,进行消费者的导流。但这其中就要做到在收集使用个人信息、共享个人信息、做用户画像以及广告营销这一系列环节中,都能够保证流程合法合规,随后她就用户画像和广告营销的合规要求进行详细分析。
二、数据来源的合法性核查
// 数据汇聚融合需要重点考虑的内容
首先需要明确此次需要汇聚融合的信息类型,随后确认从各个渠道获取的信息,是属于明文信息,还是去标识化处理后的信息,查明信息来源;接着,确定获取信息的法律基础,属于用户同意,还是履行合同必须。在这些过程中,如果发现数据融合的目的超出了用户授权的覆盖范围,还需要去获得个人信息主体的授权同意。邓女士强调,在融合过程中,往往容易忽略线下场景,以及用户“掉落”问题,即用户过往授权同意是否适用于更新迭代后的隐私同意政策的问题。
// 第三方数据合规尽调
由于外部个人信息不由品牌方所掌控,因此需要对第三方进行尽调,明确数据的合法性。她认为,首先要明确数据匹配的类型是否涉及个人信息,一类是标签个人信息,一类是明文的个人信息。接着,要明确第三方获取、处理这些信息是否合法,以及平台将个人信息共享给品牌方是否合法,是否已获得主体授权,查明的方式包括查看第三方数据合规白皮书,在公开渠道查看第三方的隐私政策等。邓梓珊女士提醒,还需要通过合作协议的形式确定数据的权属限制,在数据分析完成后对相关数据进行及时删除或匿名化处理。
三、供应商及合作方资质审查 邓女士为同行们列举了常见合作方数据合规资质审查的要点。如第三方是否被列为关基单位?是否建立较完善的数据合规保护体系?等,企业还可以通过尽调以及公开渠道检索的方式,查看第三方是否遭到通报批评与被列入整改名单。 四、方案落地的实操要点
// 要重视、强调个人信息保护对公司的重要性
部分违规行为在短时间内可能不会显现出负面后果,但是,一旦发生了个人信息泄露的丑闻,很可能会对企业产生较长时间的影响,甚至在融资、上市的过程中造成阻碍。
// 数据融合的合规要点、建议
邓女士列举了9类数据融合的合规建议,其中特别强调,建议企业尽早建立个人信息风险评估流程。一方面可以满足数据合规的要求,去应对监管部门的审查;另一方面,还能帮助项目在落地之前,识别出潜在的数据风险,及时采取缓解措施。 最后,由通力律师事务所合伙人周楷人律师带来分享。周律聚焦于业务经营中数据涉刑法律风险及应对这一主题,从数据涉刑罪名、涉刑案件处理、涉案企业合规制度的适用、上海首例数据合规案件回顾及操作要点四个话题展开进行了讲解。
周律师首先对业务经营数据涉刑罪名进行了介绍,通过对法规、立案标准、以及惩罚措施的介绍,对法律规定的八类数据涉刑罪展开进行了解读,为企业作出合规指引。随后,周律介绍了涉刑案件的处理流程,由立案前、侦查、审查起诉、审判四个环节组成。周律特别强调,在审查起诉环节,涉案企业合规制度的调查是很重要的抓手,并在后续进行了具体讲解。
// 涉案企业合规制度的适用
周律表示,针对企业涉刑犯罪,首先要制定专项合规整改计划,第二阶段要对涉案企业进行合规评估,聘请第三方监督评估组织对企业制定的专项整改计划进行考察与评估,最后检察院对第三方组织的评估结果进行审核。若上述环节都通过,后续可能减轻涉刑企业惩罚,甚至达到不起诉的结果。随后,周律师为同行们厘清了适用涉案企业合规制度的情形,并对不适用本制度的情况进行了详细解释。
最后,周律对上海首例数据合规案件的案情进行了具体分享,并结合涉案企业合规制度的适用条例与应用流程,对案件进行了解读。案情分享后,周律还为同行们总结了本案的操作要点。他表示,启动程序阶段认罪、积极赔偿被害人并争取取得谅解是关键,还要尽早争取涉案企业合规的机会,主动申请适用;合规整改阶段是重中之重,积极内查,或聘请专业律师制定整改计划,严格按照第三方要求期限提交材料,以通过最终的考核评估;最后就是在检察院对接阶段,请专业律师最大程度争取合法权益。 问答环节 干货满满的三小时分享结束,直播间内围绕数据合规体系搭建话题展开了热烈探讨,四位律师针对各自的专业模块,进行了详明的解答。
直播间提问(部分):
1、照片,如报名照;参加培训活动拍照,是否属于个人信息?还是更偏向肖像权 2、作为受委托处理健康医疗数据的公司,跨境提供个人信息(当与个人健康医疗数据有交集时),需要承担处理者义务吗,例如安全评估、报备批准等? 3、在医疗健康大数据领域,数据所有权、数据使用权、数据如何授权?如何为公众提供合规的数据接口? 4、目前云存储数据进行,如何界定存储在境内还是境外?是看云存储提供商的国别吗? 5、作为一个电商平台的运营者,对于在运营后台中所看到/查询到的订单信息、以及入驻商家在商家后台中查询到的订单信息等,是否需要对这些信息作去标识化处理或作其他处理?是否可以在后台中直接显示完整的订单信息呢? 6、数据传输的个人数量是无法确定的嘛,那如何认定数量的问题? 7、如果跨国企业采取集团化管理措施,部分于中国境内收集的个人信息将被传输至境外服务器,那该等个人信息处理行为的识别、涉及个人信息量级的统计要符合当前监管实践的话,有什么建议吗? 8、本地化部署的软件,供应商利用VPN修改了软件许可期限,造成软件系统无法正常使用,是否涉嫌破坏计算机系统罪? 9、面向海外市场的业务,用户都是海外的,服务器也在海外,但我们公司在境内,此种前提下数据处理基数达到一百万以上,如果又想要将数据存储在境外,数据出境,是否只有国家网信部门的安全评估一条路?是否还有其他路径? 10、对于同时属于重要数据和个人数据(个人敏感数据)的数据类型,应遵循那一套管理规则,特别是留存和报送义务? 至此,本次“如何搭建安全高效的企业数据合规体系?”主题分享圆满结束,再次感谢通力律师事务所合伙人潘永建律师、通力律师事务所合伙人周楷人律师、通力律师事务所顾问朱晓阳律师、通力律师事务所邓梓珊带来的精彩、全面的分享,也对参与本次会议的法务、合规同行表示感谢。
官方微信