数据合规是个大命题,随着《中华人民共和国网络安全法》(下称“《网络安全法》”)正式生效并逐步深入落实,企业的网络安全及数据保护合规状态成为监管机关的重点关注内容。
截至目前,关于数据合规领域的主要规定、政策体现如下:
除上述已列明的内容外,公安部于2019年发布的《互联网个人信息安全保护指南》、全国信息安全标准化技术委员会秘书处于2020年7月与9月发布的《网络安全标准实践指南》亦是实践中常被提及和参考的一些文件。
从上述主要的法规、监管政策发布实施时间来看,自2019年起,数据合规逐渐进入到强监管的时代,上述文件共同构筑了当下数据合规的监管框架。
对于数据合规,我们首先需厘清两个基础概念:
实践中谈到数据合规会产生一个误解,认为数据合规就是保护个人信息,保护个人信息就是保护个人隐私,保护个人隐私就是写一份长长的隐私政策。现行法律规定对于数据、个人信息及隐私信息明确如下:
从上述法律规定中抽离数据、个人信息/数据、隐私的概念之后,我们可以看到三者之间存在着包含和被包含的关系。
实践中第二个常见的误区,认为数据合规等同于个人信息处理合规。我们理解“数据合规”分出两个概念“数据”与“合规”,产生前述误区的原因,一方面系因对数据和个人信息范围的理解错误,另一方面系因对合规所包含的行为内容理解比较片面。
现行《中华人民共和国数据安全法》(下称“《数据安全法》”)《中华人民共和国个人信息保护法》(下称“《个人信息保护法》”)均从数据安全与数据处理两个方面分别作出规定,具体见下表。其中,数据安全是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力;数据处理,是数据“从生到死”全流程的各个阶段,包括数据的收集、存储、使用、加工、传输、提供、公开及删除等。数据安全与数据处理相互作用,才可构建起完整的数据合规。
基于当前主要的监管重点、案例焦点以及数据安全方面的内部性,实践大多聚焦于数据处理的合规层面,尤其是数据中的个人数据处理。
一、数据处理合规
基于上述数据合规领域的主要法规、政策、标准,我们初步梳理了数据合规的基本架构和概念,并且提到一类重要数据——个人信息。因目前数据监管的重点即个人信息,故下文将以个人信息为例,探讨个人信息处理全流程中的合规问题,阐明个人信息从“出生”到“死亡”的整个过程中应当关注的合规要点。1.个人信息生命周期——《中华人民共和国民法典》(下称“《民法典》”)、《数据安全法》及《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(法释〔2021〕15号)对数据/个人信息处理的具体内容规定高度一致,即包含了“收集、存储、使用、加工、传输、提供、公开”几个阶段,《个人信息保护法》最终稿则在上述几个阶段之外单独增加了“删除”一项,将删除列为一个独立的处理阶段。上述个人信息处理的8个阶段,涵盖了个人信息从“出生”到“死亡”的全过程,我们也称之为个人信息的生命周期。
2.数据处理核心原则——在整个数据处理活动中,数据处理者都需要遵循一定的原则,在原则的基础之上就各个阶段还应遵守特别的规定。各阶段应当遵守原则,《民法典》第一千零三十五条、《网络安全法》第四十一条、《数据安全法》三十二条可概括为合法、正当、必要,这也是广为流传和接受的数据保护三原则。
收集是数据处理的源头,易产生风险。个人信息收集是指获得个人信息控制权的行为,对于个人信息收集的要求均涉及合法性、最小必要、公开透明及一般情况下的授权同意等原则。就该阶段:
1)确保合法性,常见违规表现则是以欺诈、诱骗等不正当方式误导用户同意收集个人信息或打开可收集个人信息的权限,如故意欺骗、掩饰收集使用个人信息的真实目的。
2)确保最小必要。常见违规操作包括:①收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关;②因用户不同意收集非必要个人信息或打开非必要权限,拒绝提供业务功能;③仅以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由,强制要求用户同意收集个人信息;④要求用户一次性同意打开多个可收集个人信息的权限,不同意则无法使用等。
——值得一提的是《常见类型移动互联网应用程序必要个人信息范围规定》对常见APP类型、对应的APP基本功能和必要个人信息范围作出列举,用以向社会示例如何理解实现功能所必需的个人信息内容。但有人会忽略了信息与功能目的的强关联性和匹配性,从而误解为只能收集该规定列举的信息。
3)确保公开透明。常见的违规操作包括:在APP中没有隐私政策、隐私政策难以访问(点击超过4次)、难以阅读(文字过小、过密、颜色过淡)、未逐一列出APP收集使用个人信息的目的、方式、范围等。
4)确保获得明示同意。常见违规操作包括:未提示用户阅读隐私政策、默认勾选同意、征得用户同意前开始收集个人信息或打开可收集个人信息的权限、用户明确表示不同意后,仍收集个人信息或打开收集个人信息的权限,或频繁征求用户同意、干扰用户正常使用、实际收集的个人信息或打开的可收集个人信息权限超出用户授权范围等。
个人信息的使用是指个人信息收集之后,根据收集目的进行的分析、处理。现行规定中对使用的限制归结为四类:对个人信息的展示限制、目的限制、用户画像限制、自动化决策的限制限制。相较而言,《个人信息保护法》和《特区条例》重点提出了自动化决策不得对个人在交易价格等交易条件上实行不合理的差别待遇的规定。
大数据杀熟是指市场主体不得利用数据分析,对交易条件相同的交易相对人实施差别待遇,这是近期的热点,对于消费者来说,大数据杀熟无疑是对忠实用户的隐性欺诈,因此备受诟病和批评。
虽然加工和传输作为数据处理的独立阶段出现在各法规和政策之中,但该两部分的内容几乎是空白的。
关于加工,我们理解,主要是基于数据通过各种分析加工形成新的数据、作品等形式的新权益的过程。而数据传输,与数据加工类似,我们理解是数据在不同主体或者同一主体的不同部门之间进行传递的一个过程,就这个过程,更多的是技术层面和制度层面的保障,以确保传输过程的安全。
提供是个人信息处理过程中除收集和使用之外另一个风险大户,涉及个人信息的委托处理、共享、转让、跨境提供等。《个人信息保护法》《个人信息安全规范》中均规定了上述几种提供方式下的关键要点,也与企业的业务经营活动息息相关,甚至直接影响到企业商业合同条款的拟定。
数据处理合规,因这部分内容更贴近用户,与广大消费者的生活直接相关,所以在备受关注的同时也往往会被误解为数据合规的全部。而数据合规的另一部分——数据安全合规也非常重要,它更多体现在国家/企业制度层面和技术层面,是数据处理合规的前提和基础。
(一) 现行法律法规对企业数据安全的要求
对《网络安全法》《数据安全法》《个人信息保护法》相关规定的制度和技术要求进行简化,共性汇总和特性分离后,统计如下:
(二) 企业数据安全重要制度
基于对上述规定进行共性汇总和特性分离后,可以看出四部法律既规定了一些共同的制度,也规定了针对特殊数据类型或者特定信息处理者的特殊制度,可以说这些制度共同构筑起数据合规领域的基本制度架构。
数据安全管理和信息保护制度是企业数据安全合规制度的总称,其他各项制度是其具体内容,一般来讲,我们认为应当从机构及人员设置、数据安全技术管理、数据处理活动规范等方面尝试。
《数据安全法》主要从国家层面确立了数据分类分级保护制度,同时提出各地区、各部门要制定本地区、行业或者领域的重要数据目录。而《个人信息保护法》直接规定了个人信息处理者应对个人信息实行分类管理。
当前来看,虽然相关概念尚不明确,但部分企业基于管理的需要,已经建立了针对自身企业的数据分类分级管理制度。尤其是个人信息处理者,通常将敏感个人信息及一般个人信息进行分类管理,以满足不同类型数据监管的要求。
建立数据安全应急预案制度首先要求企业制定数据安全事件应急预案,预案的核心是在发生数据泄露事件时,企业需根据数据的类型、重要程度、对个人信息主体的影响,制定处理方案,并决定是否向个人信息主体进行告知及是否向监管部门进行报告。应急预案还应当包括一整套对外的文件,用于通知监督机构和受影响的个人以及通知媒体。以下为应急预案调查环节的部分内容:
◎ 泄露的数据是什么
◎ 泄露的数据类型(一般数据/个人信息/敏感个人信息)
◎ 泄露给的接收者人数/规模
◎ 对数据主体的影响
◎ 风险是否可控
◎ 数据泄露等级
◎ 需启动的应急方案
◎ 是否需要告知数据主体
◎ 是否需要报告监管部门
此外,数据安全制度还包括数据安全应急预案制度以及风险评估制度等内容,此处不再赘述。
本文作者:缜记 来源:小律
CIO之家 www.ciozj.com 微信公众号:imciow