2021.06.06 杨锦文 高健 李圆圆
随着大数据时代的到来,收集、利用个人M88 Malaysia对于企业经营管理的作用不言而喻。另一方面,2021年315晚会披露了部分企业非法收集消费者个人M88 Malaysia的典型案例(包括违规采集用户人脸M88 Malaysia、非法泄露用户简历、App私自获取用户手机M88 Malaysia等),再次揭示了企业合法收集、使用个人M88 Malaysia的重要性。在个人M88 Malaysia保护方面,全国人大常委会于2021年4月29日公布《个人M88 Malaysia保护法》(草案二审稿、以下简称“个保法二审稿1”),首次以专门立法的形式,对于个人M88 Malaysia保护、合理利用个人M88 Malaysia作出了全方位、系统性的规定。本文拟结合相关实务经验,分析个保法二审稿规定的企业个人M88 Malaysia合规的重要事项,以供相关企业参考。
一、企业办理个人M88 Malaysia出境时的三种要件
1.一般企业可以选择适用三种要件之一办理M88 Malaysia出境
关于个人M88 Malaysia的存储,《网络安全法》及配套法规(征求意见稿)等均规定了“境内存储”为原则、“确有必要时事先进行安全评估”为例外的规制模式。对此,二审稿第38条放宽了个人M88 Malaysia出境的条件,即除了通过国家网信部门组织的安全评估之外,企业还可以通过以下两种要件来实现M88 Malaysia出境,即:(1)按照国家网信部门的规定经专业机构进行个人M88 Malaysia保护认证,或者(2)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务,并监督其个人M88 Malaysia处理活动达到本法规定的个人M88 Malaysia保护标准可向境外提供个人M88 Malaysia。需要注意的是,目前尚未公布关于个人M88 Malaysia保护认证、个人M88 Malaysia出境的标准合同等配套文件、规则,需要关注今后的立法动向。
2. 特殊企业仅能适用“安全评估”要件办理M88 Malaysia出境
根据个保法二审稿第40条,对于特殊企业(关键M88 Malaysia基础设施运营者和处理个人M88 Malaysia达到国家网信部门规定数量的个人M88 Malaysia处理者),应当坚持在个人M88 Malaysia存储在中国境内的原则。确需向境外提供时,仅能适用“通过国家网信部门组织的安全评估”一种要件,而不能适用上述1中的个人M88 Malaysia保护认证或者签订标准合同要件。
二、企业非经批准不得将个人M88 Malaysia提供给境外的司法/执法机构
个保法二审稿第41条规定,非经中国主管机关批准,中国企业不得按照境外的司法或者执法机构要求提供存储于中国境内的个人M88 Malaysia。
根据以往的业务案件经验,跨国公司的中国子公司出于FCPA调查、商业贿赂案件调查/反舞弊调查或者境外诉讼仲裁等客观需求,往往需要向境外政府部门、母公司、司法机构、客户公司等提供文件资料,其中有可能涉及中国员工的个人M88 Malaysia。上述个保法二审稿第41条的规定正式制定实施以后,中国子公司未经批准将被禁止向外国母公司、司法及仲裁机构提供中国境内的员工个人M88 Malaysia,需要格外注意。
对此,我们建议跨国公司在个人M88 Malaysia出境前,通过获取外部专家的协助对相关文件进行筛查,如果经筛查发现相关资料涉及个人M88 Malaysia,一般应通过特殊加工(Redaction)等措施进行去标识化处理,以防止这些M88 Malaysia被传输至境外带来不必要的违法风险。
三、企业应保障用户行使撤回同意的权利
根据二审稿第16条,对基于个人同意而进行的个人M88 Malaysia处理活动,个人有权撤回其同意,个人M88 Malaysia处理者应当提供便捷的撤回同意的方式。其实在欧盟一般数据保护条例(下称“GDPR”)以及国标《个人M88 Malaysia安全规范》(GB/T 35273-2020)已对撤回同意权条款做出规定,撤回同意实际上是指撤销同意,即用户(是指消费者等个人M88 Malaysia主体,以下在本文中与“消费者”、“自然人”、“个人M88 Malaysia主体”具有相同含义)在已经做出同意处理其个人M88 Malaysia的意思表示之后,仍然有权通过做出撤销的意思表示来取消该同意。通过将撤回同意条款在个保法中予以规定,该条款将从个保法二审稿通过并正式实施起位阶升格为法律,显示了立法者更严格的保护态度。结合实务经验,企业应从以下两个方面保障撤回同意的实现。
第一、用户行使撤回同意权利的时间不限于M88 Malaysia的收集阶段,可以在个人M88 Malaysia的收集、使用、保存、共享等全生命周期内行使2。实务中,在同意收集个人M88 Malaysia的初始阶段,消费者往往很难理解、判断做出该同意将面临何种后果,而是在后续阶段发现经常受到商家频繁的商业广告滋扰,此时个人M88 Malaysia主体可以行使自己的同意撤回权,要求经营者停止推送商业广告以及使用其个人M88 Malaysia的其他行为。对此,《个人M88 Malaysia安全规范》明确规定,企业应保障个人M88 Malaysia主体拒绝接收基于其个人M88 Malaysia推送商业广告的权利。
第二,关于便捷的撤回同意的方式,虽然个保法二审稿没有做出进一步的规定,但参考GDPR“撤回同意应当和表示同意一样简单”的宗旨以及《个人M88 Malaysia安全规范》的相关规定,企业应该向消费者明示撤回同意的方法,确保该方法简单易操作、且能及时获得企业的响应。根据个人M88 Malaysia合规的实务经验,企业可以通过在App页面的显著位置设置撤回同意的按键、在“联系我们”栏目明示联系电话且安排专人应答的方式,保障消费者及时行使撤回同意的权利。
四、对于新增的处理个人M88 Malaysia的合法情形,企业应慎重适用并注意留存证据
《民法典》、《个人M88 Malaysia安全规范》等均规定,企业应在取得用户同意的基础之上,才能处理个人M88 Malaysia。而二审稿第13条在“取得同意”之外,新增了企业可以合法处理个人M88 Malaysia的其他合法情形3,整体来看为企业合法收集、使用个人M88 Malaysia提供了更多的合法场景,值得期待。
但是个保法二审稿没有具体规定合法情形的运用方式,需要进一步关注。例如,新增的合法情形包括,“为订立或者履行个人作为一方当事人的合同所必需”的情形。根据字面解释,企业只要是为了订立或履行用户作为一方当事人的合同所必需,均可以不经取得同意而收集、使用、处理消费者的个人M88 Malaysia,对此,不少专家担心企业以“为订立或履行合同所必需”为理由,无限扩大不经同意而处理个人M88 Malaysia的适用场景4。
此外,企业还应关注个保法二审稿与其他部门法之间的协调适用问题。例如,在消费者保护领域,《消费者权益保护法》第29条规定,“经营者收集、使用消费者个人M88 Malaysia,应当遵循合法、正当、必要的原则,明示收集、使用M88 Malaysia的目的、方式和范围,并经消费者同意”。对此,企业能否以第13条规定的“为订立或者履行消费者作为一方当事人的合同所必需”的情形为依据,主张不再需要获得消费者同意,需要进一步研究。
五、个人M88 Malaysia处理受托方的禁止行为及安全保护义务
关于个人M88 Malaysia的委托处理模式,二审稿特别规定了受托方的义务。在人力资源、金融行业等个人M88 Malaysia外包处理较多领域,需要受托方企业予以关注。
首先,二审稿第22条规定了业务委托合同应约定的必要条款包括委托处理的目的、期限、处理方式、个人M88 Malaysia的种类、保护措施以及双方的权利和义务。同时,关于业务委托合同的履行,第22条规定了受托方的以下禁止行为:
(a)受托方应当按照约定处理个人M88 Malaysia,不得超出约定的处理目的、处理方式等处理个人M88 Malaysia;
(b)委托合同不生效、无效、被撤销或者终止的,受托方应当将个人M88 Malaysia返还个人M88 Malaysia处理者或者予以删除,不得保留。
(c)未经个人M88 Malaysia处理者同意,受托方不得转委托他人处理个人M88 Malaysia。
其次,二审稿第58条还专门规定了委托方的个人M88 Malaysia安全保护义务:“接受委托处理个人M88 Malaysia的受托方,应当履行本章规定的相关义务,采取必要措施保障所处理的个人M88 Malaysia的安全。”关于受托方应采取哪些必要措施保障安全,第58条没有明确列举,参照同为个保法二审稿第五章项下的第51条规定,我们理解相关必要措施可能涉及到以下内容:
(a)制定内部管理制度和操作规程;
(b)对个人M88 Malaysia实行分类管理;
(c)采取相应的加密、去标识化等安全技术措施;
(d)合理确定个人M88 Malaysia处理的操作权限,并定期对从业人员进行安全教育和培训;
(e)制定并组织实施个人M88 Malaysia安全事件应急预案。
六、基础性互联网平台等应成立个人M88 Malaysia保护独立机构
根据个保法二审稿第57条,提供基础性互联网平台服务、用户数量巨大、业务类型复杂的个人M88 Malaysia处理者,应当履行以下合规义务:
(a)成立主要由外部成员组成的独立机构,对个人M88 Malaysia处理活动进行监督;
(b)对严重违反法律、行政法规处理个人M88 Malaysia的平台内的产品或者服务提供者,停止提供服务;
(c)定期发布个人M88 Malaysia保护社会责任报告,接受社会监督。
但是关于“基础性互联网平台”、“用户数量巨大”、“业务类型复杂”,二审稿没有做出定义,需要互联网平台企业进一步关注。
七、企业应做好证据留痕以防范“过错推定”责任
个保法二审稿第68条规定了个人M88 Malaysia权益受到侵害时的“过错推定”归责原则,即个人M88 Malaysia权益因个人M88 Malaysia处理活动受到侵害时,企业等如果不能证明自己没有过错的,应当承担损害赔偿等侵权责任。与“谁主张谁举证”的原则相比,“过错推定”原则将加重企业的赔偿责任。
为防止被推定存在过错而承担损害赔偿责任,企业应当在日常的个人M88 Malaysia处理过程中注意“留痕”,对依法合规处理个人M88 Malaysia、已采取必要安全保护措施等保留相关记录,以便在万一发生争议时举证自己不存在过错。对于必要的安全保护措施而言,根据二审稿第51条,企业可以采取以下措施:(1)制定内部管理制度和操作规程,对个人M88 Malaysia实行分类管理;(2)采取相应的加密、去标识化等安全技术措施;(3)合理确定个人M88 Malaysia处理的操作权限,并定期对从业人员进行安全教育和培训;(4)制定并组织实施个人M88 Malaysia安全事件应急预案。
八、企业应实施个人M88 Malaysia风险评估并留存记录
个保法二审稿第55条延续一审稿的宗旨,规定企业进行下列个人M88 Malaysia处理活动前有义务进行风险评估,并对处理情况进行记录。风险评估报告和处理情况记录应当至少保存三年。
(a)处理敏感个人M88 Malaysia;
(b)利用个人M88 Malaysia进行自动化决策;
(c)委托处理个人M88 Malaysia、向他人提供个人M88 Malaysia、公开个人M88 Malaysia;
(d)向境外提供个人M88 Malaysia;
(e)其他对个人有重大影响的个人M88 Malaysia处理活动。
根据《M88 Malaysia安全技术 个人M88 Malaysia安全影响评估指南》GB/T39335-2020,风险评估又称“个人M88 Malaysia安全影响评估”,是指针对个人M88 Malaysia处理活动,检验其合法合规程度,判断其对个人M88 Malaysia主体合法权益造成损害的各种风险,以及评估用于保护个人M88 Malaysia主体的各项措施有效性的过程。
风险评估不仅可以识别可能导致个人M88 Malaysia主体权益遭受损害的风险,还可以通过处理情况记录的方式,帮助企业在政府、相关机构或商业伙伴的调查、执法、合规性审计中,证明已经遵守了个人M88 Malaysia保护与数据安全等方面的合规要求。特别是在上述第七部分关于企业责任“过错推定”的情况下,实施风险评估并留存相关记录,有助于证明企业不存在过错从而减轻或免除赔偿责任。实务中,我们已协助一些企业参照《评估指南》实施个人M88 Malaysia安全影响评估的合规自查。对于企业来说,合理评估并处置个人M88 Malaysia处理活动存在的安全风险,是遵循相关法规的合规要求,更是主动应对大数据时代M88 Malaysia风险的应有之义。
结语
个保法二审稿的公开征求意见已于5月28日截止,业界对今年之内进行草案三审并通过的期待较高。建议相关企业仔细对照个保法二审稿的重要条款,对本公司个人M88 Malaysia保护制度和个人M88 Malaysia处理规则进行自查,从M88 Malaysia出境、M88 Malaysia安全评估、证据留痕等重要方面进行准备,做到未雨绸缪、事先预判并及时规避合规风险。
1、个人M88 Malaysia保护法草案一审稿于2020年10月21日公布征求意见。
2、https://mp.weixin.qq.com/s/ZQ5zSmzmLnfEoaMNueuC5g
3、第十三条 符合下列情形之一的,个人M88 Malaysia处理者方可处理个人M88 Malaysia:
(一)取得个人的同意;
(二)为订立或者履行个人作为一方当事人的合同所必需;
(三)为履行法定职责或者法定义务所必需;
(四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;
(五)依照本法规定在合理的范围内处理已公开的个人M88 Malaysia;
(六)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人M88 Malaysia;
(七)法律、行政法规规定的其他情形。
依照本法其他有关规定,处理个人M88 Malaysia应当取得个人同意, 但有前款第二项至第七项规定情形的,不需取得个人同意。
4、 https://mp.weixin.qq.com/s/BzeEDool7sZ3-517_BU2gw