原创:宁宣凤
本文根据金杜律师事务所宁宣凤律师在“中国法务节暨公司法律人商业贡献力峰会——合规、互联网与新经济分论坛”所做分享整理而成。
杭嵘:下一位是来自我们金杜律师事务所的高级合伙人宁宣凤律师,宁律师目前的主要职业领域包括网络安全与数据合规,以及反垄断与不正当竞争。作为中国最早涉足网络安全与数据合规的律师,她非常擅长协助企业建立和完善满足中国以及欧盟、美国等多个司法辖区要求的网络安全和数据合规体系,可以为企业数据全球化的流动和商业化开发保驾护航。宁律师在反垄断领域也能够提供各种专业的法律服务。今天宁律师为我们分享的话题是跟我们法务非常有关系,是“关于数据合规中内部法务的职责”。那我们把舞台交给宁律师,欢迎。
宁宣凤:谢谢大家来听我们的分享。我是金杜律师事务所合伙人宁宣凤,我负责合规业务部,我们部门不仅有数据安全、反垄断,也有海关、国际贸易、劳动、税务、环保等等,我自己虽然在这里讲数据合规,但实际是代表我们整个合规部。
今天讲的内容是在数据合规中我们内部法务的职与责。数据安全领域的立法丰富,例如欧盟的 《一般数据保护条例》(GDPR),由于其域外管辖效力,导致对欧盟的主体提供服务,只要送达到GDPR所管辖区域的个人,无论是在欧盟境内还是境外都可能受制GDPR管辖。在国内,由于《网络安全法》很多的规定又比较概括,导致大家都能感觉到近一两年之内无论是软性的立法,即国家标准,还是行政性质的法律法规层出不穷。在《网安法》下各个领域,无论是运行安全、数据的本地化、数据安全、等级保护、网络产品及关键设备等方面均有着重大进展,其中一半以上都是征求意见,包括此前网信办零点发布的《个人信息出境安全评估办法(征求意见稿)》。对于重要数据出境,近期发布的《数据安全管理办法(征求意见稿)》也有相关的要求。
从执法角度来看,首先,公安机关是网络安全与数据保护的执法机构,公安机关关于个人信息的安全保护出台了自己的指引性文件。其次,工信部也是执法机构,尤其涉及到电信领域,其执法力度非常大。另外,国家市场监督管理总局作为另一主要执法机关,在手机APP违法违规收集个人信息的专项治理活动中也参与了联合执法。当然,也存在纵向的行业性主管机关,如央行、银监会,从征信的角度、银行管理个人金融信息的角度进行执法,又如人口健康信息、人类遗传资源等医疗行业的纵向执法。
在大数据时代,数据已经成为一个企业的核心资源,其价值不仅在于数量和规模有多大,还要考察数据在流动中实现的价值,但同时也要注意其过程的合规性。也就是说,无论是对数据进行商业开发,从而提高服务质量,优化客户体验,打造品牌效应,使公司决策机制更智能、优化,还是在进一步开发的过程中进行数据的共享、数据交易,都要考察其是否符合法律相关规定,是否对数据进行了相应的处理,包括去标识化、匿名化等,使之变成一个真正干净的、有价值的、可以流通的、可以共享的数据资产。
今天分享的数据合规中内部法务的职与责,将聚焦于一些热点问题。对于这些热点问题,应从企业内部组织架构、从企业文化层面进行建设和应对。之所以提到文化层面,实际上跟高管的认同决策和授权相关。在这一前提下,如何把企业自身的数据合规工作梳理清楚,并实现制度落地、协议文本落地、内部手册落地,在整个立体化保护的前提下和架构下保证企业的数据安全、保证企业不踏红线,这是我今天讲的思路。
如刚才提到的,我国网络安全和数据保护领域的法律法规既有横向的,即在《网络安全法》体系下的包括网信、公安、工信、市场监督管理总局相关规定,也包括纵向各行业的具体要求,如金融业有《商业银行法》、《反洗钱法》、《征信业管理条例》等等,对于银行业所监管的金融信息都有一系列很具体的规定。对于银行、金融业的企业来讲,就需要按照央行、银监会出台的具体要求,来规范自身的数据处理行为。
类似的,医疗健康领域也有行业具体规范,包括病例、人类遗传资源、人口健康信息等的管理,其中有些数据是不能出境的(如人口健康信息)。如业务过程中不考虑这些禁止性规定的话,那么在跨境的场景下可能会面临一系列执法的问题。此前部分医疗机构未经审批将部分人类遗传资源信息传输出境,已经遭到了处罚。虽然这些处罚案例并不是最新案例,但充分反映了目前执法活跃的态势,既有专项执法又有各部门的联合执法,例如今年初开始的关于开展App违法违规收集使用个人信息专项治理活动。这一活动并不是一次性的,而是一直在持续的。可以看到,执法行动逐渐趋严,尤其是在中美贸易谈判紧张态势下,国内的立法、执法都十分频繁。
接下来我们分享的第一个热点问题是针对数据出境的规定。《网络安全法》第37条要求关键信息基础设施运营者需要将个人信息和重要数据在中国境内存储,如果由于业务需要确需出境的,要经过安全评估,甚至要经过批准才能出境。这些要求一般只是指向关键信息基础设施运营者的。但是,几天前发布的《个人信息出境安全评估办法(征求意见稿)》实际上已经将出境安全评估的要求扩展到一般的网络运营者了,而且没有区分出境个人信息的数量、频率,也没有区分数据的性质和所涉及的行业。另外,征求意见稿甚至要求,如果就相同的个人信息向不同的接收方传输的,需要分别报批,因为在报批的材料里要涉及到接收方的能力、信用、商誉等一系列因素的考察。这些都充分展现了目前数据安全执法趋严的趋势,对于很多业企业的务模式也必然会产生比较大的影响。甚至是,虽然在《个人信息出境安全评估办法(征求意见稿)》没有要求数据本地化,但是由于出境评估需要频繁报批,可能使企业不得不考虑将数据本地化存储、本地化处理。除了上面提到的数据出境规则,企业还应当注意其他规范中的数据本地化规定,例如银行金融、医疗健康、“等保2.0”、公安发布的《互联网个人信息安全保护指南》等。
第二个热点问题是“等保2.0”。等保制度在中国并不是一个新的制度,信息安全等级保护实际上已经运行了将近20年,一直在公安部的系统执法下,相对比较成熟。《网络安全法》专门构建了“网络安全等级保护制度”作为保障基本网络、关键信息基础设施与大数据安全的基础,这里提到的“网络安全等级保护制度”就是我们现在已经存在的公安部执法将近20年的等级保护制度。所以,“等保2.0”时代其实是将此前的信息安全等级保护制度正式代入《网络安全法》的体系下,对相关的问题进行更加明确的指向。近日正式发布的三项“等保2.0”国家标准除提出各级别安全通用要求外,还针对云计算、物联网、工业控制系统依据其各自特性细化了安全扩展要求。对于企业而言,“等保2.0”背景下的网络安全等级保护工作大致可以分为定级对象梳理、定级、备案、网络安全建设、等保测评和安全运行与维护六个阶段。企业可以根据自身情况自行或聘用专业咨询机构开展等保工作。
第三个热点问题是个人信息安全应急制度建设。在企业处理个人信息活动中,如前面提到的,需要进行事前、事中、事后的自我合规体系建设,其中就包含个人信息安全事件应急制度。基于《网络安全法》第25条制定应急预案的要求,企业应当制定并实施《个人信息安全事件应急预案》,以贯彻履行有关法律的强制性要求。如不履行相关义务,不仅是企业因安全事件受损,也可能面临处罚。刚才提到的一些执法案例实际上就包含由于企业安保力度不够,导致系统被攻击,从而被执法机构调查、处罚的案例。
在应急预案的设计上,首先需要对适用范围和个人信息安全事件分类予以明确。原则上,个人信息安全事件可区分为泄露事件、内容管理事件、网络安全与设备故障事件、不可抗力事件等。而安全事件的分级也并非是按照简单的普适性的标准,而是要根据自身的业务模式、数据类型与体量、服务器与网络规模等来确定。同时,还要进行事前、事中以及事后的应急程序设计。例如,事前预防预警、个人信息的风险监测,一定要与企业内部整理的(场景化)个人信息清单联动。其次,是事中的应急联动与处置方法,包括向信息主体告知、向公安机关、网信部门报告。再次,是事后妥善处理,要反观自身系统的安全性,要落实相关的制度保障,如应急队伍、设备与技术支持、经费保障、监督检查与责任追究等。
总而言之,数据合规是长期工作。数据安全风险无处不在;《网络安全法》体系庞杂,行业规定也各有侧重,执法部门多头联动,导致企业合规义务也纷繁复杂,合规工作艰巨。目前,网络安全与数据合规已逐渐进入深水区,企业不仅要关注整体网安与数据合规体系建设,更要进入到深层次、具象化、具有行业个性化特色的数据处理场景。因此,企业要结合自己的场景,进行日常、持续性的合规工作。此外,数据的收集、处理各个环节往往会涉及企业内部的法务、安全、IT、运营、市场、人力资源等多个部门,需要多部门联动,确保运营中所可能涉及的个人信息得到合规处理与保护。我们在提供法律服务的过程中都会深入联合企业的业务部门、IT、产品设计部门,把合规做到前端,而不仅是一个事后的整改建议。
如何进行企业内部的数据合规工作?首先要进行事实梳理,对企业内部的信息系统、数据处理流程、网络安全与数据合规的现状进行全面梳理,通过内部尽职调查了解自身业务中可能涉及到的数据类型,相应的数据生命周期,以及网络安全与数据合规的认证资质,厘清企业目前网络安全制度、数据处理规则与现行法律法规的差距。
其次是制度建设和落地。要在公司层面根据自身的实际情况,制定相应的内部数据合规制度,涵盖个人数据的合规处理、个人数据权限控制、网络安全事件应急、个人数据主体权利请求响应等制度,同时还要进行交互界面的优化,重点做好外部产品和内部管理的文本文件合规工作,包括用户使用协议、隐私政策、数据处理协议、员工知情告知书等。在执法机构调查时,首先会对企业产品的各项合规文本进行考察,例如App的隐私政策是否做到充分的告知,是否设计了合理的用户知情同意机制等。以一个案例为例,两个跨国医疗企业在境外诉讼,这两个企业在中国都大量的数据,包括医疗数据、员工数据等,均需要作为证据向境外法庭提交。这些证据涉及到大量的员工信息,而其中一个企业在其员工手册和劳动合同中并没有向员工告知这中数据出境的情形,从而导致企业要花费更多的时间来筛选证据,或者花时间再次获得员工的同意。因此,如果企业能够提前考虑到这些情形,就可以在合规制度落地时进行相应的设计。
企业法务的职责如何?作为企业法务,需要与公司其他部门接触、协调、联动,在内部数据合规摸底自查的时候做牵头人;在文本合同的起草、建立内部规章制度时,是企业内部的立法者;在制度落地的时候又是践行者、监督人。我们说做好数据合规工作,法务既是第一道防线,也是最后一道防线。
就企业内部数据合规摸底工作而言,刚才有嘉宾提问说小公司怎么做,小公司有小公司的做法,大公司有大公司的做法。我们曾协助知名国有银行开展全面的GDPR和《网络安全法》合规工作,他们有较大规模的法务部门,但是合规工作的周期仍长达8个月之久,可见工作量不小。其实无论是大小公司,合规工作量都不小,必要情况下也需要外部律师协助开展。
法务的另一项工作任务是起草、审阅、实时更新法律文书。无论是从等保的角度还是隐私保护的角度,现有的各项规定都对文件的实时更新提出要求。例如在等保体系下,说如果企业的定级提高了,就需要根据企业自身信息系统的重要情况重新定级;又如隐私政策,如果产品对于收集个人信息的类型、目的有变化了、敏感性提高了,那么隐私政策也要适当调整。
就数据跨境而言,如前面提到的,如涉及到产业的重要数据、个人信息的跨境等等,在现在看来都最好进行安全评估甚至是报批等。此外,也正如前面提到的,应急预案的制定、日常的咨询都是企业法务的分内职责。
合规的意识培训,要同时针对企业的执行层面以及高管层面。高管层面的培训非常重要,有助于从上到下建立企业数据合规的意识和文化,企业高层也会相应给予人力、物力和财力上的支持,法务合规工作的执行力度也会增大。
提问:您好,您刚才也提到了数据行业个人信息侵权案件,我们公司也是做类似业务的公司,我们现在给客户提供咨询,因为提供咨询,所以我们涉及大量的让我们供应商提供市场调研、车主信息,包括个人数据的服务,但是对于我们现在来说只能通过合同当中免责条款,要求他有授权条款来保护我们自己,我不知道在类似我们这种公司的业务当中还有一些别的好的方法来维护我们数据方面的权益吗?
宁宣凤:这个问题其实也比较敏感。数据堂案件是去年的案子,它涉及到个人信息在几个环节上的不合法流转,首先是电信部门的在职员工把通过职务获得的个人信息打包出售,就已经上升到刑事责任的程度了。这些数据经多手转卖给到数据堂,数据堂实际上清楚这些数据并不是干净、合法的数据,所以在调查开始时甚至去删除了很多的数据。数据堂利用这些信息开展数据分析以及一系列的其他处理活动导致事发,大量的信息已经泄漏到网上,涉及到个人信息是过亿的量级。
在《网络安全法》下如果是直接收集个人信息,是在40、41条下是有很多具体规定的。如果涉及上面提到的间接收集个人信息怎么办?如何保证它的合法性?《个人信息安全规范》实际上是有要求的,也即对于间接获得的数据应该做到谨慎之责,对数据来源的合法性进行确认。通过免责条款其实在很大程度上是不足够的,但也至少提供了形式上的保护。应该怎么做会更好、更有保障?可以做尽职调查,对第三方的业务模式的合规性、数据来源的合规性进行核实。我们在实务中已经为很多客户提供相应的服务,尤其是涉及到并购、交易的场景。我们的很多客户要收购大数据公司,这些公司重要的资产就是数据,这个时候无论是买数据本身,还是收购大数据公司本身,都应该尽到谨慎之责,就如同收购化工公司的话要做环保尽调,收购药企或其他企业还要做反腐败尽调等,可以说,尽职调查已经成为了一个共识。
本文不代表法盟观点
在线客服
微信
