专家对话上上签电子签约：强立法监管下的企业合规建设

11月1日《个人信息保护法》开始实施,有关《个人信息保护法》,不同的行业、企业甚至岗位关注的问题和角度各不相同。为此,上上签电子签约邀请世辉律师事务所合伙人王新锐律师、张洪源律师,与企业相关负责人就《个人信息保护法》背景下“企业数据合规体系建设”进行了深入分享。

为能更好地帮助大家了解《个人信息保护法》的落地细节,我们整理了一些客户和世辉律师事务所合伙人王新锐律师、张洪源律师的互动答疑内容(详见第三部分)。

一、立法和监管趋势

1.立法快速推进,多项配套细则在起草中

王新锐律师:

《数据安全法》和《个人信息保护法》的立法速度非常快,大家不要将两者分开看,它们是一枚硬币的两面。《数据安全法》、《生物安全法》、《网络安全法》等安全系列的法律立法速度特别快,且它们都有一个特点——宏观,所以在此之后会有很多配套措施。关于这点,大家可以看2009年到2015年的立法周期,该周期的规则非常碎片化。直至2019年、2021年,直观的感受是字非常小且密集,而且可以看到很多部委,工信部、网信办、央行、最高人民法院,包括司法机构,都在做相关规则。

所以不管你身处哪个行业,后续很多行业都会专门出一个某部委下发的数据安全和信息的规则,包括告知同意的标准也在此过程中。

另外有关《数据安全法》,当前其绝大部分义务是面向政府,少部分义务是企业(涉及重要数据)。并非指《数据安全法》与各位没有关系,只是现阶段能做到合规指引还有一段距离,原因在于即使是立法者在有些层面也还没有明确答案。

所以建议大家在近期还是要将重点放在《个人信息保护法》上,因为其规则相对更明确,而《数据安全法》后面有很多授权性的工作。

法律赋权用户,司法案例和舆情事件爆发式增长

王新锐律师:什么叫赋权用户?指这部法律给予了个人非常多的权利。比如给到企业相对方用户权,也给到了员工删除权、查阅权、复制权等各种权利。

这些权利的特点是它们在欧盟是不可诉的,很多时候需要向DPA(Data Protection Agency数据保护机构)做投诉,而这在中国是可以起诉的。

所以,我们之前涉及个人信息主要是隐私权的诉讼,现在有关个人信息的各种权利都可以起诉。意味着后续企业面临的压力可能会来自于律师、法学的学生,还有可能是大学教授、职业打假等。

在这过程中大家应该能明显地感觉到《个人信息保护法》带来的一个最大变化,是企业需要不断地进行合规建设,自证清白。

所以企业的合规做到何种程度才能够给业务提供支撑,而不是成为绊脚石非常重要,否则会使得公司鸡飞狗跳。

总体来说,关于数据合规《个人信息保护法》和《数据安全法》就解决两个问题:数据滥用和数据泄露。如果我们想解读清楚法律,就去看那一个制度是为了解决数据泄露还是数据滥用。

另外,《个人信息保护法》和《数据安全法》中的一些条款只有特定规模、特定监管眼中的部分企业才会涉及到,比如数据可携权。我们这次讨论的是常见场景,一些容易有办法解决的问题。

3.履行数据保护职责的部门

现在我们受多个监管机构的监管。

中央网信办和国家网信办。在数据保护领域,目前网信办实际接管所有跟数据有关的一些监管工作。

工信部则主管互联网行业,涉及小程序、APP,包括一些资质问题。公安部主要打击网络犯罪,与电信诈骗、信息类犯罪相关。市监总局主要与消费者权益保护有关,像大数据杀熟、二选一等涉及个人信息。

一行两会以及金融、教育、医疗、交通。基本上现在每个领域都会有部委在专门跟进,像教育部门涉及未成年人的信息问题,汽车出行目前也是立法的高峰期,其立法速度和频率非常快。

二、《个保法》严在哪里

1.个人信息定义的扩张

王新锐律师:我们之前做过个人信息国际比较研究,我们国家有关个人信息的概念比较宽泛。

为什么这么说?

下面是欧盟的定义,我们与欧盟是比较接近的,但是因为中国的实名制场景特别多,且中国的个人身份证号本身就能将人识别出来,使得中国结合实名制的情况,在同样的定义下,中国的个人信息定义范围特别宽。

所以有些信息我们习惯性地认为这就是个人信息,但是欧洲德国律师说这个事情可以再讨论。但是在中国无需讨论,因为已经被列入到个人信息的范围。

简单来说,个人信息的概念较之前的《网络安全法》有了扩张。原来的概念是识别,现在是识别加关联。

信息分为直接识别和间接识别:

1.直接识别:比如,你有我的身份证号,就可以知道我是谁。

2.间接识别,则是从年龄、工作单位、毕业学校等维度识别。

如果从间接识别的角度看,个人信息的范围比较宽泛。但如果再加上一个维度:将我识别出来以后,跟我有关的其他所有关联信息都是个人信息,就会变得麻烦。

其中典型的例子是许多公司做数字化营销,已经锁定了账户的ID,后续会在此基础上不断丰富贴标签进行营销,那后面的信息都属于个人信息。

所以原来个人信息的概念相对现在的个人信息概念要窄一些。我们可以看到跟底下这些GDPR的概念是类似的(relating to an identified or identifiable natural person),原来强调是必须识别,现在是关联的。

另外顺便提一下关于个人信息和隐私的概念,很多人会有混淆。

个人信息是一个扩张性非常强的概念,是动态的概念,它会随着技术发展快速扩张。而隐私相对是一个比较稳定的概念,按照我们大陆法系或者中国的概念,隐私强调秘密和安宁,基本上是不愿意被别人所知道的秘密。比如名片,这种是社会交往时出现的信息,属于个人信息,不属于隐私。

2.过错推定和举证责任

过错推定这部分大家理解容易有偏差:处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任(《民法典》第1165条:依照法律规定推定行为人有过错,其不能证明自己没有过错的,应当承担侵权责任)。

过错推定不能随便说,必须是通过法律固定下来的。之所以在《个人信息保护法》中采取过错推定原则,是因为其假设大量收集处理的信息是一个高风险行为,类似于管理一个有很多高度危险化学品的仓库。我们参加专家讨论会时,有专家提出“如果管理一个巨大的库,库中有几亿信息,这与管理一个有大量危险化学品的仓库是一样的。”所以这种责任是过度推定,过度推定责任的结论是在《个人信息保护法》生效后,企业要能证明自己做到了合规,自证清白。

希望大家记住我们的个人信息概念是比较宽泛的,而在处罚上是推定过错,这是压力比较大的地方。

3.同意的强化

同意的强化包括敏感个人信息的强化,包括隐私政策、弹窗、文件,这是现阶段企业需要处理的跟同意有关的重要工作。

4.个人在信息活动处理中的权利

个人在信息活动处理中的权利有查询权、复制权、更正权、补充权、删除权、请求解释权,知情权、决定权,拒绝权是概括性权利。比如查询权、复制权跟知情权有关。更正权、补充权、删除权这些都与拒绝权、决定权有关。

所以权利的部分也是我们接下来做合规的重点。

最后,核心的部分是希望大家在一开始要关注跟C端用户或者个人信息主体之间有触点的部分。不管是什么样的公司,都需要关注处理个人信息的环节是否有合法性基础。如果没有合法性基础,整个数据或者环境会出现很大的问题。

GDPR(欧洲联盟出台的《通用数据保护条例》)经历了两年的过渡期,我们现在只有两个月的时间,在这期间建议不要试图去挑战那些做不到的事情。希望大家优先考虑跟个人权利有关的部分,有些部分也要给公司留出开发的排期。

三、互动答疑问题(节选)

问题1:员工应聘时会填写一些信息表,比如以前的工作单位、月薪等信息,《个人信息保护法》生效之后,还能让员工填写吗?如果需要这些信息,企业应该做什么?

张洪源律师:

要分情况讨论,如果问了一些特别不该问的信息,比如女员工是否生育,一旦获取了信息,即使其同意了,如果最后没有录取这位员工,她可能会去劳动仲裁,诉讼的理由是就业歧视,尽管就业歧视在我们国家对责任的规定并不明确,但是对企业的声誉会有巨大影响。

根据《劳动合同法》的规定和劳动合同履行有关的信息,我认为您刚才提的那些信息没有问题。如果涉及一些与劳动合同履行无关的信息,比如家庭成员是谁,他们的姓名住址,这些可能属于敏感信息,即使取得了员工同意,我们也不建议收集。

在此提醒一点,员工在入职之前并非公司的员工,严格意义上员工手册并不适用于这些人员,只有当其签署劳动合同并且开始工作时,才是员工。

所以在其入职以后,如果想取得对方的个人同意,并且定义一下什么是人力资源管理所必须是没问题的。在此之前可能会有一些风险。

问题2:

我们是跨国企业,人事系统的服务器在境外。当中涉及两个问题,一个是存有敏感信息,比如银行卡、体检报告;另外一个涉及跨境传输,要将个人信息提供给境外第三方(个人信息处理者)。如果涉及以上信息,应该如何操作?

另外,关于信息存储,有一条提到处理个人信息达到国家网信部门规定数量的,要储存在境内,如果出境则要满足一些要求。从《个人信息保护法》角度讲,它并没有明确具体的量级,这点该如何解读?

王新锐律师:

我已经被超过50家公司问到这样的问题,基本上全球跨国企业的员工管理都是一种天然的出境场景。这个部分最后可能还要进行数据出境的备案,但是员工数据出境的情况比较容易通过。

在这种情况下,企业有两层义务:一层是基于获得员工同意的环节,另一层将来会涉及政府,现在国家互联网研究中心有一个统一的系统,会在该系统中做备案。在备案以及中国的标准合同等事项落地之前,目前不用做太多工作。

但是建议在员工填入信息时,告知员工因为是在一家跨国公司,所以会对部分信息进行上传,刚才有提到员工处于哪个阶段,如果是企业员工,就会受制于该规则,如果还不是员工,就需要有告知的环节。另外一个问题涉及对数据跨境的理解,目前关于数据本地化有多种理解。一种是数据只能存储在本地,境外不能访问;一种是存储在本地,境外也可以访问。

甚至在一些极端的情况下,我们跟监管讨论“一家跨国公司的CEO来中国访问,要求看数据,这种情况是否属于跨境?这种在广义上依然算跨境。”所谓跨境是数据被境外的组织或个人所掌握到,虽然刚才这种情况是一种假想情况。当时听起来很奇怪,但确实曾经在会议中被拿来讨论过。

所以跨境是一种广义理解,通常如果我们提到数据出境或者跨境提供时,关注的是对境外组织或者个人能够接触到数据同时失去控制的问题。跨境规则分为两种,一是个人信息,另一种是重要数据。个人信息出境原则上都是可以的,届时根据监管要求可能需要办理相关备案,重要数据出境则非常困难。

另外关于“敏感个人信息单独同意与前面的合法性事由是何关系”,在问过几位起草者后得出了一致的结论:前面的合法性事由贯穿始终,换言之如果走了合同流程就不用再说敏感个人信息需要单独同意。无论是一般信息还是敏感信息,同意这条与合法性事由是并列关系,所以即使是敏感信息,仍然可以通过同意的方式,履行法律职责义务。并非任何情况下处理敏感信息都需要单独同意。以下7个条款贯穿于《个人信息保护法》始终。

问题3:我们的很多数据来源于第三方,跟第三方之间的合作,通过合同的关系是否就能完全做到数据的合规?

比如一手的个人信息来自于合作方,我们即便在合同中写明,个人信息要经过合法的授权,再有甚至我们会要求合作方征得信息主体的明确同意,告知他们知悉这是被小型汽车所使用的,这样是否已经避免了一些合规上的风险?

王新锐律师:

来源于第三方的数据,通过合同以外是否能够去限制,企业应该核查到何种程度,《个人信息保护法》之后,对其要求有了进一步提高。我们基本的判断标准是表面原则:

首先要在合同中规定企业要有核查的权利,不只是陈述与保证个人信息是合法的,还要将企业具有核查的权利写入合同。如果企业能定期进行抽查,就会分为以下情况:

比如第三方提出其获取的个人信息是通过隐私政策,或者用户协议等文件,我们要先看表面,通过第三方的陈述一般人是否会在那种情况下给到个人信息。

这时就形成了一个抗辩:一般人会通过隐私政策或者合同等方式将其个人信息给到第三方,这是符合常理的情况,我有理由相信合法性,同时做了一些查验。

如果可以查验,也要分情况:

当对方是一家大公司时,我有理由相信你提供给我的数据,或者跟我合作时你的数据应该是合法的,因为作为大企业应该受到许多监管。但如果是小公司,就要另行考量。所以在这过程中会存有不同考量的可能性。