其他
汇业评论 | 2022年个保法合规落地的20个疑难问题
关于个人信息合规的很多困惑和争议,并没有随着时光一起消弭。睡眼惺忪的2022还没准备好,就要在号角声中登上内卷的舞台,与我们一起迎接新个保法时代的全面挑战。2021,大家都难,但做个保合规特别难;2022壬寅年,大家可以缓口气,但个保合规怕是无法躺平。在这个人人争当网红的年代,刷存在感是驱动内卷的最好动力,毕竟“5000万”和“5%”是个足够诱人的数字。
关于个保合规,我们一直坚持“合规80分”的原则。但是,要真正掐准这个80分,涉及法条适用、执法尺度、法律责任,以及行业实践、企业文化、全球策略、技术成本等多方博弈,似乎并非易事。结合近期项目经验,汇业律师事务所黄春林律师团队总结个保法合规落地中的20个疑难问题如下,仅供大家讨论:
1
分类分级
分类分级管理是数安法、个保法的重要制度,是企业数据合规的基础,目前部分地区监管部门已经要求辖区企业限期完成数据分类分级。
分类分级合规的难点在于:(1)如何得到各部门有效配合并全面调研企业数据资产;(2)如何利用好政策规范或行业标准,制定符合企业特点的个性化分类分级标准;(3)如何在“无损”现有业务流程的基础上,搭建与分类分级对应的内控机制;(4)企业有什么驱动力开展分类分级;等等。
2
数据出境
数据出境政策是跨国企业广泛关注的问题。但自网安法以来,数据出境政策几易其稿,即便数安法、个保法生效后,细则仍然扑朔迷离,业界期盼的数据出境安全评估办法仍然引而不发、威不可测。
数据出境政策难点在于:(1)哪些场景需要本地化;(2)如何理解本地化与出境顺序;(3)出境细则到底何时生效;(4)入额标准怎么计算;(5)安全评估何时做、由谁牵头、成本由谁承担;(5)场景、系统、主体划分如何落地;(6)官方审查尺度如何,是否实质审;等等。
3
安全审查
2021年被称为监管风暴之年,网安审无疑是风暴年的核弹级的威慑,能定生死。根据网安审办法、网数条例、境外上市办法等,符合条件的企业境外上市、重要数据活动都要开展网安审。
完全审查的难点在于:(1)到底是国外还是境外;(2)哪些主体、场景需要报;(3)细则审什么,透明度如何;(4)审查周期多长;(5)如何平衡不同部门要求;等等。
4
年报制度
网数条例、汽车数据办法及监管窗口意见等都规定了一系列名目纷繁的年报制度,要求企业每年报送数据相关的各种各样的年报,被认为是“保姆式监管”的重要体现。目前部分地区监管部门已经要求辖区企业限期提交数据安全评估年报。
年报制度的难点在于:(1)是否有官方模板;(2)如何把握年报颗粒度;(3)由谁牵头、成本由哪个部门承担;(4)是否会主动暴露合规风险;(5)官方是否会实质审;(6)如何兼容出境、审计、PIA等制度;等等。
5
合规审计
个保法明确规定企业应当定期开展合规审计,监管部门亦可强制要求企业开展外部审计。网数条例还规定了大型平台的特别审计要求。目前部分地区监管部门、证券交易所及甲方已经要求相关企业提交年度合规审计报告。
合规审计的难点在于:(1)谁来审计,自己审还是外部机构;(2)如何把握审计细粒度,降低业务影响;(3)内部资源及预算如何配置;(4)审计报告效力如何,可以作为合规抗辩吗;(5)安全审计等于合规审计吗;等等。
6
影响评估
数安法设立了数据安全风险评估制度,个保法设立了个人信息保护影响评估制度。制度的初衷之一是增加合规控制工具,确保相关合规要求落地。但理想很丰满现实很骨干,业绩导向的公司一定是佛挡杀佛,最终PIA也沦落为皇帝的新装。工具虽好,可别贪杯啊。
开展PIA的难点在于:(1)如何设置个性化阈值,降低对业务的影响;(2)PIA流程如何嵌入现有业务流程;(3)国外隐私管理工具能用吗;(4)如何建立评估指标体系;(5)谁来评估;(6)未来如何定责追责;等等。
7
DPO设置
网安法、数安法及个保法都要求设置相关的负责人,但似乎都没有给到如何设置的指引。此外,个保法还规定海外机构在境内指定代表。
DPO设置的难点在于:(1)专职还是兼职,可以合并吗;(2)有国籍及工作地点限制吗;(3)有任职条件吗;(4)备案能通过吗,需要公布吗;(5)如何任命,职责是什么,汇报路线如何;(6)有什么责任,会不会成为背锅侠,有什么保险;(7)到哪里去招既懂管理、业务又懂法律的DPO;(8)市场行情如何,工资到底是加还是不加;等等。
8
平台责任
2021年,地主家也没有余粮啦,大平台的日子甚是难熬。立法层面,个保法、网数条例等设置了大型平台多个特殊义务,各种花式要求融贯古今中西。监管执法层面,窗口意见更是急急如律令,披星戴月、刀刀夺命。
平台责任的难点在于:(1)如何划分政府、平台及用户的责任边界;(2)不同平台入额数据如何计算;(3)各种备案、评估、报告如何落地;(4)独立机构如何确保独立、有效;(5)如何平衡平台创新与竞争合规;(6)如何保障平台数据利益;(7)大家能不能一起躺平啊;等等。
9
规则遵从
监管不断夯实平台责任,再加上连带责任加持,平台只能不断调整平台治理规则,试探监管及司法尺度。其后遗症就是,“第二监管”越来越显性化,B端企业除了要遵从法律法规外,还要遵从不同维度的平台规则。
平台规则遵从的难点在于:(1)如何跟上日新月异的监管节奏;(2)中小企业如何挑战平台霸权;(3)如何应对订单链路加密;(4)如何合规调取平台接口;(5)如何合规使用平台数据产品;等等。
10
必要与必需
网安法、个保法均规定处理个人信息的前提是应当遵循必要原则,个保法还规定合同必需、管理必需、法律必需、安全必需等不需取得个人同意,其他不满足必需但有必要的场景需经个人同意。所以,这里的潜在逻辑应当是,部分满足必要的情形可能不满足必需,即必要≠必需,但是网信办的必要规定似乎并不是这种逻辑。
实际业务中的难点在于:(1)如何判断必要性,客观还是主观,监管视角、用户视角还是企业视角;(2)如何划分必需与必要的边界;(3)必要但不必需的场景,可以强退吗;(4)多元经营的企业,如何区分基本业务功能和非基本业务功能;等等。
11
单独同意
35273的明示同意还争议不断,个保法另起炉灶要求五大场景的单独同意,网数条例更是枪口压低一寸,单项信息、单个环节的单独同意。如何理解、落地单独同意,已经成为业界关注的头号话题,更有企业为了落地单独同意不惜暴露强迫同意的风险,真可谓收之桑榆,失之东隅。
单独同意的难点在于:(1)如果用户不同意怎么办;(2)后台系统能区分、标记吗;(3)用户主动填写、提交是单独同意吗;(4)粒度如何处理;(5)没有触达场景怎么办;等等。
12
自动化决策
随着技术进步和产业升级,我们正从信息时代向算法时代过度,各种形式的自动化决策无处不在、势不可挡。但是,立法和监管对这种“不可解释”、“不透明”的决策机制怀有天生的“敌意”,因此要求备案、评估、充分披露及标注等。
自动化决策的难点在于:(1)如何平衡经营自主性与消费者权益保护;(2)如何平衡便利性与公平性;(3)如何有效保护企业商业秘密;(4)如何治理钻规则漏洞的黄牛和羊毛党;(5)如何识别自动化的量化标准,等等。这些都是摆在很多企业面前的艰难之路。人心叵测,你得掏心掏肺,你得流淌道德的血液啊。
13
保存期限
个保法明确规定了个人信息存储应当最短期限。在互联网内容强监管环境下,在多个法律要求相互牵制,不同业务场景互相关联的情况下,没有人说得清楚个人信息要保存多久。于是,大家隐私政策众口一词抄法条,“为实现处理目的所必要的最短时间”,好在网数条例识趣的让步到可以接受披露“个人信息存储期限的确定方法”。但是,系统后台如何处理呢?有“勇气”真正删除的毕竟是少数,大多数企业只能摸着石头过河,各显神通。好在,目前好像还没有超期存储的正式处罚案例,未足期保存交易记录、用户日志的处罚案例反倒不少。
14
委托与提供
个保法分别规定了委托处理与对外提供的合规要求,即前者要求“协议+监管”,后者要求“充分告知+单独同意”,这也充分体现了对个人信息主体控制权的尊重。但是,要在具体场景中区分个人信息处理者、受托处理者、接收者的差异并不容易,关键是要理解何为“决定”。显然,个保法上的“决定”是指法律意义上的决定,你得先要有决定的法律基础啊,断不是仅仅技术意义上决定。似乎,个保法上的很多争议,都是混淆了技术概念和法律概念导致的,诸如标签、OneID、匿名化、安全岛、联邦学习、隐私计算等莫不如此。
15
供应商管理
数字化转型的洪流势不可挡,但并不是每个企业都有数字化的能力,于是,使用ERP、CRM、POS、WMS、CDP、DMP、TSP、EDC、HR等系统供应商大行其道,零售消费汽车医疗等行业莫不如此。但是,大多数数据泄露事件,都发生在供应商端。我们拿什么来抗辩“无过错”,如何证明自己尽到了合理的注意义务,如何摆脱SDK的风险及责任,这些都依赖于对供应商的事前准入、事中监管及事后审计工作。当监管来敲门,不是看你的数据是否绝对安全,而是看你为数据安全做了什么?这就是我们经常说的,个保合规“向前一步”原则。
16
私域运营
从商业的角度,私域有利于用户转化、运营及沉淀。从合规的角度,私域有利于触达用户,可以摆脱平台技术限制,落地更多合规场景。但也正因为如此,企业的直接合规责任更重。APP如何落地纷繁复杂的监管要求,小程序如何应对即将到来的执法风暴,私域社群如何落实告知同意合规,如何合规跟踪、分析内容媒体用户数据,如何搭建品牌CDP平台,DMP平台是否要转公域,诸如等等,不一而足。
17
员工个人信息保护
员工个人信息保护被称为个保合规的“隐秘角落”。有人戏称,比前男友更渣的就是前员工,前员工发起个保投诉,很多企业完全无力还手,毕竟,根本没有做员工个人信息保护合规,传统企业主的思想仍然是“娶来的媳妇买来的马,任我骑来任我打”。候选人的简历如何告知同意,如何合规开展背调,收集员工健康、犯罪、婚姻等信息可以吗,人脸门禁、手机考勤合规吗,可以监控员工的电脑或移动设备吗,如何合规的向新公司提供离职员工的信息,员工个人信息可以传输给境外集团吗,如何合规使用图谱、workday、SAP等人力系统,等等。
18
教育培训
面向员工开展个人信息保护教育培训,既是一项个保法法定义务,又是一项重要的合规落地措施。网数条例更是详细地规定了教育培训的具体内容及时长等要求。但实践中,企业的困难重重:如何分层开展培训,如何实现培训内容的生动性,如何提高员工的参与性,如何组织遍及全国的员工,如何留存培训记录,如何利用培训记录合规抗辩,等等。
19
权利响应
有人预测,继广告投诉、消保投诉之后,个人信息权利请求及投诉可能会成为企业客服部门2022年的重要工作内容。个保法时代,用户权利觉醒已是大势所趋,职业投诉暗流涌动。如何依法响应个人信息权利请求,这是企业的一个外部显性风险,若处理不当,小则投诉诉讼缠身,大则监管执法舆情事件加持。但是,既要形式便捷又要实质合规,既要直接响应又要间接协助,这对很多企业来说是个大挑战,客服、门店员工甚至专业部门“祸从口出”的案例比比皆是,不信各位拨打下自己公司的客服电话试试。
20
事件处置
没有绝对安全的网络,安全事件或早或迟总归会来的。如何评估“可能性”、到底要不要报告,供应商报告还是品牌报告,向网信、工信还是公安报告,报告哪些内容,报了会不会一案双查,行业其他品牌都报吗,要不要通知用户,如何通知,会不会诱发舆情事件,等等这些,无不让安全、法务的同学左右为难。道理大家都懂,法条大家都明白,可是实践怎么取舍呢?