数据隐私合规十问,你关心的问题全在这了

December 14, 2020  |   链睿LiveRamp

数据隐私在2020年多次成为全球科技及商业领域的关注焦点。面对日益严格的个人信息保护法律法规,企业如何在挖掘数据价值和保护用户隐私间取得平衡?日前,三位数据隐私专家和实践者围绕行业最关注的十大话题展开分享,从趋势回顾展望到实际业务场景,给予全方位的介绍和解答。

 

 

数据隐私合规十问

1 中国数据隐私合规的发展有哪些趋势特点?

2 中国个人信息保护的立法现状如何

3 中国个人信息保护法律法规与GDPR的区别是?

4 设备号是否受个人信息法规限制?

5 用户授权是否意味着企业可以在营销中任意使用个人信息?

6 数据安全与数据隐私的区别?

7 数据加密是否意味着数据隐私合规?

8 把手机号转成关联的设备号,存在何种风险?

9 企业如何设置合规审核流程?

10 您对企业数据隐私保护的建议?

 

1 中国数据隐私合规的发展有哪些趋势特点?

傅永辉:中国的信息保护在过去十年中发生了很大的变化,从中我们可以看出数据隐私合规发展的五大趋势。第一个趋势是立法趋于完整,法律指引日渐明确。我们都知道中国的个人信息保护法的立法进入公众视野是在大约2009年,当时在民事法律和行政法律对个人信息缺乏保护的情况下,国家采取了刑法的方式,将严重侵犯公民个人信息的行为纳入了犯罪。在其后的十年间又陆续出台了很多法律法规,对个人信息保护进行了相对明确的规定,比如说我们都听到过的网络安全法,明确了正当、合法和必要的个人信息处理原则。《民法典》则对个人信息的概念和保护范围进行了界定。最近大家也听说个人信息安全规范,对个人信息安全领域提供了一个非常基础并且广泛的国家标准。App相关的个人信息保护规定也对各种收集和使用个人信息的行为进行了列举和界定。在不远的未来我们还将出台个人信息保护法,所有这些都会为数据从业者提供更加明确、清晰的法律指引。

第二大趋势是执法能力日益提高,执法力度不断加强。个人信息保护和数据安全是过去几年中执法活动比较活跃的领域,包括对大量的侵犯公民个人信息案件的刑事审判,还有公安部持续开展的净网专项行动,以及工信部、网信办对个人信息不当收集和使用以及数据泄露这些进行约谈、整改还有处罚等等。从2019年到现在基本上已经有上千款的App因为违法、违规采集个人信息而被处罚,同时监管部门逐渐具备了大数据监管的能力,还有远程监管的能力,这就使得执法部门的执法力度和广度都将进一步提升。这也说明了数据隐私的迫切性。

 

 

第三大趋势就是公众对数据隐私保护的意识日渐提高。经过调查显示,大约八成用户在使用互联网服务的时候会主动进行隐私设置,说明对隐私是比较在乎的。大约六成用户在遇到个人信息泄露的情况下会进行投诉和举报。目前投诉比较多的三个问题,可能也都是大家比较熟知的。第一是个人用户注销比较难;第二是通常会被强制获取通讯录的权限;第三是有时候没有隐私安全的设置,同时,公众和专家也都认为默认勾选是目前比较严重的问题,那么公众对于个人信息保护意识的提高,以及专家对于个人信息保护问题的关注这些都将促使数据从业者采取更高的标准对个人信息进行保护,从而获得公众的信任,减少用户的投诉。

在个人信息保护和数据挖掘之间寻求平衡是第四大趋势。对于数字经济的发展、大数据的运用、智慧城市的建设以及人工智能的发展而言,利用和挖掘个人信息已经成了必要的因素,如果对个人信息进行过度的保护就会加重数据开发者的责任和义务,阻碍数据价值的挖掘,但是如果不适当保护又会造成个人信息被滥用,侵犯公民的个人权利。面对这样的两难问题,我们看到的一个趋势是,立法者将会对用户、平台和公众利益之间进行平衡,一方面要求数据从业者承担个人信息保护的责任,另外一方面也兼顾人工智能、大数据和平台的经济发展,并且为数据和网络虚拟财产的保护预留了法律的空间。

最后一个趋势是跨境数据流动的法律法规逐步健全。随着数据全球化成为推动经济发展的重要力量,频发的严重数据安全事件和跨境的网络攻击已经引起了世界范围的关注,欧盟、美国、新加坡等80多个国家和地区都相继制订了关于数据跨境流动的法律法规,我们国家也不例外,我们出台的网络安全法也是要求关键信息的基础运营者收集的个人信息和重要数据是要求存储在中国境内的,那么由于业务的原因确实需要向境外提供的,应当事先进行安全评估,并且进行政府申报,这些规定就使得企业在跨境数据传输的安全性和合规性方面需要投入更加多的资源和关注。

 

2 中国个人信息保护的立法现状如何?

孙建钢:如果用一句话来总结我国目前个人信息立法的情况,应该说是我们有宏观的法律原则,有一些执行性的法律规范,但是我个人觉得可能将来还会有一部专门的法律来进一步细化。我给大家解释一下这句话。

首先我国有一个宏观的规范,我指的是《民法典》。《民法典》可能是2020年所有的立法活动当中最重要的一件事件了。另外一个角度来说,《民法典》也是我们国家建国以来被称为法典的第一部法律。其中的人格篇有一个专章对隐私权和个人信息保护进行了规定。我个人觉得这是一个非常好的信号。它从法典这样一个非常高的法律位阶给我们的个人信息和隐私保护做了一个定海神针。

而且我觉得它的梳理比较有力。它把隐私和个人信息做了立法定义,把隐私归结为自然人的私人安宁,和不愿意为他人知晓的私人空间、私密活动和私密信息。个人信息也做了定义,叫做以电子或者其他方式能够单独或者是结合来识别自然人的信息,包括姓名、出生年月、身份证、生物识别信息等。

所以从这个角度来说,其实隐私和个人信息不是一回事,它也并不是一个简单的包含和被包含的关系。因为在隐私当中,很重要的部分是隐私信息,也包括私人的空间和活动,但是在个人信息当中只有一部分属于隐私信息,还有一些可能是属于个人信息,但是没达到隐私的程度。总之,《民法典》在我们国家的立法活动当中做了一个比较好的基础性作用。

在此之上,我们还有很多执行性的法规,比如说之前的网络信息安全法提到了个人信息,而且他的个人信息的定义基本上和《民法典》是一致的。还有新定的个人信息安全规范。再细一点的,有互联网个人信息安全保护规定,有儿童个人信息保护相关的安全规定,所以这是我国目前的一个立法现状。

我国目前还没有一个真正意义上的个人信息保护法出台。根据全国人大法工委及5月份的立法计划来看,其实在不远的将来应该会有这样一部法律。所以,我们已经有了基础法典作为定海神针,已经有了一些既有的执行规范执行,将来还会拥有一部单行的个人信息保护法。希望立法的不断完善能够既保护到个人信息,同时又平衡到社会和经济的发展。

 

3 中国个人信息保护法律法规与GDPR的区别是?

傅永辉:最大的不同之处是在于处罚方面,在GDPR的规定下,违反个人信息保护会遭到巨额罚款,有多么巨额呢?就是在2000万欧元和这家企业过去一年全球营收总和的4%之间取一个高值。而中国的法律并没有规定巨额的罚款,但是,存在被追究行政责任,甚至刑事责任的可能性。所以也很难说哪一个处罚性比较重,它的处罚关注度是不一样,一个是在钱上面,另外一个是在行政或者是刑事责任上面。

从法律基础而言,在中国法下获取个人信息处理权需要个人信息主体的知情同意,明年1月1日施行的《民法典》也规定了合法公开和公共利益这两种基础。在GDPR项下它则有比较多的获取和处理个人信息的法律基础,除了我们刚才讲到的知情同意,和公共利益之外,还可以因为履行合同,履行法定义务,或者是具有切身利益、具有合法利益等等原因来使用和处理个人信息。

同时,GDPR项下的信息主体的权利也比较广泛。在中国法下信息主体拥有知情同意权,可以更正、删除,可以要求注销账户,在GDPR项下除了这些之外,信息主体还拥有另外三项比较特殊的权利,第一是叫做携带权,就是信息主体有权利要求信息的处理方,将信息化和机器可读的格式传输给第三方,以便进行重复的利用。另外,还拥有限制处理权和拒绝权,也就是可以不要求删除,但是限制使用,并且要求数据处理人限期进行核实,看他是不是遵守了限期使用的要求,或者是拒绝把这些信息用于直销、政府使用等特殊目的。同时,GDPR项下的信息主体的权利也比较广泛。在中国法下信息主体拥有知情同意权,可以更正、删除,可以要求注销账户,在GDPR项下除了这些之外,信息主体还拥有另外三项比较特殊的权利,第一是叫做携带权,就是信息主体有权利要求信息的处理方,将信息化和机器可读的格式传输给第三方,以便进行重复的利用。另外,还拥有限制处理权和拒绝权,也就是可以不要求删除,但是限制使用,并且要求数据处理人限期进行核实,看他是不是遵守了限期使用的要求,或者是拒绝把这些信息用于直销、政府使用等特殊目的。

另外,在跨境传输方面,中国法和GDPR之间也是有差别的,GDPR允许向达到欧盟保护标准的国家自由地进行传输。在集团公司内部,只要集团公司之间签署一个BCR,他们就可以在内部进行传输了。如果没有达到欧盟保护水平的国家怎么办呢?这个时候也是可以传输的,只是说需要签订标准合同的标准条款,对于数据进行保护。中国对于跨境传输采取了比较严格的规定,要求信息主体要同意,与信息接收方之间要签署合同,要保障信息的安全,同时进行安全评估和向政府进行申报,这个要求就使得我们在国内的这些企业,特别是一些跨国公司对于未来怎么样进行跨境数据传输就产生了比较大的挑战。

此外,在敏感信息的界定,和数据运营主体以及执法部门等方面两部法律也是有所不同的。

 

4 设备号是否受个人信息法规限制?

孙建钢:其实隐私和个人信息本身在现在的法律视野下是有所区别的。在这样的区分下,设备号本身被认为构成个人隐私的可能性不高。但是,他会比较容易被认为是个人信息的组成部分。为什么这么讲呢?无论是《民法典》还是网络安全法,他们对于个人信息的定义是能够单独,或者与其他信息相结合来识别个人身份的各种信息。

那么,我为什么说设备号不是隐私呢?因为它可能是一个印在设备上,或者某些设备电子化凭证中显示的。它本来不是被遮盖起来的,不是隐蔽的信息。但是它本身结合整个设备,无论是手机号还是一些其他的使用信息,可能就能识别它的设备持有人,或者是设备使用人的身份。如果是这样的情况,我们认为设备识别号倾向于容易构成个人信息,在这个条件下,它应该受到中国法律对于个人信息使用的规范,包括同意,包括规则的公开性,包括使用过程当中的合理性等。

所以,回到实践当中来,有一些情况是设备识别号已经被用于广告,但是如果从法律角度来出发,我们觉得要参照网络安全法,并且新的《民法典》再次明确个人信息的定义,这样的话我们觉得应该要根据法律的原则性要求来重新梳理,而不是简简单单认为已经存在的就一定是没有风险。这是我的初步想法。

 

5 用户授权是否意味着企业可以在营销中任意使用个人信息?

杨阳:现在在中国法律项下讲的个人信息一般我们会分为两种,一种是指个人的一般信息,一种是指敏感信息。我们今天把敏感信息先拿掉,因为它本身受制于更高要求的规范级别。那么就讲个人信息,在目前的这个现行法律当中,除去一些法律允许除外的特殊情况,正常来说收集和使用个人的一般信息是应该事先取得被收集者,也就是消费者同意的。在实践当中,大概2019年下半年我也看到一拨比较明显的手机App的更新,大部分流量比较大的手机App都做了改版。改版之后,当用户打开这个App的第一时间就会收到一个弹窗,内容一般就是隐私条款。企业向用户明确他的隐私条款,然后用户点击同意,之后去使用这个服务。

目前这已经成为相对通用的做法,但并不是说用户点击了同意以后,所有收集的个人数据就会被任意使用于各种营销场景当中。目前个人数据的使用要严格受限于企业在隐私条款当中写明的授权范围,是不可以超授权使用的。另外法律也有一些对数据使用收集方面的原则性的规定。比如授权必须要明确,明确这些信息被收集和使用之后,使用的目的、方法、范围。另外必要性也是原则之一,就是说你收集的信息要不能突破服务所需的必要性的范畴等。这些是法律的一个强制性的规定,也是必须要明确遵守的。此外,可能各个企业现在还必须要向用户提供一些措施,方便用户撤销他的授权。

回到这个问题本身,企业要有一份比较完整、翔实、透明的隐私政策和用户协议作为基础,这也是用户信息使用的核心环节,但并不是有了它,所有的数据使用都变成合规的,还要根据数据使用的场景来做最终的确认跟审核。

 

6 数据安全与数据隐私的区别?

杨阳:大部分人在遇到具体问题时可能会混淆数据安全和数据隐私。其实这两块业务是相互关联,但又相互独立的。

数据安全主要侧重于在数据存储、传输和使用过程当中的数据保护的安全级别。它针对的数据不仅仅是个人数据,也包括了业务数据,也就是说只要是企业有的数据,都需要进行安全存储,它依据的法律也是网络安全等级保护条例以及相关的标准,实际当中也分为不同的等保级别,比如说我们公司是等保三级,这其实是安全方面的一个规定。

但数据隐私合规是不一样的。隐私合规更多是审核个人数据在收集和使用过程当中是不是符合当地的法律,更多是为了保护消费者作为公民本身的隐私权,以及个人数据在使用过程当中的公开透明与合规性。数据隐私合规依据的法律更多是我们熟悉的欧洲的GDPR,加州的CCPA,以及我国的网安法等一系列法律法规。所以两者的法律基础也不一样。

在企业实践当中,负责的部门、承担的职责以及工作内容是不一样的,需要承担的标准、流程在制订过程当中也都是完全不一样的。比如说在我们公司内部有专门的团队专注数据安全,也有专门的律师团队专注数据隐私,他们是不同的。有了等保证书,只能说明这家公司的数据安全已经达到了国家认可的一定的级别,但是并不能代表它在整个的产品和服务当中使用的数据本身是合规的。这其实是两件事情。

 

7 数据加密是否意味着数据隐私合规?

杨阳:这个是真实数据业务中比较常见的问题。现行的法律在要求传输重要数据和个人敏感数据的时候,确实是强制性要求加密的。但是这个问题反过来并不代表加密完了数据隐私就合规了。目前法律规定,不仅仅是对隐私加密,还包括一些处理措施,比如对数据进行分级分类、去标签化,并且要在传输之前完成一定的安全评估等。对于一些特殊行业,比如医疗、金融行业所产生的数据,还有个人数据的跨境传输,这些比较特殊的点还是需要额外遵守一些法律法规的。

反过来,要怎么保证数据合规?根据法律的要求做去标签化的处理、做加密是一方面,另外一方面就是在日常业务审核当中,要去看数据本身使用的场景,数据链条的设置,所涉及的数据的类型,综合起来一起看。基本上要做到所有个人信息数据在使用的时候是有授权的,使用不会超越授权的范围,数据在使用链条上是完整并且合规的,而且整个链条对消费者来说是比较透明的,要给予消费者明确退出的权利。要能做到这样的程度才能完成整个的合规性审查。

 

8 据说市面上有公司可以把手机号转成关联的设备号,这样存在何种风险?

孙建钢:我个人的观点是这种做法是有风险的。有以下几个理由,第一,个人的手机是属于个人信息,甚至有时候一定程度上构成隐私。前面也说过设备识别号结合其他信息是可以识别自然人身份的。所以从两个信息本身的属性上,我觉得是属于法律保护的范围的。

第二,目前来看,我们法律虽然没有说明文禁止逆向识别个人信息,或者逆向识别个人信息号,但是大家比较明确规定是,如果我们要传输,或者向外提供个人信息或者是手机号的时候是应该采取相关的保密,或者是相关的去标识化,去个人信息化的一些手段。虽然法律没有禁止说你可逆,但是我们从一般的朴素的逻辑上来看,你的可逆其实是突破了原来法律希望保护的一个法义或者是价值。你在这个可逆的过程当中既缺乏法律的明确支持,同时又去破坏了一个法律希望保护的价值,我们觉得这样的风险就会相对比较高。

再加上我们识别完以后第三方你是用于广告等商业性的目的,不断的推送并没有得到客户的事先确认,这个一定程度上还是可能违反个人信息,甚至违反隐私权。举例来说,这里说到隐私,在《民法典》当中,它觉得如果拿到别人的手机号不断的推送广告,这个是被列为侵犯隐私的项目之一,不仅仅只是个人信息的问题。

所以综上来看,不仅仅说有了手机号,在第三方搞了技术逆识别一下,突破别人的保护措施拿到数据就会被安全使用,我觉得这个风险还是存在的。

 

9 企业如何设置合规审核流程?

杨阳:以链睿为例,首先从企业文化上来说,保证数据的合规性是链睿企业文化的一部分,也是我们业务的核心。这就注定了在链睿本身的业务和产品的整个流程当中,合规性的审核都会贯穿其中。那么一家企业如何设置合规的审核流程?各个公司根据其内部部门的不同设置还是会有一些不同的流程。从链睿的角度来说,首先我们在各个市场都会做长期的法律调研,在这个法律调研基础之上,根据当地的法律制订当地的数据审核标准,这个标准是跟着法律和时间的变化不停做变化的。

从数据进入我们的系统,一直到它出我们的系统,整个的数据使用流程当中,我们都是有严格审核的。比如我们从合作伙伴那里接收数据的时候,会提前对合作伙伴的数据做一个合规性审查,确认它的数据是没有问题的,我们才会以我们可以接受的方式来接收数据。我们内部对于所有的产品设计和流程设计都是有律师参与的,也就是整个产品在设计和开发的过程中就已经做完了合规性的审核。不仅是产品,其使用场景都是经过审核的。只有审核过后经过批准的场景才可以用于销售环节。所有的环节连接在一起,使我们的数据在从进到出的整个数据链条上都具备合规性。

另外,我们每年在内部和外部都会做数据的审计,以确保每一年的数据在内部、外部都具备合规性。

 

10 对于企业数据隐私保护,三位专家有什么建议?

傅永辉:我这里给大家几个建议。第一,从责任意识的角度出发,企业应当认识到用户把他们的个人信息交给你,是信任你的。企业要作为一个值得信任的保管人来保护用户的数据。保护的方法包括制订并且执行合理、合法的隐私政策,持续监控政策的执行、评估政策的有效性。如果发现了隐私漏洞,或者是违法、违规行为的话要尽快进行补救并且披露。

第二个建议是从透明的角度来讲,企业应当要公开隐私政策,然后充分透明的告知用户他们的数据是怎样被使用和处理的,并且遵守这个隐私政策。对于数据泄露的事件企业也是要及时去披露,并且采取补救的措施。

第三,从公平的角度出发,当企业去获取用户对于收集和使用信息的授权时,应当使用明确易懂的语言,来表明收集和使用的目的和范围。这样的话用户给你的授权才是真正出自他内心的意愿;同时也不应该要求用户去同意一些不合理或者不公平的数据处理和共享行为。例如当用户使用GPS时,App跳出要用户授权使用其通讯录,这就是一个不合理的要求。

第四,从守约的角度出发,企业拿到用户的授权后就和用户形成了一个约定,企业要遵守这个约定。具体而言,企业在收集信息的时候已经向用户说明了收集的目的和使用的范围,收集来之后,企业一定不要超过这个目的和范围去使用数据,更不应该在没有授权的情况下去允许任何的第三方使用这些数据。

接下来还有一个建议,我们需要尊重用户的隐私控制权。就是说数据的主体是有一些权利的,比如说查询、更正、删除数据的权利,注销账户的权利等等,企业需要向用户提供行使这些权利的渠道。

最后一点建议,匿名数据传输不一定是安全的。不要因为是匿名数据就不进行保护,因为在很多情况下,匿名数据未必是不能识别特定个体的数据,也未必是不能复原的数据。这是我给大家的六点建议,谢谢。

 

孙建钢:我从一个商业律师的角度简单总结一下我的看法。首先我们应该了解现行法律规定,这个是我们做判断的基础。与此同时,关注法律的发展,因为这个领域应该说是日新月异,很多问题也有待进一步完善。与此同时,我建议企业根据上面的现行法律和法律发展方向做一个自检,明白企业自身处于一个什么样的风险点,以及明白所要去的方向。最后,我相信在一个相对模糊和不确定性的法律环境当中,我们要在一个崭新的领域来寻找一个风险可控、合理合规的解决方式。做到这样几点,我相信业界同仁、相关的法律从业者能够在企业发展和数据隐私保护之间获得平衡,这是我的想法,谢谢。

 

杨阳:从企业内部的角度补充一些我的建议。从业务出发,建议企业能够在更早的阶段让你们的律师参与进来,因为其实从律师的角度来说,不管是做合规律师,还是传统律师,他们做的工作不是为了阻止业务的发展,而是在做业务、产品架构的同时,告诉业务部门怎样更合规,更好地设计这个流程。在整个流程按照合规要求设置好以后,并且在它能达到业务目标的前提下,后面的流程当中可能就不会出问题了。所以,改变原有思维,将审核尽早融入产品和业务流程,对于数据合规来说是比较重要的。