企业安全合规专家、律师等全方位分享《个保法》落地实践
11月1日《个人信息保护法》(以下简称“《个保法》”)正式施行,自此国内数字经济发展和治理迈入了崭新阶段。从8月20日审议通过到正式生效,我们撰文的方向也在随着法律的推进不断更新。主题分别涉及:
11月1日《个保法》即将施行,企业都在关心哪些问题?
现在距离正式施行已经过去一段时间,法律的相关配套措施和垂直行业的监管规则相继出台,很多疑问有了明确答案。在此背景下,我们联合云安全联盟大中华区(简称“CSA GCR”)邀请了CSA大中华区专家 知名跨国企业安全与合规负责人 赵锐、世辉律师事务所合伙人 王新锐、业内知名专家 马老师。几位嘉宾分别从甲方企业安全合规、专业律师、云厂商角度全方位分享了“后续企业落地《个保法》,进行合规运营的思路和实践经验”。
1、如何理解数据“跨境”和“出境”,哪些场景存在这些情况?
2、涉及Workday、Salesforce等系统,企业如何保证数据合规跨境?
3、数据的保存传输涉及企业多部门,如何通过制度流程进行管控?
4、处理个人信息、敏感信息时的落地流程和注意点有哪些?
5、除CEO外,为什么COO、CFO还要重点关注?
6、《个保法》出台后,如何正确理解公有云,打消安全顾虑?
7、区别于其他企业,互联网大厂的守门人义务是什么?
8、中国区如何应对Global总部抛出的系列问题?
1、上上签电子签约:如何理解跨境数据,什么场景下会存在数据跨境?
赵锐:
数据跨境的场景非常多,个人用户去国外一些网站平台,如亚马逊跨境购物或者在国外的邮箱注册,这时个人信息就已经跨境。像最近双11,如果我们购买了国外一些品牌,像化妆品,因为其总部在国外,中间可能会有个人会员数据传至国外。此外,如果工作单位是外企或者跨国机构,其总部在国外,一些薪资福利等工作岗位信息也有可能会跨境。当然,国外如果能访问我们在国内一些平台上的信息,也有可能存在跨境。
马老师:
还有一些,像国内企业会在欧洲、北美、东南亚等地开辟市场,可能会将其APP直接在当地市场进行定位。当国内公民同时使用产品时,也会存在数据跨境的场景。所以需要看海外公司是否有远程跨境业务。另外看一些国内公司,是否同时担当着扩展海外市场的角色,如果在海外市场有数据化应用场景,也会存在数据跨境的场景和风险。
王新锐律师:
我从法律角度做些补充,监管在制定相关规则时并未专门就数据跨境本身进行定义。核心在于数据跨境的场景非常丰富。大家注意“跨境”与“出境”是两个概念。“跨境”有进有出,有进进出出。有时涉及一些中国公司给东南亚的客户提供服务,数据可能先进入中华人民共和国境内,然后再出境,所以跨境是一个比较复杂的流程。
当前提数据跨境,我想大家更多关注的是出境问题。关于“数据出境”就要考虑为什么要规制数据出境,显然我们认为当中存有特殊风险。法律角度对“数据出境”的概念持相对宽泛的解释,其防止这种数据出境可能造成的风险,并给监管留有了一定的解释空间。所以像典型的一些数据传输,以及从境外能够访问存储于境内的数据属于出境。
2、上上签电子签约:王律师从专业角度给数据跨境,准确来说是数据出境的定义做了说明。再进一步,哪些数据可以跨境出境,哪些数据是被禁止的?
王新锐律师:
世界范围内关于数据出境或者跨境流动的规则更多是从反面进行限制。即哪些数据不能跨境流动,哪些需要本地化存储。这时会涉及对本地化存储localization这个词不同的理解,有些是在境内存储,有些要在境内有备份,有些不能存储到境外,像健康医疗数据,金融类数据,网约车数据。回到规则上讲,数据跨境、数据出境的核心是要对个人信息和重要数据的出境过程进行管控。
但管控当中又有差异:
个人信息相对而言是以出境、跨境流动为原则,《个保法》为其提供了几条路径,除单独同意外,有评估、认证、标准合同的方式,做完以后便可自由进行流动。所以将来我们在个人信息正常出境的问题上,不会有太大的障碍。监管机构在后续的配套规则、落地方案中也考虑到了这些因素。
相对而言,重要数据出境更为复杂。涉及重要数据,意味着这些数据一旦失控,会影响国家社会安全和个人权益。这些数据往往体量庞大且性质较为敏感,比如跟经济运行或整个社会重要的基础设施有关。
目前从出境规则看,重要数据受到了限制,在过程中要进行评估。一方面当个人信息处理者处理个人信息达到一百万人时,这种情况哪怕出去一条信息也要进行备案。另外如果累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息也要进行评估。
图片来源:《数据出境安全评估办法(征求意见稿)》
尽管个人信息和重要数据出境受到了限制,两者中间的风险是不一样的。因为重要数据更接近国家安全,可能会考虑国家安全的因素,所以未来重要数据如果出境,其必要性需要更高的论证。相对而言,个人信息有许多自然的流动场景,全世界范围内个人信息一直处于大量流动的状态中。一旦量非常大,有时会对其安全风险进行整体评估。
马老师:
我本人在零售行业,是To C业务。《个保法》、《数据安全法》、《网络安全法》对我们有非常好的指导作用。在企业范围内,首先强调一点:在想清楚是否出境之前,一定要理清数据分类分级有没有做好,企业内部的数据词典是否足够指导每个业务部门。对零售行业而言,从传统行业过渡到数字化时代就差一点:数据资产的管理。
数据资产的概念比较宽泛,什么是数据资产?
首先要根据数据字典做好分类分级,像房间一样,我们通常将更有价值的物品放入保险柜,有些会锁进抽屉。完成分类以后,接下来需要考虑组织是否具备合理的审批流程,组织架构内部该由谁担当影响力角色,有权决定哪些数据可以出境。现在大多数企业会想是不是很多数据无法出境了,像我们行业一般敏感信息比较少,但也不乏会有。比如化妆品行业会有不良反应,其中会结合一些医疗报告等,这类属于敏感信息。在处理敏感信息的环节,企业收集信息后会按照不同类别对数据分类分级,在流转处理过程中对其进行加密传输。在流程方面,法务和安全人员要做好把关,但其前提是必须要了解业务。此时业务部门是否认同,管理层能否做到自上而下支持我们的工作,该由谁审批或者同意,需要我们建立相关机制。
10月29日颁布《数据出境安全评估办法(征求意见稿)》之后,像一些敏感信息我们选择先不出境,对于个人信息而非个人敏感信息,我们先对前端一些重要系统进行梳理。我也会建议大家做PIA(Privacy Impact Assessment),类似于之前数据跨境合规指引相应的一些详细内容。当下最好的方式是使用合规指引做一些自评估的工作,我们很多企业都会用类似Workday的系统,早在两年前我就向第三方企业提出是否能参与到我们的评估流程中,仅依靠甲方还不够。
另外还要看生态链当中一个非常重要的角色,消费者。如果他们不同意,也不能让数据出境。目前我们内部有相关的算法和分析,可以知道有哪些客户群体已经同意跨境。但是一定要保证消费者的权益,了解消费者数据有哪些字段,哪些字段可以留下,哪些字段必须出去才能满足消费者的购物和消费体验以及与我们商务之间的对接。同时连带着我们的处理者或者授权方,明确他们在远程是否跟我们保持同步做好了相应准备。
综合来看,需要考虑流程、人为运作、上下游生态链等几大维度。身为数据安全官,从某种意义上,我更偏向于保守。在决定出去之前,要先问清楚这几大模块有没有做好准备。
3、上上签电子签约:刚才马老师在解答过程中提及企业内部数据的使用保存可能涉及不同部门,如何通过制度流程管控不同部门的数据应用?
马老师:
在对数据分类分级时,此类数据应该给到谁,有多少量,里面包含什么字段,中间需要有相关级别的人员进行审批。首先在此之前需要对大家进行持续教育,比如内部数据,每家企业是否有相应的负责人对相关数据进行处理,他们是否已经得到授权或者已经理解了授权本身的含义。无论是业务部门还是供应商使用这些数据时,企业应对处理数据的每一步进行追踪,由相关负责人审批。从流程上看,足够的严谨性非常关键。
赵锐:
企业的安全合规部门、法务部门、风控部门在看到相应的法律法规,或者网信办的一些处罚出来之后,通常会非常紧张。但是仅靠这几个部门还不够,我们主要还应向公司的管理层,像董事会、 CEO还有两个很重要的角色,CFO和COO施加自身的影响力。
为什么是COO?因为日常业务运营关键KPI、OKR的考核压力都在COO身上,需要让COO关注这些法律法规。同时让他了解竞争对手还有国内外的一些事件,设想如果我们跟其他企业一样没有做好,也会受到相应的处罚。告知COO之后,首先他会有一定的触动,如果我们因为某些事件而中断业务,比如:超范围收集数据,没有管好其中的SDK和第三方一些SO文件等,APP会下架。下架以后,轻则造成业务中断,重则像前段时间某大厂被罚款。有些组织对于自身的合规情况有非常严格的要求,不能收到政府的罚单。如果受到外部监管的处罚,会被扣除KPI 、OKR以及对应的奖金。
在此背景下,管理层都会很紧张。但是我们不可能每次都依靠一些事件去告知,所以要基于一些业务场景进行梳理。如何梳理比较好?
首先,需要整体进行数据治理。像用户通过线上或线下的形式在我们平台进行注册,登录认证,过程中会收集姓名、手机号、家庭地址,甚至是银行卡、身份证信息。我们会将原有的业务流、数据流进行梳理,明确以前收集的数据分别散落在哪些系统。有些可能是企业自己控制,有些是第三方提供的。这些可以分为三部分:
1、前台部分:用户自己就可以操作;
2、中台部分:例如业务部门,给客户发货需要提供相应的服务。HR部门,涉及员工考勤报销,出差旅游等;
3、后台部分:像IT部门,做一些系统运维工作。
我们要评估以上几方的数据,通常前台的用户和中台业务部门希望看到这些数据。但是后台的IT依照监管要求,会做脱敏处理,比如只能显示身份证、手机号、银行卡的前段和后段,中间标星号。我们在管理层施展影响以后,还要让各业务部门知道“如果没有保护好这些数据,可能会受到前面那些事件的处罚。我们在人员、流程、技术等方面进一步做好数据安全保护。”
很多跨国企业使用Workday、Salesforce,按《个人信息保护法》员工数据是有合理理由跨境传输的。但对于客户数据,可以直接跨境传输吗?
这种情况下,《个保法》就数据处理给大家做了介绍,有两种方式:一是去标识,另一种是匿名化。关于匿名化,我们不能将一些数据还原成先前的个人信息,我们可以用统计数据的形式,告知国外总部国内有多少客户,业务情况如何。如果国外的系统对我们支持不够友好,国内的COO有向国外提出异议的权利。另外,国内CFO可以向国外管理层解释,如果国外要收集敏感数据,按照中国的法律法规,首先要确认是否合法、正当,如果没有经过评估就跨境传输,可能会受到处罚,最终影响经营业绩。
4、上上签电子签约:刚才提到很多企业在用Workday,尤其是外企。中间可能会向外国总部传输员工信息,《个保法》之后,企业需要做哪些工作保证合规?
赵锐:
很多跨国企业采用总部统一要求的Workday,但是哪些人可以访问,其权限控制情况如何,现在国内已经成立了数据治理委员会,大家可以在最小权限下访问这些数据。《个保法》出台后,我们应该要求国外和我们的能力相匹配,因此可以拿起国内的法律武器去监督要求国外总部。另外Workday的服务器并不一定处在我们总部所在地,比如美国或者东南亚。据悉其主要服务器应该位于欧洲。这时我们还需了解总部寻找的第三方是否做好了相应准备工作,如果对方出现问题会对我们员工造成很大伤害。
例如,原来Workday中会有一些不必要信息:公司在为大家购买补充医疗保险时,除自己之外,受益人还包括孩子、父母,信息涉及姓名、手机号和证件号等。当保险服务在境内时,以上信息是否还应该出境。这时我们要对传到Workday的信息进行梳理。比如,从最初收集简历,到中间面试过程中失败人员的信息是否要放入Workday,还是只留在国内即可。对于正式入职人员,从招聘到通过试用期直至离职,整个员工生命周期的数据,在员工离职以后我们又该如何保护。而且人员离职以后,如果需要为其提供背调,就要长期保存一些数据,比如姓名、电话,还有之前的考核结果。
上上签解决方案总监:
上上签服务了许多外企客户,跟大家交流过程中经常遇到客户花很长时间跟国际总部讨论为什么不用DocuSign,为什么一定要选一家国内厂商等。当下,国家包括党中央和政府已经明确数据作为生产要素在参与整个国民经济的流通分配中处于战略地位。基于此背景,选择国内厂商很有必要。我特别欣赏刚才马老师提到的,作为企业要很自觉地将供应商、生态伙伴引入进来一起推动信息的合规交互。
首先我们作为一家国有厂商,数据都储存在国内的服务器上,这是一个基本优势。再进一步,我们仍面临一些挑战。因为我们仍然要与外资企业的国际系统做各种对接。在这过程中,会碰到各种要求。经过今天的探讨,我们知道并非绝对不可以跨境传输,而是要符合各种规范,包括符合国家要求进行实施备案。因为数据安全的目的不是将数据完全锁在一个地方束之高阁,我们要帮助客户在遵守国家法律的前提下解决这种矛盾。在这过程中,仅靠我们还不够,还需跟数据安全专家,法律界专家人士一起为客户提供咨询服务。
5、上上签电子签约:《个保法》出台后一些企业对其解读过于谨慎,有些提到不能用公有云服务,要部署在本地。大家基于自身视角如何解读?
上上签解决方案总监:
不仅限于外企,中国本地企业也有海外业务,都会存在跨境问题。如果要符合国家的法律法规,企业是否有足够的能力和基础设施以及人才进行全面管理仍是问号。记得在一次活动上,一些客户企业的法务总监问,“我们是不是也要做等保三级,是不是要招很多人和资源投入基础设施。”
有些企业本身就具备很好的基础,而对有些企业是重大的负担,会直接影响企业核心业务的正常运行。这时公有云不失为很好的选择,比如上上签或者其他一些服务商,能够提供我们讨论的这些服务规范。对企业而言,可以专注于自己的核心业务。更为重要的是可以将精力聚焦在一个具体的企业内部管理上,而不是把人财物投在技术基础设施上。
赵锐:
我们自己的团队,比如IT有几千人,但是和一些大型云厂商相比,可能对方仅负责安全的员工就有上千人。在此情况下,1人做一件事情和10人做一件事情,高下立见。很多企业的人员会担心,自己处理数据看得见摸得着,但是给外部机构处理了,中间过程不清楚、不知道,如何把关和检查审计?我们在与云厂商签订合同时,需要将SLA(服务等级协议)、SOW(工作说明书)写清楚。同时也要了解国家的法律法规。
另外要基于企业的业务流、数据流做相应的数据治理和分析:
云厂商可以做哪些;原来在开发这些系统时,对于那些日志我们做了哪些控制;如果我们用外部服务,如何查询处理这些数据等。在清楚一些细节之后,不管是与第三方签合同,还是合作以后对其进行审计检查。我们是数据处理者,因为业务收集处理个人数据,对于第三方一定要做好管理和风险控制。
王新锐律师:
建议大家将《个人信息保护法》、《数据安全法》当作一种解决方案,它是国家对于数据泄露和数据滥用两大风险的Solution,不要仅仅视其为法律规则。在公司里很多时候,不管是法务部门还是信息安全合规部,大家的工作都是为了解决问题。
如果《数据安全法》、《个人信息保护法》出来之后,我们的技术反而后退了,这不是国家在支撑数字经济的立法中想看到的结果。另外,我们可以看到在欧盟GDPR出来以后,大家并没有为此不上云,追求本地化部署。很多问题其实源于我们对法律的理解。《个人信息保护法》、《数据安全法》中的某个条款,无论是面向外部还是内部的制度要求,都是为了解决数据滥用和数据泄露两个风险。数据滥用更多是规范企业内部的合规流程。需要保证收集数据后,防范各种超越其原有使用方向的行为。数据泄露更多强调最小化。数据最小化在一些情况下,确实对数据流动有一定限制。之前在无序的状态,数据可以随意流动,但流动本身存在很大风险,且收益和成本不对称。像Workday,现在有很多实际的解决方案,大家照样在应用。其中不管是员工单独同意或是有人力资源管理这条合法性基础,法律路径是通畅的。
所以要考虑法律出台的初衷,如果最后得出的结论与法律初衷明显不一致,我相信中间出现了误读。
6、上上签电子签约:最后,辛苦各位再分别就“《个保法》出台后企业如何合法合规地开展业务”做一下总结。
赵锐:
企业合规经营的首要前提是符合当地的法律法规。不同地区的法律法规,可能会有一些差异。处理这些差异时,总部会给我们建议。但是最了解当地情况的是我们自己和当地提供法律或者技术解决方案的供应商。我们在选择这些供应商时要了解对方的相关资质和认证。
如果是在中国,我们选择通过检测认证的技术方案和服务就能符合中国的要求。如果像前面提到的GDPR,在欧洲当地肯定也有一些通过对方检测的机构可以为我们提供服务。另外我发现不管是国外总部还是国内,很多人以为只要符合《网络安全法》、《数据安全法》、《个人信息保护法》即可,但是除此之外,国内还有很多相应的行政法规、部门规章。
例如,不同企业有不同的主管部门,主管部门下发的一些文件和要求对我们也有效。同时,国内也有很多标准,比如 TC260(全国信息安全标准化技术委员会),安全相关的标准就多达313个。对于这些企业都需要关注,这样才能更好地保证我们符合当地的法律法规和标准要求。
马老师:
总结为一句话:统一思想,分部管理。可以将企业视为一个核心,大家拥有很多内外部节点。每个节点都非常关键,我们要保证他们可以同时在法律合规上发挥作用,这样整个生态链才能稳健发展。统一思想是我们要继续影响企业内部的群体,同时分布式地管理周边的资源体系,供应商、咨询公司、法务部门、监管机构、政府等。
王新锐律师:
《个保法》、《数据安全法》给企业带来的影响可以概括为“三波冲击”和“一个矛盾”。三波冲击是一个中性词:第一是法律出台以后对企业的影响。第二是法律的配套措施。我最近也在支撑一些相关部委对数据安全、个人信息保护的配套措施,包括最近数据出境的规则以及一些重监管的行业(汽车、金融、医疗)监管规则。这些规则的细化落地会明确许多细节,未来半年一年内会陆续出台。第三波大家可能不容易想到,因为支撑了比较多的互联网大厂的合规业务,互联网大厂在《个人信息保护法》下具有守门人义务。
意味着后续互联网大厂还需制定一系列的个人信息保护自身的规则,以及为平台内提供服务和产品的企业制定规则。守门人义务意味着作为品牌方会受到以上三波影响,但同时还有一个矛盾。在于如何向总部解释我们的《个人信息保护法》以及《数据安全法》跟GDPR和其他规则的差别。在这当中,有时总部会问“你看你们《个人信息保护法》74个条文跟GDPR也差不多,我们做过统计,74个条文里大概有40多个条文跟GDPR非常接近。”
这时如何沟通?
很多总部提出:在做完GDPR之后,是否稍微做些本地化改动就可以?还要不要再重新做Data Mapping?要不要重新迁移一些系统?还是做完GDPR基本就能符合《个保法》要求?我没有确定的答案,这种矛盾依然是一个客观的描述。
另外是对齐,首先我们至少要知道公司的现状与现在的监管规则到底相差多少。以前我们的个人信息或者数据安全的法律位阶比较低,对于很多跨国公司而言,未必会非常严肃地对待。
现在《数据安全法》、《个保法》的罚则非常重,因为有了上位法的依据,后续在配套措施落地过程中,跨国公司会更严肃地对待这件事情。摸底之后发现差距,进而评估之后对齐,这当中既涉及不同部门之间的对齐,也涉及跟Global层面的对齐。个人看来,对齐工作反而是数据合规体系建设或者防控风险最困难的事情,因为中间涉及文化差异。
有时单就一些基本概念,大家就会争来争去,所以建议大家寻找最大公约数,对齐以后事情就容易处理。