本篇介绍:撰写数据隐私合规文件
本篇为第4篇/共5篇
上一篇:企业安全隐私合规体系建设经验总结(三)
下一篇:企业安全隐私合规体系建设经验总结(五)
在去年前三季度(2019年),我有幸主导了公司的安全隐私合规体系建设。几乎是从零开始,完成了ISO 27001、ISO 27017、ISO 27018、GDPR、等级保护三级、CCPA等安全隐私合规认证,其中也写了一些零零碎碎的心得和研究笔记。
而在今年春节(2020年),由于武汉肺炎疫情严重,假期延长,我决定系统的回顾和总结一下关于企业安全隐私合规体系建设的经验,以让后来人及自己以后都少走弯路。
准备创建隐私合规的各种文件前,需要考虑两个基本问题:
1、为什么创建文件?
2、读者是谁?
回答完这两个问题后,就可以准备提纲并继续考虑另外两个问题:
1、撰写文件时,应该考虑哪些内容、形式、结构要求和因素?
2、撰写文件时,应该避免落入哪些圈套和陷进?
企业撰写数据隐私相关文件,一般是出于三个主要目的:法律要求、市场需求、组织内需。
为了符合法律规定或者为了享受某些文件所带来的法律上的好处。
如果是因为要符合法律规定,应该认真分析该规定的法律渊源、适用范围和构成要件;如果是因为要借此享受法律上的好处,应该查阅相关的法律原文,做深入的分析;另外,尽量不要明确承诺不分享客户数据,这在将来涉及并购、破产时,会严重限制企业数据库的价值。
为了相应的市场需求(如来自消费者、供应商或员工的需求)。
如果是因为此目的,应该弄清楚具体的商业目的是什么,未达成目的会遭致何种负面结果,达成目的能带来哪些好处。
为了传达和记录某企业内部的规则、指示和限制。
如果创建文件是为了在内部传达企业的运营指示,那么要认真考虑和定义接收该种指示的受众是谁。
解决完“为什么创建文件”这个问题后,接下来应该确认这些文件的读者是谁。只有对读者群体有明确的意识,才能选用合适的语言风格,评估哪些细节问题需要加以详细解释、哪些细节可以默认读者已知,并决定哪些内容需要加以强调。
在文件标题中指明读者群,往往有助于最有效的达成文件目的。例如,如果读者群是全体员工,考虑一下是否该文件应该改名为“致全体员工的隐私通知“,如果行文件本身无法判断文件目的或读者群,那么应该考虑一下企业是否可能根本不需要这份文件。
数据隐私合规文件一览:
(仅作为参考,由于Markdown无法画出这样的表格,我只能用Excel来写)
看完合规文件一览后,我们一个一个来讲解。
一般来说,从通知开始着手准备或审阅数据隐私合规项目文件的做法比较好。企业在隐私通知中具体披露哪些信息取决于其想要满足的具体法律规定。
大多数情况下会把通知发送给四个人群:
1、企业员工
2、企业网站访问者
3、企业客户、分销商、供应商和其他业务伙伴的自然人代表
4、自然人客户
通知应当由数据控制者发出,同时,数据控制者不应该任由数据数据处理者发出通知。数据控制者是发出适当通知的主体,通知内容中应包括由数据处理者从事数据处理活动的信息。
处理以数据主体为读者的隐私通知,一般要涉及如下要点:
1、发布通知的主体是谁?
通知中需要写明发布者的正确名称,发布者的办公地址。适用于某法域的通知必须翻译成当地的语言才有效。
2、接收通知的对象是谁、范围多广?
为了有针对性的告知相关数据主体,通知必须明确是针对哪些群体而发,涉及哪些行为范围。
3、企业收集的数据类型是什么?
企业应当提供所收集数据的足够具体且完整的清单。而对于企业在数据主体未积极参与或不知道的情况下收集数据(如在线追踪、通话录音等),那么应尽量提供数据的详细信息。
4、企业收集数据的目的是什么?
如果企业收集数据是出于履行其与数据主体所签合同的义务,或者为了遵守相关法律的规定,可以直接写明。但是,如果企业收集数据是为了营销、改进服务或产品、监控数据主体行为等,那么必须提供额外的信息。
5、企业收集的数据与谁分享?
如果企业想与其他数据控制者分享数据,使该数据服务于该控制者的营销或其他目的,则可能需要获得数据主体的同意。同时,企业应该在通知中让数据主体知道:企业是否会在没有法律强制要求的情况下经常或主动与境内外执法机关分享个人数据,抑或企业仅在法律强制规定的情况下与境内政府分享个人数据。
6、数据位于哪里?
欧洲数据保护机关通常认为企业必须要向数据主体披露数据存储在哪里,数据是否会传输到欧洲经济区外。但欧洲数据保护法本身通常不会明确这么规定,而仅仅说数据主体必须被告知数据处理的一切相关细节。企业应该自行评判数据存储在哪,数据是否传输到欧洲经济区外,数据与数据主体的关联性如何。
7、数据存储多久?
企业应当向数据主体披露对数据的保存期限,尤其是当数据被删除的时候。
8、数据主体如何读取、更正、删除他的数据?
企业(数据控制者)应当允许并实现数据主体访问与其自身相关的数据,提出更正或删除数据的请求。一般来说,企业可以自由决定执行细节,如怎样被允许、邀请或引导这类需求。
9、营销话术和善意声明
“我们认真对待隐私”、“您的隐私对我们来说很重要”、“我们采用最先进的数据安全措施“,这类陈述并不会向数据主体提供任何有效信息,反而授原告律师和监管机构以口实,指责企业实际上并未充分尊重数据主体的隐私权益或未能遵守法律。
10、关于通知形式和送达的规定
企业必须以书面形式发出通知,但通常情况下,是以电子邮件或者网站发送通知即可。
企业在开展某些类型的数据处理活动之前必须获得数据主体的同意。
而有时候在收集和处理数据之前不确定是否需要征求数据主体同意的情况下,为了以防万一而获取数据主体同意,此时需要解决以下问题:
1、法律是否限制了数据主体同意的效力、效果和范围?法律是否为获取同意设置了麻烦的形式或实质条件?
2、获取并追踪数据主体的同意是否很容易?
3、是否存在任何反对企业获得该同意的政府机关、工会或其他机构?
4、寻求数据主体的同意是否存在扰乱现有商业关系的风险?
5、如果数据主体拒绝同意,企业应当如何做?
6、如果数据主体撤回给出的同意,企业应当如何做?
7、需要扩张或修改数据的处理或使用方式时,企业是否准备好再次向数据主体寻求同意?
8、寻求数据主体同意是否牵涉其他法律制度、审查和管辖权?
如果企业决定获得数据主体的同意,那么就要判断获得同意必须满足哪些法律要求。
例如欧洲数据保护法规定,当且仅当同意是数据主体自愿、明确且知情的表示除对其个人数据处理的同意时才有效。如果涉及敏感个人数据,同意还必须是明示的。如果企业还考虑向非欧洲经济区跨国传输数据,同意必须不含糊。关于数据追踪(cookie)的同意,还必须满足对处理目的提供清晰且完备的信息时才有效。
关键词:
事先,知情,书面,自愿,明示、积极、不含糊和类似表述,明确和类似表述,区别和可区分
通常,企业和政府准备标准同意书并推送给数据主体,使其通过预先设定的形式、程序给出同意。这种做法既使数据处理基于同意而展开,也易于确认同意是否获得。如果企业没有按照预先设定的方式而是通过电话访问或当面对话等方式获取数据主体的同意,不可避免会面临解释和记录获取同意过程时的尴尬境地。
1、在明确告知相关数据处理行为的纸质材料上签名。
2、在线点击明确数据处理行为的两个可选框,其一表示数据主体确认已理解同意的范围,另一表示数据主体确认愿意做出同意。
3、在线注册后,回复系统自动发送的邮件,完成确认程序,表示数据主体已阅读、理解同意请求并愿意做出同意。
4、在线勾选明确告知数据处理行为的未默认选择的选框。
5、在通话中被问及是否同意通话监控或录音时明确回答“同意”。
6、签名或勾选未默认选中的选框以同意包含已预先设定同意书的合同条款。
如果法律仅仅要求数据主体同意而没有规定其他关键词,那么选择以上任意一种方式都是可以的。
对于会对数据主体造成不利影响或无法预知不利影响的数据处理活动,企业应当采取更加显著的同意机制。
对于对数据主体无影响或者获得数据主体同意后效果很明显的数据处理活动,企业应该采取不太显著的同意机制。
默认和不作为的同意通常是无效的,除非企业一开始就明确且有效的保留以通知形式单方变更数据处理做法的权利,沉默才有可能被认为是同意。
如果按照以上(1-6)同意机制中的方式,要求数据主体对数据处理明确给出单独有针对性的同意声明,就可以避免监管部门或法院所坚持的对存在法定“肯定”和“明示”条件的同意做出单独声明的风险。
除了获取积极同意之外,企业还可以选择采取额外行动来核实并确保数据主体确实理解情况且同意出于真实意愿。
企业如能在数据主体使用应用的特定功能时实时提供简明扼要的额外跟进提示,那么用户更可能理解具体场景,从而做出是继续使用应用、还是退出应用的知情决定。
通知书和同意书常常看起来差不多,因为在获得数据主体知情同意之前,企业必须对计划中的数据处理活动的细节做出充分通知。因此,准备同意书时,通常也必须准备通知书或引述现有的通知书。
起草同意声明时,必须决断是必须获得某项特定活动的明确和明示同意,还是想要获得一切数据处理活动的广泛同意。想要获得明确和明示的同意,应确保同意书覆盖到具体数据处理活动的各个关键方面。
无论如何,任何预先组织好的同意宣示应该呈现在接近待勾选的选框、“点击接受”的按钮或签名行的地方,这样消费者通过鼠标点击才能清晰显示出同意。如果把宣示同意的语句放在“接受”或“提交”按钮下方,未必满足要求。
通常只有数据控制者能获得数据主体的同意,因为仅有数据控制者有直接的联系和机会来寻求数据主体的同意。一般来说,数据处理者没有义务做这项工作。
企业与数据主体签订协议时,涉及双方当事人彼此间的同意。但当企业未通过签约而获取数据主体同意时,同意的宣示是单方向的,从数据主体指向数据控制者即企业。而签订协议后,在协议中,企业与数据主体是双方互致承诺。
这里说一个非常常见但不推荐的做法,以作警示:
当企业明确关于数据处理发送通知或寻求同意时,经常也会让数据主体接受企业的网站隐私陈述或其他关于数据处理做法的通用通知。
除了寻求数据主体对隐私陈述中数据处理活动的同意或接受之外,企业还可以通过与数据主体签订商业合同承担处理个人数据义务,替代寻求数据主体同意、许可或接受。合同义务要求企业处理数据,同时也允许企业这么做。
从数据保护法角度看,企业之间可以签订三类性质截然不同的协议:
数据处理服务协议
、数据处理分包服务协议
、数据控制者之间的协议
协议名称 | 协议说明 | 协议条款要点 |
---|---|---|
数据处理服务协议 | 是指一家企业(数据处理者)作为另一家企业(数据控制者)的数据处理服务提供商处理数据。数据控制者主导并负责大多数数据保护法下的合规义务。数据处理者遵循数据控制者的指示,仅为数据控制者的利益-代表其处理数据 | 1、数据处理者仅为数据控制者的利益、代表数据控制者处理数据 2、数据处理者必须遵循数据控制者的指示 3、数据处理者未获得数据控制者指示前,不得变更数据处理活动的关键方面,如数据处理位置和分包商 4、数据处理者必须确保数据安全。双方最好达成明确的技术、组织和行政数据安全措施,如数据处理者或数据控制者的信息安全政策 5、数据控制者对数据安全的责任到位后,就是数据处理者的责任的开始 6、明确数据安全事件下的通知、合作和赔偿义务 |
数据处理分包服务协议 | 是指数据处理者聘请分包商,并把数据控制者与其所签数据处理协议下的义务传递给分包商 | 1、数据处理者需要把其在数据处理服务协议下承担的部分甚至全部义务传递给分包处理者 2、数据控制者的指示直接传达给分包商,还是由数据处理者转达 3、最初的数据处理服务协议中必须解决的问题必须要在分包处理协议中解决 |
数据控制者之间的协议 | 是指数据控制者将数据分享给另一家企业,该企业同为数据控制者,为其自身利益(如联合营销活动、借用或购买电子邮件列表等)接收数据。在这些情况下,两个数据控制者均对数据享有利益并承担合规义务 | 1、数据控制者是否应当向另一数据控制者承担关于个人数据使用和处理的合同限制? 2、确定负责数据传输合法性的责任方,是数据的发送方,还是接收方,或者双方都负责 3、一旦数据传输或者其中一个数据控制者的作为或不作为导致第三方提出针对某方或双方控制者的纠纷,赔偿与合作义务如何分配? 4、数据流动是否为双向的,故而权利义务是否也应当设计为双向适用? |
如果法律强制规定签订协议,则企业之间就不得不采用签订标准合同条款和模板合同。例如,欧洲法律关于跨国传输个人数据的条款规定,企业可以执行欧盟委员会公布的标准合同条款。
一般来说签订标准合同条款并非是合同一方当事人要求另一方当事人执行合约义务,而是双方当事人共同执行合约义务以满足法律规定。因此,对此类合同的强制执行多半来自于监管部门、数据主体和其他第三方。
通常来说,法律不会严格规定企业必须制定办事规程。此外,从操作角度来说大型企业有必要对数据收集、使用、披露、访问、保护和其他处理活动制定和颁行政策。作为一个组织,企业必须遵守数据隐私法的各种规定。
至于一家企业到底需要制定多少数据隐私法合规的办事流程,取决于企业的运作方式、员工数量和员工专业化程度。
在制定办事规程时,要考虑该规程的实施对象、对应部门掌握哪些情况、如何能让实施对象最好的抓住要点。办事规程最好只包含与每个实施对象都具体相关的规则。
若通过问卷、网页表格或其他形式收集数据,应当考虑以下几点:
1、通过设计表格,企业可以设计所要接收的信息的类型。表格上的问题越明确,答案现象范围越小,答题者越不可能提交企业不想要的或者可能招致企业责任的信息。
2、如果企业通过电子邮件发送问卷并希望获得消费者反馈,但同时也宣传产品,那么这种问卷可能构成广告,因此需要遵守反垃圾邮件法。
3、如果企业已经寻求数据主体对某些数据主体活动的明示同意,也要利用问卷调查的机会让数据主体确认、更新或补充有关数据。这能帮助企业满足数据完善的要求,履行通知义务,并减轻数据主体对具体数据类型可能存在的其他顾虑。
企业需要把数据处理实践和合规工作记录下来。根据《欧盟通用数据保护条例》,企业有义务记录数据处理活动。为了准备这些文件,可以确定并明确列出企业需要遵守的规定,并在每项规定下描述企业的实际做法。
申报和批准的规定可能千差万别,取决于:
1、出发申报要求的情况。
2、政府机关对哪些信息应提交申报提供指引的程度。
3、所提供信息的总量和类型。
4、作为最初接收人,对数据再传输必须进行通报和披露的程度。
5、采用不同方式使向欧洲之外跨国传输数据获得正当依据,或者任命数据保护官等情况在何种程度上可以豁免企业的申报义务。
6、数据传输协议或其他支持文件是否必须与申报表一并提交。
7、数据控制者是否必须披露接收个人数据的数据处理者以及披露到何种程度。
8、申报文件是否必须翻译成当地语言。
9、对于数据传输的各方面是仅仅通报就可以,还是要获得事先许可。
在大多数情况下,企业必须要通过官方表格、用当地语言提交申报文件和许可申请。同时,一旦之前申报的信息发生变更,法律一般规定企业更新发送给数据主体和政府机关的通知。
时刻持续跟进各种各样、始终变化的当地法律规定还会给企业尤其是拥有大量外国子公司和数据用户的企业造成沉重负担。企业应该考虑确立一个流程确保各种变更都集中汇报给一位负责人(如数据保护官),该负责人能够立刻进行申报或者定期汇总报告。
本篇介绍:撰写数据隐私合规文件
本篇为第4篇/共5篇
上一篇:企业安全隐私合规体系建设经验总结(三)
下一篇:企业安全隐私合规体系建设经验总结(五)