高杉峻:本文是熊定中律师继 《数据竞争与司法裁判》 、 《互联网平台对用户数据的权利起点》 之后,互联网数据系列文章的第三篇。这个领域的法律讨论至关重要但又刚刚起步,衷心期待该领域更多的优秀稿件。
数据使用合规实务指南
作者|熊定中(北京清律律师事务所主任、首席合伙人,微信:siberwaage)、向子瞭(北京清律律师事务所律师助理)
*本文经授权发布,仅代表作者观点,不代表其供职机构及「高杉LEGAL」立场,且不作为针对任何个案的法律意见*
【特别提示】
1、本指南仅限于数据使用业务,并不涉及从用户处进行的数据收集业务。 用户数据收集业务需要另行起草合规指南,且大量数据商业化使用企业并不涉及直接从用户处收集环节,可无需考虑该部分。
2、本文供数据合规相关法律专业人员研究使用,不建议非专业人士直接使用,亦不代表本文可不做调整直接适用于企业实际运营过程而无违法违规风险。
一、个人信息相关法律制度及概念
鉴于《中华人民共和国网络安全法》《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》于2017年6月1日施行,配合之前已有的部分相关个人信息保护的法律法规, 我国已形成了一套体系化的,从民事、行政及刑事全方位覆盖的个人信息保护制度,个人和单位都需严格遵守,如有违反则各自会有相应的法律责任需要承担。
与此同时,国家对个人信息的认识已从隐私权中独立出来,现以概括加列举的方式对个人信息的法律内涵进行了定义,具体而言个人信息是指以电子或者其他方式记录的,能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。
二、个人信息数据分类
为了便于企业对实践中的数据使用业务进行审核,暂时可以把业务中可能接触到的,所有跟个人属性相关的数据分为特定、敏感和标签数据三类,并根据收集、使用的数据类别不同,设计与业务相匹配的合规机制。
特定数据是指凭此数据就能识别到具体个人的数据,比如身份证号码、指纹。 敏感数据是指凭此数据一般公众就可以确定其对应的是一个具体的人或者数据本身隐私性非常强的数据,比如手机号码、个人邮箱、征信报告,而 标签数据是指仅凭此单一数据无法确定到个人,需要多个数据相互配合的数据,比如性别、年龄、兴趣爱好。
除特定数据外,其他的数据所属类别并非恒定,如个人行动轨迹,其既有很强的隐私性也无法单独确定到个人,因此同时具备了敏感数据和标签数据的特征,需要根据实际情况灵活判断。
三、合规及风险防控要点
一般而言,企业如需在提供服务的过程中对数据进行处理,就会有接收、保管和提供三个阶段,以下分别就各阶段的注意要点进行介绍。
1.数据接收
不考虑企业自行进行用户数据收集行为(不在本指南范围),企业接收的其他数据一般是由数据提供方提供。由于数据合规业务同时涉及刑事风险防范,仅合同约定对方的合规性可能不足以防范此类风险,需要在能否进行数据接收上慎重审核,以判断是否可以接受数据提供方的数据,尤其是在高标的、大规模商业合作中,花费一定人力物力进行小型“尽职调查”是较为稳妥的做法。实际商业运营过程中,数据接收方可根据合作层级、规模来平衡合规风险和成本,对如下列所述操作指引进行选择性适用。
1.1数据提供方资质
考虑数据提供方是否有良好的商誉及较大的企业规模。一般而言大公司受到监管机关关注的可能性大,也有足够的资源完善其合规制度。与其合作,数据接收方的合规工作可以视情况适当从简。
1.2数据提供方的数据收集
1.2.1数据提供方的数据需有合法来源,首先核实对方与被收集人的《用户协议》或有关个人隐私条款的模板(下称“协议”)内容是否“合理”(作为数据接收方,无需对提供方进行严谨合规,法务人员从普通常识角度判断即可),也即核实数据提供方所提供的数据,是否是按照在其与被收集人的协议约定而进行的收集、使用与共享。
1.2.1.1数据收集的范围
被收集人是否明知该数据被数据提供方收集,例如协议并未涉及需要收集地理位置相关数据,但所提供的数据中却含有该类数据,则合规性存疑。如果是收集敏感数据甚至是特定数据时,是否设有特殊的获取同意方式,如在网站上单独弹出窗口,需用户主动勾选同意等。
1.2.1.2数据使用的方式
部分商业合作内容,是数据提供方要求接收方企业提供一定的数据分析或数据交换等服务。此种情况下,数据接收方企业应判断此种服务是否与协议中已明确告知被收集人的服务内容具有关联关系。如协议中明确表明收集数据会被用于“向您提供您可能感兴趣的广告”,则数据接收方企业向数据收集方提供广告投放分析服务就有其合理性。也即需明确协议中是否对数据的使用规则进行了完整、清晰的说明,提供的服务不能超出协议中使用规则声称的直接或合理关联范围。
1.2.1.3与第三方共享数据的程度
即使数据的收集和使用符合以上两点要求,因数据接收方企业对被收集人而言是第三方,且数据被收集后原则上不进行共享,基于此数据接收企业还需要考察自身是否满足协议中针对数据共享情形设定的条件。 一般而言,数据提供方会将数据与“供应商或合作伙伴”进行共享,数据接收企业就需要依据数据提供方与数据接收企业签订的服务合同进行判断,双方的关系是否符合该定义,并根据实际情况在服务合同中进行调整,以维护数据接收企业权益。进一步需要核实,协议中是否详细说明了共享的目的,且数据接收企业提供的服务是否在该共享目的范围内,例如数据提供方作为线上商城服务提供商,其在协议中明确告知被收集人,其会收集姓名、地址及联系电话用于配送商品,并提供给签约的运输合作伙伴,则运输公司从数据提供方获取被收集人的姓名、地址及联系电话就在协议共享目的的范围内,属于合法共享。
1.2.2其次可以与对方签订保证协议,保证其向第三方提供数据是已合法获得被收集人授权的行为,一般而言,注重合规的公司也会要求数据接收方企业签署与数据相关的保密或使用协议,以延续其对被收集人的做出的承诺(例如淘宝和支付宝均在隐私规则中明确承诺将会要求共享数据的第三方企业签署数据保护协定)。但请注意,一旦查证属实发生了侵犯个人信息的行为,以上协议无法免除数据接收方企业的行政甚至刑事责任,对于民事责任,数据接收方企业也仅仅是能通过违约责任将最终损害赔偿责任转嫁至第三方,但应当先行承担对于被侵权方的赔偿责任。
1.3数据接收范围及形式
根据业务实际需要,仅接收必要的数据,而不是对方可以提供的所有数据,严格遵循最小够用原则。同时还需要注意针对特定数据不要明码接收,敏感数据及标签数据需保证全部接收后无法达到确定个人的效果,否则必须减少接收的数据类型。
1.4单项业务风险评估
即使满足以上3项要求,或数据接收企业已聘请专业人员针对单项业务进行了严格的风险评估,认为可以接收特定数据、能确定到具体个人的敏感数据或标签数据,仍需考量到如果数据提供方被行政机关甚至司法机关判定为非法收集、使用或共享被收集人提供的数据,是否能够承担相应的法律后果,包括但不限于赔偿损失、暂停相关业务、停业整顿、吊销营业执照、对直接负责的主管人员和其他直接责任人员定罪处罚,并对单位判处罚金。
2.数据管理
2.1储存地点及时限
2.1.1针对在中国境内(注:不含港澳台)收集或处理过的数据,必须要储存在境内。
2.1.2如非必要,数据储存不要超出因业务需要的时间,以免承担过多的管理责任。同时在接到数据提供方提出删除数据的要求时,请及时删除或匿名化处理相关数据并留存好记录,最后以正式的书面形式向对方回复结果,留存备查。
2.2安全制度
不同类型的数据如果泄露或被不当使用所造成的后果是不一样的,如在刑法上针对非法获取、出售或者提供公民行踪轨迹信息、通信内容、征信信息、财产信息与非法获取、出售或者提供公民住宿信息、通信记录、健康生理信息、交易信息的入罪数量标准就完全不一致,分别是50条和500条。因此需要根据数据与个人关联的紧密程度设计相应的安全保障体系,将有限的资源合理分配,做到风险等级差异化管理。建议可以从以下方面着手,注意留存好书面材料以资证明。
2.2.1设立严格的数据使用和访问制度,通过控制数据访问的权限和设定多重身份认证技术保护个人信息,避免数据被违规使用。
2.2.2对工作人员处理数据的行为进行系统监控。可以采取专门的数据和技术安全审计,设立日志审计和行为审计多项措施。
2.2.3建立数据安全专项部门或小组,负责安全应急响应并组织推进和保障个人信息安全。
2.2.4举办安全和隐私保护培训课程,并做好培训记录以供查验。
2.2.5聘请外部独立第三方对信息安全保障体系进行评估,例如ISO27001认证。
2.2.6一旦发生数据安全事件,及时向数据提供方及监管部门报告,报告内容应包含安全事件的基本情况和可能的影响、已采取或将要采取的处置措施、降低风险的建议及补救措施。
3.数据提供
3.1数据接收方评估
此时的数据接收方指的是除数据提供方外的,为数据接收企业服务提供支持的第三方。
3.1.1首先根据数据接收企业与数据提供方签订的服务合同内容判断,是否需要告知数据提供方,数据接收企业还需要委托第三方参与对数据的处理。
3.1.2其次,分析数据接收方是否因自身所在行业领域的特殊性,天然持有个人信息的数据库,可以将数据接收企业提供的数据与其自身数据库匹配,如快递;金融;电信;交通;宾馆;购物等行业,与其进行合作就需要以高度审慎的态度进行评估,以免帮助对方补充完整用户个人画像。
3.1.3同时还需进一步考察对方是否在其内部设有数据隔离制度,能够做到数据库与数据库之间无法关联,这也是防止对方将接收的数据匹配到其已有的个人信息数据库中,继而完善了本不应由其知晓的个人信息。
若数据接收企业是将服务产生的相关数据反馈给数据提供方,因是否可以提供相应服务已在双方签订服务合同前进行了合规审查,请注意按照合同的约定严格执行即可。
3.2数据提供范围及形式
3.2.1注意根据数据提供方对数据接收企业的要求,与数据接收方进行相应的约定,严格限定违约责任。
3.2.2特定数据,需继续保持非明码状态提供;敏感数据,在只有通过向外提供此数据,才能顺利进行相关业务的时候提供;标签数据,需要判断提供的种类数量是否足以让对方完善或补足用户个人画像,并酌情删减。
3.3数据出境
针对存在与跨国公司合作,需要向境外提供数据的情况,在现有的趋势下,为了保护好数据接收企业自身利益,首先请先在内部梳理好出境数据的性质、数量、范围、敏感程度,准备数据出境的必要性分析,如确因服务所需而向境外传输的,需要核实数据提供方与被收集人之间的协议是否就该情况作出过明确告知并征得同意,如未约定的,请务必要求数据提供方再次获取被收集人明示同意后,再进行处理,否则将存在违法风险。 因数据境外传输是需要向被收集人明确告知出境目的、接收方、安全保障措施、安全风险等情况并征得同意的前提下才可进行,建议数据接收企业在与数据提供方签订服务协议时就进行相应的约定,以免因数据无法出境不能提供服务而承担违约责任。同时也需要了解数据出境目的地的网络安全状况,确保与出境数据的境外接收方形成有效的联动机制。最后,注意保持与行业主管或监管部门进行有效的沟通,并随时关注规则变化。
四、结语
随着国家对大数据产业关注的深入,针对个人信息甚至用户信息的保护趋势也是会越来越规范化,提前做好企业内部制度的基础建设,并随时根据新政策新形势调整,不仅有利于降低自身的法律风险还可以增强客户对企业的信任感。 所以说即使通过收集、使用数据并提供相关服务能够带来可观的回报,但请务必注意要把相关行为控制在合法合规的范围内,否则面临的将会是商业上的损失甚至需承担刑事责任。
【参考文件】
1.中华人民共和国网络安全法,主席令第五十三号,全国人民代表大会常务委员会。
2.最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释,法释〔2017〕10号,最高人民法院、最高人民检察院。
3.个人信息和重要数据出境安全评估办法(征求意见稿),国家互联网信息办公室。
4.隐私条款专项评审工作指导意见,中央网信办、工信部、公安部、国家标准委。
5.个资外泄事故的处理及通报指引,2015年10月(第一次修订版),香港个人资料私隐专员公署。
6.信息安全技术个人信息安全规范,2017年7月24日,提交全国信息安全标准化技术委员会报批稿。
7.高德隐私权政策,2017年7月28日版本,2017年7月28日生效, http://map.amap.com/doc/serviceitem.html 。
8.京东隐私政策,2017年8月20日更新,2017年8月27日生效, https://about.jd.com/privacy/ 。
9.支付宝隐私权政策,2017年8月23日发布,2017年9月22日生效, https://docs.alipay.com/policies/privacy/alipay 。
10.淘宝网:法律声明及隐私权政策,2017年8月21日更新, https://terms.alicdn.com/legal-agreement/terms/suit_bu1_taobao/suit_bu1_taobao201703241622_61002.html 。
11.腾讯隐私政策, http://www.qq.com/privacy.htm 。
12.微博个人信息保护政策(修订版), https://m.weibo.cn/c/privacy 。