原标题:微总结 信息技术与电子商务系列(一)数据跨境传输风险分析及企业应对
2016年11月7日全国人大通过《中华人民共和国网络安全法》,并于今年6月1日正式实施。为保障法律条款的有效实施,国家互联网信息办公室针对个人隐私信息和重要数据保护出台了《个人隐私信息和重要数据出境评估办法(征求意见稿)》,全国信息安全标准化技术委员会组织起草了国家标准《信息安全技术数据出境安全评估指南(草案)》,作为对《网络安全法》有关数据跨境传输规定的细化。相关规定一经公布,数据跨境传输的管理即具备了具体可执行的依据,这必将对外商投资企业与境外关联企业之间的信息共享产生现实而深远的影响。
本期LCOUNCIL在线直播,聚焦于“数据跨境传输风险分析及企业应对”这一主题,特别邀请中伦律师事务所合伙人陈际红律师,就企业有几率存在的风险及怎么样应对,与法务同行交流与分享。
陈际红律师不仅参与了相关立法的过程,对立法逻辑和未来执法的动向比较了解,同时拥有对企业做网络数据合规的大量经验总结,对企业找到一个都能接受的行业实践很有帮助。
本期分享内容,陈律师分别就“数据跨境传输的立法概述“、“何谓数据跨境”、“信息主体的合法授权“以及“数据跨境的合规”四个方面做分析讲解。
▌亮点一:个人信息和重要数据出境安全评估办法(草案修改稿)第一稿和第二稿的主要区别
第一稿规定,网络运营者在境内收集的个人信息和重要数据应当在境内存储。把境内存储的要求,从关键信息基础设施运营者扩大到一般的网络运营者,这也是大家非常关注和争议的。第二稿中,对于在境内收集和产生的个人信息和重要数据不再一般性地要求首先在境内存储。
第一稿没有宽限期,但办法里规定的跨境数据的安全评估,是需要一系列机制来保证的,比如政府机关监管的评估,需要各个主管部门来主导,要建一系列的组织、流程和能力去接收和完成,但显然各部门尚不具备与此相适应的能力。企业也需要准备时间以符合法律的要求。所以第二稿里特别增加了宽限期,从2018年12月31日起,网络运营者数据出境应当符合本办法的要求。
✦陈律师解读到,第一,在2018年年底之前,对数据出境的安全评估不做强制性要求;第二,此宽限期只适用于数据跨境的评估,不适用于其他的要求。
第二稿对数据出境的定义进行了修整,按照第一稿来解读,就是只要接收方在境外,不论是中国人还是外国人,只要接收方位于境外,那么都符合跨境数据传输的定义;第二稿把接收方定义换成了境外的机构、组织和个人,不论是接收方在境内接收还是境外接收,只要是境外的组织和个人接收这个数据,都构成数据跨境传输。
数据跨境传输的基本要求是要征得数据主体的同意,需要向数据主体公示出境的目的,接收方的国家以及接收方的目的等等,通过公示,明确要符合知情同意原则,而且应当是明示的同意。但也有跨境电商企业反应,跨境的信息主体自主的通信、交易行为,此类通信、交易的相对人有无法事先取得该行为人的授权的情况,所以在第二稿里边确定了一个推定同意的情形,通过数据主体自主的通信,比如打电话、邮件发送、交易行为等等,若行为是信息主体主动做出的且其知道数据收集方位于境外,这个行为本身可以推定为是同意,明确了默示同意的效力。
境内的网络运营者直接把数据传输给境外,这个显然是法律所规制的跨境数据传输。
假设境内的网络运营者有数据库,境内运营者不去主动把数据传输给境外,但是会在境内的系统和数据库里给境外的机构和个人给一个读取的权利,可以读取,可以访问,陈律师认为这也是法律所规制的一种数据跨境传输的类型。
境内数据传输给第三方,第三方通过携带以U盘或光盘的方式出境,此种变更的方式是否属于境内数据传输的规制类型?
✦陈律师认为,考虑到数据跨境管制的根本诉求,以及管制目的是为了避免国家安全或危机社会安定事件的发生。此类数据通过U盘或光盘带出境,实际上也触犯了上述的目的和目标,所以也属于法律所规制的跨境传输。
境内机构为境外机构提供技术服务,境外机构的数据传输给境内机构,境内机构为对方做数据分析和处理后再传给境外。
✦陈律师指出,该情况应当分两种情形讨论,一种情形是,假设境外机构把数据传给境内机构,境内机构对数据不做处理,直接把原始数据再转回境外,这种情形不属于法律所规制的跨境传输,无需安全评估;另外一种情形是,如果境外数据传输到境内,通过一系列的加工和处理,跟原始数据发生了较大的变化,此时数据的再出境会构成法律所规定的跨境传输,要经过评估之后才能传输。
个人信息的基本定义是,若这些数据和记录能够识别个人身份,就构成个人信息。所以是否具备身份的可识别性,是个人信息的分界线。
识别既包括单独识别,比如姓名、身份证等等可以单独识别到个人的;也包括一些结合识别的数据,数据单独不具备个人信息,但是结合起来能指向个人,比如我们经常说的上网的IP地址、行动轨迹等等,这些和其他信息结合起来,实际上能还原你的生活面貌和行动轨迹,也构成个人信息。
北京百度网讯科技有限公司与朱烨隐私权纠纷(案号:(2014)宁民终字第5028号)
“百度网讯公司已经明确说明cookie技术、使用cookie技术的可能性后果以及通过提供禁用按钮向用户提供选择退出机制”,因此认为“朱烨在百度网讯公司已经明确告知上述事项后,仍然使用百度搜索引擎服务,应视为对百度网讯公司采用默认“选择同意”方式的认可”,并进而认定“…将个人信息区分为个人敏感信息和非个人敏感信息的一般个人信息而允许采用不同的知情同意模式,旨在保护个人人格尊严与促进技术创新之间寻求最大公约数”。
当数据流转或第三方交互时,除了获得个人信息主体同意外,要做数据脱敏,但是国内仍没有关于具体可遵循的数据脱敏标准。企业做数据脱敏时不希望过分地脱敏。若数据脱敏完成之后跟个人身份无任何关系,数据价值会大大降低。
✦陈律师指出,我们要根据应用的场景、接收方的情况来做具体的决断。比如对于超敏感信息,我们建议一定要做彻底脱敏,让数据本身完全和个人身份相分离之后,再做超级敏感信息的流转。今年5月份,最高人民法院、最高人民检察院在北京联合发布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,规定超敏感信息非法交易或获取50条就可以入刑,这是非常严格的,所以超敏感信息的脱敏一定要彻底,从而避免不必要的法律风险。
销售部门统计的客户拜访信息,可能会要求上传到总部的Salesforce系统, 其中涉及数据出境类型可能包括客户的姓名、电话号码、工作单位、邮箱等,如何征得客户的同意出境?
根据描述的场景,此种情况下的个人信息跨境传输,是需要获得信息主体的同意的。获得客户同意的方式,应当很据具体情况来设计,比如获得书面的授权文件、或在拜访预约邮件中进行声明等。
业务客户中有部分为国家工作人员,国企领导。该部分客户的CRM记录的出境是否有额外风险?
首先这些客户的信息受个人信息保护,出境的话应当进行相应的数据跨境安全评估;其次,根据企业客户类型而定,可能会增大风险,比如一些具有保密性质的国企客户。
LCOUNCIL了解到中央网信办、工信部、公安部、国家标准委等四部门日前联合召开“个人信息保护提升行动”启动暨专家工作组成立会议,启动隐私条款专项工作,隐私条款专项工作将分批选取重点网络产品和服务,对其隐私条款做多元化的分析梳理,首批评审的十款网络产品和服务为:微信、新浪微博、淘宝、京东商城、支付宝、高德地图、百度地图、滴滴、航旅纵横、携程网。这一阶段主要是互联网企业,也想从陈律师这边了解一下是否下一阶段会扩展到其他行业的隐私政策?哪些行业可会被梳理?
这个行动本身得到了业界的好评,关于个人隐私信息保护的落地,我们知道刑法有侵犯个人隐私信息罪,银行的一些员工把信息倒卖出去,快递小哥把快递信息卖出去,会因侵犯个人隐私信息而被定罪判刑,以前的保护思路是这样的,目前的思路有所转变,通过对大的互联网企业来规范,让他们形成一个行业规范,提高他们个人隐私信息保护的水准,来带动行业的水准的提升。作为大型企业,业务中会涉及到很多的个人隐私信息,这些信息本身会带来社会问题,而且大型企业有义务形成一个行业的导引或行业的指标来带动整个行业保护水平的提高。所以我觉得这个行动本身的意义还是挺大的。因为这是一个试点,从互联网服务企业开展,最后可能延伸到一些消费企业等等,这些是要看具体推广的情况。