上一篇文章回顾以及本篇文章要点
在昨天第一篇的文章中,我们总结了《网络安全法》(以下简称“网安法”)的监管重点、执法热点以及企业的合规难点 —— 个人信息保护;并且回顾了5月中下旬针对个人信息“动真格”的执法事件;另外,在昨天的文章中,我们也从网安法出台前后我国有关个人信息保护的法律法规变化进行了总结及分析,得出“个人信息保护”将是网安法正式实施后,以至未来一段时间,监管机构关注的重点监管领域及执法热点领域。
在今天的这篇“洞察”文件中,我们将继续分析我国目前有关个人信息保护的监管发展趋势,并且把眼光扩大至国际上个人信息保护的传统强势国家与地区,譬如欧盟的有关法律法规,把我国目前的有关要求与欧盟一般数据保护法案(“GDPR”)进行横向对比,并且分析及总结我国与GDPR的差异,分析及总结差异的目的,是为了进一步预测我国在未来一段时间,可能采用的、进一步补充的监管要求与做法,从而协助我国企业针对个人信息保护的最新监管发展趋势进行前瞻性的合规准备。
我国的个人信息保护与GDPR的要求对比
欧盟的GDPR确实是目前国际上做法最领先的个人信息保护法案,其继承了之前《数据保护指令》以及《隐私与电子通讯指令》的立法及执法经验,更全面、更科学地提出个人信息保护的七大基本原则,并且限制个人数据转移到EEA以外国家(即数据本地化存储的要求,其优点主要包括:
立法水平更高:其体系完整,一部法案即包括了数据处理活动的原则、具体的数据处理活动、主体的义务和数据主体权利、执法机构、法律责任等;
符合发展趋势:充分考虑了技术新发展带来的数据保护新需求,如:被遗忘的权利、儿童个人数据保护;
影响辐射全球:GDPR约束境外实体,任何人想与欧盟做生意都必须考虑GDPR
我国的网安法实际上在个人信息保护这一监管重点领域,提出了非常具体及全面的要求,并且其借鉴了许多GDPR的要求与做法,使得我国网安法针对个人信息的保护水平,达到世界领先的水准,譬如:
篇幅关系,我们仅就网安法的两个具体合规要求(特点)展开简要的分析:
1.《网络安全法》有关个人信息保护的原则要求及企业合规落地实践指南:
大部分实施数据保护的司法管辖区都遵循欧盟牵头制定的“数据保护7大原则”,这些原则涵盖了数据从创建到删除的整个生命周期。保护原则还包括数据安全、访问以及纠正的权利。我国《网安法》做出了关于个人信息保护的规定,参考我国发布的国家标准《信息技术 公共及商用服务信息系统个人信息保护指南》与欧盟GDPR及其它若干代表国家的保护原则进行对比,我们发现我国的个人信息保护原则已经与国际先进立法水平一致:
通过以上比较分析不难看出,企业针对个人信息保护的要求,必须全面做到、并且需要由收集至按规定销毁企业的客户及雇员的个人信息的全生命周期都做到7大保护原则。这就是我们为什么说个人信息保护将是企业的工作难点的原因,举例来说,《网安法》要求网络运营者“应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围并经被收集者同意”,对于这些原则,其描述仅为廖廖有限的几句,企业完全无法理解具体应当做到何种程度,才属于符合网安法规定的原则,也就是说,由网安法至企业合规落地的具体操作,缺乏一个由“原则”到“落地”的桥梁。
比较其它国外法律,我们可以发现隐私保护的原则基本一致,对隐私保护的生命周期也趋同,企业需要从《网安法》个人信息法律要求过渡到隐私运营框架及落地措施,需要一套指引与框架。在过去几个月协助我们的客户进行网安法合规差距分析、差距改善落地的工作中,我们引入了GAPP (Generally Accepted Privacy Principles)来做为由原则至落地的桥梁。
以企业收集个人信息须做到明示通知个人信息主体,并且符合“正当合法透明”以及“目的限制”的原则为例,企业如何具体做到合规的落地呢?
2. 有关个人信息的企业“角色”要求及企业合规落地实践指南
在过去的几个月中,许多的企业客户经常问我们一个问题:“现在我已经理解我们企业必须针对我收集到的个人信息做到符合个人信息7大保护原则,我也理解我将使用GAPP框架来达到个人信息保护措施的合规落地了,但整体成本非常高,我们企业要做许多的改变,包括流程、人员和技术等等,真跟进的没有其它更敏捷、更节约成本的途径吗?”
我们的答案是肯定的:其实,根据《信息技术 公共及商用服务信息系统个人信息保护指南》规定了两种个人信息处理的企业“角色”,分别是“个人信息管理者”以及“个人信息获得者”,两者对应必须要做到的企业要求是有差别的。举例来说,企业A如果仅仅是接收来自由合作方(企业B)负责收集的个人信息,并进行处理,譬如对客户进行服务回访,那么,企业A是属于“个人信息获得者”,其所需要做到的对这些个人信息的保护,仅仅包括7大原则里的“完整性与保密性”,因此,企业A的工作成本其实可以很节约、很有针对性地投入对应的个人信息保护领域。
下表总结了企业两种“角色”需符合的个人信息保护原则:
从上表,我们可以有针对性地先对企业所属的个人信息保护“角色”先进行分析及判断,之后才实施相应的措施,有针对性地部署相应资源,从而达到事半功倍的成效,确保个人信息保护的工作目标达成。
其实,我国的“个人信息管理者”以及“个人信息获得者”这两种角色,与欧盟的GDPR定义的数据“控制者”及数据“处理者”很相似,可以说是借鉴了GDPR针对个人信息的保护立法经验的精髓。
在落地过程中,企业如何判断自身是属于哪一个“角色”呢?
通过判断企业收集的个人信息:
个人信息的管理者:能够决定个人信息处理的目的和方式,实际控制个人信息并利用信息系统处理个人信息的组织和机构,即是个人信息的管理者,参照此角色实施企业对个人信息的保护。
个人信息获得者:从信息系统获取个人信息,并对获得的个人信息进行处理,即个人信息获得者,参照此角色实施企业对个人信息的保护措施。
有关普华永道《网络安全法》合规解决方案以及《网络安全法》针对个人信息保护的合规要求详情,请联系我们:
颜国定
普华永道网络安全与隐私保护服务合伙人
电话:+86 (20) 3819 2301
邮箱:[email protected]
翁泽鸿
普华永道网络安全与隐私保护服务高级经理
电话:+86 186 883 99918
邮箱:[email protected]
冼嘉乐
普华永道网络安全与隐私保护服务合伙人
电话:+86 (10) 6533 2937
邮箱:[email protected]
张俊贤
普华永道网络安全与隐私保护服务合伙人
电话:+86 (21) 2323 3927
邮箱:[email protected]