8月20日,备受关注的《个人信息保护法》经由十三届全国人大常委会第三十次会议表决通过。
一时间,无论是IT、HR还是法务都表示出了极大的关心:1. 《个人信息保护法》保护的是什么?2. 《个人信息保护法》较之前的法律,有哪些特色制度?3. 新规对 “告知—同意”提出了更高的合规要求,企业如何应对?4. 新规出台后,企业处理个人信息应注意什么?5. 上上签在哪些方面满足《个人信息保护法》的合规要求?6. 关于个人信息跨境,外企需关注什么?
带着以上问题,我们在上周邀请了世辉律师事务所合伙人王新锐,与上上签解决方案专家一起围绕“新规出台,电子签约如何帮助企业保护个人信息”进行了详细解读。
1. 上上签电子签约:据悉《个人信息保护法》从去年10月就已经面向社会征求意见,从公布草案到今年正式出台,这部预热了将近一年的法律,出台的背景和重要意义是什么?
其实我们在《个人信息保护法》起草之前就一直有相关的立法,只不过非常分散,例如《刑法》、《消费者权益保护法》、《电子商务法》、《网络安全法》里面都有相关的条文。
但是个人信息保护是一个多场景,非常复杂综合的事情,如果分散在不同的法律中,最后在实行过程中会出现很多问题。
而世界范围内,现在大家也意识到个人信息保护在数字经济发展过程中越来越重要。这也是我们作为一个数字经济发展大国,这两年将其提速的背景。《个人信息保护法》从草案发布到最终通过的速度非常快,这得益于前期的很多积累。
当然,这次有一个亮点,即《个人信息保护法》是根据宪法制定的,这在我们的立法过程中是很少见的。
这也证明这样一部法律本身是跟公民的基本权利息息相关,也是对之前公众个人信息被广泛收集、被滥用等情况的回应。
2. 上上签电子签约:据了解,之前有《网络安全法》、《数据安全法》,现在的《个人信息保护法》相比之前这些法律有哪些特色制度?
王新锐律师:之前已经有了很多关于个人信息保护的法律规定,相对而言,《个人信息保护法》在制度上有一些创新或者丰富。
而我们在前面提到有关个人信息保护的场景非常丰富,如果只依赖“同意”的方式,可能还是会有一定的矛盾。
所以我们在里面增设了合同、公共利益、新闻媒体监督,类似这样的一些合法性基础。
但只是同意还不够,这一次在同意的基础上进行了丰富,提到了“单独同意”的概念。
再有,《个人信息保护法》对自动化决策和一些新技术进行了一些回应。我们将涉及所有跟个人信息合规的一些业界实践,包括一些域外立法的经验进行了汇总。比如增加了对数据进行分级分类和事前风险评估的要求、对数据跨境前需要履行的义务的要求等等。
这样可以看到相比之前,《个人信息保护法》出台之后,制度上覆盖地更加全面。
当然对于企业而言,也要理解个人信息合规工作不是一个一劳永逸的事情,而是一个可持续的过程,这意味着需要企业不断努力去履行这些制度带来的合规义务。
而且在某种程度上,个人信息保护的合规跟合法不完全是一回事。合规的过程离不开企业在技术和制度上的持续投入,并不是非黑即白。
当然什么叫做违法,有时是清楚的。但什么叫合规、违规,其中是有一定的界限,需要企业自身去证明。
3. 上上签电子签约:您刚才提到“告知-同意”很重要。另外在特殊情况下需要进行“单独同意”,企业应该如何做?
王新锐律师:不管是欧盟、美国还是其他国家,“同意”都是处理个人信息的主要合法性基础。
首先,要清晰地告知用户,包括个人信息主体,我们是如何收集、处理、删除数据的。
另外,《个人信息保护法》对“同意”进行了划分,包括有些时候需要获得单独同意,有时需要获得书面同意。比如说在处理敏感个人信息、数据跨境时,需要单独同意。所以我们在处理一些格外重要的数据时,要进行单独告知。
“一揽子告知”是告诉用户,要将这些信息都提供给我,才能为你提供服务。这种一揽子告知是被监管和立法所否定的,监管和立法认为这种方式在一些情况下是在强迫用户提供信息。
“单独告知”,意味着单独就一件事获得用户的同意,而且是要以引起用户注意的方式。
接下来,企业需在“如何获得单独同意”方面下一番功夫。甚至在一些情况下,如果处理到了敏感个人信息,且没有办法获得单独同意,可能意味着业务无法再继续往下进行,对业务的影响会非常大。
4. 上上签电子签约:这次增加了一条很重要的条款,“为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需。”这一条应该跟劳动合同相关,该如何解读?
王新锐律师:相信大家都非常关注这一条款,这一条款实际上是在最后三审稿中加入的。
为履行民事合同所必需是我们在个人信息处理规则中,世界范围内最常见的一个合法性基础,在几乎所有的立法中都会提到。
第二部分则是按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需,第二部分非常有特色,据我所知,这也算是在最后一刻加上的,背景是一些大公司跟立法者就此做过沟通。
公司跟员工之间存在隶属关系,因此,公司在管理过程中通过员工的同意去获得合法性基础,会有所不妥;同时,立法者考虑到,如果企业随意在劳动制度中添加一些跟个人信息处理有关的内容,对员工不公平。因此,最后条款的起草考虑了两种观点:
一种观点是认为企业可以基于人力资源管理的目的进行个人信息处理,另外一种观点是认为要在这个过程中限制大的公司利用优势地位获得个人信息。所以最后制定出来的条款特别强调要按照依法制定的劳动规章制度和依法签订的集体劳动合同进行个人信息处理。
不管是劳动规章制度还是劳动合同,都要确保其符合《劳动合同法》,并且保证整个制度制定以及合同签署过程的公平性、保证员工对个人信息的处理是知情的,公司也需要通过告知员工相关事宜以保障员工知情的权利。
5. 上上签电子签约:信息如果是在企业内部,企业就是个人信息的处理者。个人信息的处理包括最开始的收集、存储、使用、加工、传输以及未来可能给第三方进行提供公开,还有一些删除动作。
王新锐律师:《个人信息保护法》给个人信息处理者增加了很多义务,这也是大家要格外关注的内容。这些义务之前在我们的其他规定中也有涉及,但这一次是非常综合的。
首先,要看在处理个人信息时,其合法性基础是什么?我们刚才提到的合法性基础,包括合同、同意,或者其他法律列明的法律义务的履行。
第二件事情,我们要在处理个人信息的过程中相应地采取技术手段,不管是加密还是去标识化,要保证整个过程数据的安全,该部分内容跟《数据安全法》有些关联。其次,内部要有相应的内控制度。包括应建立个人信息的访问控制制度、应确保内部对个人信息被访问的情况进行留痕等。
在《个人信息保护法》之后,我们的很多客户也在讨论怎样去修改公司内部原有的一些制度或者新增一些制度。对于一些比较极端的情况,要提前准备应急预案,比较极端的情况包括比如现在不时发生的网络攻击,还会有一些个人信息泄露事件,甚至敲诈事件等等,这种情况下应该如何有针对性地做一些预案。
有时候我们比喻合规就像大火烧过来,如果没有合规的制度,可能会把所有的船都烧光。但如果你有相应的合规制度做风险隔离,可能在第一时间就能及时发现什么地方着火了,同时把火灭掉。而且中间因为有隔离环节,不会在整个企业内部产生连锁反应,这可能也是个人信息处理者要格外关注的。
6. 上上签电子签约:现在的《个人信息保护法》作为新时代的个人信息保护立法跟域外的很多可能在70年代、80年代、90年代进行的立法,有何区别?
王新锐律师:主要是企业个人信息处理的能力大幅地增长,所以我们看到现在很多规模并不是很大的企业,可能只有几百人,却要处理上亿的数据,这一情况在中国特别突出。
这种情况下就意味着企业要去关注其作为个人信息处理者,处理数据和保护数据的能力、合规的能力是要匹配的。
这也是我们个人信息立法的一个核心精神。因为很多企业都是在收集处理数据的时候,不管不顾,当真正出现风险的时候,是没有办法进行控制的。这不仅仅涉及到考虑法律规定、法律底线的问题,而是需要一种持续保持合规的能力。
7. 上上签电子签约:您刚才提到企业一定要做到留痕,以及数据的安全存储。现在很多企业想借助电子签约,由一个独立第三方提供留痕、中立性的证据。
作为电子签约的第三方中立平台,我们怎么做能够更好地满足《个人信息保护法》的合规要求?
王新锐律师:《个人信息保护法》出台之后,我们也跟一些客户做了讨论,比如“单独同意”不仅仅是一个同意本身的过程,还需要对同意进行记录。
可以看到这次《个人信息保护法》带来的一个变化是确立了过错推定责任,也就是要求企业在面对一些个人信息风险事件时,要自证清白。
如果企业要证明自己没有做错事情,就需要企业全程留痕,然后能够举证。电子签约平台的一个价值也在于此,它可以帮助企业在整个过程实时留痕,比如对同意、单独同意怎么获得的做留痕,或对面向员工做的一些通知动作做留痕,后续,如果员工或者公司要去查询电子合同,公证信息,相对来说电子签约是可以实现的,这也是电子签约平台能够给企业带来的价值。
但另外一方面,因为电子签约平台服务了很多客户,就要考虑内部的控制,内部的访问权限设置的问题,比如需要对这些数据内部进行隔离。
上上签电子签约:关于这些,上上签内部是有一整套完善的安全机制和流程的。我们内部的一些运维人员,是没办法直接接触这些数据的。
同时我们把产品提供给外面的企业客户或者个人客户时,也要进行初次的告知,告知要采集哪些信息,一般我们都是采集最小信息,只要完成实名认证就可以。
后续采集这些最小信息,用于什么方面,都会有告知说明,尤其在采用面部识别的时候,这种属于特别隐私的数据,我们还会有一个单独告知的说明。
8. 上上签电子签约:此外,您觉得上上签作为第三方电子签约服务商还需要做哪些能够更加完善?
王新锐律师:在《个人信息保护法》出台之后,所有大型公司的产品都需要根据其进行一些调整。
这种调整一是要跟合规义务对齐,我觉得现在已经在做的一些方案、技术手段,肯定之前也都能够被证明是有效的。在《个人信息保护法》出台之后,企业需要捋一遍所有提供“告知—同意”的环节,是否跟法律要求是一致的。
另外企业内部需要做数据的分级分类,我看到很多企业目前还没有完全做到位。原因很简单,之前法律没有强制性的规定,但是在企业做数据分级分类之后,才能把数据做区分,比如区分为个人信息、敏感个人信息。甚至会区分出可能有一部分信息不只是个人信息,还属于重要数据。企业需要通过这样的方式,才能确定该以何种方式去处理哪些类型的数据,或者在哪些情况下的数据处理是受到限制的。
9. 上上签电子签约:《个人信息保护法》特别用了一章提到跨境规则,上上签服务了很多知名外企,他们多数会在国内成立一些机构,我们在服务这些外企客户时应该注意些什么?
电子合同签完就会是文件形式,有一些外企客户的文件存储器可能放在国外,这种文件存储器放置国外的情况下,我们又应该如何去做?
王新锐律师:这个问题大家非常关注,也有很多跨国公司过来咨询。关于数据跨境,我们要分阶段来看。
我们看到《个人信息保护法》虽然出台了,但是关于数据跨境具体的落地配套措施还没有完全固定下来。
目前的阶段首先要实现合规,需要考虑“单独同意”和“事前风险评估”的问题,这在《个人信息保护法》中写得非常清楚,也有相应的制度建设要求。我们认为企业可以参考个人信息安全影响评估的国家标准,做相应的风险评估,这个阶段更多的是先落实单独同意和事前风险评估的规定。
第二阶段,就是涉及《个人信息保护法》中还提到的,按照国家网信部门的规定经专业机构进行个人信息保护认证、按照国家网信部门制定的标准合同与境外接收方订立合同这几种跨境传输的路径;或根据《个人信息保护法》,如果是企业构成关键信息基础设施,还要有相应的审批流程才能进行数据跨境。立法部门后续会出台相应的配套规则,届时,企业可以根据相应规则去考虑如何满足合规要求。
我们了解到,这些配套规则下的制度其实还是会符合企业大多数日常需求,我自己觉得不用特别担心。
对于服务器的选择是经常被问到的问题,中国有一类数据是需要境内存储的,这类往往是非常敏感的数据,比如健康医疗大数据,金融类数据、网约车相关数据、征信相关数据这些数据需要进行本地化存储。
除此以外,我们对于数据的存储地本身是没有要求的,但是如果是个人信息出境,则要符合刚才提到的要求。
我相信面对员工管理中出现的个人信息跨境的情况,后续国家层面会有一个相对统一的确定性方案,让大家的需求可以得到满足。现在来说我们更多需要做的是在签约的过程中做好留痕工作。
10. 上上签电子签约:您刚才提到风险提前告知是需要企业对其个人用户或者员工进行一些风险的提示是吗?
王新锐律师:对,比如现阶段《个人信息保护法》出台之后,我看到一些企业在修改自己的劳动合同。
告诉员工“因为我们是一家全球化企业,所以我们需要把你的信息 Transfer(转移)到总部去。”类似这样的明确的告知。
而且我们还发现像这种数据跨境,不只是涉及员工的个人信息,还会涉及员工的家人的信息,比如企业为其员工的未成年人子女购买保险等情况。这些信息的处理本身都要进行明确的书面告知。
以上这些如果是通过电子签约的方式去签署,也要做好存储和留痕的工作。我觉得这也恰恰是电子签名或者电子合同的一个优势。