全球数据保护合规:常见误区及合规实操难点

在数据日益重要的今天,企业在不断开拓数字化业务挖掘数据商业价值的同时,也面临着越来越严格的数据保护法律和监管要求。很多国家受《欧盟通用数据保护条例》(下称“GDPR”)的影响也纷纷制定或者修改了其数据保护法律,目前全球已经有超过120个国家有个人信息保护类的立法。技术日新月异的发展也大大加速了立法的变革,企业的数据保护及合规一直面临各种因法律的不确定性带来的挑战。对于越来越多走出去的中国企业来讲,如何以最小管理成本实现不同国家和地区的数据保护法律合规成为亟需解决的重要问题。实践中,我们看到很多企业已经开始探索和部署建立全球数据保护合规体系,虽已取得一定成效但同时也遇到了各式各样的障碍和难题。

本文将结合我们在全球数据保护合规以及国内网络安全与数据保护合规方面的经验,来分析企业在全球数据保护合规策略中的选择和常见误区、以及实施和落地过程中常见的障碍。

企业开展全球数据保护合规的常见误区及难点分析

1. GDPR为主的全球合规策略是否简单易行并且适用于各国的业务发展的需求?

许多企业(特别是在欧洲有业务且受到GDPR管辖的企业)在开展全球数据保护合规工作时,会选择先做GDPR的合规,然后再将依据GDPR建立的合规措施和流程以尽量少的改动复制到各国,以实现内部流程的统一和减少差异化管理。然而这样的合规策略真的如预想一样有效以及简单易行吗?做到了GDPR合规是否也就意味着可以一劳永逸地同时满足其他国家数据保护法律的要求呢?

随着GDPR实施近两年,欧盟和各成员国监管机构对于这部法律的解读越来越多,执法案例也越来越多,这都对企业理解规则并在实践中依据规则开展合规给予了很多指导。我们经手过不少中国企业针对GDPR开展的数据保护合规项目,也协助过很多外企通过将总部的GDPR合规体系进行本地化来实现国内网安法的合规。不可否认的是,GDPR的规则和体系确实可以给企业带来项目实施上的便利,有利于企业内部的统一管理和自动化工具的部署。

但实践中我们也看到,企业在以GDPR为主建立全球合规体系的项目结束后,很多项目产出只流于形式并且没有注重与本地的法律结合,过了一段时间后发现这些产物很难内化到企业的业务流程和管理流程,从而没有发挥出GDPR的体系在数据保护上的指引的功效。

原因除了GDPR本身合规难度较高以外[1],我们认为还有国内企业对GDPR的合规要求理解尚不深入,合规成本、资源限制后续合规项目继续投入,以及业务部门的意识和配合程度较低等。很多时候企业都以法律不强制要求为由最终没有实施例如GDPR要求的数据保护影响评估(DPIA)和privacy by design and by default这些措施。

另外,企业依据GDPR作为个人信息保护的合规要求并不一定能够完全符合很多其他国家数据保护合规的需求。这种常见的“一刀切”的做法在实操中会遇到如下的问题:

  • GDPR的规定仅限于个人信息保护领域,在这样的保护体系下,企业在考虑海外其他国家的合规措施时可能会忽略融合其他领域的法律要求。很多国家对非个人信息或者技术本身也有一定的保护和限制性规定,例如我国法律规定的“重要数据”、“测绘地理信息”等,美国技术出口管制的限制,以及印度等国家计划对物联网中涉及的机器运行数据进行的管控等。金融、医疗、电商等行业性法规往往也会在数据种类或者系统种类层面提出特殊的要求,并且会作为特别法优先适用于行业。一些国家的个人信息保护规则可能并不完全规定在其个人信息保护法中,例如韩国个人信息保护相关的域外适用的规定在其Network Act(全称为the Act on Promotion of Information and Communications Network Utilization and Data Protection)中,而不是在个人信息保护法(Personal Information Protection Act)明确,并且韩国的KCC(Korean Communication Commission)已经根据Network Act对韩国本地企业和境外企业进行多次执法。

  • 很多国家的数据保护规则与GDPR存在差异,直接适用依据GDPR确立的数据保护措施可能并不能够完全满足各国的数据保护合规的要求。完全依据GDPR建立出来的公司政策和流程如果没有经过本地化或者只是有限地本地化,可能会在法律适用和术语上没有办法与当地的法律进行匹配。例如我国没有完全采用GDPR中数据控制者和数据处理者的定义以及相应的归责方式。实践中我们看到很多协议在使用此类概念的时候,仍然直接引用GDPR中的定义,因此导致无法对应当地法律导致约定不明的情况。例如新加坡和香港也没有使用数据控制者和数据处理者的定义,在法律归责原则上也并非完全与GDPR相同。

    实体规则方面的最大差别还体现在收集个人信息时的透明度要求以及数据主体的控制权(主要是数据主体权利)方面。不同于很多国家都要求数据主体同意一项数据处理行为,GDPR规定了许多其他的合法基础因此数据控制者还可以基于“正当利益”或“履行合同”,不经过数据主体的同意收集和处理其个人信息。这些依据GDPR设置的注册流程可能无法满足用户“同意”的要求。特别是企业需要发送营销信息(direct marketing)时,很多国家对此都提出了明示同意(opt-in)的要求,如果企业在非欧盟国家采取正当利益作为法律基础(欧盟部分成员国也认可基于正当利益进行直接营销),未事先就向用户发送营销信息取得用户同意,则可能会导致违反当地的法律要求。

  • 以GDPR为基础建立的部分合规措施可能在一些国家的合规水位过高,不利于当地业务的开展。例如,依据GDPR建立的合规体系往往要求企业在委托第三方处理数据或者与第三方共享数据时,与第三方签订相应的协议文件。在很多国际和地区法律尚没有此项要求(例如印尼、越南等),如果企业内部制度强制要求业务部门签署此类模板协议,可能会为业务部门造成不必要的障碍。另外,GDPR强调的限期删除原则很多国家在过去几年也没有全面地开始严格地执行。

2. 各国法律合规是否“只要符合法律最低要求”?

在我们负责过的众多数据保护合规项目中,“只要符合法律最低要求”和“保持行业平均的合规水位”是最常见的合规诉求。这两种诉求对于解决业务部门的某个具体问题、或者完成某个短期的项目而言是合理的。但是我们的经验是,企业以这种合规水位建立的管理流程或采取的合规措施,虽然看上去满足了某个时间点一些法律法规的书面要求,但在全球各国数据合规水位不断提升、民众个人信息保护以及隐私保护的意识不断提高、监管日趋严格的大前提下,这种“tick the box”的做法很多时候还会面临着这些合规项目的产出后期需要不断更新的问题。

目前很多国家的法律规定(包括GDPR在内),都尚存在不清晰之处,而且很多国家监管机构的执法案例中对于主要的法律问题并没有详细论证和披露细节,国内的从业人员在缺乏当地背景的情况下,很难仅根据法律文本摸透当地监管的思路。如果企业仅以“法律最低要求”为标准,忽视监管机构颁发的指南、指引等不具有法律效力的文件,可能会导致企业的合规措施并不能充分满足当地的数据保护法律要求。这点在美国FTC(联邦贸易委员会)的过往执法中有很好的体现,美国联邦层面尚没有统一的数据保护法,但是FTC过去三十年来的执法主要是依据FTC Act第五条针对不公平(unfair)和欺骗性(deceptive)行为的原则性规定并且不断扩张解释来完成。FTC的指引因此也成为当地合规需要重点考虑的文件之一。

另外,很多监管机构在进行数据保护执法时都是从消费者权益保护的角度出发来考虑用户的权益保护。用户期待值的不断提高也使得监管机构不断在执法层面提高对企业的合规要求(从去年我国的APP个人信息保护执法来看,似乎也是这种消费者权益保护的思路为主)。

3. B2B企业比B2C企业面临的数据保护合规压力较小?

传统的B2B企业涉及的个人信息主要以B端企业的员工为主,例如企业的销售人员的联系信息,整体涉及到个人信息的场景较少,因此很多B2B企业对数据保护一直不是很重视。随着全球数字化的发展,越来越多的B2B企业开始从线下到线上,例如汽车生产商开始直接面对消费者提供远程诊断服务、医疗器械行业通过线上获取患者数据进行植入物的3D打印等。

在中国提出“智能制造”大政策的前提下,必然会有更多传统制造企业向IoT转型,并且应用更多的用户数据来调整自己的产品设计以及营销策略。这些B端企业涉及的个人信息体量和敏感性并不亚于面对C端的互联网企业,特别是物联网产品的数据安全问题甚至可能涉及用户或公众的生命安全。而且很多物联网产品从设计、研发到生产和销售的周期要远远长于互联网产品,将数据和隐私保护要求嵌入产品设计显得更为重要。

此外,IoT行业面临的数据保护合规问题往往不仅限于个人信息保护,还涉及非个人信息的监管要求。例如我国药监局的《医疗器械网络安全注册技术审查指导原则》中对医疗器械运行数据做出了规范。其他国家也在考虑规范非个人信息的使用,例如印度电信部门考虑对机器间(Machine-to-Machine communication)的数据传输进行规制等。提供3D打印或者定制服务的B2B企业,为了减少客户订单的交流时间和增加订单完成的速度,大多考虑系统直连的方式。

特别是一些医疗器械类的企业,会直接将一些影像类的数据进行去标识化处理后直接传给器械生产厂商进行定制生产。这种时候数据主体所在国(例如在欧洲医院的病人)的数据保护法对于去标识化以及匿名化的要求,以及其他的数据保护要求(例如数据限期存储和数据主体权利)也都会影响B2B企业的数据保护合规措施。随着产品的销售遍布全世界各地,这类B2B企业也会面临很多国家的法律适用和合规的压力。这种法律适用和规则调和方面的压力对于B2B企业而言也不见得就小于B2C企业。

4. 数据跨境传输安排是否一纸数据跨境传输协议就可以解决?

数据跨境传输安排是企业进行全球数据合规实操中最棘手的问题之一,其中主要原因在于跨境传输往往涉及较多的环节,需要同时考虑不同国家的法律要求。很多中国企业在出海时最为关注的问题是,其是否可以将海外的数据回传至中国处理和存储。这种安排涉及到当地法律中的本地化要求、当地法律对数据传输至中国的要求,以及中国将处理后的数据跨境再传输到海外国家的要求。在每一个有业务的国家设立当地的数据中心显然不是很实际,因此很多企业的数据流大多是从【用户所在国→数据中心所在国→数据处理中心所在国→中国或更多国家】等不同的传输路径。

出于对本国数据资源的保护、政治和国家安全等因素考虑,已经有越来越多的国家开始(考虑)数据本地化方面的限制。例如俄罗斯对个人信息的本地化要求、我国的“重要数据”、印度2019年《个人信息保护法草案》中的“critical data”等,美国有议员提出制定法律禁止将美国的个人信息向可能影响美国国家安全的国家(如中国、俄罗斯等)传输。这些数据本地化的要求有些十分明确,要求App或者网站的日志信息必须先落盘在当地的服务器,并且对在当地托管的数据中心的建设和运营也有明确的要求。

从数据跨境传输的限制来看,也并不是单独签署一纸跨境传输协议就可以解决的。除了可能需要包含法律必备的条款,或者使用政府公开的标准协议模板之外,部分国家还对企业使用的跨境传输协议提出了审批或备案的要求(例如瑞士)。另外,这些数据跨境传输以及再传输也需要在企业自己的隐私政策中有所体现,以告知用户,否则将可能违反当地的数据保护法。另外,在欧盟,很多成员国都有很强势的劳资委员会(works council),这些works council对当地员工个人信息的收集处理以及跨境传输都有共同决策权。在没有与当地的works council沟通的情况下就将欧盟当地的员工的信息直接传回中国处理可能会引发works council的反弹和执法。

2020全球数据保护合规安排建议

1. 全面了解自身业务并且对前期的核查进行复盘。通过数据核查,了解自身业务中涉及的每一项数据处理行为是企业建立全球数据保护合规体系不可避免且至关重要的一个过程。GDPR的规制维度是细化到每一项数据处理行为的,例如在判断GDPR的适用性时,需要具体到每一项数据处理行为来分析,对企业来说,可能仅某一项或者某一部分数据处理行为会落入到GDPR的适用范围。数据核查不仅仅是事实发现与总结的过程,更是一个法律分析的过程,因为数据保护合规要求满足与否需要放到每一项数据处理行为的维度去分析。企业在对自身的业务中涉及的数据处理行为缺乏一个整体和微观的理解的前提下,很难充分地识别哪些数据处理行为以及在哪些国家的数据保护合规方面面临压力,因此无法有的放矢地制定适宜企业自身业务实践的全球数据保护合规策略。

我们经手的许多全球和国内数据保护合规项目或者数据审计项目中,很多企业的数据核查都是通过问卷的方式来收集各部门的信息,但很多情况下问卷问题不清晰或者法律术语过多,导致业务部门无法理解因此无法给出更为有价值或者准确的回复。之后具体的数据处理行为都不完全弄清楚的前提下,就制定了很多公司政策来完结项目。需要指出的是,采取问卷调查的方式能够将第一轮的合规问题很快筛查出来,但是这种方式在企业有一定的数据保护合规体系并且员工对于数据保护的意识达到一定的水位和业务部门已经具备基本的数据保护知识的基础上才能取得很好的效果,然而这种方式不一定见得是适合首次进行数据保护合规的企业。

2. 数据合规体系应与企业的管理流程与业务流程有机融合,并有效开展审计和选取监测指标来衡量这些措施的有效性,重视新产品新服务和解决方案的合规评审。企业在建立数据合规相关的制度和流程时,应当兼顾企业现有的管理流程和业务流程,为业务部门提供具体的“正向指引”,尽量避免将过于“原则化”的规范式文本直接提供给业务部门。我们看到很多公司在国内网安法的合规问题上,在内部的员工个人信息保护指引中直接复制《个人信息安全规范》的内容,这种政策我们认为是很难发挥出给业务部门的指导和规范效果。

对于已经建立的数据保护合规体系,企业可以考虑通过内部审计等机制来检验其实施落地的情况和有效性,以便及时识别与业务的不契合之处和不合理之处。这些不合理之处可以通过选取相应的指标(matrix)来进行衡量,例如数据主体行权的平均回复时间以及回复质量(是否引发后续的应对)、隐私政策是否因为内部的合规排查不准确导致的更新次数、隐私办公室收到各业务部门的问题并且解答的次数等。定期的审计也是必不可少的。

另外,需要充分论证业务部门提出的法律方案以外的解决方案。技术领域日新月异的发展使得法律滞后性的问题越来越突出,而数据保护领域尤为明显。如果企业的数据保护合规策略过于僵化,或者习惯性从相对滞后的法律规则中推动出结论,对于处于法律空白领域的新型技术绝对不是一个好的信号。美国心理学家Barry Schwartz在TED Talk演讲上说的一句话可以用来表达了这种仅仅着眼于现有法律规则来提出解决数据保护方案的不足:“moral skill is chipped away by an over reliance on rules that deprives us from the opportunity to improvise and learn from our improvisation”(道德的技能已经被我们过分尊重规则的惯性摘除了导致我们现在无法进行即兴发挥也无法从这些即兴发挥中学习)[2]。一个良性而且可持续的合规体系是要求企业法务与产品和安全团队一起协作的,企业法务适当地在相对滞后的法律规定的框架外从业务的视角以发展的眼光进行风险分析,并且尊重和充分论证业务层面考虑到的新的解决方案。

3. 以当地用户的视角进行合规,充分减少法律与业务之间的沟通误差。以用户的视角进行各国的合规可以让业务、法务、以及技术等部门获得一个直观的感受以及体验上的“最大公约数”,法务也能够有效地理解各国法律的要求、当地用户的权益保护的诉求、以及外部监管的角度,更好地协助公司进行合规。随着我国经济水平的增长,我们在跨国收购以及运营的能力上相比前20年已经有非常大的提高。这也导致了很多“中国经验”的输出。在各国数据保护合规的策略上,单纯的“中国经验”输出是需要非常小心的,因为这些经验很多时候体现的是我们在中国对中国区的用户以及用户行为的认识,这些认识并非与当地用户的行为和期待相符。调研显示,85%的德国人倾向于GDPR的规定,但在美国此比例仅为29%[3]。在有关是否愿意以隐私交换服务的调研中,不同国家的反馈也不同,德国对隐私的关注度最高,而印度最低[4]。用户视角的不同往往会直接影响到不同国家的App或者产品的设计。只有在认识到这种差别的情况下,在做新产品上线的论证以及数据保护影响评估(DPIA)的时候才能够更有的放矢。

注释:

1.THOMSON REUTERS的一项调研显示,有约三分之一的被调研企业认为GDPR合规比预想地更为困难,参见Thomson Reuters “GDPR Report-Business’ struggle with data privacy”,

https://www.thomsonreuters.com/en/press-releases/2019/may/businesses-struggling-with-gdpr-after-one-year-says-thomson-reuters-survey.html。

2.https://www.ted.com/talks/barry_schwartz_our_loss_of_wisdom/transcript

3.Why the Rest of the World Can’t Free Ride on Europe’s GDPR Rules, https://hbr.org/2018/04/why-the-rest-of-world-cant-free-ride-on-europes-gdpr-rules, https://www.pewresearch.org/global/question-search/?qid=1762&cntIDs=&stdIDs=

4.同上注。

(0)

相关推荐