全文2960字 | 推荐阅读时间5mins
文 | 数据合规与网络安全研发中心-任莉莎
前言
上海中联(成都)律师事务所数据合规与网络安全研发中心成立于2022年6月,主要进行数据安全与合规的实务研发,为政府职能部门和企业提供法律服务。
随着《网络安全法》《个人信息保护法》《数据安全法》的颁布,我国有关个人数据的保护进入一个全新的时期,数据合规成为一个敏感而复杂的法律问题。本文以《个人信息保护法》(以下简称“个保法”)的相关规定为依据,从企业数据处理者的视角,对数据处理的合规要求进行梳理和分析。
数据处理中应遵守的基本规则
个保法在总则部分,规定了处理个人信息应遵守的几项基本原则:(1)目的正当原则;(2)最小必要原则;(3)公开、透明原则。这几项原则与个保法的立法目的相一致,即非为禁止处理个人数据,旨在规范个人数据的合理使用。在这些基本原则之外,还存在着一项重要的法则,即“告知—同意”规则,该规则被视为数据处理领域的黄金法则,也是司法实践中判断数据处理合法性的一项基本准则。个保法颁布后,这项规则通过立法的方式被再次确认,成为个人信息保护的法定规则。
值得注意的是,个保法在确定“告知-同意”规则的同时,还增加了几项可处理个人信息的情形,分别为:(1)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;(2)为履行法定职责或者法定义务所必需;(3)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;(4)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;(5)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息。这些法定的情形与 “告知-同意”一起,成为企业能够处理个人信息的权利来源。
数据处理类型合规解析
(一)数据处理图谱
数据处理的基本关系我们可以用下图予以表示:
从上图可见,数据处理因涉及主体的不同,可以分为两个基本的阶段:
第一阶段是发生在数据处理者与数据主体之间,基于数据收集所形成的法律关系。这个阶段法律重心在于保护数据主体的权益不受非法侵害,强调数据收集应合规,因此可适用的法律较多,形成了包括《网络安全法》《个人信息保护法》《数据安全法》《民法典》等在内的个人信息保护框架,企业收集活动应局限在这个法律框架内进行。
第二阶段是数据处理者之间基于数据处理协议而发生的合同法律关系。这个阶段法律的重心在于规范数据处理者之间的权利义务、责任承担等,同时也允许通过合同约定各自的责权利。在这个阶段形成的是由法律规定与合同约定共同组建起来的法律框架,在这个框架之下,企业既享有一定的自主权,同时也需要接受法律的规制,承担一些强制性的法律义务。
(二)数据处理类型的合规要求
如上图所示,实践中数据处理包含五种基本类型,但个保法明确规定的只有其中四种,分别为:(1)共同处理(个保法第20条);(2)委托处理(个保法第21条);(3)数据转移(个保法第22条);(4)提供(个保法第23条)。本文仅就个保法规定的四种类型的合规内容进行分析。
1.共同处理
2. 委托处理
3.转移
广义上的数据转移可以包括个保法规定的四种类型和数据支持,也包括数据境内转移与跨境转移,因此其涉及的法律问题较为复杂。囿于文章篇幅限制,本文仅对个保法规定的数据转移进行分析。
4. 提供
通过前述分析可见,不同数据处理类型受到的法律规制是不一样,总体看,以严宽而论,提供 > 委托处理 > 转移 > 共同处理。企业在开展数据处理活动时,应根据个保法的规定,合理选择数据处理类型,在签署《数据处理协议》和履行协议时,确保数据处理合规,降低数据处理的违规风险,避免因违规而遭受严重处罚。
一个重要的合规事项:个人信息保护影响评估(PIA)
个人信息保护影响评估(PIA)是针对个人信息处理活动,检查其合法合规程度,判断其对个人信息主体合法权益造成损害的各种风险,以及评估用于保护个人信息主体的各项措施有效性的过程。
PIA是法律明确规定的一项强制性义务,个保法第55条规定:个人信息处理者应当事前进行个人信息保护影响评估,且评估报告和处理记录应当至少保存三年。除个保法外,我国最近两年新颁布的《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》《数据出境安全评估办法》等均明确规定了个人信息跨境企业必须完成个人信息安全影响评估。由此可见,在数据经济时代,PIA已经成为数据企业(尤其是医疗、金融、网络服务等个人信息密集型企业)开展相关业务必须的一项文件,如果未作PIA,不仅影响业务活动,还将会面临较重的处罚。
既然PIA对一个企业这么重要,那么企业应如何做PIA呢?
这是一个复杂的问题,囿于篇幅所限,对此不展开分析,仅就个保法的要求进行分析。
1.个保法关于PIA内容的规定比较原则,只要求包括3个主要方面:(1)个人信息的处理目的、处理方式等是否合法、正当、必要;(2)对个人权益的影响及安全风险;(3)所采取的保护措施是否合法、有效并与风险程度相适应。这3个方面的内容均是结论性的要求,真正要完成一项PIA项目,得出这3个方面的结论,其实还有很多具体的流程、环节和标准,企业需要从专业的角度具体实施这项工作。
2.需要做PIA的情形
除前述内容要求外,个保法还对不同数据处理类型需做PIA的情形进行了规定,凡是具备这些情形之一的,均应作PIA,具体情况如下:
从上图可见,PIA的要求最高的是提供,其次是委托处理。对于共同处理和转移而言,仅需涉及特别事项才需要作PIA,而对于提供与委托处理,仅一般事项即应作PIA。个保法的要求虽然存在差异化,但总体而言,法律关于数据处理作PIA的要求仍然是非常高的。
- 作者简介 -
任莉莎-律师
数据合规与网络安全中心主任
Mob:130 3669 2655
Mail:
lisha.ren@sgla.com
renlisha@uestc.edu.cn
特别声明
“中联成都”所刊登的文章仅代表作者本人观点,不得视为上海中联(成都)律师事务所或其律师出具的正式法律意见或建议。如需转载或引用文章的任何内容,请联系公众号沟通授权事宜,并于转载时在文章开头处注明来源于公众号“中联成都”及作者姓名。未经本所书面同意,也不得转载或使用文章中包含的任何图片或影像。如您有意就相关主题进一步交流或探讨,欢迎与本所联系。
