涉及第三方的数据合规风险防范

作者: 潘永建,通力律师事务所
0
453

第三方获取数据、委托第三方进行数据处理在提高业务效率的同时蕴藏着风险。企业目前在多种场景下都会使用第三方数据供应商,例如,在广告营销、消费者画像分析、市场调研分析、风控等场景下从第三方获取数据;在人力资源管理外包、电商代运营等场景中委托第三方进行数据处理。最近发生风控大数据公司涉暴力催收、微盟删库、Zoom数据泄露等事件都警示企业,应当对第三方数据服务供应商尽到审查、管理及风险防范。

自第三方获取数据

法律法规对于自第三方获取数据的合规义务有明确的规定。例如,《数据安全管理办法(征求意见稿)》《信息技术安全 个人信息安全规范》均对企业从第三方间接获取个人信息提出了要求,即“从其他途径获得个人信息,与直接收集个人信息负有同等的保护责任和义务”。这意味着企业需核实、确保第三方提供的个人信息来源合法,具体体现为:(1)遵循合法正当必要原则;(2)明示规则;(3)经被收集者同意(个人敏感信息需明示同意)。

潘永建
通力律师事务所
合伙人

实践当中,企业从第三方获得的有商业价值的用户相关数据主要包括以下三类,风险程度依次降低:(1)原始个人信息;(2)去标识化数据(加密后的身份证号、手机号、设备号等);(3)匿名化数据(经处理后无法识别特定个人身份且无法被复原,如各类结构化数据、群体画像、市场分析报告等)。

另外,涉及个人敏感信息的数据风险也相对更高。

就第三方风险管理而言,对于不同体量、风险程度的数据,笔者建议结合企业自身的性质(是否属于CIIO[关键信息基础设施运营者]、等级保护是否三级以上)采取累进式分级审查机制,其严格程度依次升高:(1)文本审查,即要求数据提供方以合同条款形式承诺其数据来源合法,采取相应安全措施进行数据传输;(2)实质审查,即在文本审查的基础上,查明数据来源以及获取数据的形式并进行抽样检查,对隐私政策或授权文件进行审阅,确保来源合法;(3)全面审查,即结合文本审查和实质审查,查明提供数据的第三方是否完成等保定级测评、是否建立了完备的网络安全及数据保护制度并切实遵守,必要时可委托第三方进行尽职调查或安全审计。

向第三方提供数据

相较于从第三方接收数据,向第三方提供数据的合规风险更为显著,因为目前法律草案明确规定,如果因第三方的原因造成数据主体损失的,数据提供方需要承担过错责任。

以委托第三方处理个人信息为例,首先,数据提供方必须按照前述要求审慎选择受托方,并应对受托方进行必要的尽职调查,以确保其有完备的数据安全能力。其次,必须确保将个人信息提供给受托方这一安排,以及受托方处理该等数据的目的及方式均已事先向个人信息主体明示并获得了其同意(如果其中涉及个人敏感信息的,还应特别告知个人敏感信息的类型、数据接收方的身份及数据安全能力,并取得个人信息主体的明示同意)。此外,在向受托方提供该等个人信息前,还应对该数据处理行为进行安全影响评价,确保该对个人信息主体不会造成安全风险。在受托方接收相关数据并开展处理活动后,提供方应监督委托方的数据处理活动,确保合同约定的合规义务得到遵守,并在必要时对受托方进行审计。

与第三方划定责任边界

无论是自第三方接收数据还是向第三方提供数据,企业均需要注意与第三方之间对于网络安全责任义务的明确划分,建立“安全的网络边界”。例如,目前企业与第三方之间普遍存在互相开放数据接口、系统端口,或者使用第三方提供的平台、系统进行数据的存储、处理等。在这种情况下,如果不能划定“网络安全责任边界”,一旦发生网络安全事件(如数据泄露),将很难分清到底是哪一方的责任。即使是完全依赖第三方系统的企业(如将用户数据交由云服务商存储),如果不提前约定好网络安全责任,在发生问题时(如用户数据丢失、损毁)也很难主张自身完全不承担责任。

综上,企业在加强自身数据合规的同时,也应注重涉及第三方的数据合规风险,做好第三方管理及数据相关的风险预防措施,以最大限度地避免企业因第三方承担数据合规责任。

潘永建通力律师事务所合伙人。其联系方式为电话+86 21 3135 8701以及电邮[email protected]