顺势而行

0
200

一波新的监管浪潮推升了互联网平台的数据合规要求,贝壳集团总法律顾问陈岩分享他的公司在适应新法并持续发展方面的经验

Chen-Yan-陈岩-贝壳-Ke-Holdings-digit
陈岩,贝壳集团总法律顾问

三年来,各主要国家和地区的数据立法和执法明显出现强化趋势。从立法维度看,近三年世界主要法域纷纷出台数据和个人信息方面的立法。如欧盟2018年5月出台了《通用数据保护条例》(GDPR);在美国,2018年6月出台了《加利福尼亚州消费者隐私保护法》(CCPA);巴西2018年8月出台了《巴西通用数据保护法》(LGPD);印度2019年12月公布的《2019年个人数据保护法草案》(PDPB)。

在中国,2021年6月全国人大常委会通过了《数据安全法》,2021年9月1日施行;2021年8月全国人大常委会通过了《个人信息保护法》,将于2021年11月1日施行。此外,日本、加拿大、南非等国家近年来也先后推出了相关立法。

从执法维度看,世界主要国家正在完成“从条文到实践”的转变。国内方面,从2019年1月网信、工信、公安、市监等四部门联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》开始,中国正式拉开个人信息全面执法时代的序幕;2019年11月,工信部发布《工信部关于开展APP侵害用户权益专项整治工作的通知》并开展行动陆续通报十余批违规APP;同年起,多部门陆续联合开展了“清朗”“网剑”等大规模专项行动;2020年7月,国家网信办等十四部委联合成立了App治理工作组;2021年上半年,公安部会同有关部门累计下架1100余款违法违规收集使用个人信息APP,工信部通报共十批侵害用户权益行为APP。

国际方面,欧盟是全球范围内个人数据执法的“先锋军”。从2019年1月法国依据GDPR就谷歌的个性化广告问题开出5000万元的首张罚单后,H&M、英国航空、万豪等大型企业先后遭到千万欧元以上的巨额处罚。

今年则是国际个人数据执法的大年。7月,亚马逊面临卢森堡数据保护局基于违反GDPR的7.46亿欧元罚款;9月,爱尔兰数据保护委员会公布了对脸书旗下WhatsApp因未充分告知个人信息收集事项的2.25亿欧元处罚,并针对TikTok儿童个人数据的处理与数据跨境开启调查。

各主要国家和地区个人数据立法有融合趋势,但各具特色。从中国、欧盟、美国三个主要法域来看,各国个人数据立法总体上都对能够识别到具体个人的数据信息进行严格保护,同时充分重视个人在数据收集和处理过程中的知情同意权,但它们的立法也明显具有不同的立场倾向与地域特色,例如:

  • 从宽严程度来看,中国《个人信息保护法》与欧盟GDPR对个人数据的保护更为严格,美国加州CCPA法案则相对宽松。
  • 从适用范围来看,中国和欧盟均强调个人数据保护的域外适用,美国则主要适用于域内。
  • 从保护的个人数据权利类型来看,中国和欧盟更强调个人对其个人信息的知情权、访问权、删除权、可携带权;相比之下,美国对上述权利的行使规定了更多的限制。
  • 从通知同意的模式来看,中国和欧盟均采取了“选择进入(opt-in)”模式,而美国则总体采取了“选择退出(opt-out)”模式。
  • 从企业的数据安全合规义务来看,中国和欧盟在数据的存储期限、对数据安全事件的报告义务、个人数据保护影响评估、数据加密等安全保障措施上进行较为细致严密的合规要求,美国的合规要求则较为宽松泛泛。另外,中国《个人信息保护法》也借鉴了欧盟的立法尝试,对大型互联网平台企业规定了守门人义务。
  • 从对数据跨境的规制来看,中国对数据跨境的规范日趋严格,从跨境安全评估到数据境内存储均进行了严格规制,欧盟则规定了较为原则性的数据跨境规范,同时设置了数据跨境规制的例外情形。美国的CCPA虽然并未对数据跨境设置限制,但实际上通过《2018年外国投资风险评估现代化法案》《2018出口管制改革法案》等法律文件,对关键技术与信息等特定场景下的数据跨境实施了限制。

5个重点场景

企业需要关注的个人数据法律风险——当前法律环境下,中国企业除全面检视自身业务涉及的个人数据合规工作,更需要着眼立法与执法关注的重点场景,即企业面临的高危风险场景,具体来说包括:

大数据

数据跨境场景。在当前总体国家安全观的大视角下,数据跨境监管愈发严厉,近期网信部门已经对四家平台开展了网络安全审查。具体而言,企业需要严格遵循《数据安全法》《个人信息保护法》的有关规定,对数据跨境行为进行评估、认证与报备,同时须对自身可能涉及跨境的数据的收集处理加强合规评估工作,跟踪研究国内外立法与监管动态,建立内部合规机制,积极听取内部数据合规人员与外部专家的专业意见。

数据泄露

大型数据泄露事件。大型数据泄露事件特别容易引起舆论与监管侧的高度关注,对企业造成的长久负面影响亦难以估量。2018年11月,万豪酒店数据库被黑客入侵,五亿多名客户的数据遭到泄露,英国执法部门对其处以1840万英镑巨额罚款。2017年,史上最大的雅虎信息泄露事件令超过10亿用户的数据受到不利影响,因此引发的数十起监管行动和诉讼也令雅虎一蹶不振。

算法

算法与自动化决策场景。算法合规是目前个人数据保护领域的新兴议题,未来也是监管执法的重点目标。今年,网信部门开展了“清朗·算法滥用治理”专项行动,同时开始就《互联网信息服务算法推荐管理规定》公开征求意见,《个人信息保护法》中更是对自动化决策作出了专条规制。算法与反垄断、反不正当竞争、劳动者权益保护等多项社会热点议题结合,企业应当引起高度重视。

儿童保护

未成年人保护场景。未成年人一直是国家的重点关注和保护对象。第七次人口普查以来,保护未成年人成为维护国家长治久安的重要任务,近期教培领域整顿、游戏行业防沉迷规范升级,均是必要手段。《个人信息保护法》中,未成年人信息被明确列入敏感个人信息,予以重点特殊规制,并规定未成年信息处理专条。国际层面,2019年,美国联邦贸易委员会(FTC)即基于《儿童在线隐私保护法》对YouTube实施了1.7亿美元罚款,对TikTok处以570万美元罚款。

生物和人脸识别

人脸、基因等敏感个人信息技术应用场景。《个人信息保护法》第二十八条至三十二条专门设置了敏感个人信息的处理规则,其中生物识别信息被明确列为敏感个人信息。国内层面,人脸识别、基因编辑等敏感个人信息的技术应用,获得了高度关注。2021年7月,最高人民法院发布《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》;截至目前,数家企业因非法采集消费者人脸识别信息被市监部门处罚。人脸识别等敏感个人信息利用场景不仅涉及个人数据权利,更可能涉及国家安全与社会稳定。国际层面同样对人脸识别等技术的滥用持高度警惕。2021年2月,TikTok在美国因滥用手机人脸识别技术,被迫与用户达成9200万美元和解协议,谷歌也曾因此付出6.5亿美元的惨痛代价。

中国现行立法框架

随着企业技术创新和数字化转型的深入,外部法律环境的快速变化深刻影响着企业发展战略判断和运营管理升级。国内现行数据安全与个人信息保护法律体系以《民法典》《网络安全法》为基础,以《数据安全法》《个人信息保护法》及配套行政法规与部门规章、网络安全与数据治理领域的国家标准为依托,辅以散见于《反不正当竞争法》《电子商务法》《消费者权益保护法》等法律法规中有关数据权益保护的规范,已形成相对独立和完善的数据安全与隐私保护法律部门。

其中,《个人信息保护法》是保护自然人数据隐私的原则性规范,要求企业主体在业务运营及内部管理中,通过不同场景下的隐私合规设计和技术落地措施,履行数据处理者的安保义务,保障服务者、消费者等自然人主体的数据权益,依法管理个人数据全生命周期内的法律风险。

同时,《个人信息保护法》设立了较为全面的个人信息出境监管制度,要求跨国公司、以及任何涉及数据跨境业务场景的企业主体积极应对跨境数据流动的分类监管,确保数据跨境传输安全。

《数据安全法》则立足于数据安全监管,设立了国家对核心数据与重要数据的强监管原则,建立重要数据分类分级管理制度、重要数据出境的出境管制和跨境流动监管制度,将数据安全上升至国家安全高度。

基于监管层对于网络运营者履行网络安全保护义务日益严格的执法趋势,以及近年来各类数据安全事件频发的现实状况,企业主体全面落实网络安全保护义务、严防数据安全事故的合规任务迫在眉睫,完善数据容灾机制、保护数据安全成为企业数据合规的重中
之重。

在现有规范框架下,亦有若干法律适用细则与数据安全行业标准,涉及网络安全、应用程序个人信息保护、云服务、机器学习算法推荐等新兴技术模块,以及电商、社交媒体、新能源汽车等细分领域,互联网行业数据安全标准体系初具雏形,为相当数量的细分领域提供了数据合规规范标准。市场监管总局《关于平台经济领域的反垄断指南》中的“数据反垄断”则涉及数据法与反垄断法的交叉执法领域,再次为互联网平台企业对数据的处理和应用划定了新边界。

见微知著,数往知来,我们预判涉及数据权益保护和数据安全的法律规范将日益纵深细化、监管范围将逐步扩大、执法力度会持续提升,这将为企业数据合规工作带来相当难度。

国内企业的合规

以精准合规实现法律风险控制。作为以技术为驱动、以数字化基础构架为依托的综合性居住互联网平台企业,我们的业务场景复杂,数据流转、数据处理与数据应用具有多端口、多维度、多层级的特点,这在客观上要求数据合规体系必须与企业组织架构、主营业务、行业实践、以及公司数字化、智能化转型的战略目标相匹配,必须量身定制,方能实现精准合规和全面合规,消减法律风险。

根据企业自身运营特点和发展战略量身打造的贝壳数据安全合规运营控制体系,目前已成为企业组织中不可或缺的重要部分,覆盖全平台数据流转,深入触达各类日常业务场景,向上支持线上产品和各类应用,向下确保硬件与数据资源调度合法合规,对外保障技术创新和产业升级的合规安全,对内支撑组织运转与企业科学管理、参与各类数字化解决方案的顶层设计,在业务前端建立起数据合规防火墙,实现强有力的事前法律风险控制。

在规范与实践间寻求合规成本与合规价值的最优解。为助力企业价值的释放与增长,高效支持企业科技转型和运营管理升级,探索可触达合规目的的最短路径是我们数据合规工作的重要目标之一。只有读透规范目的与监管逻辑、在数据合规实践中不断探索新的合规范式,才能形成数据合规体系与合规实践的闭环。

我们从数据合规的战略设计、技术落地、内部审计三个方面,依次理顺基于产品、业务、组织的数据合规图谱,为不同的实务场景适配具有不同合规侧重点和落地路径的数据合规制度与流程。

在数据合规的顶层设计上,通过深入洞察国内外数据法立法例、预判监管重点和监管方式,关注国家战略、行业发展和全球市场竞争大环境,紧密契合作为互联网平台企业发展的战略定位,建构自上而下的数据合规治理架构、明确企业内部资源调配原则、全面统筹合规成本。

在数据合规技术落地层面,我们采取侧重事前风控的合规策略,法务部门与大数据部门、研发部门、产品部门、安全部门紧密协作,在需求与技术、算法与场景的融合中无缝嵌入数据合规工具,在全面了解技术和业务的基础上精细化部署数据合规方案,寻求数据合规实现的最优解。

在数据合规审计层面,法务部门与内控审计部门定期重点检查各产品线前端应用与后端数据处理两个重要方面的数据合规情况,按产品线及横向业务模块定期复盘数据合规策略的实现程度,理顺合规流程,实现根据外部环境实时更新迭代、根据内部自查不断查漏补缺的自下而上的数据合规审计机制,完成合规闭环。

构建规范、业务、数据、组织的自适应性数据合规生态。数据法规范是数据合规大前提,公司业务现状与行业实践是数据合规的小前提,数据是新兴重要生产要素,组织是实现合规价值与企业价值的保障。我们将规范、业务、数据、组织作为贝壳数据合规的四个最重要的出发点与落脚点,通过内部协作和技术赋能,开发和应用了多种自动化数据合规工具,始于产品研发、业务立项初期,贯穿产品和技术的全生命周期,力求打造与互联网业务生态匹配的、可自适应组织架构与业务流转的数据合规生态体系。

在科技飞速发展的智能化产业革命新时代,通过数据研究和新兴技术发展,无数新产品和新服务涌现,技术创新和产业升级不断为业务带来增量。

数据法是数字化时代依法治国的重要基石,数据合规是企业发展的重要保障,与企业、行业、市场一起走在探索未来的道路上,我们从长期主义的视角、方能洞见数据合规的真正价值,做好难而正确的事。道阻且长,但行则将至。