最好的调研方式是委托第三方专门做数据研究的公司,因为现在有很多公司专门做一些免费的工具给人使用,然后获取数据,然后再卖数据做分享。
还有一种跨境电商比较好的调研方式就是找一些行业相关性较强的网站,查看他们的博客之类的,里面会有很多关于跨境电商的信息,木瓜营销学院就有很多跨境电商调研报告,而且都是截至2016年的数据:
跨境电商如何通过facebook拓展国际市场
2、美国跨境电商需要了解哪些法律法规
虽然我国跨境电子商务形势很好,但尚处于初级阶段,还存在问题。有学者指出制约我国跨境电子商务发展的的主要问题:一是法律体系亟需建立;二是信用评价和标识需统一;三是在线支付须安全;四是物流短板;五是品牌化瓶颈;六是其它,如税收等。解决问题的关键是建立相关法律体系。在缺乏相应法律法规以及相关政策的情况下,更容易使其他问题恶化,从而不利于我国跨境电子商务的发展。推动我国跨境电子商务迅猛发展的主力军是企业,此外还有个人从业者以及发挥着重要作用的网络平台。作为跨境电子商务主要参与者的企业,也存在着诸多问题,包括:人才的匮乏、信用缺失、质量问题等。跨境电商网络平台也有着问题。第一,信用问题。第二,跨境税收的问题。第三,第三方支付不便,成为跨境电商平台进一步做大做强的一大障碍。而境外电子商务的法律风险较之于国内的法律风险而言,可能涉及到不同的法律领域。由于我国境外电子商务的发展经验比较的少,法律法规建设还不够完善,因此,产生了一系列的风险问题。 (一)隐私风险
由于用户在进行商务交易的过程中,大多数的网络经验者都会要求消费者在交易的过程中登记个人信息资料。但是如果企业并没有对用户的私人信息进行保密而有所泄露,从一定程度上会引起消费者的不满情绪,造成消费者对企业产生不满情绪。同时在境外电子商务过程中,企业会将消费者的个人信息进行整理从而建立起消费者信息资料数据库,并且还会通过一种有价的形式向第三方出售,这就违反了电子商务活动的相关法律制度。 (二)知识产权法风险 随着电子商务的发展,互联网销售书本和报刊已经被众多的企业所应用,从一定程度上就会隐藏着关于著作权的法律风险。由于传统的著作权法是以实物为著作载体,而境外电子商务开始出现一种电子文档和课件浏览的销售方式。在进行电子交易过程中,企业无法从根本上保证购买者对书本和报刊信息的随意传播,同时也无法保证对其他用户的复制和拷贝,极易对原作者的著作权造成一定的侵犯,从而引发著作权法律问题。 (三)商务交易风险
电子商务作为互联网发展的产物,在交易的过程中需进行电子支付,从一定程度上就会面临着巨大的虚拟诈骗风险。境外电子商务中的交易风险主要是一种国际性的非法交易活动,参与境外电子商务的企业,并没有按照合法的方式来进行贸易交易,造成企业与用户之间经济利益的损害。根据实际数据资料显示,大约有1亿的境内在线消费者受到虚假信息的侵害,所骗取的金额也是相当的高。由于跨境电子商务在国际上并没有建立一个统一的信用评判标准,从一定程度上给许多的不法企业以及个人提供了洗钱的可能性。由于我国第三方支付的平台比较多,从而给个别机构提供了诈骗和违法违规的机会,使得银行和第三方支付平台在跨境消费上存在较大的安全漏洞,导致境外电子商务交易存在法律风险。 (四)货物税收风险
由于跨境电子商务在邮递物品的过程中会存在个体小,以及总量大和种类比较分散的现象。企业为了能够逃避税收问题,开始进行多次邮递以及蚂蚁搬家的形式进行运送大量的货物。而小型电商开始以混淆自用物品与代购物品的方式来逃避税收。从整体问题上来看使得海关征税难度系数变高,导致国家的征税问题存在较大的漏洞。针对规模较大的企业,为了能够减少生产成品,降低税费,不惜采取一种走私的方式来进行逃避税收,导致国家税款流失现象越来越严重,对整个国家经济运行安全会产生巨大的影响。
3、跨境电商数据在哪个官网查
跨境电商数据建议可以去正统网上看下。正统网是福建省互联网经济统计公共服务平台。这个其中就有关于跨境电商的介绍,还有相关的调查信息与数据统计。
跨境电商特征
跨境电子商务是基于网络发展起来的,网络空间相对于物理空间来说是一个新空间,是一个由网址和密码组成的虚拟但客观存在的世界。网络空间独特的价值标准和行为模式深刻地影响着跨境电子商务,使其不同于传统的交易方式而呈现出自己的特点。
网络是一个没有边界的媒介体,具有全球性和非中心化的特征。依附于网络发生的跨境电子商务也具有了全球性和非中心化的特性。电子商务与传统的交易方式相比,特点在于电子商务是一种无边界交易,丧失了传统交易所具有的地理因素。互联网用户不需要考虑跨越国界就可以把产品尤其是高附加值产品和服务提交到市场。
4、数据安全有哪些案例?
“大数据时代,在充分挖掘和发挥大数据价值同时,解决好数据安全与个人信息保护等问题刻不容缓。”中国互联网协会副秘书长石现升在贵阳参会时指出。
员工监守自盗数亿条用户信息
今年初,公安部破获了一起特大窃取贩卖公民个人信息案。
被窃取的用户信息主要涉及交通、物流、医疗、社交和银行等领域数亿条,随后这些用户个人信息被通过各种方式在网络黑市进行贩卖。警方发现,幕后主要犯罪嫌疑人是发生信息泄漏的这家公司员工。
业内数据安全专家评价称,这起案件泄露数亿条公民个人信息,其中主要问题,就在于内部数据安全管理缺陷。
国外情况也不容乐观。2016年9月22日,全球互联网巨头雅虎证实,在2014年至少有5亿用户的账户信息被人窃取。窃取的内容涉及用户姓名、电子邮箱、电话号码、出生日期和部分登陆密码。
企业数据信息泄露后,很容易被不法分子用于网络黑灰产运作牟利,内中危害轻则窃财重则取命,去年8月,山东高考生徐玉玉被电信诈骗9900元学费致死案等数据安全事件,就可见一斑。
去年7月,微软Window10也因未遵守欧盟“安全港”法规,过度搜集用户数据而遭到法国数据保护监管机构CNIL的发函警告。
上海社会科学院互联网研究中心发布的《报告》指出,随着数据资源商业价值凸显,针对数据的攻击、窃取、滥用和劫持等活动持续泛滥,并呈现出产业化、高科技化和跨国化等特性,对国家和数据生态治理水平,以及组织的数据安全能力都提出了全新挑战。
当前,重要商业网站海量用户数据是企业核心资产,也是民间黑客甚至国家级攻击的重要对象,重点企业数据安全管理更是面临严峻压力。
企业、组织机构等如何提升自身数据安全能力?
企业机构亟待提升数据安全管理能力
“大数据安全威胁渗透在数据生产、流通和消费等大数据产业的各个环节,包括数据源、大数据加工平台和大数据分析服务等环节的各类主体都是威胁源。”上海社科院信息所主任惠志斌向记者分析称,大数据安全事件风险成因复杂交织,既有外部攻击,也有内部泄密,既有技术漏洞,也有管理缺陷,既有新技术新模式触发的新风险,也有传统安全问题的持续触发。
5月27日,中国互联网协会副秘书长石现升称,互联网日益成为经济社会运行基础,网络数据安全意识、能力和保护手段正面临新挑战。
今年6月1日即将施行的《网络安全法》针对企业机构泄露数据的相关问题,重点做了强调。法案要求各类组织应切实承担保障数据安全的责任,即保密性、完整性和可用性。另外需保障个人对其个人信息的安全可控。
石现升介绍,实际早在2015年国务院就发布过《促进大数据发展行动纲要》,就明确要“健全大数据安全保障体系”、“强化安全支撑,提升基础设施关键设备安全可靠水平”。
“目前,很多企业和机构还并不知道该如何提升自己的数据安全管理能力,也不知道依据什么标准作为衡量。”一位业内人士分析称,问题的症结在于国内数据安全管理尚处起步阶段,很多企业机构都没有设立数据安全评估体系,或者没有完整的评估参考标准。
“大数据安全能力成熟度模型”已提国标申请
数博会期间,记者从“大数据安全产业实践高峰论坛”上了解到,为解决此问题,全国信息安全标准化技术委员会等职能部门与数据安全领域的标准化专家学者和产业代表企业协同,着手制定一套用于组织机构数据安全能力的评估标准——《大数据安全能力成熟度模型》,该标准是基于阿里巴巴提出的数据安全成熟度模型(Data Security Maturity Model, DSMM)进行制订。
阿里巴巴集团安全部总监郑斌介绍DSMM。
作为此标准项目的牵头起草方,阿里巴巴集团安全部总监郑斌介绍说,该标准是阿里巴巴基于自身数据安全管理实践经验成果DSMM拟定初稿,旨在与同行业分享阿里经验,提升行业整体安全能力。
“互联网用户的信息安全从来都不是某一家公司企业的事。”郑斌称,《大数据安全能力成熟度模型》的制订还由中国电子技术标准化研究院、国家信息安全工程技术研究中心、中国信息安全测评中心、公安三所、清华大学和阿里云计算有限公司等业内权威数据安全机构、学术单位企业等共同合作提出意见。
5、谁有深度整理的欧盟《一般数据保护法案》(GDPR)核心要点中文内容
前言:
整理本文的原因有三:
1、 网上很多关于GDPR的文章并不全面,甚至有误
2、 以此机会在公司内部开展关于GDPR的专项培训
3、 青莲云的部分客户业务在未来会受到GDPR的影响
之后,我们计划编写一系列相关文章,更多的是站在企业角度来思考法案对物联网行业的影响以及应对措施,一来希望与同行企业可以就GDPR进行更多的互动讨论;二来也是希望传播国际法案对于安全和隐私的态度,共同提高物联网安全意识。
以下您将了解到:
1、 什么是GDPR(重要)
2、 GDPR的发展历程
3、 GDPR的关键术语定义(重要)
4、 GDPR会影响哪些企业(重要)
5、 GDPR不适用于哪些情况
6、 GDPR约束了哪些数据(重要)
7、 GDPR中数据主体的权利(重要)
8、 GDPR中处理个人数据的基本原则(重要)
9、 GDPR中对合法处理数据的定义
10、 GDPR中针对儿童数据的处理规定
11、 GDPR中数据控制者与数据处理者的义务(重要)
12、 GDPR中针对特别类型个人数据的处理规定
13、 GDPR中关于数据主体被遗忘权的规定(重要)
14、 GDPR中关于数据主体可携带权的规定(重要)
15、 GDPR中关于个人数据泄露通知的规定(重要)
16、 GDPR中关于设立数据保护官的规定
17、 GDPR关于执法和处罚的规定(非常重要)
18、 总结
什么是GDPR
2016年4月14日,欧洲议会投票通过了商讨四年的《一般数据保护法案》(General Data Protection Regulation (GDPR)),新法案由11章共99条组成,该法案将于2018年5月25日正式生效,将取代现有的《数据保护指示》(Data Protection Directive 95/46/EC),统一欧盟成员国关于数据保护的法律法规。
此外,GDPR新规是在28个欧盟成员国统一实施生效的,这将使28个欧盟及欧洲经济共同体成员国的隐私保护法更具有一致性和现代性。
GDPR作为一套用来保护欧盟公民个人隐私和数据的新法规,其颁布意味着欧盟对个人信息的保护及监管达到了前所未有的高度,堪称史上最严格的数据保护法案
GDPR的发展历程
(图片来自网络)
GDPR的关键术语定义
个人数据:是指任何指向一个已识别或可识别的自然人(数据主体)的信息。该可识别的自然人能够被直接或间接地识别,尤其是通过参照诸如姓名、身份证号、定位数据、在线身份识别这列标识,或者是通过参照针对该自然人一个或多个如物理、生理、遗传、心理、经济、文化或社会身份的要素。
处理:是指针对个人数据或个人数据集合的任何一个或一系列操作,诸如收集、记录、组织、建构、存储、自适应或修改、检索、咨询、使用、披露、传播或其他利用、排列、组合、限制、删除或销毁,无论此操作是否采用自动化手段。
匿名化:是一种使个人数据在不使用额外信息的情况下不指向特定数据主体对待个人数据的处理方式。该处理方式将个人数据与其他额外信息分别存储,并且使个人数据因技术和组织手段而无法指向一个可识别和已识别的自然人。
数据控制者:能单独或联合决定个人数据的处理目的和方式的自然人、法人、公共机构、行政机关或其他非法人组织。
数据处理者:是指为数据控制者处理个人数据的自然人、法人、公共机构、行政机关或其他非法人组织。
数据接受者:只是接收到被传递的个人数据的主体,无论其是否是第三方的自然人、法人、公共机构、行政机关或其他非法人组织。政府因在欧盟或其成员国法律框架内特定调查接收到的个人数据,不得视为“数据接受者”。
个人数据外泄:是指个人数据在传输、存储或进行其他处理时的由安全问题引发的个人数据被意外或非法破坏、损失、变更、未经授权披露或访问。
GDPR会影响哪些企业
欧盟GDPR法案具有域外效应。也就是说,GDPR赋予了欧盟在个人信息安全方面的域外管辖权。
主要受影响的企业为以下四类:
l 设立在欧盟境内的企业(控制者、处理者)
l 未在欧盟境内设立,但向欧盟境内的数据主体(自然人)提供产品和服务的企业(控制者、处理者)
l 未在欧盟境内设立,但涉及监控欧盟境内数据主体(自然人)行为的企业(控制者、处理者)
l 未在欧盟境内设立,但在欧洲成员国法律适用的地方设立的企业(控制者、处理者)
总结来说,GDPR不仅适用于位于欧盟境内的企业组织机构,也适用于位于欧盟以外的企业组织机构,无论机构所在地位于哪里,只要其向欧盟数据主体提供产品、服务或者监控相关行为,或处理和持有居住在欧盟境内的数据主体的个人数据,都将受到GDPR法案的监管。
GDPR法案同样适用于“数据控制者”和“数据处理者”。如果是数据处理者涉案,数据控制者也无法免除责任,GDPR规定控制者需要承担更多的责任,以确保和数据处理者之间的合同能够严格遵守GDPR的规定。
GDPR不适用于哪些情况
GDPR更多的是监管企业对数据的使用行为。以下4个方面的数据使用情况不适用于GDPR:
l 为了预防、调查、侦查或起诉刑事犯罪,主管当局为执行刑事处罚目的而产生的数据处理行为
l 基于国家安全目的而产生的数据处理行为
l 自然人在纯粹的个人或家庭活动中产生的数据处理行为
l 欧盟法律规定范围之外的活动过程中产生的数据处理行为
GDPR约束了哪些数据
个人数据:
可以通过某个标识直接或间接识别某一自然人的信息。
不管是采用自动化手段还是人工进行归类的数据,包括按时间顺序排列的包含个人数据的记录集合。
已经被匿名化的个人数据,取决于用已有标识来识别特定个体的困难程度。
敏感个人数据:
也被称为“特殊种类的个人数据”。
包括揭示种族或民族出身、政治观点、宗教或哲学信仰、工会成员的个人数据。
包括遗传数据和经过处理可以唯一识别个体的生物特征数据。
不包括涉及刑事定罪和罪行的个人数据,但该类数据的处理和保存有特殊要求。
GDPR中数据主体的权利(第三章)
l 知情权
l 访问权
l 反对权
l 可携带权
l 纠正权
l 删除权/被遗忘权
l 限制处理权
l 免受数据画像影响
GDPR中处理个人数据的基本原则
l 合法、正当、透明
l 处理数据的目的是有限的
l 仅处理为达到目的的最少数据
l 确保数据准确、及时更新
l 存储数据的期限不得长于为达到目的所需要的时间
l 采取技术和管理措施以保护数据的安全
l 数据控制者有责任并应能够证明做到了以上几点
GDPR中对合法处理数据的定义
至少满足一下中的某一项,处理数据才是合法的
l 数据主体同意为了特定目的处理其数据
l 处理数据是为了签订或履行合同的需要
l 处理数据是为了遵守法定义务的需要
l 处理数据是为了保护数据主体或其他自然人的至关重要的利益
l 处理数据是为了公共利益或形式政府授受的权力
l 处理数据是为了追求数据控制者的合理利益,但不得损害数据主体的利益
GDPR中针对儿童数据的处理规定
处理16岁以下儿童的个人数据,必须获得该儿童父母或监护人的同意或授权。各成员国可以对上述年龄进行调整,但是不得低于13岁
GDPR中数据控制者与数据处理者的义务
设置DPO(数据保护官)
文档化管理
数据保护影响评估
事先咨询机制
数据泄露报告机制
安全保障措施
遵守数据跨境转移规则
GDPR中针对特别类型个人数据的处理规定
禁止收集处理反映个人种族或民族起源、政治观点、宗教和哲学信仰、是否是工会组织成员的数据、个人基因识别数据、生物数据、或涉及健康、性生活或性取向的数据。但在例外的情况下也可以收集加工以上数据,如已获得个人的明示同意,或数据控制者因处理劳动关系、社会保险之需要并在法律允许的范围内且已采取了适当的保护手段等。
GDPR中关于数据主体被遗忘权的规定(重要)
当个人数据已和收集处理的目的无关、数据主体不希望其数据被处理或数据控制者已没有正当理由保存该数据时,数据主体可以随时要求收集其数据的企业或个人删除其个人数据。
如果该数据被传递给了任何第三方(或第三方网站),数据控制者应通知该第三方删除该数据。
GDPR中关于数据主体可携带权的规定(重要)
数据主体可向数据控制者索要其数据,也可将其个人数据转移至另一个数据控制者。
GDPR中关于个人数据泄露通知的规定(重要)
数据控制者应在72小时之内向监管机构报告个人数据的泄露情况。当数据泄露可能会给数据主体的权利或自由带来巨大风险时,数据控制者必须毫不延误的通知数据主体,以便数据主体及时采取措施。
GDPR中关于设立数据保护官的规定
为确保数据保护合规并处理数据保护相关事务,数据控制者和数据处理者需设置数据保护官(DPO)。
控制者和处理者应当对数据保护官不下达任何指令,DPO不能因为执行任务的原因被解雇或者受到刑事处罚。
数据保护官直接向最高管理者报告工作。
根据联盟法律或者成员国法律规定,数据保护官应当对其执行任务的内容进行保密。
数据保护官也可以执行其他任务,履行其他职责。
GDPR关于执法和处罚的规定(非常重要)
不遵守信的数据隐私法规的后果就是会受到严厉的制裁和巨额的罚款。
GDPR的处罚并不是像网上传的那样直接就罚全球营收的4%。而是有两个等级的征收行政性罚款的规定:
对于一般性的违法,罚款上限是1000万欧元,或者在承诺的情况下,最高为上一个财政年度全球全年营业收入的2%(两者中取数额大者);
对于严重的违法,罚款上限是2000万欧元,或者在承诺的情况下,最高为上一个财政年度全球全年营业收入的4%(两者中取数额大者);
判罚的严重程度是基于以下因素:
l 违规的性质、严重程度和违规的持续时间
l 违规是故意的还是因疏忽造成的
l 对个人身份信息的责任心和控制程度
l 违规是单个事件还是重复事件
l 受到影响的个人资料的种类范围
l 数据主体遭遇的损害程度
l 为了减轻损害而采取的行动
l 由违规产生的财务预期或收益
GDPR核心旨在保护隐私数据,并通过法案约束来建立企业和公民之间的信任关系,违反GDPR的代价远不止财务层面,还将给企业声誉造成极大破坏,并且导致企业和消费者之间产生信任危机
总结
由于青莲云所在的物联网行业也处于GDPR法案的约束之中,故此整理出法案中的重点思想与业界分享。GDPR此次改革以保护公民的基本权利为理念,在提高个人数据保护标准的同时,也会增加企业的合规成本。法案的背后是对隐私和安全的需求,法案生效后会成为国际数据隐私保护标准。
对于物联网行业的相关企业(硬件、软件、制造、数据分析等)来说,从此刻开始提升物联网安全意识,关注数据安全和用户隐私安全,积极的采取相应的整改或强化措施刻不容缓。青莲云安全团队也将在不断提升自身安全攻防能力和安全合规意识的同时,与客户企业建立长期持续的安全咨询合作关系,共同建设安全、自主、可信的物联网安全新业态。
6、相关公司拒绝执行个人信息安全法第十五条规定怎么处理?
《个人信息保护法》三读通过,标志着我国对个人信息的立法保护方面上升到了新的高度;但相对应的是,作为“信息处理者”的企业也有了法律上新的义务。
作者 | 吕长军 中国传媒大学法律硕士校外导师
编辑 | 布鲁斯
2021年8月, 我国《个人信息保护法》三读通过 ,标志着我国对个人信息的立法保护方面上升到了新的高度;但相对应的是,作为“信息处理者”[1]的企业也有了法律上新的义务,包括:制度完备义务、安全保障义务、个人信息分级分类义务、内部权限管理义务、信息质量与算法合规义务、信息主体权益保障义务、事前风险评估义务(例如事前个人信息保护影响评估)、合规审计义务、以及特殊处理者的义务等,因此需要依法建立起符合法律要求的个人信息及数据[2]合规体系。
一、企业建立个人信息及数据合规体系的价值
《个人信息保护法》中对企业提出了建立个人信息保护合规体系的要求,似乎企业负担加重,但实际上企业按照《个人信息保护法》的要求来进行合规操作有诸多的价值:
其一,合规价值。我国先后出台的《网络安全法》、《数据安全法》和《个人信息保护法》三部法律不仅构建起个人信息和数据保护的基本框架, 而且均明确要求企业建立数据(或个人信息)合规制度,而《个人信息保护法》更是要求大型互联网平台、业务类型复杂的企业 “应当按照国家规定建立健全个人信息合规制度体系”[3];同时,诸多境外数据保护法律法规如GDPR等也要求企业建立数据及个人信息保护合规体系。可以说,建立个人信息及数据合规体系已经成为现代企业的一项重要法律义务。
其二, 品牌价值和市场竞争力。在强调个人数据与隐私保护的大环境下,企业在数据安全和隐私保护方面的有效努力,最终会得到合作方的认可,更为重要的是可以得到消费者的最后认同,这无疑将提升企业的品牌价值和市场竞争力。
其三,降低企业风险及减少损失。任何企业在个人信息及数据方面不合规的行为,均有可能产生行政调查、侵权诉讼、媒体曝光、甚至刑事案件等后果,将可能会为企业带来重大的经济和声誉损失,包括行政处罚、诉讼赔偿、刑事处罚、客户流失等。
其四,有助于应对行政监管或诉讼。企业的个人信息及数据合规体系的完备,可以在一定程度上证明企业已充分尽到数据及个人信息保护的义务,可以有效助力企业应对监管执法和诉讼抗辩。
二、《个人信息保护法》第51条下企业的合规义务
在《个人信息保护法》中,第51条集中阐述了个人信息处理者的主要合规义务,包括制度建设、信息分类、技术措施、人员管理和应急预案五个基本方面以及兜底的其他措施。
第51条规定:
个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取下列措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失:
(一)制定内部管理制度和操作规程;
(二)对个人信息实行分类管理;
(三)采取相应的加密、去标识化等安全技术措施;
(四)合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;
(五)制定并组织实施个人信息安全事件应急预案;
(六)法律、行政法规规定的其他措施。
1、制定公司内部管理制度和操作规程
《个人信息保护法》要求个人信息处理者(企业)内部应建立完善的个人信息保护制度以及操作规程。
1)健全内部管理制度
对企业而言,了解和梳理企业个人信息处理活动的目的、范围和方式,是进行信息处理管理的基础。在此基础上,需要整理、制定适应企业内部的个人信息相关制度,包括但不限于:(1)个人信息收集、传输及处理制度;(2)个人用户信息收集及处理告知制度;(3)个人信息安全保护制度(包括传输、使用及数据库安全等);(4)信息分级分类管理制度;(5)个人信息风险评估制度 ;(6)审计制度等。
除上述重要制度外,企业内部管理制度中还应有应急预案制度、个人信息出境管理制度等。(详见下文)
内部制度应具有合规性、可行性、完备性;也即既要符合法律法规要求,又要从企业自身实际情况出发,可操作,同时应注意全面覆盖相应各个业务条线, 具有完备性。
2)制定个人信息收集、传输、存储及处理操作流程
流程与制度相辅相成。企业应注意“个人信息处理全流程管理”的重要性,实施从个人信息收集、传输、存储到处理、删除等各环节的衔接和涵盖全流程的管理,并在流程中应注意严格的权限管理。
3)设置网络安全负责人、个人信息保护负责人等专职人员
《网络安全法》要求网络运营者设置专门安全管理机构和安全管理负责人,《信息安全技术 个人信息安全规范》规定了个人信息控制者应当设置个人信息保护负责人,而GDPR则要求设置数据保护官。
《个人信息保护法》没有硬性要求所有的企业均设立“个人信息保护负责人”,而是要求如果处理个人信息达到一定”数量”, 则应设置个人信息保护负责人[4],但“数量”并未予以明确标准。当涉及的个人信息数据量较大时,企业应当考虑设定个人信息保护负责人,由其进行相关工作的统筹和管理,在有必要的情况下可以考虑成立相关部门,负责建立内部合规管理制度和相关措施乃至推行制度及措施的实施。
2、个人信息实行分级分类管理
《网络安全法》、《数据保护法》和《个人信息保护法》都提出要将数据进行分级分类管理。无论从合规或管理效率而言, 企业都有必要对数据进行分级分类管理。
首先,梳理企业信息库存。搞清企业目前拥有哪些个人信息(数据)、承载个人信息的数据位于何处、如何流动以及与哪些部门相关,是在企业中创建个人信息保护合规框架的基础。
其次,明确所需信息, 去除非必要信息。对个人信息的处理,应满足《个人信息法》第6条提出的 “明确合理目的”以及“个人权益影响最小”两个原则。因此,企业应当明确其需要哪些类型的个人信息,通过清单等形式将所需信息的内容和目的进行陈列,同时,应在企业系统中去除非必要的信息,并严格要求各部门不再进行收集或储存。
再次,对需要处理的信息进行分级分类,以便进一步的管理,包括处理权限、流程等工作的区分。
其中,企业应对以下两类信息进行甄别并加以特别关注:
1)敏感个人信息。敏感个人信息包括种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等信息。这类信息多与人身、财产安全相关,因此受到法律特别保护,相关的程序和保护措施要求较之一般个人信息要严格。
2)未成年人(未满十四周岁)个人信息。我国法律要求对该类信息的处理应依法取得其监护人的同意。
需要注意的是, 企业收集的个人信息, 不仅仅指收集的外部个人信息, 也包括对内部员工的个人信息。虽然《个人信息保护法》提出因对内部员工“人力资源管理”从而可以进行各种个人信息的收集、处理, 但绝不意味着可以忽略内部员工个人信息权益的保护。
3、个人信息安全保护措施
在网络环境下,数据安全是个人信息保护的基础,而保障数据安全是个人信息处理者的一项重要且基础的工作,同时也是一项法律义务。我国《网络安全法》要求网络运营者保障网络安全、维护网络数据的完整性、保密性和可用性[5];《数据安全法》强制性规定了数据处理者保障数据安全的法律义务[6], 《个人信息保护法》则要求企业采用安全技术措施来保护其所处理的个人信息。
匿名化后的数据,不需要遵守有关个人信息保护的条款, 但仍应遵守数据保护的法律规定。
4、个人信息处理权限及安全教育与培训
个人信息处理权限制度经过多年企业界的实践, 被证明是一项较好的对个人信息及数据管理的机制,《个人信息保护法》将该机制直接列为企业的一项法律义务。该机制的要点在于:
1)设立内部分工和权限制度。将个人信息的收集、储存、使用等处理环节,以及风险监控、合规等工作进行明确的分工,并根据分工和信息分级分类情况,对不同员工设置对应级别的权限。
2) 全员参与(而非重点人员参与)安全与权限培训。通过个人信息与数据的安全教育与培训,牢固树立数据安全意识,明确各自权限所在, 防止人为造成数据泄露。
5、个人信息安全事件应急制度
合规工作虽能防患于未然,但并不能完全排除风险。随着技术进步和企业产品迭代,安全漏洞总难以避免,因此企业应当制定数据安全事件应急预案并定期演练,以备不时之需。我国《网络安全法》中已规定网络运营者应当制定网络安全事件应急预案[9],及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,及时启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。
《个人信息保护法》再次强调企业应建立个人信息安全事件应急预案并定期进行演练,并将此作为企业的一项法律义务。
三、《个人信息保护法》下企业的其他合规义务
除第51条外,《个人信息保护法》还在其他条文中规定了企业的一些重要的合规义务, 主要包括:
1、收集、处理个人信息的充分告知义务
《个人信息保护法》再次强调了个人信息收集与处理的“告知-同意”原则。对于需要收集个人信息的企业而言,应制定出明确的个人信息保护政策(《隐私政策》),真实、完整的向用户告知企业的基本情况、个人信息收集、使用目的、范围及场景、个人信息处理方式及规则、对外共享及披露情形、个人信息主体权利保障机制、投诉处理渠道等。
个人信息保护政策应公开发布且应送达个人信息主体, 由用户在注册或首次运行产品时阅读并勾选同意后才可继续使用。如涉及个人信息会被用于用户画像和个性化展示的,则应在《隐私政策》中征得用户的同意,充分保障用户知情权;而在进行自动化决策前,应当就自动化决策的透明和公平性做好充分说明。
需要特别注意的是,《个人信息保护法》要求对于收集个人敏感信息的,应取得用户的单独同意[10],因此企业不能采取过去的概约性、打包式的同意,而应单独提示用户勾选同意方可。
2、信息主体权益保障义务(应提供个人信息查阅复制、修正、移转及删除服务)
《个人信息保护法》明确了在个人信息处理活动中个人的各项权利,包括知情权、决定权、限制权、拒绝权、查阅、复制权、可携权、更正、补充权、删除权。既然个人享有一系列个人信息权利,也意味着个人信息处理者负有配合个人权利行使的义务。企业需要根据用户个人的需求,灵活和准确地响应数据主体访问查询、更正、删除、移转等要求。
1)接受信息主体的要求,提供个人信息查阅、复制的途径及服务
长期以来,不少互联网平台将用户信息视为重要的财产性权益,而用户想了解平台到底掌握自己哪些信息却有时连查询的渠道、途径都没有。GDPR开了个人信息严格保护的先河,确认个人有查询权,即有权要求互联网公司(信息控制者)提供掌握本人信息的明细清单。
《个人信息保护法》也规定了企业应为用户提供个人信息查阅、复制的法律义务,因此企业也应制定相应的接受用户要求、核实身份、汇总信息、提供信息的制度和流程。
2)接受信息主体的要求, 提供个人信息修正的途径及服务
《个人信息保护法》第十五条规定了信息主体对个人信息的修改权,企业应为个人信息处理者提供修正的途径和服务。相应的,企业应建立起修正沟通渠道、内部修正机制等。
3)接受信息主体的要求,提供移转的途径及服务
《个人信息保护法》第十五条规定了信息主体对个人信息的可携带权,即个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。该规定不仅有利于个人自由处理其个人信息,也有利于打破数据垄断和数据孤岛现象。而作为企业也应就此制定移转的内部操作流程。
4)接受信息主体的要求,提供便捷删除服务
《个人信息保护法》第十五条规定了“基于个人同意而进行的个人信息处理活动,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式”。
撤回同意,是个人信息主体处分自身权利的一种方式。企业应确定撤回方式、撤回渠道等响应机制,并应保证用户行使权力的便利性,符合“便捷原则”。
虽然法律未解释何为“便捷”, 但按照通常的理解,“撤回”的难度不应大于“同意”的难度。
因此,企业可在企业主网页、APP登录入口等显著页面安置“撤回”的链接或选项, 并提供明晰的操作指导。企业内部因数据的修改和删除有可能涉及多个部门,故应建立一系列的操作流程,并应研判其中的风险。
3、数据与算法的合规义务
1)数据质量的检查和审视,防止因数据质量引发歧视
算法以数据为基础, 数据不准确,则算法结果、数据分析结论则基本不会准确,有可能会对相关数据主体带来负面评价,从而导致其合法权益受到影响。
《个人信息保护法》第8条规定:
“处理个人信息应当保证个人信息的质量,避免因个人信息不准确、不完整对个人权益造成不利影响。”
《个人信息保护法》将保证个人信息质量作为企业的法定义务,从企业的角度说,则应建立检查和审视数据的相应制度和流程, 以保障数据获取的准确度。
2)保证算法公平合理, 防止不合理差别待遇
互联网时代“算法为王”。算法推荐是搜索引擎、社交软件、电子商务等几乎所有平台的标配。平台用代码、算法替代了传统的内容分发过程中编辑的角色,提高了服务效率的同时,也会导致例如大数据杀熟、劣质内容泛滥等一系列侵犯用户权利的现象。也正因为算法推荐下的社会问题层出不穷,国家开始通过立法手段进行干预,并在《个人信息保护法》下初步确立了算法问责制,这在我国还是首次。
《个人信息保护法》第二十四条规定,
个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正。
算法的透明性、公平及公正性本属于伦理范畴, 《个人信息保护法》将它上升到了法律的高度, 成为相关企业的法律义务。它要求个人信息处理者必须对所用算法进行检查和审视,保证自动化决策的透明度和结果的公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。
3) 自动化决策(算法),需遵循“明确合理目的”以及“个人权益影响最小”两个原则
《个人信息保护法》第六条规定,企业进行自动化决策,需遵循“明确合理目的”以及“个人权益影响最小”两个原则,而且在自动化决策对个人权益造成重大影响时,应“向个人提供便捷的拒绝方式”, 也即赋予个人主体拒绝权。这对于长期以来通过个性化推荐、通过用户画像为用户提供各种信息服务的企业来说,产生较强的影响和制约。
4、事前风险评估义务[11]
根据《个人信息保护法》的规定,在下列情况中,企业应当进行事前风险评估,且应将风险评估报告和处理情况记录至少保存三年:
1)处理敏感个人信息;
2)利用个人信息进行自动化决策;
3) 委托处理个人信息、向他人提供个人信息、公开个人信息;
4) 向境外提供个人信息;
5)其他对个人有重大影响的个人信息处理活动。
我国《数据安全法》中仅规定“重要数据”的处理者应当对其数据活动定期开展风险评估,并向有关主管部门报送风险评估报告[12];《个人信息保护法》则明确在涉及“敏感个人信息”、“自动化决策”、“委托处理”、“向第三方提供”、“对外公开”、“跨境提供”等情形下赋予所有的个人信息处理者以“事前评估”的义务。
因此,风险评估将成为作为信息处理者的企业的一项经常性工作, 应将其制度化、常态化,在保证评估质量的情况下尽量实现高效、快捷。
笔者认为,风险评估报告应当包括本组织涉及的个人信息种类、数量, 收集、存储、使用、委托、提供等的情况,面临的安全风险及其应对措施等。
5、合规审计义务
《个人信息保护法》要求定期对企业处理个人信息遵守法律、行政法规的情况进行合规审计[13]。但由谁审计、具体审计内容、审计标准尚未有明确规定,企业应未雨绸缪,参照《个人信息保护法》、《网络安全法》、《数据保护法》三部基本法律中相对具体的规定,制定出应对审计的方案。笔者认为,主要内容应包括:
1) 审查内部管理制度和个人信息备忘录的完备性和合规性;
2) 定期审计个人信息处理和管理工作;
3) 审计履行个人信息查阅复制、修正、移转及删除义务情况(信息主体权益保障情况);
4) 审核风险评估报告及记录情况;
5) 审核个人信息相关的合同及其他法律文书;
6) 根据个人信息及数据相关法律法规的更新,及时调整内部制度的情况。
6、委托外部进行个人信息处理的合规义务
《个人信息保护法》并非不允许进行个人信息的外部委托处理, 但是应区分“共同处理”与“委托处理”, 其中,共同处理应取得信息主体的充分授权。
在数字经济发展迅猛的今天, 数据外部委托处理已经极为常见, 比如云服务,SAAS服务等, 均需要数据的外部存储与处理。委托处理虽不必取得信息主体的授权,但是,《个人信息保护法》生效后,在对委托第三方(受托人)处理的情况下,委托处理个人信息之前,应事先进行个人信息保护影响评估,并对处理情况进行记录。
双方应签订书面委托合同, 其中应清楚载明委托事项、受托人权限、期间等事项, 尤其是委托受托人进行信息处理不应超过个人权利主体的授权权限或相关法律授予的权限。
7、跨境数据传输的合规义务
《个人信息保护法》并非禁止个人信息跨境传输,而是规定了实现数据跨境传输的必要条件以及制度性框架,并引入了国际上一些较为成熟的做法,如标准合同机制等。但是,在操作层面还有待于进一步的制度以及有关部门的指导性意见去进行细化,包括标准合同模板、国家网信部门的评估流程及标准、认证部门及认证标准、不对等国家的清单等[14]。因此,在跨境数据流动场景中,企业应严格按照《个人信息保护法》、《网络安全法》与《数据安全法》的规定, 慎重处理跨境数据传输的问题。
对于企业(尤其是互联网企业)而言,《个人信息保护法》要求的企业合规内容多而杂,可能涉及企业多个部门,因此企业应根据自身实际情况有一个完整的应对思路和方案, 所有部门都应当做好调整和配合的准备。
我国的《个人信息保护法》吸收了国外立法的优秀做法以及过往国内实践宝贵经验,可谓是“集大成者”,真正把我国对个人信息保护提升到了新的水平;但“徒法不足以自行”,个人信息保护法还有待于包括企业在内的各方一起努力,才能真正起到保护公民个人信息、维护公民网络空间权益以及促进信息合理利用的作用。
相关链接:
全文 | 《中华人民共和国个人信息保护法》
每周速览 | 个人信息保护法草案三审
注释:
[1] 个人信息处理者不仅仅包括企业,也包括政府部门、事业单位等;本文主要讨论企业的合规义务。
[2] 数据是信息的载体, 个人信息在网络环境下通常以数据形式存在,故在网络时代个人信息保护和数据保护不可分离。
[3] 参见《个人信息保护法》第58条。
[4] 参见《个人信息保护法》第五十二条:处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督。个人信息处理者应当公开个人信息保护负责人的联系方式,并将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门。
[5] 参见《网络安全法》第10条。
[6] 参见《数据安全法》 第25条。
[9] 参见《网络安全法》第 25 条。
[10] 参见《个人信息保护法》第 29 条。
[11] 参见《个人信息保护法》第 55 条。
[12] 参见《数据安全法》 第28条.
[13] 《个人信息保护法》第54条规定:个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。
[14] 参见《个人信息保护法》第38条、第40条、第43条。