《个人信息保护法》实施背景下,如何构建企业数据合规管理体系?
作者:
刘相文 汤敏志 李伟
★前言★
随着《个人信息保护法》(下称“《个保法》”)于2021年11月1日正式施行,企业纷纷更新互联网平台应用“隐私政策”[1],以满足《个保法》提出的个人信息分类保护、自动化决策规则等新要求。这无疑是当务之急。但是,作为一部基础性法律,《个保法》对企业个人信息和数据保护提出的新要求远不止如此。
《个保法》第五章对企业(个人信息处理者)义务的直接规定,大部分是有关个人信息管理体系、制度、机制的规定。企业应该意识到,落实《个保法》,更重要的是落实法律对企业数据合规体系的新规定;监管机构执法,也更看重企业数据合规体系建设和个人信息保护机制实际发挥作用情况。
此外,个人信息保护领域,《个保法》并非孤立存在,其与《数据安全法》、《网络安全法》一起,共同构成我国企业应遵循的数据保护合规义务基础体系。企业应关注的不再是某一风险点,而是需要对自身业务、产品进行全面体检,将视野放远至整个合规体系层面。国家对个人信息保护力度不断加强,与后疫情时代社会公平与共同富裕理念、遏制资本无序扩张政策息息相关,企业应提高站位,把准时代脉搏。
我们将结合为企业搭建全面合规体系和开展个人信息保护合规专项的实践经验,解读《个保法》背景下企业数据合规体系的新特征,以期为企业落实《个保法》,实施个人信息保护和数据管理提供实操指引。
一
落实《个保法》,企业数据合规组织架构如何搭建
于企业而言,在现有合规管理组织体系基础上,《个保法》对数据合规管理架构提出了三个方面的新要求:
(一)应当任命个人信息保护负责人
个人信息处理数量达到网信部门规定的企业应当指定个人信息保护负责人,这是《个保法》的强制性规定。
哪些企业必须设置个人信息保护负责人。《个保法》第52条第1款规定,“处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人”。“国家网信部门规定数量”还有待《个保法》配套规定进行明确。2021年7月,网信办在《网络安全审查办法(征求意见稿)》中规定,掌握超过100万用户个人信息的企业赴国外上市应先进行国内申报审查,可资参考。市场监督管理总局、国家标准委《信息安全技术 个人信息安全规范》(GB/T35273-2020)(下称“《个人信息安全规范》”)倡导,满足以下条件之一的企业,应设立专职个人信息保护负责人:“1.主要业务涉及个人信息处理,且从业人员规模大于200人;2.处理超过100万人的个人信息,或预计在12个月内处理超过100万人的个人信息;3.处理超过10万人的个人敏感信息的。”
个人信息保护负责人的级别如何设置。个人信息保护负责人具体如何设置、级别如何安排,属于企业自治内容,法律不会干预。但从个人信息保护涉及的范围和影响,以及岗位职责出发,企业应结合实际高规格设置个人信息保护负责人,至少应在公司层面,而非部门层面设置该岗位。《个人信息安全规范》规定:个人信息保护负责人参与有关个人信息处理活动的重要决策并直接向企业主要负责人报告工作。
个人信息保护负责人是否必须专职。从更高的合规价值追求和良好的合规治理实践出发,我们建议至少符合上文国标要求的企业,应设立专职的个人信息保护负责人。同时,从成本控制和企业实际发展阶段出发,个人信息保护负责人也可兼职。比如,由首席数据官、首席信息官或总法律顾问兼任。
企业应当公开个人信息保护负责人联系方式。《个保法》第52条第2款规定,“个人信息处理者应当公开个人信息保护负责人的联系方式,并将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门”。公开联系方式主要指对用户或者个人信息收集对象公开,报送是指向《个保法》第60条规定的各级网信部门报送。
(二)应当健全个人信息保护组织机构
明确配合个人信息保护负责人开展工作的工作机构。《个保法》没有直接规定企业应当设立个人信息保护工作机构,但其对企业处理个人信息规定了各方面义务,履行这些义务显然需要专门工作机构的支持。《个人信息安全规范》则明确指出,企业应当设立个人信息保护工作机构,与个人信息保护负责人一起,承担数据保护和合规管理工作,特别是确保能够及时应对和处理个人信息泄露、篡改和丢失事件。《数据安全法》第27条也规定,重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。
建立完整的个人信息保护组织体系。按照我们的实践经验,成熟的数据合规管理体系一般围绕以下骨架搭建:法定代表人—数据合规委员会—数据合规负责人—数据合规牵头部门—业务部门(下属子公司)—数据合规专员。
企业法定代表人或主要负责人对个人信息保护负全面领导责任;数据合规委员会(可在合规管理委员会内部下设),作为个人信息保护的专门议事决策机构;个人信息保护负责人具体负责企业数据合规体系建设并领导牵头部门开展工作;数据合规牵头部门一般由企业法律合规部门担任,组织、协调和监督个人信息保护合规管理工作,并为其他部门提供合规支持;具体承担个人信息收集任务的业务部门是个人信息保护的第一责任人,是数据合规风险的第一道防线;下属单位较多或横跨多个业务板块的企业,还可以通过设置数据合规专员的方式,提高数据合规管理效率。
此外,对于在境外处理我国境内个人信息的企业,还应当在境内设立专门机构或者指定代表,负责处理个人信息保护相关事务。
以上组织体系的建立健全,首先可通过完善企业合规管理制度的方式实现,再通过企业数据合规运行和保障机制的有效实施得以落地。
(三)应当成立主要由外部成员组成的独立监督机构
《个保法》第58条规定,提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当成立主要由外部成员组成的独立机构对个人信息保护情况进行监督。
哪些企业需强制成立独立监督机构,尚待配套规定明确。但《个保法》在法律层面已经强调,独立监督机构“应当主要由外部成员组成”。在落实《个保法》该项规定的过程中,涉案企业合规第三方监督评估制度和上市公司独立董事制度可能会成为参考。我们建议企业在制定未来规划时,应尽早考虑成立独立监督机构,以赢得工作上的主动。
二
落实《个保法》,企业数据合规制度体系如何完善
《数据安全法》强调企业应建立健全“全流程数据安全管理制度”,《个保法》则针对个人信息保护制度建设进一步规定了三个方面内容。
(一)应当制定落实《个保法》五大原则的制度
个人信息保护原则的极大丰富是本次《个保法》立法一大亮点,主要体现在第5条至第10条。可概括总结为“五大原则”:合法正当诚信原则;最小必要原则;公开透明原则;信息质量原则;信息安全原则。
落实该等原则,首先应内化为企业合规制度,用以指导、补充和协调企业个人信息保护机制发挥作用。当然,除了及时制定或升版企业规章制度外,企业“隐私政策”作为最重要的个人信息保护文件,在更新中也应着重注意贯彻《个保法》确定的新原则。
(二)应当制定内部专项合规制度和操作规程
内部管理制度和操作规程是个人信息保护合规制度建设中最基础、最重要的内容。《个保法》对此的原则规定是,企业应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,制定内部管理制度和操作规程,确保个人信息处理活动符合法律、行政法规的规定。
具体而言,企业究竟应制定哪些管理制度和操作规程,这取决于企业个人信息处理业务的规模、领域和监管环境。但无论如何,企业制度体系应至少涵盖以下基础内容:个人信息保护总体合规管理办法,个人信息收集规则,个人信息使用规则,敏感个人信息处理规则,个人信息存储和保护政策,个人信息共享、提供、转让和委托处理规则,个人信息跨境传输规则,个人信息安全事件处置规则,个人信息公开披露规则等。
需强调的是,企业新的制度建设应遵循“最小影响”原则,应尽量避免繁多的管理制度和体系叠床架屋,首先着眼于对企业既有制度的整合、融入和升版,而不是处处另搞一套。
(三)应当制定个人信息安全事件应急预案
个人信息安全事件,指发生或者可能发生个人信息泄露、篡改、丢失的事件。个人信息安全事件应急预案作为成文文件,是企业制度体系的一部分。落实《个保法》的具体规定,企业个人信息安全事件应急预案应包含以下内容。
一是安全事件应急响应的组织机构和工作机制、责任机制。总体编制思路可参考《国家网络安全事件应急预案》。
二是如何记录、评估和上报信息安全事件。包括记录事件内容,评估事件影响并及时采取减损措施,依法向网信部门上报等。
三是如何履行对个人信息主体的告知义务。告知内容包括:安全事件涉及的信息种类、原因和可能造成的危害;已采取的补救措施和个人可以采取的减轻危害的措施;企业的联系方式。
四是应急响应培训和应急演练计划。
三
落实《个保法》,企业数据管理运行机制如何建立
个人信息保护制度的落地,取决于运行机制的设计和实施。个人信息保护运行机制的建立健全是企业防范合规风险最核心、最复杂的内容,限于篇幅,本文仅就《个保法》规定的有关运行机制作提纲挈领的解读。
(一)应当建立个人信息分级管理机制
将个人信息分为一般个人信息和敏感个人信息,并进行分类保护,是我国个人信息和数据保护走向成熟和深入的标志。企业应当首先建立个人信息分级管理机制,通过内部制度和操作规程,鉴别和区分企业处理个人信息的不同类别,并着重针对敏感个人信息、未成年人信息设置单独同意等特殊规则。
(二)应当建立个人信息处理规则公开机制
企业在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知本企业个人信息处理规则。包括企业名称和联系方式,个人信息的处理目的、处理方式以及个人信息种类和保存期限,个人行使法定权利(包括知情权、决定权、查阅复制权、可携带权、更正权、撤回删除权等)的方式和程序等。该规则还应便于查阅和保存。
(三)应当建立个人信息保护影响事前评估机制
企业开展对个人权益有重大影响的个人信息处理活动,应当事前进行个人信息保护影响评估,这是《个保法》之后,企业开展个人信息处理业务的前置程序,应当引起重视。具体而言,企业在开展如下业务时应进行事前评估:处理敏感个人信息;利用个人信息进行自动化决策;委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;向境外提供个人信息等。评估内容包括:个人信息的处理目的、处理方式等是否合法、正当、必要;对个人权益的影响及安全风险;所采取的保护措施是否合法、有效并与风险程度相适应。相关评估报告应当至少保存三年。
(四)应当建立个人信息处理活动强制记录机制
企业开展对个人权益有重大影响的个人信息处理活动,应对处理情况进行记录。记录的内容包括:处理个人信息的类型、数量、来源,个人信息的处理目的、使用场景及分级管理情况,共享、转让、委托处理、公开披露、出境提供等情况,个人信息处理活动各环节信息系统、组织和人员等。个人信息处理记录应当至少保存三年。
(五)应当建立个人信息保护安全审计机制
企业应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。审计内容包括:个人信息保护政策、相关规程和安全措施的有效性,个人信息处理活动监测记录情况,安全事件应急处置情况,个人信息违规使用、滥用及追责情况等。
此外,还包括个人信息保护风险识别与评估机制、个人信息保护合规审查与咨询机制、个人信息保护合规报告机制、个人信息安全工程“三同步”工作机制等。
四
落实《个保法》,企业应就数据合规管理提供哪些保障
领导重视。数据合规体系建设意义重大,企业领导层应大力支持并率先垂范。《个保法》“法律责任”章规定,违法处理个人信息情节严重的,不仅要对企业实施处罚,也要对企业主管人员和直接责任人员课以罚款、职业禁入等处罚措施,并计入信用档案。有其他违法行为的,还可能被起诉、行政处罚甚至追究刑事责任。
组织保障。与其他专项合规管理体系不同,搭建数据合规体系需要企业法务部门与业务部门、信息技术部门、网络产品主管部门,乃至外部技术开发单位共同参与。内部团队承担与律师团队对接、组织合规访谈、开放后台数据权限、产品功能演示、担任“技术-法律”翻译等工作职责。专业法律团队承担方案设计、数据合规监管要求梳理、特定产品风险识别与评估、数据合规保护制度与员工指南制定、隐私政策修改、数据合规风险防控等职责。
此外,企业还应建立个人信息保护违规举报与调查、合规考核、安全培训与教育、风险防控有效性评价等机制,为个人信息保护制度和运行机制的有效落实提供保障。
五
落实《个保法》,企业应关注的其他事项
《个保法》生效未久,配套规范付之阙如且正在紧锣密鼓地推进出台,监管尺度仍有待明确,这一切无疑增加了企业面对不确定时的合规成本。对此,我们建议企业注意以下事项。
(一)密切关注网信部门监管配套规定
《数据出境安全评估办法(征求意见稿)》《互联网平台分类分级指南(征求意见稿)》等规范制度正在计划出台,将进一步细化企业个人信息保护的义务与责任,以及对企业数据合规体系提出具体要求。企业需持续关注关于敏感个人信息保护规则、境外提供信息的认证机构与程序、特定企业个人信息处理等方面的配套制度。
(二)密切关注监管执法尺度
《个保法》不仅明确了信息处理者的行为规范,更设置了严厉的法律责任。遭遇暂停业务、吊销许可与执照、双罚制、按照营业额百分比罚款、负责人员资格罚等处罚,将可能成为企业难以承受之重。企业后续需要密切跟踪监管执法案例,把握监管执法尺度,根据事项轻重缓急,对照进行合规整改。
(三)密切关注司法裁判倾向
个人信息处置违规,可能引发用户集体诉讼,《个保法》已明确规定了该类公益诉讼制度。关注司法裁判动向,将为企业提供具有警示意义的案例,司法裁判与监管执法对待个人信息保护的边界与理念也将为企业开展数据合规体系建设、应对执法监管等,提供新的思路。
(四)树立个人信息保护合规价值观
初创企业、新兴业务、互联网产品天然存在试探监管底线的冲动,而《个保法》确立了“强保护”规则框架以及严格的法律责任。个人信息保护规范的“张”与企业业务发展的“弛”之间极易产生冲突。而“业务”与“合规”的冲突与妥协永远是企业开展合规体系建设所要面临的难题,在个人信息保护方面也没有例外。当下,企业应当自上而下确立个人信息保护的合规价值观,找到业务与合规的平衡和良性互促路径。
[注]
[1] 当前,市场上主流叫法是“隐私政策”,也有称之为“隐私协议”。但在汉语语境下,“政策”一般指国家或政党为实现政治或管理目的而制定的行动准则,企业行为用“政策”不合适。之所以市场上很多“隐私政策”,主要是当初翻译而来。用“协议”也不合适,使用该类文件场合下,单方告知内涵多于双方协商。此外,按照民法典,个人信息与隐私是有交叉的不同概念,隐私已经被认可为一种有名的民事权利,个人信息总体上还只是一种民事利益,并未上升为基础权利。自然人的个人信息和隐私,依法都需要保护。因此,我们认为,使用“个人信息与隐私保护说明/指引”命名个人信息保护告知文件更为妥当。在我们的法律服务项目实践中,这种做法也被企业广泛认可。为表述方便,本文以“隐私政策”称之。
The End
作者简介
刘相文 律师
北京办公室 合伙人
业务领域:合规和反腐败, 诉讼仲裁, 投资并购和公司治理
特色行业类别:能源与自然资源, 金融行业
汤敏志 律师
北京办公室 合规与政府监管部
李伟
北京办公室 合规与政府监管部
作者往期文章推荐
《收到美国传票了,怎么办?——中国企业应对美国传票的破局之道》
《困境突围——中国企业如何应对被美国列入军方企业名单?》
《应运而生的保护伞?从跨境争议解决角度解读商务部<阻断外国法律与措施不当域外适用办法>》
《世界银行制裁判例研究(二):腐败行为构成要件及抗辩理由解读》
《世界银行制裁判例研究(一):欺诈行为构成要件及抗辩理由解读》
《“虚晃一枪”还是“引弓待发”?——美国国防部“中国军方企业”名单解读》
《跨境诉讼中,中国警方报告是否构成不可呈堂的“传闻证据”?—— 以美国、加拿大法律为例》
《关于债权转让禁止特约的限制——对<民法典>第545条第2款的评析》
特别声明:
以上所刊登的文章仅代表作者本人观点,不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。
如需转载或引用该等文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权,不得转载或使用该等文章中的任何内容,含图片、影像等视听资料。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。
点击“阅读原文”,可查阅该专业文章官网版。