专家点评 | Facebook事件启示：企业数据流动中的合规审查与监管责任

随着数据流动的监管日趋严格，企业对数据传输可能引发的合规事宜也愈加重视。为此，LCOUNCIL2018年1月25日举办的“新时代 新秩序——2017年互联网领域立法、执法与司法热点问题年度论坛”就特别邀请了其中来自汇业律师事务所的高级合伙人，上海律协互联网业务委员会委员、国际保护知识产权协会（AIPPI）委员、国际隐私专家协会（IAPP）委员黄春林律师重点就当前网络安全法的立法环境进行了趋势分析。

随着2018年3月份Facebook数据泄露事件的不断发酵，LCOUNCIL再次邀请黄春林律师就企业产业链上下游数据流动合规中的监管责任进行实务解析。

黄春林律师

汇业律师事务所高级合伙人

上海律协互联网业务委员会委员

国际保护知识产权协会（AIPPI）委员

国际隐私专家协会（IAPP）委员

▌业务领域：

黄春林律师的主要执业领域为互联网、新兴技术、文化传媒领域综合法律服务。

自2018年3月份以来，Facebook“剑桥分析事件”（下称Facebook事件）广受社会关注。具体涉事各方及关系详见下图：

Facebook事件后，社会普遍关注的问题包括：

➤ Facebook已经获得用户（包括用户的好友也设置了允许他人分享）的共享许可，但还是广受诟病，到底错在哪里？

➤ GSR遵从Facebook的开放协议向外共享信息，到底错在哪里？

➤ Cambridge Analytica与GSR签订合作协议获取信息，到底错在哪里？

➤ 如何确定法律合规与社会责任的边界问题？

➤ 如何平衡数据流动利用与安全保护？

上述总总问题，引起了人们对企业在上下游数据流动中的合规审查与监管责任深度的反思：除了法律的强制规定外，我们的合规审查和监管责任，到底要到达怎样的深度和广度？

在互联网公共安全事件面前，监管机构关注的焦点，或许不是你的数据网络是否绝对安全，而是你为了网络数据安全做了什么。

根据我们的经验，企业从上游获取用户信息时的合规要点包括：

✪ 识别与分级是前提

一个普遍共识是，受限于成本和效率考虑，企业对上游数据的合规审查不可能是无限度的。因此，建立一套的识别与分级机制，推行“分级管理、分层合规”，制定识别分级合规手册，有利于后续采取针对性的审查及动态管理体系。

实践中，识别与分级时主要考量的因素包括但不限于：

（1）用户信息是一般个人信息，还是敏感个人信息，还是非个人信息；

（2）是否属于不需要用户同意的豁免情形；

（3）上游提供方的用户信息来源、业务关联度等；

（4）获取用户信息的范围、体量等；

（5）获取用户信息的方式、频率及途径（例如是API及时还是延时）；等等。

✪  数据合规审查的深度与广度

企业在获取上游提供的用户信息时，根据前期识别与分级工作，可以差别化的采取形式审查、实质审查、第三方评估测评等方式进行合规审查。

（1）形式审查，又称为文本审查。实践中常见的方式，例如要求上游就数据的合法性出具单独的《承诺函》，或者在合作协议中加入数据合规的专门条款等。

（2）实质审查，审查的内容主要包括五个方面：

（3）第三方评估测评：对于那些用户信息数量巨大、频繁获取且是企业的核心商业模式的，企业还可以要求上游提供有资质的测评机构出具的评估报告（例如等保测评报告等），并依此开展数据合规审查。

✪  其他合规要点

企业还应当建立完善的网络安全合规体系，通过采取相关技术措施并制定内部管理制度，依法留存用户数据，加强内部合规培训，有针对性地对获取的用户数据采取匿名化、去标识化等数据处理措施，建立用户数据使用审计制度。同时，根据用户信息获取的频率，建立动态的审查措施。

法律和实践层面，企业向下游提供用户信息的，因个人信息的可复制性、易流通性等特征，会导致用户对其个人信息的控制力的减弱，需要企业承担的审查与监管责任更大。

根据我们的经验，企业向下游提供用户信息时的合规要点包括：

✪ 告知用户并取得明示同意是核心

根据《网络安全法》、《个人信息安全规范》等规定，企业向下游提供/共享用户个人信息的，应当告知用户并获得用户的明示同意。但实践中，根据商业场景不同，告知并获得用户同意的方式也各有差别，具体包括：

（1）概括告知：

例如通过隐私政策、用户协议、产品文案等，告知用户未来可能会向第三方提供/分享个人信息。此种方式较为常见，但合规风险也相对较大。

（2）反向追认：

例如通过场景化追认、共同授权、反向验证等方式，由下游使用场景反向追认提供方的合法性。此种方式通常在提供方不直接接触用户的模式中使用，例如征信、支付等行业。

（3）单独告知：

例如通过交互通信、弹窗、场景确认等方式，单独就提供/共享行为获得用户的明示同意，例如iCloud将数据转移到云上贵州的告知方式，该种方式的合规风险是最低的。

实践中，借鉴Facebook事件的教训，除了满足告知和用户同意的合规要求外，同时，我们还建议企业以适当的方式对用户进行引导、教育，告知用户共享、转让、公开披露个人信息的法律后果，提供用户对个人信息管控的便利性、显著性，强化用户对个人信息保护的意识。

✪ 动态监管是关键

Facebook事件中，Facebook广受诟病的一个原因之一就是，用户数据开放共享给GSR等第三方后，未尽到必要的动态监管责任。小扎同学在听证会阐述Facebook的整改措施时，也重点强调了动态监管的必要性及具体措施。

实践之中，考虑到企业的管理效率和成本，同时兼顾促进数据流动的目的考虑，企业在数据分享后的监管责任包括但不限于：

（1）形式监管：要求第三方出具书面承诺，或者在数据共享合同中加入单独条款；

（2）实质监管：通过共同设立项目组，共管数据库权限，发送动态询证函，动态调整/更新API接口等方式，加强下游获取方的监管。此外，企业还应当保持与下游的有效联络，及时沟通用户数据的应用情况，一旦发生信息安全事件，能够及时依法采取处置和并履行报告义务。企业还应当制定针对数据共享的应急预案；等等。

（3）引入第三方审计测评；还可以要求第三方定期提供测评机构出具的评估报告（例如等保测评报告）。

✪  其他合规要点

此外，企业如何根据《个人信息安全规范》等规定，建立不同层面的评估机制（例如必要性评估、安全性评估、跨境评估等）；借鉴第二部分的内容，建立有效的、分层的下游审查机制；并依法、准确记录和保存个人信息的共享、转让的情况，包括共享、转让的日期、规模、 目的，以及数据接收方基本情况等。

关于Facebook事件，媒体有太多的评论。冷静之余，我们有几点体会：

➤ 我们个人信息保护制度的根基——同意规则，是不是该反思？如同众多事件一样，Facebook事件中，用户（包括用户的好友）无疑都是同意的，但最终用户为什么还是“不高兴”？无非是说Facebook的披露不充分、不显著。所以，我们的制度关注的重点，应该是企业披露了什么（以及是否合规），而不是用户有没有同意——用户继续使用就只能且已经“同意”了。

➤ 技术中立、工具中立是否可以成为辩解的理由？过去一段时间，全球CEO都在道歉、辩解。小扎说，Facebook的底层机制就是开放、连接，因此才有数不清的第三方应用连接到Facebook并共享数据，这是Facebook的立命之本也是核心价值。李彦宏也说，中国用户愿意用隐私换便利。这些观点对吗？我们说只对了一半。在使用互联网服务的便利性时，用户要提供部分个人信息（例如电商中的手机及地址），这是必要的；但并不代表我们让渡了所有隐私（例如通信录、行踪轨迹、购物记录等）作为对价来换你的服务。

➤ 隐私政策到底是合规要求，还是产品、服务？越来越多的案例证明，隐私政策不仅仅是为了满足法律合规要求，更是企业的承诺和宣言——代表着企业以什么样的方式和态度对待用户。随着用户意识的觉醒，也有越来越多的用户会关注企业的隐私政策，并据此选择使用哪家企业的产品或服务。所以，从这个角度说，隐私政策即产品即服务。