数据保护官(DPO)沙龙第一期纪实
【数据保护官(DPO)沙龙第一期活动】 如期举行。公号君终于如愿。接下来就是如何坚持下去的问题了,还请大家多多支持!
以下为南都为沙龙第一期撰写的纪实:
https://v.qq.com/txp/iframe/player.html?vid=o1342z0ic49&width=500&height=375&auto=0
6月6日至7日,数据保护官(DPO)沙龙第一期——“个人信息保护:中欧进展与企业合规”公益培训在京举办。在欧盟《一般数据保护条例》(以下简称“GDPR”)刚刚实施、实际影响尚不明朗的背景下,多位来自欧盟、中国数据保护领域的核心专家齐聚一堂,从理论、产品、技术、实践等层面全方位地向企业、律所分享了他们关于中国企业合规的经验和建议。
数据保护官(DPO)沙龙第一期现场。
培训班第一天早上,能容纳近百人的教室几乎满座。中国企业和律所展现出来对GDPR 的兴趣,让两位即将发表演讲的欧盟专家感到不可思议。
欧洲数据保护监督员办公室(EDPS)前政策和咨询主管Hielke Hijmans。
欧洲数据保护监督员办公室(EDPS)前政策和咨询主管Hielke Hijmans早在2004年就开始从事数据保护研究,他透露,那时很多人同情他入了数据保护的“坑”,但近两年几乎所有人都在讨论GDPR,连他的孩子也有所了解。“数据保护的格局已经变了,这个变化既发生在人们的心中,也发生在立法者的心中”,他说,“大家都越来越重视隐私保护”。
希腊数据保护局成员、布鲁塞尔自由大学高级研究员Vagelis Papakonstantinou。
希腊数据保护局成员、布鲁塞尔自由大学高级研究员Vagelis Papakonstantinou也有同感。他说,类似场合每天都在欧盟境内发生,但是来到中国做GDPR的演讲对他来说是“完全不可想象的”。他还发现,欧盟跟中国有很多相似的问题,比如企业如何适用GDPR对数据控制者和处理者的规定。
Papakonstantinou介绍,控制者不限于机构或组织,如果一个自然人因为职业需要对数据进行处理,而不是为了私人目的,那么自然人也可以成为控制者;处理者则听从控制者的命令处理数据,它自己不能决定何时、如何、为何这么做。
“与95指令相比,GDPR相关条款的改变在于控制者和处理者都必须合规”,Papakonstantinou提到,95指令规定只有控制者具有法律责任,而现在双方都有责任。“我理解以前双方公司可能只有谅解备忘录等简单的文本协议,甚至没有任何合同,但现在只有白纸黑字的书面合同才有效,这就解释了为什么现在你们的很多客户要求重新签合同”,他说。
GDPR还把使用场景扩展到有两个或两个以上控制者的情况。Papakonstantinou建议,共同控制者之间需要一个详尽规定各方权利义务的协议,比如出现问题的时候谁应该承担多少责任,付百分之几的罚款等等。
GDPR规定,若企业违规,最高可面临2000万欧元或全球营业额4%的罚款。因此,GDPR的问责机制成了企业关注的话题。Hijmans称,充分的透明度是避免问责的一个非常重要的因素。也就是说,企业处理个人数据的出发点必须是透明的,要让用户知道企业在对他们的信息做些什么。
结合当天的培训主题,Hijmans还谈到了他对数据保护官(DPO)的理解:DPO必须对数据保护有所了解,还有相关的技术、法律知识,可以由不同的人结合不同的知识背景共同履行DPO的职能。在他看来,DPO不是企业内部的监管者,也不应该在组织的最底层,而应该是和最高管理层沟通的战略性角色,同时也是与数据保护相关部门联系的联络员。
当天,两位专家都指出,GDPR更看重的是企业合规的意愿和为此做出的努力。事实上,法国、希腊等数据保护当局给了自己成员国2018年一整年的宽限期,除非有特别重大的数据泄露问题,否则不会罚款。“市场、控制者、处理者都还有六个月的宽限期来进行调整,所以我们现在可以放松一下”,Papakonstantinou说,“我不知道中国的情况怎么样,但是在欧盟,我想说天塌不下来。”
结合 GDPR 与《个人信息安全规范》的相关要求,南都个人信息保护研究中心研究员李玲围绕知情同意、信息收集使用、用户注销、用户画像等方面,做了题为《个人信息保护:中外合规产品设计实例与舆情》的演讲。
南都个人信息保护研究中心研究员李玲。
李玲认为,在隐私保护工作上,与法律合规相比,对企业来说舆情合规是更高要求。且随着人们对于隐私话题的关注,企业不应该忽略可能产生的负面舆情效应。
截至目前,南都个人信息保护研究中心已经测评了近2000家网站和平台的隐私政策。基于长时间的观察,李玲发现企业的隐私政策普遍冗长晦涩,且有的更像免责协议,甚至暗藏霸王条款。然而,用户面对这样的条款,通常只能点击同意,否则无法使用服务。
事实上,默认勾选协议,隐私政策的“不同意”选项形同虚设等事件,都曾引起舆论争议。李玲分析,其原因在于未给予用户充分的选择权。她建议,企业应当尊重用户说“不”的权利,以更友好的方式告知用户“不同意”意味着什么,并给出清晰的退出路径。
在信息收集使用方面,用户经常有这样的困惑:为什么使用一项网络服务需要被收集这么多信息,而交出的信息又会被用在何处、分享给哪些第三方?
以Facebook事件为例。李玲注意到,3月爆出数据外泄丑闻后,Facebook于4月19日新修订的隐私政策特别增加了关于分享信息的第三方类型说明。同时,Facebook还强调,正在进一步限制开发者的数据访问,帮助防止违规行为。
李玲认为,企业应该说明不同场景下可能收集的信息,并告知收集、使用、与第三方分享的方式。“企业以用户为宗旨开展隐私保护工作,充分考虑用户体验,尊重用户选择权,保障数据处理过程中的透明度。”
从IT时代到数据时代,数据的利用价值从单纯的对事物的客观描述,变成了大量汇集之后转换成的知识和情报。“数据价值催生了数据在企业内部的业务化”,全知科技CEO方兴说,企业不仅会把所有数据全部汇集起来,还会从各个维度采集更多的数据,通过加工、分析生成业务中需要的知识和情报,然后再回流进业务系统。而对于一些大企业来说,新老数据的不断生成和流动还会产生生态。
全知科技CEO方兴。
不过这样一来,风险会随着数据的流动贯穿到整个业务当中去,衍生出新的数据安全风险。方兴举例说,比如买一辆豪车,可能的风险是车被偷或者在事故中损坏;但如果买了20辆车,雇了一帮司机跑运输挣钱,那考虑风险的视角就完全不一样了,“你不能只考虑车本身的损失,还要考虑业务过程中的损失。”
另一个变化体现在基于可信度的授权体系上。方兴指出,在数据不流通的时候,企业往往按照可信度安排授权,绝密信息只有最高层人员能看到;而数据一旦流动起来,接触数据最多的可能是一个外包人员,而不是董事长。“更多时候要把数据给不可信的人员使用,这是目前企业在数据安全方面面临的挑战。“
因此,方兴建议,应该从风险控制的视角看待数据安全。也就是说,有了数据从哪来、存储在哪、被什么人使用、用在哪等等跟数据相关的所有信息之后,就能做更多的风险识别和控制。此外,还可以通过建立事后溯源可追责体系,用较低的成本降低数据安全事件发生的概率。
方兴从技术视角对数据安全的解析,让出门问问信息科技有限公司总法律顾问孟洁非常受用。她对南都记者表示,正如方兴所说,技术人员对合规的理解往往只停留在单纯的对数据加密,十分片面,而她作为法务人员,又对于如何在技术上实现合规没有清晰的概念。“企业内部的数据规划是一个立体的、综合性的问题,不仅要熟悉政策、解读政策,还要了解如何在技术上实现数据保护,才能最终实现内部合规”,她说。
5月1日,推荐性国家标准《信息安全技术个人信息安全规范》(以下简称“规范”)正式实施,填补了现今个人信息保护中诸多技术细节与实操领域的规范空白。作为起草组的成员之一,中国电子技术标准化研究院安全审查部技术总监何延哲表示,起草组参考了GDPR的部分条款,从适用性、全面性和可操作性考虑,才制定出最终出台的规范。有企业法务表示,规范附录的隐私政策模板对企业有极大的指导意义。
中国电子技术标准化研究院安全审查部技术总监何延哲。
一般情况下,用户必须同意企业的隐私政策,才能使用产品。但是何延哲指出,隐私政策的目的是符合公开透明的原则,不是为了征求同意,只不过现在已经成了惯例。他认为,一个比较好的实践方式是在征求同意的时候,先显示隐私政策的简略版,展示用户最关心的内容,再在下面附上完整隐私政策的链接,供有兴趣的用户继续阅读。这样即使用户不阅读完整版本,也不会影响太多对产品功能的理解。
南都记者了解到,规范的一大创新是区分核心功能和附加功能,打破了被诟病已久的“一揽子协议”。何延哲提到,一些企业把特定业务场景下才要收集的信息一股脑全写进隐私政策,一方面图省事,另外一方面还是为了以后方便收集。
“这种做法确实有可以优化的空间”,他说,比如有十个功能需要征得用户同意,可以把核心功能和附加功能分成两个页面,更加直观。如果某个附加功能跟产品的核心功能相差很远,就没必要打包让用户同意,而是可以采取在用户点击使用该功能时再弹窗提示需要分享哪些个人信息的方式。
何延哲坦言,现在用户基本还是只能选择同意隐私政策,否则只能退出不使用,“还没有特别好的解决方式”。不过,他仍然很有信心,觉得很可能会出现正面的案例,尤其是那些业务比较简单、做了之后没有任何影响的企业可能会优先去做,给其他企业造成压力,推动整体合规。
“其实可以拆分规范的合规要点,做成可视化产品”,竞天公诚律师事务所合伙人冯坚坚听完何延哲的授课很受启发。他介绍,以前帮企业做合规通常是给企业做问卷,然后人工分析,最多延伸到企业的制度层和应用层,完全不触及下面的代码层和设备层,导致拿出的合规方案要么成本太高,要么被技术抵触。“如果能为客户实现不同维度的可视化产品,我们的服务形态将会有很大改变”,他表示。
Q:GDPR中对“可识别的个人信息”的定义是什么?
A:GDPR中的定义是:任何能够帮助识别这个人的信息。不光是IP地址,还有从各种各样的设备搜集到的任何能够与用户相连信息,都包括在内。如果你拿不准是不是个人数据,最保险的做法就是先把它视为个人数据。
比如你要用一张几个人的合照训练算法。如果人脸无法和个人连接起来,那就可以算是匿名化,没有个人数据泄露的风险,无需获得数据主体的授权。但是一旦在某个时间,照片上的人脸可以对应到个人了,就会被视为个人数据。
Q:我们在欧洲有合作伙伴,他们称如果不签署新的合作文件,就不再继续合作。据我们所知,这份文件中他们最关心的是控制者和处理者所承担的不同责任。在这种情况下我们如何谈判,获得更优厚的条款?
A:一般来讲你可能是需要接受的,因为你在处理的是欧盟的个人数据,一旦进入到合规的领域,不管你是在中国还是在欧盟,都需要完整地检视所有流程,尽早进行合规。
我觉得你可以选择增加价格,因为你的合规成本增加了。另外,你可以找些GDPR最低限度条款的合同样本,然后把可能出问题的地方纳入合同当中,尽可能地把细节体现出来。
Q:我们是做出海工具的,欧洲的版本全都是按GDPR做的合规。如果一个欧洲用户来中国,下载了不符合GDPR的中国版本,回到欧洲。这种情况如何合规?
A:如果只在中国用,不属于GDPR管辖。就比如一个欧洲人进了中国公安大学,很多摄像头都会收集他的信息,这种情况是不受GDPR管辖的。如果他带着从中国下载的软件跑回欧洲,你又持续监控他在欧洲的行为,这就有一定的风险了,但也取决于你能不能向DPA证明你在这个场景上已经尽了最大努力。
首先这不是一个经常发生的事件,因为你们有针对欧洲人的版本。你还可以使用技术手段监测用户的版本和数据流量是否匹配,一旦发现这样欧洲人用中国版本的情况,可以提示他主动更换帐号,去下载欧洲版本。这样你就真的已经进了最大努力了,即使他还是继续使用中国版本,相信DPA也能理解。
滴滴前段时间有个类似的例子。欧洲一家公司的雇员在中国打车统一用滴滴,由公司统一结算,要求滴滴做GDPR合规。一个粗暴的做法就是,等这些人回欧洲之后,直接把这些数据删掉,这样就根本不需要做GDPR合规。