「大咖观点」垦丁海外业务部负责人王捷|移动互联网产品出海数据合规风险与对策
小编推荐:
本文首先立足浙江垦丁律师事务所海外业务部编写的《2020全球数据合规法律观察报告1.0版本》,以地区划分,简要介绍了全球数据保护的立法的整体的概况。而后结合实务经验,提示出海移动互联网产品在数据合规中需要注意的风险,提供应对策略。
分享者:王捷|垦丁海外业务部负责人
感谢:文字编辑 曾晨
编辑排版 王湄怡
一
报告概览
随着中国出海企业已经从野蛮生长过渡到有序增长的阶段,数据合规问题显得越来越重要。首先我们先结合《2020全球数据合规法律观察报告1.0版本》来看一下全球数据保护的立法的一个整体的概况。
全球立法、执法概况
(资料来源:《2020全球数据合规法律观察报告1.0版本》,版权归原作者所有)
如图1,据统计,全球194个国家里面,已经有132个国家对数据和隐私保护完成了立法,还有部分的国家正在立法中。这些已经有立法以及正在立法的国家,在总量占比上已经超过了75%了,可见,数据和隐私保护立法正式全球范围内的主流趋势。
接下来我们来看一下全球数据保护执法动态。
(资料来源:《2020全球数据合规法律观察报告1.0版本》,版权归原作者所有)
从图2可以看到深红色的加拿大、美国、欧盟、南亚和新西兰等国家和区域都是执法活动最为活跃的地区,其次也是可以看到橙色的欧洲部分国家如英国、法国、意大利,东南亚地区和澳大利亚也是执法比较积极的一些地区。所以如果互联网企业出海的目的地是以上国家,就要对合规问题尤为重视。
各地区立法、执法概况
01
美洲、欧洲立法及执法概况
我们先看美洲,美洲主要是由美国和拉美地区组成,其主要特点就是内部经济发展水平差异较大,导致其内部数据保护合规发展的程度也不一样。
(资料来源:《2020全球数据合规法律观察报告1.0版本》,版权归原作者所有)
先以美国为例,美国的互联网经济极度发达,且其数据保护的思路就是从产业利益出发,鼓励数据自由流动。就立法而言,在联邦制政体下,美国各州立法思路差异大,且目前联邦层面的数据立法尚未完备,较为零散(见下表1)。就执法而言,美国执法主要由联邦贸易委员会(FTC)以及联邦通信委员会(FCC)负责。
儿童数据 | 《儿童在线隐私保护法》 |
Children's Online Privacy Protection Act (COPPA) | |
金融数据 | 《公平信用报告法案》 |
Fair Credit Reporting Act (FCRA) | |
《联邦贸易委员会法案》 | |
Federal Trade Commission Act (FTC Act) | |
健康数据 | 《健康保险可携带性和负责性法案》 |
Health Insurance Portability and Accountability Act (HIPAA) | |
通讯数据 | 《电话营销条例》 |
Telemarketing Sales Rule (TSR) | |
《电话消费者保护法案》 | |
Telephone Consumer Protection Act (TCPA) | |
《商业电子邮件信息法》 | |
CAN SPAM Act | |
数据传输 | 《欧盟-美国/瑞士-美国隐私护盾》 |
EU-US / Swiss-US Privacy Shield |
表 1 美国联邦数据保护立法
接下来我们来看拉美地区,拉美国家众多,各国对数据隐私保护的重视程度不一。
(资料来源:《2020全球数据合规法律观察报告1.0版本》,版权归原作者所有)
图4是对整个南美洲数据立法概况的整理,据图所示,有70%的国家都是有数据保护的规定,接下来我们重点介绍一些特色较为明显的地区。
哥伦比亚: 2012年已出台数据保护相关法律并获得欧盟认可,被列入数据传输白名单。
巴西: 数据保护法LGPD将于2020年8月生效,其立法逻辑和原则与GDPR相仿
墨西哥:数据隐私法规早早通过但一直未得到落地实施。
至于其他地区,阿根廷的个人数据保护法(PDPA)也正在推进。
欧洲对数据保护法治领域的重视程度远超其他各洲,GDPR的订立则是为欧洲的数据保护中心地位打下重要基石。
(资料来源:《2020全球数据合规法律观察报告1.0版本》,版权归原作者所有)
接下来我们对于欧洲境内三个执法活动较为活跃的地区进行介绍。
法国:CNIL执法持续活跃,调查案件每年超过三位数。
英国:ICO处罚金额不断刷新最高值,脱欧过渡期继续适用,脱欧结束后将使GDPR适用情况发生变化。
意大利:执法上极其活跃。
(资料来源:《2020全球数据合规法律观察报告1.0版本》,版权归原作者所有)
02
其他地区立法及执法概况
亚洲太平洋地区
亚洲太平洋地区地域面积很广,经济发展水平差异大,导致它对隐私保护的立法差异也是很巨大的。比方说南半球的澳洲跟新西兰已经有了完备的数据保护立法,印度也已经通过了数据保护法案,但相比之下,东南亚地区的柬埔寨就还没有数据保护立法。
就执法而言,亚太地区出现多个积极执法国家和地区,案件数据和调查件数都超过全球范围内大部分国家,特别是新西兰和东南亚地区执法活动非常活跃,相较而言,日本的执法手段则较为温和。
非洲
相对于其他大洲而言,非洲数据保护立法比例稍微会低一些,半数以上国家尚处于“走在正确方向上但仍需实质性的评议”阶段。这里比较突出的历经七年终于生效的南非《个人信息保护法》(POPIA),该法早在2003年就开始起草,主要基于欧盟数据保护指令95/46/EC,但也加入了一些更为严格的规定,相较于GDPR,POPIA的规定要更为详细。
(注:因本文的撰写与编辑时间不一致,POPIA的实质性规定已于2020年7月1日生效,有关监督信息获取的某些规定将于2021年6月30日生效。该法案允许12个月的宽限期,以便各组织得以合规,因此其执法将于2021年7月1日生效。)
非洲还有一个特点,它的立法不仅停留在国家层面,在州层面,它也是不断地去积极推动数据保护法律的颁布,如2014年,非洲联盟通过了《网络安全和个人数据保护公约》,该文件全面涵盖了电子事务处理、隐私以及网络安全等内容。
中东
最后一个就是中东,中东也是新最近非常热的一个出海的地区,它的特点就更明显了。中东政治情况复杂,经济差距巨大,各国对个人信息保护的重视度各不相同;仅在阿联酋内部就有阿联酋联邦、经济中心和迪拜国际层面的三个不同的立法角度。
在立法情况上,除了经济较为发达的国家有自己的数据保护法之外,其实剩下的半数国家都尚未设立专门的数据隐私法律,且具体行业规范和宗教法在数据保护法律体系中占据重要地位,如沙特阿拉伯。
二
移动互联网产品出海数据合规
风险与对策
接下来我将基于调研报告中各主要数据保护立法地区的执法重点,并结合实务经验,提示出海移动互联网产品在数据合规中需要注意的风险,并提供应对策略。
01
执法机关关注点
美洲 | ü 没有对数据主体进行充分告知 |
ü 缺少及时更新的数据处理报告 | |
ü 和数据处理者间的协议不合规 | |
ü 营销部分的数据使用不合规 | |
ü 数据安全保护不充分,发生泄漏事件的回应不及时 | |
欧盟 | ü 缺乏数据处理合法基础 |
ü 营销部分的数据使用不合规 | |
ü 没有确保数据安全(如没有对数据跨境传输做好足够的安全保护) | |
ü 在线活动隐私权侵害 | |
ü 用户画像的收集 | |
亚太 | ü 未经消费者同意的推销电话 |
ü 数据泄露事件、网络安全 | |
ü 数据处理的透明度与隐私评估 | |
ü 对用户隐私的误导和欺诈行为 | |
非洲 | ü 数据泄漏发生后回复不及时 |
ü 数据安全保护不足 | |
中东 | ü 通过信息网络窃取数据 |
ü 未经授权获取数据信息 | |
ü 非法获取金融或征信信息 | |
ü 非法访问计算机故意删除、修改或毁坏隐私信息 |
表 2 各国执法机构所关注风险点
基于上述风险点总结,出海企业第一步需要做的就是完善隐私政策,在这一部分我将从形式和内容两个方面对于如何撰写隐私政策进行介绍。(仅列举部分合规要点)
隐私政策 | |||
形式要求 | 内容要求 | ||
易读性 | 清晰、移动、独立的隐私政策,配备当地语言版本 | 数据收集 | 目的 |
种类 | |||
数量 | |||
范围 | |||
显著性 | 对于重要条款、免责条款进行加粗、标黑提示 | 数据存储 | 存储期限 |
存储地点 | |||
首次打开时,以弹窗等显著方式提示用进行阅读 | 所采用的技术安全措施 | ||
数据接收方/接收方的种类 | |||
客观性 | 以主动点击、勾选等方式进行设置,获取用户的有效同意,避免一揽子授权 | 数据利用 | 数据可能用于的个性化广告、市场营销等场景
|
数据传输 | 向第三方共享、披露和转让 | ||
数据出境 | |||
为用户提供可以容易取消“同意”的设置 | 数据主体权利 | 访问权 | |
纠正权 | |||
删除权 | |||
限制/反对处理权 | |||
可携带权 | |||
设置cookies同意开启及关闭退出的选项 | 联系方式 | 数据控制者 | |
数据处理者 | |||
DPO |
02
数据主体的权利保障
第二块是关于数据主体的权利的保障程序,要有力保障数据主体的权利,仅仅依靠隐私政策是远远不够的。例如在实践中,我们发现许多公司缺乏清晰明确的用户响应机制,导致遭到监管机构的罚款。用户响应机制具体指的在用户进行投诉的时候,或者说他给你发出了明确的退出或拒绝同意的请求之后,你可以及时对内部的白名单进行更新,以后便不再联系此用户。为了降低违规成本,我们给出如下实现数据主体权利的流程以供参考。
(资料来源:作者presentation素材,版权归原作者所有)
点击查看大图
03
市场营销与广告推送
第三块是关于市场营销与广告推送。根据是否“以用户同意为前提”,我们可以将这一块的合规分为两种模式——欧盟和美国。由于美国的数据保护是以产业利益保护为前提,所以它不用明示同意为前提,但是应该确保用户可以退出这个选项。典型的就是美国。企业可以使用用户的数据,但是同时你要确保给他提出一个可以退出的选项,且必须是有效退出,即不再接受这些广告的推送。
是否”有效“也是一个非常重要的点,即用户退出之后,还会不会多次反复地被询问。有些国家的政府数据保护机构就会认为多次反复询问的行为也是不对的,因为这实际上构成对用户的一种骚扰。同时如果企业在用户选择退出的时候,没有及时删除它对应的个人信息,或者做一些匿名化的处理,也是不合规的。
欧盟 | 美国 |
以用户明示同意为前提 | 不以明示同意为前提 但应确保用户可退出 |
ü 隐私政策中明示营销活动的具体业务场景、数据类型、使用目的等 ü 设置单独弹窗等提醒,获得用户明确授权同意 ü 提供退出的选项,保障有效退出 ü 退出后不再多次反复询问,及时删除对应用户的个人信息 ü 默认状态不能设为主动开启 | ü 不以明示同意为前提但应确保用户可退出 ü 提供退出的选项,保障有效退出 ü 退出后不再多次反复询问,及时删除对应用户的个人信息 |
表 3 欧盟和美国在市场营销中的合规要点
04
企业内部数据管理与网络安全机制
第四块是关于企业内控的,在许多案件中我们发现,数据泄露事件的发生往往是由于企业没有做好内部数据管理或者没有建立完善的网络安全机制。总结下来,我们觉得要从下图所示的五个方面去做好内控。
比方说 Facebook的案件提示了企业应当重视内部IT的管理以及组织架构的设立,通过指定一一位或者多位的员工来整体的协调信息安全的工作,并且从组织架构上面去体现公司对网络安全以及内部数据管理的重视程度。
再比如说英国航空泄露的事件也警示着我们在泄漏事件发生之后是不是有一个比较好的应急处理机制?企业的技术可不可以及时监测到数据的活动过程中的异常并进行及时汇报、做好风险预案以及时止损。同时还有德国的房地产公司的泄露案件也提示着企业要定期请第三方对公司内部的信息安全项目做评估,以确保企业的数据安全,特别是对敏感数据。
05
对外包服务供应商的监督与约束
最后一部分是对外包服务供应商的监督与约束。我们知道现在外包服务其实也是非常的流行,可能很多企业在出海的过程中会把很多客户的数据交给第三方外包供应商去进行管理。在这个过程中就会有一个数据向第三方转让,或者向第三方进行数据对接的过程,如何保护这些数据就成为了一个很关键的点。
(资料来源:作者presentation素材,版权归原作者所有)
在此环节上,我们要从五个步骤去注意(如上图)
第一 应与外包供应商有一个非常好的协议约束,确保数据来源的合法性,企业需要充分说明数据是怎么来的。
第二 要确保与你方对接的第三方公司具备对数据安全处理的完善的技术措施,包括如何存储,在存储的过程中有没有采取很好的技术保护措施,是不是充分尊重和保障数据主体的权利。
第三 须对整个的技术措施进行评估,例如如果发生了泄露的事件,能否及时响应,比如GDPR就规定了72小时的时限。
第四 大力加强数据安全保护措施和系统,有效防止接触到大量个人数据的雇员对有价值的数据进行转移。
第五 对接触到客户个人数据内部人员和外部委托人员设置有效的访问权限机制,基于需求触发权限,而非一揽子授权进行,这可以避免雇员接触到大量的这些个人数据,也避免雇员把这些有价值的数据往外转移。
最后
十步合规流程
(资料来源:作者presentation素材,版权归原作者所有)
(本文所有数据收集截止于2020年2月)
出海互联网法律观察将陆续发布14位嘉宾演讲实录
敬请关注!
往期回顾:
「大咖观点」 “全球购骑士特权”法总叶意 | 海外支付法律问题分析
「大咖观点」前Uber Grab资深数据分析师Joe Shan|商业实践中的数据安全与隐私
「大咖观点」原网易云音乐法律顾问孟靖岳|国际视野下的避风港原则
「大咖观点」500Startups中国区负责人郑思达|中国公司出海融资101
「大咖观点」电子商务法立法专家姚志伟|跨境电子商务零售进口中的“中文标签”问题
只关注出海互联网法律实务
欢迎加入我们为海外网络法律合规爱好者从业者组织的
交流微信群,分享和学习海外网络法实务
加群主王捷律师jie-72
邀请入群
团队介绍
垦丁海外律师团队深耕海外多地区多条业务线,通过多年来积累的出海法律服务经验以及资源优势,结合本土化的合规经验与国际化的思维,致力于为出海互联网企业提供专业的一站式法律解决方案,为逐鹿海外的互联网企业提供优质及多元化的法律服务,为各类新型业务搭建运营合规体系及提供有效的风险评估及合规解决方案。
王捷,垦丁海外业务负责人,资深出海法律顾问。
广东省法学会信息通讯法学研究会理事,荷兰 RuG 国际经济法与商法硕士,曾任职阿里巴巴大文娱集团,深耕海内外多条业务线,专业能力模块包括产品风险管控、业务流程搭建、风险分析评估、数据保护与合规、纠纷案件处理、竞对攻防布局、政府监管合规、海外公司治理、投资项目管理等。九年多的科技型公司实务经验与中外律所从业背景,能更准确理解客户核心需求,快速响应并提供基础到战略的有效支持,并为各类出海互联网企业拓展印度、东南亚、中东、非洲、欧美等新兴及重要市场提供有效的合规解决方案与落地支持。
联系方式:微信jie-72,添加微信,请备注来意,如“业务合作”,“学术交流”等等,感谢!
魏彤,垦丁海外业务部数据隐私合规顾问,前欧盟DPO。
联系方式:15926458510
#更多往期出海业务精彩文章#
「大咖观点」500Startups中国区负责人郑思达|中国公司出海融资101
「大咖观点」原网易云音乐法律顾问孟靖岳|国际视野下的避风港原则
「大咖观点」前Uber Grab资深数据分析师Joe Shan|商业实践中的数据安全与隐私
「大咖观点」 “全球购骑士特权”法总叶意 | 海外支付法律问题分析
「突发」印度政府宣布封禁59款中国APP ,包括微信和抖音海外版
2020版《个人信息安全规范》生效在即,你不得不重视的第三方接入管理规则
【年度巨献】第四届网络法实务大会| 6月27日,出海互联网法律实务专场报名
从印度“删除中国APPs”被Google Play下架谈谈平台合规
民法典专题系列 | 对比:《民法典》隐私权&个人信息与GDPR视角下的隐私权&个人数据权利
20/05 今日海外数据法律资讯 「黑客组织盗取拍卖美国总统唐纳德·特朗普的全部数据」
【重磅推荐】印度个人数据保护法案2019与GDPR主要点比较,暨印度数据法案2019版中译本发布
互联网出海实战指南之DPO系列:DPO该由谁来担任?内聘与外聘之优劣比对
出海实战指南系列:每天五分钟—13亿人口的印度是怎么进行民主选举的?
【重磅】印度FDI新政“生效令”发布—中国投资印度需走政府路径
首发 | 霍乱时期的数据保护 之 EDPB在新冠疫情爆发之下有关个人数据处理的声明
【重磅】你的企业真的会“负责任”的使用人脸识别技术吗? 暨WEF《负责任地限制人脸识别使用的框架》中译本发布
互联网出海实战指南之DPO系列:当Pornbub在注视你,他都在看些什么
出海实战指南之DPO系列:宇宙中又多了一个GDPR科普|今天让我们来聊聊DPO
转发,是对作者最大的鼓励
在看,是对作者最大的认可
创作不易,请点击一下“在看”↓