2018亚太数据和网络安全保护综述(上篇):GDPR对亚太地区国家数据保护的影响及合规措施
注:本文是对《Asia Pacific Data Protection and CyberSecurity Guide 2018- Shifting landscapes across the Asia-Pacific Region》(by Hogan Lovells) 报告进行的选编翻译与整理。
欲获取原英文版报告,请访问:
http://abli.asia/NEWS-EVENTS/Whats-New/ID/58。文章版权归原作者享有,不代表本公众号观点。
编译者:孟洁(出门问问信息科技有限公司总法律顾问)、赵小琳/陈子谦(出门问问信息科技有限公司律师助理)
引言
2018年5月开始实施的GDPR已经在全球范围内产生了波动。对总部位于亚太地区的企业来说,其直接影响是其将欧洲数据保护法的适用范围从“建立”概念(这种概念对于在欧洲经济区中已经成熟的运营方式或者数据处理系统的法律适用是有限制的)扩大到更宽泛的标准(该标准得以使GDPR可适用于亚太地区那些向欧盟境内的数据主体提供在线商品和服务的企业)。并且,GDPR的处罚最高可能达到该企业过去一年全球总营收的4%,这点引起了很多亚太企业的极大重视,因此我们已经看到很多企业积极准备合规性措施来应对已经开始实施的GDPR。
除了GDPR对亚太组织进行了直接合规指引之外,其对亚太的影响也是极其深远的。可以很清楚的看到亚太区域内的立法者和数据保护权威专家已经积极学习了GDPR的规定,并试图改革当地法律来反映他们对数据保护法律法规的深层理解。在双边贸易谈判的背景下,数据传输的限制很明显已成为越来越重要的考虑因素,给予“充分性保护”地位也同样是一个因素。
然而相比亚太地区法律演变,更重要的是,亚太区对于数据保护的需求也更大。公民日益沉浸在各种移动设备和互联网的全新数字生活中,因此各国政府也齐心协力开展数字身份认证计划以及采取更多具有针对性的手段来实现电子监管的功能。从这一点上看,GDPR中的“cherry-picking”的概念正好反映出亚太地区对充分保护地位的法律需求了。
举个例子,截至目前,澳大利亚和菲律宾已经引入了《强制性数据泄密通知法》,从2018年2月新加坡隐私委员会面向公众发布个人数据咨询报告的举措中看出,他们也极有可能已经实施这项法律了。新西兰的隐私法案同样包含了类似的举措。
从2017年12月发布的《印度数据保护框架专家委员会白皮书》(以下简称“白皮书”)中也看得出GDPR得到了广泛的认可,基于对公众关于隐私权司法认可程度的意见征询将在印度实施。考虑到印度有可能在2025年成为亚太地区人口最多的国家,印度开展真正全面的数据保护监管行动将是亚太地区数据保护发展的重要一步。白皮书表达的关于印度数据保护法未来形态的观点是暂时的,该白皮书的总体含义是,向立法者推荐一个基于同意的、控制者与处理者结合的数据保护监管模式,外加一个独立的数据保护权威机构。白皮书对GDPR概念进行了详细分析,如问责模式,域外适用,隐私影响评估,违反通知义务以及被遗忘权等,进一步支持了GDPR已经确立的相关概念,为亚太地区立法发展趋势确定了一些关键性标志。亚太地区各国的具体表现将在《2018亚太数据和网络安全保护综述》的下篇中做详细介绍。
2018值得关注的关键举措
作为实施《网络安全法》的一部分,对于中国数据出境审查措施的最终确定有很多期待。 中国是否会将出境审查程序的执行推迟到2019年1月1日,这点尚未得到证实,但出境审查措施预计于2018年年底前会有结果,并且它将允许有12个月的过渡期。
印度就新的数据保护法进行磋商的结论,将为其首次确立重大经济区域政策发展产生重大影响。
跨境数据传输控制的政府间合作将在2018年推进,APEC CBPR计划的进展和亚洲商业法研究所理事会(“ABLI”)的起草者制定了高效率且十分可靠的跨境转移计划。
一如既往,我们应该期待意外。数据保护和网络安全监管的发展至少部分是“事件驱动”。亚太地区已经看到了黑客和数据丢失事件的频率,而且这些事件很不幸还将继续上升。随着数据保护机构数量的不断增加以及公众对数据保护风险的认知度不断提高,我们预计执法能力将持续上升。同时因为亚太经合组织的经济日益数字化,最近的证据表明,政府对智慧城市/物联网举措的强有力支持和行业的特定举措,例如开放金融机构的客户数据以扩大共享(“开放式银行”),风险因素将继续增多。
对这些问题的相应回应将是亚太地区数据保护继续发展的关键。
区域统一性,充分性,互通性?
随着亚太地区数据保护合规性的迅速增强,跨国组织有充分理由希望跨地域的数据保护具有统一性,或至少具有互通性,其中就包括跨国数据流转的实用解决方案。
《亚太经合组织隐私框架》提供了一些基础标杆,以便促使亚太区对基于原则性的数据保护监管采取共同的方法。尽管《亚太经合组织隐私框架》的共同主题在整个亚太区域的国家数据保护法律中显而易见,但显然形成一个严格统一的法律还是不太可能。我们确实看到有效的合规解决方案,但从广义上说,它追求的是符合亚太地区大部分要求的国内实践和政策的“合理高水准”。这种做法必然会留下一些具体的合规问题需要得到解决。一个典型的例子就是在直销领域,无论是根据数据保护法本身还是根据反垃圾邮件法、互联网监管或消费者保护法,均将对大多数司法管辖区的数据保护法律产生影响。但这一方面的结果绝对是拼凑而成的,一些司法管辖区要求独立或非捆绑的选择同意后加入(opt-in)或默认同意后选择退出(opt-out)(有时有豁免,有时没有),某些司法管辖区“不要求”注册,某些司法管辖区要求必须在直效营销传播中遵守特定的程序,如在广告中加入“ADV”或某种等同形式的文字。
跨境数据收集和传输已成为跨国企业为寻求集中性或者区域性数据统一处理安排的具有特别挑战性的领域。中国《网络安全法》和印度尼西亚第82号条例中的数据本地化措施对这些司法管辖区提出了具体挑战,韩国的国际转让中对选择同意的要求亦是如此。除了这些潜在的困难之外,这些地区的国家数据保护法均已经生效,跨境转移在很多地方有限制,如企业通常会采取一系列合规措施--不管是获得数据主体同意、对受让人施加合同限制,还是出境到官方“白名单”上的管辖区。
为了缓解上述担忧,《APEC跨境隐私规则》(“APEC CBPR”)系统,作为《亚太经合组织隐私框架》的发展,于2011年获得认可。根据《亚太经合组织隐私框架》中制定的九项APEC隐私原则,《APEC跨境隐私规则》是一份基于原则的自愿性隐私行为准则,适用于所有参与APEC经济体的数据控制者。
2017年,APEC CBPR发展势头强劲,澳大利亚宣布有意成为第六个加入该系统的国家(与加拿大,日本,墨西哥,美国和韩国并列)。其他经济参与体也可能紧随其后,菲律宾、新加坡和台湾已经宣布有意参加。
这些经济体下的组织在寻求APEC CBPR认证时必须具备数据保护实践和评估程序,并在其主营业地(其“主”管辖区)建立符合APEC认可的“问责制机构”。来自APEC成员国的个人资料可以流入经过认证的组织,但须由责任代理(依法或依合同追索)和本国隐私执法机构或其他参与国司法管辖区的隐私执行机构进行监督(直接或通过与本国管辖当局合作)。
然而,重要的是要明确该机制的预期范围及局限性。CBPR计划只涉及跨境数据流动。 “CBPR认证”是一个标志旨在证明符合APEC隐私原则,但并不代表其符合可适用的当地隐私法律,因此,虽然经济参与体认可APEC“CBPR认证”是实现数据国际流动限制的一种手段,但仍然需要各参与组织在每个适用的管辖范围内考虑其他剩余隐私问题。亚太经合组织电子商务指导小组(简称“ESGC”)于2017年8月与欧盟委员会会晤,开始讨论认可CBPR体系作为GDPR第42条下的认证。即使认证不会取代有约束力和可执行的合同安排来要求数据接收方采取保障措施,但这样做的效果表明,经过认证的组织已经在个人数据向“第三国”流动的框架内实施了适当的保障措施,这可能是朝互通性迈出的重要一步。
亚洲的数据保护和网络安全监管
亚洲数据保护监管环境的紧缩以及网络安全监管出现的同时,个人数据已经发展成为越来越有价值的商业资产。此外,为了提高运营效率并利用规模经济,区域性企业也在寻求更多数据外包处理和跨国数据传输。
有效的数据保护和网络安全合规计划,首先起始于综合考虑企业内部所使用的个人数据,然后将适用的监管要求映射到该数据处理中。
在较高的层次上,制定有效合规计划的步骤如下:
企业持有和使用的个人数据是哪些,他们是如何获取的以及处理的目的是什么?
数据是否出于任何目的转移到任何其他集团公司或不相关的第三方?如果是这样,将数据发送到哪个司法管辖区?
企业在处理数据方面有哪些未来计划,尤其是考虑到新业务线、新司法管辖区、新技术、商业模式和其他潜在的数据货币化新途径?
当机构组织持有个人数据时,考虑数据存储的位置以及数据收集或处理的位置,将适用什么数据保护和网络监管法来规制?
企业现有的政策和程序是否合规?差距在哪里以及如要达成合规有哪些实际操作可以选择?
下面将更详细地探讨每一个步骤:
1.个人数据审查
制定有效合规计划的第一步是了解企业使用的个人数据。
2.客户数据
客户数据库是个人数据最明显的持有方式之一,特别是面向消费者的企业。确定组织客户数据持有量的实际问题是,数据库并不总是被清楚地标出,特别是如今在云计算和移动设备广泛使用的时代。
需要注意了解企业正在使用的特定技术以及数据是通过网络还是通过手机收集或提取,无论是直接还是通过第三方服务提供商,参与到销售、市场营销、业务发展和技术和运营的团队往往是成功审计客户数据库的关键。
严格来说,为剖析或分析目的而匿名或汇总的数据可能不是“个人数据”,但这些数据仍然是审查的一部分。数据保护法律通常从全公司范围或全组织范围角度来看待数据,这意味着可以与身份相关联的去标识化数据也逃不掉合规要求。随着社交媒体和在线公共数据源的不断增加,从匿名或汇总数据集“重新识别”个体的风险从未达到如此之高。评估数据保护合规性将涉及评估创建和维护这些数据集的去标识化程序。
3.员工数据
随着亚洲地区企业规模和地域范围的扩大,我们看到人力资源数据库整合趋势加强以及他们更多地使用外部服务提供商来管理人力资源流程和程序。一般来说,这种发展已经违反了更严格的数据隐私法律,特别是在一些实施数据出境管制的司法管辖区。因此,需要更加警惕,并确保数据持有得到适当确定和审查。
员工数据的一个重要方面是它几乎总是包含“敏感的个人数据”,例如有关健康和种族背景的信息。敏感个人数据在亚太地区的大部分综合数据保护法律下受到更强的隐私保护,未受明确加强保护的管辖区域(如香港和新加坡),这些数据的安全审查义务仍然较高。
4.其他个人数据
许多组织还持有关于不是其直接客户的个人数据,例如股东,负责人,企业客户和供应商的董事和公司高管,以及与客户或员工相关的家庭成员和其他个人数据。在社交媒体和云服务业务的背景下,通常还持有用户联系人或“推荐朋友”的数据,这些数据并非直接从企业客户那里获得。这些个人数据仍然要受到监管。
考虑到企业与相关个人之间可能没有任何直接的合同关系,因此鉴别持有这类个人数据的类型十分重要,获得数据主体同意以确保行为合规的挑战性也更大。
5.评估数据收集手段和处理目的
一旦确定了组织内的各种个人数据库,下一个任务将是确定数据的获取方式以及每组数据的处理目的。这可能又变成了与相应部门的有关人员进行接洽的问题了,这些职能部门包括销售、营销、人力资源、技术和运营等,他们了解所涉及的业务流程。
如上所述,进行组织内部的技术部署可能比法律合规团队去立刻了解整个企业正在进行的数据收集和处理的速度要快得多。例如,数据分析是各行各业越来越有价值的商业工具,但通常情况下这些技术部署都没有经过适当的合规性审查。
另一个可能引发困难的领域是公开获取的数据使用。在一些司法管辖区,如新加坡,隐私法律通常不适用于公开获取的数据。在香港等其他地方,监管机构明确表示,公开的数据只能用于遵守一般数据隐私原则。
处理数据的新目的可能会出乎意料进行发展。例如,企业需要将发现服务提供商服务器上的数据作为多管辖区域诉讼的一部分进行整合,这可能是一种罕见的情况,但如果实际有这种可能,还是应当做好充分准备。同样,如果个人数据可能受到外国监管机构的管制,则需要了解这一风险的存在,如果企业要公开的话,需要提前获得数据主体的同意,了解其中的政策以及数据处理应遵守的程序。
6.绘制数据流转地图
事实上,收集过程中的一项相关任务是了解个人数据从收集开始将流转到何处,无论是向更广泛的业务实体转移还是转移给无关的第三方。考虑到亚太地区对数据出境控制的增强,个人数据的地理位置转移也将非常重要。
数据转移大致可以分为两种类型:(i)转移给合有确定数据处理目的的附属公司和业务合作伙伴,或者有权自行决定数据处理的不同目的(即“控制者到控制者”转移场景);及(ii)「控制者对处理者」情况,其中受让人根据转让人的指示简单地处理该等数据,而无自行决定处理数据新目的的权利。尽管合规要求在这两种情况下有着显著差异,但这两种类型的转让都是相关的。
个人数据的跨境转移给亚太地区的许多有数据出境控制的司法管辖区增加了复杂情况。
7.数据维护和保留
数据库在其使用中会不断演变发展,因此了解数据库如何更新,并对其进行更正和增强是有效监管的关键。
由于亚太地区的数据保护法通常是基于同意的,因此一个关键的考虑因素是有哪些程序来确保数据主体的停止请求得到适当处理。
同样,亚太地区的许多国家法律都明确了数据主体访问和更正权利。企业将被期待通过制定内部政策和程序来管理这些要求。
作为一般规则,亚太地区的法律也规定企业对于收集信息已不再必要时,必须停止处理个人数据。一般数据保护法规定的数据保留时间很少,但企业需要进行适当的分析以确定数据保存的时间。同样,一旦数据用途完成之后,评估安全并删除个人数据的方法将非常重要。
8.着眼未来
尽管大多数个人数据审查过程是法定过程,旨在清晰地描绘整个企业组织当前的数据处理状态,但良好的审核执行也会帮助数据处理目的的计划扩展以及企业经营的改变,例如整合数据库和部署新技术的计划,例如员工基于云服务引入远程访问,“自带设备”策略以及将行为分析技术引入公司网站和应用程序。
9.评估监管要求
一旦一个组织中的个人数据持有和处理行为实际已经存在,并达到足够多的数量,则需要对适用的数据保护和网络安全机制进行分析与评估。
10.利用已有的东西
监管分析不一定是重新发明的问题,特别是对于已经投入多年努力来构建符合欧洲标准的政策和程序的欧洲跨国公司而言。欧洲标准通常(但不总是)满足或超过亚太地区许多司法管辖区的国家要求,因此,如果考虑到业务性质和数据处理过程的可移动性,利用组织内其他地方的全球或地区政策往往是有效的。然而,随着亚洲的数据保护和网络安全机制的增强和发展,越来越多的地方差异需要考虑在内。
11.区域合规方法
无论企业所处的起点如何,从区域角度考虑亚太地区的数据保护和网络安全合规要求都是必要的。尽管每个阶段都有重大差异,但至少在APEC隐私框架中阐述的原则存在一定程度上的一致性。
考虑到全面监管的明显趋势,在没有数据保护法律的地区,“准入”APEC标准往往具有良好的商业意义。例如,我们预计未来几年印度尼西亚和越南将出现新的法律,而且几乎可以确定这些新的国家法律将采取类似于其邻国采取的监管措施。
毫无疑问,无论企业身在何处,拥有强大的数据隐私品牌都具有良好的商业意义。在电子和移动商务和支付领域,无边界数据传输、云计算和数据库远程访问、全球或区域性的数据安全和数据隐私管理方法正日益成为企业的必需品。
虽然亚洲有许多司法管辖区尚未执行有关亚太隐私框架要求的规定,但亚洲的一些司法管辖区仍然处于合规的范畴。例如,韩国已经将自己标榜为数据隐私合规方面全球最具挑战性的地区之一。亚太地区还存在其他挑战,如香港的直效营销控制和印度尼西亚的数据出境要求。中国提出了一系列严格的法律法规,这些法律法规在多个方面构成了合规性挑战。亚太数据隐私合规性的“新常态”正在为合规制定一个不断提高的标准。
网络安全监管正在稳步地为亚太地区的数据管理方法引入新的变数。中国要求企业使用“安全可控”技术的举动正开始推动受监管行业的企业将技术和数据本地化到大陆。印度尼西亚于2017年实施的第82条条例也有着相同的考虑。
12.典型的合规考虑
大多数企业需要遵循的典型的合规措施范围将包括:
——个人信息收集声明(PICS)或者作为同意书或通知书(如适用)编写到用户条款和条件、网站和应用程序的隐私政策、雇用条款和条件以及与数据主体交互的其他界面。
——数据处理政策和程序,供内部利益相关方理解和管理,包括如下相关的处理政策和程序:
数据收集和获取,包括有关使用适当的PICS和收集同意机制以及使用第三方数据源的政策;
直效营销,包括使PICS与直效营销活动保持一致,实施“同意加入”(opt in)/“选择退出”(opt out)机制,事先与适用“Do Not Call”注册管理机构协商并遵守直效营销手续,例如消费者响应渠道和任何需要“ADV”标志的;
人力资源管理:包括处理求职者数据、保留和访问员工档案、通知和同意数据隐私政策、员工监控、员工敏感数据管理以及使用外部供应商执行工资和咨询等职能的政策;
数据分析:包括指定可能使用的分析数据类型的政策,及通过使用公开数据或第三方数据集来“增强”数据集的匿名/汇总原则和政策;
数据商业化:更广泛地看待组织数据的潜在用途,以便与其他企业在营销活动和消费者分析方面进行协作;
安全性:包括适用于各种类型的内外部数据处理、数据访问和许可的技术标准,围绕在云服务和其他技术中使用数据加密技术和策略的使用;
业务连续性和灾难恢复:包括数据备份程序,使用冗余存储和应急计划;
数据主体访问:包括评估和验证请求的程序,考虑请求的法律影响和对请求作出回应的管理成本;
投诉处理:包括来自客户、员工和其他受影响个人的投诉;
数据质量管理:包括更新和更正数据库以及确定数据是否被删除的程序;
数据处理和外包:包括供应商尽职调查政策和标准合同条款和模板来应对数据的境内外处理;
数据保存:包括确定保留各种数据的时间长度以及如何安全销毁数据的政策;
网络威胁评估和事件响应规划:包括识别和审查处理整个组织网络威胁的方案,分配事件升级和响应责任;
数据泄露管理:包括升级策略,补救数据泄露事件,评估对监管或数据主体通知的需求,以及评估违规发生后对原有程序的改良;
隐私影响评估:其中包括组织评估因组织、技术或政策变更而提出的隐私影响总体框架。
13.管理监督和审查
制定有效的数据保护和网络安全风险管理政策和计划,将涉及组织内正确利益相关者的参与,并建立一个有效的治理机制,以批准、监督、实施并审查各项政策。就像任命数据保护官员等官方角色变得越来越普遍,这将成为亚太地区的最佳做法,即使在法律没有要求指定数据保护官的司法管辖区内也是如此。
亚太地区的监管机构越来越意识到在公司高层和董事会的指导下,数据保护和网络安全政策应制定到何种明确程度。如此高水平的投入为合规工作提供了可信度。数据隐私政策的有效实施还需要考虑其发布后应如何尽快落实。对组织内的个人进行培训将是必要的,以便他们了解背景并强调遵守业务合规的重要性。这些政策将需要被视为已经采取行动,以便作为遵守合规的证据,因此执行程序至关重要。在执行之后还需要审查违反政策的情况,以期了解是否需要做出任何组织性的变更。
为了确保有效性,组织内部的数据隐私政策需要定期审查,以反映法律法规的变化、收集和使用的数据变化以及技术和操作程序的变化。实践也需要经得起考验。