总法嘉谈|外包服务 ≠ 外包责任:谈个人信息委托处理风险控制的流程建设
来源:律商视点
在数字化的大趋势下,企业要想在竞争中站稳脚跟,就必须在生产经营和内部管理活动中强化数据能力,即做到数字化转型。当自身数据能力有限时,外包成为替代的解决方案,企业通过获取第三方机构的数据服务来实现借力。个人信息委托处理是数据外包服务的重要组成。随着我国个人信息保护体系的逐步完善和执法力度的加强,企业在获取第三方个人信息处理服务时,需要重视合规风险的管控,确保个人信息的安全。做好委托处理的风险控制不仅需要有严谨的合同,更要重视合同的有效执行和落地。强化数据合规流程建设,将合同的条款要求“翻译”成企业日常运营的流程,是实现个人信息委托管理风险控制的法宝。
合规流程建设之必要性
个人信息委托处理的合规流程建设对于企业之所以必要,是与委托处理的广泛存在和企业作为委托方所承受的责任重担有关。
1.
委托处理的广泛存在
个人信息委托处理的场景广泛,背后有三股力量在推动:其一,企业开展数字业务的“增量”需求(如电子商务、数字化的营销推广、云计算等);其二,数字化应用发端前,企业此前已有的涉及个人信息的“存量”业务和事务(如由第三方向消费者提供售后服务,由旅行社为企业员工提供差旅订票服务等);其三,个人信息保护法律对个人信息“处理”这个概念给出的宽泛界定。按照我国《民法典》,个人信息的处理包括收集、存储、使用、加工、传输、提供、公开等行为。据此定义,指向个人信息的任何行为几乎都构成了“处理”个人信息。企业不仅要管理好”增量“的个人信息委托项目,也要重视“存量”,一并纳入有效管理的范畴。
2.
委托方的身份为个人信息处理者,
信息安全责任重
不同于欧盟《通用数据保护条例》(GDPR)区分个人信息控制者和处理者并明确相应的地位和责任,我国的个人信息保护法律没有采用这样的二元身份界定,只单一地设立了“个人信息处理者”的概念,即“自主决定处理目的、处理方式等个人信息处理事项的组织、个人”。我国法律进一步要求处理者对处理活动负责,保障信息安全[1]。
从概念的具体定义来看,我国法律界定的“处理者”相当于GDPR下的“控制者”;而GDPR下的”处理者”概念即我国法律所指称的“受托方”。我国目前的法律对信息处理场景下的“受托方”并没有给出一个身份专称,而是从法律关系上强调委托方应当监督受托方的信息处理活动。此外,我国法律以举证责任倒置原则来对待个人信息主体(下称“个人主体”)的索赔要求,即当权益被侵害时,除非处理者能证明其无过错,否则将向个人主体赔偿。可见,我国的个人信息保护法律聚焦于委托方来落实问责,委托方对个人主体负责;即使将处理项目外包出去后,委托方对于信息保护和安全仍然责任在肩。
对于企业运营而言,一方面是外包委托项目数量不断增多,日趋常态化,另一方面是肩负明确和严格的法律责任,委托处理风险控制以见招拆招的方式来对待着实难以奏效。企业要有效驾驭委托处理伴生的法律风险,唯有以系统化的思路和采用流程管理的模式,将法律要求和合同要求“翻译”成企业运营的流程。缺少了“翻译”这个桥梁,委托合同大概将是被束之高阁的一份文件,免不了业务与法务之间“你说你的,我做我的”的情况。而流程化管理的目标正是要改变脱节,用流程来连接合同要求与实际操作。
委托处理风险控制涉及的
五项流程建设
以流程化的方式来进行委托管理的风险控制,可以划分成“事前、事中、事后”三个环节,按以下五项流程建设来:
1.
事前环节:
针对受托方和委托处理项目的风险评估流程
法律要求委托方在开展委托处理前需做好风险评估。风险评估也被称为“个人信息安全影响评估”[2],其实质是委托方对受托方及项目开展的商务、IT和法务的一揽子尽职调查。风险评估围绕两部分内容:其一,对于受托方数据安全能力的检验,包括其日常管理体系和技术保障手段;其二,分析委托项目的特定风险并提出解决方案。委托方通过前者增进对受托方的整体了解,通过后者检查受托方有关特定项目的安全保障能力并揭示出项目潜在的风险因素。
1) 检验委托方数据安全能力
评估受托方的日常管理体系包括考察其信息保护的规章制度和组织架构,信息安全负责人的任命,是否获得权威机构的认证,是否购买数据泄露损失和责任为理赔对象的保险,是否曾发生过数据泄露事件等。考核技术保障手段可以基于委托方根据《网络安全法》已经取得网络定级和评估报告,考核受托方对于系统和信息访问限制的风险控制,数据加密和去标识化技术措施,以及安全漏洞的定期排查制度等。
2)分析委托项目的特定风险并做应对
评估委托项目的特定风险可以依据2021年6月1日即将生效的推荐标准《信息安全技术 - 个人信息安全影响评估指南》来组织开展。评估工作可以概括为五方面的“wh” 式问题:where – 信息处理的同意来源,个人主体是否做出了明确的意思表示及其同意的范围;what – 处理活动涉及哪些类别的个人信息,及具体的处理方式;where – 信息存储地、存储形式及是否发生跨境传输;when – 信息保存期限及期满后约定的处置方式;how – 一旦发生安全事件,受托方如何快速响应并配合委托方减少损失。对委托项目风险评估能够帮助委托方揭示风险和提出解决方案,并由委托方判断总体风险是否在可控和可接受的程度内。
按照法律要求,以上风险评估报告至少要保存三年。风险评估宜由委托方的采购部门牵头,协调IT、法务、合规以及具体发包的业务部门来开展。
2.
事中环节:
呼应合同条款,落实委托方的全程监督责任
1)关于委托处理的审计流程
个人信息保护法律要求委托方监督受托方的个人信息处理活动。一旦信息泄露,委托方与受托方对个人主体的损失承担连带责任;损害赔偿完成后,委托方可以根据责任分摊向受托方追偿。以控制安全风险为目的,委托方有必要以审计权流程为抓手,实现对委托项目的全过程和全周期监督。合规审计也是个人信息保护法律对于处理者提出的要求。
委托合同需要明确的是,对受托方进行审计是委托方的一项权利,委托方在提前告知受托方后,可以选择择时派出内部审计人员或者外聘第三方人员来开展审计。审计的具体范围应侧重于高风险环节,包括核查受托方对于保密义务的落实、处理记录的保存情况以及对转委托进行审计:
a.受托方的信息保密制度
个人信息遭内部人员窃取、倒卖等是信息安全事件发生的一个主要类别,通常被称为“内部风险”。为了防范内部风险,对于因工作需要而接触到个人信息的员工,需要通过教育和制度来强化其保密意识。受托方应当与员工订立书面的保密协议,尤其是应明确员工在履职过程中以及离职后对个人信息持续负有保密义务。当受托方员工离职时,受托方应当提醒其持续保密义务。委托方在审计时宜对保密培训、保密协议和离职提醒等记录做核查。
b.受托方的处理记录
法律规定,个人信息处理情况记录至少要保存三年。在审计中,委托方首先要核查处理情况记录是否完整,没有缺失。之后,委托方可以将处理情况记录与委托方发出的处理指令相对应,比较两者是否一致,确认处理活动是否在委托的范围内进行,是否存在超出个人主体同意的不合规情况。
信息处理情况记录是受托方和委托方做自我保护的证据基础。我国法律采用举证责任倒置规则,由处理者证明其不存在过错。因此,审计监督处理情况记录的保存完好,并及时纠正审计过程中发现的偏差,就是铺垫和积累好证据材料,以备日后不时之需。
c.对于转委托情形的审计
依照法律规定,受托方转委托他人处理个人信息的,必须得到委托方的同意。当转包有效发生时,秉承委托方对于信息安全负责的指导原则,委托方的监督责任也延展到转受托方及其处理行为。为了确保延展的责任有效落地,委托合同需明确当转委托有效发生时,委托方对转受托方保有审计权。
综上,行使审计权是委托方履行监督责任,做好风控的重要手段。在行使审计权的流程建设中,审计工作宜由委托方的内部审计部门牵头开展,在审计结束后向委托方内部的相关部门如IT、业务、法务等通报结果,列出发现的问题;并要求受托方等限期改正并加以证明。
2)受托方的年度自我认证流程
如果委托处理项目期间跨度超过一年,有必要要求受托方按照做年度自查,即按照委托方提供的自查内容清单受托方出具信息保护和安全的自我认证。要求受托方做自我认证,自查安全漏洞,也是委托方克尽其监督责任的佐证。
自我认证流程宜由委托方的采购部门启动,向受托方发出自查清单,并回收认证结果。自我认证流程是审计流程的良好补充。由于委托处理项目的持续增多而企业的审计资源却有限,委托方通常不得不按照项目的规模大小和风险高低来有选择地行使审计权。对于审计暂时无法覆盖的项目,自我认证流程可以在一定程度上起到对受托方加以合规提醒的效果。如果发现受托方拖延认证,或者在认证过程中自我披露问题,这些都构成委托方要留意的合规风险信号。
3)个人信息主体行权和发生安全事件的快速响应流程
随着公众对于个人信息权利意识的增强,可以预见信息主体行权的情况在我国将快速增长。法律规定,个人主体有查询、更正、删除、撤回授权同意、注销账户和获取个人信息副本等权利。个人主体可以选择向委托方提出行权要求,也可以直接向受托方提出。无论哪一方收到要求,都需要快速反应和相互密切配合,合理满足行权的要求。
此外,一旦发生黑客入侵、信息泄露等安全事件,受托方更有必要快速响应,包括通知委托方,采取补救措施以减少损失,以及配合委托方向国家网安部门报告安全事件。如果信息安全事件给个人主体造成损害的,还需要履行对个人主体的通知责任。
面对行权要求或者安全事件,委托方和受托方将经历速度和能力的考验,包括双方的协同能力。凡事预则立。为了能在紧要关头做到从容应对,委托方有必要与受托方一起,事先建立起应对紧急情况的快速响应流程,厘清各步骤及其相关责任人,预设各项完成时限。
快速响应流程的执行效果密切影响到企业的法律责任,宜由委托方的法务部门出面协调和指挥,与企业内部及受托方的相关部门通力合作,实现快速响应的效率和质量,控制法律后果。
3.
事后环节:
委托合同终止时个人信息的归还和销毁的流程
法律规定,委托合同终止时,受托方应当将个人信息返还委托方或者予以删除,委托方不得保留个人信息。委托合同终止可能有若干种情形引起,如事项完成后的正常终止,经双方协商同意而提前终止,或者经发出通知后的单方面提前终止。无论终止因何导致,从风控角度出发,委托方应力求有始有终,监督受托方及时和完整地归还个人信息,或者指令受托方全盘删除和销毁相关信息。
建立委托合同终止时个人信息归还和销毁的流程,避免项目虎头蛇尾,这是安全风险控制的重要环节。归还和销毁流程宜包括受托方认证的部分,由受托方以书面形式自证个人信息的归还或销毁工作已经全部完成,这也是委托方行使监督责任的一项佐证。
终止委托时的信息处置流程宜由委托方的采购部门牵头,并将其作为第三方服务商管理的一环。
个人信息委托处理风险控制的流程建设 | |
事前环节 | 1.关于委托方和委托项目的风险评估流程 |
事中环节 | 2. 审计流程 |
a. 受托方的信息保密制度 | |
b. 受托方的处理记录 | |
c. 关于转委托的审计 | |
3. 受托方的年度自我认证流程 | |
4. 个人主体行权和安全事件发生时的快速响应流程 | |
事后环节 | 5. 委托合同终止时个人信息归还和销毁的流程 |
结语
企业的数字化转型也可以被视为个人信息保护“转型”的过程。企业有效地实现个人信息保护的关键在于要将合规要求融于企业的运营管理中。签订条款严谨的合同是合规的起点,却远非全部。流程是企业工作的语言,流程化管理是企业运营的要义。流程建设是合规的法宝,善用流程来管控包括委托处理在内的个人信息合规风险,合规工作才和企业运营有了共同语言。
注:
[1] 见《个人信息保护法》(草案二次审议稿)第9,72条。若无特别指出,本文提到的我国个人信息保护法律基于《个人信息保护法》(草案二次审议稿)的条款。
[2] 见推荐标准《信息安全技术 – 个人信息安全规范》(GB/T 35273-2020)第9.1(b), 11.5条。
-作者介绍-
王音
3M公司助理总法律顾问
作者王音,现为3M公司助理总法律顾问。法务和管理经验丰富练达,善于“大局着眼,细节入手,掌握平衡”。曾任3M大中华区总法律顾问五年,之前在跨国制药企业担任中国区副总裁及总法律顾问八年,并曾在英美律师行工作多年。持有中美法学硕士学位及执业资格,曾作为哈佛大学法学院访问学者。
法嘉·总法嘉谈
作为一名法律人来说,“总法律顾问”意味着时光与经验的沉淀,意味着资历同智慧的兼具!
他们就像是大海中的灯塔,天空中的明星,指引着法律人努力的方向。
其实——他们还实力与文采并存,有一颗笔耕不辍的心!
“总法嘉谈”专栏由此而生。
我们将收集总法律顾问们的笔墨佳作,感受他们字里行间流露出的专业素养和人生智慧。
站在他们的肩膀上,读法律、看人生、观世界。
专栏往期文章:
近期热点活动
2021年度·卓越法务与合规精英班招生简章
数字经济与全球数据治理系列研讨会成功举办
近期热点文章
左法律右财税,硬核跨界走江湖
【招聘】
Applied Materials -Job Description
当下已上头,后劲还很大——让人流连忘返的盛宴
听说优秀的人更努力,相信你也是这样!
新曲再起不散场,游历归来仍少年