时事概述 :2021年7月2日,网络安全审查办公室发布公告,为防范国家数据安全风险,维护国家安全,保障公共利益,依据我国《国家安全法》《网络安全法》,按照《网络安全审查办法》,对滴滴出行实施网络安全审查,公告没有说明审查的持续时间以及其他具体细节。2021年7月4日,国家互联网信息办公室发布通报,经检测核实,“滴滴出行”存在严重违法违规收集个人信息问题,根据《网络安全法》相关规定通知应用商店下架“滴滴出行”App。
滴滴出行在中国及15个国际市场提供服务,收集大量实时个人信息和移动数据,并将部分个人信息和数据用于自动驾驶技术和交通分析。 就在审查启动前两天的2021年6月30日,滴滴出行在纽约证券交易所上市首日,市值为684.9亿美元。
2021年6月就有报道称,滴滴出行正在接受国家市场监管机构的调查。滴滴出行于网络安全审查办公室发布公告的当天即7月2日表示,计划对网络安全风险进行全面检查,并将全力配合相关政府部门。据媒体消息,新加坡Aequita Research的苏米特·辛格(Sumeet Singh)7月3日称,“我不确定最终影响会是什么,但监管机构的打击一直是持续担忧,甚至在上市之前,滴滴就已经被监管机构问询了两次。“这次阻止公司吸收新用户只要不持续太长时间,就不会对公司造成太大伤害,因为公司已经拥有超过80%的市场份额。”
7月3日,滴滴出行营销副总裁李敏在微博上发帖称,“和众多在海外上市的中国企业一样,滴滴国内用户的数据都存放在国内服务器,绝无可能把数据交给美国。另外,相关恶意造谣者虽然已经主动删帖,但我们坚决起诉维权”。除了用户数据, 网友还质疑道路数据是否已递交。李敏在最新回应中表示,他所称的数据“也包括道路数据”,并呼吁网友“不要恶意揣测”。
网络安全审查办公室和国家网信办对滴滴出行进行数据安全风险和个人信息收集等问题进行审查调查和将其App从应用商店下架这一事件,说明跨境数据安全、跨境个人信息保护合规已经成为越来越重要的问题。我们来简要分析企业应如何应对个人信息保护跨境合规问题,具体从分析个人信息安全保护措施入手,对出境合规操作要求进行分析,并对RCEP框架下的个人信息保护相关规定进行梳理。在个人信息保护合规中的一些特殊场景如对未成年人的保护、对金融活动中个人信息的保护等,我们将另行展开讨论。
一、个人信息保护跨境合规相关法律法规
我国《民法典》明确了个人信息受法律保护,并明确了个人的人格权、隐私权对保护,对信息处理的基本规则、网络平台和国家机关的个人信息保护义务进行了规定,确立了我国个人信息的民事保护基本框架。
《网络安全法》从网络安全角度,根据网络运行安全和信息安全的要求,对关键基础设施运营者和其他网络运营者的权利义务、法律责任进行了规定。推荐性国家标准《信息安全技术 个人信息安全规范》(2020年10月1日起实施)、《信息安全技术 个人信息安全影响评估指南》(2021年6月1日起生效)则提供了一系列个人信息保护的基本操作模式。
另外,即将实施的《数据安全法》、正在审议的《中华人民共和国个人信息保护法(草案二次审议稿)》(2021年)以及《个人信息和重要数据出具安全评估办法(征求意见稿)》(2017年)和《个人信息出境安全评估办法(征求意见稿)》(2019年)对个人信息和数据的出境进行了相应规定,也是我们进行分析和具体操作的重要参考依据。
总体而言,在从事数据出境相关业务时,我们需要在做好个人信息安全保护措施和制度的同时,注意进行个人信息安全风险评估和个人信息保护认证以及与境外接收方订立合同等合规操作方式,以符合相关的数据出境和个人信息保护要求。
二
个人信息安全保护基本措施和制度
个人信息安全保护基本措施和制度,既包括企业在日常运营中应该建立的措施和制度,也简要分析了在提供用户注册和智能推送中应遵循相关规则。
(一)具体措施
根据《中华人民共和国个人信息保护法(草案二次审议稿)》第五十一条规定:“个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人的影响、可能存在的安全风险等,采取必要措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露或者被窃取、篡改、删除:
1、制定内部管理制度和操作规程;
2、对个人信息实行分级分类管理;
3、采取相应的加密、去标识化等安全技术措施;
4、合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;
5、制定并组织实施个人信息安全事件应急预案;
6、法律、行政法规规定的其他措施。
(二)人员管理与培训
根据《信息安全技术 个人信息安全规范》的规定,人员管理与培训包括以下部分。
1、应与从事个人信息处理岗位上的相关人员签署保密协议,对大量解除个人敏感信息的人员进行背景审查,以了解其犯罪记录、诚信状况等;
2、应明确内部涉及个人信息处理不同岗位的安全职责,建立发展安全事件的处罚机
3、应要求个人信息处理岗位上的相关人员在调离岗位或终止劳动合同时,继续履行保密义务;
4、应明确可能访问个人信息的外部服务人员应遵守的个人信息安全要求,与其签署保密协议,并进行监督;
5、应建立相应的内部制度和政策对员工提出个人信息保护的指引和要求;
6、应定期(至少每年一次)或在个人信息保护政策发生重大变化时,对个人信息处理岗位上的相关人员开展个人信息安全专业化培训和考核,确保相关人员熟练掌握个人信息保护政策和相关规程。
(三)安全审计
个人信息处理者应当定期对其个人信息处理活动、采取的保护措施等是否符合法律、行政法规的规定进行审计。履行个人信息保护职责的部门有权要求个人信息处理者委托专业机构进行审计。
根据《信息安全技术 个人信息安全规范》的模式,在进行安全审计时,对信息处理者的要求包括:a、应对个人信息保护政策、相关规程和安全措施的有效性进行审计;b、应建立自动化审计系统,监测记录个人信息处理活动;c、审计过程形成的记录应能对安全事件的处置、应急响应和事后调查提供支撑;d、应防止非授权访问、篡改或删除审计记录;e、应及时处理审计过程中发现的个人信息违规使用、滥用等情况;f、审计记录和保留时间应符合法律法规的要求。
(四)明确责任部门与人员
根据《信息安全技术 个人信息安全规范》的模式,具体规定有:
1、应明确其法定代表人或主要负责人对个人信息安全负全面领导责任,包括为个人信息安全工作提供人力、财力、物力保障等。
2、应任命个人信息保护负责人和个人信息保护工作机构,个人信息保护负责人应由具有相关管理工作经历和个人信息保护专业知识的人员担任,参与有关个人信息处理活动的重要决策直接向组织主要负责人报告工作。
3、满足以下条件之一的组织,应设立专职的个人信息保护负责人和个人信息保护工作机构,负责个人信息安全工作:
(1)主要业务涉及个人信息处理,且从业人员规模大于200人;
(2)处理超过100万人的个人信息,或预计在12个月内处理超过100万人的个人信息;处理超过10万人的个人敏感信息的。
(五)个人信息保护负责人和个人信息保护工作机构的职责应包括但不限于
根据《信息安全技术 个人信息安全规范》的模式,具体规定有:
1、全面统筹实施组织内部的个人信息安全工作,对个人信息安全负直接责任;
2、组织制定个人信息保护工作计划并督促落实;
3、制定、签发、实施、定期更新个人信息保护政策和相关规程;
4、建立、维护和更新组织所持有的个人信息清单(包括个人信息的类型、数量、来源、接收方等)和授权访问策略;
5、开展个人信息安全影响评估,提出个人信息保护的对策建议,督促整改安全隐患;
6、组织开展个人信息安全培训;
7、在产品或服务上线发布前进行检测,避免未知的个人信息收集、使用、共享等处理行为;
8、公布投诉、举报方式等信息并及时受理投诉举报;
9、进行安全审计;
10、与监督、管理部门保持沟通,通报或报告个人信息保护和事件处置等情况;
11、应为个人信息保护负责人和个人信息保护工作机构提供必要的资源,保障其独立履行职责。
(六)信息处理者的要求
根据《信息安全技术 个人信息安全规范》的模式,具体规定有:
1、应建立个人信息安全影响评估,评估并处置个人信息处理活动存在的安全风险;
2、个人信息安全影响评估应主要评估处理活动遵循个人信息安全基本原则的情况,以及个人信息处理活动对个人信息主体合法权益的影响;
3、在产品或服务发布前,或业务功能发生重大变化时,应进行个人信息安全影响评估;
4、在法律法规有新的要求时,或在业务模式、信息系统、运行环境发生重大变更时,或发生重大个人信息安全事件时,应进行个人信息安全影响评估;
5、形成个人信息安全影响评估报告,并以此采取保护个人信息主体的措施,使风险降低到可接受的水平;
6、妥善留存个人信息安全影响评估报告,确保可供相关方查阅,并以适宜的形式对外公开。
(七)提供注册服务的合规要求
1. 建立合理的用户信息收集、保护制度
《网络安全法》第四十条规定,网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。《网络安全法》第四十一条规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。
此外,2019年12月,国家互联网信息办公室秘书局联合工业和信息化部办公厅、公安部办公厅、国家市场监督管理总局办公厅印发了《App违法违规收集使用个人信息行为认定方法》的通知,该通知对于如何认定违法违规收集用户个人信息提供了具体细则,操作性强,可供企业在收集用户个人信息时作为参考。
总的来说,境外企业在向中国用户提供注册服务而收集用户信息时,需要根据上述规定合法、合理地收集用户个人信息,并建立健全用户信息保护制度。
2. 用户敏感信息的收集处理
境外企业在面向中国用户提供注册服务时,需要收集注册用户的相关信息。而境外企业需要收集的一些用户信息,可能属于个人敏感信息的范围。
根据《个人信息保护法(草案二次审议稿)》第二十九条,敏感个人信息是指一旦泄露或者非法使用,可能导致个人受到歧视或者人身、财产安全受到严重危害的个人信息,包括种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等信息。《个人信息保护法(草案二次审议稿)》第三十条规定,基于个人同意处理敏感个人信息的,个人信息处理者应当取得个人的单独同意。法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。《个人信息保护法(草案)》第三十一条规定,个人信息处理者处理敏感个人信息的,除本法第十八条第一款规定的事项外,还应当向个人告知处理敏感个人信息的必要性以及对个人的影响。
《信息安全技术 个人信息安全规范》6.3节对个人敏感信息的控制者提出了具体要求,包括: (1)传输和存储个人敏感信息时,应采用加密等安全措施;(2)个人生物识别信息应与个人身份信息分开存储;(3)原则上不应存储原始个人生物识别信息(如样本、图像等),等等。
由上述规定可以知晓,境外企业在面向中国用户收集个人信息时,若涉及到个人敏感信息,则需要取得个人的单独同意,还应当向个人告知处理敏感个人信息的必要性以及对个人的影响。此外,也要采用特殊的加密措施传输和存储所收集到的用户敏感信息。
3. 采取必要措施保护用户个人信息安全
《网络安全法》第四十二条规定,网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
(八)根据用户信息及使用偏好进行智能推送的合规要求
1. 个性化展示与用户画像的使用要求
根据《个人信息保护法(草案二次审议稿)》第七十二条明确自动化决策,是指利用个人信息对个人的行为习惯、兴趣爱好或者经济、健康、信用状况等,通过计算机程序自动分析、评估并进行决策的活动。而《个人信息保护法(草案二次审议稿)》第二十五条规定,利用个人信息进行自动化决策,应当保证决策的透明度和处理结果的公平合理。个人认为自动化决策对其权益造成重大影响的,有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。通过自动化决策方式进行商业营销、信息推送,应当同时提供不针对其个人特征的选项。
根据《数据安全管理办法(征求意见稿)》第二十三条的规定,网络运营者利用用户数据和算法推送新闻信息、商业广告等(以下简称“定向推送”),应当以明显方式标明“定推”字样,为用户提供停止接收定向推送信息的功能;用户选择停止接收定向推送信息时,应当停止推送,并删除已经收集的设备识别码等用户数据和个人信息。
具体来说,根据《信息安全技术 个人信息安全规范》7.5节的规定,境外企业在向个人信息主体提供业务功能的过程中使用个性化展示的,应显著区分个性化展示的内容和非个性化展示的内容。在向个人信息主体提供电子商务服务的过程中,根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务搜索结果的个性化展示的,应当同时向该消费者提供不针对其个人特征的选项。
《信息安全技术 个人信息安全规范》7.4条也专门增加了针对用户画像使用限制的章节,例如,用户画像中对个人信息主体的特征描述不应包含任何与淫秽、色情、赌博、暴力相关的内容或者与民族、种族、宗教、残疾或疾病歧视相关的内容。在业务经营或对外业务合作中使用用户画像的,个人信息控制者不应侵害公民、法人和其他组织的合法权益或从事违法行为。此外,除严格意义上的必要情形,用户画像的使用应该避免关联到特定个人。
2. 事前风险评估
《个人信息保护法(草案二次审议)》第五十五条亦规定,个人信息处理者应当对下列个人信息处理活动在事前进行风险评估,并对处理情况进行记录:(一)处理敏感个人信息;(二)利用个人信息进行自动化决策……风险评估报告和处理情况记录应当至少保存三年。
由此可见,境外企业在面向中国客户提供信息推送等服务时,特别是相关推送是在根据用户敏感信息作出的情况下,需要在事前进行风险评估,并对处理情况进行记录,风险评估报告和处理情况记录应当至少保存三年。
三、个人信息出境与个人信息安全风险评估
由于我们会将留学生的个人信息提供给境外第三方,即出租方,根据《中华人民共和国个人信息保护法(草案二次审议稿)》我们应对留学生个人信息处理活动按照法律法规的规定,在事前进行自行风险评估,或申请风险评估。
(一)风险评估的目的
个人信息风险评估旨在发现、处置和持续监控个人信息处理过程中对个人信息主体合法权益造成的不利影响的风险。为保障数据跨境流动中的个人信息和重要数据安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法利益,保护个人信息权益,规范个人信息处理活动,保障个人信息依法有序自由流动,促进个人信息合理利用,在个人信息出境前,风险评估十分重要。
(二)个人信息风险评估内容
根据《中华人民共和国个人信息保护法(草案)》第五十五条规定,风险评估的内容应当包括:“a、个人信息的处理目的、处理方式等是否合法、正当、必要;b、对个人的影响及风险程度;c、所采取的安全保护措施是否合法、有效并与风险程度相适应。风险评估报告和处理情况记录应当至少保存三年。”
《信息安全技术 个人信息安全影响评估指南》中列出了风险评估中应当含有的具体内容,包括评估所覆盖的业务场景、业务场景所涉及的具体的个人信息处理活动、负责及参与的部门和人员、已识别的风险、已采用及拟采用的安全评控措施清单、剩余风险等。
2017年《个人信息和重要数据出具安全评估办法(征求意见稿)》中列出了风险评估中应当含有的重点内容,包括a、数据出境的必要性;b、涉及个人信息情况,包括个人信息的数量、范围、类型、敏感程度,以及个人信息主体是否同意其个人信息出境等;c、涉及重要数据情况,包括重要数据的数量、范围、类型及其敏感程度等;d、数据接收方的安全保护措施、能力和水平,以及所在国家和地区的网络安全环境等;e、数据出境及再转移后被泄露、毁损、篡改、滥用等风险;f、数据出境及出境数据汇聚可能对国家安全、社会公共利益、个人合法利益带来的风险;g、其他需要评估的重要事项。
2019年《个人信息出境安全评估办法(征求意见稿)》中列出了风险评估中至少包括:a、网络运营者和接收者的背景、规模、业务、财务、信誉、网络安全能力等;b、个人信息出境计划,包括持续时间、涉及的个人信息主体数量、向境外提供的个人信息规模、个人信息出境后是否会再向第三方传输等;c、个人信息出境风险分析和保障个人信息安全和个人信息主体合法权益的措施。
2019年《个人信息出境安全评估办法(征求意见稿)》中列出的风险评估中应当含有的重点内容,包括a、是否符合国家有关法律法规和政策规定;b、合同条款是否能够充分保障个人信息主体合法权益;c、合同能否得到有效执行;d、网络运营者或接收者是否有损害个人信息主体合法权益的历史、是否发生过重大网络安全事件;e、网络运营者获得个人信息是否合法、正当;f、其他应当评估的内容。
(三)个人信息风险评估的用途
风险评估报告的用途包括但不限于:
(1)对于个人信息主体,评估报告可确保个人信息主体了解其个人信息被如何处理、如何保护,并使个人信息主体能够判断是否有剩余风险尚未得到处置。
(2)对于开展影响评估的组织,评估报告的用途可能包括:
一是在产品、服务或项目的规划阶段,用于确保在产品或服务的设计中充分考虑并实现个人信息的保护要求(例如,安全机制的可实现性、可行性、可追踪性等);
二是在产品、服务或项目的运营过程中,用于判断运营的内外部因素(例如运营团队的变动、互联网安全环境、信息共享的第三方安全控制能力等)、法律法规是否发生实质变更,是否需要对影响评估结果进行审核和修正;
三是用于建立责任制度,监督发现存在安全风险的个人信息处理活动是否已采取安全保护措施,改善或消除已识别的风险;
四是用于提升内部员工的个人信息安全意识。
(3)对于主管监管部门,要求组织提供个人信息安全影响评估报告,可督促组织开展评估并采取有效的安全控制措施。在处理个人信息安全相关投诉、调查个人信息安全事件等时,主管监管部门可通过影响评估报告了解相关情况,或将报告作为相关证据。
(4)对于开展影响评估的组织的合作伙伴,用于整体了解其在业务场景中的角色和作用,以及其应具体承担的个人信息保护工作和责任。