个人信息保护监管加强,跨国企业运营面临合规挑战
耀时所跨境业务部出品

信息化时代里,个人信息已成为商机和财富的重要源泉,同时也成为风险和威胁的新焦点。在这样纷繁复杂的大背景下,世界各国都在积极立法,加强监管,以保障个人信息的隐私安全。
一、美国加州最严格隐私法案将于2020年1月1日生效
美国加州立法机构2018年6月通过一项数据隐私法案《加州消费者隐私法案》,该法案旨在让消费者对公司如何收集和管理个人信息掌握更多的控制权,将从2020年1月1日开始生效。
该法案主要涉及两个方面,一是规定消费者对企业收集和管理其个人信息拥有更多控制权;二是对企业收集处理数据的方式划定了红线。法案规定,对于那些拥有5万名以上消费者信息的企业,消费者有权要求该企业披露其收集的信息类别和具体内容,包括企业收集哪些个人数据、收集目的、哪些第三方可获得使用这些数据等。消费者还有权要求企业删除所收集的个人信息。
对企业而言,法案规定企业要尊重消费者选择不出售个人数据的权利,不得通过拒绝给消费者提供商品或服务,或者通过对商品、服务收取不同的价格或者费率的方式,歧视消费者行使此项权利。此外,禁止企业在未经本人授权情况下出售16岁以下未成年人的个人资料,而对于未满13周岁的儿童,则需要获得其父母的许可。企业需要根据消费者要求,披露收集了哪些信息和删除了哪些相关数据等。若违反法案,企业将面临最高7500美元的民事处罚,以及向每位消费者支付最高750美元的赔偿金。[1]
该法案在出台过程中阻碍频频,谷歌、脸书、亚马逊等大型互联网企业的公共政策游说团体“互联网联盟”、加州商会、等机构纷纷亮出旗帜,明确表示反对。尽管如此,随着网络技术的飞速发展,保护用户隐私将成为大势所趋。加州参议员鲍勃·赫茨伯格称,该法案“不仅是加州,也是全美国人民迈出的一大步……将在全国产生示范效应”。

加州作为美国制造业、科技发展的地区,该法案也将有较大的示范效益。在此特别提醒中资企业在加州的经营过程中,需要谨慎遵守相关规定,避免不必要的合规风险。
二、欧盟国家根据GDPR就用户信息安全开出天价罚单
GDPR是英文“General Data Protection Regulation”的缩写,通常翻译为“通用数据保护条例”。它由欧盟推出,目的在于遏制个人信息被滥用,保护个人隐私。早在2016年4月,该条例就已经推出,但欧盟给了各大企业两年的缓冲时间,正式生效日期为2018年5月25日。目前欧盟有28个成员国,大约有5亿多人可以直接得到GDPR的保护,其中包括已启动脱欧程序的英国。
今年初,法国一家监管机构对谷歌公司(Google)罚款5,000万欧元(合5,680万美元),指责这家搜索引擎巨头收集数据用于定向投放广告时在征得用户有效同意方面做得不够。
GDPR对个人用户在隐私数据方面享有的权利做了非常详尽的说明,其中比较核心的有:
➢查阅权:用户可以向企业查询个人数据被处理和使用的情况。
➢被遗忘权:用户有权要求企业和第三方把自己的个人数据删除。
➢限制处理权:用户在特性情形下可以要求限制对个人数据的使用。
➢数据移植权:用户从一家企业转投另一家企业时,前一家企业需要把用户数据以直观的、通用的形式给用户。
除了明确用户在个人信息上的安全,GDPR对企业在处理个人数据方面也做出了非常细致的规定:
1、企业在收集处理用户信息时需要实现征得同意,而且隐私条款需要以清晰、简洁、直白的语言或其他形式向用户说明。
2、GDPR对企业违法行为的惩处力度非常大,行为轻微的要罚款1000万欧元或全年营收的2%(两者取最高值),行为严重的则要罚款2000万欧元或全年营收的4%(两者取最高值)。
3、按照GDPR的规定,出现个人数据泄露后,企业要在72小时内向监管部门报告,企业还要配备熟悉GDPR条款的数据保护专员,和监管部门保持沟通。[2]
GDPR堪称是史上最严厉、最翔实的一部保护用户数据安全的法律,建议拟在欧盟区域内进行投资、贸易的企业尽早做好用户隐私安全保护措施,减少违反GDPR隐私保护条例遭受巨额罚款的风险。
三、国家网信办公布《个人信息出境安全评估办法(征求意见)稿》
2019年6月13日,国家互联网信息办公室(“网信办”)公布了《个人信息出境安全评估办法(征求意见稿)》(“意见稿”),标志着国家对个人信息、数据的获取、使用和处分的监管日趋严格。个人信息在出境场景下的保护,主要目的是在数据脱离了原来的数据控制者同时流出国境的情况下,保障个人合法权益。
意见稿明确,个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。
意见稿指出,个人信息出境前,网络运营者应当向所在地省级网信部门申报个人信息出境安全评估。个人信息出境安全评估重点评估是否符合国家有关法律法规和政策规定;合同条款是否能够充分保障个人信息主体合法权益;网络运营者或接收者是否有损害个人信息主体合法权益的历史、是否发生过重大网络安全事件等内容。网络运营者应当建立个人信息出境记录并且至少保存5年。
根据意见稿,出现网络运营者或接收者发生较大数据泄露、数据滥用等事件;个人信息主体不能或者难以维护个人合法权益;网络运营者或接收者无力保障个人信息安全等情况之一时,网信部门可以要求网络运营者暂停或终止向境外提供个人信息。此外,对违反规定向境外提供个人信息的行为,任何个人和组织有权向省级以上网信部门或者相关部门举报。[3]
在正式文本出台前,虽然相关要求尚无明确实操性。但为规范跨国企业在中国境内的合规运营及应对未来的法律变化,耀时所在此作出以下提醒,进行自我评估及妥善应对:
根据意见稿,境外机构经营活动中,通过互联网等收集境内用户个人信息,应当在境内通过法定代表人或者机构履行本办法中网络运营者的责任和义务。因此,对于跨国企业而言,为避免有关信息和数据无法出境导致业务影响,尽可能在中国建立地区数据中心,在中国境内处理源自于中国的个人信息和数据。
如因商业或技术上角度,信息和数据确有出境必要性的,应提前考虑预案,自我评估是否满足信息出境的安全要求,做到:
1、根据意见稿要求梳理信息出境安全评估所需要的申报材料,请相关专家辅助审核是否足以满足信息出境的要求;
2、重点核查关于信息出境的合同,完善以及修订与数据接受方的协议,增添相应数据权责条款,确保满足意见稿所要求的相关条款;
3、仔细记录数据出境的情况以及对数据接受方履约能力的监控。
参考文献
[1]“《2018加州消费者隐私法案》引关注”,载于《人民日报》(2018年07月19日22 版)
[2]史上最严的个人数据保护条例来了!载于“雷科技”,18-06-07
[3]国家网信办就个人信息出境安全评估办法公开征求意见,新华社北京6月13日电。
本文不代表耀时律师事务所或其律师出具的法律意见或建议。
如需转载或引用本文的任何内容,请注明来源。
如您对本文议题有疑问或者有意向进一步交流的,欢迎扫描文末中台服务部微信二维码
