【安永观察】中国企业出海隐私保护合规对策

发布日期:2021-03-02 09:04:14来源:安永中国海外投资业务部作者:
在疫情常态化的大环境下,隐私数据保护成为世界各地的关注焦点与立法重点,也成为中国企业出海需要密切考虑的重要问题之一。

前言

经过改革开放40多年以及国家“一带一路”战略的推进,国内众多如智能终端、游戏、娱乐、电商、云计算等科技企业纷纷出海,更多中国企业进入全球领先行列。新冠疫情带来的居家隔离政策使得用户的很多消费和生活习惯由线下转移至线上,推动了线上社交、娱乐、游戏、教育、电商等互联网产业的发展,同时,也引发了数据隐私的新担忧。在疫情常态化的大环境下,隐私数据保护成为世界各地的关注焦点与立法重点,也成为中国企业出海需要密切考虑的重要问题之一。

全球隐私保护情况

01 全球隐私保护立法情况及立法趋势

自瑞典于1973年推出全球首部个人信息保护法律《瑞典数据法》(Data Act of 1973),全球大部分国家和地区已经或正结合其历史与文化背景、经济与社会特征,因地制宜地制定个人信息保护框架原则。欧盟于2018年5月25日出台《通用数据保护条例》(General Data Protection Regulation,简称GDPR)被称为史上最严格的个人数据保护法案,更是将对个人数据与隐私保护的关注推向新的高潮。据统计,全球目前已经有超过130个立法体建立或修订了个人信息保护法律、法规且呈加速趋势。1 主要国家及地区的隐私立法动态参照文末表格。

同时,众多国家在2020年对其隐私数据法规进行了更新:

俄罗斯在2020年12月23日修正案中对个人数据处理和保护、同意、去标识化、基因数据等方面进行了修订;新加坡通信信息部(MCI)和个人数据保护委员会(PDPC)在2020年5月联合发布了对个人信息保护法的修订内容,涉及数据可携带和数据创新条款等,同时还规定对数据泄露处以更严厉的罚款,最高罚款可以高于先前的100万新加坡元。韩国在2021年修正案草案中对数据可携权、拒绝和解释自动化决策的权利、删除、完善个人信息纠纷解决机制、隐私政策审查机制等条款进行了修订。

02 全球隐私保护执法情况

企业开拓海外市场面临的隐私合规监管日渐趋严,无论是大中小企业,一旦触线均面临承担高额罚款的风险,更严重者或退出当地市场。

以欧美为例,据统计,截至2021年1月,针对GDPR的执法累计超530件,罚金累计高达2亿7千万欧元。其中总罚金排名前三的国家为意大利(约6.93千万欧元)、德国(约6.90千万欧元)和法国(约5.4千万欧元)2。数据显示,GDPR执法频率与力度在2019年7月后开始逐步上升和加强3。迄今为止处罚金额最高的案例为2019年1月21日法国数据保护监管机构(CNIL)对Google开出5,000万欧元(约合3.9亿人民币)的罚单4,原因是在数据收集与个性化广告方面,Google涉嫌违反GDPR透明度原则、信息的充分性和法律依据的存在要求。

无独有偶,美国联邦贸易委员会(FTC)于2020年2月发布的《2019年隐私与数据安全保护工作报告》(Privacy & Data Security Update for 2019)显示,Facebook因涉及侵犯消费者隐私被罚款50亿美元,同时也是有史以来FTC对企业侵犯消费者隐私的最大处罚5。

2020年2月2日,加拿大隐私专员办公室(OPC)发布公告称,调查显示美国人脸识别初创公司Clearview AI通过互联网收集超过三十亿张包括儿童在内的人像照片的行为涉嫌侵犯公民隐私权且违反了加拿大联邦和省级的隐私法6。目前,Clearview AI已停止在加拿大市场提供服务。

中国企业出海可能会遇到的隐私合规挑战

面对全球隐私保护立法加快和执法趋严,以及新冠疫情对经济发展的负面影响 ,中国企业出海正受到空前严苛的新挑战。

01 外部挑战

海外各国家地区隐私法规变化莫测

随着个人隐私保护成为全球热门话题,海外各国都在制定或改革其数据保护法律。纵览全球隐私法规,欧洲正在激烈探讨国际数据传输和跨境合规;美国多个州计划重新引入隐私法规并且加利福尼亚州已经通过了《加州隐私权法案》(CPRA)作为该州的综合隐私法;拉丁美洲多个国家有望出台改革联邦隐私立法的法案,并且巴西的通用数据保护法(LGPD)将于2021年8月1日生效;而中国对《个人信息保护法》和《数据安全法》草案的持续审核也有望今年取得进展。

除法规外的数字服务的监管也得到更多关注。针对特定行业的监管正在持续增加,包括对商业银行和支付服务相关的监管,以及对数字身份系统和服务相关的立法范围的扩大,这使数据隐私和信任成为企业的首要任务。

一个司法管辖区的变化将影响世界另一端的企业和组织,持续关注全球各国隐私法规和监管的动态将是出海企业需要持续面对的挑战。

摸不透海外国家地区监管机构的关注点

今年1月,Facebook关于人脸识别的诉讼案落下帷幕。此次诉讼追溯于2015年三名伊利诺伊州居民对Facebook分别提起诉讼,由于Facebook中的标签建议功能会利用面部识别技术使其他用户在照片中进行标记,由此侵犯了他们在伊诺伊州生物识别信息隐私法案(BIPA)下的权利。这三起诉讼被合并为集体诉讼案件并转移到加州的联邦法院。法院最终判定Facebook公司在未获得用户同意的情况下收集了用户生物信息,被判向用户赔偿5.4亿美元。

类似Facebook此案件,国内几乎没有相似案例,有两个主要原因。其一,尽管国内也在逐步建立隐私保护的法律体系,但是用户缺少要求企业赔偿的法律依据,例如BIPA法案对用户的隐私保护有具体的规定以及明确的罚则。其二,Facebook诉讼成功很大成分上依托于集体诉讼机制,用户想要获得赔偿需要赢得诉讼,而单个用户面对互联网企业只是弱势群体,美国成熟的集体诉讼流程使得众多的小额权利受侵害者能够迅速有效地获得诉讼权利,“鸡毛蒜皮”的小事也会“小题大做”诉诸公堂,打官司已是普通公民维护权益的主要方式之一。

对比我国虽然诉讼法里也有与美国集体诉讼类似的“共同诉讼”和“代理人诉讼”,但由于政治经济模式以及法律体系的差异,国内鲜有共同诉讼的案例,因此国内出海企业缺少相关的法律概念和意识,因此在隐私合规的路上需要更加“谨小慎微”。

*伊利诺伊州在2008年通过了BIPA,是美国最强有力的生物识别数据法律之一。该法规要求任何收集生物识别数据的实体,包括指纹、声纹、"手部或脸部几何学"、视网膜或虹膜扫描,必须获得其收集数据的个人知情同意,这些实体也被要求以同样的方式保护他们存储的生物识别数据。

国外对隐私的不同侧重点以及文化差异

欧洲对隐私法不同于国内的惯性思维,有较突出的差异点。参考GDPR在欧盟范围的判罚案例,其中占比最高的就是企业缺乏保障信息安全的技术和组织措施,尤其当出现数据泄露时,若收到用户投诉并且未能及时采取应有的基本措施,企业将很容易受到处罚。其次是数据处理的法律依据不足,如果企业选错了数据处理依据或者没有合法处理依据,意味着该企业在处理个人信息的时候缺乏处理的正当性,也会受到相应的处罚。

最后是违反数据处理原则以及保障数据主体的权利等,这些同样也是出海公司容易出现问题且需要重视的地方。欧盟的数据处理原则强调最小化、透明度等,这些原则在我国的《个人信息保护法(草案)》中大多都有体现,但由于国内的个人信息保护法尚未生效,还无法为企业提供相关执法实践经验(如图1)。

图1 GDPR前十国家罚款原因分布

世界各国的文化差异使出海企业需要适应不同国家对待隐私保护的态度,例如中西方对于未成年人保护的差异,中东国家由于宗教文化的影响,内容管理的机制与多数国家都不一样等等。因此出海企业需要聘请当地律师为合规建设提供支持,当地律师可以帮助企业更全面快速的了解当地隐私合规的法规要求并且与监管机构保持沟通以使产品更加符合当地的各项合规需求。

国际形式复杂,中国企业面临更严格的标准

对于出海投资建设的中国企业而言,政治动荡和不稳定的社会环境都会给企业前景带来极大的不确定性。企业在当地的监管合规往往成为各国政治斗争的手段之一,这无疑为企业带来了隐形的合规压力。

2020年6月中印边界冲突后印度发起数字化打击,印度政府在不同批次中对中国的上百款应用程序采取了前所未有的制裁行动。2021年1月,印度电子和信息技术部发布新通知,将2020年6月宣布的针对中国59款手机应用程序的禁令永久化。印度新规政策和执法的动向使得在当地开展经营活动的中国企业承担了巨大的损失和压力。

02 内部挑战

出海企业与各国分子公司之间的合规架构搭建

对于出海的大型跨国企业,需要在不同的国家设置分支机构,而在复杂交错的的汇报线中必须梳理出适合企业发展的合规治理架构。这对于有出海需求的跨国企业来说将是一项持续的挑战,这意味着企业需要重新统筹规划组织的内部架构,规划清晰的合规框架并将此框架下所有部门的职能与责任传递到位,确保企业全员都具有清晰的合规汇报线和汇报意识。

安全投入成本大

隐私合规是长期建设过程,从隐私解决方案设计、隐私评估、持续运维以及隐私事件响应等都需要人力的支出,为出海企业打造一支专业的隐私合规团队的成本是巨大的。根据《2020年安永全球信息安全调查报告》中对于网络安全净新增经费使用情况的调研,企业用于监管合规的经费使用占比最高约为18%(如图2)。对于出海企业而言,监管合规的支出预计将会占到更高的比例,这对于大多数企业来说是难以负担的,所以企业需要在隐私合规风险和企业效益之间寻求平衡。

图2 网络安全净新增经费使用情况

中国企业出海隐私合规应对策略

面对复杂的内外部挑战,安永建议企业应在出海前进行全方位考虑,可采取以下工作思路与步骤。

01 “看外面”:隐私法规梳理与合规基线形成

隐私法通常由国家或地区制定,以保护其公民的个人信息和隐私权利。法律要求作为隐私合规的主要驱动力,识别与梳理需要遵守的法律法规要求在企业出海隐私工作的推动过程中尤其重要。同时,企业也需要通过可追溯的方式证明为遵守各个法规要求实际开展了哪些个人信息和隐私权利的保障工作。

法律法规适用性判断

在形成企业需遵守的法律法规清单(包含隐私保护要求)的过程中,企业出海国家当地的隐私法规是最容易识别并明确的,但除了关注客户及潜在客户所在国家/地区的合规要求外,也必须放眼全球。以GDPR和CCPA为例,即使企业并无明确向欧盟或美国进行业务出海的计划,但很有可能从居住在这些地区的个人收集信息,因法规基于属人原则的管控效力,企业仍需遵守法规中的隐私保护要求。

行业特定的法规和具有约束力的业务守则也不容忽视,这些法规中的隐私保护要求也同样可能影响企业看待隐私的方式。例如,医疗保健领域需要注意的《健康保险可移植性和责任法案》(HIPPA);金融行业需要注意的《金融服务现代化法案》(GLBA)。

控制要求梳理与隐私合规基线形成

在进行了法律法规适用性判断,明确了企业需要遵守的法律后,企业需要将法律中包含的隐私合规要求进行梳理与整合,形成适用于本企业的隐私合规基线。

GDPR作为较科学且较严格的隐私合规体系,也更重视企业问责制,所以企业在进行隐私合规基线的设计时,通常将GDPR的控制要求作为出海隐私合规性的重要参考点与基础架构(选择我国的《个人信息安全规范》或IS027701作为基础架构也同样可以),并根据企业在全球范围内需要遵守的其他隐私法的不同要求进行调整。若涉及到的出海国家较多,则需要梳理各国合规要求的差异性与特殊性,尤其是各法规要求中可能出现相悖的内容(比如,未成年人年龄界定、响应时间差异),确保隐私合规基线可以作为企业进行隐私工作推动的“红线”,在要求层面达成隐私合规性。

02 “看自己” :企业隐私现状识别与梳理

企业在进行隐私合规方案设计的初期,首先离不开对自身现状的梳理与识别,针对业务及产品的属性、地域覆盖范围、产品负责人员等信息进行明确,识别信息资产清单以及已有的安全管控文件;针对业务与产品的属性,明确企业在数据活动中的角色,若为数据控制者,则需承担较高的隐私保护职责与义务;针对业务与产品中涉及的隐私数据进行全面梳理,识别隐私数据的类型与敏感程度、隐私数据全生命周期的情况以及已有的安全保护措施。

业务/产品场景识别:

识别企业包含哪些产品/服务、业务流程、信息系统/功能模块,明确在各业务场景中的数据处理目的,根据业务场景与业务覆盖国家,进一步调整与更新适用的法律法规、监管条例或合同要求。

数据处理角色分析

判断在各业务场景中,企业在数据处理活动中的身份与责任,是数据控制者还是数据处理者?明确在数据共享、数据披露等敏感场景下,与各合作方之间的数据责任界定。

数据流转现状梳理

梳理各业务场景中会收集及处理的个人信息类型,明确是否包含敏感个人信息或未成年信息等需要更高水平安全控制的信息类型,明确在企业内外部各类型数据的数据流向,例如收集的信息是否被出售或透露给与企业合作方,数据源是否知道该信息?个人是否已同意接收企业的促销电子邮件?

数据全生命周期保护现状梳理:

梳理在针对企业数据处理活动中的已采取的安全保障措施,例如在收集数据前,有明确的隐私政策告知及用户授权同意;在传输数据时,进行了数据加密;在数据展示时,针对敏感数据进行了脱敏处理。

03 “找问题”:差距分析与合规风险评估

在了解了企业的隐私保护现状后,需要将现状与已识别与梳理出的隐私合规基线要求进行差距分析,识别安全控制措施缺失所造成的隐私合规及安全风险,并有效的推动措施完善与整改。差距分析与风险评估作为隐私计划落地的重要步骤,需要多部门利益相关者(包括但不仅限于法律、信息安全、IT基础架构、审计、风险管理、市场、主要业务/产品代表)的参与和协作,并需要管理层进行风险等级及降低风险的方法与措施偏好的确认。

在差距分析和风险评估的过程中所发现的差距及需要解决的风险可能会包含文档制度、隐私管理流程、安全技术措施及人员意识等诸多层面。例如:

文档制度层面

隐私政策中未明确、清晰告知所收集与处理的用户个人信息的类型、目的、数据跨境情况、数据处理第三方企业类型等,存在未有效满足用户知情权的合规风险。

安全技术措施

因系统安全控制缺失(例如未定期进行漏洞扫描及修复)导致被攻击后造成数据泄露,存在未保障数据完整性和机密性的合规风险。

隐私管理流程层面

缺乏必要的隐私管理流程,无法提供隐私合规的证据及无法有效应对监管检查;无法为用户提供删除权、可携带权等隐私权利的行使渠道,造成客户投诉。

人员意识层面

因宣导与培训的缺失,内部员工缺乏数据安全与隐私保护的意识,有意或无意的行为造成数据泄露的情况发生。

在差距分析与风险评估过程中产生的记录文档非常重要,可以证明企业为实现隐私保护所进行的努力,证明企业不仅知道并发现可能存在的隐私问题,而且已经制定了补救计划。

04 “做决策”:合规实施成本分析与规划决策

在完成了差距分析及风险评估后,企业应通过分析现有差距的违规处罚程度、合规实施成本、实施周期等因素,决定计划用于确保企业隐私合规的预算,计划推动隐私合规的初步规划及具体实施路径。

违规处罚程度

一次违规将使企业损失多少呢?以GDPR为例,其中所规定的最高罚款为2000万欧元或该组织全球年营业额的4%,同时,全球范围内不断更新的法规对违规行为呈现罚款越来越高的趋势。受惩罚的企业还将被监管针对违规问题进行持续性的严格监督。隐私及安全事件发生所带来的负面影响(例如声誉损失)更是无法估量的,但违规处罚的程度也会因国家监管力度及违规所造成的风险等具体情况而有差异。

合规实施成本

遵守隐私的成本不仅仅是财务成本,更是一个必须包含人力资源和时间的持续性成本。决定这个持续性成本的因素包括企业的规模、处理的个人数据量以及处理方式等等。例如,如果要将数据传输给第三方,则需要监控并不断改进在传输过程中保护数据的方式。同样,如果将信息存储在云服务中,则应运行常规测试以确保信息安全。

实施周期

实现隐私合规的过程很可能是复杂的、难以管理的,企业内部隐私管理专员可能消耗数千小时的工作时间,却引入了容易出错的手工任务的操作风险。也可能为遵守某几个隐私法规所做的准备工作并不足以满足或支持持续更新的多个隐私法规。

即使引入隐私合规自动化工具,也不只是简单地购买和安装工具便可完成。根据企业每个部门的需求量身定制流程、流程化落地及培训等等,也同样需要时间与不小的工作量,且不是一次性的任务。企业还应持续监控及审核流程的有效性,并寻找定期改进流程的方法。

05 “做落地”:隐私架构设计与合规流程落实

在进行决策与分析后,企业需要完成符合实际业务场景的组织隐私合规架构设计,并推动实际的隐私合规流程与工具的落地来确保真正符合出海国家的隐私合规要求。

隐私架构设计

采用正确的隐私框架对于企业推动隐私合规来说非常重要,ISO27001作为国际上较为成熟的信息安全管理体系框架,被诸多企业作为构建安全管理体系的主要指导。ISO27701在ISO27001的基础上,补充了针对隐私保护相关的控制要求,重视其中的控制要求有利于企业隐私框架体系的构建以及与企业已有的信息安全体系架构的融合,有利于更有效的进行体系维护与持续改进。

图3 ISO27701隐私信息管理体系

如上图:可以看到在“资产管理”和“信息系统的获取、开发和维护”两个安全域上,新增的隐私保护的控制要求最多,其中“资产管理”控制域下补充了包括信息分级、信息标记、移动介质管理等控制项的要求,新增控制可以结合在企业现有的信息资产管理流程中,并拓展出PII清册/数据流工具等针对个人信息资产识别的模板工具,更有效地推动后续的工具化落地。

“信息系统的获取、开发和维护”领域新增控制包括公共网络上的应用服务的安全措施;安全的开发策略;系统安全工程原则等领域,鼓励企业引入与推动通过设计保护隐私(Privacy by Design)的思想,这也是目前主流企业建设体系所采用的隐私保护方案。

隐私流程设计与落地

在隐私架构体系构建并获得管理层认可后,需要推动各领域的流程设计,并将流程推动落地。接下来,以用户隐私权利响应与数据保护影响评估两个领域进行举例说明:

用户隐私权利响应作为出海隐私合规过程中的一大重点,需流程、技术与人员的有效配合才可高效的满足合规要求,实现用户提出权利请求及企业内部处理和响应的便捷化。

为建立与用户的沟通交流渠道,在用户可直接的感知的层面,企业可在产品或服务提供界面集中地列举用户所享有的权利与实现机制,保证用户可以通过服务界面、电子邮件或者电话的方式提出隐私方面的诉求。

在公司内部层面,应当指定人员小组,采用已建立的适合企业组织结构、沟通机制及业务特点的流程,来响应与处理用户的权利的实际诉求。涉及的流程包括但不仅限于对用户身份的审查与校验、权利行使合理性的判断与确认、数据的获取与处理以及在规定时间内及时的回复用户等。

隐私影响评估对于帮助识别并指导整个企业中个人信息的使用至关重要。评估流程要求各部门紧密合作,以解决与隐私相关的法规要求。企业应在产品/系统的初始设计阶段就将隐私影响考虑其中,并根据评估中涉及的风险点制定适当的政策,程序和系统以实现这种“设计隐私”方法。企业可通过流程自动化或工具化实现隐私影响评估,并可持续推动评估过程中识别出的风险整改。

小结

海外市场有着纷繁复杂的各国文化、并驱争先的全球竞争环境、变幻莫测的政策。隐私保护越来越受到全球的关注,隐私合规更值得每一家出海企业持续重视,特别是当隐私数据上升为企业核心资产乃至国家安全的时候。

图4 主要国家及地区的隐私立法动态

如您希望了解更多中国的网络安全合规问题,欢迎联系我们。

注:

1、2020互联网出海趋势及法律政策报告1.0——道客巴巴 (doc88.com).

2、5 biggest GDPR fines so far – Data Privacy Manager

3、GDPR执法案例全景白皮书(2019-2020)-中兴 数据法盟-202005 - 豆丁网 (docin.com)

4、 https://www.cnil.fr/sites/default/files/atoms/files/san-2019-001.pdf

5、Privacy and Data Security Update 2019 (ftc.gov)

6、https://www.priv.gc.ca/en/opc-actions-and-decisions/investigations/investigations-into-businesses/2021/pipeda-2021-001/

本文是为提供一般信息的用途所撰写,并非旨在成为可依赖的会计、税务、法律或其他专业意见。请向您的顾问获取具体意见。

免责声明:文章为转载,版权归原作者所有。如涉及作品版权问题,请与我们联系(010-67800234)删除。文章内容仅供参考,不构成投资建议。投资者据此操作风险自担。
分享到

公告

热门文章