《用户数据使用合规实务指南》由会员分享,可在线阅读,更多相关《用户数据使用合规实务指南(8页珍藏版)》请在金锄头文库上搜索。
1、用户数据使用合规实务指南高杉 LEGAL原创 2017-09-28 熊定中、向子瞭 高杉高杉 LEGAL专注于高品质民商法实务文章的持续分享,投稿请寄:专注于高品质民商法实务文章的持续分享,投稿请寄: gaoshanLEGAL。高杉峻:本文是熊定中律师继高杉峻:本文是熊定中律师继数据竞争与司法裁判数据竞争与司法裁判、互联网平台对用户互联网平台对用户 数据的权利起点数据的权利起点之后,互联网数据系列文章的第三篇。这个领域的法律讨论之后,互联网数据系列文章的第三篇。这个领域的法律讨论 至关重要但又刚刚起步,衷心期待该领域更多的优秀稿件。至关重要但又刚刚起步,衷心期待该领域更多的优秀稿件。数据使用合
2、规实务指南数据使用合规实务指南作者熊定中(北京清律律师事务所主任、首席合伙人,微信:作者熊定中(北京清律律师事务所主任、首席合伙人,微信:siberwaagesiberwaage)、)、 向子瞭(北京清律律师事务所律师助理)向子瞭(北京清律律师事务所律师助理)* *本文经授权发布,仅代表作者观点,不代表其供职机构及本文经授权发布,仅代表作者观点,不代表其供职机构及高杉高杉 LEGALLEGAL立场,立场, 且不作为针对任何个案的法律意见且不作为针对任何个案的法律意见* *【特别提示特别提示】1、本指南仅限于数据使用业务,并不涉及从用户处进行的数据收集业务。用户用户 数据收集业务需要另行起草合规
3、指南,数据收集业务需要另行起草合规指南,且大量数据商业化使用企业并不涉及直 接从用户处收集环节,可无需考虑该部分。2、本文供数据合规相关法律专业人员研究使用,不建议非专业人士直接使用, 亦不代表本文可不做调整直接适用于企业实际运营过程而无违法违规风险。一、个人信息相关法律制度及概念一、个人信息相关法律制度及概念鉴于中华人民共和国网络安全法最高人民法院、最高人民检察院关于办 理侵犯公民个人信息刑事案件适用法律若干问题的解释于 2017 年 6 月 1 日施 行,配合之前已有的部分相关个人信息保护的法律法规,我国已形成了一套体我国已形成了一套体 系化的,从民事、行政及刑事全方位覆盖的个人信息保护制
4、度,个人和单位都系化的,从民事、行政及刑事全方位覆盖的个人信息保护制度,个人和单位都 需严格遵守,如有违反则各自会有相应的法律责任需要承担。需严格遵守,如有违反则各自会有相应的法律责任需要承担。与此同时,国家对个人信息的认识已从隐私权中独立出来,现以概括加列举的 方式对个人信息的法律内涵进行了定义,具体而言个人信息是指以电子或者其 他方式记录的,能够单独或者与其他信息结合识别特定自然人身份或者反映特 定自然人活动情况的各种信息。二、个人信息数据分类二、个人信息数据分类为了便于企业对实践中的数据使用业务进行审核,暂时可以把业务中可能接触 到的,所有跟个人属性相关的数据分为特定、敏感和标签数据三类
5、,并根据收 集、使用的数据类别不同,设计与业务相匹配的合规机制。特定数据特定数据是指凭此数据就能识别到具体个人的数据,比如身份证号码、指纹。 敏感数据敏感数据是指凭此数据一般公众就可以确定其对应的是一个具体的人或者数据 本身隐私性非常强的数据,比如手机号码、个人邮箱、征信报告,而标签数据标签数据 是指仅凭此单一数据无法确定到个人,需要多个数据相互配合的数据,比如性 别、年龄、兴趣爱好。除特定数据外,其他的数据所属类别并非恒定,如个人行动轨迹,其既有很强 的隐私性也无法单独确定到个人,因此同时具备了敏感数据和标签数据的特征, 需要根据实际情况灵活判断。三、合规及风险防控要点三、合规及风险防控要点
6、一般而言,企业如需在提供服务的过程中对数据进行处理,就会有接收、保管和提供三个阶段,以下分别就各阶段的注意要点进行介绍。1.1.数据接收数据接收不考虑企业自行进行用户数据收集行为(不在本指南范围),企业接收的其他 数据一般是由数据提供方提供。由于数据合规业务同时涉及刑事风险防范,仅 合同约定对方的合规性可能不足以防范此类风险,需要在能否进行数据接收上 慎重审核,以判断是否可以接受数据提供方的数据,尤其是在高标的、大规模 商业合作中,花费一定人力物力进行小型“尽职调查”是较为稳妥的做法。实 际商业运营过程中,数据接收方可根据合作层级、规模来平衡合规风险和成本, 对如下列所述操作指引进行选择性适用
7、。1.11.1 数据提供方资质数据提供方资质考虑数据提供方是否有良好的商誉及较大的企业规模。一般而言大公司受到监 管机关关注的可能性大,也有足够的资源完善其合规制度。与其合作,数据接 收方的合规工作可以视情况适当从简。1.21.2 数据提供方的数据收集数据提供方的数据收集1.2.1 数据提供方的数据需有合法来源,首先核实对方与被收集人的用户协 议或有关个人隐私条款的模板(下称“协议”)内容是否“合理”(作为数 据接收方,无需对提供方进行严谨合规,法务人员从普通常识角度判断即可), 也即核实数据提供方所提供的数据,是否是按照在其与被收集人的协议约定而 进行的收集、使用与共享。1.2.1.1 数据
8、收集的范围被收集人是否明知该数据被数据提供方收集,例如协议并未涉及需要收集地理 位置相关数据,但所提供的数据中却含有该类数据,则合规性存疑。如果是收 集敏感数据甚至是特定数据时,是否设有特殊的获取同意方式,如在网站上单 独弹出窗口,需用户主动勾选同意等。1.2.1.2 数据使用的方式部分商业合作内容,是数据提供方要求接收方企业提供一定的数据分析或数据 交换等服务。此种情况下,数据接收方企业应判断此种服务是否与协议中已明 确告知被收集人的服务内容具有关联关系。如协议中明确表明收集数据会被用于“向您提供您可能感兴趣的广告”,则数据接收方企业向数据收集方提供广 告投放分析服务就有其合理性。也即需明确
9、协议中是否对数据的使用规则进行 了完整、清晰的说明,提供的服务不能超出协议中使用规则声称的直接或合理 关联范围。1.2.1.3 与第三方共享数据的程度即使数据的收集和使用符合以上两点要求,因数据接收方企业对被收集人而言 是第三方,且数据被收集后原则上不进行共享,基于此数据接收企业还需要考 察自身是否满足协议中针对数据共享情形设定的条件。一般而言,数据提供方一般而言,数据提供方 会将数据与会将数据与“供应商或合作伙伴供应商或合作伙伴”进行共享,数据接收企业就需要依据数据提进行共享,数据接收企业就需要依据数据提 供方与数据接收企业签订的服务合同进行判断,双方的关系是否符合该定义,供方与数据接收企业
10、签订的服务合同进行判断,双方的关系是否符合该定义, 并根据实际情况在服务合同中进行调整,以维护数据接收企业权益。并根据实际情况在服务合同中进行调整,以维护数据接收企业权益。进一步需 要核实,协议中是否详细说明了共享的目的,且数据接收企业提供的服务是否在该共享目的范围内,例如数据提供方作为线上商城服务提供商,其在协议中 明确告知被收集人,其会收集姓名、地址及联系电话用于配送商品,并提供给 签约的运输合作伙伴,则运输公司从数据提供方获取被收集人的姓名、地址及 联系电话就在协议共享目的的范围内,属于合法共享。1.2.2 其次可以与对方签订保证协议,保证其向第三方提供数据是已合法获得 被收集人授权的行
11、为,一般而言,注重合规的公司也会要求数据接收方企业签 署与数据相关的保密或使用协议,以延续其对被收集人的做出的承诺(例如淘 宝和支付宝均在隐私规则中明确承诺将会要求共享数据的第三方企业签署数据 保护协定)。但请注意,一旦查证属实发生了侵犯个人信息的行为,以上协议 无法免除数据接收方企业的行政甚至刑事责任,对于民事责任,数据接收方企 业也仅仅是能通过违约责任将最终损害赔偿责任转嫁至第三方,但应当先行承 担对于被侵权方的赔偿责任。1.31.3 数据接收范围及形式数据接收范围及形式根据业务实际需要,仅接收必要的数据,而不是对方可以提供的所有数据,严 格遵循最小够用原则。同时还需要注意针对特定数据不要
12、明码接收,敏感数据 及标签数据需保证全部接收后无法达到确定个人的效果,否则必须减少接收的 数据类型。1.41.4 单项业务风险评估单项业务风险评估即使满足以上 3 项要求,或数据接收企业已聘请专业人员针对单项业务进行了严格的风险评估,认为可以接收特定数据、能确定到具体个人的敏感数据或标 签数据,仍需考量到如果数据提供方被行政机关甚至司法机关判定为非法收集、 使用或共享被收集人提供的数据,是否能够承担相应的法律后果,包括但不限 于赔偿损失、暂停相关业务、停业整顿、吊销营业执照、对直接负责的主管人 员和其他直接责任人员定罪处罚,并对单位判处罚金。2.2.数据管理数据管理2.12.1 储存地点及时限
13、储存地点及时限2.1.1 针对在中国境内(注:不含港澳台)收集或处理过的数据,必须要储存 在境内。2.1.2 如非必要,数据储存不要超出因业务需要的时间,以免承担过多的管理 责任。同时在接到数据提供方提出删除数据的要求时,请及时删除或匿名化处 理相关数据并留存好记录,最后以正式的书面形式向对方回复结果,留存备查。2.22.2 安全制度安全制度不同类型的数据如果泄露或被不当使用所造成的后果是不一样的,不同类型的数据如果泄露或被不当使用所造成的后果是不一样的,如在刑法上 针对非法获取、出售或者提供公民行踪轨迹信息、通信内容、征信信息、财产 信息与非法获取、出售或者提供公民住宿信息、通信记录、健康生
14、理信息、交 易信息的入罪数量标准就完全不一致,分别是 50 条和 500 条。因此需要根据数 据与个人关联的紧密程度设计相应的安全保障体系,将有限的资源合理分配, 做到风险等级差异化管理。建议可以从以下方面着手,注意留存好书面材料以 资证明。2.2.1 设立严格的数据使用和访问制度,通过控制数据访问的权限和设定多重 身份认证技术保护个人信息,避免数据被违规使用。2.2.2 对工作人员处理数据的行为进行系统监控。可以采取专门的数据和技术 安全审计,设立日志审计和行为审计多项措施。2.2.3 建立数据安全专项部门或小组,负责安全应急响应并组织推进和保障个 人信息安全。2.2.4 举办安全和隐私保护
15、培训课程,并做好培训记录以供查验。2.2.5 聘请外部独立第三方对信息安全保障体系进行评估,例如 ISO27001 认证。2.2.6 一旦发生数据安全事件,及时向数据提供方及监管部门报告,报告内容 应包含安全事件的基本情况和可能的影响、已采取或将要采取的处置措施、降 低风险的建议及补救措施。3.3.数据提供数据提供3.13.1 数据接收方评估数据接收方评估此时的数据接收方指的是除数据提供方外的,为数据接收企业服务提供支持的 第三方。3.1.1 首先根据数据接收企业与数据提供方签订的服务合同内容判断,是否需 要告知数据提供方,数据接收企业还需要委托第三方参与对数据的处理。3.1.2 其次,分析数
16、据接收方是否因自身所在行业领域的特殊性,天然持有个 人信息的数据库,可以将数据接收企业提供的数据与其自身数据库匹配,如快 递;金融;电信;交通;宾馆;购物等行业,与其进行合作就需要以高度审慎 的态度进行评估,以免帮助对方补充完整用户个人画像。3.1.3 同时还需进一步考察对方是否在其内部设有数据隔离制度,能够做到数 据库与数据库之间无法关联,这也是防止对方将接收的数据匹配到其已有的个 人信息数据库中,继而完善了本不应由其知晓的个人信息。若数据接收企业是将服务产生的相关数据反馈给数据提供方,因是否可以提供 相应服务已在双方签订服务合同前进行了合规审查,请注意按照合同的约定严 格执行即可。3.23.2 数据提供范围及形式数据提供范围及形式3.2.1 注意根据数据提供方对数据接收企业的要求,与数据接收方进行相应的 约定,严格限定违约责任。3.2.2 特定数据,需继续保持非明码状态提供;敏感数据,在只有通过向外提 供此数据,才能顺利进行相关业务的时候提供;标签数据,需要判断提供的种 类数量是否足以让对方完善或补足用户
