【十问十答】《个人信息保护法》与电子签约
8月20日,备受关注的《个人信息保护法》经由十三届全国人大常委会第三十次会议表决通过。一时间,无论是IT、HR还是法务都表示出了极大的关心:
1、《个人信息保护法》保护的是什么?
2、《个人信息保护法》较之前的法律,有哪些特色制度?
3、新规对 “告知—同意”提出了更高的合规要求,企业如何应对?
4、新规出台后,企业处理个人信息应注意什么?
5、上上签在哪些方面满足《个人信息保护法》的合规要求?
6、关于个人信息跨境,外企需关注什么?
带着以上问题,我们在上周邀请了世辉律师事务所合伙人 王新锐,与上上签解决方案专家一起围绕“新规出台,电子签约如何帮助企业保护个人信息”进行了详细解读。
1、上上签电子签约:据悉《个人信息保护法》从去年10月就已经面向社会征求意见,从公布草案到今年正式出台,这部预热了将近一年的法律,出台的背景和重要意义是什么?
王新锐律师:我自己参与到《个人信息保护》的立法中已经有一段时间了。其实我们在《个人信息保护法》起草之前就一直有相关的立法,只不过非常分散,例如《刑法》、《消费者权益保护法》、《电子商务法》、《网络安全法》里面都有相关的条文。但是个人信息保护是一个多场景,非常复杂综合的事情,如果分散在不同的法律中,最后在实行过程中会出现很多问题。
而世界范围内,现在大家也意识到个人信息保护在数字经济发展过程中越来越重要。这也是我们作为一个数字经济发展大国,这两年将其提速的背景。可以看到从草案到通过其实速度非常快,这得益于前期的很多积累。
当然,这次有一个亮点,即《个人信息保护法》是根据宪法,这在我们的立法过程中是很少见的。这也证明这样一部法律本身是跟公民的基本权利息息相关,也是对公众之前在个人信息被广泛收集、被滥用等情况的回应。
2、上上签电子签约:据了解,之前有《网络安全法》、《数据安全法》,现在的《个人信息保护法》相比之前这些法律有哪些特色制度?
王新锐律师:之前已经有了很多关于个人信息保护的法律规定,相对而言,《个人信息保护法》在制度上有一些创新或者丰富。
(1)法律基础变得更加丰富
之前我们在处理个人信息的法律基础上,只有“知情同意”一个基础。而我们在前面提到有关个人信息保护的场景非常丰富,如果只依赖“同意”的方式,可能还是会有一定的矛盾。所以我们在里面增设了合同、公共利益、新闻媒体监督,类似这样的一些合法性基础。
(2)从同意的角度着手,也是目前世界范围内个人信息保护的主要基础
但只是同意还不够,这一次在同意的基础上进行了丰富,提到了“单独同意”的概念。“单独同意”也会对企业的合规带来很大的影响。再有,《个人信息保护法》对自动化决策和一些新技术进行了一些回应。我们将涉及所有跟个人信息合规的一些业界实践,包括一些域外立法的经验进行了汇总。比如要对数据进行分级分类和事前风险评估,包括数据跨境。
这样可以看到相比之前,《个人信息保护法》出台之后,制度上覆盖地更加全面。当然对于企业而言,也要理解个人信息合规不是一个确定的结果,而是一个可持续的合规过程。意味着需要不断努力去履行这些制度带来的合规义务。而且在某种程度上,个人信息保护的合规跟合法不完全是一回事。合规的过程离不开企业在技术和制度上的持续投入,并不是非黑即白。
当然什么叫做违法,有时是清楚的。但什么叫合规、违规,其中是有一定的界限,需要企业自身去证明。
3、上上签电子签约:您刚才提到“告知-同意”很重要。另外在特殊情况下需要进行“单独同意”,企业应该如何做?
王新锐律师:不管是欧盟、美国还是其他国家,“同意”都是处理个人信息的主要合法性基础。同意的前提是告知,充分的告知。
首先,要清晰地告知用户,包括个人信息主体,我们是如何收集、处理、删除数据的。另外,《个人信息保护法》对“同意”进行了划分,包括单独同意,有时需要书面同意。比如说在处理敏感个人信息、数据跨境时,需要单独同意。所以我们在处理一些重要数据时,要进行单独告知。
什么叫单独告知?跟一般的告知有何区别?
我们跟立法者有过沟通,单独告知和一揽子告知相对。“一揽子告知”是告诉用户,要将这些信息都提供给我,才能为你提供服务。这种一揽子告知是被监管和立法所否定的,认为这种方式在一些情况下是在强迫用户提供信息。“单独告知”,意味着单独就一件事获得用户的同意,而且是要引起用户的注意。
这是《个人信息保护法》出台之后,对企业而言非常大的变化。接下来,企业需在“如何获得单独同意”的方面下一番功夫。甚至在一些情况下,如果处理到了敏感个人信息,且没有办法获得单独同意,可能意味着无法再继续往下进行,对业务的影响会非常大。
4、上上签电子签约:这次增加了一条很重要的条款,“为订立履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需。”这一条应该跟劳动合同相关,该如何解读?
王新锐律师:相信大家都非常关注,实际上是在最后三审稿中加入了这则条款。
条款包括两部分:第一部分是履行普通的民事合同。民事合同是我们在个人信息处理规则中,世界范围内最常见的一个合法性基础,在几乎所有的立法中都会提到。
第二条则非常有特色,据我所知,这也算是在最后一刻加上的,来自一些大公司跟立法者的沟通。其实在管理过程中,通过员工的同意去获得合法性基础,本身因为公司跟员工之间存在隶属关系,认为这样不妥。
立法者考虑到,如果企业随意在劳动制度中添加一些跟个人信息有关的内容,对员工不公平。最后条款考虑了两种情况,两种不同的声音。
一种是进行人力资源管理,另外一种声音是要在这个过程中限制大的公司利用优势地位获得个人信息,所以特别强调要依法签订的集体劳动合同。
不管是劳动规章制度和劳动合同,要确保其依据《劳动合同法》,在整个制度以及合同签署的过程中是公平的,员工也是知情的,然后通过一个告知的手段能够获得员工认可。
5、上上签电子签约:信息如果是在企业内部,企业就是个人信息的处理者。个人信息的处理包括最开始的收集、存储、使用、加工、传输以及未来可能给第三方进行提供公开,还有一些删除动作。企业在处理这些个人信息时,应该注意什么?
王新锐律师:《个人信息保护法》给个人信息处理者增加了很多义务,这也是大家要格外关注的内容。这些义务之前在我们的其他规定中也有涉及,但这一次是非常综合的。
我觉得有大概几点需要关注:
首先,要看在处理个人信息时,其合法性基础是什么?我们刚才提到的合法性基础,包括合同、同意,或者其他法律列明的法律义务。
第二件事情,我们要在过程中相应地采取技术手段,不管是加密还是去标识化,要保证整个过程的安全,该部分内容跟《数据安全法》有些关联。再有内部要有相应的内控制度。包括个人信息的访问制度,内部要有留痕。
在《个人信息保护法》之后,我们的很多客户也在讨论怎样去修改公司内部原有的一些制度或者新增一些制度。对于一些比较极端的情况,要有应急预案,比如现在的网络攻击还是非常多,还会有一些个人信息泄露,甚至敲诈的情况,这种情况下应该如何有针对地做一些预案?
有时候比喻合规就像大火烧过来,如果没有合规的制度,可能会把所有的船都烧光。但如果你有相应的合规制度做风险隔离,可能在第一时间就能及时发现在什么地方有着火,同时把火灭掉。而且中间因为有隔离,不会让整个企业产生连锁反应,这可能也是个人信息处理者要格外关注的。
6、上上签电子签约:现在的《个人信息保护法》作为新时代的个人信息保护法跟域外的很多立法,有的立法可能在70年代、80年代、90年代有何区别?
王新锐律师:主要是个人信息处理的能力大幅地增长,所以我们看到现在很多规模并不是很大的企业,可能只有几百人,却要处理上亿的数据,尤其在中国特别突出。这种情况下就意味着企业要去关注其个人信息处理者,处理数据和保护数据的能力,这种合规的能力中间是要匹配的。
这也是我们个人信息立法的一个核心精神。因为很多企业都是在收集处理数据的时候,不管不顾,当真正出现风险的时候,是没有办法进行控制的。这不仅仅是考虑到法律规定、法律底线的问题,而是一种持续保持合规的能力。
7、上上签电子签约:您刚才提到企业一定要做到留痕,以及数据的安全存储。现在很多企业想借助电子签约,由一个独立第三方提供留痕、中立性的证据。作为电子签约的第三方中立平台,我们怎么做能够更好地满足《个人信息保护法》的合规要求?
王新锐律师:《个人信息保护法》出台之后,我们也跟一些客户做了讨论,比如“单独同意”不仅仅是一个同意本身的过程,还需要对同意进行记录。《个人信息保护法》要求企业自证清白,可以看到这次法律的一个变化是过错推定责任,确定这么一个责任。
相当于企业在遇到一些个人信息的风险事件时,要证明自己没有做错事情,在这过程中就要全程留痕,然后能够举证。电子签约平台的一个价值也在于此,它可以帮助企业在整个过程实时留痕,面向员工做一些通知动作,获得员工的同意、单独同意。
后续,如果员工或者公司要去查询电子合同,公证信息,相对来说电子签约是可以实现的,这也是电子签约平台能够给企业带来的价值。但另外一方面,因为电子签约平台服务了很多客户,就要考虑内部的控制,内部的访问权限,对这些数据内部进行隔离。
上上签电子签约:关于这些,上上签内部是有一整套完善的安全机制和流程的。我们内部的一些运维人员,是无法直接接触这些数据的。同时我们把产品提供给外面的企业客户或者个人客户时,也要进行初次的告知,告知要采集哪些信息,一般都是采集最小信息,只要完成实名认证就可以。后续采集这些最小信息,用于什么方面,都会有告知说明,尤其在采用面部识别的时候,这种属于特别隐私的数据,我们还会有一个单独告知的说明。
8、上上签电子签约:此外,您觉得上上签作为第三方电子签约服务商还需要做哪些能够更加完善?
王新锐律师:在《个人信息保护法》出台之后,所有大型公司的产品都需要根据其进行一些调整。这种调整一是要跟合规义务对齐,我觉得现在已经在做的一些方案、技术手段,肯定之前也都能够被证明是有效的。在《个人信息保护法》之后,企业需要捋一遍所有提供“告知—同意”的环节,是否跟法律要求是一致的。
另外企业内部需要做数据的分级分类,我看到很多企业目前还没有完全做到位。原因很简单,之前法律没有强制性的规定,但是数据分级分类之后,要能将其区分成敏感个人信息。甚至可能有一部分信息不只是个人信息,还有重要数据。企业需要通过这样的方式,才能确定该以何种方式去处理,或者在哪些情况下受到限制。
9、上上签电子签约:《个人信息保护法》特别用了一章提到跨境规则,上上签服务了很多知名外企,他们多数会在国内成立一些机构,我们在服务这些外企客户时应该注意些什么?电子合同签完就会是文件形式,有一些外企客户的文件存储器可能放在国外,这种文件存储器放置国外的情况下,我们又应该如何去做?
王新锐律师:这个问题大家非常关注,也有很多跨国公司过来咨询。关于数据跨境,我们要分阶段来看。我们看到《个人信息保护法》出台,但是关于数据跨境具体的落地配套措施还没有完全固定下来。
目前的阶段首先要实现合规,考虑关于“单独同意”和“事前风险评估”的问题,这在《个人信息保护法》写得非常清楚,也有相应的制度。比如可以参考个人信息安全影响评估的国家标准,做相应的风险评估,这个阶段更多的是先落实单独同意和事前风险评估。
第二阶段,《个人信息保护法》中提到,认证或者标准合同,如果是关键信息,还要有相应的审批流程。出现这些配套措施以后,企业可以再相应的根据这些规则去做。
我们了解到这些制度其实还是会符合企业大多数日常需求,我自己觉得不用特别担心。
对于服务器的选择可能是经常被问到的问题,中国有一类数据是需要存储的,往往非常敏感的,比如健康医疗大数据,金融类数据、网约车、征信这些数据需要进行本地化存储。除此以外,我们对于数据的存储地本身是没有要求的,但是如果是个人信息出境,要符合刚才提到的要求。
我相信面对员工管理中出现个人信息跨境的情况,后续国家层面会有一个相对统一的确定性方案,让大家的需求可以得到满足。现在来说我们更多的是在签约的过程中做好留痕工作。
10、上上签电子签约:您刚才提到风险提前告知是需要企业对其个人用户或者员工进行一些风险的提示是吗?
王新锐律师:对,比如现阶段《个人信息保护法》出台之后,我看到一些企业在修改自己的劳动合同。告诉员工“因为我们是一家全球化企业,所以我们需要把你的信息 Transfer(转移)到总部去。”类似这样的明确的告知。
而且我们还发现像这种数据跨境,不只是员工的个人信息,还会涉及员工的家人,比如企业为其员工的未成年人子女购买保险等情况。本身都要进行明确的书面告知。
以上这些如果是通过电子签约的方式去签署,也要做好存储和留痕的工作。我觉得这也恰恰是电子签名或者电子合同的一个优势。