本篇介紹:撰寫數據隱私合規文件
本篇爲第4篇/共5篇
上一篇:企業安全隱私合規體系建設經驗總結(三)
下一篇:企業安全隱私合規體系建設經驗總結(五)
引子
在去年前三季度(2019年),我有幸主導了公司的安全隱私合規體系建設。幾乎是從零開始,完成了ISO 27001、ISO 27017、ISO 27018、GDPR、等級保護三級、CCPA等安全隱私合規認證,其中也寫了一些零零碎碎的心得和研究筆記。
而在今年春節(2020年),由於武漢肺炎疫情嚴重,假期延長,我決定系統的回顧和總結一下關於企業安全隱私合規體系建設的經驗,以讓後來人及自己以後都少走彎路。
4.1 寫在開始
準備創建隱私合規的各種文件前,需要考慮兩個基本問題:
1、爲什麼創建文件?
2、讀者是誰?
回答完這兩個問題後,就可以準備提綱並繼續考慮另外兩個問題:
1、撰寫文件時,應該考慮哪些內容、形式、結構要求和因素?
2、撰寫文件時,應該避免落入哪些圈套和陷進?
4.2 爲什麼創建文件
企業撰寫數據隱私相關文件,一般是出於三個主要目的:法律要求、市場需求、組織內需。
法律要求
爲了符合法律規定或者爲了享受某些文件所帶來的法律上的好處。
如果是因爲要符合法律規定,應該認真分析該規定的法律淵源、適用範圍和構成要件;如果是因爲要藉此享受法律上的好處,應該查閱相關的法律原文,做深入的分析;另外,儘量不要明確承諾不分享客戶數據,這在將來涉及併購、破產時,會嚴重限制企業數據庫的價值。
市場需求
爲了相應的市場需求(如來自消費者、供應商或員工的需求)。
如果是因爲此目的,應該弄清楚具體的商業目的是什麼,未達成目的會遭致何種負面結果,達成目的能帶來哪些好處。
組織內需
爲了傳達和記錄某企業內部的規則、指示和限制。
如果創建文件是爲了在內部傳達企業的運營指示,那麼要認真考慮和定義接收該種指示的受衆是誰。
4.3 讀者是誰
解決完“爲什麼創建文件”這個問題後,接下來應該確認這些文件的讀者是誰。只有對讀者羣體有明確的意識,才能選用合適的語言風格,評估哪些細節問題需要加以詳細解釋、哪些細節可以默認讀者已知,並決定哪些內容需要加以強調。
在文件標題中指明讀者羣,往往有助於最有效的達成文件目的。例如,如果讀者羣是全體員工,考慮一下是否該文件應該改名爲“致全體員工的隱私通知“,如果行文件本身無法判斷文件目的或讀者羣,那麼應該考慮一下企業是否可能根本不需要這份文件。
4.4 文件類型與示例
數據隱私合規文件一覽:
(僅作爲參考,由於Markdown無法畫出這樣的表格,我只能用Excel來寫)
看完合規文件一覽後,我們一個一個來講解。
4.5 通知
一般來說,從通知開始着手準備或審閱數據隱私合規項目文件的做法比較好。企業在隱私通知中具體披露哪些信息取決於其想要滿足的具體法律規定。
分享一些典型的法律規定和總結
通知要發送給誰?
大多數情況下會把通知發送給四個人羣:
1、企業員工
2、企業網站訪問者
3、企業客戶、分銷商、供應商和其他業務夥伴的自然人代表
4、自然人客戶
通知由誰來發布?
通知應當由數據控制者發出,同時,數據控制者不應該任由數據數據處理者發出通知。數據控制者是發出適當通知的主體,通知內容中應包括由數據處理者從事數據處理活動的信息。
創建常見的隱私通知需要注意哪些問題?
處理以數據主體爲讀者的隱私通知,一般要涉及如下要點:
1、發佈通知的主體是誰?
通知中需要寫明發布者的正確名稱,發佈者的辦公地址。適用於某法域的通知必須翻譯成當地的語言纔有效。
2、接收通知的對象是誰、範圍多廣?
爲了有針對性的告知相關數據主體,通知必須明確是針對哪些羣體而發,涉及哪些行爲範圍。
3、企業收集的數據類型是什麼?
企業應當提供所收集數據的足夠具體且完整的清單。而對於企業在數據主體未積極參與或不知道的情況下收集數據(如在線追蹤、通話錄音等),那麼應儘量提供數據的詳細信息。
4、企業收集數據的目的是什麼?
如果企業收集數據是出於履行其與數據主體所籤合同的義務,或者爲了遵守相關法律的規定,可以直接寫明。但是,如果企業收集數據是爲了營銷、改進服務或產品、監控數據主體行爲等,那麼必須提供額外的信息。
5、企業收集的數據與誰分享?
如果企業想與其他數據控制者分享數據,使該數據服務於該控制者的營銷或其他目的,則可能需要獲得數據主體的同意。同時,企業應該在通知中讓數據主體知道:企業是否會在沒有法律強制要求的情況下經常或主動與境內外執法機關分享個人數據,抑或企業僅在法律強制規定的情況下與境內政府分享個人數據。
6、數據位於哪裏?
歐洲數據保護機關通常認爲企業必須要向數據主體披露數據存儲在哪裏,數據是否會傳輸到歐洲經濟區外。但歐洲數據保護法本身通常不會明確這麼規定,而僅僅說數據主體必須被告知數據處理的一切相關細節。企業應該自行評判數據存儲在哪,數據是否傳輸到歐洲經濟區外,數據與數據主體的關聯性如何。
7、數據存儲多久?
企業應當向數據主體披露對數據的保存期限,尤其是當數據被刪除的時候。
8、數據主體如何讀取、更正、刪除他的數據?
企業(數據控制者)應當允許並實現數據主體訪問與其自身相關的數據,提出更正或刪除數據的請求。一般來說,企業可以自由決定執行細節,如怎樣被允許、邀請或引導這類需求。
9、營銷話術和善意聲明
“我們認真對待隱私”、“您的隱私對我們來說很重要”、“我們採用最先進的數據安全措施“,這類陳述並不會向數據主體提供任何有效信息,反而授原告律師和監管機構以口實,指責企業實際上並未充分尊重數據主體的隱私權益或未能遵守法律。
10、關於通知形式和送達的規定
企業必須以書面形式發出通知,但通常情況下,是以電子郵件或者網站發送通知即可。
4.6 同意
企業在開展某些類型的數據處理活動之前必須獲得數據主體的同意。
而有時候在收集和處理數據之前不確定是否需要徵求數據主體同意的情況下,爲了以防萬一而獲取數據主體同意,此時需要解決以下問題:
1、法律是否限制了數據主體同意的效力、效果和範圍?法律是否爲獲取同意設置了麻煩的形式或實質條件?
2、獲取並追蹤數據主體的同意是否很容易?
3、是否存在任何反對企業獲得該同意的政府機關、工會或其他機構?
4、尋求數據主體的同意是否存在擾亂現有商業關係的風險?
5、如果數據主體拒絕同意,企業應當如何做?
6、如果數據主體撤回給出的同意,企業應當如何做?
7、需要擴張或修改數據的處理或使用方式時,企業是否準備好再次向數據主體尋求同意?
8、尋求數據主體同意是否牽涉其他法律制度、審查和管轄權?
4.7 獲取有效同意的方法
如果企業決定獲得數據主體的同意,那麼就要判斷獲得同意必須滿足哪些法律要求。
例如歐洲數據保護法規定,當且僅當同意是數據主體”自願、明確且知情的表示除對其個人數據處理的同意”時,纔有效。如果涉及敏感個人數據,同意還必須是“明示“的。如果企業還考慮向非歐洲經濟區跨國傳輸數據,同意必須”不含糊“。關於數據追蹤(cookie)的同意,還必須滿足對“處理目的”提供“清晰且完備的信息”時纔有效。
關鍵詞:
事先,知情,書面,自願,明示、積極、不含糊和類似表述,明確和類似表述,區別和可區分
4.8 選擇加入、選擇退出及中間地帶
通常,企業和政府準備標準同意書並推送給數據主體,使其通過預先設定的形式、程序給出同意。這種做法既使數據處理基於同意而展開,也易於確認同意是否獲得。如果企業沒有按照預先設定的方式而是通過電話訪問或當面對話等方式獲取數據主體的同意,不可避免會面臨解釋和記錄獲取同意過程時的尷尬境地。
同意機制示例(明示程度由高到低排序)
1、在明確告知相關數據處理行爲的紙質材料上簽名。
2、在線點擊明確數據處理行爲的兩個可選框,其一表示數據主體確認已理解同意的範圍,另一表示數據主體確認願意做出同意。
3、在線註冊後,回覆系統自動發送的郵件,完成確認程序,表示數據主體已閱讀、理解同意請求並願意做出同意。
4、在線勾選明確告知數據處理行爲的未默認選擇的選框。
5、在通話中被問及是否同意通話監控或錄音時明確回答“同意”。
6、簽名或勾選未默認選中的選框以同意包含已預先設定同意書的合同條款。
最低要求
如果法律僅僅要求數據主體同意而沒有規定其他關鍵詞,那麼選擇以上任意一種方式都是可以的。
選擇實施方式
對於會對數據主體造成不利影響或無法預知不利影響的數據處理活動,企業應當採取更加顯著的同意機制。
對於對數據主體無影響或者獲得數據主體同意後效果很明顯的數據處理活動,企業應該採取不太顯著的同意機制。
默認同意
默認和不作爲的同意通常是無效的,除非企業一開始就明確且有效的保留以通知形式單方變更數據處理做法的權利,沉默纔有可能被認爲是同意。
肯定、明示同意
如果按照以上(1-6)同意機制中的方式,要求數據主體對數據處理明確給出單獨有針對性的同意聲明,就可以避免監管部門或法院所堅持的對存在法定“肯定”和“明示”條件的同意做出單獨聲明的風險。
4.9 獲取數據主體同意後的注意事項
除了獲取積極同意之外,企業還可以選擇採取額外行動來覈實並確保數據主體確實理解情況且同意出於真實意願。
企業如能在數據主體使用應用的特定功能時實時提供簡明扼要的額外跟進提示,那麼用戶更可能理解具體場景,從而做出是繼續使用應用、還是退出應用的知情決定。
4.10 起草同意書時的其他考慮因素
將通知併入同意書
通知書和同意書常常看起來差不多,因爲在獲得數據主體知情同意之前,企業必須對計劃中的數據處理活動的細節做出充分通知。因此,準備同意書時,通常也必須準備通知書或引述現有的通知書。
表述目標明確的同意
起草同意聲明時,必須決斷是必須獲得某項特定活動的明確和明示同意,還是想要獲得一切數據處理活動的廣泛同意。想要獲得明確和明示的同意,應確保同意書覆蓋到具體數據處理活動的各個關鍵方面。
同意機制和宣示的放置位置
無論如何,任何預先組織好的同意宣示應該呈現在接近待勾選的選框、“點擊接受”的按鈕或簽名行的地方,這樣消費者通過鼠標點擊才能清晰顯示出同意。如果把宣示同意的語句放在“接受”或“提交”按鈕下方,未必滿足要求。
獲取同意的主體
通常只有數據控制者能獲得數據主體的同意,因爲僅有數據控制者有直接的聯繫和機會來尋求數據主體的同意。一般來說,數據處理者沒有義務做這項工作。
4.11 與數據主體簽訂協議
和數據主體簽約與獲取數據主體同意
企業與數據主體簽訂協議時,涉及雙方當事人彼此間的同意。但當企業未通過簽約而獲取數據主體同意時,同意的宣示是單方向的,從數據主體指向數據控制者即企業。而簽訂協議後,在協議中,企業與數據主體是雙方互致承諾。
請求明示接受網站隱私陳述或通用隱私通知
這裏說一個非常常見但不推薦的做法,以作警示:
當企業明確關於數據處理發送通知或尋求同意時,經常也會讓數據主體接受企業的網站隱私陳述或其他關於數據處理做法的通用通知。
簽訂協議替代獲取同意
除了尋求數據主體對隱私陳述中數據處理活動的同意或接受之外,企業還可以通過與數據主體簽訂商業合同承擔處理個人數據義務,替代尋求數據主體同意、許可或接受。合同義務要求企業處理數據,同時也允許企業這麼做。
企業間的商業協議
從數據保護法角度看,企業之間可以簽訂三類性質截然不同的協議:
數據處理服務協議、數據處理分包服務協議、數據控制者之間的協議
| 協議名稱 | 協議說明 | 協議條款要點 |
|---|---|---|
| 數據處理服務協議 | 是指一家企業(數據處理者)作爲另一家企業(數據控制者)的數據處理服務提供商處理數據。數據控制者主導並負責大多數數據保護法下的合規義務。數據處理者遵循數據控制者的指示,僅爲數據控制者的利益-代表其處理數據 | 1、數據處理者僅爲數據控制者的利益、代表數據控制者處理數據 2、數據處理者必須遵循數據控制者的指示 3、數據處理者未獲得數據控制者指示前,不得變更數據處理活動的關鍵方面,如數據處理位置和分包商 4、數據處理者必須確保數據安全。雙方最好達成明確的技術、組織和行政數據安全措施,如數據處理者或數據控制者的信息安全政策 5、數據控制者對數據安全的責任到位後,就是數據處理者的責任的開始 6、明確數據安全事件下的通知、合作和賠償義務 |
| 數據處理分包服務協議 | 是指數據處理者聘請分包商,並把數據控制者與其所籤數據處理協議下的義務傳遞給分包商 | 1、數據處理者需要把其在數據處理服務協議下承擔的部分甚至全部義務傳遞給分包處理者 2、數據控制者的指示直接傳達給分包商,還是由數據處理者轉達 3、最初的數據處理服務協議中必須解決的問題必須要在分包處理協議中解決 |
| 數據控制者之間的協議 | 是指數據控制者將數據分享給另一家企業,該企業同爲數據控制者,爲其自身利益(如聯合營銷活動、借用或購買電子郵件列表等)接收數據。在這些情況下,兩個數據控制者均對數據享有利益並承擔合規義務 | 1、數據控制者是否應當向另一數據控制者承擔關於個人數據使用和處理的合同限制? 2、確定負責數據傳輸合法性的責任方,是數據的發送方,還是接收方,或者雙方都負責 3、一旦數據傳輸或者其中一個數據控制者的作爲或不作爲導致第三方提出針對某方或雙方控制者的糾紛,賠償與合作義務如何分配? 4、數據流動是否爲雙向的,故而權利義務是否也應當設計爲雙向適用? |
由法律和合規目的所決定的條款
如果法律強制規定簽訂協議,則企業之間就不得不採用簽訂標準合同條款和模板合同。例如,歐洲法律關於跨國傳輸個人數據的條款規定,企業可以執行歐盟委員會公佈的標準合同條款。
一般來說簽訂標準合同條款並非是合同一方當事人要求另一方當事人執行合約義務,而是雙方當事人共同執行合約義務以滿足法律規定。因此,對此類合同的強制執行多半來自於監管部門、數據主體和其他第三方。
4.12 辦事規程
通常來說,法律不會嚴格規定企業必須制定辦事規程。此外,從操作角度來說大型企業有必要對數據收集、使用、披露、訪問、保護和其他處理活動制定和頒行政策。作爲一個組織,企業必須遵守數據隱私法的各種規定。
至於一家企業到底需要制定多少數據隱私法合規的辦事流程,取決於企業的運作方式、員工數量和員工專業化程度。
在制定辦事規程時,要考慮該規程的實施對象、對應部門掌握哪些情況、如何能讓實施對象最好的抓住要點。辦事規程最好只包含與每個實施對象都具體相關的規則。
4.13 問卷與數據提交表
若通過問卷、網頁表格或其他形式收集數據,應當考慮以下幾點:
1、通過設計表格,企業可以設計所要接收的信息的類型。表格上的問題越明確,答案現象範圍越小,答題者越不可能提交企業不想要的或者可能招致企業責任的信息。
2、如果企業通過電子郵件發送問卷並希望獲得消費者反饋,但同時也宣傳產品,那麼這種問卷可能構成廣告,因此需要遵守反垃圾郵件法。
3、如果企業已經尋求數據主體對某些數據主體活動的明示同意,也要利用問卷調查的機會讓數據主體確認、更新或補充有關數據。這能幫助企業滿足數據完善的要求,履行通知義務,並減輕數據主體對具體數據類型可能存在的其他顧慮。
4.14 記錄決策和合規工作
企業需要把數據處理實踐和合規工作記錄下來。根據《歐盟通用數據保護條例》,企業有義務記錄數據處理活動。爲了準備這些文件,可以確定並明確列出企業需要遵守的規定,並在每項規定下描述企業的實際做法。
4.15 政府申報及批准
申報和批准的規定可能千差萬別,取決於:
1、出發申報要求的情況。
2、政府機關對哪些信息應提交申報提供指引的程度。
3、所提供信息的總量和類型。
4、作爲最初接收人,對數據再傳輸必須進行通報和披露的程度。
5、採用不同方式使向歐洲之外跨國傳輸數據獲得正當依據,或者任命數據保護官等情況在何種程度上可以豁免企業的申報義務。
6、數據傳輸協議或其他支持文件是否必須與申報表一併提交。
7、數據控制者是否必須披露接收個人數據的數據處理者以及披露到何種程度。
8、申報文件是否必須翻譯成當地語言。
9、對於數據傳輸的各方面是僅僅通報就可以,還是要獲得事先許可。
在大多數情況下,企業必須要通過官方表格、用當地語言提交申報文件和許可申請。同時,一旦之前申報的信息發生變更,法律一般規定企業更新發送給數據主體和政府機關的通知。
時刻持續跟進各種各樣、始終變化的當地法律規定還會給企業尤其是擁有大量外國子公司和數據用戶的企業造成沉重負擔。企業應該考慮確立一個流程確保各種變更都集中彙報給一位負責人(如數據保護官),該負責人能夠立刻進行申報或者定期彙總報告。
本篇介紹:撰寫數據隱私合規文件
本篇爲第4篇/共5篇
上一篇:企業安全隱私合規體系建設經驗總結(三)
下一篇:企業安全隱私合規體系建設經驗總結(五)
