2022年全球数据合规领域的立法进程取得了长足发展,各国纷纷建立健全数据战略、法律法规和各项标准指南,以对数据安全及个人信息保护进行统一的立法、规范和引导。对于出海企业而言,企业不仅需要严格遵守国内及目标国/地区的数据立法规则,也需关注重点执法案例与前沿监管动态,在保护数据安全与挖掘数据价值、实现科技创新之间找到平衡点。本文将从2022年度的全球数据立法和执法的代表性事件出发,深入解读数据合规的前沿要点并提出企业合规建议。
2022年度全球数据立法事件回顾
一、2022全球数据保护立法概览
截止到2023年1月,全球194个国家中已有超过130多个国家对数据和隐私保护进行了立法;大约 57% 的亚洲国家和 61% 非洲国家通过了数据保护立法。
从全球范围来看,数据合规保护立法是一个已经定式的大局方向。企业在出海不同国家的时候,可以根据各国立法的维度,初判自己要进入的国家、地区的数据监管状态是比较严格或是比较宽松的。
二、2022全球十大数据立法事件
全球立法趋势:以欧盟、美国立法为创新性风向标;其他各国结合本国情况,制定、修改本国法律规范,逐步完善法律框架。
(一)美国《数据隐私和保护法案(草案)》:
尽管法案距离正式颁布还需一段时间,但该法案的草案是第一个获得两党和两院支持的美国综合性联邦隐私法案(草案);旨在联邦层面建立消费者隐私数据保护法律框架,为美国消费者提供了隐私权保护和有限的补救措施。
(二)欧盟《数据法(草案)》:
《数据法(草案)》增强数据主体的数据可移植性权利,以便数据主体在提供竞争服务的控制者之间传输其数据。该法案就数据共享、公共机构访问、国际数据传输、云转换等问题做出规定,旨在消除数据访问障碍、释放数据价值、确保数据经济参与者之间数据价值分配的公平性,并促进数据的访问和使用。适用对象包括互联产品的制造商、数字服务提供商和用户等。
(三)欧盟《数据治理法》:
该法案将在健康、环境、能源、农业、流动性、金融、制造业、公共管理和技能等战略领域建立共同的欧洲数据空间,旨在增加对数据共享的信任,建立关于数据市场中立性的新欧盟规则,并促进公共部门持有的某些数据的再利用。
(四)欧盟《数字市场法》:
该法案规范“看门人”企业的平台竞争问题,仅适用于根据法案中规定的客观标准被认定为“守门人”的公司。《数字市场法》旨在通过加强守门人义务对平台进行规制与监管,防止科技巨头对企业和消费者施加不公平条件。
(五)欧盟《数字服务法案》:
该法案适用于为欧洲数据主体提供服务的在线中介服务,规定了数字服务商的合规义务,以欧盟《电子商务指令》的规则为基础,解决了围绕电商平台的特定问题。《数字服务法案》旨在为中间平台服务提供商,特别是社交媒体等在线平台,明确责任和问责制。
(六)韩国《个人信息保护法(修正案)》:
修正案更加明确地促进数据主体权利并改进了同意机制,引入数据主体享有数据携带权以及拒绝自动化决策的权利、扩大了“知情同意原则”的例外情形,旨在加强在数字经济大的背景下公民可能被削弱的个人信息权利。
(七)日本《个人信息保护法(修正案)》:
修正案主要涉及六大方面:1)数据主体的权利;2)企业责任;3)企业自我完善机制;4)数据使用策略;5)处罚;6)该法案的域外适用性和数据的跨境传输。此外,该修正案引入“需要特别注意的个人信息”、“个人相关信息”、“假名化信息”的概念;加强个人数据跨境传输中跨境传输方对数据主体的告知义务。该修正案旨在通过扩大数据主体的权利和增加企业的义务来加强对个人信息的保护。
(八)新加坡《个人数据保护法(修正案)》:
该修正案为新加坡的个人数据保护提供了基本准则,补充特定行业的立法和监管框架,如《银行法》和《保险法》,旨在保护数据主体的个人数据并且规范数据处理者的数据处理行为。
(九)印度尼西亚《个人数据保护法》:
该法案规定了不当处理公民个人数据的法律责任,保障数据主体的合法权利。印度尼西亚第一部系统的的个人数据保护法案。
(十)泰国《个人数据保护法》:
泰国第一部综合数据保护法,规定了数据收集、使用和披露的合法理由,包括敏感的个人数据、控制者和处理者的义务,以及数据主体权利等。
合规建议:积极学习并借鉴欧盟、美国的立法内容;实时关注出海国、目标国法律法规变动、新增情况。
2022年度全球数据执法事件
(一)全球2022执法活跃度
执法活跃度根据司法案件数+行政罚款案件数+案件资讯数综合统计。
在全球范围上看,执法最为活跃的是占比高达71%的欧洲地区,其次是亚太地区,北美、拉美、中东地区。
从欧洲各国间执法活跃度的对比来看,2022年西班牙和意大利的活跃度遥遥领先,丹麦、希腊、挪威、芬兰、德国次之;亚太地区则以韩国为首,新加坡、澳大利亚、中国香港、中国大陆、菲律宾、日本等次之。
根据各国的执法的活跃度,企业可以判断是否在对应的国别设立数据中心,以减轻数据在跨境传输和本地化存储方面的负担。
(二)年度执法行业活跃度统计
1、公共部门板块占比最高,为27%
公共部门的案例涵盖公共的“受处罚主体”与“处罚事由”两个要素。上述任何一个要素与公共部门有关,该案则将被列为公共范畴。
受罚主体“公共”:① 受处罚的公司属于政府企业,例如:意大利Garante因意大利邮政公司未回应DSAR而罚款10,000欧元;② 受处罚的主体属于政府机关,例如:英国ICO因国防部在内的6个政府机关以及维珍传媒有限公司未回应DSAR而对上述主体发出了谴责令。
受罚事项“公共”:2022年度与COVID-19有关的公共数据执法案件较多。
2、金融、保险和咨询板块占比23%
金融行业风险点包含下述三种情形:
收集、处理行为:针对已收集的个人信息,企业需防范数据安全事件的发生;针对待收集的个人信息,企业应当制定隐私政策、隐私协议、履行法定义务。
内部制度:较多金融机构在管理体系中出现合规风险,例如未搭建合规框架、未设置内部访问机制、未依法保存商业记录或数据记录等。
外部合作:部分金融机构在与第三方合作前,未严格调查企业背景、企业数据安全措施及其他合规风险。
3、医疗与健康板块占比20%
医疗行业风险点包含以下几个方面:
●所涉合规义务复杂:医疗行业内的法律法规数量多、专业性强。
●所涉数据及个人信息特殊:敏感个人信息、重要数据、人类遗传资源...
●所涉场景复杂:
场景1:传统医疗——涉及医疗机构、医生、患者、药店、医疗检测等主体;
场景2:互联网医疗——涉及医疗类 app、电子处方等合规要素。垦丁数字医疗法律团队在2022年12月出版了数字医疗合规问答及合规指引,从医疗、法律、技术多维度剖析合规问题。
4、媒体、电信和广播行业占比14%;教育行业占比6%;交通(含汽车行业)占比6%;能源行业占比1%;其他(含房地产、零售等行业)则占比6%。
(三)值得关注的执法板块
企业可以将下列“值得关注的执法板块”作为风向标,了解在出海过程中应该重点注意哪些合规板块,从而在开展跨境业务时,降低重点事由的法律风险。
1、记录保存与问责制度
理解:问责制要求企业证明已履行/将继续履行数据义务。
履行合规义务的方式:提供数据保护政策、合同、数据记录等。
需要关注此事由的行业:一般行业均需保留数据记录,金融行业在记录保存领域的合规要求较严格。
案例:美国16家金融机构因未履行商业记录保存义务受罚共计约11亿美元。
2、透明度义务
情形:个性化广告、信息推送等。
案例:Meta公司因未告知如何将数据用于个性化广告受爱尔兰DPC 处罚3.9亿欧元。
3、儿童隐私保护
特点:案件影响大,罚额高。
案例:①Meta因侵犯未成年人个人信息受爱尔兰DPC处罚4.05亿欧元;②Tik Tok因未经父母同意处理未成年人个人信息或将受罚2700万英镑。
4、我国透明度原则
(信息处理行为透明度)公开透明原则:《个人信息保护法》第7条规定,处理个人信息应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围。
(算法透明度)自动化决策的透明度原则:《个人信息保护法》第24条规定,个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。《互联网信息服务算法推荐管理规定》第16条规定,算法推荐服务提供者应当以显著方式告知用户其提供算法推荐服务的情况,并以适当方式公示算法推荐服务的基本原理、目的意图和主要运行机制等。
常见合规方式(部分要点,包括但不限于):
(1)制定隐私政策条款:通过条款明确告知信使用自动化决策的业务场景;
(2)弹窗单独告知:以横幅、弹窗或者页面标签等形式在业务界面中披露信息;
(3)制定专门性描述文件:通过单独的文件披露自动化决策中的个人信息类型、目的和方式等内容。
5、境外透明度义务
综合分析2022年全球因透明义务而受处罚的案件,我们将违反透明义务的情形归纳为以下几个方面,供企业自查自纠:
(1)难以获取用户政策。自查用户看到披露政策的内容前,是否需经过复杂的操作流程。法国CNIL与谷歌案中,谷歌采用了分层的方法来向用户告知相关信息,这意味着数据主体必须点击多个链接才能访问关于数据处理方面的详细信息。Google用户为了看到谷歌个性化广告服务的相关条款,至少要进行5步操作;法国CNIL认为谷歌设置的操作过程复杂,违反透明度义务。
(2)内容不够清晰、易懂。自查披露政策的表述是否清晰、易懂。实践中,Google过于模糊、笼统地描述数据种类、处理目的和处理过程,从而导致用户并不能通过谷歌的《用户手册》或《隐私政策》充分了解谷歌的数据处理行为带来的后果而违反透明度义务。
(四)十大数据执法事件
1、概览
(1)美国16家金融机构未依法保存商业记录案;(2)美国T-Mobile公司泄露大量用户信息案;(3)Epic Games侵害未成年人隐私并使用暗黑模式案;(4)Google和Meta非法收集个人信息并用于个性化广告案;(5)爱尔兰Meta(Instagram)非法处理未成年人数据案;(6)意大利Enel Energia 电气公司不当传播个人信息并非法发送促销广告案;(7)韩国Triple Comma非法处理敏感个人信息案;(8)德意志银行股份公司未依法建立数据合规体系案;(9)中国某出行公司非法处理个人信息案;(10)中国首例数据合规不起诉案。
(备注:非官方统计,团队结合罚款金额、处罚事由、国家及地区等因素进行总结)
2、罚款金额最大案---美国16家金融机构未依法保存商业记录案(诉讼和解)
案件概要:从2018年1月到2021年9月,16家金融机构的员工经常在个人设备上使用短信应用程序沟通业务事宜。这些非渠道沟通的大部分没有被公司记录和保存。
涉案企业:德意志银行证券公司、高盛、花旗、摩根士丹利等16家金融机构。
涉案人员:多级别员工(包含主管、高管、高级及初级银行家、债券和股票交易员等)。
诉讼和解措施:(1)共计支付11亿美元罚款;(2)停止并制止与记录保存有关的违法行为;(3)承诺聘请合规顾问牵头合规工作;(4)全面审查各金融机构的合规框架。
合规启示:(1)处罚力度结合行业+特殊义务+影响综合考量;(2)注重合规框架的搭建;(3)外部合规顾问指导事后合规工作。
3、损害范围最广案---美国T-Mobile公司泄露大量用户信息案(诉讼和解)
泄露原因:黑客以T-Mobile(通信公司)的名义非法访问Experian(征信机构)的内部网络,窃取个人信息。
受泄露的信息:(1)信息主体:客户、前客户和潜在客户;(2)信息类型:身份信息为主(如:姓名、地址、出生日期和驾照/身份证信息),不包含支付及财务信息(如:信用卡、借记卡等)。
诉讼和解措施:(1)拟支付3.4亿美元和解金;(2)同意额外投资1.2亿美元加强数据安全;(3)同意接受详细的第三方管理义务,以加强其对第三方的监管,包含:① 实施第三方供应商风险管理计划;② 维护第三方供应商清单,根据第三方接收或维护信息的性质和类型,对第三方进行重要性评级;③对三方提出数据安全措施要求(包括设置加密密钥和补丁等)。
合规启示:(1)事后合规成本高;(2)事前注重对第三方监管。
4、法律后果
(1)行政罚款:包含企业罚款和个人罚款,例如某出行公司案中,董事长兼CEO、总裁各受处100万元人民币。
(2)采取补救措施:停止违法行为;制定并落实安全保障措施计划、建立数据合规体系;开展员工数据合规培训等。
(3)诉讼和解金:常见于美国诉讼和解案件。
(4)附加其他限制:其他限制包含过程性限制与结果性限制。例如,某出行公司在受监管调查过程中,被要求下架25余款app(过程性限制)。此外,法国CNIL对VOODOO公司施加三个月的禁令,并要求公司对该禁令带支付每天20,000欧元的罚款(结果性限制)。
(5)定期提交情况报告:美国OCR要求Life Hope Labs定期提交整改情况汇报。
合规建议
(一)基础性合规建议
1、自查企业数据合规现状
通过尽职调查、内部访谈、内部会议等形式开展企业合规现状排查;
企业可引入外部法律团队,协助企业完成初步排查工作。垦丁W&W国际法律团队提供一站式法律解决方案;团队曾协助多家头部与一线的知名企业针对现有数据情况进行摸底排查,找出合规差距并提出落地解决方案。
2、快速掌握本国及目标国数据处理规则
建议从场景性、领域性、主体性规则入手,掌握本国及目标国针对不同场景、业务领域、数据主体的法律规定,形成合规概览。垦丁W&W国际法律团队曾针对全球主流出海国家的数据保护现状进行研究,并撰写《中国个人信息保护法与海外多国/地区数据合规保护企业合规要点比较报告》,以便给不同类型的企业在准备出海或进行出海过程中遇到法律实务问题提供实务性参考。建议特别关注敏感个人信息、未成年人个人信息等特殊类别。
3、规范履行告知-同意义务
常见的违法行为:未将处理数据的方式、目的等内容告知数据主体;以非法手段/强制获取数据主体的同意;未依法针对不同的个人信息类型采取不同的征求数据同意措施。
“告知”的合规要点:①使用清晰、易懂的语言;②以显著、清晰的方式(下划线、字体加粗等);③避免概括性、说明性的表述。
“同意”的合规要点:①不得强迫同意;②提供撤回同意的选项;③重要事项变更,需重新征得用户同意。
(二)重点性合规建议
1、未成年人信息关注要点
如何判断、区分未成年人信息:身份证号码、声纹、语音、智力测试、习惯模型(如面部特征、行走姿态等等)。
如何核验监护人身份、落实其是否同意未成年人使用产品或服务:核验方式包括短信验证、电话验证、邮箱验证、符合产品目标用户年龄段的知识解答等(如算数题、成语及诗词排序等)。
拒绝未成年人注册是否合规:实践中大部分企业并不会直接拒绝未成年人使用app或其他产品及服务。常见合规方式是企业在用户协议及隐私政策中推定使用其产品的用户为成年人,未成年人用户应当在其监护人的指导和同意的前提下使用。
2、生物特征识别信息关注要点
如何存储、使用生物特征识别信息:不应直接存储原始信息(可存储摘要信息或在采集终端中直接使用信息);彻底去除信息内容与主体的身份关联,并告知主体信息存储时长;使用后,及时删除生物特征识别信息。
3、其他敏感个人信息关注要点
如何判断、区分敏感个人信息:此类信息一旦泄露或者非法使用,易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害。法定的敏感个人信息包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等。
(三)体系性合规建议
1、搭建数据合规体系
垦丁W&W国际法律团队曾为知名互联网公司及大中型外资企业提供数据合规服务,曾为企业从0到1搭建数据合规体系。根据服务经验,我们总结出下述方法论:
确定上下天地线:
(1) 明确企业的具体合规目标。
合规目标到达哪个程度,不同发展阶段的企业合规目标不一,合规的深度与颗粒度也不一,需要根据企业自身的情况具体确定;
(2) 确保获得组织环境的支持。
数据合规工作不仅是且不能是单一某个部门的工作,需要公司各个部门的协同与合作配合才能有效开展,是否能调动不同重要部门的协作是项目落地中的关键与难点。
稳抓左右两大护法:
(1) 隐私保护基本原则:合法、正当、透明;目的限制;数据最小化;准确性;存储期限最小化;完整性与保密性;可归责。
(2) 隐私设计基本原则:主动而非被动;默认进行隐私保护;隐私嵌入式设计;端到端安全;可视化与透明度;尊重用户隐私。
通过PDCA方法论开展与落实数据合规工作:
(1)计划:公开承诺;确定合规要求;角色、职责、义务;评估风险。
(2)执行:组织、高层支持;能力和意识;沟通。执行文档;程序与控制;培训。
(3)改进:持续更新、改进;关注最新监管动态;维持合规状态。
(4)检查:内部合规、定期检查;管理、测量、监督;发现问题、随时记录;调查、调整。
2、公司内部体系化隐私管理制度
垦丁W&W团队搭建内部隐私管理制度时涉及的具体的工作内容包括但不限于:协助公司建立个人信息权利保障机制、内部的数据保存及数据访问制度、数据安全监测和预警系统、数据泄露应急处置联动机制,健全数据安全管理制度、操作规则等。
(四)发展性合规建议
1、赴境外上市前关注数据合规工作
企业在准备赴境外上市时,若未充分关注数据合规情况,不仅企业的上市进程将受到影响,企业业务运营、市场份额、用户信任度等方面也将受到影响。鉴于此,我们建议互联网及出海企业引起重视,将网络安全与数据合规列入企业经营考虑要素,逐步推进并落实合规措施,保障企业稳步发展。
2、开展出海业务前关注数据跨境及数据本地化存储工作
企业在发展到一定阶段后,可能会考虑将业务版图扩展至境外(如印度、东南亚等国)。以我国的跨境电商企业为例,此类企业需注意我国及出海目标国关于数据出境、数据跨境处理、数据本地化存储的要求。不同出海国的法律规定将影响企业的合规部署计划及落实方案。
(五)补救性合规建议
1、受监管调查后,积极配合调查工作
企业的合规态度会通过影响刑事起诉决定或处罚力度的方式发挥作用:
一方面,积极的合规态度及实际的补救措施可能会为部分企业争取到数据合规不起诉的结果。
另一方面,消极的合规态度可能导致执法机构提高罚款数额。例如,意大利I-Model公司未及时回应调查要求,违反GDPR义务,综合受罚上万欧元;如果企业合规态度积极,执法机构可能视情况减少罚款金额。例如,西班牙执法机关可能会因企业以自愿支付的方式主动支付罚款,最终降低罚款数额。
2、采取补救措施
企业可采取的补救措施包括停止违法行为;制订并落实安全保障措施计划、建立数据合规体系;开展员工数据合规培训等。
来源:iLaw合规
自主竣工验收
清洁生产审核
排污许可核查
