《个人信息保护法》没你想象中那么简单


2021年09月29日

《欧盟通用数据保护条例》(GDPR)已实施三年,不少跨国企业都已对自身业务进行了基于GDPR的隐私合规改造。今年8月,中国通过《个人信息保护法》(《个保法》)后,在中国营商的跨国企业似乎能松一口气——表面上看,《个保法》的总体原则与GDPR没有根本性的差异。

那么,如果一间企业已经完成了针对GDPR的合规建设,还需要针对《个保法》投入更多资源吗?要回答这个问题,不能只比较GDPR和《个保法》的文本,而必须从业务运营和合规实务层面考察:能否直接将针对GDPR完成的工作直接套用到《个保法》的合规项目中。

答案是否定的。以下结合笔者在多个法域的隐私保护本地化经验作出说明。

 

概念差异

《个保法》与GDPR存在一些显著的概念差异。例如,GDPR明确区分了“数据控制者”和根据数据控制者的指令处理数据的“数据处理者”两类主体,而《个保法》与此不同:一方面,《个保法》中的“个人信息处理者”似乎更类似于GDPR中的“数据控制者”,这导致企业需要对其依据GDPR概念体系所起草的所有内外部文件进行修改。另一方面,受委托处理个人信息的主体(即GDPR下的“数据处理者”)在《个保法》中仍然被称为“个人信息处理者”,这就迫使GDPR合规的企业重新分析和修改其隐私权政策、用户同意书、各种内控制度以及与受托处理个人信息的供应商的协议等众多文件和内部管理措施。这种分析工作绝非简单的“查找 + 替换”,而要由对GDPR和中国法制体系都十分熟悉的专家才能完成。

另一个例子是“敏感信息”。GDPR中的“特殊类型的个人数据”与《个保法》中的“敏感个人信息”的范围有一定重合,但更多的是差异:《个保法》定义的敏感信息不包括GDPR所强调的“种族和民族背景”、“政治观念”、“工会成员身份”和“性取向”等;同时《个保法》又将诸如“特定身份”、“金融账户”、“未成年人信息”和“行踪轨迹”等纳入“敏感”范畴。由于敏感信息的合规义务与一般个人信息不同,企业即使已完成必须对其收集中国个人信息的方式、访问和传输控制和内部管理制度作出调整。尤其是对从事金融、航旅酒店、游戏娱乐和教育行业的企业而言,可能需要对其客户信息收集和管理的整个体系进行审计和重构。

 

监管和执法

GDPR要求欧盟各国建立统一、专门的个人信息保护监管机构,而中国《个保法》则延续了该法出台前的多头监管机制。因此,一般GDPR合规策略中应对监管的预案在中国难以套用。

其次,GDPR对违法行为作出了分类,然后针对不同类型的行为规定对应的处罚梯度,而中国《个保法》仅以情节是否严重作为处罚梯度的区分标准。这一差异客观上扩张了监管机关的自由裁量幅度,令企业难以沿用他们根据GDPR建立起的合规风险容忍策略。

此外,中国的个人信息保护制度与稍早前出台《数据安全法》等法律有复杂的共生效应。在多头监管的背景下,《数据安全法》与《个保法》的监管机构可能出现重叠甚至职权冲突。这就要求企业根据其所在行业仔细研究监管的重点,及时与监管沟通,确定自身不同业务场景的风险梯度,重新排列合规资源的优先级。

 

数据跨境

与GDPR相比,《个保法》对数据跨境流动作了较复杂的限制。企业即使已完成GDPR合规,仍需投入额外的资源应对《个保法》下的数据跨境规则。例如:企业可能需要重新设计个人信息主体的同意规则、申请国家网信部门组织的安全评估、进行个人信息保护认证、采用监管制定的标准合同与数据接受者签订协议(即使数据接收者与企业同属一个集团),等等。

此外,如果一间企业可能被认定为关键信息基础设施运营者或者其处理的个人信息数量较大,还必须注意数据在中国本地存储的要求。这意味着,即使企业已经完成GDPR合规乃至跨境数据的去标识化工作,仍需聘请专家对数据出境的合法性作出评估,并针对不同业务的特点,找到可操作性的解决方案。

 

隐私合规官(DPO)

GDPR对于欧盟境外企业偶然、低风险地收集和处理欧盟境内数据设置了例外条款,在这些情况下不需要在欧盟境内聘用隐私合规官。而根据《个保法》,只要是境外法律主体收集中国境内的个人信息,都必须在中国境内设立专门机构或指定代表处理个人信息保护事务,而不考虑其收集的数据量和实际的风险大小。基于这一差异,跨国企业需要仔细考虑由集团中的哪个主体作为其客户/员工的信息收集者。

值得注意的是,《个保法》穿透了公司面纱,对企业中承担个人信息保护的责任人规定了严厉的个人处罚。因此,在安排中国境内代表时,企业还需要设计专门的配套制度,例如赋予他们跨集团分支机构和跨业务线的职权、安排责任保险等,而不能仅在形式上指派隐私合规代表。

综上,《个保法》与GDPR的许多差异不仅涉及产品隐私权政策文本的修改,还牵涉到企业的整体数据管理制度乃至IT基础设施和企业架构的调整。所以,《个保法》短短两个月缓冲期,对已经根据GDPR完成合规建设的企业而言也并不充裕。企业需要立即选聘合适的顾问展开合规本地化工作,并持续观察所在行业的监管动态,才能有效预防和降低合规风险。

 

(作者董皓律师,系国际隐私从业者协会(IAPP)认证信息隐私管理人(CIPM)、香港个人资料保护专员协会会员)


返回