主讲人介绍
H同学
目录
1) 介绍数据合规的日常工作,介绍行业主要雇主。
2) 做数据合规需不需要理工科背景。
3) 日常工作中需要处理哪些事务。
4) 案例分析:业务部门、技术部门关心的问题,融合技术和法律。
5) 数据合规学习入门。
6) 个人信息保护领域的两个概念:个人信息定义、“告知同意”规则。
01
谁是衣食父母
1、公司
2、律所
3、数据合规主要的监管部门
02
是否需要理工科背景
03
日常工作
1、搭建制度体系(外规内化)
例如《个人信息保护法》《数据安全法》要求数据分类分级,就要细化到哪个部门来做、怎么做,形成一套规则。再例如信息泄露了怎么办,客户个人信息保护怎么做,要明确外规是由谁来落实的。
2、行政审查
3、APP合规
在互联网时代,大部分行业企业都会有自己的APP,一旦APP被工信部、网信办、公安部通报了,对企业来说可能是一个比较严重的舆情事件。比较常见的情况是应用被商店下架。例如存在部分个人信息处理行为未在隐私政策中披露。常见的整改方法可能是明确完整地在隐私政策中做好告知,取得个人的同意,禁止欺骗、诱导用户,捆绑拿取授权等。
4、与业务相关的数据合规
只要是涉及自然人的业务,基本上都会涉及到数据合规。例如车企,特别是现在网联车,车外摄像头能收集到很多个人信息,车内也能收集很多信息。怎么样才能保护车主及车外人的个人信息安全,就很有意思。
我自己的感想是:想要做数据合规,先要对业务本身的模式有了解,不然很多数据流动的法律关系不是很容易判断。举个例子,金融产品代销是个人信息的委托处理还是对外提供?比如基金公司让一家银行帮忙卖基金产品,这里面本来是一个什么样的法律关系,首先要对底层业务的相关的法律知识有一个了解。
04
背景知识
实践案例:个人信息是什么?
《个人信息保护法》对个人信息的定义:以电子或其他方式记录与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的个人的信息。其中,识别是一个路径,关联也是一个路径。
识别包括已识别和可识别,就是说能从信息推到个人。已识别的信息是指信息与个人有一一对应关系。比如身份证号,一个身份证号在中国境内大陆对应一个人,具有唯一识别性,是已识别信息。可识别信息是指可以与其他信息结合起来识别自然人的身份。如果一个人是一个完整的拼图,拼图中的一块就是可识别信息。比如叫小明的人有很多,但是住在某一个地址的小明可能就只有一个人,这两个信息交叉的点能识别到唯一的个人,姓名和住址都属于个人信息。
关联在《个保法》中只有两个字,红字是摘录自《信息安全技术—个人信息安全规范》(GB/T 35273-2020)的关联的路径,由个人到信息,已知你这个人是谁,在日常生活中产生的痕迹。比如个人位置信息、浏览记录(APP、网页等)。但在实操中还有一些问题,比如笔记是不是个人信息,多少个朋友关注了公众号是不是个人信息,是谁的个人信息?可能第一反应不是个人信息,但假如一个微信号只有一个好友,或者公众号只有两个好友关注,是不是就可以直接定位到个人?
《信息安全技术—个人信息安全规范》(GB/T 35273-2020)中明确列举了个人信息。
另外一个是中国人民银行发布的《个人金融信息保护技术规范》,在金融行业受到广泛认可,将个人信息分为C1、C2、C3三层,C3敏感程度最高。
身份证号码能不能对外提供?后 6 位加*并且计算MD5值后能不能提供?
简单的处理方式包括打马赛克或者标星,不借助额外信息时无法识别特定自然人。但是如果有标星的身份证号码,加一个地址,出生时间,或者再加一个其他信息,就能够把这个人找出来了。
匿名化就不一样了,一旦匿名化,就等于完全找不到人。法律对个人信息的定义中也不包括匿名化处理后的个人信息。这个点很重要,匿名化的信息相当于被删除的信息,没有任何价值。因此“匿名化业务”是存在逻辑漏洞的。
MD5算法是什么?根据知乎回答,不管多长的数据(也可以是一个视频或PDF),计算出的MD5值都是固定的。只要做一点改动,值都会变化,基本上可以认为是数字指纹(但不绝对),因为数据太多,所以可能不是完整的一一映射的关系。但如果我们简化一下,基本上就可能认为MD5是一一映射的函数。网上有很多工具都可以计算MD5值。
这是ChatGPT给出的答案。
这是我个人的答复:
正式答复:这只属于去标识化处理,没有达到匿名化的程度,对外提供给合作方,必须遵守个人信息保护法第23条,要履行相关的义务。
详细解释:给出去的时候虽然只给的是乱码,但是业务一般会给我们的合作伙伴。给出这串乱码之后,还可以告诉他这个东西是怎么算的,先把后六位加上星号然后再算MD5值。同时又告诉他这些MD5值对应的客户都是亿万富翁,都是非常有钱的。合作方因为自己也有一个客户的列表,他可以把他所有的客户的身份证号码全部后六位加星,然后同时再进行MD5计算,然后如果有一样的,那很大概率这个人就是有钱人,所以他就可以去营销一波了。这相当于还是把这个人的个人信息给出去了。
05
如何入门
1、资料推荐
(1)《数据合规的监管逻辑》
如果要去律所面试,建议看一看。这篇文章以网络安全法为基础,对数据合规的治理体系进行了介绍。
(2)《数据合规入门实战与进阶》
这是三位非常知名的实务老师写的书,从小白视角为大家介绍如何从头开始学习数据合规。如果你有一周时间,想深入学习一下个人信息保护法,可以看一下。数据合规70%到80%的内容都是个人信息保护。
(3)个人信息保护法条文
如果你有一个月时间,建议逐条看个人信息保护法的法条。如果有困惑的话,可以看一下这三本书。第一本书是《个人信息保护法释义》,杨合庆老师在全国人大常委会法制工作委员会任职,是个人信息保护法的起草人之一,他的解释比较权威,并且对一些关键问题有比较明确的态度。第二本书是《条文理解与适用》,可以代表法院的态度,对司法实务有很重要的参考价值。第三本书是《个人信息保护法理解与适用》,程啸老师的书出得比较早,非常详细,里面对于比较法和疑难问题论述得非常具体。
我之前还在我的公众号里推荐了几十个其他的公众号,如果真的想深入了解的话,每天接受新的信息的话,可以把那些公众号都关注一下。
2、证书推荐
首先我声明一下,这些证书我都没有,我是从一个比较权威的专家的文章中摘录过来的。
(1)IAPP,国际隐私保护协会(international association of privacy protection)下的三个证书。第一个是CIPP,是法律相关的。CIPPE,E代表Europe欧洲。绝大部分人律师考的是CIPPE。还有一些会考 CIPPUS美国。CIPPA是亚洲的,考的人不多,因为亚洲的太杂了,中国的《个保法》不在这个范畴。第二个是CIPM,属于数据管理,可能涉及数据治理的内容。有一个前辈给我的建议是,有这两个证基本上去外企应聘,他们可能还是比较认可的。第三个是CIPT,技术相关,这个对法学生来说可能有点难度。如果感兴趣的同学可以考前面这两个证,报名费有点贵。
(2)CISP-PIP,国内考试,技术相关。
(3)CISSP,国际考试,技术相关。
06
法条学习
法条学习是非常重要的。我用工作中的亲身经历做一个说明:《个保法》中除对“个人信息”进行定义外,还有一个定义叫“敏感个人信息”,对敏感信息的保护程度更高。前面提到的人民银行的分类标准也有涉及。我面临的问题是:“C3是敏感个人信息,还是C2和C3都是敏感个人信息?”C3是“可能造成严重危害”,C2是“造成一定危害”。如果只看到上面这个危害,可能会难以肯定C2、C3都是,但之前在《个保法》征求意见的过程中,最开始的表述是“有严重危害”的,但正式稿把“严重”两个字删掉了。所以如果你了解法条的变更情况,对回答这个问题是非常有帮助的。
一个可供参考的答案是:最开始《个保法》起草的时候,表述是“严重危害”,按照这个理解只有C3是敏感个人信息。但是正式稿把“严重”两个字删掉了,这可以看出立法机关对个人信息保护倾向于趋严,也就是从严保护我们的个人信息。所以我们可以认为C2、C3都是敏感个人信息。了解法条征求意见稿到最后出台的变迁还是有一些作用。
现在《个保法》这些东西都刚刚颁布,一开始没有什么东西学,所以就去学草案。像很早之前《合同法》颁布之前也有征求意见稿,现在我们学的时候肯定不会去看合同法的征求意见稿。但如果正式稿一直没有颁布,就需要对草案非常了解,等正式稿出来了做一下对比。这可能是我们现在做数据合规的一个好处,就是我们的知识其实是在随着我们国家的数据合规的体系不断地完善的。
07
问答环节
Q1:在国企和在外企做数据保护、数据合规有没有区别?
A1:这个区别可能还是挺大的,我国《个人信息保护法》刚颁布,相关制度没有外企那么健全。外企在中国一般是子公司或分支机构,很多母公司层面的制度是基于欧盟的 GDPR 或者美国的CCPA来制定的,既要满足境外要求,又要满足个保法要求。我个人理解在外企可能会收获更多,首先能学 GDPR,其次是外企有一套比较完整的体系,对个人信息保护的重视程度也更高。如果在内资企业,因为这方面建设得没有那么完整,自己可以参与到制度构建的过程中,也能学到很多东西。
Q2:有关单独同意豁免。
A2:《个人信息出境标准合同》已经发布,合同附件里明确基于个人同意处理个人信息的,出境前需取得其单独同意,即官方要求必须基于同意再适用单独同意的合法基础。举个例子,跨境快递场景下,我们需要寄快递到美国,EMS在境内只会承揽一段,到境外由另一家快递公司继续送。在这种情况下,因履行合同需要,必须将个人信息提供给境外公司,再要求单独同意,其实没有太大必要。另一个更极端的例子是有人生命危急,假设只有美国或者欧洲的医院能够治疗,国内医院需要把病例信息发出去,此时自然人已经面临生命威胁,无法获得单独同意。从法理上讲,《个保法》第13条有不同的合法性基础,并且在具备合同合法性的情况下,就无需取得个人同意了。这个是在总则的规定,优先于分则适用的。详细的论述可以去看一下程啸老师的、法工委的和法院的书,三本书的观点都是一致的。
Q3:内部搭建的难点如何解决?
A3:这个困境可能是牵头部门不是特别好确定,现在可能只有滴滴的这个案子监管力度比较大,其他监管上面的罚单还不那么让大家感到惶恐,所以这方面推动起来还是比较困难的。可能大家可能都不愿意牵这个头,所以对这块的投入肯定不会像自己的主营业务投入那么多。
Q4:内所和外所做数据合规的前景?
A4:我感觉内所这方面倒还好,因为我个人理解数据合规主要属于合规业务大类,做得比较好的一些律师会去做一些个人信息保护相关的诉讼,这个外所参与不了,但大部分时候其实还是做合规。我觉得内所和外所其实不是这么重要,主要还是找一个好团队,内所有很多好团队,可以去看一下Chambers的榜单,那些合伙人的团队都是非常好的。外所的数据合规业务说实话我不是特别了解,有挺多律师做得挺好的,并且可能我猜想在外所的话,可能做外企的合规会更多一些,GDPR那些也能学。这个可能我只能回答到这里了,因为我自己没有在律所工作。
Q5:做in-house比较专业,是否去先去做企业合规比较好?
A5:这个不好这么说,在in-house的话其实是对一个行业可能比较了解,因为你天天跟IT、业务部老师打交道。但是你在律所的话,可能新能源汽车、制造业、零售各行业都做,涉猎的面会比较广。一个是深度,一个是广度,大家各有优劣,可以根据自己情况选择。对比一下律所和公司法务做数据合规的内容,可能在公司内部会更加贴近业务一些,会深度地参与一些讨论,对业务的了解更多一些。强度的话,律所大部分情况下会比企业强度更高。薪资的话可能就区别比较大了,像汉坤、方达他们起薪都是3万,entry-level还是挺高的。但企业这边可能不同行业收入情况也不同,如果是比较好的企业,收入也不一定会比这些红圈所差。发展空间方面,懂数据合规的人目前还不是那么多,如果你要跟一个执业十几年的律师讨论意思表示,可能完全没有胜算,但如果就刚刚出来的个保法,因为大家都不了解,所以只要逻辑上是对的,经验上可能老律师就不一定会这么有优势,因为这对大家来说都是新的。我只能说数据合规这个领域可能相较于其他传统领域的话,它的市场没有那么红海。但其实说实话,这一两年该出来的律师其实也出来了。
Q6:读金融法还是科技法比较好?
A6:学校好都可以,其实主要还是看你自己,比如说我写了一些文章发表了,或者说我有公众号。如果去国企的话,我建议优先看这个大学的QS排名。
Q7:哪些行业的国企in-house数据合规重视程度比较高?
A7:可以去看哪些行业对个人信息数据合规领域出的行业标准比较多。前面提到了车联网,对这块非常重视,还有互联网。金融其实也比较重视,医疗制药对数据出境很重视,第一个成功的案例就是协和医院的数据出境案例,因为涉及到遗传物质,还有一些药企也是。
Q8:入职外企?
A8:外企好像不太招应届生,他们都比较喜欢挖成熟的律师。我在校期间其实在一家外资的金融机构还有一家传统的制造业实习过,外企在境内的规模都比较小,legal可能只有两三个人,不太有培养应届生的意愿,更希望来了就能做事。我实习过那两家外企他们都是直接挖红圈所或者精品所,并且同时有留学经历的律师。
The End
致力于打造优秀法律同辈的圈层文化,
搭建最真实、有效、优质的信息分享平台
点击链接,了解 Legal Road 往期的精彩故事: