一、前言
为了响应经济全球化和信息化的大环境,中国提出了“一带一路”倡议,全面深化改革,秉持加深区域合作的精神,促进实现自由开放的全球化合作共赢。在此背景下,越来越多的国内服务提供商开始展开出海行动,步入全球舞台。与此同时,近两年新冠疫情在全球范围内的爆发,亦推动了数字化服务及办公线上化的进程,但也增加了数据在多个区域间的交互传输,进一步引发了境内外社会各方对于服务提供商是否有效保护个人隐私数据和数据安全的担忧。如何保障自身所提供的对外服务具备充分的隐私及数据安全保护能力,成为了中国服务提供商在海外提供服务时急需考虑的重要问题。
二、全球范围内隐私保护立法情况
自欧盟于2018年5月25日颁布《通用数据保护条例》(GeneralDataProtectionRegulation,简称“GDPR”)以来,隐私保护开始以前所未有的速度受到全球大部分国家和地区的广泛关注,各个国家都在结合自身差异化的文化背景和市场环境特征的基础上,逐步制定或完善适用于本国本地区居民的隐私数据保护法律法规要求。
2020年11月3日,美国加州通过了基于《加州消费者隐私法案》(CaliforniaConsumerPrivacyAct,简称“CCPA”)补充修订的《加州隐私权法案》(CaliforniaPrivacyRightsAct,简称“CPRA”);新加坡通信信息部(MinistryofCommunicationsandInformation,简称“MCI”)和个人数据保护协会(PersonalDataProtectionCommission,简称“PDPC”)于2020年11月联合更新了已经出台8年之久的《个人数据保护法》(PersonalDataProtectionAct,简称“PDPA”);已于2020年9月18日生效的巴西的《通用数据保护法》(LEGGeraldeProte??odeDados,简称“LGPD”)也在2021年8月1日正式开始执行其惩罚和制裁条款。
与此同时,中国近期在隐私合规和个人信息保护领域也是频繁出手,继2017年6月1日正式施行《中华人民共和国网络安全法》(以下简称“《网安法》”)后,在2021年6月和8月举行的第十三届全国人民代表大会常务委员会第二十九和第三十次会议上先后通过了《中华人民共和国数据安全法》(以下简称“《数据安全法》”)和《中华人民共和国个人信息保护法》(以下简称“《个人信息保护法》”或“《个保法》”),正式宣告中国进入个人信息保护法治治理的新时代。
三、为应对海外隐私保护及数据安全合规要求,中国服务提供商必须考虑实施完善的内部控制体系
面对愈加复杂的外部合规监管要求以及用户诉求,身为服务提供方角色的服务商企业在支持自身业务发展过程中面临的潜在风险也在急剧增加。为了持续有效识别和应对产品在出海过程中出现的隐私保护及数据安全合规风险,同时深化落实自身隐私及数据安全保护举措,企业逐步意识到构建体系化的隐私及数据安全内部控制框架并确保持续有效执行内部控制体系的重要性,并相信这是提升自身产品在海外市场竞争力的重要手段。为了使充分且持续有效的安全防控能力及前瞻且全面高效的安全合规能力成为服务商企业的核心竞争力,企业必须从以下几个方面向客户、向市场、向服务的各个利益相关方充分展示和证明自己的隐私及数据安全保护的内部控制体系和能力:
1.在内部隐私保护政策和组织架构层面
企业应关注自身隐私合规政策是否清晰定义,并包含一系列应遵循的隐私保护管理要求,如:数据保护官(DataProtectionOfficer,以下简称“DPO”)的职责、保留数据处理活动记录、定义数据主体可以行使的权益、企业应遵循的告知义务、获取数据前得到数据主体同意的方式、企业须遵循的数据使用、保留及删除要求、企业在发生数据泄露事件时应建立的应急响应措施等内容。隐私合规政策在内部发布前须通过公司DPO或相关责任部门(如:隐私保护办公室、法务部门等)的审阅,以确保政策内容符合业务及业务所在国家和地区的法律及监管要求。
为保障内部隐私合规政策的贯彻落实,企业应构建包含制度发布、隐私培训、宣导及定期考核等在内的多种内部沟通渠道与方式,确保员工充分知晓自身须遵守的隐私保护控制要求并持续有效执行相关控制流程。
2.在隐私保护风险管理层面
企业须具备一套隐私风险识别和评估机制,对个人信息安全和隐私保护相关的风险重要性等级进行定义,并明确在风险评估过程中应考虑的全部要求(如:如何确定本次风险评估的评估范围、针对所识别的风险进行重要性等级判定、针对不同等级的风险应如何制定风险应对措施等)。此外,公司应对自身可以承受的风险进行评估,并基于风险承受能力的评估结果明确在遇到不同级别风险时应采取的决策及响应处理流程要求。同时,应建立责任人机制,确保当风险被识别后,由指定责任人负责跟进处理,确保风险得以被及时响应。
3.在隐私设计管理层面
企业应具备系统化的隐私需求评估机制,确保在产品服务需求设计与评估阶段将隐私合规要求纳入评审范围,并在产品功能正式上线前进行隐私合规评审,以确保产品功能可以符合公司对于隐私保护的要求(如:数据收集类型、使用场景是否符合隐私合规政策内约定的要求、数据收集是否满足
