数据合规实务观察|GDPR的公式,能解个保法合规难题吗?
在应对以DPD、GDPR为代表的境外数据监管立法的过程中,许多跨国公司已经累积了丰富的数据合规经验,并形成由内部管理制度、隐私政策、标准合同等构成的“公式”,而这些在域外法语境下产生的成熟“公式”,是否足够应对中国《个人信息保护法》给出的考题?
导言
2021年出台的中国《个人信息保护法》为不同行业、不同规模的企业带来了“个人信息保护合规”这一道考题,各类企业都面对着在合规成本、业务需求和监管要求之间寻找平衡的挑战。与本土企业初遇“如何保护个人信息”这一问题时的“陌生”不同,跨国公司(尤其是来自欧盟的跨国公司)在理解和应对《个人信息保护法》的要求时则更加“熟悉”,原因就在于跨国公司往往已经接受过欧盟以GDPR(General Data Protection Regulation)为代表的数据监管的考验。
在2018年施行的GDPR(及其前身,于1995年通过的DPD(Data Protection Directive)启发和影响了后续其他国家和地区的数据监管立法,美国加州的CCPA(California Consumer Privacy Act)、新加坡的PDPA(Personal Data Protection Act)和中国的《个人信息保护法》都在此列。
因此,欧盟近三十年的监管历史和合规实践使得许多跨国公司在应对GDPR及其前身DPD的过程中积累了丰富的经验,在面对《个人信息保护法》设置的合规要求时,在华跨国公司常常可以从过往经历中寻找到类似的问题和解决方案进行参照,甚至认为由于已经有了根据GDPR等域外法律建立的合规体系,在中国无需进一步采取行动或措施了。
那么在中国市场的实践中,跨国公司仅仅套用GDPR背景下的合规“公式”,就能够解决《个人信息保护法》项下的合规难题吗?答案,当然是不能。
实务观察
- 从某跨国公司的《隐私政策》说起
我们在协助某跨国公司进行个人信息保护合规工作时,注意到客户将依据GDPR制定的《隐私政策》直接翻译为中文后用于中国市场,套用在官方网站和APP中。《个人信息保护法》(包括更早的《网络安全法》)的确承袭了GDPR的“告知-同意”原则,同样要求企业向用户清晰、明确地说明个人信息处理的诸多细节,但是两部法律具体规则的差异使得使用符合GDPR的《隐私政策》不仅无法实现合规,甚至由于个别关键法律概念的差异,反而可能进一步增加合规风险。
- “水土不服”的具体“症状”
在项目开展过程中,我们在该客户的《隐私政策》中就注意到多处因为GDPR和《个人信息保护法》差异引发的“水土不服”:
- 未能准确地告知个人信息处理者的相关信息
该《隐私政策》沿用GDPR的概念将客户的集团总部列为数据控制者,但放在《个人信息保护法》项下,却未能准确指明具体个人信息处理者,导致告知义务未能被适当履行。
- 未准确、完整地告知所处理个人信息的种类以及处理目的、处理方式
该《隐私政策》多以概括举例方式说明所处理的个人信息类型、收集方式、使用方式,而未能涵盖处理个人信息的全部场景,告知内容、详细程度未达到《个人信息保护法》的要求。
- 未针对敏感个人信息进行特殊告知
该《隐私政策》使用了GDPR中的“特殊类型的个人信息”概念,但这一概念与《个人信息保护法》中的“敏感个人信息”并不一致。《个人信息保护法》对于敏感个人信息处理所提出的特殊要求(比如额外说明处理敏感个人信息的必要性以及对个人权益的影响)在该《隐私政策》中只字未提。
- 未针对涉及第三方的个人信息处理情形进行区分
该《隐私政策》未根据中国法律对“委托处理个人信息”、“向其他个人信息处理者提供个人信息”、“共同处理个人信息”等特殊处理情形进行明确区分,由此导致告知并不充分。如对于“向其他个人信息处理者提供个人信息”的情形(集团内共享信息也可能构成此种情形),需要根据《个人信息保护法》进行特殊事项的告知,而该《隐私政策》没有针对该要求进行说明。
合规启示
从以上的例子可以看出,客户在GDPR合规中积累的《隐私政策》文本虽然对应对《个人信息保护法》能够提供一定帮助,但更加不容忽视的是GDPR和《个人信息保护法》的差异。
从《个人信息保护法》出台至今,中国的监管部门一直在不断探索、快速迭代数据治理的具体路径,随着治理路径的明确和细化,越来越多有别于GDPR并具有“本土特色”的要求也逐渐凸显。我们相信,企业有必要深入理解中国《个人信息保护法》及其配套规则并持续追踪中国监管部门的实践动向,才能回答好“个人信息保护合规”这道中国市场上的难题。在此过程中,跨国公司为应对GDPR及其他国家、地区法域数据监管而积累的经验,也必须充分结合中国本地的实践才能最大程度地发挥效用。
