实务分享:特殊行业的个人信息保护要点及合规整改方案

来源:iLaw合规

文章摘要
part 01 资本市场中常见的数据合规风险场景识别及合规审查要点 数据收集环节合规要点思维导图: (一)资本市场中常见的数据来源合规审查内容 证监会的第一轮审核环节会审核企业是否有涉及数据合规相关业
part 01 资本市场中常见的数据合规风险场景识别及合规审查要点
数据收集环节合规要点思维导图:

(一)资本市场中常见的数据来源合规审查内容
证监会的第一轮审核环节会审核企业是否有涉及数据合规相关业务的业务调链或者商业模式。在初步判断后,如果确认有涉及个人信息处理和一些其他数据的收集、处理,可能会进入到第一个环节,就是审查数据收集的合法性来源。
证监会对于发行人原始数据的采集以及获取供应商数据的方式和合规性都有全面的判断。
1. 发行人和原料数据采集供应商应该对数据的类型和采集方式有一个清晰地描述。这个过程中,将收集的数据类型做一个初步的分类分级——哪些属于敏感信息?哪些属于一般个人信息?以及收集不同信息所采取的法律手段或者技术手段是否符合现在关于收集信息的必要技术标准要求。
2. 发行人和原料数据采集供应商需判断数据权属和授权许可。
(1)授权许可
授权许可有拆分标准,如果数据采集的对象是个人,则需要获得授权许可,并且需要获得授权许可相关的证明文件。如果数据采集的对象不是个人,可能就不需要有一个绝对第三方的授权。
(2)数据权属
发行人和原料数据供应商进行数据采集和提供时,会在合同中有明确的权属约定条款,比如就数据内容,数据资产的权属直接约定给发行人或者是客户,或者约定采集供应商只负责前期采集,不享有相关权益。
3. 发行人和原料数据采集供应商需重视数据收集方式的合规性要点
收集个人信息数据有一些前置的程序性合法性要件,如事先明确告知并且获得授权同意,对于敏感个人信息可能还需要单独同意。
非个人信息数据可能存在公开场所的拍摄。在这样的数据处理中,可能会进一步涉及去标识化和匿名化。此外的话,如果非个人信息的数据属于公开收集文本片段内容,那么相对来讲,在合规的标准和尺度上风险相对低一些。
4. 对于原料数据采集、供应商的合规管控措施
无论是金融行业,还是医疗行业,往往很多数据采集都是通过供应商提供。
资本市场对于原料采集供应商获取数据的合规措施,是怎么证明合规,怎么证明发行人已经尽到了合规审查义务,往往会从以下几个方面体现:
(1)数据安全管理制度。发行人、原料采集供应商往往会在企业内部设立数据安全管理制度。
(2)发行人、采集供应商都有针对不同收集主体的数据安全保密协议或保密函等,能够以保密的方式进行责任限定。
(3)对采集人定期培训。
(二)企业需要关注的合规性问题
目前监管机构对于资本市场相应的上市企业,尤其是涉及个人信息业务的这类企业,会根据整个个人信息的全生命周期来进行提问,比如收集、使用、存储传输共享、删除和销毁,这每一个环节里,它都会针对性地要求你去描述或者去阐释你自己已经达到了哪些合规的基本要点。
关于使用的合规性,主要从有以下几个方面需要关注:
1. 数据授权是否已经超期,或者目前的使用范围是否超出授权范围
如果数据是由发行人主动收集或是由被采集人自愿提供,那么往往可能会涉及被采集人同意第三方就这些数据进行必要的定制化服务。除了被采集人自愿提供之外,还有一些不需要经过采集人许可的情形,如数据可能是个保法或者其他法律明确规定公开的,不经许可即可使用。
关于使用数据有没有超出限制尺度的把握,企业往往会在内部的内控措施方面进行比较大的描述加强。如,发行人会陈述数据的收集完成了前述的授权许可、同意等等,在数据脱敏和加密传输环节有哪些措施?对于个人信息做了哪些加密存储等等。所以这个是在数据的脱敏和加密环节会做比较大的一个描述。再有,会在内部建立接触到这些信息的权限设置、人员设置以及企业内部审批机制。再有,对于涉及重要数据和个人敏感数据这一类的数据集,需要经过内部比较严格的审批流程。
这些方面都能证明这个企业在权限、人员设置和内部审批方面有比较好的一个内控措施的。
2. 发行人超出限制,使用数据的一些其他情形
3. 在使用过程中如何确保个人信息安全的必要技术管理措施
(三)如何把控数据出境的数据合规尽职调查
目前关于数据传输到境外涉及的跨境传输、数据出境方面已经有了明确的安全评估办法。我们需根据最新办法对我们目前行为做定性。
因为安全评估办法里有一些基本门槛,如处理的数据量达到什么程度以及所传输的数据类型是个人信息还是重要数据,都是评估的标准。如果不需要进行数据安全评估,则可能会讨论标准合同或者认证机制。
企业应先自行评估,企业的自评估会对判断行为是否合规有比较大的帮助。在数据尽调的情况下,可以借助现有的材料去做支撑,但这不是说不需要再去核查必要的场景和业务流。
要根据最新的规定和标准对尺度把握进行判断。尽调清单来自法律规定,来自最新的处罚案例。
part 02 特殊行业的个人信息保护要点及合规整改方案
(一)特殊行业需要特别注意的个人信息保护要点
金融机构,如银行和保险公司的数据采集量或者采集类型与它的业务模式契合度越高,那么这个行业它被法律监管的集中度就会越高。例如医疗行业、金融行业有太多的场景需要使用个人信息且信息量惊人,所以它的合规标准也会比较高。
(二)以银行业为代表的金融行业所涉及的个人金融信息处理活动
银行业作为最重要的金融机构,是监管的一个热点。银行业既是一个传统行业,同时它也在发展,与很多新兴技术、新兴理念不断结合,这也为个人信息保护和数据合规提出了更多挑战。
银行业传统业务类型包括存款,贷款,理财投资等方面。
1. 存款业务。
存款业务会涉及的个人信息,如身份信息,年龄,收入。以及在开户后可能会涉及进一步的敏感个人信息,如密码,必要的鉴别身份的辅助认证信息。现在银行事务会更多运用一些技术手段,如人脸识别、指纹等方式去共同帮助客户进行开户。
2. 贷款业务。
贷款业务的对象中可能会有机构型客户,也有非机构型的客户,如自然人。贷款业务涉及大量的自然人信息,最典型的就是个人资信情况,个人征信情况。
2021年新出的征信管理办法也特别融合了个保法以及相关法律里面最重要的一些基本原则,如同意告知原则,最小必要原则等,这些方面都以具体化条款方式体现在征信的最新管理办法中。这也是针对贷款业务涉及征信方面的信息采集市场乱象的整治。
3. 理财业务
理财往往涉及银行柜台以及相应的部门人员去帮助客户进行投资。在理财投资环节中,会有大量的个人信息的收集和传输的。
信用卡也必然涉及个人信息,如征信信息可能会关联信用额度的审批。审批员或操作员收集征信信息首先要获得数据主体的授权,然后进行必要的查询整理分析,给出相应的报告,进行必要额度的审批。
金融行业的场景是非常复杂的,它对个人信息的应用是比较广泛的。最难的就是对信息收集的类型和目的范围进行有效的匹配。如何去论证在这个场景下,你收集的信息就已经是最小必要的。多收集的部分是不是能够有效剔除?因为银行业作为整个金融的支柱产业,对于整个经济稳定,对于全社会的资金流通起着定海神针的作用,所以前期的数据收集会尽量把范围扩广。但随着个保法以及相关征信条例的出台,这个行为在不断地合规限缩。
以往银行出现投诉的情况,往往是跟营销环节相关,因为我们出于各种需求已经将个人信息提交给了银行。如果金融机构内部的个人信息保护屏障和数据使用方面不当,那么我们的信息很有可能流入到银行的营销部门。银保监会对于这种营销行为有很严格的规定,它要求银行在这个场景中给予客户拒绝的权利,如果被过度骚扰,可以选择投诉。除了国内,在欧盟也有大量关于营销环节如何合规的基本要求。
不光是今年,可能未来相当长的一段时间里,金融行业都会是重点被关注、被监督的重点行业。很多银行目前也都在开始展开调整的工作,主要从以下几个方面开始:
1)管理层优先学习最新合规指引,形成先领概念
2)设置关于个保法或者数据方面的专项委员会或专项的机构,由这个机构来带领全行的不同部门完成个保法和数据合规专项项目的落地。如按照合规标准对合同文本进行整改,隐私协议在授权方面精确场景化,对之前的操作活动进行合规限度的调整。
(三)高速数据化时代下,银行业的广告营销业务涉及的数据合规场景以及遇到的合规风险
当客户在隐私协议中选择了同意和授权时候,有一个明确的适用范围。这个范围其实可能并不包括新产品营销。如果银行做了推送,应该要获得客户的进一步授权。在客户选择了拒绝推送后,银行的相关部门将不得再进行推广。但如果市场营销是基于同一业务帮客户提高体验度的目的,如银行在原本办理过的存储业务上提高了福利,则在合规尺度上还是有一些可能性。但如果跨业务进行营销,则合规风险巨大,因为在这个场景下对数据的使用完全超出开始的授权范围和目的。
所有的行业都有义务去做 PIA ,评估数据的使用范围是否合法,论证最小必要原则,这对之后面对监管也是很好的支撑和保障。
银行的业务场景上和信息的生命周期是紧密结合的。对于数据的存储和传输又是一个非常复杂的问题,尤其涉及委托第三方处理或者是向第三方转让数据的情况。那么数据的进一步处理,权利义务如何去保障,是非常难的点。
(四)银行业使用多源外部数据时应注意的问题
1. 选择原料数据供应商
金融机构在选择原料数据供应商环节有很严格的准入的门槛。供应商除了具备应该的条件之外,金融行业的要求会更特殊一点,会在准入环节设置比较多标准,比如有没有备案,有没有牌照,资信情况等。对于第三方收集和处理信息的能力、技术水准也要考核。
2. 数据使用的交叉共享
个保法对于委托处理,对于共同处理者,对于第三方提供等场景,似乎有交叉,但在关键性质上又截然不同。
共同处理是指不同的信息处理者可以共同决定数据处理的目的、方式等等。在这种情况下,对数据合规的要求在隐私协议中体现信息会向谁共享,共享主体是谁。如果获得了个人信息权利主体的明确同意之后,往往不太需要在共享的时候再单独获得同意。
委托处理也是类似这种情况,但委托处理的相关责任主体其实是个人信息处理者。委托的处理者只要委托处理合同,没有严重违反个保法的相关规定,责任是非常有限。委托处理情形,会在隐私协议,包括业务合同里有所体现,告知个人信息用户哪些信息将会委托给什么样的第三方进行必要处理,但是内容或者方式完全是由银行决定的。所以银行并不需要对委托的第三方做大量信息陈述,也不需要向共享者或者转让主体做非常详实的描述。
三个不同场景的合规标准在隐私协议里所体现的内容和描述责任的严格程度是不一样的。基于责任的差异性,能有效进行必要的合规操作。
3. 联合运营
联合运营是比较大的风险点,可能会涉及数据资源的混同,都是从各自端口收集到的有限授权的数据汇总到一个数据池中。
如果有联营的情况,还是要严格依照个保法的要求,实事求是地将使用场景和收集环节进行匹配。再有,建立内部机制,如个人信息保护委员会,有相应的人员进行管控,以技术手段将相应的信息资产进行不同区域的存储和部署。
part 03 数据保护法律体系形成,企业如何更新内部制度、外部合同
(一)分析数据保护法律体系形成后,企业如何更新内部制度、外部合同
银行业作为传统的金融行业,也在通过网上的金融科技,金融品牌,科技品牌进行业务推广。在这个环节上,其实存在一些数据不合规。
第一,个保法对于用户的知情同意权有明确的法律规定。同时,对于个人信息处理者收集个人信息的范围、方式、使用、存储、销毁也有规定明确的告知义务。如果金融行业将这部分的信息超出范围地与其他方进行了共享,就是明确地违反了规定。
有法定的特殊情况,或者银保监会监管的必要要求时,可以不经同意把信息给到相应的监管方。除此之外,要么重新跟用户签协议的,要么以补充协议或者是重新获得同意的方式拿到客户的授权,才可以将相应的信息交付给第三方进行产品推广或者是其他使用。
在工行与支付宝未经用户同意共享个人账户行为遭受行政处罚发生后,很多银行也在调整自己的合同模板,把场景细化,标注上法定的豁免条,包括做任何安排都会重新告知,获得同意这一类条款会以加粗标黄明示提醒。甚至会单独提供一个文本为了获得专门授权。因为未来银行的业务会不断扩张,不可能每次改模板合同,而可以通过后续不断更新授权协议去填补漏洞,既可以推进新业务,还能够达到告知同意获得授权的目的。
(二)个保法施行后,企业需要更新的合同有哪些?需要注意的更新点是什么?
调整隐私政策,扩展数据使用场景,获得补充授权。
整改数据传输协议。很多跨国企业此前与境外的云服务商还是软件的运营服务商所签署的协议都往往更符合欧盟标准。在权力主体的描述上,在具的权责边界上的一些限定都是在GDPR模板上进行的整改,与目前我国标准合同的征求意见稿在很多内容,场景安排方面有一些冲突。需要根据最新的立法对之前文本进行必要调整,有效保证授权、传输、出镜能够兼容的。
涉及国内国外业务的企业,合同很有可能会涉及不同法律国家,对于这个合同的使用,依据就高就低原则,同样的情况下,可能我国更严格的,要按国内走,有些条款可能欧盟更严,那为了使合同在两个地方都有效,也要做一个必要的调整,才能保证兼容性,这也是合同调整的方向。
技术驱动法律,专业成就未来