数据合规是一个比较新的领域,很多问题都难以通过公开渠道检索到答案。此时,实务人士间的思想碰撞、交流就显得尤为珍贵。
CONTENT
「股权激励数据出境义务承担方」
「内部调查看邮件的合法性基础」
「Testflight测试版APP要备案吗」
「SCC备案实质评估」
「审计活动中的数据处理关系」
「特殊行业数据本地存储要求」
股权激励数据出境义务承担方
-问:在员工股权激励计划的场景下,如果数据流转还涉及境内银行,和境外证券机构,都是由哪一方履行出境职责的呢?我倾向于理解应该还是员工所在的公司,不知道大家怎么理解?
-答1:谁决定处理目的谁来报吧,所以想问问大家都是怎么操作的。
-答2:只是觉得有些情况下数据需要通过境内银行系统传出去,也不能完全确定是否只有雇主是决定处理目的。
-答3:理解为境内银行向企业提供金融产品和服务,境内运营过程中收集的信息出境,境内银行是数据处理者。金融业务活动的三位一体。
总结:境内银行做!
内部调查看邮件的合法性基础
-问:请教下 企业出于内部调查(可能仅出于怀疑)目的 可以在不另行告知员工的情况下 对其企业邮箱进行相关搜查吗 通过规章制度进行相应的明示和规定即可吗?
-答1:你要做就往履行人力资源管理所必需论证,想完全合规还是比较困难。单独同意我觉得是没必要,也不好拿。就员工手册,制度里面告知呗。
-答2:企业邮箱不是隐私吗,调查了这证据能用吗。看来如果员工诉讼的话,感觉这个一定会认定这个证据不合法,详见:公司能否以监控员工邮箱获得的证据,解除员工?
-答3:黄律师的观点如下:
尽管员工的企业邮箱(公司域名后缀或公司提供的其他邮箱)是企业提供的,但员工仍然可能会使用企业邮箱处理个人事务(包括私人通信或存储隐私信息)。考虑到《宪法》赋予公民通信自由权和《民法典》赋予的隐私权,未经员工同意,企业不得私自查阅员工的工作电子邮件。
但是,若企业在为员工配置企业邮箱之前,已经通过书面文件告知并明确禁止员工利用企业邮箱处理个人事务的,员工收到或签收该等文件的,企业则可以基于反腐败、反商业贿赂等场景查阅员工的企业邮箱。
黄春林、吴旻奇,公众号:汇业法律观察汇业评论 | 电子邮件相关的个人信息保护合规十问十答
-答4:之前群里其实也讨论过。
-答5:我们单位还查钉钉聊天记录呢,你要做只能照着这个走,证据瑕疵另行抗辩,类似的文章不少的:(1)公司有权查我的聊天记录吗?从案例看用人单位收集工作手机、电脑中数据的合法性;(2)用人单位擅自恢复的员工微信聊天记录,能否作为证据?
-答6:也有支持用工单位的例子:(1)员工将工作邮件转至私人邮箱,公司按严重违纪解除是否合法?(2)监控员工邮箱,单位到底有没有这权利?
-答7:证据瑕疵在我国的庭审中是个笑话,一切还是以有利于查明事实的角度展开,没见过民事诉讼中因为证据瑕疵产生任何对证据效力负面影响的。可能婚姻家事会有。
-答8:或者可以找专业的外部调查公司,你们装作不知道证据是怎么来的。
-答9:这篇也是建议从人力资源管理所必需来论证。内部调查与个人信息保护:初探公司内部调查在个保法体系下的合规路径
-答10:之前有过案例,监控和审查需要通过内部制度提前告知员工。同意或许可以豁免,但是提前告知不能免。提前说明公司出于内部调查、人力管理的需要,会监控办公电脑、办公手机等,提醒员工请勿用做私人用途。
总结:要么别做,要做就事前告知,合法性基础选择人力资源管理所必需。
Testflight测试版APP要备案吗
-问:基于昨天APP备案新规,在Apple里通过Testflight发布的测试版,上线前是否需要备案?未在安卓市场上架的apk安装包,是不是也需要备案?
-答1:我个人觉得他和在哪儿发布没啥关系,testflight可能可以豁免一下。
-答2:感觉至少是安卓都需要备案,并在系统的中明确位置上做提示。
-答3:tf是测试环境。
-答4:应用商店角度,感觉会从严,这个是不是取决于各个商店注册开发者的时候需要提交的资质,如果注册开发者的时候就需要公司资质和icp。那是不是测试环境感觉也无所谓了。(没了解过上架应用商店需要的信息,只是突然想到的)
-答5:测试管不到,但是测试全是涉黄涉赌。
-答6:互联网协会有个问答。
总结:可能还是要,联网就要,备案汇总可以看这篇:应用ICP备案信息汇总。
SCC备案实质评估
-问:不知道有木有大佬清楚现在SCC备案,监管会做实质审查吗?会不会和评估一样来来回回问好几轮问题呀?
-答1:要求与安评一致,有企业一次就过了。
-追问:SCC是不是只看属地省级网信办?
-答2:对,但标准还是上面定的。
-追问:所以SCC也要提供和安全评估颗粒度一致的辅助证明材料么?
-答3:安评50个附件,SCC本身简单些。
总结:SCC相对会简单一些。
审计活动中的数据处理关系
-问:公司可能会在外部审计活动中,将个人信息提供给第三方会计师事务所,包含客户个人信息也可能包含员工个人信息,而相关审计活动可能是基于境内监管要求也可能是基于境外上市地点交易所的要求,在这种情况下,将相关审计材料提供给会计师事务所时的数据处理关系属于委托处理还是对外提供呢?
-答1:我认为适用数据对外提供更合适一点,如果是常规的财务审计,会计师事务所有自己的独立性,需要根据相关准则要求处理数据,事务所还是会处于自己的目的来处理信息,比如出于质量审查和监管要求留存审计底稿和证据。
-答2:我也倾向于这样,但是客户的单独同意几乎不可能拿到。所以只能论证为履行法定义务,然后在隐私政策里面做告知了。。
-答3:这种情况下和向监管提供个人信息一样,不适用对外提供或委托处理,对面都不可能和你签合同的。
-答4:现在就是希望在合同中对相关数据处理行为定性,总应该确认是适用第21条还是第23条吧。
-答5:如果我只让他在内部查,但是审计底稿和证据不应该留存个人信息,进行脱敏或者去标识化,不知道是不是可以稍微绕开这个。要不拆分一下吧,如果他要拿走的那种进底稿和证据清单的,算共享,现场给他看的,不算。其实即使做单笔账目的穿行测试,他也不太需要去拿到实际客户的姓名之类的信息,她还是看这个订单号商品和价钱都能对上,可以去除敏感字段给他。
-答6:向监管提供,你也放不到委托或者提供里面。放在对外提供里面,对面不可能和你签合同。
GB/T 35273—2020《信息安全技术个人信息安全规范》9.2 个人信息共享、转让
个人信息控制者共享、转让个人信息时,应充分重视风险。共享、转让个人信息,非因收购、兼并、重组、破产原因的,应符合以下要求:
d) 通过合同等方式规定数据接收方的责任和义务;
-答7:这个就是对外提供呀,隐私政策做好告知,履行法定义务做好同意。签合同的话,确实做不到,监管来司法协查,你说我们先签个数据处理协议先。
-答8:我觉得是对外提供,是这么思考的,这个问题可以分成三个层次。
1. 公司和审计机构本身是什么数据处理关系?我的理解是单独决定处理目的和方式,所以是两个单独的处理者。这个EDPB controller-processor guideline里有过类似的分析,对律所、对银行这类专业机构理解是单独控制者;
2. 如果第1点成立,公司有什么合规义务?对外提供涉及单独同意,这时候公司用的是哪个合法性基础就比较重要。签名说用法定义务,但我细想一下觉得合规链条可能合不上。A公司向B审计机构对外提供C的个人信息。A也许有法定义务,但这个法定义务是否能直接对应到外部审计以及审计所需要的C的个人信息字段,可能会需要再具体情况具体分析;B如果是独立的控制者,B也需要有一个合法性基础,B的合法性基础是什么呢?我理解B作为审计机构的法定义务只能cover它后续的长时间留存行为。但获取C的信息该怎么取justify我也没想明白。
3. 如果是跨境场景,特殊的合规义务该怎么做?这个的话法律条文可能会对实践造成很多障碍和麻烦,只能看有没有豁免吧(就是我不知道的意思)
-答9:如果是法定义务这块,对于上市公司来说是不是好点?尤其是对高管薪资的核查。但我法定义务可能cover不住所有的C和所有的字段。
-答10:确实,如果是非基于单独同意对外提供个人信息的,接收方处理个人信息的合法性基础是什么。法定义务场景,还可以套一下,提供方是履行法定义务,接收方是履行法定职责。抢救的场景,都是保护当事人声明安全所必需。举个奇怪点的场景,个人信息保护审计中,聘请外部审计机构,他肯定要处理个人信息吧,合法性基础是什么呢。
再举个例子,未来进行个人信息保护审计工作,肯定也涉及对外提供个人信息吧。
-答11:不一定要处理个人信息吧,我觉得这类审计都没有访问真实用户个人信息的必要。
-答12:一个比较理想化的方案,得看处理的是什么数据。就是公司给审计机构的是什么数据。如果公司给审计机构的是公司的客户的个人信息,那要么就单独同意要么就做匿名化(也许到去标识化就睁一只眼闭一只眼过去了);如果给的是公司员工的个人信息,那看看能不能把这一条写到员工手册和劳动合同里,作为履行合同所必需;如果给的是公司的第三方合作商的,那就在合同里做约定吧,用单独同意。
-答13:把个人信息去标识化也是非常大的工作量,企业好难。
-答14:隐私政策里面肯定要兜一下。
-答15:关于尽调方和目标公司,个人认为在数据处理关系上界定为“提供”更加合适,毕竟律所/会(kuai)所做dd时处理个人信息有自己的一套逻辑和方法论(处理信息的目的和方式也并非是委托方决定的)。其他的一些保护义务可以通过委托合同或者单独的数据处理协议去施加给尽调方。但是“单独同意”这个点确实是个难题(取得员工同意可能相对还简单一点),目标公司走单独同意以外的合法性路径也不一定站得住脚。
-答16:尽调(收并购中的)和审计(尤其上市公司的)性质不太一样吧。
-答17:感觉是可以放到年度更新员工手册/隐私政策的to do list里的一个点,好像四大都是这样设置的,是不是因为是全球机构的原因。
-答18:是,还有一个更绝的,如果是美股、港股上市公司,审计的要求是当地交易所的规则,这个构不成境内法律依据/法定义务。
-答19:我这就碰到这情况呀。这个过程可能还得搞scc呢,但是合法性基础不知道怎么拿怎么论证。
-答20:境外上市现在了解口径也是不用scc, 境外上市已经有保密新规、境外上市备案、网安审查三道大闸。
总结:性质上倾向于属于对外提供,告知可以通过隐私政策兜住,但合法性基础确实存疑,尤其如果是来自纳斯达克的年度审计要求,聘请美国会计师事务所进行审计,不但涉及对外提供,还涉及出境了,难。
特殊行业数据本地化存储要求
-问:目前一些情形下(比如CIIO),原则要求本地化存储,确因业务需要的,走安全评估或相关的路径;那是否有特定行业、特定数据还会更严格,无例外,即必须只能本地化存储的?好像没有?
-答1:人民银行《个人金融信息保护技术规范》
-答2:《法人金融机构洗钱和恐怖融资风险管理指引(试行)》第41条:……有关国内司法冻结、司法查询、可疑交易报告、行政机构反洗钱调查等信息不得对外提供。
金融行业比较明确必须本地化的数据,是反洗钱工作信息。
除此之外的信息,原则上和实践中存在大量出境的情况,主要有两个原因,一是金融行业比较特别在于有灾备的要求(在人行数据新规中提到数据可用性也是同理),还有一个历史原因,是外资机构入华时,有一些优惠政策,金融监管部门对系统部署方案做了批复,比较常见的香港金融机构进入内地时,受惠于CEPA, 内地的子公司可以使用香港的系统,也不违反金融监管的要求。有趣的地方就是以前的金融监管规定,与现在的数据合规规定怎么衔接,是目前最头疼的问题。
-答3:之前梳理过一个清单,还是有一些的,仅举几个例子:
| 涉及国家安全的境内电波参数资料 | 《中华人民共和国无线电管理条例》第55条:境外组织或者个人不得在我国境内进行电波参数测试或者电波监测。任何单位或者个人不得向境外组织或者个人提供涉及国家安全的境内电波参数资料。 |
| 境内遥感数据 | 《国家民用卫星遥感数据管理暂行办法》第19条:中国境内遥感数据未经授权,不得向境外的组织或个人提供。对涉及敏感地区、敏感时段的遥感数据实行授权分发。境内自主运营的商业卫星遥感数据安全管理按此条款执行。 |
总结:凡有特殊规定,必有例外。
