集团公司个人信息共享的合规要点

来源:iLaw合规

文章摘要
若该问题处理不当,无论是信息主体还是企业,都会遭受重大损失。

若该问题处理不当,无论是信息主体还是企业,都会遭受重大损失。集团企业的信息共享分为部门间共享、总公司与分公司间共享、母公司与子公司间共享、集团内数据跨国共享等几种情况,那么个人信息流转怎样做才算合规呢?
企业内部各部门间的数据共享合规义务
企业内部各部门间进行数据共享是实现公司正常运转的必然需求,例如,财务部门需要获取人事部门统计的考勤信息才可准确发放工资,另外,若企业存在多业务系统,独立且信息封闭,将阻碍系统间信息的沟通与共享。
对于部门间数据共享的合规建议:



  1. 明确数据共享的范围及目的
    哪怕是同一企业的部门,在共享数据之前,也应当彼此明确共享的数据范围及种类,基于特定需求共享合适的数据,可参考「最小必要」原则。
    对于并不直接相关的数据,不可盲目要求其他部门予以共享,否则可能会加大数据泄漏或被篡改的风险,造成数据管理混乱。
    同时,还应当明确共享数据的使用目的限制,如接收数据的部门对于数据的使用目的与收集个人信息时告知信息主体目的不一致的,需要重新取得个人信息主体的同意。

  2. 进行严格的共享权限管理
    首先,企业可根据岗位、部门以及人员的不同分配权限,进行严密的权限设置,防止文档泄密,有效控制各种损失。
    其次,企业可以定义文档的安全级别和授权规则,如果是在线分享,直接设置对应的密码和时效,按照权限审批需求查看、下载、阅读、浏览文档。
    最后,文档查看、下载、打印均可自加动态水印,正文、附件都可设置水印,有效追究文档外泄责任。

  3. 构建责任划分及惩罚制度
    共享数据的提供和使用过程要可追溯,如果数据用在不该用的地方或者产生了隐私安全问题,需要追溯到问题出在哪个环节,该由哪个部门负责,在数据使用过程中,确认权责,建立出权责匹配的问责体系。
    总公司与分公司之间的数据共享合规义务
    由于分公司是受总公司管辖,而不具有法人资格的分支机构,在法律、经济上不具有独立性,总公司要对分公司的违规行为承担责任,总、分公司的数据流转实质上属于公司内部的数据流转。
    因此,一旦分公司出现数据侵权的行为,总公司对该行为难辞其咎。对于总分公司内部的数据流转,除了上述部门间数据共享的合规建议外,还应做到以下几点:

  4. 数据分级分类
    企业应当对数据进行分级分类,便于对已收集个人信息的管理,方便数据在企业内部更为有序流动。
    对于数据的分类,首先应区分一般个人信息与敏感个人信息,敏感个人信息在流转过程中往往需要采取更为严密的安全措施与更为严格的管理权限。
    对于数据的分级,需要根据不同行业的业务功能需求进行不同等级的划分,采取不同等级的保护措施。可参考往期文章《 8 份标准文件,教你做好数据分级分类》

  5. 明确管理权限
    根据数据的分类分级,明确规定各部门、岗位和人员的权限范围,加强个人信息管理的权限设置。对于各部门、岗位和人员对个人信息的访问与操作,以及个人信息在各部门传输流转,都应当遵循最小必要原则,不提供与业务无关的个人信息,降低信息泄漏的安全风险。

  6. 个人信息处理活动记录
    企业需对于个人信息的收集、存储、使用、传输、删除等数据处理活动做好记录,并覆盖至所有分支机构和附属机构。
    记录内容可包括收集个人信息的种类、处理目的、处理场景、处理方式以及所涉及的各部门、岗位和人员。
    确保在出现数据泄漏等安全事件时有效核查,精准定位。
    集团母公司与子公司的数据共享合规义务
    企业集团是指以资本为主要联结纽带的母子公司为主体,以集团章程为共同行为规范的母公司、子公司、参股公司及其他成员企业或机构共同组成的具有一定规模的企业法人联合体。
    由于集团各成员均具备法人资格,均依法独立享有民事权利和承担民事义务。因此各集团成员均为独立的个人信息处理者,各成员之间的个人信息流转应当遵守我国法律关于数据共享的规定。

  7. 数据传输者的合规建议
    对于作为数据传输者的公司来说,建议做到以下几点:
    ① 做好告知同意
    企业应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知接收方的类型、名称、联系方式、处理目的、处理方式和范围。
    对于告知的形式,一般以《隐私政策》文本来告知。《隐私政策》字体应当清晰易读,便于保存查阅,且需要用户主动勾选来获取用户同意。
    除了《隐私政策》,企业还可设置《个人信息共享清单》来更好地履行告知义务,该清单的展现形式必须简洁清晰,内容需包括第三方名称、第三方的联系方式(可附上隐私政策或官网链接)、共享的个人信息种类、使用目的、使用场景和共享方式这六个要素。
    并且需将其放在 APP 二级菜单下便于用户查询。
    此外,共享信息还需获得用户单独同意。如通过弹窗或需勾选的链接来告知用户数据接收方的隐私政策,来获取用户的单独同意。
    ② 个人信息保护影响评估
    企业在向其他个人信息处理者提供个人信息,应进行个人信息保护影响评估(即 PIA 评估),并对记录处理情况,以识别共享行为的合规差距,及时发现和处置个人权益影响风险。
    个人信息保护影响评估应当包括下列内容:
    a 个人信息的处理目的、处理方式等是否合法、正当、必要;
    b 对个人权益的影响及安全风险;
    c 所采取的保护措施是否合法、有效并与风险程度相适应。
    个人信息保护影响评估报告和处理情况记录应当至少保存三年。
    ③ 对接收方的监督与约束
    在数据共享前,应对数据接收方进行全面尽职调查,包括资质、制度体系、网络安全等级、技术措施及有效性、应急预案、涉诉情况、行政处罚情况、通报情况等,以确保个人信息在共享后的安全。
    通过签订合同的方式,对数据接收方进行约束。内容可包括:个人信息处理的目的、期限、处理方式、个人信息的种类、双方的权利义务、接收方采取的安全措施、违约处理个人信息的补救措施、发生安全事件时的赔偿责任等。
    共享数据后,应对数据接收方采取持续的监督措施,在发现受数据接收方未按照要求处理个人信息,违反法律法规或合同约定时,应立即要求接收方停止相关行为;采取或要求接收方采取有效补救措施(如更改口令、回收权限、断开网络连接等);必要时,解除与接收方的业务关系,并要求及时删除个人信息。
    2、数据接收者的合规建议
    对于作为数据接收者的公司来说,建议做到以下几点:
    ① 对传输方的监督与约束
    严格审核数据传输方数据来源的合法性及授权同意范围,可要求其书面说明个人信息来源和获得的个人信息处理的授权同意范围,并提供其隐私政策等个人信息授权文本。
    通过签订合同的方式,要求传输方承诺其所传输个人信息的获取符合知情同意的前提或其他合法性基础,并有权对外提供该信息。
    对数据传输方进行全面尽职调查,包括资质、制度体系、网络安全等级、技术措施及有效性、应急预案、涉诉情况、行政处罚情况、通报情况等,以确保处理个人信息的行为合规。
    对数据传输方进行持续监督,一旦发现个人信息收集存在不合规的情况,视情况要求其改正行为或直接解除与传输方的义务关系。
    ② 自身义务
    数据接收方处理个人信息应在约定的处理目的、处理方式和个人信息的种类的明确范围内。接收方变更原先的处理目的、处理方式的,应当依照重新取得个人同意。
    跨国企业内部的数据共享合规义务
    很多企业逐步开启国际化业务,跨国数据传输越来越频繁,而且随着业务的开展,公司规模的扩张,很多企业都在海外设置了分支机构。
    然而受到文件大小、网络环境等多方面的制约,跨国文件传输可能面临传输意外中断、文件损坏、文件泄露等问题,增加数据违规风险。
    跨国公司将在中国境内所收集的个人信息传输至境外,需注意以下几点:
    1. 做好告知同意
    对于需要跨境传输的数据,企业应当充分做好告知,并取得用户的单独同意。
    在《隐私政策》中说明跨境传输的数据类型,传输目的、境外接收方名称、处理目的、处理方式、联系方式、跨境传输遵守的标准、协议和法律机制。并显著标识,取得用户的单独同意。
    2. 通过国家网信部门组织的安全评估
    《数据出境安全评估办法(征求意见稿)》(以下简称《办法》)规定了需要向向国家网信部门申报数据出境安全评估的具体情形:
    ① 关键信息基础设施的运营者收集和产生的个人信息和重要数据;
    ② 出境数据中包含重要数据;
    ③ 处理个人信息达到一百万人的个人信息处理者向境外提供个人信息;
    ③ 累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息;
    ⑤ 国家网信部门规定的其他需要申报数据出境安全评估的情形。
    对于无需申报数据出境安全评估的情形,根据《个人信息保护法》规定,也需满足以下条件之一:
    ① 按照国家网信部门的规定经专业机构进行个人信息保护认证;
    ② 按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;
    ③ 法律、行政法规或者国家网信部门规定的其他条件。

  8. 企业数据出境自评估
    《办法》还规定,向境外提供数据前,应事先开展数据出境风险自评估,重点评估事项如下:
    ① 数据出境及境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性;
    ② 出境数据的数量、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险;
    ③ 数据处理者在数据转移环节的管理和技术措施、能力等能否防范数据泄露、毁损等风险;
    ④ 境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全;
    ⑤ 数据出境和再转移后泄露、毁损、篡改、滥用等的风险,个人维护个人信息权益的渠道是否通畅等;
    ⑥ 与境外接收方订立的数据出境相关合同是否充分约定了数据安全保护责任义务。

  9. 注重双重合规
    企业应当积极对于数据合规相关法律法规进行比较法方面的研究。
    不仅遵守我国法律,也要遵守数据传输所在的国家的法律,实现中外「双重合规」。
    一方面根据自身业务分布情况,设立相应的合规部门,审查相应的数据传输的合规情况。
    另一方面根据各个国家地区的法律法规及时调整数据中心或服务器在全球的战略布局,降低数据跨境传输的风险与成本。
    5. 完善应急保障机制
    在定期风险评估的基础上应提前进行紧急事件预演,及时发现组织及技术方面的应对缺陷,不断完善应急保障机制。
    各区域的合规部门应针对不同国家、地区的具体规定,制定不同的应对措施。
    结语
    大数据产业的蓬勃发展不仅为企业带来了多种机遇,也同时带来了更大的挑战。
    在我国关于数据合规立法日趋完善,监管愈发严格的当下,企业内部数据流转合规作为数据合规的重要环节已是每个企业都需重视的问题。
    关联企业间进行数据共享,应当区分是集团内部公司、母子公司,还是总分公司,明确彼此的责任承担与义务,针对性地选择数据共享合规措施。

技术驱动法律,专业成就未来