数据合规是一个比较新的领域,很多问题都难以通过公开渠道检索到答案。比如,某个特定的场景抄哪家大厂的作业比较合适。此时,实务人士间的思想碰撞、交流就显得尤为珍贵。
由此,我建立了一个小规模的社群,和朋友们讨论数据合规相关的问题。我相信其中的部分讨论是兼具共性和分享价值的。初步计划每周一次,对群聊内容以问答的形式进行梳理、共享。希望对你有所帮助。
• CONTENT •
「PIPL处理者和GDPR控制者异同」
「数据传输泄漏责任分配」
「公示违规商家」
「GDPR数据跨境」
PIPL处理者与GDPR控制者异同
-问:PIPL下的个人信息处理者和GDPR下的数据控制者,是等同的概念吗,还是有一些细微的区分呢。
-答1:参考这两篇文章:1.EDPB《GDPR下数据控制者及数据处理者概念的指南》解读兼谈《个人信息保护法(草案)》关于处理者的定义;2.Chulizhe和泼若赛瑟:名词撞车的解决方案?
-答2:可以参考程啸老师的《论个人信息共同处理者的民事责任》,在开头部分也提到了。此外,他的《个人信息保护法理解与使用》里从第540页开始也详细提到了这个问题。
数据传输泄漏责任分配
-问:数据传输时发生泄露,传输方担责还是接收方担责呢?是否存在一种说法,即技术上谁控制谁负责?比如说物联网下,各个设备之间的数据互传?
-答1:看传输方式,比如SDK的话,就是SDK的问题。需要看具体场景,是https还是啥。端到端?端到云,云到端?数据处理者有变化吗?
-答2:看谁是网络运营者或数据处理者。
-答3:还要区分是外部责任和内部责任分担的问题。如果是共同处理者,内部分担的问题要参考民法里面的共同侵权。
-追问:我记得,网络安全事件有个规定是“谁运行谁负责”。如果传输的技术由某一方运行,是否意味着发生泄露由那一方负责呢?
-答4:连带的,上游是否落实尽职调查,下游是否尽到技术管理保障责任,都可能被罚。至于和下游怎么扯皮,那是两家公司的事情。
-追问:好像监管对网络安全漏洞/事件的行政处罚,都是在哪个实体的设备/网站上发现了,就处罚那个实体?
-答5:是,从泄漏后溯源查处来看则会处罚离泄漏最近的那个公司。
公示违规商家
-问:电商平台依据《电子商务法》第三十六条公示商家的违规信息的,如果商家是个人,需要获得商家的单独同意吗?《电子商务法》第三十六条可以算是平台“为履行法定职责或者法定义务所必需”而处理个人信息吗?
电子商务平台经营者依据平台服务协议和交易规则对平台内经营者违反法律、法规的行为实施警示、暂停或者终止服务等措施的,应当及时公示。
《电子商务法》第三十六条
-答1:注册时用户协议没有取得同意吗?
-答2:我看其他平台都是打码的。公示违规行为,不一定需要实名吧。
-答3:实名公示需要考虑是否合法、正当、必要,法院公示失信被执行人都是去标识化公示的,他们这里肯定是履行法定职责。多一事不如少一事。
GDPR数据跨境
-问:请教一个GDPR下跨境传输的问题:一个中国公司员工访问该公司部署在欧盟的服务器中的EEA数据主体的订单数据,但该公司在欧盟没有实体,此项行为是否构成GDPR第五章下的跨境?如果构成的话因为欧洲没有实体,那么如何签署SCC以确保跨境合规呢?
-答1:公司全面适用GDPR即可。
-答2:Remote access也被视为GDPR下的一种international data transfer。EEA的数据主体的订单数据存储在EU境内的服务器上,但存在base中国的工程师远程访问该服务器中数据的情况。如果这个中国公司在欧盟没有一个对应的机构(不管是个真公司,还是个壳),那么一个巴掌拍不响,这个case签SCC是没法签的。考虑在欧盟设立一个壳公司 SCC长治久安。如果Remote Access不是偶然的、非重复的,那就是常规工作喽,那就更需要一个稳妥的长期方案了。(如果在欧盟设立一个壳,也不需要真的招很多人放到这个壳下面)即便是有SCC的保障,仍然会有欧盟的客户来challenge remote access (尤其是access from China)。对这些客户来说,“合法”只是一个底线而已。
-答3:首先,这些数据的控制者是谁?中国公司自己么?其次,若是,则中国公司直接受GDPR管辖;再次,在此情况下,中国公司必须要在欧盟指定Representative,否则是会被罚的;最后,在此情况下,中国公司收集的数据,中国公司自己Remote Access,不存在SCC的适用条件。这个情况下,中国公司远程访问的合法性依据我认为是第49条的特定情形下豁免,a项或者b项吧。另外EDPB第05/2021号指引(征求意见稿)已经明确提出,数据主体直接将数据提供给控制者或处理者,并不构成数据传输。
数据传输泄漏责任如何分配
作者:网数法师孵化基地来源:数据何规

数据合规是一个比较新的领域,很多问题都难以通过公开渠道检索到答案。比如,某个特定的场景抄哪家大厂的作业比较合适。此时,实务人士间的思想碰撞、交流就显得尤为珍贵。