【编者按】 经济全球化叠加数字化,自然催生出数据价值利用和自由流动需求。但在跨辖区的复杂监管环境下,如何履行各国规定的个人信息和隐私保护的合规义务,成为跨国企业和组织数据合规管理的重要挑战。
企业如何找到数据跨境合规管理的抓手?今日,《互联网法律评论》继续刊载特约专家孟洁律师及其团队关于“数据合规认证机制”系列解读文章的下篇,向读者提供数据合规领域认证制度的专业解读。
该系列文章分为上、中、下篇。上篇(数据合规制度观察丨我国数据合规认证制度的形成与发展(上篇)) 已于12月6日刊发;中篇(数据合规制度观察(中篇)丨全球主要国家/地区数据合规认证机制) 已于12月21日刊发。
引言
全球化与数字化的合流带来了数据的价值利用和自由流动需求,使得个人信息与隐私合规亦处在动态、跨辖区的监管环境中。在如此复杂的法律和监管背景下,如何履行各国个人信息和隐私保护的合规义务并提供适当证明以促进业务发展,已成为企业和组织,特别是跨国企业和组织,数据合规工作的重要课题和目标。国际标准化组织(International Organization for Standardization,ISO)与国际电工委员会(International Electrotechnical Commission,IEC)发布的《ISO/IEC 27701安全技术—对用于隐私管理的ISO/IEC 27001和ISO/IEC 27002的扩展—要求和指南》(以下简称“ISO/IEC 27701”)已成为企业,特别是跨国企业衡量内部个人信息和隐私保护的合规情况的重要参考。另外,以确保跨大西洋数据传输稳定与合规为目的的《欧盟-美国数据隐私框架原则》,在欧盟与美国政府的二十余年的博弈之中最终逐步确立;该框架原则以自我认证为核心,将为世界上最为庞大的跨境数据传输场景之一的合规与稳定运行提供支持。最后,以TRUSTe为代表的美国第三方隐私安全认证机制,在参考ISO/IEC 27001与ISO/IEC 27701的基础上,基于多年的认证经验,自行制定了广泛适用于多种隐私与数据安全框架合规的隐私认证规则,凭借广泛的适用性与较高的行业认可度,在隐私安全与隐私管理体系认证领域的业务市场中占据了重要的地位。
在上篇中,我们对我国数据合规认证体系进行了梳理;中篇则对各国和地区数据合规认证制度进行了介绍;而本篇作为系列文章的下篇,将因循上述路径继续深入,分析前述三项国际隐私安全与管理体系认证规则,以期为企业在跨国家、跨地区的全球范围内开展隐私保护合规工作提供参考。概括来说,这三项认证的典型特征分别为:国际标准化协会与电工委员会提供的隐私信息管理体系认证,欧盟与美国政府提供官方背书的隐私保护与数据跨境传输认证,以及民间私营机构开展的适用于多项隐私合规体系的认证。以下,我们将分别进行具体介绍。
01
ISO27701与我国隐私管理体系的合规要求
如前言所述,伴随着全球化进程的不断加深,以及数据高价值利用和自由流动需求的爆发性增长,尽管不同法域之间,甚至同一法域内制定了多项针对数据处理活动的认证制度,但是对于企业和组织,特别是跨国企业和组织而言,如何利用一套认证制度来使其达到“全球通行”,或者至少在最大范围内证明其数据处理活动的合规性?这就需要有一套能够起到全球统一协调作用的个人隐私保护体系或法律规则,为企业在不同法域的数据合规工作进行方向性的指导。
2019年8月,国际标准化组织(ISO)与国际电工委员会(IEC)正式发布《ISO/IEC 27701》,首次提出隐私信息管理体系(PIMS)的理念,为在组织内启动、实施、保持和改进信息安全管理措施提供了实施指南。值得注意的是,欧盟数据保护委员会(European Data Protection Board, “EDPB”)积极参与了《ISO/IEC 27701》的落地,在《ISO/IEC 27701》附录D中提供了《ISO/IEC 27701》与欧盟《通用数据保护条例》(General Data Protection Regulation, “GDPR”)的条文比对,展示了《ISO/IEC 27701》与GDPR在合规措施方面的总体相似性和细节差异。国际上普遍认为,《ISO/IEC 27701》与GDPR合规思路最为接近,在满足GDPR合规基础上落地《ISO/IEC 27701》是易于实践的。
鉴于国内外法规及标准的不断丰富,我们和微软公司合作曾于GitHub上公开推出过开源数据保护映射项目(https://www.dpmap.org),将ISO/IEC 27701、GB/T 35273-2020等个人信息保护法律法规、标准政策进行条文对比,旨在促进和构建全球隐私社区协作和共识,以便详细分析各种隐私监管要求之间的联系。从宏观来看,ISO/IEC 27701、GB/T 35273-2020和《个保法》对于隐私信息管理体系的构建主要可以划分为“个人信息全生命周期控制措施”和“企业内部隐私和信息合规体系”两个维度。
就个人信息处理的整个生命周期控制措施而言,ISO/IEC 27701、GB/T 35273-2020和《个保法》均针对个人信息的收集、存储、使用、委托处理、对外提供、公开披露、跨境传输作出了规定;就个人信息主体权利实现、个人信息安全事件处置措施,前述法律和标准的整体思路一致,但颗粒度和侧重点并不完全相同。
就企业内部隐私和信息合规体系而言,ISO/IEC 27701相较GB/T 35273-2020提出了更加细致的组织管理要求,建立了完整的事前、事中、事后合规闭环机制,即PIMS要求组织进行前期规划,明确信息安全管理体系的目的、理解相关方的需求与期待,以及确定信息安全管理体系的范围。在确定规划后,PIMS对如何运行、控制、管理个人信息、应对安全风险,提供了一套战略性建议。执行过后,PIMS还总结了如何监控、度量隐私信息管理体系的有效性、合规性等方法,并提出了相应的纠正和改进措施。
以下,我们将从内部合规管理体系构建的重点方面出发,对ISO/IEC 27701、GB/T 35273-2020和《个保法》的合规要求进行对比,以期为企业进行数据合规工作提供更加全面、完备、具有可实践的操作指引。
(一)明确组织部门与人员
|
项目 |
ISO/IEC 27701 |
GB/T 35273-2020 |
个保法 |
|
责任部门与人员的任命 |
第6.3.1.1条 组织职责为: 1.指定供客户使用的关于个人可识别信息(Personally Identifiable Information,“PII”)处理的联系人。当组织是PII控制者时,为PII主体指定关于其PII处理的联系人(参见第7.3.2条); 2.任命一名或多名负责制定、实施、维护和监督组织范围内的治理和隐私计划的人员,以确保遵守有关PII处理的所有适用法律和法规。 |
第11.1条 对个人信息控制者的要求包括: a)应明确其法定代表人或主要负责人对个人信息安全负全面领导责任,包括为个人信息安全工作提供人力、财力、物力保障等; b)应任命个人信息保护负责人和个人信息保护工作机构,个人信息保护负责人应由具有相关管理工作经历和个人信息保护专业知识的人员担任,参与有关个人信息处理活动的重要决策直接向组织主要负责人报告工作; c)满足以下条件之一的组织,应设立专职的个人信息保护负责人和个人信息保护工作机构,负责个人信息安全工作: 1)主要业务涉及个人信息处理,且从业人员规模大于200人; 2)处理超过100万人的个人信息,或预计在12个月内处理超过100万人的个人信息; 3)处理超过10万人的个人敏感信息。 e)应为个人信息保护负责人和个人信息保护工作机构提供必要的资源,保障其独立履行职责。 |
第五十二条 处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督。 个人信息处理者应当公开个人信息保护负责人的联系方式,并将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门。 |
|
责任部门与人员的职责 |
第6.3.1.1条 3.在适当的情形下,负责人应该: 1)独立并直接向组织的适当管理层报告,以确保有效管理隐私风险; 2)参与管理与PII处理有关的所有问题; 3)成为数据保护法律、法规和实践方面的专家; 4)充当监管组织的联络点; 5)告知顶级管理层和组织员工在PII处理方面的义务; 6)就组织实施的隐私影响评估提供建议。 注:数据保护官员可由工作人员或外包人员履行。 |
第11.1条 d)个人信息保护负责人和个人信息保护工作机构的职责应包括但不限于: 1)全面统筹实施组织内部的个人信息安全工作,对个人信息安全负直接责任; 2)组织制定个人信息保护工作计划并督促落实; 3)制定、签发、实施、定期更新隐私政策和相关规程; 4)建立、维护和更新组织所持有的个人信息清单(包括个人信息的类型、数量、来源、接收方等)和授权访问策略; 5)开展个人信息安全影响评估,提出个人信息保护的对策建议,督促整改安全隐患; 6)组织开展个人信息安全培训; 7)在产品或服务上线发布前进行检测,避免未知的个人信息收集、使用、共享等处理行为; 8)公布投诉、举报方式等信息并及时受理投诉举报; 9)进行安全审计; 10)与监督、管理部门保持沟通,通报或报告个人信息保护和事件处置等情况。 |
第五十二条 个人信息保护负责人负责对个人信息处理活动以及采取的保护措施等进行监督。 |
ISO/IEC 27701、GB/T 35273-2020和《个保法》均对个人信息保护负责人设置做出了规定。但《个保法》仅作出了原则性规定,要求处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,其主要职责为对个人信息处理活动以及采取的保护措施等进行监督。相比于《个保法》,GB/T 35273-2020作出了更加细致、具体的规定:对于个人信息安全组织架构进行了规定,主要包括以下四个方面内容:1)明确法定代表人或主要负责人对个人信息安全负全面领导责任,包括为个人信息安全工作提供人力、财力、物力保障等;2)任命个人信息保护负责人和个人信息保护工作机构;3)在满足一定条件时,设立专职个人信息保护负责人和个人信息保护工作机构;4)个人信息保护负责人和个人信息保护工作机构的职责要求。此外,GB/T 35273-2020还要求为个人信息保护负责人和个人信息保护工作机构提供必要的资源,保障其独立履行职责。
类似地,ISO/IEC 27701要求任命一名或多名负责制定、实施、维护和监督组织进行数据治理和开展隐私合规项目的人员,以确保组织能够遵守有关处理PII所适用的法律和法规。ISO/IEC 27701还要求组织指定一位联系人专门为客户提供PII处理服务。当组织是PII控制者时,应当为PII主体指定一位联系人专门负责处理其PII事宜。从职责来看,尽管采用了不同的表述,ISO/IEC 27701与GB/T 35273-2020第11.1条d)款规定的第1、2、5、6、10项职责基本一致。ISO/IEC 27701还特别要求负责人独立并直接向组织的适当管理层报告,以确保有效管理隐私风险;并要求负责人成为数据保护法律、法规和实践方面的专家。此外,ISO/IEC 27701还提及,数据保护官既可由内部工作人员担任,也可选聘外部专家来担任。
(二)个人信息安全工程
|
ISO/IEC 27701 |
GB/T 35273-2020 |
个保法 |
|
主要见于: 第7.4条“隐私设计和默认隐私保护” |
第11.2条 个人信息安全工程 开发具有处理个人信息功能的产品或服务时,个人信息控制者宜根据国家有关标准在需求、设计开发、测试,发布等系统工程阶段考虑个人信息保护要求,保证在系统建设时对个人信息保护措施同步规划、同步建设和同步使用。 |
第五条【合法、正当、必要和诚信原则】 第六条【最小必要原则】 第七条【公开、透明原则】 第八条【质量保证原则】 第九条 个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。 |
ISO/IEC 27701、GB/T 35273-2020和《个保法》均对建立个人信息安全工程做出了规定。GB/T 35273-2020要求个人信息控制者[1]在开发具有处理个人信息功能的产品和服务时,应当根据国家有关标准,在需求、设计、开发、测试、发布等系统工程阶段考虑个人信息保护要求,以保证在系统建设时对个人信息保护措施同步规划、同步建设和同步使用。《个保法》主要通过第一章总则,对于个人信息处理者的基本安全要求提出原则性规定,并且在第九条中明确规定个人信息处理者对其个人信息处理活动负责,并且应当采取必要措施保证个人信息的安全;对于企业内部制定个人信息保护管理制度和操作规程的要求,则在第五十一条进行了规定。
ISO/IEC 27701则从实施的具体层面切入,同样提出了对于建立个人信息安全工程的要求,但相比而言要求更高。组织首先应当将PII的收集控制在最小必要程度、将PII的处理活动控制在充分必要程度;其次,组织应当确保并记录准确、完整及最新的PII,以及确定数据最小化的目标及规定为达成目标所计划采取的手段和措施;组织还应当在数据处理活动结束时,及时对PII及处理活动中产生的临时文件进行去标识化和删除处理;组织应当将处理的政策、程序及机制文档化并遵循相关的制度规范;此外,在PII传输方面,组织应当合理控制并确保通过数据传输网络输送的PII到达指定的目标处。
(三)进行个人信息处理活动的记录
|
项目 |
ISO/IEC 27701 |
GB/T 35273-2020 |
个保法 |
|
一般要求 |
第7.2.8条 组织应确定并安全地保存必要的记录,以支持履行其处理PII的义务。 组织应确定并安全地保存必要的记录,以支持履行其处理PII的义务。 维护PII处理记录的步骤是建立组织进行PII处理活动的清单或列表。此类清单可能包括: 1.处理的类型; 2.处理的目的; 3.PII和PII主体类别的描述(如儿童); 4.已经或将要向其披露PII的接收方类别,包括第三国或国际组织的接收方; 5.技术和组织安全措施的一般说明;以及 6.隐私影响评估报告。 这样的清单应当确定一个所有者负责其准确性和完整性。 |
第11.3条 个人信息控制者宜建立、维护和更新所收集、使用的个人信息处理活动记录,记录的内容可包括: a)所涉及个人信息的类型、数量、来源(如从个人信息主体直接收集或通过间接获取方式获得); b)根据业务功能和授权情况区分个人信息的处理目的、使用场景,以及委托处理、共享、转让、公开披露、是否涉及出境等情况; c)与个人信息处理各环节相关的信息系统、组织或人员。 |
未明确规定。 |
|
应进行记录的场景 |
未明确规定。 |
GB/T 35273-2020未集中规定记录的要求,在各条款中分别规定如下情形需要记录: 1.授权特定人员超权限处理个人信息;(第7.1条d)项) 2.个人信息控制者应准确记录和保存委托处理个人信息的情况;(第9.1条e)项) 3.准确记录和存储个人信息的共享、转让的情况,包括共享、转让的日期、规模、目的、以及接收方基本情况等;(第9.2条e)项) 4.准确记录和存储个人信息的公开披露的情况,包括公开披露的日期、规模、目的、公开范围等;(第9.4条d)项) 5.记录个人信息安全事件内容,包括但不限于:发现事件的人员、时间、地点,涉及的个人信息及人数,发生事件的系统名称,对其他互联系统的影响,是否已联系执法机关或有关部门;(第10.1条c)项) 6.个人信息处理活动记录;(第11.3条) 7.安全审计的相关记录。(第11.7条) |
未明确规定。 |
针对个人信息处理活动的记录要求,《个保法》中明没有明确规定,仅在个人信息保护影响评估条款中涉及了明确的记录要求,而ISO/IEC 27701、GB/T 35273-2020均规定要记录个人信息处理活动。其中,GB/T 35273-2020作仅将记录行为作为企业自愿实践,而ISO/IEC 27701则作出了硬性要求:ISO/IEC 27701规定组织应明确并安全保留必要的记录,记录的内容至少包括处理的类型、处理的目的、对PII和PII主体类别的描述(如儿童)、已经或者将要披露的PII接收方类别,包括第三国接收方或国际组织、技术和组织安全措施的一般性说明、以及隐私影响评估报告。PII处理记录应当确定一个对其准确性和完整性能够负责的人。
(四)开展个人信息安全评估
|
项目 |
ISO/IEC 27701 |
GB/T 35273-2020 |
个保法 |
|
评估情形 |
第5.4.1.2条 信息安全风险评估(information security risk assessment): 组织应在PIMS的范围内适用信息安全风险评估流程,以识别因丧失机密性、完整性和可用性而产生的相关风险。 组织应在PIMS范围内应用隐私风险评估流程来识别与PII处理相关的风险。 组织应确保在整个风险评估过程中妥善管理信息安全与PII保护之间的关系。 注:在评估与PII处理相关的信息安全与风险时,组织既可以将信息安全和隐私风险合并评估,也可以将两者分开评估。 组织应定义并应用信息安全风险评估过程,该过程应包括: 1)建立和维护信息安全风险标准,包括: a)风险验收标准;和 b)进行信息安全风险评估的标准; 2)确保重复的信息安全风险评估产生一致的、有效的和可比较的结果; 3)识别信息安全风险: a)应用信息安全风险评估流程,识别信息安全管理系统范围内与信息丢失保密性、完整性和可用性相关的风险; b)识别风险主体; 4)分析信息安全风险: a)评估第6.1.2条c)1)款规定的风险实现后可能产生的后果; b)评估第6.1.2条c)1)款规定的风险发生的实际可能性;和 c)确定风险等级; 5)评估信息安全风险: a)将风险分析结果与第6.1.2条a)款中确定的风险标准进行比较;和 b)优先考虑风险处理中的分析风险。 组织应保存有关信息安全风险评估过程的文件信息。 第7.2.5条 当计划对PII进行新的处理或更改现有的处理范围时,组织应评估是否有必要,并适时实施隐私影响评估(privacy impact assessment)。 PII处理会为PII主体带来风险。应通过隐私影响评估来评估这些风险。某些司法管辖区界定了应开展隐私隐影响评估的情形。标准可能包括对PII主体产生法律影响的自动决策、对特殊类型PII的大规模处理(例如,健康相关信息、种族或民族起源、政治观点、宗教或哲学信仰、工会成员信息、基因数据或生物特征数据),或对公共区域进行大规模的系统监测。 |
第11.4条 个人信息控制者 a)应建立个人信息安全影响评估制度,评估并处置个人信息处理活动存在的安全风险。 c)在产品或服务发布前,或业务功能发生重大变化时,应进行个人信息安全影响评估; d)在法律法规有新的要求时,或在业务模式、信息系统、运行环境发生重大变更时,或发生重大个人信息安全事件时,应进行个人信息安全影响评估; e)形成个人信息安全影响评估报告,并以此采取保护个人信息主体的措施,使风险降低到可接受的水平; f)妥善留存个人信息安全影响评估报告,确保可供相关方查阅,并以适宜的形式对外公开。 |
第五十五条 有下列情形之一的,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录: (一)处理敏感个人信息; (二)利用个人信息进行自动化决策; (三)委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息; (四)向境外提供个人信息; (五)其他对个*权人**益有重大影响的个人信息处理活动。 |
|
评估内容 |
未明确规定。 |
第11.4条 个人信息控制者 b)个人信息安全影响评估应主要评估处理活动遵循个人信息安全基本原则的情况,以及个人信息处理活动对个人信息主体合法权益的影响,内容包括但不限于: 1)个人信息收集环节是否遵循目的明确、选择同意、最小必要等原则; 2)个人信息处理是否可能对个人信息主体合法权益造成不利影响,包括是否会危害人身和财产安全、损害个人名誉和身心健康、导致差别性待遇等; 3)个人信息安全措施的有效性; 4)匿名化或去标识化处理后的数据集重新识别出个人信息主体或与其他数据集汇聚后重新识别出个人信息主体的风险; 5)共享、转让、公开披露个人信息对个人信息主体合法权益可能产生的不利影响; 6)发生安全事件时,对个人信息主体合法权益可能产生的不利影响。 |
第五十六条 个人信息保护影响评估应当包括下列内容: (一)个人信息的处理目的、处理方式等是否合法、正当、必要; (二)对个*权人**益的影响及安全风险; (三)所采取的保护措施是否合法、有效并与风险程度相适应。 个人信息保护影响评估报告和处理情况记录应当至少保存三年。 |
ISO/IEC 27701、GB/T 35273-2020和《个保法》均对个人信息安全评估做出规定,虽然《个保法》对评估的具体命名较GB/T 35273-2020略有调整[2],但两者对评估的要求基本一致。而ISO/IEC 27701则区分了信息安全风险评估流程和隐私风险评估流程:前者主要用于识别因丧失保密性、完整性和可用性而产生的相关风险;后者则用于识别与PII处理相关的风险。同时,ISO/IEC 27701还提及,在整个风险评估过程中,组织应当妥善管理信息安全与PII保护的关系,既可以将二者合并评估,也可以将二者分开评估,但二者均需限定在隐私信息管理体系(PIMS)的范围内。
(五)数据安全能力
|
ISO/IEC 27701 |
GB/T 35273-2020 |
个保法 |
|
主要见于: 第6.8条“物理和环境安全” 第6.9条“操作安全” 第6.10条“通信安全” 第6.14条“信息安全方面的业务连续性管理” |
第11.5条 数据安全能力 个人信息控制者应根据有关国家标准的要求,建立适当的数据安全能力,落实必要的管理和技术措施,防止个人信息的泄漏、损毁、丢失、篡改。 |
第五十一条 个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个*权人**益的影响、可能存在的安全风险等,采取下列措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失: (一)制定内部管理制度和操作规程; (二)对个人信息实行分类管理; (三)采取相应的加密、去标识化等安全技术措施; (四)合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训; (五)制定并组织实施个人信息安全事件应急预案; (六)法律、行政法规规定的其他措施。 |
对数据安全能力的要求,主要在于防止个人信息的泄露、损毁、丢失、篡改及其带来的不利影响,故ISO/IEC 27701、GB/T 35273-2020和《个保法》均进行了具体要求。
ISO/IEC 27701从物理和环境安全方面、操作安全方面、通信安全方面以及信息安全方面的业务连续性管理提出了更详细的规定与实施建议。为了便于企业在实施基于ISO/IEC 27001信息安全管理体系时对控制项进行选择,ISO和IEC进一步发布了ISO/IEC 27002作为指导文件,同时也是企业实施普遍接受的信息安全控制项的指南。GB/T 35273-2020要求组织根据有关国家标准的要求,建立适当的数据安全能力,落实必要的管理和技术措施。《个保法》则从内部管理制度和操作规程;信息实行分类管理;安全技术措施;权限管理;人员教育和培训;安全事件应急预案等六个维度进行了规定。对于各维度更加细化的规定,企业一般也会依据下位法规定,并进而参考有关国家标准实施与执行。
(六)人员的管理与培训
|
ISO/IEC 27701 |
GB/T 35273-2020 |
个保法 |
|
第6.4.2.2条 信息安全意识、教育和培训 适用ISO/IEC 27002:2013第7.2.2条规定的控制措施、实施指南和其他信息以及以下附加指南: ISO/IEC 27002:2013第7.2.2条“信息安全意识、教育和培训”的附加实施指南为: 应采取措施,包括增强事件报告意识,以确保相关工作人员能够意识到,违反隐私或安全规则和程序,特别是那些涉及PII处理的规则和程序,可能对组织造成的后果(例如,法律后果、业务损失和品牌或声誉受损),对员工造成的后果(例如,纪律处罚后果),对PII主体造成的后果(例如,物理、物质和情感后果)。 注:这些措施可包括对有权访问PII的员工进行适当的定期培训。 |
第11.6条 人员管理与培训 对个人信息控制者的要求包括: a)应与从事个人信息处理岗位上的相关人员签署保密协议,对大量接触个人敏感信息的人员进行背景审查,以了解其犯罪记录、诚信状况等; b)应明确内部涉及个人信息处理不同岗位的安全职责,建立发生安全事件的处罚机制; c)应要求个人信息处理岗位上的相关人员在调离岗位或终止劳动合同时,继续履行保密义务; d)应明确可能访问个人信息的外部服务人员应遵守的个人信息安全要求,与其签署保密协议,并进行监督; e)应建立相应的内部制度和政策对员工提出个人信息保护的指引和要求; f)应定期(至少每年一次)或在个人信息保护政策发生重大变化时,对个人信息处理岗位上的相关人员开展个人信息安全专业化培训和考核,确保相关人员熟练掌提个人信息保护政策和相关规程。 |
第五十一条 个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个*权人**益的影响、可能存在的安全风险等,采取下列措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失: (四)合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训; |
ISO/IEC 27701、GB/T 35273-2020和《个保法》同样要求组织对涉及个人信息的相关人员进行管理与培训。其中,《个保法》仅将其作为提高数据安全能力的一种措施在第五十一条进行了原则性规定;GB/T 35273-2020则提出了六点具体的实施要求;而ISO/IEC 27701则从宏观的人力资源安全管理方面入手,在ISO/IEC 27002的基础上,从聘用前、劳务合同履行过程中、劳务关系结束时三个阶段出发,具体介绍了在不同时期,组织应当承当的责任以及相关人员须承担的具体义务,并且在第6.4.2.2条中对于聘用中应当对相关人员进行培训的主要维度进行了提示。
(七)安全审计
|
ISO/IEC 27701 |
GB/T 35273-2020 |
个保法 |
|
第6.15.2.1条 信息安全的独立审查 适用ISO/IEC 27002:2013第18.2.1条规定的控制措施、实施指南和其他信息以及以下附加指南: ISO/IEC 27002:2013第18.2.1条“信息安全的独立审查”的附加实施指南为: 在组织是PII处理者的情形下,当进行独立的客户审计不现实或有可能增加安全风险时,组织应在签订合同之前和合同履行期间,向客户提供独立的证据,证明按照组织的政策和程序执行和操作信息安全。组织所选择的相关独立审核,通常可以满足客户审核组织处理操作的利益,如果其满足了预期用户的需求并且结果以充分透明的方式提供。 |
第11.7条 安全审计 对个人信息控制者的要求包括: a)应对个人信息保护政策、相关规程和安全措施的有效性进行审计; b)应建立自动化审计系统,监测记录个人信息处理活动; c)审计过程形成的记录应能对安全事件的处置、应急响应和事后调查提供支撑; d)应防止非授权访问、篡改或删除审计记录; e)应及时处理审计过程中发现的个人信息违规使用、滥用等情况; f)审计记录和留存时间应符合法律法规的要求。 |
第五十四条 个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。 |
作为个人信息安全管理的重要环节,ISO/IEC 27701、GB/T 35273-2020和《个保法》均对信息活动中的安全审计做出了明确的要求。《个保法》在第五十四条中对于个人信息处理者的合规审计义务进行了原则性规定;GB/T 35273-2020则主要从业务实施角度出发,向组织提出了以下六点具体操作要求;ISO/IEC 27701与GB/T 35273-2020的操作要求相似,但其除了将审计要求涵盖到具体领域内(如在供应商关系安全管理中同时要求进行安全审计),ISO/IEC 27701专门将安全审计的规定列为“合规”领域并详细地进行了介绍和规定。
通过上述分析可以看出,ISO/IEC 27701、GB/T 35273-2020和《个保法》虽然在规范要求的细致程度上有所区别,但其总体个人信息保护原则和标准是基本一致的。此外,《个保法》中大多仅涉及原则性规定,具体的落地执行还需要进一步参考GB/T 35273-2020和其他国家标准、团体标准等。对于企业和组织而言,如何以《个保法》和GB/T 35273为起点,进一步融合ISO/IEC 27701的要求,在做好个人信息保护工作的基础上,进一步加强对企业内部隐私信息管理体系的建设?我们认为,这不仅需要在产品安全、业务流程上满足法律法规的要求,更要从宏观角度对内部进行整体优化,形成普适通用的数据合规管理体系和数据治理架构,以更好地赋能企业发展,这将成为摆在企业数据合规工作者面前的新的挑战。
02
《欧盟-美国数据隐私框架原则》的合规要求与认证机制
美国与欧盟之间所涉及的数据传输相关产业众多、数量巨大。根据美国经济分析局的数据,2020年欧盟与美国之间的信息与通信技术(Information and Communications Technology, “ICT”)和潜在的、由ICT支持的服务贸易总额超过2,600亿美元。如何在遵守双方数据保护法规的基础上维持稳定的数据传输,便成为双方政府关注的重要命题。由于欧盟出台了相对更为严格的数据保护法规,以及美国联邦信息情报机构基于国家安全进行的广泛的监控与监管,二者之间冲突的利益考量使得双方政府的相关努力在数十年间不断经历波折。
根据GDPR第V章的规定,个人数据自欧盟境内向第三国或国际组织进行跨境传输存在3类路径:(1)欧盟委员会的充分性决定(GDPR第45条);(2)数据控制者或处理者的适当保障措施(其中,重要的保障措施包括标准合同条款、有约束力的公司规则、行为准则,以及认证)(GDPR第46条);或(3)义务克减情形(GDPR第49条)。考虑到美国与欧盟成员国之间频繁且大量的数据传输,以及所涉及的诸多重要互联网公司的利益,无论在《数据保护指令》(Directive 95/46/EC on the protection of individuals with regard to the processing of personal data and on the free movement of such data)下还是在GDPR颁布施行后,欧盟委员会与美国政府一直致力于通过充分性决定的方式在二者之间建立政府层面的数据传输框架。
2000年7月26日,欧盟委员会通过了《关于安全港隐私原则与常见问题所提供保护的充分性决定》[3],承认美国商务部发布的《安全港隐私原则与常见问题》为从欧盟向美国传输相关个人数据提供了《数据保护指令》下的充分保护。随后的十五年间,安全港隐私原则帮助包括Google与Facebook(后更名为Meta)在内的诸多重要互联网公司将其在欧盟境内获取的数据传输到美国境内进行处理。但随着2013年棱镜计划曝光,以及后续细节的不断披露,全世界范围内对于美国政府隐私与数据保护领域的不信任与日俱增。欧洲法院在2015年10月6日对Maximillian Schrems v Data Protection Commissioner (Case C‑362/14) (“Schrems I”)一案作出判决,上述充分性决定被宣告无效。随后,经过欧盟委员会与美国政府之间的多轮激烈磋商,双方于2016年2月2日就一项新的框架——即美国商务部发布的《欧盟-美国隐私盾原则》——达成协议。2016年7月12日,欧盟委员会通过了《关于欧盟-美国隐私盾所提供保护的充分性决定》[4],承认《欧盟-美国隐私盾原则》为从欧盟向美国传输个人数据提供了《数据保护指令》下的充分保护。而这一次,仅仅4年后,欧洲法院便于2020年7月16日在Data Protection Commissioner v Facebook Ireland and Maximillian Schrems (Case C-311/18) (“Schrems II”)一案的判决中再次宣布该充分性决定无效。而在这期间,随着GDPR在2016年4月14日制定颁布,并于2018年5月25日正式施行,欧盟个人数据保护标准不断提高,迫使美国政府进一步做出了重要的让步。
2022年3月25日,为了应对《欧盟-美国隐私盾原则》的失效,欧盟委员会与美国政府针对“跨大西洋数据隐私框架(Trans-Atlantic Data Privacy Framework)”的跨境数据传输框架达成了协议(后更名为“欧盟-美国数据隐私框架(European Union-U.S. Data Privacy Framework)”)。根据协议,美国政府承诺将针对信息情报活动进行限制,对个*权人**利作出进一步保障,并将建立独立且有法律约束力的救济机制。2022年10月7日,拜登政府发布了第14086号行政命令《加强对美国信号情报活动的保障措施》,对于信息情报活动施加了“国家安全目标”与“优先情报事项”两项要求,并对于情报活动的范围和方式施加比例原则和必要性的限制。针对此前设置的“隐私保护监察员”(Privacy Shield Ombudsman)由于缺乏独立性与实质性权力而受到来自欧盟法院质疑的情况,行政命令此次设立了公民自由保护官(Civil Liberties Protection Officer, “CLPO”)与数据保护审查法庭(Data Protection Review Court, “DPRC”)的双层救济与审查机制,在审查情报机构情报活动的同时为隐私与数据权利遭到侵犯的个人提供救济。作为第一层救济机制,CLPO负责受理投诉并展开调查,情报机关有义务进行配合;如果CLPO认为违法行为存在,其有义务采取措施;调查结束后,CLPO需形成报告上报给负责国家安全的司法总长,再由该总长向外国情报监视法庭(Foreign Intelligence Surveillance Court)进行汇报,并告知投诉主体处理结果。作为第二层救济机制,投诉主体可以向DPRC申请就CLPO的调查结果及义务遵守情况进行评估;如果法院对调查结果表示异议,可以发布独立的评估结果,情报机关有义务遵守。在上述行政命令发布后,2022年10月13日,欧盟委员会基于对《欧盟-美国数据隐私框架原则》和行政命令所提供的保护水平的评估,公布了《欧盟-美国数据隐私框架保护充分性决定》草案[5]。
对于目前的《欧盟-美国数据隐私框架原则》而言,在充分性决定正式由欧盟委员会通过前,委员会还需要针对充分性决定:(1)向EDPB征求意见;(2)向根据GDPR第93条组成的委员会提交批准;以及(3)经过欧洲议会审查。而考虑到前序2份充分性决定接连失败,欧盟成员国代表是否会对于这份充分性决定给出积极意见尚属未知。另外,虽然根据欧盟委员会的表述,更新后的《欧盟-美国数据隐私框架原则》(以及相关的美国总统行政命令)所提供的保护将能够满足欧洲法院在Schrems I与Schrems II判决中所提出的要求,但考虑到上述判决均针对的是《数据保护指令》下的充分性决定,而GDPR比《数据保护指令》规定了更高的个人数据保护标准,并不能排除欧洲法院在后续案件的判决中判定这份GDPR下的充分性决定无效的可能性。因此,《欧盟-美国数据隐私框架原则》及其认证机制目前仍存在较强的不确定性。
但值得注意的是,除了前述第14086号行政命令中提供的进一步保障举措外,《欧盟-美国数据隐私框架原则》与《欧盟-美国隐私盾原则》的实质内容几乎完全一致,均包含7项个人数据保护基本原则[6]、16项补充原则[7]以及附件I中对于救济与执行的规定。此外,两者关于认证的机制也相同。需要进行跨境数据传输的公司或组织需要每年通过美国商务部的自我认证(第6项)及核准程序(第7项),向美国商务部提交相关文件及信息,并提供针对自我认证的核准及追索,以确保落实框架确立的原则以及仲裁机制;而企业即便在主动退出后也需要每年填写并提交问卷,以便于美国商务部持续追踪其数据跨境实践。我们将相关的通用程序与要求整理并总结如下表:
|
序号 |
事项内容 |
|
1 |
确认自我认证所包含的实体以及各实体参与隐私框架的资格。 |
|
2 |
识别并记录组织所涉及的自欧盟向美国进行传输的个人数据。 |
|
3 |
起草并发布符合各项原则要求的隐私政策。 |
|
4 |
确认并记录处理投诉与行权的部门或员工的联系方式。 |
|
5 |
识别并确认有权审理针对实体违法或违规行为的诉讼的法定机构。 |
|
6 |
识别并确认组织所参与的隐私合规项目。 |
|
7 |
建立并确认组织的声明核准机制。 核准可以通过自我评估或外部审查进行,至少每年进行一次,并在数据主体提出要求或在调查或投诉不遵守规定的情况下向相关主体或监管机关提供。 |
|
8 |
选择并确认适用于组织的独立追索机制。 追索机制需要至少包括:独立申诉机制,以确保投诉、行权要求及争议的快速解决;自我认证承诺的验证机制,已核实组织的声明是真实的,并确认已如实执行;以及补救机制,在上述验证发现未能执行或遵守的情况下,对组织的制裁。 |
|
9 |
通过美国商务部提供的对应的主页进入自我认证页面,提供组织基本信息与上述1-8步中全部信息或文件,并支付费用(包括认证程序费用与附件I中规定的强制仲裁机制的费用)。 |
美国商务部国际贸易管理局(International Trade Administration)负责该框架的行政管理,并负责公布正面清单(顺利完成年度认证的企业)和负面清单(因持续违规而从清单中被移除的企业)。针对通过认证的企业,美国商务部将依据职权进行例行实地检查(routine spot check);如果发现了违规情况,还会进行临时实地检查(ad hoc spot check)。针对启动加入框架的程序但并未完成初始自认证的企业,美国商务部将依据职权对其隐私政策进行审查。针对未参与框架的企业,美国商务部则通过网络主动搜索和识别其是否存在虚假陈述的情形。另外,欧盟成员国的数据保护当局(Data Protection Agency, “DPA”)在发现企业违反框架要求的情况下,可以要求美国商务部展开进一步调查。美国商务部会与欧盟委员会、EDPB代表、DPA定期召开会议,针对执行情况及美国法律变动及时沟通。
03
TRUSTe企业隐私认证的机制与合规要求
TRUSTe(2017年更名为TrustArc,将TRUSTe作为其商标与产品名,以下统称“TRUSTe”)创立于1997年。与上述《欧盟-美国数据隐私框架原则》不同,TRUSTe最初是作为一家民间的非营利性协会而创立,业务是协助企业进行隐私保护领域的自我管理与制度搭建。TRUSTe作为隐私保护认证领域的先驱,于2000年成为首个尝试在认证中涵盖欧共体与美国隐私保护标准的认证机构。随后,其于2001年率先推出了儿童隐私保护项目,并成为了美国联邦贸易委员会(Federal Trade Commission, “FTC”)在儿童在线隐私保护法案(Children’s Online Privacy Protection Act, COPPA)的安全港组织。在开展认证服务的20余年中,TRUSTe逐步成为世界范围内最受行业认可的隐私保护认证机构之一,其客户遍布各行各业,为包括AT&T、雅马哈、摩根大通、CISCO、IBM、甲骨文、自动资料处理公司(ADP)、电子艺界(EA)、Zoom、福布斯、家乐氏(Kellogg's)等诸多行业巨头在内的全球上千家企业提供隐私保护合规认证。同时,TRUSTe的认证业务覆盖范围全面,为企业客户提供针对欧盟《通用数据保护规则》(General Data Protection Regulation, “GDPR”)、《经济合作发展组织组织隐私指南》(OECD Privacy Guidelines)、《亚太经合组织隐私框架》(APEC Privacy Framework)、《美国健康保险可携带性与责任法案》(Health Insurance Portability and Accountability Act, HIPAA)、ISO/IEC 27001、《欧盟-美国隐私盾原则》(EU-U.S. Privacy Shield Principles)(如前所述,更新后称为《欧盟-美国数据隐私框架原则》)、《加利福尼亚州消费者隐私法案》(California Consumer Privacy Act, CCPA)、欧盟互动数字广告联盟(European Interactive Digital Advertising Alliance, EDAA)行为定向广告认证要求等在内的多种认证服务;近年来,TrustArc也在推动适用于我国《个保法》的合规服务产品。
在TRUSTe的所有合规及认证产品中,最为知名、影响最大、适用范围最广的,是其企业隐私认证(TRUSTe Enterprise Privacy Certification)。根据TRUSTe的声明,该认证依照TRUSTe隐私与数据治理框架(Privacy & Data Governance Framework, “P&DG”),并同时参照了OECD与APEC两大国际组织的隐私保护要求、GDPR个人数据保护规则、HIPAA健康信息保护规则以及ISO/IEC 27001信息安全管理体系规则[8]。
TRUSTe企业隐私认证项目(在实体上)分为三个阶段:制度建设(Build)、标准实施(Implement)与合规论证(Demonstrate)。其中,制度建设阶段主要涉及企业内部隐私合规体系的建设,标准实施阶段则侧重于个人信息全生命周期控制措施的实施,而最终的合规论证阶段则主要面向外部监管机关与公众进行流程性工作。
图1 TRUSTe企业隐私认证阶段
|
项目 |
内容 |
|
制度建设 |
|
|
综合治理 |
识别利益相关方;建立领导与治理项目;定义项目实名、愿景与目标。 |
|
风险评估 |
识别、评估与数据相关的策略、运行、合规与金融风险,并分类分级。 |
|
资源配置 |
确定预算;定义各部门角色与职责;指派人员。 |
|
政策与标准 |
制定政策、程序和指导方针,以确定和部署有效且可持续的治理与控制措施,以此管理与数据相关的风险。 |
|
流程管理 |
建立、管理、衡量并持续改进数据合规检测、个人信息保护影响评估、供应商评估、事件管理和违规通知,以及投诉处理和个*权人**利管理的流程。 |
|
意识与培训 |
针对期望与任务进行内部沟通;为员工提供一般培训与场景特定培训。 |
|
标准实施 |
|
|
数据必要性 |
仅收集和保留战略目标所需的数据,以优化数据价值;利用匿名化、去标识化、拟匿名化和加密来减少与数据相关的风险。 |
|
使用、保留与处置 |
确保数据仅在法律允许的范围内使用,并仅用于与收集目的相关和相符合的目的。 |
|
向第三方披露与转移 |
当数据被转移到第三方组织和/或跨境传输时,保持(并使接收方履行)对相关数据的标准和保护。 |
|
选择权与同意 |
使个人能够选择是否处理有关他们的个人数据;在必要和适当的情况下,获得事先许可并进行记录,并使个人能够选择退出正在进行的处理。 |
|
访问权与其他个*权人**利 |
使个人能够访问有关自己的信息,且能够修改、更正并在适当时删除不准确、不完整或过时的信息。 |
|
数据完整性与质量 |
确保数据保持足够的准确、完整、相关,且符合其目的用途。 |
|
数据安全 |
保护数据免于丢失、滥用或未经授权的访问、披露、更改或破坏。 |
|
流程透明 |
告知个人与其相关的数据的处理方式,以及如何行使其所享有的与数据相关的权利,包括因数据泄露而产生的权利。 |
|
合规论证 |
|
|
监测与保证 |
评估并审核控制措施与风险缓解措施的有效性。 |
|
上报与认证 |
向客户、员工、管理层、董事会、监管机构和公众展示合规计划与控制措施的价值和有效性。 |
另外,TRUSTe企业隐私认证项目(在程序上)分为10个步骤:隐私审核(Privacy Review)、政策与程序审核(Policy and Procedure Review)、出具调查报告(Finding Report)、提供可检索审核记录(Searchable Audit Trail)、持续监控与指导(Ongoing Monitoring and Guidance)、争议解决应对服务(Dispute Resolution Service)、授予TRUSTe隐私反馈按钮(TRUSTe Privacy Feedback Button)、补救/验证(Remediation / Validation)、出具证明书(Letter of Attestation)、使用TRUSTe隐私认证印章(TRUSTe Certified Privacy Seal)。在完成全部流程后,企业将获得认证证明书并有权使用TRUSTe隐私认证印章及隐私反馈按钮,以向顾客及其他利益相关方证明其隐私保护合规状况。
图2 TRUSTe隐私认证印章
结语
所谓“合规为体,认证为用”,认证制度的作用不仅在于通过第三方认可的方式对公司合规情况进行证明和背书,最重要和最核心的目的还是在于帮助企业通过推进认证流程来促进内部数据合规制度的建设和落地。在全球化和数字经济高速发展的背景下,当企业在进行个人信息与隐私合规实践操作时,不仅需要密切关注所在国家、地区的数据合规法律法规、国家标准、认证制度,以及执法监管的最新动态,更需要结合普适性的标准(如ISO/IEC 27701、P&DG框架)来搭建整体合规框架和控制措施的实践指南,以了解组织安全管理的底线与需求,最终指导企业对个人信息安全落地的软着陆。
通过上中下三篇文章的初步解读,我们力图协助读者在了解认证制度起源与目标的基础上,对国内外数据合规认证制度及具体要求有一个整体的把握,所谓“借古鉴今、推己及人、察微知著”,在了解认证制度的前世今生、发展现状的前提下,结合企业的实际情况作出最适当的选择。特别是对于中国企业而言,通过对比国内外各类数据合规认证制度,不仅有助于企业完成在中国(大陆地区)的个人信息与隐私合规工作,也能够为未来产品/服务出海适用其他法域相关规定打下良好的基础,更有助于进一步切实落地各国的具体要求,构建更加完备的一体化个人信息和隐私安全保护体系。
注释
[1] 根据GB/T 35273-2020的定义,“个人信息控制者”是指有能力决定个人信息处理目的、方式等的组织或个人,对应《个保法》的“个人信息处理者”概念,即在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。
[2] GB/T 35273-2020中的“个人信息安全影响评估”已经在《个保法》中更名为“个人信息保护影响评估”。
[3] Commission Decision of 26 July 2000 pursuant to Directive 95/46/EC of the European Parliament and of the Council on the adequacy of the protection provided by the safe harbour privacy principles and related frequently asked questions issued by the US Department of Commerce, see https://eur-lex.europa.eu/legal-content/en/TXT/?uri=CELEX%3A32000D0520.
[4] Commission Implementing Decision (EU) 2016/1250 of 12 July 2016 pursuant to Directive 95/46/EC of the European Parliament and of the Council on the adequacy of the protection provided by the EU-U.S. Privacy Shield, see https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv%3AOJ.L_.2016.207.01.0001.01.ENG.
[5] Draft Adequacy decision for the EU-US Data Privacy Framework, see https://commission.europa.eu/system/files/2022-12/Draft+adequacy+decision+on+EU-US+Data+Privacy+Framework_0.pdf.
[6] 7项基本原则包括:告知、选择权、传输的责任、安全、数据完整性与目的限制、访问权,以及追索、执行与赔偿责任。
[7] 16项补充原则包括:敏感个人信息授权同意的例外、新闻业例外、补充责任的排除、尽职调查与审计的允许、数据保护当局的职责、自我认证、声明的核准、访问权的具体规定、人力资源数据的适用、数据传输的强制性合同、争议解决与强制执行、选择退出权、出行信息、药物与医疗中的数据处理、公共记录与公开信息、公权力当局的访问请求。
[8] TRUSTe Enterprise Privacy Certification, see https://trustarc.com/truste-certifications/enterprise-privacy-certification/.
作者:
孟 洁 《互联网法律评论》特约专家、环球律师事务所合伙人
鲁裕鑫 环球律师事务所
杜 畅 环球律师事务所
审校:
*克王**友 环球律师事务所合伙人
【 免责声明 】此文仅代表作者个人观点,与本平台无关。本平台对文中陈述、观点判断保持中立,不对所包含内容的准确性、完整性或可靠性提供任何明示或暗示的保证。