版权声明:本文版权归文章作者所有,仅代表作者观点,本文不用于商业用途,仅为学习交流之用,如文中的内容、图片、音频、视频等如有侵权,请及时联系本站站长删除。
本文来源于微信公众号【亚太法务联盟】
2020年10月21日,全国人大法工委公开就《中华人民共和国个人信息保护法(草案)》征求意见,这是自去年网信办发布《数据安全管理办法》征求意见稿后,我国在数据安全法规领域的又一项重磅动向。
基于此,12月18日下午,亚太法务联盟联合小鹏汽车举办了第五期“法总思享会”,本期主题为“从个人信息保护法谈企业数据合规”。
亚太法务联盟常务秘书长蒋璐明、小鹏汽车高级法务总监林森才、BSI中国区资深顾问、讲师汪明、德赛西威汽车电子股份有限公司法务总监林贤伟、索菲亚法务总监曾晓燕、欢聚集团总法律顾问齐守明、东风日产审计合规部部长李克迪等30余位法务总监参与了本次法总思享会,并共同探讨在个人信息保护法的背景下,企业该如何做好数据合规工作。
活动伊始,各位法总首先参观了小鹏汽车。据悉,小鹏汽车创立于2014年,是中国领先的智能电动汽车设计及制造商,也是融合前沿互联网和人工智能创新的科技公司,致力于通过数据驱动智能电动汽车的变革,引领未来出行方式。
随后,小鹏汽车高级法务总监林森才进行了题为“智能汽车数据合规实务观察”的分享。
据悉,林森才系西南政法大学法学学士、伦敦大学法学硕士,英国外交部志奋领学者,同时也是一位优秀的中国律师。在加入小鹏汽车之前,林森才曾在中国建设银行、广州金鹏律师事务所、森那美集团(Sime Darby Group)工作。2018年5月加入小鹏汽车,全面负责公司全球法律合规、法务及知识产权团队管理,负责投融资、收并购、以及智能网联汽车研、产、供、销、服等环节中的重大法律事务,牵头探索在自动驾驶、数据安全、车联网、网约车等前沿业务的法务实践。
林森才 小鹏汽车高级法务总监
林森才首先介绍了小鹏汽车法务工作的概况。小鹏汽车法务的主要工作包括争议解决、知识产权维权与保护、日常业务支持,物业/工程建设、投融资/收并购过程中的风险防控与合规审查等,从而实现企业的合法健康发展。那么,作为一家智能电动汽车设计及制造商,小鹏汽车如何保障数据合规,林森才结合实务观察进行了分析。
2020年11部委《 智能汽车创新发展战略》称:“当今世界正经历百年未有之大变局,新一轮科技革命和产业变革方兴未艾,智能汽车已成为全球汽车产业发展的战略方向”。
那么,何为智能汽车?
林森才以小鹏汽车Xmart OS为例,谈及智能汽车的智能化,小鹏汽车Xmart OS拥有车载智能系统,强大的视觉、听觉感知与反馈能力,一个眼神即可感知到用户的需求,并聆听用户指令;独立的APP STORE车载开放性智能生态系统,应用与系统均可不断升级,更合用户心意。此外,深度学习能力是其又一优势,相处越久,默契越深。林森才还以小鹏汽车Xpilot 3.0 为例介绍了智能汽车的自动驾驶,在城市内,开启防加塞功能,确保情绪与行车都足够稳定,在高速公路行车时,设定导航目的地,小鹏P7将根据路线指引,实现自主变道、切换高速路线,并在行车中实时选择最优路线。P7能够应对多种泊车场景,特别适用于夜间泊车、狭小泊车位、生手泊车等状况。此外,未来新增的“停车场记忆泊车”,可通过对常用的车位记忆和驾驶路线学习,实现停车场内自主泊车。
林森才认为,新一代汽车拥有智能移动空间和应用终端,已进入软件定义汽车的阶段。
在智能汽车发展环境下,智能汽车科技企业如何保障数据合规?
林森才首先为大家介绍了全球数据合规热点地区——欧洲的数据合规热点,主要包括2017年的《数据保护官指南》,2020年的《数据控制者及处理者指南》《网联汽车及移动应用指南》以及在Schrems II后发布的《数据跨境传输新指南》;北美2020年出台了《联邦立法提案》《国家安全与个人数据保护法案》《数据保护法案》《加州消费者保护法》。
而亚洲则经历了从“形式合规”1.0到“实质合规”2.0的阶段,法律法规、部门规章、司法解释、规范性文件、国家标准联合执法、多方共治,一手抓监管,一手促价值。林森才详细介绍了数据合规从1.0到2.0的变化。1.0阶段是形式合规,主要体现为用户协议、隐私政策,2.0阶段实质合规则包括多个层面的内容。第一个层面是技术,技术层面包含技术设施、运维管理;第二个层面是合规,合规包含多层次的体系规则:国家政策-法律法规 - 部门规章 – 其他规范性文件 – 标准和指南;多部门管理;对个人信息进行全生命周期管理:收集、存储、使用、加工、传输、提供、公开;细化具体规范:用户告知、同意、更改、账户注销、信息删除、去标识化、数据访问及调用;此外还需关注新技术和应用,包括SDK, API, Cookie、爬虫、人脸识别等,另外还需进行合规认证、APP认证等。第三个层面是商业,包括数据资产、商业利用等。
在合规层面,多层次的体系规则主要包括以下内容:
(图片来源分享嘉宾PPT)
在这一体系规则之下,企业需要维护网络安全,进行信息保护,尤其注重个人信息的保护。
林森才还介绍了信息处理的原则要求。他表示,信息处理全生命周期规制包括 :收集、储存、使用、加工、传输、提供、公开、销毁。
通过对比《个人信息安全规范》 (GB/T 35273—2020) 七大原则,林森才总结出了信息处理的六大要求:
采用合法、正当的方式,遵循诚信原则,不得通过欺诈、误导等方式。《规范》无对应规定;
具有明确、合理的目的,并应当限于实现处理目的的最小范围,不得与处理目的无关。对应《规范》4b) “目的明确”及4d)“最小必要”原则;
遵循公开、透明的原则,明示个人信息处理规则。对应《规范》4c)“选择同意”及4e)“公开透明”原则;
应当准确,并及时更新。《规范》无对应规定;
处理者应当对其处理活动负责,并采取必要措施保障所处理的个人信息的安全。对应《规范》4a)“权责一致”及4f)“确保安全”原则;
不得危害国家安全、公共利益。《规范》无对应规定。
此外,处理个人信息的合法性基础包括:
取得个人的同意;
为订立或者履行个人作为一方当事人的合同所必需;
为履行法定职责或者法定义务所必需;
为履行法定职责或者法定义务所必需;
为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;
为公共利益实施新闻报道、舆论监督等行为在合理的范围内处理个人信息;
法律、行政法规规定的其他情形。
在介绍了自动化决策及商业推送、个人信息出境等环节中涉及的合规问题后,林森才分析了企业刑事合规抗辩第一案—雀巢员工侵犯公民个人信息案,并得出启示:雀巢公司建立了有效的合规制度,尽了合规管理义务,具有规避、防范合规风险的意识,并进行了合规培训,可见一套行之有效的合规制度可降低和避免“单位犯罪”的风险。另外,他还分享了多个“反面案例”,为同行企业法务官们“避雷避坑”。
事实上,智能汽车涉及的数据及应用场景广泛,林森才对其进行了分类整理,并介绍了智能汽车数据的价值与风险。最后,林森才还分享了合规管理体系指南与其搭建数据合规管理体系的经验之谈。
(图片来源分享嘉宾PPT)
(图片来源分享嘉宾PPT)
林森才的分享结束后,BSI中国区资深顾问、BSI 中国 ICT 技术经理、高级项目经理、高级讲师汪明做了主题为“从隐私合规到隐私文化与技术落地”的分享。
汪明 BSI中国区资深顾问、讲师
汪明具有16年工作经验,其中6年在芯片制造公司从事IT研发、安全运维、项目管理、管理体系维护,之后从事了10年的咨询/培训,帮助超过80多家公司建立实施信息安全、隐私保护、IT服务管理、业务连续性管理体系,为数千名学员交付了100多场培训。辅导、培训过的部分客户涵盖诸多行业的头部公司。
汪明的分享主要包括四个部分:(1)ISO/IEC 27701 标准简介;(2)理解隐私保护,营造隐私文化;(3)制定合规流程,落地隐私合规;(4)Privacy by design,隐私保护的制高点。
据汪明介绍,ISO/IEC 27701同时扩展了ISO/IEC 27001和ISO/IEC 27002中有关信息安全的控制要求,以及GDPR与ISO/IEC 29100中的隐私原则与隐私保护要求,是第一部“认证”性质的隐私保护国际标准,同时又整合了“指南”性质的条款,让其具有“双重身份”。
(图片来源分享嘉宾PPT)
接下来,汪明介绍了ISO/IEC 27701 标准总体架构。这部标准因欧盟数据保护委员会(EDPB)参与编写而体现出了权威性,受到全球范围的格外关注。需要注意的是,计划寻求通过 ISO/IEC 27701 认证的组织还需要通过ISO/IEC 27001认证。
他认为,企业开展隐私保护,首先应当理解隐私保护的本质,继而在企业中营造出良好隐私文化。欧洲隐私保护的立法精神是强调每个自然人都有保护自己的个人数据的基本权利,立法者强调个人数据自由流通和转移的前提是确保高水平的个人数据保护能力。《中华人民共和国民法典》第四编第六章也强调自然人享有隐私权,而隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息,这体现的是对自然人隐私权利的尊重,企业不能简单地将隐私保护理解为“不作恶”。
在上述背景之下,企业如何明确自身的隐私合规战略,如何构建隐私保护框架?
汪明推荐使用ISO标准中常用的SWOT分析模型进行分析。
(图片来源分享嘉宾PPT)
(图片来源分享嘉宾PPT)
随后,汪明还结合指导企业开展隐私合规建设的经验,以及业界领先公司的案例分析,向与会嘉宾们介绍了企业数据安全与隐私合规建设的实施思路和实施要点。
(图片来源分享嘉宾PPT)
(图片来源分享嘉宾PPT)
最后,汪明谈及Privacy by design是企业未来深化隐私合规建设的制高点,也是有实力的企业借助隐私合规的风口树立行业领先标杆形象的关键所在。他结合具体的案例分析,对隐私界前辈提出的“Privacy by Design 7原则”进行了解读,其中尤其强调产品设计师们应当站在用户视角去分析可能给用户带来的直接或间接的侵犯和风险。
(图片来源分享嘉宾PPT)
隐私风险评估是企业开展隐私设计的核心环节,隐私风险评估的关键成功要素在于:业务场景梳理清楚、数据责任者明确、企业在不同业务场景下的角色身份界定清楚等方面,但更为关键的是企业需要一支懂业务、懂技术、理解法规的团队来执行隐私风险评估,这需要在企业将隐私保护的理念和方法深入灌输给每一个从事个人数据处理活动的员工,更需要企业中的决策层指明企业合规道路的方向。
两位分享结束后,来自不同企业的嘉宾们围绕个人信息保护法与企业数据合规进行了热烈的讨论。本次分享会干货满满,获得了参会的首席法务官们的一致好评,通过交流与分享,嘉宾们对个人信息保护与企业合规有了更加深刻的见解。
发表评论 取消回复