原标题:新经济与法|全球个人数据安全监管趋严,互联网企业如何作为
7月22日,
荷兰数据保护局(Dutch Data Protection Authority, DDPA)发布公告
,决定对TikTok平台处以75万欧元罚款。DDPA调查发现,TikTok平台在向荷兰用户提供的隐私政策中只包含英文版本,而未提供荷兰语版本。在荷兰有众多儿童使用TikTok平台的情况下,TikTok平台无法当然认定其能够理解英语,故TikTok未能够根据欧盟《通用数据保护条例》(General Data Protection Regulation, GDPR)第12条规定,就收集、处理和使用个人数据以“简单、透明且易懂的方式,通过清楚明确的语言,采取适当的措施提供和传达信息”,因而收到DDPA开出的罚单。
由上述案例可以窥见各国针对个人数据安全愈发重视且监管趋严的趋势。放眼国际,多国已通过立法保护数据和隐私,如美国加州制定的《加州消费者隐私法案》(CCPA) ,被称为是美国史上最为全面、最严格的州数据隐私法;立足国内,中国自1984年《宪法》便规定公民的通信自由和通信秘密受法律保护,开始了对个人信息保护的规制。此后,虽逐渐重视对数据安全和个人信息的保护,但相关立法规定散见于各类规范性法律文件之中,始终没有一部针对数据安全或个人信息保护的专门立法。2016年《网络安全法》的出台,是中国网络空间法治建设的重要里程碑,为网络数据安全保护提供了立法制度的支撑;今年1月1日起正式实施的《民法典》则在第四编人格权编和第六章专章规定了隐私和个人信息保护相关规定;今年9月即将生效的《数据安全法》,是中国第一部有关数据安全的专门法律;而近日即将三审《个人信息安全保护法(草案)》,待其通过并生效后亦将成为中国第一部保护个人信息的专门法律,标志着中国迈出完善和深化个人数据保护的重要一步。
对此,我们制作了国内针对数据合规(含个人信息保护,下同)相关重要立法的时间轴(如下图所示),以此明晰中国立法脉络:
该图片由德恒上海律师事务所高亚平律师团队 整理绘制除上述立法外,在数据安全实践方面,中国各大互联网企业亦在努力,纷纷研究开发有关数据安全保护的产品。例如:
百度推出“史宾格”安全和隐私合规平台,基于AI检测技术,比照《App违法违规收集使用个人信息行为认定方法》《工业和信息化部关于开展App侵害用户权益专项整治工作的通知》《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》《信息安全技术个人信息安全规范》等规范性文件、国家标准,提供隐私风险项检测、隐私专项检测、场景检测、权限过度收集与使用情况检测等产品服务,助力监管机构、应用市场、大型企业、App开发者等完成App隐私合规自查,发现隐私违规风险。
字节研发隐私合规一站式平台,通过自动化技术(如数据发现、打标和溯源;数据资产扫描和归类;合规风险评估、度量和可视化;隐私合规要求和风险控制点的标准化记录和引用、结合业务DevOps机制的合规预判和冲突校验;PIA/DPIA、PrivacybyDesign流程承载;合规审计案例归档和查阅;合规状态指标监控;数据主体权益保障相关的合规管理工具等)、聚合的数据集以及标准化的合规流程提供一站式隐私合规项目管理和风险治理,对组织内的数字资产、产品技术、合规流程等相关治理活动实现数字化管控,实现了法律、安全、技术等多领域的信息交汇,亦帮助组织实现对数据主体权益保障请求的快速响应。
蚂蚁集团除通用能力外,亦纵深于垂直领域,针对灵活用工行业资金结算合规及数据安全保护需求,以“安全发”资金结算产品为核心,提供一整套灵活用工行业资金安全及数据合规综合解决方案。一方面,对于灵活用工行业普遍面临的资金信任及安全痛点,研发面向灵活用工平台、灵活用工平台SaaS服务商等多类应用场景下的“安全发”资金结算产品;另一方面,可通过集成旗下多方安全结算平台等数据安全产品,实现有效识别、监控上游用工企业及下游自由职业者的风控点并进行风控预警,同时基于多方安全计算、隐私保护、区块链等技术,实现“数据可用不可见”,解决灵活用工行业内数据流安全合规问题。
对比TikTok平台被罚案例,可以发现:TikTok平台在欧盟经济区适用的隐私政策除了DDPA指出的问题外,其实仍存在其他合规风险隐患(如对数据收集目的的模糊化处理未遵循GDPR数据处理原则、数据处理政策缺乏对未成年人用户的特殊保护等)。这警示着企业除持续关注数据合规立法动态,对照适用的法律法规自查、整改隐私政策外,也可考虑借助前文举例的数据安全合规产品或工具,动态、持续、有效地识别数据合规风险点,将形式上的隐私政策嵌入到系统设置的实质流程中,实现业务流与数据流的和谐统一。
关注数据立法,完善数据保护合规应当引起企业更多的重视。随着中国数据合规相关立法(如《数据安全法》与《个人信息保护法》等)的相继落地,企业应当及时关注、了解立法动向,强化数据合规的内控管理,并辅之以技术手段协助企业实现数据合规,使数据合规隐患防于未然。