设为首页|收藏本站|
发帖
登录 注册
西兔生活网 华人生活 移民签证 实务太难了?听“海问大讲堂”解千愁吧 ...
回复 发帖
返回列表 发新帖
开启左侧

[问答] 实务太难了?听“海问大讲堂”解千愁吧

[复制链接]
78779 0
小灾大难 发表于 2022-8-20 04:56:12 | 只看该作者 打印 上一主题 下一主题
 
实务太难了?听“海问大讲堂”解千愁吧 第1张图片



实务太难了?听“海问大讲堂”解千愁吧 第2张图片

阅读时长:10min  
高光时刻:

  • 4点,读懂数据保护法律

  • 数据跨境双向流动,合同签2份?

  • 以国家安全为前提

  • 心有大纲,考试不慌

  • PIA,数据合规施工图纸
  • 个人信息保护的2种路径

  • 何为数据“可用不可见”?

2022年7月14日,由海问律师事务所主办、WeLegal法盟协办的“2022数据合规海问大讲堂”如期举行,“首席风控合规官”到会出席,收获颇多。

在大讲堂现场,海问律师事务所合伙人杨建媛就“数据合规的最新发展与前沿问题”做主题演讲。在海问律师事务所合伙人傅鹏的主持之下,TalkingData法务总监及数据合规官葛梦莹、清华大学智能法治研究院院长助理兼法学院助理研究员刘云、戴姆勒高级法律顾问孙宁、中国互联网金融协会旗下私募股权基金风控总监王琳以及尚隐科技CEO张仁卓等5位特邀嘉宾就“数据合规工作的市场实践与常见困惑”进行了热烈的圆桌讨论。

大讲堂同时创新地设置了台下圆桌讨论环节,由参会来宾分别就数据出境、网络安全审查、数据要素市场等10个热点话题进行讨论,并由主持讨论的海问律师总结汇报本圆桌讨论结果。

海问律师事务所合伙人杨建媛在主题演讲中从把握方向和应对策略两个方面就如何开展数据合规工作进行了讲解。杨律师建议,企业理解数据保护法律要着眼于四个要点,即重点行业、重点数据类型、重点环节以及管理手段。这四个要点对应的也是监管方关注的重点。

第一,重点环节,比如收集阶段App内容隐私政策、使用阶段的自动化决策。第二,重点的数据类型,比如敏感个人信息、儿童个人信息等。第三,重点行业,关注互联网平台行业中平台的责任。第四,管理手段,比如是否有预案及补救措施等。

杨律师在把握方向中指出,今年以来我国将监管重心放在网络安全审查、数据出境和重要数据保护等与国家安全息息相关的问题,企业应特别关注数据处理活动与国家安全的关系。杨律师在应对策略中举例解释了不同的场景示例下,应该如何处理数据合规问题。在员工个人信息管理中,企业可以依赖实施人力资源管理所必需处理员工个人信息,非落入人力资源管理所必需的场景则应以员工同意为合法基础。杨律师同时放眼国际,讲述了可以借鉴的域外数据合规先进经验。例如欧盟SCC补充措施对中国法下“标准合同”中安全保护措施的启示有:可以通过去标识,访问控制,日志留存等方法来保障数据出境的安全性。最后,杨律师建议企业应善用工具(如数据分类分级、PIA等)助力其内部数据合规建设。

在圆桌讨论环节,作为主持人的海问律师事务所合伙人傅鹏以近期行业热点切入,引发了在场嘉宾的思想碰撞。傅鹏律师指出,我国《个人信息保护法》第38条规定了“通过国家网信部门组织的安全评估”、“个人信息保护认证”、“按照国家网信部门制定的标准合同与境外接收方订立合同”三种个人信息跨境合规机制。随着近期《个人信息出境标准合同规定(征求意见稿)》颁布,开展数据跨境在法律层面的困惑就减少了,但是实操层面的问题依然存在。

比如,跨境数据流动是双向的,以前可能依据GDPR签过SCCs跨境合同,现在按照中国的法律需要另签一份,如果是两份合同,各自的条款如何衔接可能就是一个问题。

清华大学智能法治研究院院长助理兼法学院助理研究员刘云表示,数据跨境越来越跟国家安全高度相关,在学校划分研究小组的时候,一般放在国际规则当中。他还提到,美国共和党派系的一个信息技术基金会在2017年和2021年分别发布了两份关于数据跨境有关报告,表明2017年有35个国家提了67条数据流动与数据本地化的措施,2021年62个国家提出了144条数据本地化的要求,即数据自由的呼声越来越高。

在数据跨境方面,中国、欧洲和美国形成了不同的制度结构。美国虽然宣传数据自由流动,但是也会通过例外条款拒绝金融领域的数据自由流动。欧洲建大量云设施,个人信息保护得最严,以推动欧洲的GDPR规则在各国被吸收、转化。中国外交部的《全球数据安全倡议》则指出中国数据跨境的基本规则,即我们不禁止数据跨境活动,但是需要确保在国际安全的前提下进行。

戴姆勒高级法律顾问孙宁指出,汽车行业不仅仅面临数据出境的问题,而且2021年8月发布的《汽车数据安全管理若干规定》,在个保法的基础之上对汽车行业有了特殊的规定。“对法务工作者来说,这其实在可预见性和可确定性上更为清晰一些。例如它对重要数据、汽车行业重要数据的定义,对于重要数据的清理、存储、出境,以及每年12月15号的评估都做了非常严格的规定。”

借此机会,孙宁还和大家分享了去年下半年评估工作的心得。首先,企业法务需要和项目组一起明确申报主体、填报主体和评估主体。集团下关联公司可以达数十家,因此公司法务要和项目组一起,把此次填报评估的公司主体、公司业务相关系统以及数据的范围梳理清楚,打下扎实的基础。其次,整个集团需要明确到底在全国多少个省市有分支机构。“如果选择以总公司所在地作为统一的主体向监管机构申报,那么各地的关联机构、关联公司需要通过合适的渠道、合适的时间向本地的监管机构沟通,已经在集团层面报了相关的报告,是否还要重复递交,或者是不递交。”

总结来说,第一,项目组要和合资公司、关联机构、关联公司之间保持通畅沟通,便于大家工作。第二,法规是考试大纲,但答案的颗粒度需要自己把握。例如《数据出境安全评估办法》的第五条,第二项数据出境后对国家安全、公共利益、个人或组织利益的风险、第三项管理技术措施和能力、以及第四项数据出境中和出境后数据本身的风险,这是考试大纲。答案可以说集团有特定的措施,好比有个防盗门,但是不同的专家会认为还要细化到防盗门有几把钥匙、风险怎么管理、控制。“对于这点,我们当然是希望监管机构能给予比较清晰的细则或者说是范本。同时,更现实的是我们更依赖于第三方的律所、专家和机构给予我们企业支持。”

第三,明确责任和后果。数据评估之后如果需要整改,那意味着次年2月底之前不但要完成自评估,还要请监管机构完成评估。“如果完成不了,是否所有的数据出境就得暂停。这个可能法律不能回答,法务工作者来也很难解释,希望专家或监管机构能给我们答案。”

尚隐科技CEO张仁卓指出,PIA(Privacy Impact Assessment,个人信息保护影响评估)是一个审查的桥头堡,后续的周期权限响应、数据分布、数据流动、数据存储等都跟PIA有关系。他形象地比喻PIA为盖房子的图纸,认为PIA定义了后续所有合规管理活动的要素。PIA极其重要,不是简简单单的流程模板,因为每个行业都有其特点,也面临着不同的HR场景、CRM场景、业务系统场景,没有一个模板能放之四海而皆准,要深入了解业务,根据不同的业务场景来制定。

TalkingData法务总监及数据合规官葛梦莹曾参与《个人信息安全影响评估指南》编写,她将国内《个保法》下的个人信息保护路径总结为两种,一种是规定动作路径,即《个保法》第二条规定了个人信息处理规则等所有规范性的行为;另一种是风险路径,即做一件事情要先判断它可能产生的风险、要采取哪些措施去应对这些风险,并对这些措施进行实时动态评估。

谈及手机APP隐私合规,来自于SDK(Software development kit,软件开发工具包)厂商的她还特别提醒APP开发者在初始化后再启动个人信息收集的行为。初始化开关只在APP一端,其他方式无法控制。另外,嵌入SDK之前要看其隐私政策是否披露清楚到底收集哪些个人信息,最好向产品或者是技术口径索取收集字段表,通过代码反编译等方式核对该表格所述与实际收集情况是否一致。

中国互联网金融协会旗下私募股权基金风控总监王琳援引了《金融业数据要素融合应用研究》,用“可用不可见”五个字指出了金融业数据流通的一项特色。比如,金融集团有证券、银行、保险等分支机构,内部之间数据打通会有很大风险和责任,因此数据没法流通,此时使用“可用不可见”的隐私计算方式,数据能用,但是看不到,从而给数据流通搭了一个通道。

各位嘉宾还就数据合规负责人的指派进行了讨论。TalkingData法务总监及数据合规官葛梦莹认为,法律明确规定主管的负责人以及项目负责人都要承担直接责任,因此指派的数据合规负责人一定要有法律背景,确保不会冲破法律底线。

尚隐科技CEO张仁卓指出,从个人信息保护的导入期来看,法务背景是占主流的。但是趋势在发生变化,比如前两年可能95%都是法务背景,但是这两年变成了65%是法务背景,30%有业务背景。“随着业务发展、法务普及以及相关的东西慢慢地渗入到公司的业务系统里,在公司内部个人信息保护的意识在逐步提升。”

戴姆勒高级法律顾问孙宁指出,很多时候在总部已经有相关的公司政策,所以说指派负责人既是一个法律问题,也是公司政策落地以及各个公司业务结合的问题。他还提到,汽车行业除了网络安全负责人、个人信息保护负责人、汽车数据安全负责人之外,还有用户权益负责人,必须结合多年从总部到中国的各种现有业务体系、业务实践以及公司政策,对各个负责人进行划分。公司法务需要依据法律规定,同时必须得结合业务,甚至有时需要结合总裁办的一些具体决定。

- End -
      本文撰写所需的信息采集自合法公开渠道,我们将尽力核实信息的真实性与可靠性,但不对信息的完整性、准确性、时效性提供任何形式的保证,且不对因信息错误或遗漏导致的任何损失或损害承担责任。本文系原创文章,版权归作者所有,如需开白、转载或出版,请联系后台。


实务太难了?听“海问大讲堂”解千愁吧 第3张图片


上一篇:北京买房,能出没有资质一方的房产证吗?
下一篇:出境的概念是什么?是边检加盖了验讫章后算出境,还是出了 ...
标签:欧盟欧洲美国律师事务所7月14日
@



1.西兔生活网 CTLIVES 内容全部来自网络;
2.版权归原网站或原作者所有;
3.内容与本站立场无关;
4.若涉及侵权或有疑义,请点击“举报”按钮,其他联系方式或无法及时处理。
举报

关联主题
回复

使用道具 举报

 
返回列表
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小灾大难白金会员

0关注

5粉丝

430帖子

热门图文
热门帖子
排行榜
活跃网友
返回顶部快速回复上一主题下一主题返回列表APP下载手机访问
Copyright © 2016-2028 CTLIVES.COM All Rights Reserved.  西兔生活网  小黑屋| GMT+8, 2024-5-17 02:57