出海问答 | 隐私政策该如何起草或完善?

文摘   2024-11-06 10:26   广东  

欢迎点击上方 数字经济法律观察 关注我们



专栏

GEN AI



导读



近年有关中资出海相关合规的咨询日益增多,无论是合规老兵还是合规新人,在面临企业出海相关合规或法律咨询时,都难免感到困惑或难以拿捏尺度。为此,数字经济法律观察邀请中资出海相关实务领域的专家,通过对系列高频问题的问答形式,为中资出海相关合规防控措施提供思路和建议。


对于大多数国家而言,隐私保护或个人数据保护相关法律法规中均对企业数据处理活动中的透明性提出要求。为此,企业需采取的核心关键措施便是制定符合当地法律要求的隐私政策。然而,各国对于隐私政策的文本要求存在一定差异,符合中国法要求的隐私政策并不必然符合当地国家法律要求例如适用GDPR第13条类似规定的国家,企业需要明确个人信息处理活动所适用的法律依据,而大多数国内的隐私政策均未明确。因此简单翻译中文版的隐私政策应用到海外业务中将面临较大合规风险。


为此,"出海问答"系列第一期将围绕“隐私政策该如何起草或完善?”这一问题进行展开分析。


注:专栏配图均由AI生成





Q: 隐私政策起草或完善过程中,需要先考虑什么问题?


制定隐私政策的核心是满足当地法律的要求,在起草或者完善隐私政策过程中,需要首先识别可适用的法律,即是否落地特定国家个人数据保护相关法律法规以及特定行业监管规范。只有准备识别可适用的法律,制定出来的隐私政策才有可能符合当地的要求。因此,合规或法律团队需要先寻找当地通用的以及针对特定行业、主体或活动的个人数据保护法律法规,解读其中有关适用性的条款,判断是否落入相关监管的范围、哪些业务或者实体落入该监管范围内、落入具体哪个规范?


对于存在多国法律或一国多法律同时适用的情况,需要根据企业风险偏好以及不同国家或不同法律之间的监管强度,判断拟遵从的法律法规范围以及遵从的程度。如果同时遵从多项法律法规要求,还需要评估是否存在法律规定之间的冲突,如何平衡和取舍。对于合规或法律团队而言,需要向内部业务以及管理层做好预期管理,并由业务或管理层做出决策。



Q: 是否有可能制定一个隐私政策适用于多个国家的业务?


由于一些业务,特别是互联网业务可能同时在多个国家开展,若每个国家都需要制定一个隐私政策,那么业务以及法律合规团队将面临巨大的合规管理难题,即有效的人力和资源下,如何追踪和管理多个国家的监管要求,并保持N个类似文本的持续跟新管理?对此,一些中资企业探索出隐私政策国际版的模式,即制定一份通用的隐私政策,在正文中对于个人数据处理活动以及一些通用的告知事项做出说明,并增加附录或补充条款的方式来描述不同国家的差异化要求,通过管理和更新附录或补充条款的方式,减少业务配置以及文本管理成本,具体可参见WeChat隐私政策。


Q: 能否举例说明出海业务隐私政策起草或完善过程中,需要特别注意哪些内容?


以出海欧盟为例,在隐私政策制定过程中,需要特别注意隐私政策章节内容的完整性以及与中国法的差异性。例如,GDPR第13条要求披露个人数据处理的法律依据、跨境传输所采取的保障措施及获取该副本的方法(如签署的SCC)、向监管机构提出投诉的权利、数据主体是否有义务提供个人数据以及未能提供此类数据可能产生的后果等特色内容。对于间接获取的个人数据,第14条要求进一步说明个人数据的来源。整体而言,GDPR对于透明性的要求较高,企业需要披露的内容更多,对于法律的理解和运用要求也更高。此外,在敏感个人数据的分类和认定以及数据主体权利的规定上也存在差异,例如银行卡号在GDPR下不被视为敏感个人数据,但在中国却属于敏感个人信息。


再以出海美国为例,由于美国在个人数据保护的立法较为分散,存在联邦部门法和州法相互交叠的情况。因此,需要注意分析联邦法以及各州法的适用性。但整体而言,美国对于隐私政策披露的内容要求程度相对欧盟而言没那么细致,但也有一些特殊之处。例如,美国加州对于数据主体的权利要求存在差异,对于数据的共享和销售有一些特别的要求,需要披露企业共享或销售数据的情况,并赋予数据主体拒绝的权利。



Q: 隐私政策起草过程中,有何工具或者技巧?


由于各国个人数据保护相关法律法规通常也覆盖当地的小微企业,各国监管也会出一些合规指引,包括隐私政策模板,来帮助企业降低合规成本。对于业务体量较小的,可以参考相应的模板及工具。例如,英国ICO发布了隐私政策生成器,通过填写问卷的方式来自动生成隐私政策。


此外,还可以参考同业头部的隐私政策,特别是当地同业披露的隐私政策,基于对同业隐私政策的修改形成第一版的隐私政策。但由于各家业务存在一定差异,且同业可能也不合规,因此不建议盲目照搬,至少要对照着适用的法律要求,检查其内容的完备性,避免把错误的作业也抄了过来。


对于适用法律的检索和学习,可以利用一些公开的资料文献以及网站,如DataGuidance。一些国家的法律条款适用可能十分复杂,需要结合多个条款一起理解应用,例如GDPR第13条要求披露个人数据处理的合法性基础,但合法性基础的规定却在第6条规定,其中若选择正当利益作为合法性基础,还需要做平衡性测试,并且参考相关司法和行政案例(如:案件评析|领英因合法性基础等问题被罚3.1亿欧元),避免踩雷。

重要提示:

本专栏所有内容仅作为信息性参考,不构成法律意见,不能作为任何行动的依赖。本文中的回复意见可能是不全面的,考虑到监管的不断实践,不排除后续的进一步变化。任何的行动,请以律师的正式意见和监管的意见为准。





后台回复“隐私政策”获取工具与实践案例链接

薄命长辞知己别
他感到了彻骨的寒冷,却离那团火越来越远。
 最新文章