煮酒言规
///////////////
数据合规是一个比较新的领域,很多问题都难以通过公开渠道检索到答案。此时,实务人士间的思想碰撞、交流就显得尤为珍贵。
欢迎体验数据何规AI客服。
• CONTENT •
「软件处理情况盘点」
「候选人数据DSR/存储期限」
「企业分立的告知同意实践」
「员工个人信息保护文件体系」
-问:大家公司内的视频监控一般都保存多久?我理解目前中国没有明确的规定,欧洲总部的审计要求我们根据最小必要原则,确定一个合理的保存期限... ISO 27001建议保存60天。90天总部都觉得有点儿长了,超出必要限度了。
-答1:30天可能比较常见?
-答2:30天,存不下覆盖,金融机构有个规定的。
-答5:办公场所视频的存储时间得兼顾公司商业秘密保护、员工遵守公司规章制度的排查/举证等需求,例如处理商密的工区或重点安全工区的视频不能限定一刀切留存30天、3个月,得看看商密资产和安全工区的操作/更新等周期和举证需要,6个月、一年、三年都有可能是需要的,如果涉纠纷解决举证的话还得先把保存周期计算“中止”。
数据保存周期除非有明确的法定要求,如何确定“最小化时长”还是一个各方需求综合评估论证的结果,数据合规律师不用“一言堂”也不适合独自背锅。
-答12:保存期限的规定实务里很麻烦,保存期限太短了万一有纠纷就没证据,太长了很难满足最小必要原则。
-追问:可以根据【按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需】这一项 justify在办公区域安装摄像头进行安全管理么?如果必需依据同意的话,访客这种实践中一般怎么获得同意呢?
-答13:如果你们有访客系统可以通过访客系统告知和获取同意吧。
-答14:摄像头就公共场所安全呗,按照人力管理来论证的话,也不知道拍到的是不是公司员工,万一是访客、派遣的人、大楼保洁,人力管理覆盖不了这些人
总结:律师/法务罗列好外规,提示风险,让业务部门做决策。
-问:我有个问题求教下:对于公司使用软件,大家如何知悉公司与软件之间的数据或个人信息交互情况。我自己想到的解决办法是:
1:看软件提供方的隐私政策:【泛泛和概括】
2:看软件提供方的用户协议和与公司签署的业务合同 【泛泛和概括】
3:问IT或使用软件的部门【相关部门不大懂或提供的信息不准确、不全面】
-答1:让业务部门自己梳理,他们搞不清自己去问IT,他们说什么是什么,出事了他们的问题。
-答2:这个让业务方给比较好,如果有遗漏导致后续背锅啥的就麻烦了,以业务方提供的为准。
-答3:我也遇到了类似的问题,也么太好的办法。目前是让业务梳理,让外部律师给结论。双重保险法务不背锅。我发现我们的业务给的结论极其野蛮,有的明显瞎写,但也没时间真的一个个去扒。
-答4:同意,最好让他们提供系统/软件截图作为record。
-答5:业务的话... 登记个盗版软件防火墙,全物理隔离。登记个开源合规,全动态链接。登记专利侵权,全做过FTO。将来出了事儿,还得法务擦屁股。
总结:有些事情不知道为好。
-问:问个DSR问题…在招聘场景下,被拒的candidate的数据会保留一段时间后被自动删除。如果有人要求立即删除,大家会响应手动人工去删么?
-答1:法律上,肯定需要吧。如果有这明确诉求,那是需要的。举一个为什么你可以不删除的依据。
-答2:技术上确有难度 hhh 但不太站得住脚。
这里比较大的问题是,AI其实很难判断这种“国家档案局”在2012年发布的文件与个人信息保护法冲突的情况下,到底谁是“适用法”,应该遵守哪个规定。
法律检索结果——无论是否使用生成式AI——需要专业律师判断,这点在生成式AI技术加持下还是没有变。不过使用AI检索确实能帮忙提供很多有用的线索,从而节省时间、提高针对性。
总结:左右为难。
-问:中国法项下,数据处理者A公司新设全资子公司B处理某块业务,对外的服务协议隐私政策也将变更主体,但目的等均不变,这种情况下我们内部两种理解:
一是按照二十二条进行适用,将这种场景也解释进去,外部仅告知而无需重新获取同意;
另一种是需要具体看A与B之间就此类业务的协议安排,是A变更原本服务协议主体,还是A终止后由B重签,但无论变更主体抑或重签,我们此种情形下都会建议重新获取同意。
-答1:把新设解释为分立可以走1。单纯新设子公司,选2。当然我也不知道,新设和分立的区别在工商手续有啥区别。
-答2:工商手续上看得出来,但第一种方案主张第22条的理解是实质等同,非穷尽列举。
-答3:反正总要有人来做决策,按照这么解读来理解。但如果我自己是法务的话,我不会给这样的意见。
在个人信息处理者合并、分立、解散、被宣告破产而需要转移个人信息的情形下,虽然可能发生个人信息处理主体的变更,但存在个人信息处理行为的承继关系。例如,在个人信息处理者合并、分立时,基于法律规定而发生全部或部分财产的承继,从而导致个人信息处理主体的变更,但可能不会发生个人信息处理目的、处理方式的实质性改变。 杨合庆:《个保法》释义
程啸老师的观点是比较缩限的。
本条规定的导致个人信息转移的情形限于个人信息处理者的法律主体地位发生变化而导致个人信息转移的情形。因此,如果个人信息处理者的法律主体地位没有变化,只是委托其他主体处理个人信息的,那么就属于委托处理个人信息的情形(《个人信息保护法》第21条);如果个人信息处理者向其他处理者提供个人信息的(《个人信息保护法》第23条),虽然客观上也是个人信息发生了转移,也都存在至少两个主体,一个是提供方,另一个是接收方,但产生的原因不同,本条规定的是合并、分立、解散等法律规定的原因导致的个人信息处理者的主体法律地位的变化。 程啸:《个保法》理解与适用
-答4:可以看看这篇,告知还是单独同意?——业务经营主体变更时《个人信息保护法》第22条与23条适用之辨析。我理解完全承继的话可以仅告知。
-答5:这也是我们第一种观点里的论据,我还没有完全被说服,主要也还是顾虑到和服务协议的关系。
-答6:我理解在实践上depends on处理者是通过什么渠道获取个人同意,以及重新获取同意的难度。比如用户从前端看到的界面还是一致的,需要修改一下隐私政策和弹窗,可以从严处理。如果是业务处理真的比较难,也要看看行业实践。如果数据实际会发生迁移的话,获得同意会比较稳妥。
-答7:是的,两种方案都有考虑实施的难度和利弊,获取同意可能有比例的问题,长尾如何解决,后备方案等种种考虑,但从B将来继续处理的合法性角度,我还是倾向于方案二。
-答8:这里的“新设”可能需要理清一下吧,我理解的就是A公司投资设立一个公司来专门从事数据处理的业务?在此背景下,A公司和用户的服务协议需要变更合同主体。但这里我理解隐私政策的内容变更还得看A公司和新公司之间如何分配权责吧。如果A公司定位是处理者,数据的处理目的和方式还是它在负责,新公司就是受委托处理方,隐私政策的owner仍然可以是A公司啊。
-答9:不只是数据委托处理,是控制者的变动。实际业务的变动。其实这个问题有个背后我一直没有想明白的,就是数据类政策和协议与相关联的服务协议之间的关系。很久之前我和同事们就所谓数据协议或政策的“附随性”吵得不可开交。
-答10:如果已经明确的数据的处理目的、方式和种类都是新公司全权负责,那还是得重新取得同意了。个人理解:服务协议内容是基于民事主体协商达成的交易文件(虽然实践中的格式合同基本不可协商,但不影响实质的法律关系),目的是明确交易内容和双方权责分配;隐私政策是基于法律强制性规定设置的法律文件,目的是规范处理行为,保障个人权益。
一个可能不太准确的类比,就好像《劳动合同》和员工薪酬福利制度的关系。
总结:个人认为要重新取得同意,但还是要结合实际情况作分析。
-问:首次起草员工个人信息保护规则(即员工隐私政策),是否需要同步修改《员工手册》?是否需要同步修改其他的规章制度?
-答1:感觉关键在于是要走民主程序。
-答2:如果要写到手册或制度里,走民主程序;如果是放到劳动合同里,可以在劳动合同的个人信息保护段落大致描述,然后指引到员工隐私政策。2个方式都可以实现合法性基础。
-答3:有一个需要注意的地方是,如果仅放到劳动合同里,对于已经签署劳动合同的老员工应当告知同意。实践中,如果劳动合同更改,一般是面向新员工,hr也不太会和老员工重新签署劳动合同。
总结:还是建议不要走同意,不然可能在HR场景还会面临无数个单独同意。走合同或者HR管理比较好。
-问:请教一下,我看 ISO 27701是ISO 27001和ISO 27002在隐私方面的扩展(ISO标准委员会也以ISO 27001为基准,以ISO 27552为蓝本,建立了ISO 27701标准),那是不是做了ISO27701就可以认为必然满足ISO27001和ISO27002的要求了,即只做ISO27701就好?
-答1:不对的。这个你可以理解为子认证,先得做iso27001,才能叠加27701。当然你可以一口气2个都做。但实际上也是这样的,先1后2。iso认证贵的是咨询费。第一次大家都没经验,一般性会叠加个咨询服务。早一批的话,过百万的咨询费,疫情前bsi也开价30w咨询费。现在估计很便宜了。而且现在其实直接做,也没啥大不了的。
-答2:必须要先做27001,然后才能做叠加包。
总结:有预算都好办。
• END •
关注小号防失联
