煮酒言规
///////////////
数据合规是一个比较新的领域,很多问题都难以通过公开渠道检索到答案。此时,实务人士间的思想碰撞、交流就显得尤为珍贵。
欢迎体验数据何规AI客服,可以搜索历史特定问题。
• CONTENT •
「员工保险购买的数据处理关系」
「孕龄是敏感个人信息吗」
「四大审计信息出境」
-问:我看现在有些app不同意隐私政策,就不让你用,直接退出,没有所谓的游客模式,这是不是算强制收集用户个人信息了?
-答1:你要区分不同类型,不是一刀切,游戏就可以不给你进。
-答2:境内游戏,没有游客模式,有强实名要求。
自本通知施行之日起,网络游戏企业应建立并实施用户实名注册系统,不得以任何形式为未实名注册的新增用户提供游戏服务。
国家新闻出版署发布《关于防止未成年人沉迷网络游戏的通知》
严格落实网络游戏用户账号实名注册和登录要求。所有网络游戏必须接入国家新闻出版署网络游戏防沉迷实名验证系统,所有网络游戏用户必须使用真实有效身份信息进行游戏账号注册并登录网络游戏,网络游戏企业不得以任何形式(含游客体验模式)向未实名注册和登录的用户提供游戏服务。
公众号:中国新闻出版政务关于进一步严格管理 切实防止未成年人沉迷网络游戏的通知
-答5:这是另外即时通讯类产品的实名要求。
为用户提供信息发布、即时通讯等服务,在与用户签订协议或者确认提供服务时,应当要求用户提供真实身份信息。用户不提供真实身份信息的,网络运营者不得为其提供相关服务。
《网络安全法》第24条
-答6:境内游戏业务运营的强制实名是有法律、行政法规、规范性文件的多层级法律效力文件要求,不允许存在游客模式。
总结:即时通讯软件、游戏可以没有游客模式,不能一刀切。
-问:大家有研究过保险合同里投保人和保险人是什么数据处理角色吗?以公司为投保人为例,公司和保险公司签署了保险合同,为员工提供保险福利待遇,员工可自行选择购买,然后相关个人信息也是员工提供给保险公司(走保险公司APP一般保险购买的流程)。这种情况下,公司要和保险公司签dpa吗,能算委托处理吗?处理目的,可以去评价说公司作为投保人约定好了投保事项,但处理方式,是不是保险公司自己决定的,这个怎么论呢?
-答1:履行合同必需的对外提供哇,公司是提供方,保险公司是接收方,做好员工的告知就好。或者让员工自己给保险公司。
-答2:这种公司投保模式下B2B之间一般都是按照“各自独立处理者”模式来签署的,保险公司也普遍接受。至于2C端的工作,公司就共享给保险公司的员工个人数据获得员工“单独同意”更稳妥(给到第三方处理者且一般都包含敏感个人信息),操作方式上尽量简单,比如设置个内部流程、在线告知并请员工在线点击一下流程就行。实践中就“投保”问题和员工还要再签署个完整的合同文本且完成双签的话,涉及多个部门工作量和员工端操作,还是有些麻烦。商务合作中的难点和重点不是数据处理协议的架构模式,而是到底通过什么方式、最小化给出哪些数据字段、数据传输的链路是不是一步到位(To保险公司)。保险公司提供的标准化接口配置可未必都能配合企业客户需求来,得好好商谈。保险关系有点多 通常公司还是和broker签的合同 。
-答3:B2B模式下,以这一条作为对外提供数据的合法性依据走不通吧,履行合同所必需要求数据主体作为合同当事一方,这种场景下数据主体只是受益人?很多团体补充保险是公司直接跟险司签,员工其实都看不到保险合同。我觉得还是走单独同意比较稳妥。
-答4:此处不是一个数据合规问题,而是商业合作模式问题。这个数据链路问题是公司投保业务中2B数据传输的难点之一,也直接关涉传输安全和合作价格,所以得各相关部门都同意了某种合作模式才好,不是律师一言堂的事儿。
-答5:刚好在做一个类似案子,我们的观点是:C-C。根据网数条例12条还是得签合同。合法性基础可以用《保险经纪人监管规》32-34 、62条,《互联网保险业务监管办法》四十条,《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》等等,保险产业链上几乎每一个主体都能找到对应的监管规定,可以根据需求搜下。雇主险场景下保险公司侧还是可以用法定义务,雇主侧可能需要拿同意,特殊类型保险也许能用人力资源管理。
-答6:目前是员工自己去购买呢 公司都不实质性接触数据。我们现在有个困惑的点就是 保险合同虽然是B2B端签,但公司将可选择的保险类别提供给员工后,就由员工自行跟保险公司购买和提供相关数据出去,公司都接触不到个人信息。这个场景下,我们在考虑是签个c-c的,还是就让保险公司签个承诺函呢?
-答7:公司完全接触不到员工给保险公司的个人信息≠公司和保险公司完全没有数据交互。比如需要公司给到保险公司一些数据,比如用于确认到底是给哪些员工投保、保险费金额多少,也不需要保险公司反馈任何数据、告知投保具体人数和金额么?如果真的是完全没有这些数据交互,还是比较少见的哦。
-答8:类似的其实还有零售行业客诉纠纷理赔场景下 保险合同是b2b 获赔必须提供消费者pi 多半是需要spi,消费者都接触不到保险合同,这种场景下除了个案单独同意不知是否有更成熟的做法?
总结:非常有趣的场景,单独同意不好取得还可能被撤回,如果能扩大解释履行合同必需或者找到法定义务都是好的思路。
-问:“孕龄”,算敏感个人信息吗。。。场景是母婴用品公司根据用户的孕龄、是否怀孕提供不同的妈妈指南,X周了要干嘛,X周了要喝什么。我看到《敏感个人信息识别指南》里写到:个人的体重、身高、血型、血压、肺活量等基本体质信息,如果与个人的疾病和医疗就诊无关,则可认为不属于敏感个人信息范畴。但又不确定算不算《个人信息安全规范》里面的“生育信息”。
-答1:应该不算 敏感个人信息 怀孕属于正常的生理现象。生育信息 是 生过几次 流过几次,如果与个人的疾病和医疗就诊有关 就是聚合数据了,比如说某项疾病的电子病历中的记录。
-答2:电子病历是很重要的区分项。如果放在电子病历里了,那么就算是体重、身高这种不那么敏感的,也是作为生理健康信息的整体来处理。另外就是看精度,消费娱乐检测数据和正经医疗的检测数据也不太一样。所以我觉得这个还挺有道理的,归根到底还是看场景。
总结:回归定义,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,感觉还好。
-问:境外总部委托境外四大对中国子公司进行审计;境外四大分委托给中国四大进行资料收集,资料里含有个人信息;中国子公司仅需要把资料提供给中国四大,但是中国子公司知道最终是境外总部进行的审计。具体问题是:
1:中国子公司将含个人信息的资料给中国四大的行为算出境吗?
我的初步理解:不涉及物理跨境或涉外访问,不属于跨境行为。
2:进一步而言,如果中国子公司知道中国四大要把文件传给境外四大,应该也不算出境吧?(我的主要顾虑就在这)。
理由:四大集团内部之间怎么合作是他们自己的事,完全可以中国四大出报告,境外四大直接引用,这样所有资料几乎都不用跨境。所以是否跨境属于四大全球内部处理的问题。
-答1:你都知道最终目的是要出境的当然是出境啊,但是法定义务不是可以免于那些安全评估什么的,如果不是consent base的就不需要告知同意吧。
-答2:说一下我们的实践,境内项目的审计一律禁止出境。如果必然涉及出境,如H股年报这种,就合同里面说符合境内法规要求。但这里有个很困扰的点,就是这里的法定义务,大概率不是境内法义务。比如上市公司在境外交易所发布年报,可能是基于境外证券法要求。
总结:四大审计项目,没有必要性数据不得出境。尤其看看《会计师事务所数据安全管理暂行办法》,这里是中国!
• END •
关注小号防失联
