中国国际贸易促进委员会

中企要补数据隐私保护这一课

最近,抖音国际版短视频应用TikTok因违反《美国在线儿童隐私保护法案》,被处以570万美元罚款。该事件暴露了国内企业对个人信息保护尤其是未成年人信息保护的不重视,以及中国企业在国际化过程中跨文化交流的经验不足。

“西方国家都在加强数据保护,美国的联邦法和州法、欧盟通过的《通用数据保护法案》(GDPR),都严格强调数据隐私是公民的基本权利,企业有责任部署数据隐私策略,积极确保数据安全,并考虑数据隐私的问题。”在国际商会中国国家委员会数字经济委员会、市场营销与广告委员会举办的企业走出去数据隐私保护与跨文化交流研讨会上,中伦律师事务所合伙人陈际红表示,发达国家数据隐私方面的立法与执法比较严格,很多在海外投放、使用的软件和App须注意合规问题。

不同法域之间的数据隐私保护要求存在差异。“以儿童个人信息保护为例,我国《儿童个人信息网络保护规定(征求意见稿)》管辖对象为中国境内不满14周岁的儿童,采集信息以同意为原则,例外情形较少。数据主体权利为访问权、更正权、删除权;美国《儿童在线隐私保护法》管辖范围更广,不限地域,对向美国儿童收集信息的行为均有管辖权。对象为不满13周岁的儿童,采集信息以同意为原则,例外情形较多。数据主体权利为访问权、更正权、删除权。而GDPR管辖权更为严格,该法具有域外效力,规范对象包括不满16周岁的儿童,同意仅是数据处理合法基础之一。数据主体权利广泛,包括访问权、更正权、删除权、可携带权、反对权、限制处理权。”陈际红介绍说。

陈际红表示,企业在出海前可以对照我国《网络安全法》和《个人信息安全规范》,明确个人信息隐私保护范围。一般来说,个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。个人信息包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。

“同时,对企业个人信息的收集使用、存储、委托处理、共享、转让、公开披露等行为进行评估,完善自身数据使用流程。”陈际红称,如《网络安全法》明确认可了脱敏数据交易的合法性。根据规定,网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。

陈际红建议企业对美国、欧盟、中国等不同法域进行有针对性的合规设计,对内统一要求,提升数据安全能力。

“企业最大的安全漏洞往往来源于员工。长期以来,许多员工对数据安全并不上心,重复使用弱密码、点击恶意链接、随意共享文件等不良习惯屡禁不止。所以企业应正确地引导员工操作行为,降低业务风险非常关键。”全知科技业务经理张硕认为,企业应给员工树立正确的数据保护意识,强调发生数据隐私侵犯事件后带来的巨大损失,构建全面的信息保护策略。不要局限于基本的网络和应用安全,而需要使用一些特定流程,部署数据审计管理策略,实施强制的审批要求,全面管控关键岗位人员的高危操作,及时发现内部人员数据使用违规情况,减少数据侵犯风险。并构建数据安全风险模型,让企业及时发现大数据可疑操作行为,快速对关键数据进行溯源定位。

附件:


分享到微信新浪微博人人网0