法總思享會 | 從個人信息保護法談企業數據合規

2020年10月21日，全國人大法工委公開就《中華人民共和國個人信息保護法(草案)》征求意見，這是自去年網信辦發布《數據安全管理辦法》征求意見稿後，我國在數據安全法規領域的又一項重磅動向。

基於此，12月18日下午，亞太法務聯盟聯合小鵬汽車舉辦了第五期“法總思享會”，本期主題為“從個人信息保護法談企業數據合規”。

亞太法務聯盟常務秘書長蔣璐明、小鵬汽車高級法務總監林森才、BSI中國區資深顧問、講師汪明、德賽西威汽車電子股份有限公司法務總監林賢偉、索菲亞法務總監曾曉燕、歡聚集團總法律顧問齊守明、東風日產審計合規部部長李克迪等30餘位法務總監參與了本次法總思享會，並共同探討在個人信息保護法的背景下，企業該如何做好數據合規工作。

活動伊始，各位法總首先參觀了小鵬汽車。據悉，小鵬汽車創立於2014年，是中國領先的智能電動汽車設計及制造商，也是融合前沿互聯網和人工智能創新的科技公司，致力於通過數據驅動智能電動汽車的變革，引領未來出行方式。

隨後，小鵬汽車高級法務總監林森才進行了題為“智能汽車數據合規實務觀察”的分享。

據悉，林森才系西南政法大學法學學士、倫敦大學法學碩士，英國外交部志奮領學者，同時也是一位優秀的中國律師。在加入小鵬汽車之前，林森才曾在中國建設銀行、廣州金鵬律師事務所、森那美集團（Sime Darby Group）工作。2018年5月加入小鵬汽車，全面負責公司全球法律合規、法務及知識產權團隊管理，負責投融資、收並購、以及智能網聯汽車研、產、供、銷、服等環節中的重大法律事務，牽頭探索在自動駕駛、數據安全、車聯網、網約車等前沿業務的法務實踐。

林森才 小鵬汽車高級法務總監

林森才首先介紹了小鵬汽車法務工作的概況。小鵬汽車法務的主要工作包括爭議解決、知識產權維權與保護、日常業務支持，物業/工程建設、投融資/收並購過程中的風險防控與合規審查等，從而實現企業的合法健康發展。那麼，作為一家智能電動汽車設計及制造商，小鵬汽車如何保障數據合規，林森才結合實務觀察進行了分析。

2020年11部委《 智能汽車創新發展戰略》稱：“當今世界正經曆百年未有之大變局，新一輪科技革命和產業變革方興未艾，智能汽車已成為全球汽車產業發展的戰略方向”。

那麼，何為智能汽車？

林森才以小鵬汽車Xmart OS為例，談及智能汽車的智能化，小鵬汽車Xmart OS擁有車載智能系統，強大的視覺、聽覺感知與反馈能力，一個眼神即可感知到用戶的需求，並聆聽用戶指令；獨立的APP STORE車載開放性智能生態系統，應用與系統均可不斷升級，更合用戶心意。此外，深度學習能力是其又一優勢，相處越久，默契越深。林森才還以小鵬汽車Xpilot 3.0 為例介紹了智能汽車的自動駕駛，在城市內，開啟防加塞功能，確保情緒與行車都足夠穩定，在高速公路行車時，設定導航目的地，小鵬P7將根據路線指引，實現自主變道、切換高速路線，並在行車中實時選擇最優路線。P7能夠應對多種泊車場景，特別適用於夜間泊車、狹小泊車位、生手泊車等狀況。此外，未來新增的“停車場記憶泊車”，可通過對常用的車位記憶和駕駛路線學習，實現停車場內自主泊車。

林森才認為，新一代汽車擁有智能移動空間和應用終端，已進入軟件定義汽車的階段。

在智能汽車發展環境下，智能汽車科技企業如何保障數據合規？

林森才首先為大家介紹了全球數據合規熱點地區——歐洲的數據合規熱點，主要包括2017年的《數據保護官指南》，2020年的《數據控制者及處理者指南》《網聯汽車及移動應用指南》以及在Schrems II後發布的《數據跨境傳輸新指南》；北美2020年出臺了《聯邦立法提案》《國家安全與個人數據保護法案》《數據保護法案》《加州消費者保護法》。

而亞洲則經曆了從“形式合規”1.0到“實質合規”2.0的階段，法律法規、部門規章、司法解釋、規範性文件、國家標準聯合執法、多方共治，一手抓監管，一手促價值。林森才詳細介紹了數據合規從1.0到2.0的變化。1.0階段是形式合規，主要體現為用戶協議、隱私政策，2.0階段實質合規則包括多個層面的內容。第一個層面是技術，技術層面包含技術設施、運維管理；第二個層面是合規，合規包含多層次的體系規則：國家政策-法律法規 - 部門規章 – 其他規範性文件 – 標準和指南；多部門管理；對個人信息進行全生命周期管理：收集、存儲、使用、加工、傳輸、提供、公開；細化具體規範：用戶告知、同意、更改、賬戶注銷、信息刪除、去標識化、數據訪問及調用；此外還需關注新技術和應用，包括SDK, API, Cookie、爬蟲、人臉識別等，另外還需進行合規認證、APP認證等。第三個層面是商業，包括數據資產、商業利用等。

在合規層面，多層次的體系規則主要包括以下內容： 

（圖片來源分享嘉賓PPT)

在這一體系規則之下，企業需要維護網絡安全，進行信息保護，尤其注重個人信息的保護。

林森才還介紹了信息處理的原則要求。他表示，信息處理全生命周期規制包括 ：收集、儲存、使用、加工、傳輸、提供、公開、銷毀。

通過對比《個人信息安全規範》 （GB/T 35273—2020） 七大原則，林森才總結出了信息處理的六大要求：

1. 采用合法、正當的方式，遵循誠信原則，不得通過欺詐、誤導等方式。《規範》無對應規定；

2. 具有明確、合理的目的，並應當限於實現處理目的的最小範圍，不得與處理目的無關。對應《規範》4b）   “目的明確”及4d）“最小必要”原則；

3. 遵循公開、透明的原則，明示個人信息處理規則。對應《規範》4c)“選擇同意”及4e)“公開透明”原則；

4. 應當準確，並及時更新。《規範》無對應規定；

5. 處理者應當對其處理活動負責，並采取必要措施保障所處理的個人信息的安全。對應《規範》4a)“權責一致”及4f)“確保安全”原則；

6. 不得危害國家安全、公共利益。《規範》無對應規定。

此外，處理個人信息的合法性基礎包括：

• 取得個人的同意；

• 為訂立或者履行個人作為一方當事人的合同所必需；

• 為履行法定職責或者法定義務所必需；

• 為履行法定職責或者法定義務所必需；

• 為應對突發公共衛生事件，或者緊急情況下為保護自然人的生命健康和財產安全所必需；

• 為公共利益實施新聞報道、輿論監督等行為在合理的範圍內處理個人信息；

• 法律、行政法規規定的其他情形。

在介紹了自動化決策及商業推送、個人信息出境等環節中涉及的合規問題後，林森才分析了企業刑事合規抗辯第一案—雀巢員工侵犯公民個人信息案，並得出啟示：雀巢公司建立了有效的合規制度，盡了合規管理義務，具有規避、防範合規風險的意識，並進行了合規培訓，可見一套行之有效的合規制度可降低和避免“單位犯罪”的風險。另外，他還分享了多個“反面案例”，為同行企業法務官們“避雷避坑”。

事實上，智能汽車涉及的數據及應用場景廣泛，林森才對其進行了分類整理，並介紹了智能汽車數據的價值與風險。最後，林森才還分享了合規管理體系指南與其搭建數據合規管理體系的經驗之談。

（圖片來源分享嘉賓PPT)

（圖片來源分享嘉賓PPT)

林森才的分享結束後，BSI中國區資深顧問、BSI 中國 ICT 技術經理、高級項目經理、高級講師汪明做了主題為“從隱私合規到隱私文化與技術落地”的分享。

汪明 BSI中國區資深顧問、講師

汪明具有16年工作經驗，其中6年在芯片制造公司從事IT研發、安全運維、項目管理、管理體系維護，之後從事了10年的諮詢/培訓，幫助超過80多家公司建立實施信息安全、隱私保護、IT服務管理、業務連續性管理體系，為數千名學員交付了100多場培訓。輔導、培訓過的部分客戶涵蓋諸多行業的頭部公司。

汪明的分享主要包括四個部分：（1）ISO/IEC 27701 標準簡介；（2）理解隱私保護，營造隱私文化；（3）制定合規流程，落地隱私合規；（4）Privacy by design，隱私保護的制高點。

據汪明介紹，ISO/IEC 27701同時擴展了ISO/IEC 27001和ISO/IEC 27002中有關信息安全的控制要求，以及GDPR與ISO/IEC 29100中的隱私原則與隱私保護要求，是第一部“認證”性質的隱私保護國際標準，同時又整合了“指南”性質的條款，讓其具有“雙重身份”。 

（圖片來源分享嘉賓PPT)

接下來，汪明介紹了ISO/IEC 27701 標準總體架構。這部標準因歐盟數據保護委員會（EDPB）參與編寫而體現出了權威性，受到全球範圍的格外關注。需要注意的是，計劃尋求通過 ISO/IEC 27701 認證的組織還需要通過ISO/IEC 27001認證。

他認為，企業開展隱私保護，首先應當理解隱私保護的本質，繼而在企業中營造出良好隱私文化。歐洲隱私保護的立法精神是強調每個自然人都有保護自己的個人數據的基本權利，立法者強調個人數據自由流通和轉移的前提是確保高水平的個人數據保護能力。《中華人民共和國民法典》第四編第六章也強調自然人享有隱私權，而隱私是自然人的私人生活安寧和不願為他人知曉的私密空間、私密活動、私密信息，這體現的是對自然人隱私權利的尊重，企業不能簡單地將隱私保護理解為“不作惡”。

在上述背景之下，企業如何明確自身的隱私合規戰略，如何構建隱私保護框架？

汪明推薦使用ISO標準中常用的SWOT分析模型進行分析。

（圖片來源分享嘉賓PPT)

（圖片來源分享嘉賓PPT)

隨後，汪明還結合指導企業開展隱私合規建設的經驗，以及業界領先公司的案例分析，向與會嘉賓們介紹了企業數據安全與隱私合規建設的實施思路和實施要點。

（圖片來源分享嘉賓PPT)

（圖片來源分享嘉賓PPT)

最後，汪明談及Privacy by design是企業未來深化隱私合規建設的制高點，也是有實力的企業借助隱私合規的風口樹立行業領先標杆形象的關鍵所在。他結合具體的案例分析，對隱私界前輩提出的“Privacy by Design 7原則”進行了解讀，其中尤其強調產品設計師們應當站在用戶視角去分析可能給用戶帶來的直接或間接的侵犯和風險。

（圖片來源分享嘉賓PPT)

隱私風險評估是企業開展隱私設計的核心環節，隱私風險評估的關鍵成功要素在於：業務場景梳理清楚、數據責任者明確、企業在不同業務場景下的角色身份界定清楚等方面，但更為關鍵的是企業需要一支懂業務、懂技術、理解法規的團隊來執行隱私風險評估，這需要在企業將隱私保護的理念和方法深入灌輸給每一個從事個人數據處理活動的員工，更需要企業中的決策層指明企業合規道路的方向。

兩位分享結束後，來自不同企業的嘉賓們圍繞個人信息保護法與企業數據合規進行了熱烈的討論。本次分享會幹貨滿滿，獲得了參會的首席法務官們的一致好評，通過交流與分享，嘉賓們對個人信息保護與企業合規有了更加深刻的見解。