1. 上上簽電子簽約:據了解,之前有《網絡安全法》、《數據安全法》,現在的《個人信息保護法》相比之前這些法律有哪些特色制度?
王新銳律師:之前已經有了很多關於個人信息保護的法律規定,相對而言,《個人信息保護法》在制度上有壹些創新或者豐富。
(1)法律基礎變得更加豐富
之前我們在處理個人信息的法律基礎上,只有“知情同意”壹個基礎。
而我們在前面提到有關個人信息保護的場景非常豐富,如果只依賴“同意”的方式,可能還是會有壹定的矛盾。
所以我們在裏面增設了合同、公***利益、新聞媒體監督,類似這樣的壹些合法性基礎。
(2)從同意的角度著手,也是目前世界範圍內個人信息保護的主要基礎
但只是同意還不夠,這壹次在同意的基礎上進行了豐富,提到了“單獨同意”的概念。
“單獨同意”也會對企業的合規帶來很大的影響。
再有,《個人信息保護法》對自動化決策和壹些新技術進行了壹些回應。我們將涉及所有跟個人信息合規的壹些業界實踐,包括壹些域外立法的經驗進行了匯總。比如增加了對數據進行分級分類和事前風險評估的要求、對數據跨境前需要履行的義務的要求等等。
這樣可以看到相比之前,《個人信息保護法》出臺之後,制度上覆蓋地更加全面。
當然對於企業而言,也要理解個人信息合規工作不是壹個壹勞永逸的事情,而是壹個可持續的過程,這意味著需要企業不斷努力去履行這些制度帶來的合規義務。
而且在某種程度上,個人信息保護的合規跟合法不完全是壹回事。合規的過程離不開企業在技術和制度上的持續投入,並不是非黑即白。
當然什麽叫做違法,有時是清楚的。但什麽叫合規、違規,其中是有壹定的界限,需要企業自身去證明。
2. 上上簽電子簽約:您剛才提到企業壹定要做到留痕,以及數據的安全存儲。現在很多企業想借助電子簽名,由壹個獨立第三方提供留痕、中立性的證據。
電子簽名平臺作為第三方中立平臺,怎麽做能夠更好地滿足《個人信息保護法》的合規要求?
王新銳律師:《個人信息保護法》出臺之後,我們也跟壹些客戶做了討論,比如“單獨同意”不僅僅是壹個同意本身的過程,還需要對同意進行記錄。
可以看到這次《個人信息保護法》帶來的壹個變化是確立了過錯推定責任,也就是要求企業在面對壹些個人信息風險事件時,要自證清白。
如果企業要證明自己沒有做錯事情,就需要企業全程留痕,然後能夠舉證。電子簽約平臺的壹個價值也在於此,它可以幫助企業在整個過程實時留痕,比如對同意、單獨同意怎麽獲得的做留痕,或對面向員工做的壹些通知動作做留痕,後續,如果員工或者公司要去查詢電子合同,公證信息,相對來說電子簽名平臺是可以實現的,這也是電子簽名廠商能夠給企業帶來的價值。
但另外壹方面,因為電子簽名廠商服務了很多客戶,就要考慮內部的控制,內部的訪問權限設置的問題,比如需要對這些數據內部進行隔離。
上上簽電子簽約:關於這些,上上簽內部是有壹整套完善的安全機制和流程的。我們內部的壹些運維人員,是沒辦法直接接觸這些數據的。
同時我們把產品提供給外面的企業客戶或者個人客戶時,也要進行初次的告知,告知要采集哪些信息,壹般我們都是采集最小信息,只要完成實名認證就可以。
後續采集這些最小信息,用於什麽方面,都會有告知說明,尤其在采用面部識別的時候,這種屬於特別隱私的數據,我們還會有壹個單獨告知的說明。
3. 上上簽電子簽約:此外,您覺得第三方電子簽名服務商還需要做哪些能夠更加完善?
王新銳律師:在《個人信息保護法》出臺之後,所有大型公司的產品都需要根據其進行壹些調整。
這種調整壹是要跟合規義務對齊,我覺得現在已經在做的壹些方案、技術手段,肯定之前也都能夠被證明是有效的。在《個人信息保護法》出臺之後,企業需要捋壹遍所有提供“告知—同意”的環節,是否跟法律要求是壹致的。
另外企業內部需要做數據的分級分類,我看到很多企業目前還沒有完全做到位。原因很簡單,之前法律沒有強制性的規定,但是在企業做數據分級分類之後,才能把數據做區分,比如區分為個人信息、敏感個人信息。甚至會區分出可能有壹部分信息不只是個人信息,還屬於重要數據。企業需要通過這樣的方式,才能確定該以何種方式去處理哪些類型的數據,或者在哪些情況下的數據處理是受到限制的。
如同王新銳律師與上上簽的對話,《個人信息保護法》出臺後,企業在選擇電子簽名供應商時,會更加考慮個人信息安全保護的合規要求,第三方科技服務商因此需要更加關註相關細節,幫助企業規避潛在風險。