江苏龙网

  1. 主页 > 生活百科 > >

立法缺失、技术壁垒…数据合规新航道,法律工作者能做些什么( 二 )


但在数据合规领域进行数据共享,就不得不对事无巨细将所有数据传输的技术细节转化为合同的法言法语,用大量附件来描述数据共享过程,否则连合同标的都难以确定 。
对于数据合规,“法律不够标准来凑”,当然可以指导合规措施的落地,但在另一些领域却是一件非常危险的事 。
比如在《个人信息告知同意指南(征求意见稿)》中,第六章“免于告知同意的情形”是一个非常“危险”的章节,该章节提出了个人信息控制者收集、使用个人信息的,需以适当方式告知个人信息主体目的,但无需征得个人信息主体的明示同意若干情形,其中包括学术研究、签订或履行协议所必须、新闻报道所必需等情形 。在《个人信息安全规范》中也同样有“5.4 征得授权同意的例外”的规定 。
这些条款之所以危险,是因为法律并未规定这些情形是法律的例外,作为推荐性标准并没有权限设定法律的例外条件,更无法得到法院的认可 。
中国因为《网络安全法》的制定,让很多传统意义上信息安全管理的措施、标准直接上升为法律义务,并且将网络安全与数据保护并立,共同体现于《网络安全法》中 。对比在欧盟或美国,网络安全与数据保护往往会由不同的法律负责(这是一个相当大的话题),比如GDPR就主要关注数据保护问题,未深入涉及网络安全的内容,因此在中国开展数据合规工作更需要技术能力的支持,不只是对法律条文的理解 。
 
- 3 -
面对数据合规“难题”,我们能做些什么
1. 合同
合同是法律工作者坚守不变的战场 。
一份好的数据协议是商业诉求、技术架构与法律合力的结果,尤其是需要反映数据的真实流向 。
在数据合规领域,数据流与法律关系不一致是最常见的矛盾之一 。比如可以见到跨国公司的中国分支机构与总部签署数据使用协议,因为税务原因合同约定数据控制者是欧洲公司,但欧洲公司可能只是空壳,实际却为美国直接公司控制维护数据,这会给数据的传输带来巨大的隐患,让《网络安全法》、GDPR以及美国法律都有管辖机会,徒增合规成本 。
起草一份与数据流动相符的协议并不是一件容易的工作,涉及明确数据类型、设计数据跨境方案、部署安全措施的部署、控制数据再次利用等法律工作者不常涉足的领域 。
在另一个视角下,隐私政策与用户协议可以说是网络空间内用户与厂商之间法律关系的基础 。
尽管“告知-同意”是我国个人信息收集、使用的基石,但现状往往是用户既不知情,也没法不同意 。隐私政策与用户协议长期得不到重视,对隐私政策的关注也是因为近年来多部门开始检查就App个人信息保护问题进行重点检查 。尽管用户被一次次要求点击“我已阅读并同意”用户协议与隐私政策,但从来没有人指望用户真的去读,这两份文件更像是写给监管机构的“自白书” 。
因此,在很大程度上隐私政策与用户协议并没有起到连接用户与厂商的作用,而这样的断层是法律工作者必须正视的现状,也是数据合规工作的驱动力 。
 
2. 证据
除了写合同以外,证据也是法律工作者的主场 。
数据合规的一项基本原则就是可责性(Accountability),数据合规措施要能经得起检验,尤其是法庭的检验,各种文档要能够作为证据在法庭上使用 。
无论是庞理鹏诉东航案还是申瑾诉携程案,法庭均认为公司相对个人具有更强的举证义务,需要证明自己已经妥善保护数据 。这不是一项容易的工作,比如证明个人信息保护中的用户“同意”就是一项非常棘手的任务,即当消费者起诉时,厂商如何证明消费者已经点击过“同意”,凭着公证的截图恐怕不能证明 。
另外,如何让留存了六个月的网络日志成为能够在法庭上使用的电子数据,并且确保真实性、合法性、关联性,也是法律工作者能够介入的工作 。
 
3. 诉讼
诉讼当然是法律工作者最不能退让的战场 。
因为数据是一项新生法益,所以让围绕着数据的纠纷处理起来变数曾生,很多数据合规领域里面重要的规则就脱胎于诉讼 。
比如“新浪微博诉脉脉案”中的“三重授权原则”,比如“庞理鹏诉东航、去哪儿网案”中的企业责任,又比如“大众点评诉百度案”里数据利用的规则 。这些开创性的案件为数据合规提供了清晰的指引,是法律不充实情况下企业行动的海图 。


推荐阅读


上一篇:卖房子不要轻易将房子委托给中介,这些流程你一定要知道!

下一篇:车贷还清汽车就属于自己了?别忘记做几件事,不然汽车还不属于你