Category: Governance
-
依靠“隐私政策”弹窗可以满足合规要求吗?
依靠“隐私政策”弹窗可以满足合规要求吗? 目前绝大部分App通过在用户首次打开App时以弹窗形式展示用户协议和隐私政策(或者个人信息保护政策),依靠用户勾选的方式履行告知义务和取得同意义务。《个人信息保护法》(《个保法》)规定了除同意以外的其他合法性基础以及有效同意的构成要件,但是目前大多数隐私政策在《个保法》生效后,对于个人信息处理告知内容和形式,仍然未出现突破性的变化。 勾选隐私政策,构成有效同意吗?可以满足合规要求吗? 要彻底搞清这个问题,本文认为需要对隐私政策和同意的性质和法律意义作深入探究,因此通过梳理不同学者的研究,学习与思考,然后再尝试提出隐私政策在内容和形式层面的一点建议:应将不同合法性基础所进行的个人信息处理活动分别列明,并结合不同的用户交互设计充分履行告知义务;将基于同意而进行的数据处理单独列出以取得同意,实现真正的充分知情,自愿明确。 一、同意的定义和性质? 除了我国台湾地区“个人资料保护法”明确将同意界定为“意思表示”。大多数国家和地区的个人信息保护法律,包括我国相关法律法规基本上并没有界定什么是个人同意,而只是规定了同意的要件。 在我国个人信息保护法的起草过程中,在一审稿第14条第1款第1句曾规定:“处理个人信息的同意,应当由个人在充分知情的前提下,自愿、明确作出意思表示。” 二审稿则删除了“意思表示”一词,该条第1款第1句被修改为:“处理个人信息的同意,应当由个人在充分知情的前提下自愿、明确作出。” 正式颁布的《个保法》第14条第1款第1句则规定:“基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。” 因此,我国《个保法》未将“同意”规定为“意思表示”,但究竟同意的含义是什么呢? 1、为什么个人同意的性质不是意思表示? 根据程啸教授《论个人信息处理中的个人同意 》中的解释,个人对于个人信息处理者就其个人信息所要实施的处理活动而作出的同意,并非旨在发生民事法律后果的内心意思的外在表示,个人与个人信息处理者之间也没有就设立、变更、终止民事法律关系达成合意,即,个人作出的同意不是意思表示。 如果将个人同意的性质理解为意思表示,将导致民法中关于意思表示的法律规则被错误地适用于个人信息处理活动当中。 这一方面,会混淆民事行为能力与同意能力。个人信息处理中个人同意的年龄不同于民事行为能力的年龄规定,这是因为个人信息处理活动不是一种交易行为,而是对个人信息进行收集、存储、加工、使用、提供等活动的事实行为,不能将适用于交易行为的民事行为能力套用在个人信息处理。另外,个人信息处理中的个人同意的有效性还受到个人信息保护法中其他规定的制约,尤其是个人信息处理者是否充分地履行了告知义务。如果未充分告知,即使有个人同意,则仍然是无效的同意。 另一方面,会错误地将意思表示的撤销和撤回适用于个人信息处理中的个人同意。民法上关于意思表示的撤回、撤销以及撤销权的除斥期间的规定,都不能适用于个人信息处理中的个人同意。只要是基于个人同意处理个人信息的,个人有权随时撤回同意。试想如果一旦个人作出了同意,就不能撤回或者很难撤回,那么个人的同意就不可能是真正的同意,其对个人信息的处理就没有真正的决定权,无法充分地维护人格尊严和人身自由的。另外,就法律行为的撤销而言,撤销权的行使具有溯及力。但是,在个人信息处理中的个人撤回同意则不具有溯及力。由于处理者必须随时做好个人会撤回同意的准备,所以为了实现个人信息权益的维护与个人信息的合理使用之间的利益平衡,法律上必须作出这样的规定,这也是诚信原则与公平原则的要求。 2、个人同意的性质是什么? 程啸教授认为,自然人享有个人信息权益意味着,其他组织或个人应尊重而不得侵犯该权益,承认自然人的个人信息权益就必然导致对他人行为自由的限制。处理者对个人信息进行的任何处理行为(无论是收集、存储、使用,还是加工、传输、提供、公开等),客观上就构成对个人信息权益空间的侵入或干扰,违反了法秩序,具有(暂时认定的)非法性。要排除这种非法性,就必须具备法律上的正当性。在个人信息保护法上,此种正当性要么来自于个人的同意,要么来自于法律、行政法规的规定即法定的许可。 在消极的层面上,个人同意属于违法阻却事由即免责事由,排除行为的违法性(或过错)而使得行为人无需承担侵权责任,如同意(《民法典》第1219条、第1036 条)、自助行为、紧急避险、正当防卫; 在积极的层面上,个人同意是个人信息处理活动的合法根据或正当理由之一。个人信息处理中的个人同意为个人信息处理行为提供了合法根据,排除了该行为的非法性,从而使得处理行为具有合法基础,不构成对个人信息权益的侵害行为。 《民法典》第1036条 处理个人信息,有下列情形之一的,行为人不承担民事责任: (一)在该自然人或者其监护人同意的范围内合理实施的行为; (二)合理处理该自然人自行公开的或者其他已经合法公开的信息,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外; (三)为维护公共利益或者该自然人合法权益,合理实施的其他行为。 《民法典》第1219条 医务人员在诊疗活动中应当向患者说明病情和医疗措施。需要实施手术、特殊检查、特殊治疗的,医务人员应当及时向患者具体说明医疗风险、替代医疗方案等情况,并取得其明确同意;不能或者不宜向患者说明的,应当向患者的近亲属说明,并取得其明确同意。 医务人员未尽到前款义务,造成患者损害的,医疗机构应当承担赔偿责任。 在常鹏翱教授《对准法律行为的体系化解读》中认为,患者同意应归准法律行为,理由主要是: 第一,它在构成上要求患者书面同意医疗机构的诊疗活动,表明患者有接受诊疗活动的意愿,这并非效果意思; 第二,它的法律效果是排除诊疗活动的违法性,与权利变动无关; 第三,这种法律效果的发生是法律所规定的,即在患者同意的前提下,只要医疗机构尽到了相应的审慎诊疗义务,就无需对患者因诊疗活动而产生的损害承担赔偿责任,即便患者同意的真实意思并不在排除诊疗活动的违法性,或患者并无不追究医疗机构损害赔偿责任的意思,也不影响该法律效果。与此不同,在医疗损害发生后,患者放弃损害赔偿请求权的行为是法律行为,因为它产生权利消灭的效果,而该效果又完全取决于患者的意思表示。 把患者同意应归准法律行为,前提需要认可常鹏翱教授对准法律行为作出的定义,准法律行为是指对外表示内心状态,但效果由法律直接规定的行为,可以简化为“表示行为+效果法定”的法律规范,表示行为是其构成要素,但法律效果完全由法律规定。 法律行为的制度功能旨在实现自由意志,其内在逻辑是通过表示行为来引起特定效果的效果意思,因而效果意思是法律行为最为根本的特质。准法律行为有表示意思,却没有效果意思,表示行为的对象可以是某种意愿,也可以是对某种事实情况的认知,还可能是某种情感态度或立场,但是准法律行为的表示对象绝非效果意思。 因此,金震华、吕伟欣律师在《隐私政策可诉吗?》中结合以上理论,认为个人同意作为信息处理者免责事由的同时,是一种准法律行为: (1)在构成上个人同意个人信息处理者的处理活动,表明个人有被处理个人信息的意愿,但这个意愿并非效果意思,即不构成意思表示; (2)在法律效果上通过个人的表示行为排除了个人信息处理者的违法性,且与权利变动无关; (3)该等表示行为的法律效果的发生是由《民法典》、《个人信息保护法》等法律直接规定的。 二、目前隐私政策的法律意义是什么? 首先,同意隐私政策不构成合同关系。 一般而言,合同成立的典型方式是要约和承诺方式。要约是希望与他人订立合同的意思表示,承诺是受要约人同意要约的意思表示。 金震华、吕伟欣律师基于“表示行为+效果法定”的法律规范,认为隐私政策尽管不存在个人信息处理者表达自由意志的空间,但毕竟存在依照法律要求表达希望处理个人信息的诉求,这种意思应属于表示意思,同时该等表示意思需通过隐私政策发布的表示行为来落实,且该隐私政策的法律后果取得个人同意后可处理个人的信息系由《个保法》直接规定,因此符合准法律行为的构成要件。隐私政策发布的表示行为没有效果意思,不能构成意思表示,即不构成要约。 如上文所述,个人“同意”亦不构成意思表示,不能构成合同成立中的承诺,因此,个人就处理其个人信息表示同意,两者之间不能构成合同关系。 值得注意的是,如果仅仅为订立、履行个人作为一方当事人的合同所必需而处理个人信息的情况,本文认为仅同意隐私政策也不应该表示个人对整体合同(用户协议)的成立的意思表示,隐私政策可构成合同内容(用户协议)约定的一部分,可类比技术服务合同里的服务标准。 其次,隐私政策最大程度的功效是个人信息处理者遵循透明性原则,履行《个保法》规定的告知义务。 但目前隐私政策的内容和展现方式,无法满足《个保法》第17条著方式、清晰易懂的语言真实、准确、完整的标准,也更无法表明用户是在充分知情的前提下自愿、明确作出的同意。个人信息处理者必须充分地告知,从而确保个人是在充分知情的前提下而作出同意的。如果,个人在完全不知情或不充分知情的情况下所作出的同意,则是无效的。 例如,在内容层面,目前的隐私政策包含个人信息处理的全部基本情况。一般从如何收集和使用个人信息开始,其中一小节说明不需要取得同意的情形。对于突发卫生事件、为公共利益实施新闻报道或者处理合法公开的个人信息,由于其本身的不确定性,确也无法说明个人信息处理的情况。而对于为订立或者履行合同所必需,或者基于法定义务而进行的个人信息处理情况,却未单独说明。个人并无法清晰理解哪些个人信息处理是为履行合同所必需或者履行法定义务而展开的。最终,用户读完也并不清楚哪些个人信息处理是不需要取得自己的同意的。 另外,从形式上,隐私政策采用一次性告知,用户因为内容的冗长繁琐且没有可选择的余地而放弃阅读隐私政策。另外,即使目前仅仅使用基础功能,也要同意APP未来个人信息的处理活动。在后续具体的业务场景中个人信息处理涉及收集更多个人信息、敏感个人信息或对个人权益可能产生显著影响的处理活动,未再次告知用户,或者通过更新隐私政策增加个人信息处理目的,未将变动部分单独加强告知个人。 三、隐私政策的内容和形式的一点建议 本文认为隐私政策应作为个人信息处理情况告知书,如果个人信息处理包括除同意以外的合法性基础,则不应该通过用户勾选隐私政策获取同意。一般而言,个人信息处理者处理个人信息的法律基础可能有多种,因此应将不同合法性基础所进行的个人信息处理活动分别列明,并结合不同的用户交互设计充分履行告知义务。例如,为履行法律义务处理了哪些个人信息、为履行合同所必需处理哪些个人信息。对于基于非同意法律基础处理个人信息时,隐私政策或者隐私通知文案,应该是“我已阅读或者我已知晓”,而不是“我同意”。 将基于同意而进行的数据处理单独列出以取得同意,实现真正的充分知情,自愿明确。对于需要取得《个保法》要求单独同意的情形,则需要、在处理前单独弹窗或者其他形式取得同意;处理活动涉及敏感个人信息,或对个人权益可能产生显著影响的,还需要再次告知并取得用户单独同意。 合规要求与业务需求并不绝对是鱼和熊掌不可兼得,创造性设计合规的交互页面是我们必须要走的道路。 数据合规与治理 2022-02-18 02:46 #个人信息保护法…
-
Can “Privacy Policy” Pop-Ups Satisfy Compliance?
Will Relying on “Privacy Policy” Pop-Ups Satisfy Compliance? At present, most apps display the user agreement and privacy policy (or personal information protection policy) in the form of a pop-up window when the user opens the app for the first time, relying on the way the user checks to fulfill the obligation of notification and…
-
《个人信息保护法》下合法性基础的适用探析
《个人信息保护法》(个保法)第13条规定了6项确定的个人信息处理的合法性基础: 个保法马上要生效,但如何落地适用到各种复杂的业务场景,充满未知。每项合法性基础适用的判断依据,需要在司法和合规实践中不断沉淀和归纳。在个保法之前的法律法规中,个人信息处理的合法性基础往往是不清晰的,如何适用个保法以保护个人信息权益,面临上位法与特别法的协调以及新旧法律法规之间的衔接问题,甚至不同部门之间监管利益博弈的情况。本文尝试提出一些问题并初步探索适用合法性基础的依据以及它们之间的适用关系。 需要回答的难题有很多,本文首先集中探究以下问题: 一、为什么要选择适当的合法性基础? 众所周知,个保法无论是从体例还是条文从GDPR借鉴很多。除合法利益(Legitimate Interest)以外,GDPR也有类似的几项合法性基础或者法律依据作为数据控制者处理个人数据的依据。在GDPR项下,选择适当的合法性基础进行数据处理非常重要: 首先,一项个人数据处理只能有一个合法性基础,而且在处理开始之前必须确定。数据控制者不能在处理个人数据后确立合法性基础,期间也不能交替适用合法性基础。 其次,无论选择何种法律依据,数据控制者都必须在任何时候都能够向数据主体和监管机构,出示适用某个合法性基础的决策依据和过程记录。例如,能够展示数据主体何时以及如何同意的,或为履行合同数据处理的必要性。 再次,个人数据处理的合法性基础对数据控制者响应数据主体权利请求的方式有重大影响,因为不同的合法性基础,其适用的条件、例外和限制都不同。选择法律依据取决于数据处理的目的、数据类型,以及数据控制者与数据主体的关系。如果选择错误的合法性基础,则可能导致数据处理不合法、对数据主体权利请求的响应不能、数据处理的组织和技术控制不到位等问题,进而影响个人的基本权利和自由。 因此,我国个保法中合法性基础选择适用的重要性不言而喻,个人信息处理者应该在处理之前确定合法性基础,或者梳理现有业务的合法性基础。适用错误的合法性基础,首先存在合法性问题,其次是无法满足某些合法性基础的适用条件。例如,本应该基于履行合同所必需处理个人信息而错误依据同意,但后期无法满足个人撤销同意的请求。而且如果基于同意,在法律规定需要取得个人单独同意的场景,个人信息处理者反而要遵守更多的法律义务。因此,在处理个人信息之前就厘清应该依据的合法性基础极为重要。 二、如何选择合适的合法性基础? GDPR第5(1)(a)条规定,个人数据的处理要遵循合法、公平和透明原则。这不仅适用于个人数据处理,也适用于合法性基础的选择适用。遵循原则意味着承认数据主体的合理期待,考虑数据处理可能个人权益产生的不利后果,并考量数据主体与个人数据控制者之间的关系和不平衡的潜在影响。根据英国ICO关于合法性基础适用的指引,个人数据处理的合法性基础取决于数据处理特定目的和处理的场景。其中需要考虑的因素很多,例如: 另外,根据EDPB《在向数据主体提供在线服务的背景下根据GDPR第6(1)(b)条处理个人数据的指南(2/2019)》,在判断是否是“为了履行数据主体作为合同一方当事人的合同所必需的数据处理”时,要回答的问题: 我国个保法同样采用了合法、公平和透明原则。 第五条 处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。 第七条 处理个人信息应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围。 本文认为,上述需考虑的因素和要回答的问题,我们都可以在选择适用合法性基础的过程中借鉴。 在决定是否采用“同意”作为合法性基础,至少要考虑以下问题: 在决定是否采用“为订立或履行合同所必需”作为合法性基础,至少要考虑以下问题: 实践中,不同合同类型依据业务场景和技术水平,为履行合同所必需处理的个人信息类型或者需要采取的处理手段都存在差异。值得注意的是,还需要考虑合同的有效性问题。 在确定处理员工个人信息是否满足“实施人力资源管理所必需”时,首先要回答: 进一步,判断人力资源管理所必需,至少还需要根据不同工种对于信息安全管理的严格程度,以及特殊行业和高级职位的行业监管要求。特别考虑用人单位与员工之间的不平等关系,避免基于同意处理员工个人信息。另外也要考虑到企业的法定义务,如给员工的缴纳社会保险,或者在《网络安全法》项下的网络安全保障义务。 三、不同合法性基础是否可以同时适用? 如前所述,在处理个人信息之前确定合法性基础极为重要,那么单一的个人信息处理行为是否可以基于两个或者两个以上的合法性基础呢? 在个保法出台之前的法律法规中,确实存在这种疑问。例如: 《征信业管理条例》第29条规定,从事信贷业务的机构应当按照规定向金融信用信息基础数据库提供信贷信息。 从事信贷业务的机构向金融信用信息基础数据库或者其他主体提供信贷信息,应当事先取得信息主体的书面同意,并适用本条例关于信息提供者的规定。 其中的问题在于,从事信贷业务的机构向金融信用信息基础数据库提供信贷信息的行为的合法性基础是法定义务还是信息主体的同意? 国家设立金融信用信息基础数据库,是为了防范金融风险、促进金融业发展提供相关信息服务,是基于公共利益需要而构建的国家金融基础设施。从事信贷业务的机构应当向金融信用信息基础数据库提供信贷信息,是在《征信业管理条例》明确规定的法定义务。但第29条第2款的规定,结合个保法需要斟酌理解。 按照第29条的要求,银行作为开展信贷业务,与个人签订借贷合同,银行基于法定义务需要将个人的信贷记录上报给金融信用信息基础数据库,在此之前需要取得个人的书面同意。然而这里的同意无法满足个保法要求的“同意”效果,即充分知情且自愿。个人不同意签署书面同意书,显然无法获得贷款。即使自愿,签署之后在借贷合同履行完毕之前,也无法撤销同意。可见,在这种场景下的合法性基础,只能是“法定义务”。 从事信贷业务的机构向其他主体提供信贷信息,按照个保法的要求应当事先取得信息主体的书面同意,因为一般履行借贷合同所必需的信息处理,不包括向其他主体提供信贷信息的对外提供行为。 因此,本文认为,一般情况下,其他合法性基础无法与“同意”同时作为一项信息处理行为的合法性基础。而“法定义务”可能会与“履行合同所必需”存在重叠的情况,例如非银支付机构在基于合同所必需处理个人信息的同时,又有遵守反洗钱的义务。 本文并未将所有的合法性基础适用依据逐一做细致的分析,在之后的文章中,笔者将带着疑问逐步探寻。 在此特别感谢与我探讨问题的师兄师姐。 #个人信息保护法 #合法性基础 张晓丽 数据合规与治理 2021-10-18 17:00
-
Exploring the Legitimate Basis and Applicability of Personal Information Protection Law
The Personal Information Protection Law (PIPL) stipulates six definitive legal bases for the processing of personal information in Article 13: 1. Obtaining the consent of the individual; 2. Necessary for the conclusion and performance of a contract to which the individual is a party, or necessary for the implementation of human resource management according to…
-
数据保留政策建立指南
如何确定个人信息保存期限? 对于任何一个组织来说,作为个人信息控制者确定个人信息保存期限并非易事,履行个人信息删除义务也面临很多挑战。本文简要分析确定个人信息保存期限的关键点,以及如何建立数据保留政策。 一、 如何确定个人信息保存期限 《个人信息保护法》(个保法)第19条规定:除法律、行政法规另有规定外,个人信息的保存期限应当为实现处理目的所必要的最短时间。 那么有哪些法律法规呢?很多行业领域都有对数据保存期限的最短要求,以下举例: 第31条 电子商务平台经营者应当记录、保存平台上发布的商品和服务信息、交易信息,并确保信息的完整性、保密性、可用性。商品和服务信息、交易信息保存时间自交易完成之日起不少于三年;法律、行政法规另有规定的,依照其规定。 第53条第3款 电子支付服务提供者应当向用户免费提供对账服务以及最近三年的交易记录。 第27条第1款 网约车平台公司应当遵守国家网络和信息安全有关规定,所采集的个人信息和生成的业务数据,应当在中国内地存储和使用,保存期限不少于2年,除法律法规另有规定外,上述信息和数据不得外流。 第55条 医疗机构的门诊病历的保存期不得少于十五年;住院病历的保存期不得少于三十年。 第147条 证券公司应当妥善保存客户开户资料、委托记录、交易记录和与内部管理、业务经营有关的各项资料,任何人不得隐匿、伪造、篡改或者毁损。上述资料的保存期限不得少于二十年。 第19条 客户身份资料在业务关系结束后、客户交易信息在交易结束后,应当至少保存五年。 第50条 【劳动合同解除或者终止后双方的义务】用人单位应当在解除或者终止劳动合同时出具解除或者终止劳动合同的证明,并在十五日内为劳动者办理档案和社会保险关系转移手续。 劳动者应当按照双方约定,办理工作交接。用人单位依照本法有关规定应当向劳动者支付经济补偿的,在办结工作交接时支付。 用人单位对已经解除或者终止的劳动合同的文本,至少保存二年备查。 纵观上述法律法规对于相关数据(包含个人信息的数据)保存时间的规定,一般均为最短时长(例如最少6个月,至少保存3年或者5年以上),只有下限,没有上限。也就是说,在个保法颁布之前,任何组织都可以无限期存储个人信息。 强制要求在一定时限内不得删除相关数据,一般而言是为了确保电子存档的可用性,即有据可查。无论是为了金融系统稳定、反洗钱,还是保障消费者或者劳动者利益,数据控制者不能随意在时限内删除数据。 个保法对于个人信息保存期限的规定,来源于最小化原则。无论是个人信息收集的范围,还是存储的时间,都应该限定在最小必要范围内。过多的个人信息收集和不必要的长时间存储,都是造成个人信息安全和隐私侵扰的重要原因。此时的新要求便是,不能任意无限期保留个人信息。 任何一个组织都必须精准理解自身应遵循的最短数据保存时限法律要求,同时也要理清实现个人信息处理目的而保留个人信息的最长时间。如果后者长于前者,则应在满足处理目的或者其他合法正当理由消除后进行删除或者匿名化处理;如后者短于前者,则应该在满足最短个人信息保留时限后删除或者匿名化处理。另外,就某些类别个人信息没有最短保存期限要求的情况,个人信息的保存期限应当为实现组织个人信息处理目的所必要的最短时间。 个人信息处理目的所必要,可能是合同需要、人力资源管理需求,也可能是应诉需求。组织必须充分考量不同业务场景下对于个人信息保留时长的需求,并对数据进行分类,定时处理。例如,对于基于同意处理个人信息的情形,是否可以在个人信息主体撤销同意后删除个人信息,应当仔细考量。对于基于履行合同所必需而进行的信息处理,后合同义务以及诉讼时效都应该是个人信息保存时限的考量因素。 《个人信息保护法》第47条 有下列情形之一的,个人信息处理者应当主动删除个人信息;个人信息处理者未删除的,个人有权请求删除: (一)处理目的已实现、无法实现或者为实现处理目的不再必要; (二)个人信息处理者停止提供产品或者服务,或者保存期限已届满; (三)个人撤回同意; (四)个人信息处理者违反法律、行政法规或者违反约定处理个人信息; (五)法律、行政法规规定的其他情形。 法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的,个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。 二、数据保留政策建立 确定个人信息保留期限只是一个开始,如何建立数据保留政策,并实际落入到组织流程和系统中,实时动态的删除到期的个人信息,形成有效流程机制才是难点,尤其是复杂的数据应用场景。 数据保留政策是组织整体数据治理战略的一部分。任何控制一定规模数据的组织都需要确定数据保留策略。保留数据的时间过长会占用不必要的存储空间,产生不必要的成本。同时,发生数据泄露的概率也可能随着数据量的增加而增大。这里并不是说最好采取删除,而是理清哪些应该删除,哪些应该保留。误删除操作同样致命。 首当其冲,就是确定个人信息保留政策,或者数据保留政策,个人信息作为其中的一大类。如何建立数据保留政策呢?当创建数据保留政策时,每个组织的需求都是不同的。本文结合上文给出以下步骤供参考: 1. 首先决定由谁来负责创建政策。由于涉及各个领域的专业知识,这项任务通常不能由组织中的一个人负责,而应该是跨部门合作。通常情况下,数据保留政策的起草是由IT部门、法务部门和其他关键部门共同推动完成。 2. 确定所要遵从的法律法规要求。组织必须确定需要遵守的法律和行政法规,甚至是有软法效力的相关规定,以便将关于数据保存的要求作为基础纳入数据保留政策。不同行业对于数据保存期限有不同的要求。例如金融、医疗、教育、物流客运、消费者和劳动者保护、网络游戏等领域。通俗来讲,就是搞清楚法律法规要求的保留范围,具体是什么数据类型,不同数据类型对应的保留期限不同,相应的删除程序逻辑也就不同。值得注意的是,目前的某些法律法规对于数据保存的范围和类别还是比较模糊的,有待立法者确定。 3. 确定业务要求。创建一个有效的数据保留政策不仅仅涉及遵守适用的法律法规,还必须考虑到组织的实际、正当合理需求。这些需求可能是履行后合同义务、应诉需求,或者人力资源管理需要。尤其是要求保留个人信息的时间比法律法规规定最短保存的时间要长的情况,在政策中应逐一写明决定保存年限的具体理由。 4. 在制定数据保留政策时要考虑到数据类型。组织应该避免创建一个适用于所有类型数据的无效数据保留政策。例如,医院对雇员电子邮件的保留期与对病人问诊记录的保留期是不同的。相反,数据保留政策应具体定义必须保留的数据类型,并为每种类型制定相应的删除策略,这意味着确定各种类型的数据,并确定出每种数据类型应该保留多长时间。 可以说,数据分类分级是数据治理的基础,也是数据保留/删除机制运行的前提。 5. 采用良好的数据归档系统。通常情况下,数据只在一段时间内是有效的,然后转移到其他数据库存档,最终作为组织的数据生命周期管理过程的一部分从数据库中彻底清除。例如,如果法规要求某些类型的数据保留的时间超过企业需要的时间,那么可以考虑采用数据归档系统。 6. 制定涉诉数据冻结计划。如果组织涉及诉讼,那么很可能需要对自动删除机制进行干预。这样在被司法机关传唤需要提供相关数据作为证据的时候,相关数据就不会在保留期结束后被系统自动删除。 7. 确定如何在系统软件层面上实施和执行数据保留要求。这可能需要新的系统改造,由IT部门根据需求开发相关的线上流程和数据存档或者删除程序。 8. 明确由哪个部门负责确保数据保留是按照政策进行的,例如人力资源部门或法务合规部门合作,建立一个落实政策的流程。 9. 确定如何执行内部审计以确保组织相关人员对于数据保留政策的遵守。 10. 决定审查和修订数据保留政策的频率。 11. 创建两个版本数据保留政策。首先,建议组织起草一个比较正式的版本,体现数据保留策略以满足法律法规要求,为外部问询做准备。另外,应该考虑起草一个更详细、更容易让内部人员理解的版本,以帮助内部人员更好地实施数据保留策略。…
-
Establishing Data Retention Policies
How to Determine the Retention Period of Personal Information? For any organization, as a custodian of personal information, determining the retention period of personal information is a daunting task, and fulfilling the obligation to delete personal information poses many challenges. This article provides a succinct analysis of the critical aspects in determining the retention period…