Dentons 与大成之间的联合现在生效。如需了解该事务所目前在全球的运营情况,请访问 dentons.com。为方便客户以及其他希望了解该事务所在中国的运营信息的人士,本网站将继续保持公开几个月。

威科“公民个人信息与隐私保护”专题研讨会 在大成上海办公室成功举办


  信息化与数据化的时代背景下,企业因违规获取、使用公民个人信息而受到民事、行政乃至刑事处罚的案件,日见增多。同时,国家对该领域的监管也日渐严格。比如, 2017年5月9日,最高法、最高检发布了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称“《司法解释》”)。又如,2017年6月1日,上述“解释”以及我国首部《网络安全法》都将生效实施。在个人信息与数据的合规管理领域,上述两部文件的重要性,不言而喻。

  为协助企业加强个人信息与数据安全方面的风险管理,威科(Wolters Kluwer)作为全球领先的风险管理与法律合规等领域的专业信息服务提供商,特邀请本所刘新宇、陈立彤、石锦娟、戴健民、马朗等5名合伙人律师,于2017年5月19日下午14:00-17:00在上海中心大厦15层2号会议室,与来自恒生银行、华瑞银行、DHL(中国)、优衣库(上海)、爱马仕(中国)、富士施乐(中国)、佳士得、大众点评网、大智慧、中怡保险等40多家著名中外企业的法务经理与合规官,就“数据与隐私保护”领域的热点和难点问题,进行了专题研讨。

  研讨会分上下半场,由大成上海办公室合伙人戴健民律师全场主持,戴律师在数据与隐私保护,以及网络安全方面具有超过5年的丰富实务经验。

  作为在刑事法律服务领域具有近10年实务办案经验的律师,大成上海办公室合伙人马朗律师在上半场对《司法解释》进行了专题梳理和解读。马律师结合主办过的多起侵犯个人信息刑事案件,重点分析了《司法解释》中规定的 “个人信息概念”、“获取”与“提供”的内涵、基于合法经营目的购买信息的特殊入罪标准以及履行职责和提供服务过程中如何合法合规地获取、收集个人信息等企业法务与合规官普遍关心的问题。

  马朗律师在和与会者的互动中指出,尽管《司法解释》第6条专门针对企业基于合法经营需要而购买公民个人信息的情况,提高了入罪门槛,以试图在“企业合法经营需要”与“公民个人信息安全”之间作出平衡。但是,《司法解释》总体上还是偏重于保护“公民个人信息安全”,尤其是在“行踪轨迹”、“通信内容”、“征信信息”和“财产信息”方面,制定了极其严格的保护措施。加之《司法解释》的部分规定,依然存有歧义和争议,使得企业及员工在获取和使用个人信息方面,将面临着极大的刑事法律风险。企业围绕公民个人信息安全方面的风控与合规工作,也随之变得愈发重要和紧迫。

  研讨会的下半场,在戴健民律师的主持下,大成上海办公室高级合伙人刘新宇律师、陈立彤律师以及石锦娟律师,从不同专业角度,就以下主题和与会者进行了圆桌讨论。

  1、《网络安全法》与《司法解释》对企业合规工作的总体影响;

  2、跨国公司如何把全球隐私保护政策与中国的“特殊规定”对接和协调,比如数据本土化、数据跨境转移等问题;

  3、作为新兴产业的互联网金融行业,如何把握“金融创新”与“个人信息保护”之间平衡关系;

  4、企业在IPO、并购等资本运作过程中,如何对接“信息与数据保护”?

  刘新宇律师(大成上海办公室高级合伙人,执行副主任)指出,《司法解释》对互联网金融行业影响主要有:

  一、支付宝、芝麻金融等都曾被爆出内部员工(内鬼)泄露或出售信息的新闻,《司法解释》针对行业内部人员利用职务便利侵犯个人信息的行为,降低了入罪门槛,这应当引起工作中负责处理信息的那部分公司高管的高度关注。

  二、对于互金平台而言,需要采取积极的姿态去熟悉和适应监管,拒不履行信息安全管理义务,也会受到相应的规制。

  三、《司法解释》与互金行业的每个环节息息相关。从获客环节,涉及如何合法合规地获取投资者信息;从风控环节,涉及如何获取和使用借款人的信息,以便于提高催收环节的效率;从催收环节,网站发布逾期借款人信息,今后将面临极大的合规风险。

  四、可以预见的是,侵犯个人信息将成为互联网金融专项整治行动的内容之一。互金平台应及时建立内部个人信息保护的规章和制度。最后,刘新宇律师提醒从业人员重点关注《司法解释》第3条第2款“经过处理无法识别特定个人且不能复原的除外”的规定,可以围绕该规定进行合规设计。

大成上海办公室高级合伙人、曾任福特汽车亚太合规总监的陈立彤律师在研讨会上指出:

  《网络安全法》把“个人信息”定义为能够“识别”自然人身份的各种信息,显得太“人性化了”。因为机器或人工智能早已“进化”到不用识别自然人身份就可完成推销工作。比如,VR领域最重要眼球追踪技术,当你逛商场时,你眼球关注某商品的时间超过一定阀值,即使你未下单,也足以说明你对此商品感兴趣(想想你谈恋爱时含情脉脉的目光就不难理解了)。

所以,除识别自然人身份的信息是公民个人信息外,反映特定自然人活动情况的各种信息,也应当归类到公民个人信息,《司法解释》其实是对《网络安全法》做了补充——即明确了公民个人信息还包括特定自然人的活动情况。

  《司法解释》有关公民个人信息的定义,将会给涉及公民个人信息的大数据应用带来极大影响。公民个人信息的合法应用通常有两个安全港(safe harbor),一个是获得公民个人的许可;另一个是匿名化处理。如果说匿名化处理公民个人身份相对容易些,那么匿名化处理“自然人活动情况”将会非常困难,另外也将导致数据的商业价值荡然无存。

  大数据是网络信息技术与社会各领域深度融合的产物,随着信息技术的普及,大数据这座“宝库”正在被人们发现、认识和挖掘。我们在提升大数据价值、扩大大数据资源的同时,如何维护大数据安全、保护公民的个人利益不受侵犯,也是大数据应用必须解决的问题。

  曾担任两家世界500强跨国公司亚太地区首席合规官、大成上海办公室高级合伙人石锦娟律师在研讨会上指出:

  《司法解释》对“个人信息”定义范围的扩大,客观上增加了企业践行个人信息保护的合规需求。企业据此有必要建立和完善相关管理制度、流程和法律文件,做好防范侵犯公民个人信息的合规工作。比如对与用户之间的服务协议中与信息相关的条款进行合规性审查,依法合规地收集和使用业务所需的个人信息。

  与《网络安全法》的规定相呼应,《司法解释》针对“未经被收集者同意向他人提供合法收集的公民个人信息”的违法行为,也规定了“经过处理无法识别特定个人且不能复原”的除外情形。但在实践中,很多经过脱敏处理的信息和数据,通过技术手段在一定程度上都可复原。因此,如何做到真正的脱敏,以达到无法识别个人且不能复原的程度,也从技术上也对企业提出了很现实的命题。

  此次《司法解释》第9条有关拒不履行信息网络安全管理义务的规定,将促使网络服务提供者更严格履行个人信息安全保护义务,网络服务提供者应依《网络安全法》第40条规定,“对其收集的用户信息严格保密,并建立健全用户信息保护制度”。

除企业本身应建立和完善个人信息保护制度外,针对投资方而言,在投资决策中,也应尤其注意对于个人信息保护敏感的行业(例如掌握大量客户数据的银行、电信、快递、电商等行业)的审慎调查,并着重对于标的企业的个人信息保护合规机制进行尽职调查,以降低合规风险。