我们就以汽车领域跨境数据合规传输为例,我们固然要考虑数据的加密和网络安全等传统的IT因素,我们同时要考虑消费者公民个人信息、财务运营数据、会计运营数据、国家秘密(比如测绘数据)、信用采集数据以及关键信息基础设施数据分别在《消费者保护法》、《保守国家秘密法》、《网络安全法》、《测绘法》、《测绘成果管理条例》、国务院《证信业管理条例》、工信部《电信和互联网用户个人信息保护规定》和中国人民银行《关于银行业金融机构做好个人金融信息保护工作的通知》等相关法律法规下面的合规工作。我们不仅要考虑汽车生产厂家(如表中所说的OEM,亦即Original Equipment Manufacturer),还要考虑汽车金融公司(如表中所说的Auto Credit)以及合资企业(如表中所说的JV)——详见下图Table for Cross-Border Data Transfer for Auto Industry(翻译为《汽车工业数据跨境传输表》)。
对于有的公司来说可能还涉及到欧盟的General Data Protection Regulation(亦即GDPR)合规问题,比如某汽车生产厂家向全球消费者(含欧盟汽车消费者)推出某一限量领先版豪华跑车的征订,这时GDPR铁定适用。
另外,数据的安全与合规,不能仅仅考虑隐私Privacy合规,而必须把数据的各种类型放在一起考虑,制定一揽子的安全与合规计划。实务中,我们可以(甚至有时必须)把各种数据,比如商业秘密、竞争情报、个人信息、国家秘密和重要数据等五类数据统一进行考量。
试举一例,测绘成果和重要地理信息数据既可能是一个企业的商业秘密,也可以是重要数据,甚至构成国家秘密。再举一例,企业的定价机制,甚至是价格本身既可能是商业秘密又可能构成竞争法下的竞争情报。又比如,有些个人信息(比如你驾驶的谨慎或者鲁莽程度)既可以是个人信息,同时又是具有商业价值的商业秘密(甚至有保险公司愿意出钱购买这个信息从而精算其保险产品的收益率),这就要求我们在数据的模块化管理当中必须考虑数据的不同属性或多种属性并做相应的管理。不管理会给企业带来极大的风险和责任;不当管理让企业事倍功半。
如何炮制数据?数据的不同特性要求不同的处理方法。比如驾驶的谨慎或者鲁莽程度之所以可能成为个人信息,是因为这个信息只有与个人相关联保险公司才愿意购买——谨慎驾驶的和鲁莽驾驶的同样化了500元买一个保险,相比较,保险公司在谨慎驾驶的人身上就可能赚了,而在鲁莽驾驶的人身上就可能赔了或者少赚了。但是,这份个人信息不能随便买卖,否则会触犯刑事责任(敲黑板:刑法第253条第1款规定,【侵犯公民个人信息罪】违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金)。那么如何炮制这个既可以作为商业秘密的个人信息呢?征得消费者事先同意或者匿名化处理也许是不错的一个炮制方法。至于如何炮制既能保证药性,又能保证合规?我们下回分解。
