律师对话上上签:电子签名平台与《个保法》合规要求
《个人信息保护法》已经在8月份出台,电子签名平台作为第三方中立平台,如何帮助企业更好地满足合规要求?近期,上上签邀请了世辉律师事务所合伙人王新锐进行了解读。
1. 上上签电子签约:据了解,之前有《网络安全法》、《数据安全法》,现在的《个人信息保护法》相比之前这些法律有哪些特色制度?
王新锐律师:之前已经有了很多关于个人信息保护的法律规定,相对而言,《个人信息保护法》在制度上有一些创新或者丰富。
(1)法律基础变得更加丰富
之前我们在处理个人信息的法律基础上,只有“知情同意”一个基础。
而我们在前面提到有关个人信息保护的场景非常丰富,如果只依赖“同意”的方式,可能还是会有一定的矛盾。
所以我们在里面增设了合同、公共利益、新闻媒体监督,类似这样的一些合法性基础。
(2)从同意的角度着手,也是目前世界范围内个人信息保护的主要基础
但只是同意还不够,这一次在同意的基础上进行了丰富,提到了“单独同意”的概念。
“单独同意”也会对企业的合规带来很大的影响。
再有,《个人信息保护法》对自动化决策和一些新技术进行了一些回应。我们将涉及所有跟个人信息合规的一些业界实践,包括一些域外立法的经验进行了汇总。比如增加了对数据进行分级分类和事前风险评估的要求、对数据跨境前需要履行的义务的要求等等。
这样可以看到相比之前,《个人信息保护法》出台之后,制度上覆盖地更加全面。
当然对于企业而言,也要理解个人信息合规工作不是一个一劳永逸的事情,而是一个可持续的过程,这意味着需要企业不断努力去履行这些制度带来的合规义务。
而且在某种程度上,个人信息保护的合规跟合法不完全是一回事。合规的过程离不开企业在技术和制度上的持续投入,并不是非黑即白。
当然什么叫做违法,有时是清楚的。但什么叫合规、违规,其中是有一定的界限,需要企业自身去证明。
2. 上上签电子签约:您刚才提到企业一定要做到留痕,以及数据的安全存储。现在很多企业想借助电子签名,由一个独立第三方提供留痕、中立性的证据。
电子签名平台作为第三方中立平台,怎么做能够更好地满足《个人信息保护法》的合规要求?
王新锐律师:《个人信息保护法》出台之后,我们也跟一些客户做了讨论,比如“单独同意”不仅仅是一个同意本身的过程,还需要对同意进行记录。
可以看到这次《个人信息保护法》带来的一个变化是确立了过错推定责任,也就是要求企业在面对一些个人信息风险事件时,要自证清白。
如果企业要证明自己没有做错事情,就需要企业全程留痕,然后能够举证。电子签约平台的一个价值也在于此,它可以帮助企业在整个过程实时留痕,比如对同意、单独同意怎么获得的做留痕,或对面向员工做的一些通知动作做留痕,后续,如果员工或者公司要去查询电子合同,公证信息,相对来说电子签名平台是可以实现的,这也是电子签名厂商能够给企业带来的价值。
但另外一方面,因为电子签名厂商服务了很多客户,就要考虑内部的控制,内部的访问权限设置的问题,比如需要对这些数据内部进行隔离。
上上签电子签约:关于这些,上上签内部是有一整套完善的安全机制和流程的。我们内部的一些运维人员,是没办法直接接触这些数据的。
同时我们把产品提供给外面的企业客户或者个人客户时,也要进行初次的告知,告知要采集哪些信息,一般我们都是采集最小信息,只要完成实名认证就可以。
后续采集这些最小信息,用于什么方面,都会有告知说明,尤其在采用面部识别的时候,这种属于特别隐私的数据,我们还会有一个单独告知的说明。
3. 上上签电子签约:此外,您觉得第三方电子签名服务商还需要做哪些能够更加完善?
王新锐律师:在《个人信息保护法》出台之后,所有大型公司的产品都需要根据其进行一些调整。
这种调整一是要跟合规义务对齐,我觉得现在已经在做的一些方案、技术手段,肯定之前也都能够被证明是有效的。在《个人信息保护法》出台之后,企业需要捋一遍所有提供“告知—同意”的环节,是否跟法律要求是一致的。
另外企业内部需要做数据的分级分类,我看到很多企业目前还没有完全做到位。原因很简单,之前法律没有强制性的规定,但是在企业做数据分级分类之后,才能把数据做区分,比如区分为个人信息、敏感个人信息。甚至会区分出可能有一部分信息不只是个人信息,还属于重要数据。企业需要通过这样的方式,才能确定该以何种方式去处理哪些类型的数据,或者在哪些情况下的数据处理是受到限制的。
如同王新锐律师与上上签的对话,《个人信息保护法》出台后,企业在选择电子签名供应商时,会更加考虑个人信息安全保护的合规要求,第三方科技服务商因此需要更加关注相关细节,帮助企业规避潜在风险。