数据隐私合规十问，你关心的问题全在这了Morketing

傅永辉，知名数据隐私专家，曾在多家世界500强担任数据隐私和数据合规负责人孙建钢，君合律师事务所合伙人，聚焦隐私法规的解读及风险判断杨阳，链睿亚太区首席数据隐私官

数据隐私合规十问：

1.中国数据隐私合规的发展有哪些趋势特点？

2.中国个人信息保护的立法现状如何？

3.中国个人信息保护法律法规与GDPR的区别是？

4.设备号是否受个人信息法规限制？

6.数据安全与数据隐私的区别？

7.数据加密是否意味着数据隐私合规？

8.把手机号转成关联的设备号，存在何种风险？

9.企业如何设置合规审核流程？

10.您对企业数据隐私保护的建议？

第一问：中国数据隐私合规的发展有哪些趋势特点？

傅永辉：中国的信息保护在过去十年中发生了很大的变化，从中我们可以看出数据隐私合规发展的五大趋势。

第二大趋势是执法能力日益提高，执法力度不断加强。个人信息保护和数据安全是过去几年中执法活动比较活跃的领域，包括对大量的侵犯公民个人信息案件的刑事审判，还有公安部持续开展的净网专项行动，以及工信部、网信办对个人信息不当收集和使用以及数据泄露这些安全实践进行约谈、整改还有处罚等等。从2019年到现在基本上已经有上千款的App因为违法、违规采集个人信息而被处罚，同时监管部门逐渐具备了大数据监管的能力，还有远程监管的能力，这就使得执法部门的执法力度和广度都将进一步提升。这也说明了数据隐私的迫切性。

在个人信息保护和数据挖掘之间寻求平衡是第四大趋势。对于数字经济的发展、大数据的运用、智慧城市的建设以及人工智能的发展而言，利用和挖掘个人信息已经成了必要的因素，如果对个人信息进行过度的保护就会加重数据开发者的责任和义务，阻碍数据价值的挖掘，但是如果不适当保护又会造成个人信息被滥用，侵犯公民的个人权利。面对这样的两难问题，我们看到的一个趋势是，立法者将会对用户、平台和公众利益之间进行平衡，一方面要求数据从业者承担个人信息保护的责任，另外一方面也兼顾人工智能、大数据和平台的经济发展，并且为数据和网络虚拟财产的保护预留了法律的空间。

第二问：中国个人信息保护的立法现状如何？

孙建钢：如果用一句话来总结我国目前个人信息立法的情况，应该说是我们有宏观的法律原则，有一些执行性的法律规范，但是我个人觉得可能将来还会有一部专门的法律来进一步细化。我给大家解释一下这句话。

首先我国有一个宏观的规范，我指的是《民法典》。《民法典》可能是2020年所有的立法活动当中最重要的一件事件了。另外一个角度来说，《民法典》也是我们国家建国以来被称为法典的第一部法律。其中的人格篇有一个专章对隐私权和个人信息保护进行了规定。我个人觉得这是一个非常好的信号。它从法典这样一个非常高的法律位阶给我们的个人信息和隐私保护做了一个定海神针。

而且我觉得它的梳理比较有力。它把隐私和个人信息做了立法定义，把隐私归结为自然人的私人安宁，和不愿意为他人知晓的私人空间、私密活动和私密信息。个人信息也做了定义，叫做以电子或者其他方式能够单独或者是结合来识别自然人的信息，包括姓名、出生年月、身份证、生物识别信息等。

所以从这个角度来说，其实隐私和个人信息不是一回事，它也并不是一个简单的包含和被包含的关系。因为在隐私当中，很重要的部分是隐私信息，也包括私人的空间和活动，但是在个人信息当中只有一部分属于隐私信息，还有一些可能是属于个人信息，但是没达到隐私的程度。总之，《民法典》在我们国家的立法活动当中做了一个比较好的基础性作用。

第三问：中国个人信息保护法律法规与GDPR的区别是？

从法律基础而言，在中国法下获取个人信息处理权需要个人信息主体的知情同意，明年1月1日施行的《民法典》也规定了合法公开和公共利益这两种基础。在GDPR项下它则有比较多的获取和处理个人信息的法律基础，除了我们刚才讲到的知情同意，和公共利益之外，还可以因为履行合同，履行法定义务，或者是具有切身利益、具有合法利益等等原因来使用和处理个人信息。

同时，GDPR项下的信息主体的权利也比较广泛。在中国法下信息主体拥有知情同意权，可以更正、删除，可以要求注销账户，在GDPR项下除了这些之外，信息主体还拥有另外三项比较特殊的权利，第一是叫做携带权，就是信息主体有权利要求信息的处理方，将信息化和机器可读的格式传输给第三方，以便进行重复的利用。另外，还拥有限制处理权和拒绝权，也就是可以不要求删除，但是限制使用，并且要求数据处理人限期进行核实，看他是不是遵守了限期使用的要求，或者是拒绝把这些信息用于直销、政府使用等特殊目的。

另外，在跨境传输方面，中国法和GDPR之间也是有差别的，GDPR允许向达到欧盟保护标准的国家自由地进行传输。在集团公司内部，只要集团公司之间签署一个BCR，他们就可以在内部进行传输了。如果没有达到欧盟保护水平的国家怎么办呢？这个时候也是可以传输的，只是说需要签订标准合同的标准条款，对于数据进行保护。中国对于跨境传输采取了比较严格的规定，要求信息主体要同意，与信息接收方之间要签署合同，要保障信息的安全，同时进行安全评估和向政府进行申报，这个要求就使得我们在国内的这些企业，特别是一些跨国公司对于未来怎么样进行跨境数据传输就产生了比较大的挑战。

另外，在敏感信息的界定，和数据运营主体以及执法部门等方面两部法律也是有所不同的。

第四问：设备号是否受个人信息法规限制？

孙建钢：其实隐私和个人信息本身在现在的法律视野下是有所区别的。在这样的区分下，设备号本身被认为构成个人隐私的可能性不高。但是，他会比较容易被认为是个人信息的组成部分。为什么这么讲呢？无论是《民法典》还是网络安全法，他们对于个人信息的定义是能够单独，或者与其他信息相结合来识别个人身份的各种信息。

那么，我为什么说设备号不是隐私呢？因为它可能是一个印在设备上，或者某些设备电子化凭证中显示的。它本来不是被遮盖起来的，不是隐蔽的信息。但是它本身结合整个设备，无论是手机号还是一些其他的使用信息，可能就能识别它的设备持有人，或者是设备使用人的身份。如果是这样的情况，我们认为设备识别号倾向于容易构成个人信息，在这个条件下，它应该受到中国法律对于个人信息使用的规范，包括同意，包括规则的公开性，包括使用过程当中的合理性等。

回到这个问题本身，企业要有一份比较完整、翔实、透明的隐私政策和用户协议作为基础，这也是用户信息使用的核心环节，但并不是有了它，所有的数据使用都变成合规的，还要根据数据使用的场景来做最终的确认跟审核。

第六问：数据安全与数据隐私的区别是？

杨阳：大部分人在遇到具体问题时可能会混淆数据安全和数据隐私。其实这两块业务是相互关联，但又相互独立的。

但数据隐私合规是不一样的。隐私合规更多是审核个人数据在收集和使用过程当中是不是符合当地的法律，更多是为了保护消费者作为公民本身的隐私权，以及个人数据在使用过程当中的公开透明与合规性。数据隐私合规依据的法律更多是我们熟悉的欧洲的GDPR，加州的CCPA，以及我国的网安法等一系列法律法规。所以两者的法律基础也不一样。

在企业实践当中，负责的部门、承担的职责以及工作内容是不一样的，需要承担的标准、流程在制订过程当中也都是完全不一样的。比如说在我们公司内部有专门的团队专注数据安全，也有专门的律师团队专注数据隐私，他们是不同的。有了等保证书，只能说明这家公司的数据安全已经达到了国家认可的一定的级别，但是并不能代表它在整个的产品和服务当中使用的数据本身是合规的。这其实是两件事情。

第七问：数据加密是否意味着数据隐私合规？

杨阳：这个是真实数据业务中比较常见的问题。现行的法律在要求传输重要数据和个人敏感数据的时候，确实是强制性要求加密的。但是这个问题反过来并不代表加密完了数据隐私就合规了。目前法律规定，不仅仅是对隐私加密，还包括一些处理措施，比如对数据进行分级分类、去标签化，并且要在传输之前完成一定的安全评估等。对于一些特殊行业，比如医疗、金融行业所产生的数据，还有个人数据的跨境传输，这些比较特殊的点还是需要额外遵守一些法律法规的。

第八问：据说市面上有公司可以把手机号转成关联的设备号，这样存在何种风险？

孙建钢：我个人的观点是这种做法是有风险的。有以下几个理由，第一，个人的手机是属于个人信息，甚至有时候一定程度上构成隐私。前面也说过设备识别号结合其他信息是可以识别自然人身份的。所以从两个信息本身的属性上，我觉得是属于法律保护的范围的。

所以综上来看，不仅仅说有了手机号，在第三方搞了一个什么技术逆识别一下，就是突破别人的保护措施拿到数据就会被安全使用，我觉得这个风险还是存在的。

第九问：企业如何设置合规审核流程？

从数据进入我们的系统，一直到它出我们的系统，整个的数据使用流程当中，我们都是有严格审核的。比如我们从合作伙伴那里接收数据的时候，会提前对合作伙伴的数据做一个合规性审查，确认它的数据是没有问题的，我们才会以我们可以接受的方式来接收数据。我们内部对于所有的产品设计和流程设计都是有律师参与的，也就是整个产品在设计和开发的过程中就已经做完了合规性的审核。不仅是产品，其使用场景都是经过审核的。只有审核过后经过批准的场景才可以用于销售环节。所有的环节连接在一起，使我们的数据在从进到出的整个数据链条上都具备合规性。另外，我们每年在内部和外部都会做数据的审计，以确保每一年的数据在内部、外部都具备合规性。

第十问：对于企业的数据隐私保护，三位专家有什么建议？

傅永辉：我这里给大家几个建议。第一，从责任意识的角度出发，企业应当认识到用户把他们的个人信息交给你，是信任你的。企业要作为一个值得信任的保管人来保护用户的数据。保护的方法包括制订并且执行合理、合法的隐私政策，持续监控政策的执行、评估政策的有效性。如果发现了隐私漏洞，或者是违法、违规行为的话要尽快进行补救并且披露。

第二个建议是从透明的角度来讲，企业应当要公开隐私政策，然后充分透明的告知用户他们的数据是怎样被使用和处理的，并且遵守这个隐私政策。对于数据泄露的事件企业也是要及时去披露，并且采取补救的措施。

接下来还有一个建议，我们需要尊重用户的隐私控制权。就是说数据的主体是有一些权利的，比如说查询、更正、删除数据的权利，注销账户的权利等等，企业需要向用户提供行使这些权利的渠道。

最后一点建议，匿名数据传输不一定是安全的。不要因为是匿名数据就不进行保护，因为在很多情况下，匿名数据未必是不能识别特定个体的数据，也未必是不能复原的数据。这是我给大家的六点建议，谢谢。

杨阳：从企业内部的角度补充一些我的建议。从业务出发，建议企业能够在更早的阶段让你们的律师参与进来，因为其实从律师的角度来说，不管是做合规律师，还是传统律师，他们做的工作不是为了阻止业务的发展，而是在做业务、产品架构的同时，告诉业务部门怎样更合规，更好地设计这个流程。在整个流程按照合规要求设置好以后，并且在它能达到业务目标的前提下，后面的流程当中可能就不会出问题了。所以，改变原有思维，将审核尽早融入产品和业务流程，对于数据合规来说是比较重要的。

来自企业投稿

已有0人收藏

已有0人点赞

数据隐私合规十问，你关心的问题全在这了

五点有助于理解Google公告的重要说明

Google宣布他们将把技术重点放在群组联合学习（FLoC）上，而不再将其他标识符用于其程序化购买平台。