分享到微信

打开微信，点击底部的“发现”，
使用“扫一扫”即可将网页分享至朋友圈。

出海之道 | 从隐私保护及数据合规谈中国服务提供商构建“可信”服务之道

第一财经 2021-09-23 18:06:34

作者：安永EY 责编：张健

为了响应经济全球化和信息化的大环境，中国提出了“一带一路”倡议，全面深化改革，秉持加深区域合作的精神，促进实现自由开放的全球化合作共赢。在此背景下，越来越多的国内服务提供商开始展开出海行动，步入全球舞台。与此同时，近两年新冠疫情在全球范围内的爆发，亦推动了数字化服务及办公线上化的进程，但也增加了数据在多个区域间的交互传输，进一步引发了境内外社会各方对于服务提供商是否有效保护个人隐私数据和数据安全的担忧。如何保障自身所提供的对外服务具备充分的隐私及数据安全保护能力，成为了中国服务提供商在海外提供服务时急需考虑的重要问题。

一、前言

二、全球范围内隐私保护立法情况

自欧盟于2018年5月25日颁布《通用数据保护条例》（General Data Protection Regulation, 简称“GDPR”）以来, 隐私保护开始以前所未有的速度受到全球大部分国家和地区的广泛关注，各个国家都在结合自身差异化的文化背景和市场环境特征的基础上，逐步制定或完善适用于本国本地区居民的隐私数据保护法律法规要求。

2020年11月3日，美国加州通过了基于《加州消费者隐私法案》（California Consumer Privacy Act, 简称“CCPA”）补充修订的《加州隐私权法案》（California Privacy Rights Act, 简称“CPRA”）；新加坡通信信息部（Ministry of Communications and Information, 简称“MCI”）和个人数据保护协会（Personal Data Protection Commission, 简称“PDPC”）于2020年11月联合更新了已经出台8年之久的《个人数据保护法》（Personal Data Protection Act, 简称“PDPA”）；已于2020年9月18日生效的巴西的《通用数据保护法》（LEG Geralde Proteçãode Dados, 简称“LGPD”）也在2021年8月1日正式开始执行其惩罚和制裁条款。

与此同时，中国近期在隐私合规和个人信息保护领域也是频繁出手，继2017年6月1日正式施行《中华人民共和国网络安全法》（以下简称“《网安法》”）后，在2021年6月和8月举行的第十三届全国人民代表大会常务委员会第二十九和第三十次会议上先后通过了《中华人民共和国数据安全法》（以下简称“《数据安全法》”）和《中华人民共和国个人信息保护法》（以下简称“《个人信息保护法》”或“《个保法》”），正式宣告中国进入个人信息保护法治治理的新时代。

三、为应对海外隐私保护及数据安全合规要求，中国服务提供商必须考虑实施完善的内部控制体系

面对愈加复杂的外部合规监管要求以及用户诉求，身为服务提供方角色的服务商企业在支持自身业务发展过程中面临的潜在风险也在急剧增加。为了持续有效识别和应对产品在出海过程中出现的隐私保护及数据安全合规风险，同时深化落实自身隐私及数据安全保护举措，企业逐步意识到构建体系化的隐私及数据安全内部控制框架并确保持续有效执行内部控制体系的重要性，并相信这是提升自身产品在海外市场竞争力的重要手段。为了使充分且持续有效的安全防控能力及前瞻且全面高效的安全合规能力成为服务商企业的核心竞争力，企业必须从以下几个方面向客户、向市场、向服务的各个利益相关方充分展示和证明自己的隐私及数据安全保护的内部控制体系和能力：

1. 在内部隐私保护政策和组织架构层面

企业应关注自身隐私合规政策是否清晰定义，并包含一系列应遵循的隐私保护管理要求，如：数据保护官（Data Protection Officer, 以下简称“DPO”）的职责、保留数据处理活动记录、定义数据主体可以行使的权益、企业应遵循的告知义务、获取数据前得到数据主体同意的方式、企业须遵循的数据使用、保留及删除要求、企业在发生数据泄露事件时应建立的应急响应措施等内容。隐私合规政策在内部发布前须通过公司DPO或相关责任部门（如：隐私保护办公室、法务部门等）的审阅，以确保政策内容符合业务及业务所在国家和地区的法律及监管要求。

为保障内部隐私合规政策的贯彻落实，企业应构建包含制度发布、隐私培训、宣导及定期考核等在内的多种内部沟通渠道与方式，确保员工充分知晓自身须遵守的隐私保护控制要求并持续有效执行相关控制流程。

2. 在隐私保护风险管理层面

企业须具备一套隐私风险识别和评估机制，对个人信息安全和隐私保护相关的风险重要性等级进行定义，并明确在风险评估过程中应考虑的全部要求（如：如何确定本次风险评估的评估范围、针对所识别的风险进行重要性等级判定、针对不同等级的风险应如何制定风险应对措施等）。此外，公司应对自身可以承受的风险进行评估，并基于风险承受能力的评估结果明确在遇到不同级别风险时应采取的决策及响应处理流程要求。同时，应建立责任人机制，确保当风险被识别后，由指定责任人负责跟进处理，确保风险得以被及时响应。

3. 在隐私设计管理层面

企业应具备系统化的隐私需求评估机制，确保在产品服务需求设计与评估阶段将隐私合规要求纳入评审范围，并在产品功能正式上线前进行隐私合规评审，以确保产品功能可以符合公司对于隐私保护的要求（如：数据收集类型、使用场景是否符合隐私合规政策内约定的要求、数据收集是否满足最小化要求等）。同时应构建和使用系统化的集中式管理平台，对设计阶段识别的数据处理场景及数据处理、流转记录进行保存并执行事后定期审计工作，以确保这些产品设计阶段的隐私要求得以实现。对于建立的隐私需求评估机制及流程要求，公司应同步开展多样化的培训宣导活动，确保员工能够深入贯彻隐私设计的理念。

4. 在隐私数据处理合法性评估层面

企业应建立数据处理合法性的评估标准并在产品需求评审过程中设置强制的审核卡口，确保涉及收集、使用或披露个人数据的需求得以被及时评估，以符合隐私合规政策（如：敏感数据的直接或间接收集是否获取数据主体的明示同意、数据的收集是否具有适当的合法权益需求等）。尤其是针对涉及个性化推荐或营销的需求，应确保在消息发送前获取数据主体的独立确认，同时给予数据主体拒绝接收此类消息的权利。企业对于数据处理合法性的评估标准须经过法务团队或隐私保护专家的评估确认。

5. 在数据主体权益响应处理层面

企业应建立多样化的请求接收方式、响应处理流程及响应时限要求，确保数据主体可以随时行使自己的权益（如：访问权、纠正权、拒绝权、限制处理权及可携带权等），并可以在指定响应期间内予以满足。为实现处理来源于真实数据主体的请求，企业应建立强有效的身份校验机制，以对数据主体的身份进行准确识别。为确保可以及时实现数据主体所提请求，企业应部署一系列的技术手段予以支持，如：数据打标、数据删除或匿名化、限制数据处理等。此外，为保障数据主体请求的响应处理过程可被追溯，企业应构建信息系统以记录自接受请求、响应处理、至反馈的全过程。

6. 在合作方管理层面

企业应建立并实施合作方隐私管理及准入审核要求（如：明确可以向合作方进行数据披露的场景、数据类型及应采取的保护措施等），并通过签订数据处理协议等方式明确企业与合作方在隐私数据管理层面各自应承担的责任和义务。对于现有涉及隐私数据交互的合作方，企业应建立系统化的数据流转及处理管理机制，确保对现有合作方涉及数据收集的类型、处理目的、存储位置、已采取的安全保护措施及是否涉及数据跨境等维度的信息进行准确记录。

7. 在跨境数据传输管理层面

企业应具备强制性的系统审核卡口，确保对于涉及数据跨境的处理需求可以被及时识别并对其是否符合受影响两地现有的跨境数据保护要求予以确认。企业应同时构建技术性的监测手段，实现对异常数据跨境传输行为的识别并采取措施予以响应处理。此外，企业应建立定期评审措施，针对自身业务模式和业务形态的变化及时调整数据处理协议的条款要求，以确保企业在作为数据处理者或数据控制者参与数据跨境传输时采取的管理措施可以持续满足相关隐私法案的要求。

8. 在数据处理安全性及合规性层面

企业应从信息安全风险的角度出发，对所提供的产品在处理个人信息的过程中产生的涉及数据处理安全性及合规性的潜在安全风险进行识别。对于识别出的风险，企业应结合自身的风险承受能力、风险重要性水平及应遵循的法律法规要求制定数据处理策略及详细的安全应对措施（如：构建鉴权策略、采取数据加密/去标识化处理、定义数据保留周期、开发和部署数据删除工具并基于定义的删除策略进行数据销毁或匿名化处理等）。

9. 在隐私数据泄露事件响应处理层面

企业应具备体系化的隐私数据泄露事件的应对机制，包括对相关服务合作伙伴的管理要求：

- 建立严格的审查程序，确定事件是否属于需要向数据主体进行告知的类型；

- 当企业自身发生数据泄漏事件时，应采取的响应处理措施；

- 当企业的合作伙伴发生数据泄漏事件时，应向企业采取的告知机制及时限要求。

企业应在收到合作伙伴的通知后即时启动数据泄露的事件审查程序。

- 在企业确认发生了数据泄露事件后，对于监管机构和受影响的数据主体应选择采用的报告程序、报告时限及报告内容等要求。

企业应基于已建立的隐私数据泄露响应处理的体系要求，定期进行演练，以对现有数据泄露响应处理流程的适用性和有效性予以评估，针对演练中识别的缺陷应予以及时优化。

10. 在隐私审计监督层面

企业须建立完善的隐私保护审计机制，明确审计范围的评定标准，确定审计过程中所识别的问题的重要性水平、问题责任人及问题响应跟进处理机制。企业应至少每年执行一次隐私保护审计，对隐私保护内部控制体系的运行有效性进行检查，有条件的情况下可以构建信息系统，对审计过程中执行的审计程序、获取的证据资料及相关底稿进行统筹管理。

通过建立并有效运行完善的内部控制体系，企业可以更好地将隐私及数据安全保护融入自身的产品开发及服务运营中，并将其内化成核心竞争力。通过增强企业内部运营及安全人员的管理能力，加强多方合作，可以实现多元化的监督管控，保障企业服务安全合规能力的持续稳定输出。而所有的这些服务背后提供强有力支撑的体系和能力，都应该通过“可信”的形式对外输出和充分展示，从而使得企业在面向市场、面向客户的时候更加自信和有底气。

四、中国的服务提供商在出海时如何展现“可信”的服务

上述隐私及数据安全保护内部控制体系，如何使其变得更加透明可信，如何通过专业可信的方式得以展示，可以让客户放心选择公司提供的产品服务，是所有企业需要考量的关键问题。

为了可以更加直观和客观地向客户展示企业在隐私及数据安全管理方面的努力投入以及已建成的能力，让客户有更透明和可信的渠道获得这方面的信息，企业可以选择“自证”与“他证”相结合的方式，以更加透明化的模式让客户“信任”企业所提供的产品服务。

在“自证”方面，企业可以通过撰写隐私及安全合规白皮书，从总体层面综合阐述产品服务的技术架构和管理框架，分析可能存在的隐私及数据安全风险，明确在服务提供过程中企业与客户在隐私及数据保护方面的责任边界，同时基于已构建的隐私及数据安全内部控制体系，深入展示企业已经实施的管理控制措施。

在“他证”方面，企业可以选择市面上通用的涉及隐私保护或数据安全领域的认证或鉴证服务，通过获取认证证书或鉴证报告的方式，从第三方视角对企业实施的隐私及数据安全合规体系进行验证与评估。

1. 认证证书

其主要是由国家或者行业内认可的独立专业机构，基于对企业提供的产品服务，评定其是否符合适当服务标准、技术规范或者强制性要求的一种认证类型，在专业机构评估通过后会颁发一张由机构盖章的认证证书，以体现企业所提供的服务满足相关认证标准。常见的认证证书有：由国际标准化组织(International Organization for Standardization,简称“ISO”)制定的全球通用认证(如:ISO 27018, ISO 27701, ISO 29151等）；由PCI安全标准委员会（Payment Card Industry Security Standards Council, 简称“PCI SSC”）管理，针对支付行业的数据安全合规认证（PCI DSS）等。

2. 鉴证报告

其主要是由注册会计师针对被检查对象的产品服务，在公司环境、风险评估、沟通与交流、安全体系、数据管理、隐私保护、监控等方面的内部控制活动是否符合鉴证准则要求，并根据检查结果出具的一份详式的鉴证报告。通过阅读鉴证报告，客户可以清晰地了解企业已经构建的有关隐私和数据安全保护的内部控制举措，以及这些控制举措是否被恰当设计并持续有效地运行。针对检查过程中注册会计师所执行的检查步骤以及检查结果，鉴证报告均会予以详尽阐述。对于在检查过程中识别的任何控制缺陷，不论是控制设计层面还是执行层面的问题，注册会计师也会在鉴证报告内予以反映，以最大程度向报告读者展示充分的信息和客观公正的评价。

目前，越来越多来自不同行业领域的中国服务提供商，在海外市场拓展中通过获取鉴证报告的方式，向不同国家或地区的客户展示其安全可信的服务能力，该等鉴证报告囊括了企业就其产品或服务，围绕安全性、可用性、保密性及隐私性等要求所建立并实施的内部控制体系。常见的鉴证报告有：全球通用的体系与机构控制SOC（System and Organization Controls Report）报告；新加坡金融行业适用的OSPAR（Outsourced Service Provider Audit Report）鉴证报告；德国云计算行业适用的C5 （Cloud Computing Compliance Controls Catalog）鉴证报告等。

五、总结

随着市场全球化的逐步深化，以及国内企业出海需求的快速增长，隐私及数据安全保护相关议题正逐步受到公众的广泛关注。如何确保自身能够提供充分的隐私及数据安全保护能力以及如何更加透明地对外展示，是每个中国企业需要密切关注的重要课题。安永基于多年的隐私保护及数据安全管理咨询及鉴证审计经验，愿意携手企业在隐私及数据安全保护的道路上砥砺前行。