受邀于上海市企业法律顾问协会,本所合伙人、国际业务部负责人袁颖律师作为任课老师于2019年11月21日参加了上海银行总行“法律风险管理能力提升特训营”,就“银行跨境业务法律风险防范”专题进行分享和探讨。
讲座主要分为两个部分,第一部分为跨境并购信贷业务中的法律风险,第二部分为跨境业务数据保护合规。本文系对讲座第二部分跨境业务数据合规内容的归纳整理。
2
跨境业务数据保护监管的三个层次
跨境业务在此指我国向外国消费者提供商业服务;以金融机构为例,其一般商业服务类型基本包括两类:一是在境外为境外消费者提供服务,如在当地建立经营实体,或借助网络、通过手机银行apps、小程序,提供针对境外消费者的服务或产品;一是在我国境内为入境的境外消费者提供专属的商业服务。
在这两类服务中,基本都会涉及到三层监管法律规范的适用:
(1)我国法律规范,包括《网络安全法》、《电子商务法》、《消费者权益保护法》,一些虽不具有强制力、但实际上被监管部门适用的国家推荐标准,如GB/T 35273,以及针对apps的《App违法违规收集使用个人信息自评估指南》等文件;
(2)境外法律规范,即服务当地国数据保护的法律规范,如欧盟《通用数据保护条例》General Data Protection Regulation (“GDPR”)、2018年6月28日 美国加利福尼亚州 《2018年加州消费者隐私法案》The California Consumer Privacy Act of 2018(“CCPA”);
(3)出境法律规范,既外国消费者入境中国应遵循的当地数据出境法律规范,如欧盟GDPR第5章的规定。
根据数据保护监管的三个层次,跨境业务数据合规也应当包括三个层次。
2
境内合规
在我国现行的法律规范、各种部门规章(包括意见稿)、各种相关国家推荐标准(包括意见稿)的规定来看,企业的境内数据保护合规,主要包括以下几个方面:
(8)网络安全等级保护和关键信息基础设施合规:我国《网络安全法》第21条规定,“国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改”;第35条规定,“关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查”。值得注意的是,一些网络安全等级保护的新国家推荐标准(被称为等保2.0),如GB/T 25070-2019、GB/T 22239-2019、GB/T 28448-2019刚于2019年12月1日实施。
2
境外合规
从体系上看,企业境外数据保护合规的要素与境内合规的要素是相类似的。虽然国外没有我国的网络安全等级保护制度,但在关键信息基础设施上,欧盟和美国都制定了特别的规范,即欧盟2016年的《网络和信息体系指令》(NIS Directive)、美国2002年《国土安全法》、2013年第21号总统令。但与境内合规相比,境外数据保护监管呈现出以下特点:
(1)监管更严格:以欧盟对银行的执法案例来说明:a) 德国某银行未经授权使用所有前客户的个人数据——用于黑名单管理,柏林数据保护局认为,这种做法将侵犯到没有涉嫌洗钱的客户的个人数据权利,并作出5万欧元的处罚决定。b)匈牙利监管部门对一家金融机构处以3,200欧元的罚款,理由是该公司拒绝客户要求其删除电话号码的请求,该公司虽然辩称是保留该客户的电话号码对客户进行债务索偿符合公司的合法利益,但监管部门认为客户的电话号码对于催收债务不是必需的,因为债权人也可以通过邮寄方式与债务人进行通信。c) UNIcredit银行非采取适当的技术措施保障数据安全,内外部交易中337,042个数据主体的身份信息和地址在网上被泄露,被处以13万欧元的罚款。
(2)处罚更严重。依欧盟的GDPR,可处以企业罚款额度最高为2000万欧元或全球营收的4%,2019年7月,英国航空公司、万豪酒店因数据泄露分别被处以2.04亿、1.1亿欧元的罚款;2019年3月,因侵犯儿童隐私,国际版抖音被美国处罚570万美元,而在2019年7月,因脸书滥用用户数据被美国联邦贸易委员会罚款56亿美元。
(3)长臂管辖:无论是依据欧盟的GDPR,还是依据美国加州的CCPA,都是以效果原则、而不是以属地原则来确认其管辖范围。依效果原则,数据保护监管法规的适用是以企业的数据处理活动在当地产生影响为基础的,进而摆脱了属地原则的居民标准限制。
2
出境合规
企业出境合规的成本与其提供跨境服务国家的国家政策密切相关。在数据出境方面,美国为鼓励商业而采取了较自由的态度;与之相反,欧盟GDPR则采取了较严格的态度。鉴于GDPR在世界范围的影响力,可以预见,其他国家在数据出境的态度将受GDPR规定的影响。
依照GDPR的相关规定,个人信息出境时,企业之间需签订欧盟专门订做的标准合同条款,确认各方业务;或者企业制定有明确的内部规则,该规则经监管当局评估审核合格;或者个人信息输出的国家是欧盟认定的白名单国家(安道尔、阿根廷、加拿大、法罗群岛、根西岛、以色列、马恩岛、日本、泽西岛、新西兰、瑞士、乌拉圭)。
2
隐私政策合规要点
隐私政策是企业主动向消费者披露信息的流程,是消费者行使信息权、企业履行信息义务的具体表现。举例手机银行app隐私政策中向消费者告知收集信息的内容来看,具体有如下要求:
评估点 | App违法违规收集使用个人信息自评估指南 | GDPR | CCPA |
列举其收集的所有个人信息种类 | √ (每个业务功能在说明其所收集的个人信息类型时,应在隐私政策中逐项列举,不应使用“等、例如”等方式概括说明) | √ | √ |
列举每项被收集的个人信息所对应的目的/业务功能 | √(对每个业务功能都应说明其所收集的个人信息类型,不应出现多个业务功能对应一类个人信息的情况) | √ | √ |
说明每项信息被收集的合法性基础 | √ (处理将要涉及到的个人数据的目的,以及处理的法律基础) | ||
说明每项个人信息存贮的期限或确定期限的标准 | √ (个人数据将被储存的期限,以及确定此期限的标准;) | ||
明确哪些是与第三方共享有的个人信息 | √(如果存在个人信息对外共享、转让、公开披露等情况,隐私政策中应明确一下内容:1、对外共享、转让、公开披露个人信息的目的;2、涉及的个人信息类型;3、接受方类型或身份) | √ | √ |
6、个人敏感信息的处理方式 | √ (隐私政策应对个人敏感信息类型进行显著标识) | √ (隐私政策须声明:除非取得用户的明示同意,否则不能处理个人敏感信息) | √(隐私政策须声明:个人敏感信息的取得保证得到一个更严格的授权过程) |
从隐私政策仅是数据合规浅层次的要求来看,银行在从事跨境业务时需要紧扣合规要点,跟进境内外数据保护新规范要求,做到完全的三层次数据合规。
作者
联系方式:
袁颖律师 anne.yuan@boss-young.com
胡峰律师 feng.hu@boss-young.com
往
期
回
顾
长按下图识别二维码关注我们
© 上海邦信阳中建中汇律师事务所
本文仅作为交流学习之目的使用,文中观点不代表本所立场,亦非作者的正式法律意见。本文系邦信阳中建中汇律师原创文章,转载请完整注明作者信息及出处。
点击“阅读原文”,登录邦信阳中建中汇官网了解更多资讯