前言
在全面考虑处理个人信息的合法性基础的前提下,企业在布局个人信息处理的合规路径时,还需考虑内部合规调查中的特殊、边缘场景。在对内部调查进行场景化分析的基础上,针对各场景的特性,结合《个人信息保护法》的要求,对合规策略进行场景化的思考。
三、内部合规调查中的特殊场景分析
1. 举报场景下的个人信息处理
由于举报线索中所包含的信息难免涉及到个人信息,例如员工、客户、销售商、代理商等的姓名、名称、邮箱等,也有可能包含敏感个人信息,例如婚姻状况、消费记录等,甚至可能会附有即时通讯软件的聊天记录等。目前企业内部合规调查所涉及的举报并非《个人信息保护法》下的一个典型场景,因此,可供企业参考的有关举报的代表性规定包括欧洲数据保护监管机构(European Data Protection Supervisor)对于企业内部举报问题相关指引的规定。针对举报线索的管理,企业应当考虑在举报渠道的管理中,适度采取组织和技术上的措施,以保证这一场景下的个人信息能够得到妥善处理。实际上,第三方独立举报平台是一个有效隔离企业风险的选择。在第三方举报平台的管理中,企业作为第三方独立举报平台的采购方,需特别关注该平台是否配置隐私政策和数据主体响应途径,以确保企业从该平台所获数据的合法性。如果该平台的相关配置能够满足以个人同意为合法性基础的要求,则企业可以依赖该平台处理与举报相关的个人信息。在合法性基础之外,企业也同样需要与供应商签订数据保护协议明确约定双方数据保护义务,并关注举报平台的数据接收地的地理位置及所属司法管辖区的相关规定,避免存在数据跨境的合规风险。
2. 数据跨境中的个人信息处理
在企业内部调查这个场景下,企业的合规调查人员在考虑个人信息处理的要求前,还需要针对数据跨境进行场景化分析,可能存在的场景包括但不限于:
(1)对于跨国企业而言,难免会在内部调查中存在总部、子公司,子公司之间等场景下的数据交互。
(2)对于雇佣了境外律所的企业而言,他们会根据合规调查案件的具体需求,向律所提供与内部调查相关的资料,以使得律所了解案情并提供相应法律服务。
(3)对于涉及外国监管应对场景下的企业内部调查,不论是调查过程中,或是调查结束后,出于向监管机构进行自我披露或是配合外部监管调查的需求,企业可能会向相关监管机构提供相应文件。
针对场景一、场景二,企业需要梳理各具体场景,根据数据跨境的具体情况进行区分。例如,中国子公司/总部把个人信息传输给境外总部/子公司,适用中国个保法;境外子公司/总部把个人信息传输给中国总部/子公司,适用境外数据保护法;同时存在(1)和(2),适用中国个保法和境外数据保护法。在各法域下,分别考虑适用问题。而场景三因涉及到监管机构,特别是在涉及到海外监管机构的情形下,处理会比较复杂。
因此,企业在进行场景化的适用时,除考虑处理数据的合法性基础本身,还需考虑《个人信息保护法》对于数据跨境传输的相关规定。比如针对跨境传输的文件所涉及的个人信息问题,可以采取尽量简化证明材料,或者使用转述证据等方式对外提供,以减少或避免跨境传输个人信息;也可以考虑在不影响文件完整性的情况下,采取高度去标识化、屏蔽等方式隐去个人信息后传输。必要情况下,企业也需要注意《数据出境安全评估办法》等相关法律的规定,做好数据出境风险自评估、数据出境安全评估申报等工作。
3. 法律冲突下的个人信息处理
对于出海企业来说,在适用《个人信息保护法》的同时,可能需要考虑所开展业务的司法管辖区的法律规定,或者某些具有域外效力的法律法规的相关要求。在考虑不同司法管辖区的具体要求时,这些企业可能会发现,他们时常需要面对一些法律冲突的困境。
与《反海外腐败法》(Foreign Corrupt Practices Act,FCPA)相关的企业内部合规调查就是一个典型的示例。一般的FCPA案件调查中,基于获取证据的需求,调查人员可能会对涉案员工的工作邮箱等所保存的通讯记录,企业设备、系统所记载的数据等进行收集、分析等处理。在处理上述数据的过程中,可能会同时获取到,例如客户、合作伙伴、供应商等第三方的个人信息。在特定案件中,还可能会处理员工的敏感个人数据,例如银行账户、费用和报销记录,差旅期间的地理位置信息等。基于处理此类个人信息对FCPA案件调查的必要性,对于这些个人信息的处理,企业需考虑适用相应的合法性基础来进行处理。
企业也会发现,FCPA对于企业的要求在不断更新。2023年3月,更新后的《企业合规计划评估》(Evaluation of Corporate Compliance Programs)阐明了企业针对个人设备、通讯平台,以及消息应用程序所应采取的原则性要求。根据《企业合规计划评估》的要求,企业应当“根据企业的风险状况和具体业务需求进行定制,并确保在适当的情况下,在最大程度上,与业务相关的电子数据和通信可供企业访问和保存”[6]。结合该政策的具体要求,有FCPA风险考量的中国企业可能会发现,FCPA的语境下要求企业对员工的即时通讯软件等载体所承载的信息进行访问与保存,此要求可能会与《个人信息保护法》等相关法律产生潜在冲突。这对企业的数据合规政策提出了更高的挑战。
针对以上情况,企业在处理个人信息的全流程中,应当对信息进行分级分类管理。涉及到敏感信息、第三方个人信息的,需注意与内部调查的相关性。同时,为保证调查结果的公正性,在对风险进行了解及评估的前提下,企业可以设置一定的风险偏好,在具体调查案件中接受适度风险,以推进合规案件的调查进程。企业可以采取的具体策略包括:
(1)企业应当协同反商业贿赂合规、数据安全合规以及IT等相关部门的资源,对企业获取相关通讯的合法性、合理性途径予以设置及监控。
(2)在预算允许的情况下,企业可以考虑针对敏感岗位、关键岗位等相关人员提供业务专用设备,通过区分员工的生活设备和业务专用设备,避免员工个人隐私与业务信息的混淆。此外,还需在合规政策中针对该类业务专用设备的使用限制、记录保存、处理政策等作出进一步规定。
(3)在合规调查案件中,如果需要提取员工的个人信息,必须在事前单独获得员工的同意。同时,可以考虑聘请专业的第三方机构对电子设备中的员工个人信息进行技术处理,例如通过电脑镜像获取信息,或者采取关键词检索抽取案件所需证据。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
