2021-11-11 阅读次数: 978
《数据安全法》已于日前正式出台,并将于2021年9月1日起施行。这意味着,《数据安全法》将与《网络安全法》及即将面世的《个人信息保护法》(目前处于草案二审阶段)一起,共同构筑中国数据安全领域的法律框架,规范数字经济健康长远发展。
作为数字经济新业态中的重要组成部分之一,灵活用工行业的数据安全及合规管理问题十分严峻。基于其运营模式,灵活用工平台本身会收集大量个人数据(含个人敏感数据),若不对数据安全加以保护,将造成无法估量的影响。
对此,本文将在梳理灵活用工平台的数据全生命周期的基础上,总结灵活用工平台面临的数据安全及合规问题,为灵活用工平台提供数据合规路径与解法。
一、 灵活用工平台的数据全生命周期解析
(一) 灵活用工平台的数据全生命周期
随着灵活用工平台的进一步发展,其处理数据的场景会越来越多,也会越来越复杂。以某灵活用工平台为例,其目前已不仅仅满足于为用工企业及灵工人员提供结算功能,而是通过加载更多的增值服务来为灵活用工平台进行赋能,如为灵工人员提供保险服务、金融服务等等。此时,灵活用工平台不可避免地会涉及到与第三方保险服务商、金融服务商共享灵工人员的数据,若灵活用工平台未就该等数据共享规则向灵工人员进行说明并获得灵工人员的同意,或虽已获得灵工人员同意但在实际共享过程未遵照规则进行共享,则将会埋下数据安全隐患,亦涉嫌侵犯灵工人员的数据权益。
灵活用工平台在运营过程中通常会历经以下数据生命周期:(1)从最开始针对灵工人员的个人数据(含个人敏感数据)收集;(2)到将前述收集的用户数据传输至主管市场监督管理局及主管税务机关以完成工商登记、税务登记、申报纳税等事宜;(3)到存储数据以供后续数据的调用及大数据分析;(4)再到不同业务功能下的数据使用及共享;(5)直至最终应用户要求或在用户注销账号时进行数据删除或匿名化处理。具体而言,灵活用工平台的数据全生命周期如上图所示:
(二) 概念厘清:数据控制者和数据处理者
问题核心在于,灵活用工平台究竟属于数据控制者还是数据处理者?
根据欧盟出台的《通用数据保护条例》(General Data Protection Regulation,下称“《GDPR》”),数据控制者与数据处理者的主要区别在于是否决定了个人数据的使用目的和处理方式。
对于灵活用工平台而言,在总包模式下(非仅为结算资金而采取的“假总包”模式),用工企业、灵活用工平台及灵工人员是背靠背签署协议,用工企业与灵工人员之间并无直接法律关系,其无法直接控制灵工人员;而灵活用工平台作为直接与灵工人员发生法律关系的一方,对于灵工人员的数据享有控制权,能够直接决定数据的使用目的及处理方式,因此,在总包模式项下,灵活用工平台属于“数据控制者”。
但在撮合模式下,灵活用工平台仅撮合用工企业与灵工人员之间建立合作关系,不实质参与到业务承揽过程,其仅系根据用工企业的要求及指示处理灵工人员的数据,因此,在撮合模式下,灵活用工平台属“数据处理者”。
然而在中国,无论是已经出台的《数据安全法》还是尚在审议阶段的《个人信息保护法(草案)》,其均未区分数据控制者与处理者,而是笼统表述为“开展数据处理活动的组织、个人”/“个人信息处理者”。这在某种程度上拔高了《GDPR》语境下的“数据处理者”所需承担的责任及义务。实践中有大量的数据处理者无法实现数据控制者身份下的数据保护,同时因为模糊了数据处理者和控制者的界定,让两者无法得到有效合规边界指引。而欧盟作为GDPR规则的配套文件,专门出台了数据控制者与数据处理者的白皮书,将两者明确区分之后配以不同的监管要求。
在现阶段,国内尚无其他配套文件解释说明的情况下,本着“就高不就低”的原则,建议灵活用工以“数据控制者”的身份严格要求自己,落实好数据全生命周期项下各个环节的数据安全,本文亦以灵活用工平台作为“数据控制者”的身份予以展开。
因此,灵工平台作为数据处理者,应当按照《个人信息保护法(草案)》中规定的数据处理原则开展数据处理活动,该原则与欧盟GDPR中的数据控制者数据处理的七大原则高度一致,具体包括:1、合法、公平、透明;2、目的限制;3、数据最小化;4、存储限制;5、准确性;6、完整性和机密性;7、问责制。
二、 灵活用工平台主要面临数据安全及合规问题
由于灵活用工行业仍处于高速发展阶段,灵活用工平台对平台数据安全并未予以足够重视。虽然天津市市场监督管理委员出台了首个针对灵活用工平台的数据安全地方标准(2021年1月15日实施的《共享经济灵活就业人员管理与服务平台基本安全要求》),但该地标对平台数据安全问题约定得较为简单和笼统,对于灵活用工平台的指导意义不强,大部分灵活用工平台在数据全生命周期,基本没有遵循个人数据保护的基本原则,数据合规问题存在严峻挑战。
具体而言,灵活用工平台主要面临的数据安全及合规问题如下:
(一) 数据收集:未经明示同意收集或过度收集灵工人员个人数据
目前,虽然绝大多数灵活用工平台都会公示相关的用户注册协议及隐私政策,但基本都是简单借鉴各大平台的协议,并未重视隐私政策所公示内容的完整性、精确性及合规性。如部分灵活用工平台未根据自身平台功能设置对应的数据收集使用规则,或在未经用户同意隐私政策前就开始收集、上传个人数据,以至于隐私政策形同虚设。
此外,部分灵活用工平台还存在过度收集个人数据的情形。国家互联网信息办公室、工业和信息化部、公安部及国家市场监督管理总局出台的《常见类型移动互联网应用程序必要个人信息范围规定》明确移动互联网应用程序运营者不得因用户不同意收集非必要个人数据,而拒绝用户使用基本功能服务。然而在实践中,大量灵活用工平台APP或微信小程序收集的个人数据与其实现的产品功能并没有明确关联,甚至明显超出合理范围。如在灵工人员的身份验证环节,收集灵工人员的手机号码、验证码、姓名、身份证号码等数据是必要的,但是强制要求灵工人员提供人脸验证视频信息,则明显超出数据搜集的最小必要原则,构成过度收集个人数据的行为。
(二) 数据传输:未采用加密等安全措施传输数据
当灵活用工平台收集到灵工人员的个人数据,将基于不同的运营模式将数据传输至其他第三方,但针对数据传输过程并未完全采用机密等安全措施。如在灵活用工个体工商户模式下,灵工平台往往会与当地工商注册登记平台IT对接,将灵工人员批量注册个体工商户所需要的个人数据进行传输,但未采取加密等保护措施。在此过程中,容易出现数据泄露、丢失等情形。
(三) 数据存储:未明确存储地点及存储期限,亦未实现分级存储
为了便于后续数据调用及大数据分析,灵活用工平台往往会存储部分灵工人员用户数据,但并未明确数据存储地点(如是否存在跨境运输)及存储期限,以及超期限后的数据处理规则。
同时,在数据存储方面,灵活用工平台并未完全实现数据的分级、分类管理,未针对数据分类分级结果采取不同的数据存储策略,针对个人敏感数据亦未实现加密存储等。
(四) 数据使用:超范围使用灵工人员个人数据
实践中,灵活用工平台还存在未在平台隐私政策约定的范围内使用灵工人员个人数据的行为,且并未就此行为再次征得灵工人员的明示同意。如隐私政策中明确身份证数据仅用于平台基础业务功能,但灵活用工平台却将该等数据用于平台增值业务功能(如用于保险服务),则构成超范围使用灵工人员个人信息的行为。
(五) 数据共享:共享规则不清晰
实践中,灵工平台的法律组织特点是多主体集团公司形态,数据采集主体和数据处理主体往往不一致,因此涉及到数据转移和数据共享的问题。
其次,灵工平台涉及的外部数据共享场景很多,包括基于监管需求与政务部门进行共享、基于增值服务赋能与第三方服务商进行共享、基于内部运营需求在关联公司间进行共享。
然而,不少灵工平台并未向灵工人员和外部第三方等合作机构明确数据共享目的及共享规则,或虽然明确但实际并未与数据共享方共同遵守该共享规则,导致个人数据被擅自共享。
(六) 数据删除:未设置删除路径,亦未实现匿名化处理
通常,当灵工人员要求、灵工人员注销账户或灵活用工平台停止运营时,灵活用工平台应当删除或匿名化处理灵工人员的个人数据。
但绝大部分灵活用工平台并未设置灵工人员可以自主选择删除其个人数据的路径;即便灵工人员已注销账户,其此前被收集的个人数据仍留存与灵活用工平台之内,亦未能实现匿名化处理。
随着灵活用工行业的发展,与数据相关的处理行为和功能会逐渐增多,自动化画像推送问题、数据融合问题、数据迁移等问题会不断涌现,平台所面临的数据安全责任和压力以及合规要求都将不断增加。
三、 灵活用工平台数据合规路径与解法
灵活用工平台只需要落实开展个人信息安全评估的关键环节,并把握住隐私政策这一重要抓手,即可基本建立灵活用工平台自身的数据合规体系框架。
(一) 关键环节:开展个人信息安全评估
开展个人信息安全评估是建立数据合规体系的关键环节。《GDPR》中规定,当某种类型的数据处理(特别是适用新技术进行的处理)很可能会对自然人的权利与自由带来高风险时,在考虑处理性质、范围、语境与目的后,数据控制者应当在处理之前评估该进程对个人数据保护的影响,即数据保护影响评估(DPIA: Data Protection Impact Assessment);而《数据安全法》亦规定,重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。目前“重要数据”的范围尚未厘清,相信未来将会出台配套文件对“重要数据”做进一步解释说明,灵活用工平台的数据评估路径将更为清晰。
而根据《个人信息保护法(草案)》,个人信息处理者应当对下列个人信息处理活动在事前进行风险评估,并对处理情况进行记录:(1)处理敏感个人信息;(2)利用个人信息进行自动化决策;(3)委托处理个人信息、向第三方提供个人信息、公开个人信息;(4)向境外提供个人信息;(5)其他对个人有重大影响的个人信息处理活动。
从上述境内外规定中可以看出,对于灵活用工平台而言,其定期开展个人信息安全影响评估是必要且重要的。
一方面,开展个人信息安全评估可以规范灵活用工平台日常经营活动,及时识别风险及保护措施的漏洞,减少管理及合规成本;同时个人信息安全评估报告可以帮助灵工人员了解其个人信息将如何被处置及保护,保障其对于个人数据的知情权,避免针对其个人数据进行的高风险数据处理行为。
而另一方面,个人信息安全评估在灵活用工平台被有关主管部门事后监管和调查过程中也发挥着重要参考作用,甚至会将作为其处罚的裁量要素。
虽然目前市面上有不少价格不菲的个人信息安全评估产品,但实际内容较为粗糙、流于形式。有些评估产品出具的检测清单中,忽略了针对平台搜集数据时是否基于其提供的业务场景而遵循了最小必要原则进行检测;对于儿童用户等特殊用户也未设置专门的检测路径。使用这类评估产品,对灵活用工平台而言并无太大意义。
因此,建议灵活用工平台委托专业的外部第三方机构(如律师事务所、安全技术机构、咨询公司等)进行独立且专业的评估,且在购买评估产品服务时,重点考察其评估流程中是否包含评估“平台功能描述与搜集的最小必要数据是否匹配”以及“隐私政策与系统功能是否一致”这两大问题,以此判断该评估产品的专业性。
(二) 重要抓手:写好、用好隐私政策
隐私政策是灵活用工平台对外展示自身数据安全及合规路径的重要抓手。从实用角度而言,不合格的隐私政策将导致灵活用工平台面临被下架的风险。因此,一份隐私政策的重要性不言而喻。灵活用工平台应当把握以下要点:
第一,列明不同业务功能下个人信息收集使用规则。灵活用工平台应当在隐私政策中明确业务功能的具体内容、对应搜集的必要个人数据范围及对应的服务以及可以自主选择提供的数据范围,使得灵工人员清楚个人数据的收集使用规则。
第二,明确数据共享等处理规则。灵活用工平台应当在隐私政策中明确其共享个人数据的类型(尤其是个人敏感数据的类型),数据共享的目的,数据共享方的类型,数据共享方的身份和数据安全能力,以及可能产生的后果等等。
第三,明确平台数据安全保护措施。灵活用工平台应当在隐私政策中列明其已采取的数据安全保护措施(如上文提及的个人数据安全评估及其他安全防护措施等),及其已取得的数据安全认证(如三级等保、ISO27001认证等等)。
第四,明确灵工人员就其个人数据享有的权利。灵活用工平台应当在隐私政策中列明灵工人员享有的访问、更正、删除、改变/撤回同意范围,获取个人数据副本等权利具体内容以及实现路径,以保护灵工人员的权利不受侵害。
隐私政策中包括数据全生命周期的规则及制度,对外呈现的是平台对于个人数据的保护实践,如果隐私政策与系统实践不一致,灵活用工平台终究还是会自食恶果,承担相应数据违规风险。因此,灵活用工平台应当根据隐私政策设定的规则,及时调整系统功能并确保与之相匹配,完成“实质上的合规”。
四、 结语
合规建议的起点在于个人信息安全影响评估,要点的把握在于隐私政策,最终建立数据安全保护体系。若灵活用工平台能够真正落实开展个人信息安全评估的关键环节,有效识别专业的第三方评估机构并与之开展独立的个人信息安全评估工作;同时把握住隐私政策这一重要抓手,写好、用好隐私政策,使得系统功能与隐私政策相匹配,则能够建立平台数据合规的基础框架,构建起灵工平台的数据合规保护体系。
对于灵活用工平台而言,数据是其进一步发展的重要基石,当平台上合法有效留存的数据沉淀为数字资产,将实现对于灵工人员个人及灵活用工平台本身的价值赋能,有助于灵活用工平台打造整个业务体系的数字链闭环。因此,灵活用工平台应当重视数据安全及合规所创造的价值,依法高效运用及保护平台数据。