律師對(duì)話(huà)上上簽：電子簽名平臺(tái)與《個(gè)保法》合規(guī)要求

　　《個(gè)人信息保護(hù)法》已經(jīng)在8月份出臺(tái)，電子簽名平臺(tái)作為第三方中立平臺(tái)，如何幫助企業(yè)更好地滿(mǎn)足合規(guī)要求?近期，上上簽邀請(qǐng)了世輝律師事務(wù)所合伙人王新銳進(jìn)行了解讀。

　　1. 上上簽電子簽約：據(jù)了解，之前有《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》，現(xiàn)在的《個(gè)人信息保護(hù)法》相比之前這些法律有哪些特色制度？

　　王新銳律師：之前已經(jīng)有了很多關(guān)于個(gè)人信息保護(hù)的法律規(guī)定，相對(duì)而言，《個(gè)人信息保護(hù)法》在制度上有一些創(chuàng)新或者豐富。

　　(1)法律基礎(chǔ)變得更加豐富

　　之前我們?cè)谔幚韨€(gè)人信息的法律基礎(chǔ)上，只有“知情同意”一個(gè)基礎(chǔ)。

　　而我們?cè)谇懊嫣岬接嘘P(guān)個(gè)人信息保護(hù)的場(chǎng)景非常豐富，如果只依賴(lài)“同意”的方式，可能還是會(huì)有一定的矛盾。

　　所以我們?cè)诶锩嬖鲈O(shè)了合同、公共利益、新聞媒體監(jiān)督，類(lèi)似這樣的一些合法性基礎(chǔ)。

　　(2)從同意的角度著手，也是目前世界范圍內(nèi)個(gè)人信息保護(hù)的主要基礎(chǔ)

　　但只是同意還不夠，這一次在同意的基礎(chǔ)上進(jìn)行了豐富，提到了“單獨(dú)同意”的概念。

　　“單獨(dú)同意”也會(huì)對(duì)企業(yè)的合規(guī)帶來(lái)很大的影響。

　　再有，《個(gè)人信息保護(hù)法》對(duì)自動(dòng)化決策和一些新技術(shù)進(jìn)行了一些回應(yīng)。我們將涉及所有跟個(gè)人信息合規(guī)的一些業(yè)界實(shí)踐，包括一些域外立法的經(jīng)驗(yàn)進(jìn)行了匯總。比如增加了對(duì)數(shù)據(jù)進(jìn)行分級(jí)分類(lèi)和事前風(fēng)險(xiǎn)評(píng)估的要求、對(duì)數(shù)據(jù)跨境前需要履行的義務(wù)的要求等等。

　　這樣可以看到相比之前，《個(gè)人信息保護(hù)法》出臺(tái)之后，制度上覆蓋地更加全面。

　　當(dāng)然對(duì)于企業(yè)而言，也要理解個(gè)人信息合規(guī)工作不是一個(gè)一勞永逸的事情，而是一個(gè)可持續(xù)的過(guò)程，這意味著需要企業(yè)不斷努力去履行這些制度帶來(lái)的合規(guī)義務(wù)。

　　而且在某種程度上，個(gè)人信息保護(hù)的合規(guī)跟合法不完全是一回事。合規(guī)的過(guò)程離不開(kāi)企業(yè)在技術(shù)和制度上的持續(xù)投入，并不是非黑即白。

　　當(dāng)然什么叫做違法，有時(shí)是清楚的。但什么叫合規(guī)、違規(guī)，其中是有一定的界限，需要企業(yè)自身去證明。

　　2. 上上簽電子簽約：您剛才提到企業(yè)一定要做到留痕，以及數(shù)據(jù)的安全存儲(chǔ)?，F(xiàn)在很多企業(yè)想借助電子簽名，由一個(gè)獨(dú)立第三方提供留痕、中立性的證據(jù)。

　　電子簽名平臺(tái)作為第三方中立平臺(tái)，怎么做能夠更好地滿(mǎn)足《個(gè)人信息保護(hù)法》的合規(guī)要求？

　　王新銳律師：《個(gè)人信息保護(hù)法》出臺(tái)之后，我們也跟一些客戶(hù)做了討論，比如“單獨(dú)同意”不僅僅是一個(gè)同意本身的過(guò)程，還需要對(duì)同意進(jìn)行記錄。

　　可以看到這次《個(gè)人信息保護(hù)法》帶來(lái)的一個(gè)變化是確立了過(guò)錯(cuò)推定責(zé)任，也就是要求企業(yè)在面對(duì)一些個(gè)人信息風(fēng)險(xiǎn)事件時(shí)，要自證清白。

　　如果企業(yè)要證明自己沒(méi)有做錯(cuò)事情，就需要企業(yè)全程留痕，然后能夠舉證。電子簽約平臺(tái)的一個(gè)價(jià)值也在于此，它可以幫助企業(yè)在整個(gè)過(guò)程實(shí)時(shí)留痕，比如對(duì)同意、單獨(dú)同意怎么獲得的做留痕，或?qū)γ嫦騿T工做的一些通知?jiǎng)幼髯隽艉?，后續(xù)，如果員工或者公司要去查詢(xún)電子合同，公證信息，相對(duì)來(lái)說(shuō)電子簽名平臺(tái)是可以實(shí)現(xiàn)的，這也是電子簽名廠(chǎng)商能夠給企業(yè)帶來(lái)的價(jià)值。

　　但另外一方面，因?yàn)殡娮雍灻麖S(chǎng)商服務(wù)了很多客戶(hù)，就要考慮內(nèi)部的控制，內(nèi)部的訪(fǎng)問(wèn)權(quán)限設(shè)置的問(wèn)題，比如需要對(duì)這些數(shù)據(jù)內(nèi)部進(jìn)行隔離。

　　

　　上上簽電子簽約：關(guān)于這些，上上簽內(nèi)部是有一整套完善的安全機(jī)制和流程的。我們內(nèi)部的一些運(yùn)維人員，是沒(méi)辦法直接接觸這些數(shù)據(jù)的。

　　同時(shí)我們把產(chǎn)品提供給外面的企業(yè)客戶(hù)或者個(gè)人客戶(hù)時(shí)，也要進(jìn)行初次的告知，告知要采集哪些信息，一般我們都是采集最小信息，只要完成實(shí)名認(rèn)證就可以。

　　后續(xù)采集這些最小信息，用于什么方面，都會(huì)有告知說(shuō)明，尤其在采用面部識(shí)別的時(shí)候，這種屬于特別隱私的數(shù)據(jù)，我們還會(huì)有一個(gè)單獨(dú)告知的說(shuō)明。

　　3. 上上簽電子簽約：此外，您覺(jué)得第三方電子簽名服務(wù)商還需要做哪些能夠更加完善？

　　王新銳律師：在《個(gè)人信息保護(hù)法》出臺(tái)之后，所有大型公司的產(chǎn)品都需要根據(jù)其進(jìn)行一些調(diào)整。

　　這種調(diào)整一是要跟合規(guī)義務(wù)對(duì)齊，我覺(jué)得現(xiàn)在已經(jīng)在做的一些方案、技術(shù)手段，肯定之前也都能夠被證明是有效的。在《個(gè)人信息保護(hù)法》出臺(tái)之后，企業(yè)需要捋一遍所有提供“告知—同意”的環(huán)節(jié)，是否跟法律要求是一致的。

　　另外企業(yè)內(nèi)部需要做數(shù)據(jù)的分級(jí)分類(lèi)，我看到很多企業(yè)目前還沒(méi)有完全做到位。原因很簡(jiǎn)單，之前法律沒(méi)有強(qiáng)制性的規(guī)定，但是在企業(yè)做數(shù)據(jù)分級(jí)分類(lèi)之后，才能把數(shù)據(jù)做區(qū)分，比如區(qū)分為個(gè)人信息、敏感個(gè)人信息。甚至?xí)^(qū)分出可能有一部分信息不只是個(gè)人信息，還屬于重要數(shù)據(jù)。企業(yè)需要通過(guò)這樣的方式，才能確定該以何種方式去處理哪些類(lèi)型的數(shù)據(jù)，或者在哪些情況下的數(shù)據(jù)處理是受到限制的。

　　如同王新銳律師與上上簽的對(duì)話(huà)，《個(gè)人信息保護(hù)法》出臺(tái)后，企業(yè)在選擇電子簽名供應(yīng)商時(shí)，會(huì)更加考慮個(gè)人信息安全保護(hù)的合規(guī)要求，第三方科技服務(wù)商因此需要更加關(guān)注相關(guān)細(xì)節(jié)，幫助企業(yè)規(guī)避潛在風(fēng)險(xiǎn)。

特別提醒：本網(wǎng)信息來(lái)自于互聯(lián)網(wǎng)，目的在于傳遞更多信息，并不代表本網(wǎng)贊同其觀(guān)點(diǎn)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。本站不承擔(dān)此類(lèi)作品侵權(quán)行為的直接責(zé)任及連帶責(zé)任。如若本網(wǎng)有任何內(nèi)容侵犯您的權(quán)益，請(qǐng)及時(shí)聯(lián)系我們，本站將會(huì)在24小時(shí)內(nèi)處理完畢。