消费者个人信息的数据安全和隐私保护合规攻略

文│ 北京德和衡（上海）律师事务所 陈国彧

一、消费者数据安全和隐私保护是中国物联网企业出海的必修课

当前中国企业出海的大环境日益严峻，特别是针对智能物联网企业、互联网企业对消费者个人信息的数据安全和隐私保护的质疑声浪日渐高涨。最近，印度查封了59款中国App；美国的“净网”行动以及特朗普政府针对抖音海外版TikTok、微信的禁令，在政治和意识形态导向的背后，人为给中国企业设置出海标准的意图已是板上钉钉。中国企业出海要考量不同地区有不同的法律、立场、利益、制度和文化，在世界各国日益重视高科技产品的数据和隐私保护的今天，必须充分重视物联网产品的消费者个人信息的数据安全和隐私保护问题。

二、主要市场的物联网产品数据合规的法律

物联网技术不可避免会有大量重要和个人数据的交换和分析。消费者在享受物联网产品的便利化、智能化的同时也在日益担心企业和个人数据的安全与个人隐私保护。

欧洲和美国是中国物联网产品出海的主要销售地。中国企业出海必须熟悉当地的法律法规，特别是一些敏感健康数据产品例如健康穿戴产品、基因产品等的准入规则以及认证。

1. 欧盟“一般数据保护条例”（GDPR）

2018年5月25日，GDPR正式实施后对个人数据保护树立新的法律标准和合规要求。近两年来，全球各国都在参照GDPR加强本国的数据立法。由此而来，针对企业也产生了新的合规要求：内部组织机构变革 （DPO）、外部和内部审计（供应商、客户的新合规要求）、内部文件和外部文件的合规（制度、合同、隐私政策等）、系统硬件和物理安全要求（特别是脱敏和匿名化）、内部GDPR内训和测试。

2. 美国《加州消费者隐私法案》（CCPA）

2020年1月1日，美国《加州消费者隐私法案》（CCPA）正式生效，促使企业改善用户数据的处理模式，其一大特点即为惩罚性赔偿的金额高昂，号称为最“贵”的数据保护法。

CCPA秉持着偏向消费者的立场，侧重规范数据的商业化利用。对于数据的使用“原则上允许，有条件禁止”。从适用对象上看，CCPA 约束的是处理加州居民个人数据的营利性实体。同时，CCPA也对州外企业的违法行为产生法律效力，即公司在加州没有办公室或雇员，但在加州做生意也可能受CCPA约束。

此外，CCPA中还有许多细分行业的立法，例如金融领域中的《金融隐私权法案》（RFPA）对银行雇员披露金融记录及联邦立法机构获得个人金融记录的方式进行限制；医疗领域中的《健康保险隐私及责任法案》（HIPAA）规定了个人健康信息只能被特定的、法案中明确的主体使用并披露，个人可以控制了解其本人的健康信息，但要遵循一定程序标准；消费者信用领域的《公平信用报告法》规定了消费者个人对信用调查报告的权利，规范消费者信用调查/报告机构对于报告的制作、传播、对违约记录的处理等事项，明确消费者信用调查机构的经营方式等。

综上，无论是GDPR还是CCPA此类新法规体系在欧美的适用，不仅对中国企业，对其他拟进入这个市场的企业一致提出新的准入法规要求。我们的物联网出海企业必须适应新的商业规则，修好这门数据合规和隐私保护必修课。

三、物联网企业出海数据合规攻略

在物联网企业的行业特点和风险全面判断的基础上，结合数据合规的实务经验，我们建议物联网出海企业在以下几个方面加强数据合规体系，持续维持并达到销售地市场对数据合规和隐私保护的最低标准。

1. 中国企业必须重视消费者个人信息安全和隐私保护问题

GDPR对一般违法的处罚上限为该企业上一年度全球收入的2%或1000万欧元（适用高者）；对严重违法的处罚上限为该企业上一年度全球收入的4%或2000万欧元（适用高者）。截至2020年5月，违反GDPR案件已经达到234起，罚款总额为467476268欧元。

主要违法事由包括：数据处理的法律依据不足、没有足够的技术和组织措施来确保信息安全、不符合一般数据处理原则、没有充分保障数据主体的权利、未充分履行信息义务、与监管部门合作不足、未充分履行数据泄露通知义务、没有委任数据保护官、数据处理协议不充分等。

2020年2月18日，美国CCPA法案迎来了首例集体诉讼。原告是一批购买Ring安全设备的消费者，声称该公司违反了CCPA的规定，未能实施足够的安全措施，并将其消费者的个人信息共享给未经授权的第三方。这起诉讼是第一起明确适用CCPA规定提起的诉讼，该起诉讼的处罚结果备受关注。

这些教训可以成为中国物联网企业出海的经验。高昂的罚款也促使企业需要重视物联网产品对消费者的数据安全和隐私保护。

2. 必须建立符合法律体系监管消费者数据隐私保护的组织架构

消费者数据隐私保护的组织架构能更好地完善产品隐私设计、响应消费者隐私保护需求。在企业的组织架构中，建议应对跨国经营的企业设立专职或兼职的首席数据（隐私）安全官（DPO），管理企业的数据隐私事务。

DPO的法定职责范围具体包括：全面负责公司数据合规和用户隐私保护各项工作；制定和完善公司产品数据保护制度，定期对数据保护状况进行风险评估，对制度执行情况进行监督；定期对公司数据合规保护工作向CEO/董事会进行汇报；定期针对参与数据处理活动人员开展培训以及提高相关人员合规意识的工作；负责推动数据合规管理方案的设计、更新和执行，如：数据分级管理、数据安全管控流程等；配合相关监管部门的检查、问询；组织对数据泄露等风险事件的紧急处置等。

3. 必须采取合理必要的技术安全和法律合规措施切实保护消费者隐私

建议在物联网产品的技术白皮书和用户手册中设置专章，向消费者阐明产品在设计、安全标准、合规体系、跨境传输中采取的保护消费者隐私的详尽措施。

4. 通过技术和法律两方面审计数据合规

建议企业通过技术和法律合规两个方面，对物联网产品是否在以下数据处理方面初步达到数据和隐私保护的要求，进行定期数据合规审计。具体包括：合理透明的数据处理、对个人数据的有限必要的收集、对个人数据进行匿名化处理、提供给公众与数据主体的隐私保护的渠道、设定专门制度和机制保护数据主体权利的行使、提供儿童数据保护、对数据泄露有预警有报告、对数据传输提供安全合规的措施。

（本文刊登于《中国信息安全》杂志2020年第8期）

声明：本文来自中国信息安全，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。