上海複恩社會組織法律研究與服務中心與中國慈善聯合會特别舉辦的(de)中國慈善聯合會“善客沙龍”暨第四屆複恩社會組織合規沙龍 “慈善事業專業發展:數據安全和(hé)個(gè)人(rén)信息保護”專場(chǎng) 已于6月(yuè)9日成功舉辦。
本篇我們将給大(dà)家分(fēn)享來(lái)自 上海複觀律師事務所 律師 譚玥 的(de)演講。
社會組織語境下(xià)的(de)數據安全與個(gè)人(rén)信息保護
上海複觀律師事務所 律師 譚玥
作爲一個(gè)爲社會組織提供法律服務的(de)律師,我今天主要想分(fēn)享一下(xià)這(zhè)兩年來(lái)在提供有關數據安全和(hé)個(gè)人(rén)信息保護法相關的(de)服務的(de)過程當中的(de)一些觀察和(hé)思考。
立法背景。兩部法律是技術發展的(de)一個(gè)産物(wù)。在目前的(de)經濟環境中,數據變成一個(gè)非常重要的(de)生産要素和(hé)基礎戰略資源,許多(duō)國家已經把确保數據安全提到了(le)國家戰略層面,所以保護國家安全是這(zhè)兩部法律的(de)主要目的(de)之一。
立法目的(de)。除了(le)剛剛提到的(de)保護國家主權和(hé)國家安全之外,還(hái)包括保護社會秩序和(hé)公共利益、保護公民、法人(rén)和(hé)其他(tā)組織的(de)合法權益。
立法特點。這(zhè)兩部法在适用(yòng)上和(hé)内容上有三個(gè)特點。
首先,它的(de)适用(yòng)範圍比較廣。個(gè)人(rén)信息和(hé)數據的(de)概念都是非常廣泛,基本上我們在日常生活和(hé)工作中所接觸到的(de)各類的(de)信息,都能夠被這(zhè)兩個(gè)概念包括在内。
其次,它具有結果導向性。這(zhè)個(gè)特點我在之前給一些機構做(zuò)培訓的(de)時(shí)候也(yě)會特别強調。兩部法律中相關責任的(de)認定是不以行爲人(rén)主觀上是否存在故意作爲認定是否違法的(de)條件的(de)。很多(duō)情況下(xià),可(kě)能行爲人(rén)在做(zuò)數據收集的(de)時(shí)候并沒有惡意,但是如果最後産生的(de)客觀結果對(duì)國家安全和(hé)國家主權、社會秩序和(hé)公共利益、或是公民、法人(rén)和(hé)其他(tā)組織的(de)合法權益造成了(le)一定的(de)威脅性,那麽是具有被認爲違法的(de)可(kě)能性的(de)。
最後,這(zhè)兩部法律跟許多(duō)其他(tā)有關國家安全的(de)法律法規是相互關聯的(de)。
在這(zhè)兩年的(de)一個(gè)法律服務的(de)過程當中,從大(dà)家給到的(de)反饋或者是提出的(de)問題中,我們其實能比較明(míng)顯的(de)感受到社會組織對(duì)于這(zhè)兩部法在意識和(hé)認知上的(de)一個(gè)轉變。
最開始這(zhè)兩部法律剛出台的(de)時(shí)候,最常見的(de)一種情況是很多(duō)的(de)社會組織并不知道有這(zhè)兩部法已經出台了(le);還(hái)有一些機構可(kě)能是通(tōng)過一些渠道知道有這(zhè)兩部法律,但并不覺得(de)跟自身有什(shén)麽太大(dà)的(de)關系,還(hái)沒有在意識層面引起特别高(gāo)的(de)重視程度;第三類機構是被動地知道這(zhè)些法律的(de),一方面是它們的(de)登記管理(lǐ)機關或者業務主管單位會對(duì)機構保護數全和(hé)個(gè)人(rén)信息的(de)問題進行提醒,特别是涉及到兒(ér)童或者醫療健康的(de)機構;另一方面還(hái)有一些機構則會受到資助方監督,特别是一些來(lái)自早就已經在數據安全和(hé)個(gè)人(rén)信息保護方面有相關立法的(de)國家和(hé)地區(qū)的(de)境外資助方;最後一類機構既知道有這(zhè)兩部法律,也(yě)知道它們的(de)重要性,但是對(duì)于接下(xià)來(lái)具體到底要怎麽做(zuò)是完全沒有頭緒的(de)。
但是從今年開始我們注意到一個(gè)很明(míng)顯的(de)變化(huà),那就是随著(zhe)這(zhè)兩部法律普及程度的(de)逐漸提高(gāo),一些社會組織在就這(zhè)方面進行提問或者跟我們進行交流的(de)時(shí)候,我們可(kě)以很明(míng)顯的(de)感受到這(zhè)些社會組織已經對(duì)這(zhè)些法律内容有了(le)基本的(de)了(le)解,而且會很明(míng)确的(de)知道自身需要幫助的(de)事項是什(shén)麽,會聚焦在工作細節上,比如收集個(gè)人(rén)信息的(de)知情同意書(shū)要怎麽寫, 或者這(zhè)類信息是不是屬于敏感個(gè)人(rén)信息等等。可(kě)以感受到,随著(zhe)時(shí)間的(de)推移,大(dà)家其實對(duì)相關法律已經逐漸有了(le)内容上的(de)了(le)解和(hé)重視程度上的(de)提升。
接下(xià)來(lái)講一下(xià)爲什(shén)麽數據安全和(hé)個(gè)人(rén)信息保護這(zhè)兩部法律對(duì)于社會組織而言是比較重要,而且跟大(dà)家的(de)日常工作聯系是非常緊密的(de)。數據處理(lǐ)行爲有很多(duō)種,從收集、存儲到最後的(de)傳輸、公開,其實每一個(gè)步驟大(dà)家都可(kě)以在自己的(de)日常工作中找到對(duì)應的(de)一個(gè)場(chǎng)景,比如說像收集。其實很簡單的(de)一個(gè)填寫信息收集表的(de)行爲,就已經構成信息收集行爲了(le)。大(dà)家應該意識到,對(duì)于社會組織來(lái)說,數據和(hé)個(gè)人(rén)信息與我們的(de)距離并沒有那麽遠(yuǎn),也(yě)沒有那麽高(gāo)大(dà)上。
鑒于社會組織非營利性法人(rén)的(de)性質,這(zhè)兩部法律在具體适用(yòng)到社會組織上時(shí)也(yě)會有一些特點。
第一個(gè),社會組織處理(lǐ)的(de)數據内容以及社會組織所擔任的(de)數據處理(lǐ)角色具有多(duō)樣性。在做(zuò)一個(gè)公益項目的(de)時(shí)候,社會組織的(de)工作往往會涉及到多(duō)方主體。比如捐贈人(rén)或資助人(rén),項目受益群體以及項目合作方等。在項目執行過程中,這(zhè)些主體都會涉及到數據的(de)收集、處理(lǐ)和(hé)使用(yòng)等,項目相關的(de)數據是在往不同方向流動的(de)。社會組織處于其中最中間的(de)位置,也(yě)就意味著(zhe)它們擔任的(de)角色種類是最多(duō)的(de)。社會組織既有可(kě)能是數據的(de)收集者,也(yě)有可(kě)能是數據的(de)使用(yòng)者,還(hái)有可(kě)能是數據的(de)對(duì)外分(fēn)享者。大(dà)多(duō)數情況下(xià),社會組織往往會同時(shí)擔任多(duō)個(gè)角色,這(zhè)就意味著(zhe)兩部法律中的(de)許多(duō)法律要求社會組織都有可(kě)能會涉及到。
除此之外,社會組織在數據流動過程中所處的(de)中間位置,也(yě)意味著(zhe)社會組織需要就數據安全責任在上、下(xià)遊主體之間進行明(míng)确的(de)劃分(fēn)。如果某一個(gè)機構給到社會組織的(de)數據是來(lái)源不合法的(de),或者說其實這(zhè)個(gè)機構沒有權限去使用(yòng)的(de),那社會組織作爲下(xià)遊機構再去使用(yòng)這(zhè)些數據會受到一定程度的(de)影(yǐng)響。同樣的(de),社會組織在向下(xià)遊機構提供數據時(shí),也(yě)需要确保下(xià)遊機構在社會組織的(de)授權範圍内使用(yòng)這(zhè)些數據。
第二點,不管是日常的(de)行政管理(lǐ)工作中還(hái)是在項目工作中,社會組織接觸數據的(de)人(rén)員(yuán)種類是比較複雜(zá)的(de)。除了(le)機構自己的(de)員(yuán)工,還(hái)有志願者、實習(xí)生等。當我們在談一個(gè)機構的(de)合規性的(de)時(shí)候,我們在談的(de)其實就是機構人(rén)員(yuán)的(de)工作行爲的(de)合規性。他(tā)們的(de)行爲會直接影(yǐng)響到機構工作的(de)合規性。
第三點,比較容易涉及到數據跨境傳輸的(de)問題。一些社會組織接受的(de)資金可(kě)能是來(lái)自于境外的(de)資助方,就是我們所說的(de)境外非政府組織境内代表機構進行的(de)資助或捐贈。爲了(le)工作和(hé)交流的(de)便利性,這(zhè)些代表機構可(kě)能會選擇與它們設立在國外的(de)總部使用(yòng)同一個(gè)數據存儲和(hé)管理(lǐ)系統。這(zhè)就意味著(zhe)一旦把數據提供給代表機構,就可(kě)能直接提供給了(le)該代表機構的(de)境外總部,從而構成個(gè)人(rén)信息或者數據跨境行爲。很多(duō)社會組織會覺得(de)隻要數據的(de)物(wù)理(lǐ)位置或地理(lǐ)位置在境内,就不存在這(zhè)個(gè)跨境的(de)問題。但其實并不是的(de)。即使數據存儲在境内的(de)服務器上,但隻要境外機構或者個(gè)人(rén)可(kě)以讀取該服務器上的(de)數據,仍然構成數據跨境行爲。
最後一點,社會組織的(de)業務容易涉及到一些比較敏感的(de)數據類型。比如做(zuò)兒(ér)童保護或者醫療健康教育的(de)這(zhè)些機構,它們收集和(hé)使用(yòng)的(de)個(gè)人(rén)信息就會非常容易涉及到敏感個(gè)人(rén)信息。
接下(xià)來(lái)這(zhè)一部分(fēn)想跟大(dà)家分(fēn)享一下(xià)社會組織爲什(shén)麽要做(zuò)數據合規。大(dà)家可(kě)能第一個(gè)反應就是因爲法律有要求,所以必須要做(zuò),不然就面臨違法的(de)風險。
确實是這(zhè)樣的(de),社會組織享受了(le)使用(yòng)數據和(hé)個(gè)人(rén)信息的(de)權利,對(duì)應的(de)也(yě)就需要去承擔相應的(de)合規義務。如果沒有滿足法律要求并産生了(le)一些不利的(de)後果,社會組織就會面臨民事、行政甚者刑事等多(duō)種法律責任。避免承擔法律責任可(kě)以說是社會組織爲什(shén)麽要去做(zuò)數據合規的(de)最基礎的(de)一個(gè)原因,但這(zhè)并不是唯一的(de)原因。
還(hái)有一個(gè)重要原因是因爲社會組織在工作中需要保護受益人(rén)的(de)合法權益。這(zhè)也(yě)是社會組織實現項目效果和(hé)機構宗旨的(de)關鍵要求。有許多(duō)案例就是因爲對(duì)于兒(ér)童信息的(de)保護不夠到位,最後導緻兒(ér)童的(de)人(rén)身安全直接受到了(le)侵害。很多(duō)社會組織是做(zuò)兒(ér)童保護的(de),工作初衷是要去保護兒(ér)童的(de),而不是讓受到幫助的(de)兒(ér)童因爲我們的(de)工作去面臨額外的(de)或更高(gāo)的(de)風險或者更嚴重的(de)後果。所以社會組織的(de)數據合規措施,不隻是爲了(le)确保機構本身的(de)合法性,也(yě)是爲了(le)确保受益群體的(de)合法權益不會因爲我們的(de)工作而受到額外的(de)傷害。
最後一個(gè)原因也(yě)是容易被大(dà)家忽略的(de)。這(zhè)些法律雖然在規制社會組織,但是同時(shí)也(yě)在規制其他(tā)涉及到數據活動的(de)主體,規制所有跟社會組織合作的(de)主體。了(le)解了(le)這(zhè)些法律要求,也(yě)會幫助社會組織去判斷其他(tā)主體的(de)行爲有沒有侵犯到機構自身的(de)一些合法權益。比如機構自身的(de)員(yuán)工、志願者和(hé)實習(xí)生等等,他(tā)們在做(zuò)項目的(de)時(shí)候,他(tā)們的(de)個(gè)人(rén)信息是不是被其他(tā)合作方進行了(le)充分(fēn)保護?如果他(tā)們的(de)權益受到了(le)侵害,機構在不了(le)解相關法律規定的(de)情況下(xià),很難去幫助他(tā)們進行維權。但如果機構了(le)解這(zhè)些法律要求,就會清楚的(de)知道對(duì)方的(de)行爲在哪裏出了(le)問題以及應當如何及時(shí)維權。在機構自身權益受到侵害時(shí),相關的(de)法律法規也(yě)會成爲有效保護自身權益的(de)有效工具。
