中国附录 (China Addendum):跨国企业隐私政策的本地化方案
发布时间:2023-03-29
文 | 史宇航 汇业律师事务所 顾问
一、背景
隐私政策(也称为“个人信息处理规则”或“隐私通知”)是数据保护领域最为重要的法律文件,是连接信息处理者与个人的桥梁。根据我国《个人信息保护法》,即使无需个人同意的信息处理场景,信息处理者也应当向个人进行告知。在其它法域下,隐私政策也有着类似的地位。
尽管各国数据保护法所遵循的理念大同小异,但落实到法律文本与合规义务上仍然存在不小的差异。跨国企业在经营中,为了更好地掌握各地顾客的情况,往往也需要对各地顾客的个人信息进行统一管理,但每个国家(地区)的数据保护法要求又不尽相同,这就导致为跨国企业建立一套适用于全球的隐私政策成为一项不小的挑战。
跨国企业选择何种架构的隐私政策,并没有标准答案。跨国企业通常要考量:1)是使用统一版本的隐私政策,还是根据不同法域要求各自制定对应版本;2)是统一使用英语版本的隐私政策,还是要使用当地语言的隐私政策;3)各地的数据是当地机构各自管理还是使用统一架构集中管理。诸多考量,不一而足。
隐私政策背后是企业的IT架构的部署,是企业的岗位布局,更是企业的数据管理权力。
二、解决思路
简单总结跨国企业隐私政策管理的矛盾点:单一版本的隐私政策有助于更新、维护,但不利于适应当地法规的要求;分布式的隐私政策有利于适应各地的法规政策,但管理成本较高。
在这种背景下,一种兼顾统一管理与各地监管需求的折中方案就应运而生。即跨国企业制定并使用统一版本的隐私政策,也同时针对各地的监管需求制定专门的附录,如针对欧洲GDPR、加州CCPA与CPRA、中国《个人信息保护法》都会制定专门附录,附录根据当地的监管要求进行起草、设计。在隐私政策适用统一规则的基础上,各地优先适用当地附录。
这种模式已经为诸多跨国企业所采用,以应对各国数据保护法规的不同要求。企业通过“中国附录”(China Addendum)的形式,添加《个人信息保护法》的相关合规内容,可以较好地履行《个人信息保护法》的告知义务。
三、“中国附录”包括哪些内容
我们对目前跨国企业在隐私政策中所使用的“中国附录”进行了全面梳理,我们发现“中国附录”的以下特点:
1.通常会将《个人信息保护法》作为法律依据,也有企业会根据自己的业态将《消费者权益保护法》《电信和互联网用户个人信息保护规定》列为法律依据。
2.通常会根据《个人信息保护法》第17条制定,满足最低限度的告知合规要求。
3.通常会有敏感个人信息处理的内容。各国敏感个人信息的类型都有区别,需要根据各国法律进行定义,此外,中国法下敏感个人信息处理还需要单独同意以及个人信息保护影响评估,相关内容也需要单独设计。
4.通常会有个人信息权利及响应方式,这也是各国法律规定中普遍会存在差异的地方,比如中国关于逝者近亲属权利的规定就无法在GDPR下找到。
5.通常会有中国区的数据保护负责人、权利行使事宜的联系方式。处理者联系方式是《个人信息保护法》第17条的法定列明事项,且该联系方式对应的主体应当能够熟练使用中文与中国境内的自然人进行交流,因此通常会添加中国境内的联系方式。
6.通常会有参与数据处理的法律实体清单。跨国企业在中国通常会有多个法律实体,为了解决数据在企业内部流转的问题,会统一将境内企业一并列为共同处理者,以降低企业内部数据流转的合规成本。
其他“中国附录”的常见内容还有委托处理与数据共享、数据出境、数据安全事件告知等内容。
还有一些企业的“中国附录”会依据《个人信息保护法》列明个人信息处理的法律基础,比如某药企就将《药品管理法》第80条作为履行相关法律义务的法律依据,进而无需获得相关个人的同意。
四、隐私政策“中国附录”的使用思路
根据我们协助企业制定“中国附录”的经验,我们建议:
企业应当根据IT架构与数据管理模式决定是否使用“中国附录”。“中国附录”适用于使用统一IT组件的跨国企业。如果企业在中国境内使用的IT组件与其他区域不同,数据管理也是由中国境内独立负责,那么建议单独设计中国区的隐私政策。
“中国附录”起到的是补充作用,因此适用于中国的隐私政策正文及“中国附录”均应使用中文版本,以符合《个人信息保护法》“清晰易懂的语言真实、准确、完整地向个人告知”的要求。如果使用英文版的“中国附录”,无法确保中国境内自然人可以有效理解相关内容,会让整份文件的法律效力大打折扣。
“中国附录”应重点关注中国法下的特殊义务,如敏感个人信息保护、单独同意、个人信息保护影响评估、权利行使等内容。
“中国附录”应当以企业在中国处理数据的实际情况为基础,如实反映企业在中国境内的数据处理活动。
“中国附录”不是一劳永逸的文件,需要与其他制度相配合。如在数据出境的场景下,“中国附录”需要与自评估报告、个人信息保护影响评估、数据处理协议等文件的内容保持一致,形成联动关系。
“中国附录”并不是跨国企业隐私政策在中国落地的唯一答案,但却是重要的一条解题思路,可以在遵循企业全球隐私管理方案的大框架下,协助企业针对中国法下的特殊要求,履行相关合规义务。因此,是否使用、如何使用隐私政策中的“中国附录”,是跨国企业开展数据合规需要充分考量、评估的一道课题,需要结合各方因素综合进行判断。
