《个人信息保护法》第五十五条规定,个人信息处理者仅对特定的个人信息处理情况进行记录。而欧盟《通用数据保护条例》(又称“GDPR”)第三十条将处理活动的记录义务作为所有数据控制者和处理者及其代表人的普遍义务。
事实上,记录处理活动是一个非常有用的合规手段,不仅有助于企业及时评估处理活动对个人权利的风险,建立、实施适当的数据合规体系来保护个人数据,还有助于企业向监管机构证明其实施并履行了有关数据保护的法律规定。
然而GDPR与《个人信息保护法》项下的“记录义务”的概念内涵和范围并不一致,这导致中国企业出海欧洲时,履行记录义务时应当分别满足中国和欧盟数据保护相关法律的不同要求。本文结合《个人信息保护法》及其相关规定、GDPR的规定、2018年4月GDPR第二十九条工作组(“WP29”)发布的《关于根据GDPR第三十条第(5)款处理活动记录义务的减损立场文件》(Position paper on the derogations from the obligation to maintain records of processing activities pursuant to Article 30(5) GDPR)、法国数据保护机构建议、比利时数据保护机关决定,针对“记录义务”的适用条件、责任主体、记录形式、记录内容、记录保存、记录的更新、违反记录义务的法律后果予以对比梳理,以期为中国企业出海欧洲建立跨境数据合规体系,关于如何分别落实中国和欧盟的记录义务予以指引。
一、中国企业如何落实《个人信息保护法》规定的记录义务
(一)何种情况下企业应当履行记录义务
根据《个人信息保护法》第五十五条规定,“有下列情形之一的,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录”。可见个人信息处理者仅针对特定的个人信息处理活动。《个人信息保护法》第五十五条列举了应当记录处理活动的情形:
1.处理敏感个人信息;
2.利用个人信息进行自动化决策;
3.委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;
4.向境外提供个人信息;
5.其他对个人权益有重大影响的个人信息处理活动
简而言之,个人信息处理者并非在任何情况下均承担记录义务,仅在《个人信息保护法》第55条列举的五种情形下应当承担记录的法定义务。但是实践中,我们推荐企业在能够承担的成本范围内,对除上述五种情形以外的其他数据处理活动,也根据实际情况对数据处理活动进行记录并保存,主要原因如下:
1. 符合《个人信息保护法》的责任原则
《个人信息保护法》第九条规定,个人信息处理者应当对其个人信息处理活动负责。记录可以作为企业符合“责任原则”的手段,通过记录个人信息处理活动的方式对个人信息处理活动负责。
2. 证明个人信息处理活动的合法性
对个人信息处理活动的记录有助于证明个人信息处理活动符合法律、行政法规的要求,换言之,企业可以通过向监管机关提交个人信息处理活动的记录,来证明处理行为的合法性。
3. 有助于履行个人信息泄露等安全事件的补救和通知义务
在发生个人信息泄露等安全事件时,对个人信息处理活动信息的记录可以有助于快速发现原因,立即采取相应的补救措施,查找相关责任人。另外,个人信息处理活动的记录也为日后避免类似情况出现提供了借鉴。
(二)记录的责任主体
承担记录义务的责任主体通常是个人信息处理者,但个人信息处理的受托人也可因其“协助个人信息处理者履行本法规定的义务”的要求(《个人信息保护法》第五十九条),成为实际实施记录动作的主体。
(三)记录的形式和内容
1. 记录的形式
《个人信息保护法》第五十五条并未对个人信息处理情况的记录义务明确要求,但根据《个人信息保护法》第六十三条 个人信息处理有义务协助、配合相关部门查阅复制相关资料的规定,我们可以认为记录应当以书面形式(可以采取纸质形式,也可以采取电子形式),否则无法依据法律规定加以保存,并在监管机关要求查阅复制时提供。
2. 记录的内容
《个人信息保护法》并未规定个人信息处理者对个人信息处理情况的记录应当包含哪些信息。但在《个人信息保护法》颁布前的国家标准《信息安全技术 个人信息安全规范》(GB/T 35273--2020)第11.3条个人信息处理活动记录中有相关规定可以供企业参考:
“个人信息控制者宜建立、维护和更新所收集、使用的个人信息处理活动记录,记录的内容可包括:
a)所涉及个人信息的类型、数量、来源(如从个人信息主体直接收集或通过间接获取方式获得);
b)根据业务功能和授权情况区分个人信息的处理目的、使用场景,以及委托处理、共享、转让、公开披露、是否涉及出境等情况;
c)与个人信息处理活动各环节相关的信息系统、组织或人员。”
需要提示的是,《个人信息保护法》出台后,国家标准中不符合法律规定将会被修改或删除,企业应当时时关注国家网信办、通信部等相关部门颁布的细化规定,以及相应的国家标准的修改变化,以便及时调整企业内部规章中关于记录的规定。
(四)保存记录的要求
《个人信息保护法》第五十六条第2款规定,个人信息保护影响评估报告和处理情况记录应当至少保存三年。
然而实践中,结合《个人信息保护法》其他规定,保存记录的时间越长,越有利于企业减少合规风险。一方面,《个人信息保护法》第九条规定,个人信息处理者应当对其个人信息处理活动负责。因此保存记录有利于企业向监管机构证明其按照《个人信息保护法》等数据法相关规定处理个人数据;另一方面,《个人信息保护法》第六十九条规定了举证责任倒置,这意味着公民因个人信息权益受到侵害向法院提起诉讼时,企业需要证明自己没有过错,不能证明自己没有过错的,应当承担损害赔偿等侵权责任。因此保存记录义务有利于企业在发生个人信息权益纠纷时承担举证责任。
因此我们建议企业在个人信息处理中,不仅至少三年保存第五十五条列举的应当保存的处理情况记录,也根据实际情况对数据处理活动进行记录并保存合理时间。
(五)违反记录义务的法律后果
根据《个人信息保护法》第六十六条规定,处理个人信息未履行本法规定的个人信息保护义务的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,责令应用程序暂停或终止服务;拒不改正的,并处100万元以下罚款,对直接负责的主观人员和其他直接责任人员处1万元以上10万元以下的罚款。
前款违法行为情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处5000万以下或者上一年度营业额5%以下罚款,并可以责令暂停相关业务或停业整顿、通报有关主管部门吊销相关业务许可或吊销营业执照;对直接负责的主管人员或其他直接责任人员处10万元以上100万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。
企业违反记录义务一般不会造成大范围内的信息泄露等损害个人信息权益的重大事故,因此原则上违反记录义务时应当承担前款法律后果,当违反记录义务情节严重的,应当使用后款法律后果。
二、中国企业如何落实GDPR规定的记录义务
(一)何种情况下企业应当履行记录义务
一般情况下,所有受GDPR管辖的控制者、处理者及其代表,都有法定义务保存数据处理活动的记录。GDPR仅对雇员小于250人企业偶尔且低风险的数据处理豁免记录义务。
1. 一般规则
原则上,受GDPR管辖的企业均应当履行记录义务。根据GDPR第三十条,所有控制者和处理者及其代表,都应当保存数据处理活动的记录。
2. 特别豁免规则
GDPR前言第13条规定,GDPR考虑到记录义务对微型、小型和中型企业的负担,将上述法定记录义务予以特别豁免。换言之,一些企业在满足特定的条件下,可被豁免法定记录,无需对数据处理活动进行记录并保存。
特别豁免的条件规定在GDPR第三十条第5款中。具体而言,无需履行记录义务的公司应当从两个方面检查其是否符合豁免记录义务的标准:
(1)企业雇员人数
•企业雇员少于250人
(2)数据处理活动存在以下三种情形
•只是偶然发生,不是定期进行
•不太可能危及任何个人的权利或自由
•不涉及第十条刑事定罪或犯罪的数据,也不涉及第九条特殊类别的数据
根据2018年4月欧盟数据保护委员会(EDPB)发布的《关于根据GDPR第三十条第(5)款处理活动记录义务的减损立场文件》,企业雇员人数少于250人且不存在以上三种情形之一的(无需三种情形同时存在),才能豁免记录义务。
该豁免记录义务在企业活动中的具体适用,比利时数据保护机关在2020年4月的一项决定中认为,视频监控是一种可能导致权利和自由风险的处理方式,因此,雇用少于250人的数据控制者仍需对视频监控的处理情况进行记录。
3. 实践中定性判断的难题
企业雇员数量和第九条、第十条规定的特定类型数据的数量是定量标准,在实践中易于准确判断;但数据处理活动下“偶然”“不太可能危及个人权利或自由”的因素是定性标准,在实践中存在着判断难题。WP29在《W29关于第四十九条的指南》中解释称,“偶然”是指处理活动不是定期进行的,且发生在控制者或处理者的常规业务或活动过程之外。但在实践中,我们还需要根据个案情况具体分析。对此,法国数据保护机构建议,如果企业不确定记录义务豁免是否适用,法国数据保护机构建议企业将数据活动记录保存。
我们也在此引用法国数据保护机构网站的“偶然”“不太可能危及个人权利或自由”等定性判断难题的举例:雇员少于250人的公司没有记录义务,但是当其数据处理活动存在以下情况时,应当履行记录义务:
•数据处理是非偶然性的(例如:工资管理、客户管理/潜在客户和供应商等)
•数据处理可能涉及人们的权利和自由的风险(例如:地理定位系统,视频监控等)
•数据处理涉及敏感数据(例如:健康数据)。
(二)记录的责任主体
根据GDPR第三十条,所有控制者和处理者及其代表,都应当保存数据处理活动的记录。所以记录的责任主体是所有控制者和处理者,及其欧盟境内代表人。
(三)记录的形式和内容
1. 形式
GDPR第三十条规定,记录应当是书面的,包括以电子形式作出的书面记录。电子形式书面记录可以让企业在必要时添加、删除和修改文件,因此推荐大多数企业以电子形式作出书面记录;纸质书面记录更适合数据处理活动少有变化的小型企业。
2. 内容
GDPR第三十条对记录义务应当包括的内容给出了明确指示,控制者比处理者应当记录的内容范围大得多。具体区别如下表所示:
| 控制者应当记录的内容 | 处理者应当记录的内容 | |
| 控制者和处理者均应当记录的内容 | 控制者以及适用的联合控制者、控制者代理人和数据保护官的姓名和联系方式; | 处理者或处理者们的名字和详细联系方式、处理者所代表的每个控制者,以及控制者或处理者的代表、数据保护官; |
| 将个人数据转移到第三国或国际组织,包括鉴定此第三国或国际组织的记录,以及在第四十九条第(1)款第2段提到转移的情形中,对适当保障措施的记录(如适用) | ||
| 对第三十二条条第1款提及的技术和组织安全措施进行一般性描述(如可能) | ||
| 控制者和处理者分别应当记录的内容 | 处理的目的 | 代表控制者进行数据处理的类型 |
| 数据主体类别和个人数据类别的描述 | ||
| 个人数据接收人的类别,包括第三国家或国际组织 | ||
| 不同类别数据的删除时间限制(如可能) | ||
此外,英国、法国和德国的数据保护机构已经发布了记录模板,以便企业组织和落实数据处理活动的记录义务。
(四)保存记录的要求
GDPR第三十条规定,基于监管机构的要求,控制者或处理者以及代表应当提供可获取的记录。此外,GPPR前言第82条也阐明,为了证明对本条例的遵守,控制者或处理者应保存处理活动的记录。所有控制者和处理者都有义务与监督机构合作,并应要求向其提供这些记录,以便于监督数据处理业务。
(五)更新记录的频率
GDPR中并未明确规定记录义务的更新义务及更新频率。法国数据保护机构建议,企业数据活动记录应当定期更新,建议将记录中的数据处理中的任何变化(收集的新数据、延长的保存时间、新的处理接收方等)都添加更新到记录中。
另外,根据GDPR透明度原则(GDPR第五条第(1)款)和问责原则(GDPR第五条第(2)款),数据处理的变化应当是透明且可追溯的,且记录应当反应最新的数据处理情况,虽然GDPR第三十条并未直接明确规定更新记录的频率,但企业仍可因未及时更新记录违反GDPR第五条中的原则而导致被处罚。
(六)违反记录义务的后果
不符合第三十条关于记录保存的规定的行为属于GDPR第八十三条第4款的违规行为。针对该类违规行为的行政罚款标准为以下两者中较高的一种——1000万欧元,或公司上一财政年度全球年收入的2%。
中欧个人信息处理情况记录义务对比表
| 中国个人信息保护法 | GDPR | ||
|---|---|---|---|
| 何种情况下企业应当履行记录义务 | 个人信息处理者仅在需在特定情形下记录处理情况: · 处理敏感个人信息; · 利用个人信息进行自动化决策; · 委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息; · 向境外提供个人信息; · 其他对个人权益有重大影响的个人信息处理活动 |
一般情况下,所有受GDPR管辖的控制者、处理者及其代表,都有法定义务保存数据处理活动的记录。 GDPR仅对符合以下条件的企业豁免记录义务 (1)企业雇员人数 · 企业雇员少于250人 (2)数据处理活动存在以下三种情形之一 · 只是偶然发生,不是定期进行 · 不太可能危及任何个人的权利或自由 · 不涉及第十条刑事定罪或犯罪的数据,也不涉及第九条特殊类别的数据 |
|
| 记录责任主体 | 通常是个人信息处理者,个人信息处理受托人也可因协助义务成为记录主体 | 所有控制者和处理者,及其欧盟境内代表人 | |
| 记录形式 | 并未明确要求。 但结合个人信息处理者协助配合查阅复制资料义务,可以认为记录应当以书面形式 |
应当是书面的,包括电子形式的书面记录 | |
| 记录内容 | 并未明确规定 但《信息安全技术 个人信息安全规范》(GB/T 35273--2020)第11.3条对其有规定: · 所涉及个人信息的类型、数量、来源(如从个人信息主体直接收集或通过间接获取方式获得); · 根据业务功能和授权情况区分个人信息的处理目的、使用场景,以及委托处理、共享、转让、公开披露、是否涉及出境等情况; · 与个人信息处理活动各环节相关的信息系统、组织或人员 |
GDPR第三十条对记录义务应当包括的内容给出了明确指示,控制者比处理者应当记录的内容范围大得多 | |
| 将个人数据转移到第三国或国际组织的记录(如适用),包括对第三国或国际组织的认定记录,以及对适当保障措施的记录; | |||
| 对技术和组织安全措施进行一般性描述(如适用) | |||
| 控制者应当记录的内容: · 控制者以及适用的联合控制者、控制者代理人和数据保护官的姓名和联系方式; · 处理的目的 · 数据主体类别和个人数据类别的描述 · 个人数据接收人的类别,包括第三国家或国际组织 · 不同类别数据的删除时间限制 |
处理者应当记录的内容: · 处理者或处理者们的名字和详细联系方式、处理者所代表的每个控制者,以及控制者或处理者的代表、数据保护官; · 代表控制者进行数据处理的类型 |
||
| 保存记录的要求 | 至少保存三年 | 并未明确规定 | |
| 记录的更新要求 | 没有规定 | 并未明确规定。 但法国数据保护机构建议企业对数据处理中的任何变化及时、定期更新。 |
|
| 违反记录义务的后果 | 责令改正,给予警告,没收违法所得,责令应用程序暂停或终止服务;拒不改正的,并处100万元以下罚款,对直接负责的主观人员和其他直接责任人员处1万元以上10万元以下的罚款 | 1000万欧元,或公司上一财政年度全球年收入的2%。 | |
右下角,您点赞和在看
小编工资涨2毛
原文始发于微信公众号(安全阵地):中国企业如何落实记录义务——《个人信息保护法》与GDPR双视角
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论