近几年,很多在华的外资企业都面临着一个共同的困境:中国的个人信息保护法和数据安全法实施后,对客户信息的收集、存储和跨境传输有了非常严格的规定。一家美国零售品牌的中国分支机构就遇到过一个具体的麻烦。他们在中国的门店通过会员系统收集了大量的消费者个人信息,这些数据按照美国总部的管理要求需要上传到美国的数据中心进行统一分析。但数据安全法规定在中国境内收集的重要数据和个人信息需要在境内存储,需要向境外提供时要通过安全评估。
外资企业在中国市场经营时,客户信息保护策略需要同时考虑中国的法律要求和全球数据管理的统一性的实际需要。这不是一个技术性的问题而是一个法律和管理交叉的复杂问题。
首先需要建立全面的数据资产摸查。外资企业进入中国市场后,首先要做的就是在境内收集的所有客户信息进行一次全面的摸排。搞清楚收集了哪些客户信息、收集的方式是什么、存储在哪些系统中、哪些人员可以访问、信息是否需要传输到境外。通过这个摸排建立一个清晰的数据资产清单和信息流图谱。这个图谱是后续一切合规改造和管理措施的基础。
建立中国境内的数据存储和处理体系可能是直接有效的方法。对于在中国长期经营的外资企业,在中国境内建立独立的数据基础设施是一个越来越普遍的选择。数据中心的物理位置、云服务商的选型、数据存储和处理的技术方案都要符合中国的数据安全法律要求。在中国境内收集的客户个人信息,原则上在境内完成存储、处理和分析,不需要或者尽可能减少跨境传输的需求。
涉及客户信息的业务系统需要按数据安全法要求进行分级分类管理。比如客户的姓名、电话号码和地址属于个人信息中的一般信息,按照隐私政策进行管理就基本可以达到合规的要求。客户的身份证号、银行卡号、健康信息和生物识别信息属于敏感个人信息,需要取得个人的单独同意才能收集和处理,而且要求信息处理者告知处理的必要性和对个人的影响。金融账户信息和消费记录等属于重要数据的范畴,受到更加严格的保护规定。
客户信息合规场景的同意管理是实现合法性的关键环节。外资企业在中国收集客户信息时,必须向客户提供明确的、易读易懂的隐私政策。隐私政策中要说明收集哪些信息、为什么收集、信息如何使用、是否分享给第三方、是否传输到境外以及客户享有哪些权利。信息收集之前要获得客户的明示同意,不得使用默认勾选、捆绑同意等方式。对于已经收集的历史数据的同意状态也要进行回查,对于未经有效同意收集的信息需要补充同意或者删除。
中国个人信息保护法赋予客户数据删除权和撤回同意权。当客户要求删除其个人信息时,企业需要在限定期限内完成删除,并将删除的指令传递给所有处理过这些数据的第三方。对于客户的撤回同意请求,需要建立及时响应的机制。如果外资企业不能有效处理客户的删除请求和撤回同意请求,可能会面临包括法律责任和行政处罚在内的实际后果。
客户信息的跨境传输是外资企业在中国面临的最复杂的合规问题之一。按照中国的数据安全法和个人信息保护法,重要数据和个人信息的出境需要通过安全评估或者标准合同等方式进行。在实践中,外资企业可以选择在国内设置独立的数据合规负责人,负责评估企业内的数据跨境是否合法合规以及需要走哪种审批程序。对于需要经常从中国向境外传输个人信息的业务,建议一揽子申请数据出境安全评估或者签订标准合同条款。
外资企业中负责客户信息处理的中国本地员工的管理也是合规的关键环节。本地员工需要经过信息安全培训,了解中国的法律要求、公司的数据保护政策和违规的后果。特别是直接接触客户信息的前台和服务人员,他们的操作行为需要受到监控和审计,防止不必要的信息泄露。
在数据安全法实施之后,在华外资企业还需要建立数据安全事件的应急响应机制。一旦发生客户信息泄露或者其他数据安全事件,需要在规定的时间向监管部门报告,同时通知受影响的客户。应急响应的流程要事先制定并经过演练,包括事件的发现、报告、调查、通知和整改的全过程。
外资企业在中国市场的客户信息保护已经不是可做可不做的管理选配,而是法律规定必须执行的硬性要求。那些尽早建立起完整的合规体系的外资企业,不仅降低了因违规导致的行政风险,也在中国市场上建立起了诚信守法的良好企业形象,从而获得更多消费者的信任。在中国市场,数据合规就是经营底线。
