在欧盟通用数据保护条例正式生效之后没多久,一家中国跨境电商公司在欧洲进行的一项消费者调查就出了问题。他们委托了一家德国市场调研公司做尽调,问卷中收集了消费者的姓名、邮箱、购买偏好和收入区间。调查进行了两周,结果德国数据保护监管机构找上门来,说他们没有明确告知消费者数据将用于商业尽调,没有提供数据删除选项,也没有说明数据将传输到中国处理。公司被处以四十万欧元的罚款,调查数据全部被要求删除。负责人后来苦笑说,这笔钱够做十次市场调研了。
跨境尽调中的个人信息保护已经从一个合规加分项变成了底线要求。各国对个人信息的保护法律正在快速完善,处罚力度也在不断加大。对于进入国际市场的中国企业来说,在尽调中处理个人信息时,必须了解并遵守目的地国家的隐私法规。
几个主要市场的个人信息保护法规情况如下。欧盟的通用数据保护条例是全球严格的个人信息保护法规之一。它对个人数据的定义非常宽泛,任何可以识别到具体个人的信息都受到保护。数据处理需要明确的合法依据,比如数据主体的同意或者合同的必要性。数据的跨境传输受到严格限制,需要在合规的传输机制下进行,比如标准合同条款或者约束性公司规则。违反通用数据保护条例的罚款高达企业全球年营业额的百分之四或者两千万欧元,取较高者。
美国的隐私保护法律体系比较复杂,没有联邦层面的统一法律,而是由各州分别立法。加利福尼亚州的消费者隐私法案是最有代表性的。它赋予消费者了解自己哪些个人信息被收集的权利,要求企业在收集个人信息时明确告知使用目的,并且消费者有权要求企业删除其个人信息。还有弗吉尼亚州、科罗拉多州和康涅狄格州也出台了类似的隐私保护法律。
东南亚地区的个人信息保护法律正在快速跟进。新加坡的个人数据保护法是东南亚地区比较成熟的法律之一,它要求企业在收集、使用和披露个人信息时获得个人的知情同意,并且要保护个人数据的安全。泰国的个人数据保护法2022年正式生效,对数据控制者和处理者的义务做了详细规定。印度尼西亚的个人数据保护法也已颁布实施,对数据跨境传输设置了比较高的合规门槛。
巴西的通用数据保护法对跨国业务的信息保护也有重大影响。作为拉美最大的经济体,巴西的个人数据保护法律涵盖了所有在巴西境内进行的个人数据处理活动,不论数据控制者在哪个国家。对违反者的罚款可以高达企业集团在巴西营收的百分之二,单次罚款上限为五千万雷亚尔。
在跨境尽调中做好个人信息保护的合规工作,需要从几个方面入手。首要是合法基础的建立。尽调中收集任何个人信息之前,要确认处理这些信息有恰当的合法基础。如果合法基础是数据主体同意,那么同意必须是明确的、具体的、知情的。同意书应该包含收集的信息类型、使用目的、存储期限、数据是否会传输到境外以及数据主体的权利等信息。
第二是数据最小化原则。尽调中只收集完成尽调目标所必需的个人信息,不收集多余的信息。比如在客户调查中只需要年龄区间而不是具体的出生日期,只需要城市而不是详细的家庭住址。收集的信息越多,合规义务越重,信息泄露后的风险也越大。
第三是数据安全措施。收集的个人信息必须采取适当的技术和组织措施加以保护。包括加密存储、访问控制、安全传输和定期备份。如果在尽调过程中发生了个人信息泄露事件,需要按照相关法规的要求在规定时间内向监管机构报告。
第四是数据保留期限和删除机制。尽调结束后,不再需要的个人信息应该及时删除或者做匿名化处理。企业需要在隐私政策或者数据管理流程中明确个人信息的保留期限,并建立机制来响应数据主体提出的删除请求。
第五是数据跨境传输的合规安排。如果尽调中收集的个人信息需要传输到中国进行处理,需要确认传输行为是否符合目的地国家的数据出境要求。对于欧盟国家标准合同条款是被广泛接受的方法,对于其他国家需要确认是否有类似的传输机制可用。
在跨境尽调的个人信息保护工作中,还有一种风险经常被低估,就是员工的个人信息保护。尽调过程中会接触目标公司的员工个人信息,包括姓名、联系方式、岗位、薪酬和绩效评估。这些信息也受到严格的隐私保护法律约束。在处理目标公司的员工信息时,要特别小心处理的合法基础和数据处理的范围。收集员工信息应该仅限于完成尽调所必需的范围,不能用于其他任何目的。
做跨境尽调的时候,个人信息保护工作更好从一开始就委托给不仅了解中国法律也了解目标国家法律的专业律师来做。因为细节不一样,违反当地法律的后果也完全不同。
