当前位置:首页 > 法律服务
上上签电子合同全程留痕,提升企业数据风险管理
来源:西部法治在线 发布时间:2021-09-18 17:43:06 加载中...

8月20日,备受关注的《个人信息保护法》经由十三届全国人大常委会第三十次会议表决通过。世辉律师事务所合伙人王新锐与上上签解决方案专家就电子合同签署与个人信息保护进行了详细解读。

1. 上上签电子签约:据悉《个人信息保护法》从去年10月就已经面向社会征求意见,从公布草案到今年正式出台,这部预热了将近一年的法律,出台的背景和重要意义是什么?

王新锐律师:我自己参与到《个人信息保护法》的立法中已经有一段时间了。

其实我们在《个人信息保护法》起草之前就一直有相关的立法,只不过非常分散,例如《刑法》、《消费者权益保护法》、《电子商务法》、《网络安全法》里面都有相关的条文。

但是个人信息保护是一个多场景,非常复杂综合的事情,如果分散在不同的法律中,最后在实行过程中会出现很多问题。

而世界范围内,现在大家也意识到个人信息保护在数字经济发展过程中越来越重要。这也是我们作为一个数字经济发展大国,这两年将其提速的背景。《个人信息保护法》从草案发布到最终通过的速度非常快,这得益于前期的很多积累。

当然,这次有一个亮点,即《个人信息保护法》是根据宪法制定的,这在我们的立法过程中是很少见的。

这也证明这样一部法律本身是跟公民的基本权利息息相关,也是对之前公众个人信息被广泛收集、被滥用等情况的回应。

2. 上上签电子签约:现在的《个人信息保护法》作为新时代的个人信息保护立法跟域外的很多可能在70年代、80年代、90年代进行的立法,有何区别?

王新锐律师:主要是企业个人信息处理的能力大幅地增长,所以我们看到现在很多规模并不是很大的企业,可能只有几百人,却要处理上亿的数据,这一情况在中国特别突出。

这种情况下就意味着企业要去关注其作为个人信息处理者,处理数据和保护数据的能力、合规的能力是要匹配的。

这也是我们个人信息立法的一个核心精神。因为很多企业都是在收集处理数据的时候,不管不顾,当真正出现风险的时候,是没有办法进行控制的。这不仅仅涉及到考虑法律规定、法律底线的问题,而是需要一种持续保持合规的能力。

3. 上上签电子签约:信息如果是在企业内部,企业就是个人信息的处理者。个人信息的处理包括最开始的收集、存储、使用、加工、传输以及未来可能给第三方进行提供公开,还有一些删除动作。

企业在处理这些个人信息时,应该注意什么?

王新锐律师:《个人信息保护法》给个人信息处理者增加了很多义务,这也是大家要格外关注的内容。这些义务之前在我们的其他规定中也有涉及,但这一次是非常综合的。

我觉得有大概几点需要关注:

首先,要看在处理个人信息时,其合法性基础是什么?我们刚才提到的合法性基础,包括合同、同意,或者其他法律列明的法律义务的履行。

第二件事情,我们要在处理个人信息的过程中相应地采取技术手段,不管是加密还是去标识化,要保证整个过程数据的安全,该部分内容跟《数据安全法》有些关联。其次,内部要有相应的内控制度。包括应建立个人信息的访问控制制度、应确保内部对个人信息被访问的情况进行留痕等。

在《个人信息保护法》之后,我们的很多客户也在讨论怎样去修改公司内部原有的一些制度或者新增一些制度。对于一些比较极端的情况,要提前准备应急预案,比较极端的情况包括比如现在不时发生的网络攻击,还会有一些个人信息泄露事件,甚至敲诈事件等等,这种情况下应该如何有针对性地做一些预案。

有时候我们比喻合规就像大火烧过来,如果没有合规的制度,可能会把所有的船都烧光。但如果你有相应的合规制度做风险隔离,可能在第一时间就能及时发现什么地方着火了,同时把火灭掉。而且中间因为有隔离环节,不会在整个企业内部产生连锁反应,这可能也是个人信息处理者要格外关注的。

4. 上上签电子签约:您刚才提到企业一定要做到留痕,以及数据的安全存储。现在很多企业想由一个独立第三方提供留痕、中立性的证据。

作为第三方电子合同平台,我们怎么做能够更好地满足《个人信息保护法》的合规要求?

王新锐律师:《个人信息保护法》出台之后,我们也跟一些客户做了讨论,比如“单独同意”不仅仅是一个同意本身的过程,还需要对同意进行记录。

可以看到这次《个人信息保护法》带来的一个变化是确立了过错推定责任,也就是要求企业在面对一些个人信息风险事件时,要自证清白。

如果企业要证明自己没有做错事情,就需要企业全程留痕,然后能够举证。电子合同的一个价值也在于此,它可以帮助企业在整个过程实时留痕,比如对同意、单独同意怎么获得的做留痕,或对面向员工做的一些通知动作做留痕,后续,如果员工或者公司要去查询电子合同,公证信息,相对来说电子合同平台是可以实现的,这也是电子合同厂商能够给企业带来的价值。

但另外一方面,因为电子合同厂商服务了很多客户,就要考虑内部的控制,内部的访问权限设置的问题,比如需要对这些数据内部进行隔离。

摄图网_500513949_敲打键盘(企业商用)

上上签电子签约:关于这些,上上签内部是有一整套完善的安全机制和流程的。我们内部的一些运维人员,是没办法直接接触这些数据的。

同时我们上上签把电子合同产品提供给外面的企业客户或者个人客户时,也要进行初次的告知,告知要采集哪些信息,一般我们都是采集最小信息,只要完成实名认证就可以。后续采集这些最小信息,用于什么方面,都会有告知说明,尤其在采用面部识别的时候,这种属于特别隐私的数据,我们还会有一个单独告知的说明。


责任编辑:管理员
视频聚焦