律師對話上上簽：電子簽名平臺與《個保法》合規要求

　　律師對話上上簽：電子簽名平臺與《個保法》合規要求

　　《個人信息保護法》已經在8月份出臺，電子簽名平臺作為第三方中立平臺，如何幫助企業更好地滿足合規要求?近期，上上簽邀請了世輝律師事務所合伙人王新銳進行了解讀。

　　1. 上上簽電子簽約：據了解，之前有《網絡安全法》、《數據安全法》，現在的《個人信息保護法》相比之前這些法律有哪些特色制度？

　　王新銳律師：之前已經有了很多關于個人信息保護的法律規定，相對而言，《個人信息保護法》在制度上有一些創新或者豐富。

　　(1)法律基礎變得更加豐富

　　之前我們在處理個人信息的法律基礎上，只有“知情同意”一個基礎。

　　而我們在前面提到有關個人信息保護的場景非常豐富，如果只依賴“同意”的方式，可能還是會有一定的矛盾。

　　所以我們在里面增設了合同、公共利益、新聞媒體監督，類似這樣的一些合法性基礎。

　　(2)從同意的角度著手，也是目前世界范圍內個人信息保護的主要基礎

　　但只是同意還不夠，這一次在同意的基礎上進行了豐富，提到了“單獨同意”的概念。

　　“單獨同意”也會對企業的合規帶來很大的影響。

　　再有，《個人信息保護法》對自動化決策和一些新技術進行了一些回應。我們將涉及所有跟個人信息合規的一些業界實踐，包括一些域外立法的經驗進行了匯總。比如增加了對數據進行分級分類和事前風險評估的要求、對數據跨境前需要履行的義務的要求等等。

　　這樣可以看到相比之前，《個人信息保護法》出臺之后，制度上覆蓋地更加全面。

　　當然對于企業而言，也要理解個人信息合規工作不是一個一勞永逸的事情，而是一個可持續的過程，這意味著需要企業不斷努力去履行這些制度帶來的合規義務。

　　而且在某種程度上，個人信息保護的合規跟合法不完全是一回事。合規的過程離不開企業在技術和制度上的持續投入，并不是非黑即白。

　　當然什么叫做違法，有時是清楚的。但什么叫合規、違規，其中是有一定的界限，需要企業自身去證明。

　　2. 上上簽電子簽約：您剛才提到企業一定要做到留痕，以及數據的安全存儲。現在很多企業想借助電子簽名，由一個獨立第三方提供留痕、中立性的證據。

　　電子簽名平臺作為第三方中立平臺，怎么做能夠更好地滿足《個人信息保護法》的合規要求？

　　王新銳律師：《個人信息保護法》出臺之后，我們也跟一些客戶做了討論，比如“單獨同意”不僅僅是一個同意本身的過程，還需要對同意進行記錄。

　　可以看到這次《個人信息保護法》帶來的一個變化是確立了過錯推定責任，也就是要求企業在面對一些個人信息風險事件時，要自證清白。

　　如果企業要證明自己沒有做錯事情，就需要企業全程留痕，然后能夠舉證。電子簽約平臺的一個價值也在于此，它可以幫助企業在整個過程實時留痕，比如對同意、單獨同意怎么獲得的做留痕，或對面向員工做的一些通知動作做留痕，后續，如果員工或者公司要去查詢電子合同，公證信息，相對來說電子簽名平臺是可以實現的，這也是電子簽名廠商能夠給企業帶來的價值。

　　但另外一方面，因為電子簽名廠商服務了很多客戶，就要考慮內部的控制，內部的訪問權限設置的問題，比如需要對這些數據內部進行隔離。

　　

　　上上簽電子簽約：關于這些，上上簽內部是有一整套完善的安全機制和流程的。我們內部的一些運維人員，是沒辦法直接接觸這些數據的。

　　同時我們把產品提供給外面的企業客戶或者個人客戶時，也要進行初次的告知，告知要采集哪些信息，一般我們都是采集最小信息，只要完成實名認證就可以。

　　后續采集這些最小信息，用于什么方面，都會有告知說明，尤其在采用面部識別的時候，這種屬于特別隱私的數據，我們還會有一個單獨告知的說明。

　　3. 上上簽電子簽約：此外，您覺得第三方電子簽名服務商還需要做哪些能夠更加完善？

　　王新銳律師：在《個人信息保護法》出臺之后，所有大型公司的產品都需要根據其進行一些調整。

　　這種調整一是要跟合規義務對齊，我覺得現在已經在做的一些方案、技術手段，肯定之前也都能夠被證明是有效的。在《個人信息保護法》出臺之后，企業需要捋一遍所有提供“告知—同意”的環節，是否跟法律要求是一致的。

　　另外企業內部需要做數據的分級分類，我看到很多企業目前還沒有完全做到位。原因很簡單，之前法律沒有強制性的規定，但是在企業做數據分級分類之后，才能把數據做區分，比如區分為個人信息、敏感個人信息。甚至會區分出可能有一部分信息不只是個人信息，還屬于重要數據。企業需要通過這樣的方式，才能確定該以何種方式去處理哪些類型的數據，或者在哪些情況下的數據處理是受到限制的。

　　如同王新銳律師與上上簽的對話，《個人信息保護法》出臺后，企業在選擇電子簽名供應商時，會更加考慮個人信息安全保護的合規要求，第三方科技服務商因此需要更加關注相關細節，幫助企業規避潛在風險。

特別提醒：本網信息來自于互聯網，目的在于傳遞更多信息，并不代表本網贊同其觀點。其原創性以及文中陳述文字和內容未經本站證實，對本文以及其中全部或者部分內容、文字的真實性、完整性、及時性本站不作任何保證或承諾，并請自行核實相關內容。本站不承擔此類作品侵權行為的直接責任及連帶責任。如若本網有任何內容侵犯您的權益，請及時聯系我們，本站將會在24小時內處理完畢。