新经济与法|灵活用工平台数据合规难题及解决方案
2021-7-2 12:47|
发布者: wdb|
查看: 44|
评论: 0|原作者: [db:作者]|来自: [db:来源]
摘要: 新经济与法|灵活用工平台数据合规难题及解决方案,更多文化艺术分享关注我们。
《数据平安法》已于当前正规颁布,并将于2021年9月1日起施行。这意指着,《数据平安法》将与《网站平安法》及将要面世的《私人消息庇护法》(日前处于草案二审阶段)一同,一同构筑华夏数据平安范畴的法律构架,规范数字经济健康长远进行。作为数字经济新业态中的要紧构成部分之一,灵活用工产业的数据平安及合规治理难题非常严峻。鉴于其运营形式,灵活用工平台自身会收集大批私人数据(含私人感性数据),若不对数据平安加以庇护,将形成没有办法估量的作用。对此,本文将在整理灵活用工平台的数据全寿命周期的根基上,总结灵活用工平台面对的数据平安及合规难题,为灵活用工平台提供数据合规路径与解法。一、灵活用工平台的数据全寿命周期剖析(一)灵活用工平台的数据全寿命周期随着灵活用工平台的进一步进行,其料理数据的情景会越来越多,也会越来越繁杂。以某灵活用工平台为例,其日前已不但仅满足于为用工公司及灵工人士提供结算功效,却是经过加载更多的增值效劳来为灵活用工平台发展赋能,如为灵工人士提供保障效劳、金融效劳等等。此时,灵活用工平台不可幸免地会涉及到与第三方保障效劳商、金融效劳商共享灵工人士的数据,若灵活用工平台未就该等数据共享准则向灵工人士发展讲明并得到灵工人士的同意,或虽已得到灵工人士同意但在实质共享进程未遵照准则发展共享,则将来会埋下数据平安祸患,亦涉嫌侵犯灵工人士的数据权益。灵活用工平台在运营进程中平常会历经之下数据寿命周期:(1)从最最初针对灵工人士的私人数据(含私人感性数据)收集;(2)到将前述收集的使用者数据传输至主管市场监督治理局及主管税务机关以达成工商备案、税务备案、申报纳税等事情;(3)到存储数据以供延续数据的调用及大数据剖析;(4)再到不同营业功效下的数据运用及共享;(5)直至终归利用户请求或在使用者注销账号时发展数据删除或匿名化料理。详细而言,灵活用工平台的数据全寿命周期如上图所示:(二)概念厘清:数据操控者和数据料理者难题焦点在于,灵活用工平台究竟隶属数据操控者仍是数据料理者?依据欧盟颁布的《通用数据庇护条例》(General Data Protection Regulation,下称“《GDPR》”),数据操控者与数据料理者的最重要的区分在因而否打算了私人数据的运用目的和料理形式。关于灵活用工平台而言,在总包形式下(非仅为结算资金而采用的“假总包”形式),用工公司、灵活用工平台及灵工人士是背靠背签定合同,用工公司与灵工人士之中并没有干脆法律关连,其没有办法干脆操控灵工人士;而灵活用工平台作为干脆与灵工人士产生法律关连的一方,关于灵工人士的数据享有操控权,能够干脆打算数据的运用目的及料理形式,因而,在总包形式项下,灵活用工平台隶属“数据操控者”。但在撮合形式下,灵活用工平台仅撮合用工公司与灵工人士之中构建合作关连,不实际参加到营业承揽进程,其仅系依据用工公司的请求及指令料理灵工人士的数据,因而,在撮合形式下,灵活用工平台属“数据料理者”。然则在华夏,不论是曾经颁布的《数据平安法》仍是尚在审议阶段的《私人消息庇护法(草案)》,其均未区别数据操控者与料理者,却是笼统表述为“展开数据料理运动的组织、私人”/“私人消息料理者”。这在某种水平上拔高了《GDPR》语境下的“数据料理者”所需承受的责任及义务。实践中有大批的数据料理者没有办法实现数据操控者身份下的数据庇护,同一时间由于模糊了数据料理者和操控者的界定,让两者没有办法获得有用合规边界指引。而欧盟作为GDPR准则的配套文献,专门颁布了数据操控者与数据料理者的白皮书,将两者准确区别以后配以不同的看管请求。在现阶段,国家内部尚没有其它配套文献解释讲明的概况下,本着“就高不就低”的准则,提议灵活用工以“数据操控者”的身份严刻请求本人,贯彻好数据全寿命周期项下各个步骤的数据平安,本文亦以灵活用工平台作为“数据操控者”的身份予以开展。因而,灵工平台作为数据料理者,理当依照《私人消息庇护法(草案)》中划定的数据料理准则展开数据料理运动,该准则与欧盟GDPR中的数据操控者数据料理的七大准则高度绝对,详细包括:1、合法、公平、透明;2、目的节制;3、数据最小化;4、存储节制;5、明确性;6、完整性和机密性;7、问责制。二、灵活用工平台最重要的面对数据平安及合规难题源于灵活用工产业仍处于快速进行阶段,灵活用工平台对平台数据平安并没有予以充足重视。尽管天津市市场监督治理委员颁布了首个针对灵活用工平台的数据平安位置准则(2021年1月15日实行的《共享经济灵活就业人士治理与效劳平台根本平安请求》),但该地标对平台数据平安难题约定得较为容易和笼统,关于灵活用工平台的指导意义不强,多数灵活用工平台在数据全寿命周期,根本无遵循私人数据庇护的根本准则,数据合规难题存留严峻挑战。详细而言,灵活用工平台最重要的面对的数据平安及合规难题如是:(一)数据收集:未经明示同意收集或过度收集灵工人士私人数据日前,尽管绝许多数灵活用工平台都会公示相干的使用者注册合同及隐私政策,但根本皆是容易借鉴各大平台的合同,并没有重视隐私政策所公示内容的完整性、精准性及合规性。如部分灵活用工平台未依据本身平台功效设计对应的数据收集运用准则,或在未经使用者同意隐私政策前就最初收集、上传私人数据,以至于隐私政策形同虚设。另外,部分灵活用工平台还存留过度收集私人数据的情形。国度互联网消息办公室、产业和消息化部、公安部及国度市场监督治理总局颁布的《常见类别搬动互联网利用程序必需私人消息范畴划定》准确搬动互联网利用程序运营者不得因使用者不同意收集非必需私人数据,而拒绝使用者运用根本功效效劳。然则在实践中,大批灵活用工平台APP或微信小程序收集的私人数据与本来现的产物功效并未准确关联,甚而显著高于合乎道理范畴。如在灵工人士的身份认证步骤,收集灵工人士的电话号码、认证码、姓名、身份证号码等数据是必需的,可是强迫请求灵工人士提供人脸认证视频消息,则显著高于数据搜集的最小必需准则,组成过度收集私人数据的举止。(二)数据传输:未采纳加密等平安举措传输数据当灵活用工平台收集到灵工人士的私人数据,将鉴于不同的运营形式将数据传输至其它第三方,但针对数据传输进程并没有十足采纳机密等平安举措。如在灵活用工个体工商户形式下,灵工平台常常会与本地工商注册备案平台IT对接,将灵工人士批量注册个体工商户所须要的私人数据发展传输,但未采用加密等庇护举措。在此进程中,简单显露数据泄露、丢失等情形。(三)数据存储:未准确存储地点及存储期限,亦未实现分级存储为了便于延续数据调用及大数据剖析,灵活用工平台常常会存储部分灵工人士使用者数据,但并没有准确数据存储地点(如下否存留跨境运输)及存储期限,以及超期限后的数据料理准则。同一时间,在数据存储方面,灵活用工平台并没有十足实现数据的分级、分类治理,未针对数据分类分级结果采用不同的数据存储战略,针对私人感性数据亦未实现加密存储等。(四)数据运用:超范畴运用灵工人士私人数据实践中,灵活用工平台还存留未在平台隐私政策约定的范畴内运用灵工人士私人数据的举止,且并没有就此举止再一次征得灵工人士的明示同意。如隐私政策中准确身份证数据仅用于平台根基营业功效,但灵活用工平台却将该等数据用于平台增值营业功效(如用于保障效劳),则组成超范畴运用灵工人士私人消息的举止。(五)数据共享:共享准则不清楚实践中,灵工平台的法律组织特色是多主体团体企业形态,数据采集主体和数据料理主体常常不绝对,因而涉及到数据转嫁和数据共享的难题。其次,灵工平台涉及的外部数据共享情景好多,包括鉴于看管要求与政务部门发展共享、鉴于增值效劳赋能与第三方效劳商发展共享、鉴于里面运营要求在关联企业间发展共享。然则,不少灵工平台并没有向灵工人士和外部第三方等合作机构准确数据共享目的及共享准则,或尽管准确但实质并没有与数据共享方一同遵守该共享准则,导致私人数据被擅自共享。(六)数据删除:未设计删除路径,亦未实现匿名化料理 平常,当灵工人士请求、灵工人士注销账户或灵活用工平台停止运营时,灵活用工平台理当删除或匿名化料理灵工人士的私人数据。但绝多数灵活用工平台并没有设计灵工人士可行自助抉择删除其私人数据的路径;即使灵工人士已注销账户,其之前被收集的私人数据仍留存与灵活用工平台之内,亦未能实现匿名化料理。随着灵活用工产业的进行,与数据相干的料理举止和功效会渐渐增多,自动化画像推送难题、数据合一难题、数据迁移等难题会不停涌现,平台所面对的数据平安责任和负担以及合规请求都将不停增添。三、灵活用工平台数据合规路径与解法灵活用工平台只要要贯彻展开私人消息平安估价的要害步骤,并把握住隐私政策这一要紧抓手,即可根本构建灵活用工平台本身的数据合规体制构架。(一)要害步骤:展开私人消息平安估价展开私人消息平安估价是构建数据合规体制的要害步骤。《GDPR》中划定,当某种类别的数据料理(特别是适用新技艺发展的料理)很可能会对当然人的权利与自由带来高风险时,在考量料理性质、范畴、语境与目的后,数据操控者理当在料理此前估价该流程对私人数据庇护的作用,即数据庇护作用估价(DPIA: Data Protection Impact Assessment);而《数据平安法》亦划定,要紧数据的料理者理当依照划定对其数据料理运动定期展开风险估价,并向相关主管部门报送风险估价汇报。日前“要紧数据”的范畴尚未厘清,信任未来将来会颁布配套文献对“要紧数据”做进一步解释讲明,灵活用工平台的数据估价路径将更为清楚。而依据《私人消息庇护法(草案)》,私人消息料理者理当对下列私人消息料理运动在事向前行风险估价,并对料理概况发展纪录:(1)料理感性私人消息;(2)应用私人消息发展自动化决策;(3)委托料理私人消息、向第三方提供私人消息、公布私人消息;(4)向境外提供私人消息;(5)其它对私人有重要作用的私人消息料理运动。从上述国内外划定中可行瞧出,关于灵活用工平台而言,其定期展开私人消息平安作用估价是必需且要紧的。一方面,展开私人消息平安估价可行规范灵活用工平台平常经营运动,及时辩别风险及庇护举措的漏洞,降低治理及合规本钱;同一时间私人消息平安估价汇报可行帮助灵工人士理解其私人消息将如何被处置及庇护,保证其关于私人数据的知情权,幸免针对其私人数据发展的高风险数据料理举止。而另一方面,私人消息平安估价在灵活用工平台被相关主管部门事后看管和考查进程中也发挥着要紧参考效用,甚而会将作为其惩罚的裁量因素。尽管日前市面子上有不少价值不菲的私人消息平安估价产物,但实质内容较为粗糙、流于方式。有些估价产物出示的检验清单中,疏忽了针对平台搜集数据时能否鉴于其提供的营业情景而遵循了最小必需准则发展检验;关于孩童使用者等特殊使用者也未设计专门的检验路径。运用这种估价产物,对灵活用工平台而言并没有很大意义。因而,提议灵活用工平台委托不业余的外部第三方机构(如律师事务所、平安技艺机构、征询企业等)发展独立且不业余的估价,且在购置估价产物效劳时,要点考察其估价过程中能否包涵估价“平台功效描画与搜集的最小必需数据能否配合”以及“隐私政策与体系功效能否绝对”这两大难题,以此判断该估价产物的不业余性。(二)要紧抓手:写好、用好隐私政策隐私政策是灵活用工平台对外展现本身数据平安及合规路径的要紧抓手。从实用方位而言,不及格的隐私政策将导致灵活用工平台面对被下架的风险。因而,一份隐私政策的要紧性不言而喻。灵活用工平台理当把握之下重点:第一,列明不同营业功效下私人消息收集运用准则。灵活用工平台理当在隐私政策中准确营业功效的详细内容、对应搜集的必需私人数据范畴及对应的效劳以及可行自助抉择提供的数据范畴,让得灵工人士明白私人数据的收集运用准则。第二,准确数据共享等料理准则。灵活用工平台理当在隐私政策中准确其共享私人数据的类别(尤其是私人感性数据的类别),数据共享的目的,数据共享方的类别,数据共享方的身份和数据平安能力,以及可能发生的后果等等。第三,准确平台数据平安庇护举措。灵活用工平台理当在隐私政策中列明其已采用的数据平安庇护举措(如上文说起的私人数据平安估价及其它平安防护举措等),及其已取得的数据平安验证(如三级等保、ISO27001验证等等)。第四,准确灵工人士就其私人数据享有的权利。灵活用工平台理当在隐私政策中列明灵工人士享有的访问、更正、删除、改变/撤回同意范畴,获取私人数据副本等权利详细内容以及实现路径,以庇护灵工人士的权利不受侵害。隐私政策中包括数据全寿命周期的准则及制度,对外表现的是平台关于私人数据的庇护实践,假如隐私政策与体系实践不绝对,灵活用工平台终究仍是会自食恶果,承受相应数据违纪风险。因而,灵活用工平台理当依据隐私政策设定的准则,及时调度体系功效并保证与之相配合,达成“实际上的合规”。四、结语合规提议的起点在于私人消息平安作用估价,重点的把握在于隐私政策,终归构建数据平安庇护体制。若灵活用工平台能够真实贯彻展开私人消息平安估价的要害步骤,有用辩别不业余的第三方估价机构并与之展开独立的私人消息平安估价事业;同一时间把握住隐私政策这一要紧抓手,写好、用好隐私政策,让得体系功效与隐私政策相配合,则能够构建平台数据合规的根基构架,建立起灵工平台的数据合规庇护体制。关于灵活用工平台而言,数据是其进一步进行的要紧基石,当平台上合法有用留存的数据沉淀为数字产业,将实现关于灵工人士私人及灵活用工平台自身的价格赋能,有助于灵活用工平台塑造全个营业体制的数字链闭环。因而,灵活用工平台理当重视数据平安及合规所缔造的价格,依法高效使用及庇护平台数据。(作者单位:德恒上海律师事务所) |
|全球新闻在线
( 闽ICP备2022018685号-2 )
