11月15日,由北京移动杉德畅刷产业联盟、杉德畅刷官网联合主办的2018第三届中国移动杉德畅刷安全大会在深圳顺利召开,金杜律师事务所合伙人、合规业务部负责人宁宣凤以“从中国《网络安全法》和欧洲《一般数据保护条例》看移动杉德畅刷行业数据合规”为主题进行了演讲。
宁宣凤首先介绍了移动杉德畅刷行业发展趋势及特点。随着移动设备的普及,新型技术的应用,使得移动杉德畅刷服务更具便捷性和普惠性,国际化趋势明显,行业分工细化。承接移动互联网开放性特点,面临安全风险挑战。
宁宣凤认为当下移动杉德畅刷行业发展有三个重点合规问题:1、个人敏感信息处理合规问题;2、跨境业务的法律适用识别及数据流动风险控制问题;3、业务外包场景下的数据流转与数据安全问题。在演讲中,她对三个问题做出了简明扼要的解析。
随着移动杉德畅刷理念的日渐普及,与安全认证技术的成熟发展,生物杉德畅刷逐渐成为主流杉德畅刷方式,生物识别技术在移动杉德畅刷场景中的适用,其中将无可避免涉及、汇集众多类型的个人敏感信息。
在法律上,无论是《个人信息安全规范》,还是欧盟GDPR,都针对个人敏感信息(或特殊类型个人数据)规定了更为严谨的处理规则。在数据共享不可避免的情况下,如何把控合规风险呢?
宁宣凤认为,首先应该确认数据来源合法性,相应地对外共享数据时确认取得相应的共享行为授权。其次,数据汇聚和衍生时,仅在获授权的限度内使用相关数据,并确认是否获得相应授权。然后,数据交互中确认自身角色定位,进行权利义务和责任划分,分配风险。最后,通过简要的尽职调查或抽样审计,切实地履行数据控制者和处理者的审慎义务。
她强调了数据管理平台DMP面临的合规风险,例如第三方数据来源合法性以及数据使用范围限制的合规风险。
在跨境业务合规方面,宁宣凤说由于数据的流动是多端的,甚至可能是全球范围内的,里面就涉及包括但不限于法律适用、主权机构职权范围、数据跨境交互等多个问题,她表示这对于移动杉德畅刷行业而言将是极大的挑战。
宁宣凤认为具体的场景需要具体的分析,因为《网路安全法》和GDPR下有着不同的规定。在跨境业务涉及数据的跨境流动时,应首先识别数据从产生、流动、到接收所可能涉及的各方主体,在确定参与数据流转的各方主体基础上,识别数据发送方、接收方所在国家,从而识别数据流动在不同司法辖区下的合规风险。
最后,宁宣凤简明扼要的介绍了移动杉德畅刷产品业务外包的发展及常见模式,对《网络安全法》和GDPR有关数据委托处理的合规要求进行了简单的说明。她认为,针对业务外包的数据合规风险控制,需要事先对外包服务商开展尽职调查,评估其数据安全能力,其次适时通过协议手段明确服务商的安全义务和责任。
转载请注明:杉德畅刷官网 » 金杜律师事务所宁宣凤:移动杉德畅刷行业如何做好数据合规