privacy-and-online-law
如何确保在获取数据过程中遵守数据隐私法
Table of Contents
不断变化的管理景观及其对交易结构的影响
数据隐私法并不统一,它们因法域不同而不同,而且往往重叠。理解哪些法律适用于目标公司——以及购买者——是任何合规战略的第一步。最有影响力的框架包括:欧洲经济区[一般数据保护条例;经修正的[California Conserm Pirm Problication Act ;新加坡《加利福尼亚隐私权法》;以及诸如美国健康保险可携带性和问责制法或[《个人数据保护法》等部门性法规。近年来,许多国家还颁布了全面的隐私法,包括巴西的LGPD、日本的API和南非的IP-使全球合规性日益复杂。
这种监管的拼接工作直接影响交易结构。 获得者必须考虑目标的数据做法是否与收购者现有的合规框架相一致。 重大差异 — — 如依赖不容易转让的同意 — — 可能需要重新谈判购买价格、建立补偿代管人,甚至将购置作为资产购买而不是股票购买来隔离某些数据资产。 诸如UK信息专员办公室和法国CNIL等监管机构已经发布了指南,强调在任何控制权的转让过程中,买方和卖方都有责任确保合法性。
主要法律中的关键原则
尽管在范围和执行上存在差异,但大多数数据隐私制度都具有获得者需要处理的基本原则:
- 合法性、公平性和透明度[ — — 个人数据必须在有效的法律基础上处理,个人必须被告知其数据是如何使用的。 获取后,新控制者必须重新评估现有法律基础是否仍然有效,或者是否需要重新获得同意。
- 目的限制[ – 数据只应当为特定,明确,合法的目的收集. 获取后重新使用数据——例如,在全新的产品线中使用客户的忠诚度程序数据——要求在原始处理目的下进行仔细评估.
- 数据最小化 — — 只有为预期目的收集并保留所需的最低数据。 整合往往会形成必须进行清理或匿名的多余数据库。
- 准确性和存储限制[ — — 数据必须保持准确和保留,而且不得超出必要。 获取数据是审计和清理数据集的理想时刻。
- 完整性和保密性 — — 安全措施必须保护数据不被未经授权的访问、意外丢失或破坏。 系统之间的迁移是一个高风险时期。
- 问责 — — 数据控制员必须通过文件、培训和监督来证明遵守。 合并的实体需要一个统一的问责框架。
将这些原则与目标公司的现行政策和做法相提并论构成了彻底合规审计的基础。 欧洲数据保护委员会(EDPB)[ 发布了数据保护与并购(M&A)之间相互作用的具体准则,指出尽责必须解决新的高风险处理活动的可能性。
收购前尽职调查:深潜
尽责是遵守的基础。 对隐私政策的表面审查是不够的;获取者必须核实目标公司的数据处理活动是否符合法律要求,以及其数据生态系统中不存在隐性责任。 结构化的尽责程序通常包括五个领域:数据治理、同意和权利、安全、第三方关系以及事先强制执行行动。
数据管理和文档
首先,要求目标公司的处理活动记录、隐私政策、内部数据处理程序以及进行的数据保护影响评估。 这些文件揭示了处理范围、所依据的法律基础以及组织内部的数据流动。 评估ROPA是否完整和最新是红旗,可能表明未公开的处理或数据管理文化差。 特别注意特殊类别数据(健康、生物鉴别、政治见解)或与刑事定罪有关的数据的任何处理,因为这些数据吸引了强化监管审查,需要明确的法律依据。
同意和数据主体权利
检查目标公司如何取得同意和证明同意,特别是在营销、剖析或与第三方分享方面。根据GDPR,必须自由给予同意,具体、知情和明确。核查任何同意的年龄——老人同意可能不再符合现行解释下的“无矛盾”或“自由给予”的标准。如果收购涉及控制权或所有权的改变,现有的同意可能不会自动转让。必须通知个人新的控制者,并给予机会撤销同意。同样,核查目标如何处理要求进入、取消限制的权利以及数据可移植性要求。积压的权利要求可能在到期后立即造成遵守问题,并应当量化为潜在的责任。
安全态势和破坏历史
数据违反会花费很多时间来补救并可能玷污获取。 检查目标在过去三到五年中提交的安全政策、事件应对计划和任何违反通知。 如果目标处理敏感数据,请独立的安全评估员进行渗透测试和脆弱性评估。评估其加密做法、访问控制和数据生命周期管理是否成熟。 评估未解决的脆弱性或屡次违反情况的历史往往表明更深层次的组织问题无法迅速解决。 还要检查目标是否维持一个脆弱性披露方案,以及它们如何积极弥补已知的缺陷。 使用NIST网络安全框架作为衡量目标相对于行业标准的地位的基准工具。
第三方和供应商风险
大多数公司依赖第三方供应商进行云存储、分析、发薪或客户关系管理。每个供应商都代表着一种潜在的数据流动,必须在法律上合理。请列出所有数据处理者和分处理者的名单,以及现有的数据处理协议。确认《和平协议》包括诸如数据安全义务、违约通知协议和对跨界数据转移的限制等必要条款。此外,确定不再经营或合同数据留给不活跃的供应商的任何供应商,也是遵守规定的一个常见差距。评估任何供应商合同是否载有可引发重新谈判或终止采购的控制变更条款。公平贸易委员会关于供应商管理的指导为评价第三方应尽职责提供了有用的参考。
先前的强制执行行动和诉讼
寻找公共记录和监管数据库,以了解任何涉及目标的执行行动、罚款或同意令。 即使案件在未承认责任的情况下得到解决,相关做法也可能仍在继续。 询问内部法律和合规小组,了解正在进行的调查或数据主题投诉。 在美国,与数据违规有关的集体诉讼越来越普遍,即使最终驳回,其成本也可能相当高。
合同保障谈判
尽职调查揭示了风险;合同保护分配了风险。购置协议应包括关于数据隐私的具体陈述和保证,以及要求目标在签署至关闭的过渡期内保持合规的契约。
- 隐私陈述和保证[ – 声明目标遵守了所有适用的隐私法,没有遇到任何未公开的违反,获得了所有必要的同意,并保持了准确的ROPA. 考虑要求一个具体的例外列表,而不是笼统的表述.
- 赔偿条款 — — 规定收购人对关闭前侵犯隐私行为无害,包括罚款、罚款、补救费用和第三方索赔。 谈判具体的上限和篮子,同时铭记GDPR罚款可达到全球年度营业额的4% — — 可能比其他赔偿相差甚远。
- 关闭后公约 — — 要求目标在数据整合方面进行合作,更新隐私通知,删除或匿名不再需要的数据。 还包括一项合同,在调查尚未结束时保存数据,以便监管搁置。
- 代管或持有安排[ — — 一部分购买价格可能被扣回,以弥补关闭后发现的与隐私有关的潜在损失。 鉴于隐私侵犯可能几个月或几年后出现,隐私代表延长生存期是可取的。
- 数据转移机制——如果涉及跨境转移,合同要求目标保持有效的转移机制(标准合同条款或具有约束力的公司规则),并在转移后影响评估方面进行合作。
此外,如果收购者打算将数据集成或综合到不同系统之间,合同应解决对可能给个人带来高风险的任何新处理活动进行数据保护影响评估(DPIA)的需要。 欧盟的 GDPR文本和欧洲数据保护委员会的指导强调,在许多M&A情况下,特别是在涉及敏感数据或大规模剖析时,DPIA是强制性的。
综合规划和安全数据迁移
交易一旦结束,真正的工作就开始了。 在保持合规性的同时,整合两个独立的数据环境需要精心地进行协调。 常见的陷阱包括合并数据库而不协调法律基础,未能更新隐私通知,以及无意中将数据暴露在移民期间给未经授权的当事方。
数据绘图和最小化
在进行技术整合之前, 进行详细的数据绘图工作, 确定两个实体的每个数据集、 敏感度、 保留时间表和处理的法律依据。 使用这张地图来制定[ [FLT: 0] 数据最小化计划 —— 确定哪些数据应当保留, 哪些数据可以是匿名或假名, 哪些数据应当删除。 根据目的限制原则, 目标目标出于某种原因收集的数据不能被获取者为了无关的目的自动重复使用, 而不获得新的同意或找到另一个合法依据。 将所有决定记录在数据保存时间表中, 既符合获取者的政策, 也符合适用的法律要求 。
技术安全管制
数据失窃经常在整合过程中发生,因为安全控制暂时被削弱。 确保在两个环境之间的所有数据传输都加密(休息和过境 ) 。 实施严格的访问控制,并基于角色权限,在过渡期间对所有数据访问进行彻底记录。 使用数据损失预防工具来监测未经授权的出口。如果目标使用无法满足获取者安全标准的遗留系统,则计划分阶段迁移或隔离这些数据,直到系统升级。 考虑让第三方安全小组在生产启动前对整合架构进行联合渗透测试。
跨界转移风险
如果收购者在不同的国家或区域运作,数据传输限制就变得至关重要。例如,一个基于欧盟的目标向一个设在美国的收购者转移数据必须依赖一个核准的转移机制,而这种机制现在由于隐私盾牌无效和在决定之后对标准合同条款的持续审查而变得复杂。因此,与法律顾问合作,实施转移影响评估和补充措施,如加密(关键管理确保收购者不能获得纯文本)、假名化或合同承诺只根据明确的指示处理数据。 公平贸易委员会和美国的州检察长也积极监测欺骗性的数据做法,因此,甚至国内交易也需要谨慎地将隐私承诺与实际做法相协调。
获得后期间的数据保留和处置
综合过程经常被忽略的一个方面是重复、过时或多余数据的积累。 获取者和目标都可能持有重叠的客户记录、包括不再接触的营销清单或本应在几年前删除的遗留备份。 系统的数据处理方案对于保持存储限制原则至关重要。 创建一个联合工作队来审查所有保留期,确定超过其授权寿命的数据,并使用符合行业标准的方法(例如,用于媒体消毒的NIST SP 800-88)安全地删除这些数据。 保存一个记录删除内容的处置日志,记录何时、何时、何地删除。这不仅减少风险,而且降低存储和管理成本。
购置后合规管理
合规不是一个一次性事件,必须嵌入到联合组织正在进行的业务中,一个积极主动的治理框架确保隐私仍然是优先事项,即使随着业务优先事项的转变。
更新隐私政策和通知
获取后立即更新所有隐私政策——无论是网站还是客户信息资料。通知控制器变更的数据主体(如果适用),并明确说明如何处理数据。这不仅是透明度义务下的一项法律要求,而且也是一项建立信任措施。许多监管者期望及时、可以理解地发布通知;如果变更重大,则与新政策有联系的大规模电子邮件可能是不够的。考虑分层发布通知,在提出要求时提供关键信息,并附上详细信息。
培训和文化
被收购公司的工作人员(以及现有雇员)需要接受关于合并实体隐私政策、数据处理程序和事件应对协议的培训。 隐私意识应当成为新员工上岗的一部分,并通过年度复习得到加强。 考虑在每个企业单位内指定一名数据保护干事(DPO)或隐私卫士作为日常问题的联络点。运行桌面练习,在整合期间模拟数据漏洞,以测试响应的有效性。
不断监测和审计
定期内部审计――然后每年定期进行,以评估隐私政策、合同义务和监管变化的遵守情况。使用自动工具监测数据获取模式、未经授权的传输尝试和同意到期日期。保持一个中央登记册,并在新程序引入或旧程序退出时更新。监管者越来越期望各组织能够应要求编制现行《业务守则》,而即使没有发生实质性违反,如不维持这种程序也会导致罚款。还监测不断变化的监管环境,诸如欧盟数据法或拟议的美国联邦隐私立法等新法律可能规定需要纳入合规方案的额外义务。
结论
数据隐私在获取过程中的合规性是一个多层次的挑战,需要法律、技术和业务协调。 通过系统地着手,从严格的尽职开始,谈判强有力的合同保护,规划与谨慎的一体化,以及建立持续的治理,组织可以保护自己免受重大的财务和声誉损害。 错误的代价太高,但正确的好处远远超出避免风险。 管理良好的隐私整合信号给客户、监管者和收购组织是个人数据的负责任管理者市场 — — 在信任为货币的时代,这是一个竞争优势。 将隐私作为核心交易价值驱动器而不是事后思考,而收购将有利于持续的成功。