欧宝体育官网登录:灵敏用工渠道面对的首要数据合规问题
《数据安全法》已于日前正式出台,并将于2021年9月1日起施行。这意味着,《数据安全法》将与《网络安全法》及行将问世的《个人信息维护法》(现在处于草案二审阶段)一同,一起构筑我国数据安全范畴的法令结构,规范数字经济健康久远打开。
作为数字经济新业态中的重要组成部分之一,灵敏用工职业的数据安全及合规办理问题非常严峻。依据其运营形式,灵敏用工渠道本身会搜集许多个人数据(含个人敏感数据),如会存在所搜集的数据在灵工渠道的集团内同享,与事务需求方、第三方服务商或政府部分同享等,若不对数据安全加以维护,将形成无法估量的影响。
对此,本文将经过系列文章,在上篇整理灵敏用工渠道的数据全生命周期的根底上,总结灵敏用工渠道面对的数据安全及合规问题;并于下篇为灵敏用工渠道供给数据合规途径与解法。
跟着灵敏用工渠道的进一步打开,其处理数据的场景会越来越多,也会越来越杂乱。以某灵敏用工渠道为例,其现在已不只是满足于为用工企业及灵工人员供给结算功用,而是经过加载更多的增值服务来为灵敏用工渠道进行赋能,如为灵工人员供给稳妥服务、金融服务等等。此刻,灵敏用工渠道不可避免地会触及到与第三方稳妥服务商、金融服务商同享灵工人员的数据,若灵敏用工渠道未就该等数据同享规矩向灵工人员进行阐明并取得灵工人员的赞同,或虽已取得灵工人员赞同但在实践同享进程未遵从规矩进行同享的,则将会埋下数据安全的危险,亦涉嫌侵略灵工人员的数据权益。
灵敏用工渠道在运营进程中一般会历经以下数据生命周期:(1)从最开端针对灵工人员的个人数据(含个人敏感数据)搜集;(2)到将前述搜集的用户数据传输至主管商场监督办理局及主管税务机关以完结工商挂号、税务挂号、申报交税等事宜;(3)到存储数据以供后续数据的调用及大数据分析;(4)再到不同事务功用下的数据的运用及同享;(5)直至终究应用户要求或在用户刊出账号时进行数据删去或匿名化处理。
如上文所述,不可否认,灵敏用工渠道会触摸许多的数据,但关于灵敏用工渠道本身而言,其是否真实具有这些数据?其是否应当对该等数据的安全及合规担任?信任这是不少灵敏用工渠道的困惑点地址。
其实,上述问题的中心点在于,灵敏用工渠道终究归于数据操控者仍是数据处理者?
依据欧盟出台的《通用数据维护法令》(General Data Protection Regulation,下称“《GDPR》”),数据操控者与数据处理者的首要差异在于是否决议了个人数据的运用意图和处理方式。
关于灵敏用工渠道而言,在总包形式项下(此处是指本质意义上的总包形式,非仅为结算资金而采纳的“假总包”形式),用工企业、灵敏用工渠道及灵工人员是背靠背签署协议,用工企业与灵工人员之间并无直接的法令关系,其无法直接操控灵工人员;而灵敏用工渠道作为直接与灵工人员产生法令关系的一方,关于灵工人员的数据享有操控权,能够直接决议数据的运用意图及处理方式,因而,在总包形式项下,灵敏用工渠道归于“数据操控者”。
但在促成形式项下,灵敏用工渠道仅促成用工企业与灵工人员之间树立协作关系,不本质参加到事务承包进程中,其仅系依据用工企业的要求及指示处理灵工人员的数据,因而,在促成形式项下,灵敏用工渠道归于“数据处理者”。
可是在我国,无论是现已出台的《数据安全法》仍是尚在审议阶段的《个人信息维护法(草案)》,其均未区别数据操控者与处理者,而是抽象表述为“打开数据处理活动的安排、个人”/“个人信息处理者”。这在某种程度上拔高了《GDPR》语境下的“数据处理者”所需承当的职责及职责。实践中有许多的数据处理者无法完成数据操控者身份下的数据维护,一起因为含糊了数据处理者和操控者的界定,让两者无法得到有用的合规鸿沟指引。而欧盟作为GDPR规矩的配套文件,专门出台了数据操控者与数据处理者的白皮书,将两者清晰区别之后配以不同的监管要求。
在现阶段国内尚无其他配套文件解说阐明的情况下,本着“就高不就低”的准则,主张灵敏用工以“数据操控者”的身份严格要求自己,执行好数据全生命周期项下各个环节的数据安全,本文亦以灵敏用工渠道作为“数据操控者”的身份予以打开。
因而,灵工渠道作为数据处理者,应当依照《个人信息维护法(草案)》中规矩的数据处理准则打开数据处理活动,该准则与欧盟GDPR中的数据操控者数据处理的七大准则高度一致,详细包含:1、合法、公正、通明;2、意图约束;3、数据最小化;4、存储约束;5、准确性;6、完整性和秘要性;7、问责制。
因为灵敏用工职业仍处于告知打开阶段,灵敏用工渠道关于渠道数据安全并未予以满足的注重。虽然天津市商场监督办理委员出台了首个针对灵敏用工渠道的数据安全当地规范(2021年1月15日施行的《同享经济灵敏工作人员办理与服务渠道根本安全要求》),但该地标对渠道的数据安全问题约好得较为简略和抽象,关于灵敏用工渠道的指导意义不强,大部分灵敏用工渠道在数据的全生命周期项下,依然根本没有遵从个人数据维护的根本准则,数据合规问题存在严峻应战。
现在,虽然绝大多数灵敏用工渠道都会公示相关的用户注册协议及隐私方针,但根本都是简略学习各大渠道的协议,并未注重隐私方针所公示内容的完整性、精确性及合规性。如部分灵敏用工渠道未依据本身渠道功用设置对应的数据搜集运用规矩,或在未经用户赞同隐私方针前就开端搜集、上传个人数据,以至于隐私方针形同虚设。
除此之外,部分灵敏用工渠道还存在过度搜集个人数据的景象。国家互联网信息办公室、工业和信息化部、公安部及国家商场监督办理总局出台的《常见类型移动互联网应用程序必要个人信息规模规矩》清晰移动互联网应用程序运营者不得因用户不赞同搜集非必要个人数据,而回绝用户运用根本功用服务。可是在实践中,许多灵敏用工渠道APP或微信小程序搜集的个人数据与其完成的产品功用并没有清晰相关,乃至显着超出合理规模。如在灵工人员的身份验证环节,搜集灵工人员的手机号码、验证码、名字、身份证号码等数据是必要的,可是强制要求灵工人员供给人脸验证视频信息,则显着超出数据搜集的最小必要准则,构成过度搜集个人数据的行为。
当灵敏用工渠道搜集到灵工人员的个人数据,将依据不同的运营形式将数据传输至其他第三方,但针对数据传输进程并未彻底选用秘要等安全措施。如在灵敏用工个体工商户形式下,灵工渠道往往会与当地工商注册挂号渠道IT对接,将灵工人员批量注册个体工商户所需求的个人数据进行传输,但未采纳加密等维护措施。在此进程中一旦简单呈现数据走漏、丢掉等景象。
为了便于后续数据调用及大数据分析,灵敏用工渠道往往会存储部分灵工人员用户数据,但并未清晰数据存储地址(如是否存在跨境运送)及存储期限,以及超期限后的数据处理规矩。
一起,在数据存储方面,灵敏用工渠道并未彻底完成数据的分级分类办理制度,未针对数据分类分级成果采纳不同的数据存储战略,针对个人敏感数据亦未完成加密存储等。
实践中,灵敏用工渠道还存在未在渠道隐私方针约好的规模内运用灵工人员个人数据的行为,且并未就此行为再次征得灵工人员的明示赞同。如隐私方针中清晰身份证数据仅用于渠道根底事务功用,但灵敏用工渠道却将该等数据用于渠道增值事务功用(如用于稳妥服务),则构成超规模运用灵工人员个人信息的行为。
实践中,灵工渠道的法令安排特点是多主体集团公司形状,数据搜集主体和数据处理主体往往不一致,因而触及到数据搬运和数据同享的问题。
其次,灵工渠道触及的外部数据同享场景许多,包含依据监管需求与政务部分进行同享、依据增值服务赋能与第三方服务商进行同享、依据内部运营需求在相关公司间进行同享。
可是,不少灵工渠道并未向灵工人员和外部第三方等协作组织清晰数据同享意图及同享规矩,或虽然清晰但实践并未与数据同享方一起恪守该同享规矩,导致个人数据被私行同享。
一般,当灵工人员要求、灵工人员刊出账户或灵敏用工渠道中止运营时,灵敏用工渠道应当删去或匿名化处理灵工人员的个人数据。
但绝大部分灵敏用工渠道并未设置灵工人员能够自主挑选删去其个人数据的途径;即使灵工人员已刊出账户,其此前被搜集的个人数据仍留存与灵敏用工渠道之内,亦未能完成匿名化处理。
跟着灵敏用工职业的打开,与数据相关的处理行为和功用会逐步增多,自动化画像推送问题、数据交融问题、数据搬迁等问题会不断涌现,渠道所面对的数据安全职责和压力以及合规要求都将不断添加。
在灵敏用工总包形式下,灵敏用工渠道作为数据操控者,决议着灵工人员个人数据的运用意图和处理方式,故应当对灵工人员的个人数据担任。
虽然灵敏用工的运营进程中历经数据的全生命周期,且触及许多的个人数据,但灵敏用工渠道对数据安全的注重程度并不高,全体数据安全才能单薄,在数据搜集、运送、存储、运用、同享及删去等各环节均面对着严峻的数据合规问题。
可是,灵敏用工渠道如想进一步打开,必定需求承当更高的数据安全职责及合规要求。对此,灵敏用工渠道是否有合规途径解法?敬请重视下篇《灵敏用工渠道的数据合规解决方案》。回来搜狐,检查更多
