随着数据安全与个人信息保护的立法推进,各个企业已经开始将外规要求转化为内部管理机制,并取得有效进展。
这些包括:
①建立数据安全与个人信息保护制度体系
②建立数据安全与个人信息保护组织架构与领导小组
③在公司运营和业务实践过程中贯彻落实国家法律以及行业监管机构对数据安全与个人信息保护的要求
④并定期开展内部审计与外部审计工作确保组织时刻满足外规要求
⑤同时以定期培训的形式加强公司员工以及相关供应商的数据与个人信息保护意识。
得益于证监会出台的详细操作指南,各家金融机构基本都能有效开展数据安全与个人信息保护机制搭建和落地。
但对于有一点,也是笔者在实务过程中有客户提出的疑问点,我国法律中目前缺少明确的说明和规定,那就是:
如何管理纸质文件上的数据?载有个人信息的纸质文件是否应该纳入整体的数据安全保护体系中?
有这样的疑问也是因为我们所理解的数据,以及数据安全保护工作,作用对象都是以电子化方式存储的信息,这些也是各国数据法律所管制的主要对象,但并不意味着非电子化数据就不在法律管辖范围内。
好在欧盟作为全球的数据立法高地,GDPR有对此情况进行说明和解释。
本文将着重介绍GDPR的法律解释,由此为我国企业管理纸质文件提供一些参考和思路。参考文件及链接在文末。
根据欧洲GDPR,以纸张,甚至雕刻方式承载的信息也有可能成为GDPR定义下的“个人数据”。
但与电子化的数据自动可以被归类为“个人数据”不同,以纸张等方式记录的数据要想成为GDPR定义下的“个人数据”,则需要成为“归档系统”的一部分(GDPR Recital 15)。
而根据GDPR对“归档系统”的定义,归档系统(Filing System)是指任何有结构的个人数据集,且这些数据集可以通过特定的标准来获取和访问。
‘filing system’ means any structured set of personal data which are accessible according to specific criteria, whether centralised, decentralised or dispersed on a functional or geographical basis.
值得注意的是,在数据安全与个人信息保护领域,中文语境下的“系统”容易理解成“信息系统”,即由计算机硬件、网络和通讯设备、计算机软件、信息资源、信息用户和规章制度组成的以处理信息流为目的的人机一体化系统(MBA智库百科)。
对于纸质文件而言,归档系统中的“系统”更多是指由若干要素按照一定结构组成的能实现一定功能的整体(MBA智库百科)。
图书馆的图书集就是一个很好的例子,图书管理员将各个图书按照书的类别、语言、国家等标准来分类,我们为了获取图书,也会参考这些分类标准。
在企业的实务场景中,这样的归档系统一般见于后勤管理部门、行政办公室、人力资源管理办公室等。
这些办公室一般会负责处理并归档纸质文件,为了方便管理,方便后期查阅及追溯,管理人员一般会按照一定的标准对这些纸质文件进行分类。
如人力资源纸质文件会按照部门、人员、日期、字母顺序对劳动合同、保密协议、顾问协议等文件进行分类。
法务部会把各类公司合同按照合同方、合同签署时间、合同归档时间、合同性质等标准进行分类。
由此形成的一个纸质文件集,就可以被视为“归档系统”,那么文件上的个人数据,在GDPR定义下,也是受管辖的一部分。
相反,如果是一个文件夹中有各种各样的文件,这些文件的存放是杂乱无章,没有按照一定标准分类的,那么这个文件夹就不属于GDPR定义下的归档系统,其中的个人数据也不属于GDPR定义下应管理的个人信息。
“归档系统意味着数据是以某种特点的结构或方式进行存储的,因此一个归档系统的主要特点是参考个人的结果以及随时可以获得特定的信息,只有处于这样有分类逻辑的系统中的非电子化数据,才能构成GDPR下的个人数据。”(《GDPR跨境数据合规实务》郑啸哲、卢京京,第二章 GDPR部分术语理解以及法律的适用范围)
一般来说,有效管理的企业都会对纸质文件进行管理,所以一般情况下,文件承载的数据,尤其是个人信息,都应纳入企业数据管理体系的一部分。
综合以上,参考GDPR的法律解释,对于纸质文件上的数据是否应该纳入企业数据管理体系,关键在于:
纸质文件是否受管理于企业的归档系统。
具体判定路径如下:
而且,企业合规管理一般遵循谨慎性原则,带有数据的纸质文件一般都会被纳入数据安全管理体系当中。
企业管理者也可以以数据安全管理为切入点,梳理、分类公司现有的纸质文件,提升纸质文件的管理水平。
以下为本文参考资料:
1. 欧盟GDPR Recital 15
https://gdpr-info.eu/recitals/no-15/
2. 欧盟GDPR对“个人数据”和“归档系统”的定义:
https://gdpr-info.eu/art-4-gdpr/
·‘personaldata’ means any information relating to an identified(已识别的) or identifiable(可识别的) naturalperson (‘data subject’); an identifiable natural person is one who can beidentified, directly or indirectly, in particular by reference to an identifiersuch as a name, an identification number, location data, an online identifieror to one or more factors specific to the physical, physiological, genetic,mental, economic, cultural or social identity of that natural person.
·‘filingsystem’ means any structured set of personal data which are accessible according to specificcriteria, whether centralised, decentralised or dispersed on a functional orgeographical basis.
3.《GDPR跨境数据合规实务》郑啸哲、卢京京,第二章“GDPR部分术语理解以及法律的适用范围”
浙公网安备 33010502006954号 
