上海复恩社会组织法律研究与服务中心与中国慈善联合会特别举办的中国慈善联合会“善客沙龙”暨第四届复恩社会组织合规沙龙 “慈善事业专业发展：数据安全和个人信息保护”专场 已于6月9日成功举办。

本篇我们将给大家分享来自 上海复观律师事务所 律师 谭玥 的演讲。

社会组织语境下的数据安全与个人信息保护

上海复观律师事务所 律师 谭玥

作为一个为社会组织提供法律服务的律师，我今天主要想分享一下这两年来在提供有关数据安全和个人信息保护法相关的服务的过程当中的一些观察和思考。

立法背景。两部法律是技术发展的一个产物。在目前的经济环境中，数据变成一个非常重要的生产要素和基础战略资源，许多国家已经把确保数据安全提到了国家战略层面，所以保护国家安全是这两部法律的主要目的之一。
立法目的。除了刚刚提到的保护国家主权和国家安全之外，还包括保护社会秩序和公共利益、保护公民、法人和其他组织的合法权益。
立法特点。这两部法在适用上和内容上有三个特点。
首先，它的适用范围比较广。个人信息和数据的概念都是非常广泛，基本上我们在日常生活和工作中所接触到的各类的信息，都能够被这两个概念包括在内。
其次，它具有结果导向性。这个特点我在之前给一些机构做培训的时候也会特别强调。两部法律中相关责任的认定是不以行为人主观上是否存在故意作为认定是否违法的条件的。很多情况下，可能行为人在做数据收集的时候并没有恶意，但是如果最后产生的客观结果对国家安全和国家主权、社会秩序和公共利益、或是公民、法人和其他组织的合法权益造成了一定的威胁性，那么是具有被认为违法的可能性的。
最后，这两部法律跟许多其他有关国家安全的法律法规是相互关联的。

在这两年的一个法律服务的过程当中，从大家给到的反馈或者是提出的问题中，我们其实能比较明显的感受到社会组织对于这两部法在意识和认知上的一个转变。

最开始这两部法律刚出台的时候，最常见的一种情况是很多的社会组织并不知道有这两部法已经出台了；还有一些机构可能是通过一些渠道知道有这两部法律，但并不觉得跟自身有什么太大的关系，还没有在意识层面引起特别高的重视程度；第三类机构是被动地知道这些法律的，一方面是它们的登记管理机关或者业务主管单位会对机构保护数全和个人信息的问题进行提醒，特别是涉及到儿童或者医疗健康的机构；另一方面还有一些机构则会受到资助方监督，特别是一些来自早就已经在数据安全和个人信息保护方面有相关立法的国家和地区的境外资助方；最后一类机构既知道有这两部法律，也知道它们的重要性，但是对于接下来具体到底要怎么做是完全没有头绪的。

但是从今年开始我们注意到一个很明显的变化，那就是随着这两部法律普及程度的逐渐提高，一些社会组织在就这方面进行提问或者跟我们进行交流的时候，我们可以很明显的感受到这些社会组织已经对这些法律内容有了基本的了解，而且会很明确的知道自身需要帮助的事项是什么，会聚焦在工作细节上，比如收集个人信息的知情同意书要怎么写， 或者这类信息是不是属于敏感个人信息等等。可以感受到，随着时间的推移，大家其实对相关法律已经逐渐有了内容上的了解和重视程度上的提升。

接下来讲一下为什么数据安全和个人信息保护这两部法律对于社会组织而言是比较重要，而且跟大家的日常工作联系是非常紧密的。数据处理行为有很多种，从收集、存储到最后的传输、公开，其实每一个步骤大家都可以在自己的日常工作中找到对应的一个场景，比如说像收集。其实很简单的一个填写信息收集表的行为，就已经构成信息收集行为了。大家应该意识到，对于社会组织来说，数据和个人信息与我们的距离并没有那么远，也没有那么高大上。

鉴于社会组织非营利性法人的性质，这两部法律在具体适用到社会组织上时也会有一些特点。

第一个，社会组织处理的数据内容以及社会组织所担任的数据处理角色具有多样性。在做一个公益项目的时候，社会组织的工作往往会涉及到多方主体。比如捐赠人或资助人，项目受益群体以及项目合作方等。在项目执行过程中，这些主体都会涉及到数据的收集、处理和使用等，项目相关的数据是在往不同方向流动的。社会组织处于其中最中间的位置，也就意味着它们担任的角色种类是最多的。社会组织既有可能是数据的收集者，也有可能是数据的使用者，还有可能是数据的对外分享者。大多数情况下，社会组织往往会同时担任多个角色，这就意味着两部法律中的许多法律要求社会组织都有可能会涉及到。

除此之外，社会组织在数据流动过程中所处的中间位置，也意味着社会组织需要就数据安全责任在上、下游主体之间进行明确的划分。如果某一个机构给到社会组织的数据是来源不合法的，或者说其实这个机构没有权限去使用的，那社会组织作为下游机构再去使用这些数据会受到一定程度的影响。同样的，社会组织在向下游机构提供数据时，也需要确保下游机构在社会组织的授权范围内使用这些数据。

第二点，不管是日常的行政管理工作中还是在项目工作中，社会组织接触数据的人员种类是比较复杂的。除了机构自己的员工，还有志愿者、实习生等。当我们在谈一个机构的合规性的时候，我们在谈的其实就是机构人员的工作行为的合规性。他们的行为会直接影响到机构工作的合规性。

第三点，比较容易涉及到数据跨境传输的问题。一些社会组织接受的资金可能是来自于境外的资助方，就是我们所说的境外非政府组织境内代表机构进行的资助或捐赠。为了工作和交流的便利性，这些代表机构可能会选择与它们设立在国外的总部使用同一个数据存储和管理系统。这就意味着一旦把数据提供给代表机构，就可能直接提供给了该代表机构的境外总部，从而构成个人信息或者数据跨境行为。很多社会组织会觉得只要数据的物理位置或地理位置在境内，就不存在这个跨境的问题。但其实并不是的。即使数据存储在境内的服务器上，但只要境外机构或者个人可以读取该服务器上的数据，仍然构成数据跨境行为。

最后一点，社会组织的业务容易涉及到一些比较敏感的数据类型。比如做儿童保护或者医疗健康教育的这些机构，它们收集和使用的个人信息就会非常容易涉及到敏感个人信息。

接下来这一部分想跟大家分享一下社会组织为什么要做数据合规。大家可能第一个反应就是因为法律有要求，所以必须要做，不然就面临违法的风险。

确实是这样的，社会组织享受了使用数据和个人信息的权利，对应的也就需要去承担相应的合规义务。如果没有满足法律要求并产生了一些不利的后果，社会组织就会面临民事、行政甚者刑事等多种法律责任。避免承担法律责任可以说是社会组织为什么要去做数据合规的最基础的一个原因，但这并不是唯一的原因。

还有一个重要原因是因为社会组织在工作中需要保护受益人的合法权益。这也是社会组织实现项目效果和机构宗旨的关键要求。有许多案例就是因为对于儿童信息的保护不够到位，最后导致儿童的人身安全直接受到了侵害。很多社会组织是做儿童保护的，工作初衷是要去保护儿童的，而不是让受到帮助的儿童因为我们的工作去面临额外的或更高的风险或者更严重的后果。所以社会组织的数据合规措施，不只是为了确保机构本身的合法性，也是为了确保受益群体的合法权益不会因为我们的工作而受到额外的伤害。

最后一个原因也是容易被大家忽略的。这些法律虽然在规制社会组织，但是同时也在规制其他涉及到数据活动的主体，规制所有跟社会组织合作的主体。了解了这些法律要求，也会帮助社会组织去判断其他主体的行为有没有侵犯到机构自身的一些合法权益。比如机构自身的员工、志愿者和实习生等等，他们在做项目的时候，他们的个人信息是不是被其他合作方进行了充分保护？如果他们的权益受到了侵害，机构在不了解相关法律规定的情况下，很难去帮助他们进行维权。但如果机构了解这些法律要求，就会清楚的知道对方的行为在哪里出了问题以及应当如何及时维权。在机构自身权益受到侵害时，相关的法律法规也会成为有效保护自身权益的有效工具。