斯里兰卡《个人数据保护法》初探及合规风险启示

税收杂志小助手

作者：吕文杰

近年来，随着公民的个人数据保护意识逐渐加强，个人数据保护制度已被很多国家立法规定，其中，比较有代表性的是《欧盟通用数据保护条例》。斯里兰卡也于2022年3月颁布了其《个人数据保护法》，成为南亚地区第一个对个人数据保护进行综合立法的国家。本文旨在简要归纳斯里兰卡《个人数据保护法》条文要点，提示在斯中资企业在日常经营中，特别是招聘属地员工过程中应关注相关要求，以防范境外经营活动中个人数据保护方面的合规风险。
《个人数据保护法》立法背景
2019年，斯里兰卡数字基础设施和信息技术部和立法人员部门（LDD）发布了《个人数据保护法（2019年）》草案，该法案草案向持有个人数据的银行、电信运营商、医院和其他收集并处理个人数据的数据主体设立了监管措施。
2021年3月，LDD发布了《个人数据保护法(2021年)》的修订草案。这部法律以《欧盟通用数据保护条例》为蓝本，对数据控制人施加了相应的法律责任。
2022年3月18日，斯里兰卡《个人数据保护法》由其议会通过，并于3月19日由议会议长签署认证，作为《斯里兰卡民主社会主义共和国公报》第二编之补充内容于2022年3月25日出版公布。
《个人数据保护法》的适用情形
斯里兰卡《个人数据保护法》是对个人数据的处理行为进行规范的法律。根据该法律，个人数据是指可直接或间接识别数据主体的任何信息，包括但不限于姓名、身份证号、财务数据、位置数据，以及个体的生理、心理、遗传、经济、文化或社会身份的特定信息。而处理行为指就个人数据的收集、储存、维护、更改、披露、传输、消除、损毁等行为或在个人数据上进行逻辑或算法运行的活动。可以看出，《个人数据保护法》对个人数据和处理行为的定义相当宽泛，几乎适用于任何涉及个人数据的行为。
另外，根据斯里兰卡《个人数据保护法》，其适用范围包括：个人数据的处理全程或部分发生在斯里兰卡境内；处理个人数据的行为由满足下列一个或多个条件的数据控制者或者数据处理者做出；住所地或经常住所地为斯里兰卡的；根据在斯里兰卡成文法注册或设立的；针对斯里兰卡境内的特定数据主体提供货物或服务的；专为监控斯里兰卡境内数据主体的行为活动的。根据上述规定，这部法律不仅仅适用于在斯里兰卡境内的数据处理行为或斯里兰卡公司，如数据处理行为含其他斯里兰卡因素，比如境外公司在向斯里兰卡公司提供服务时所收集数据的行为，也受该法律管辖。
《个人数据保护法》下数据处理者应当遵循的义务
根据斯里兰卡《个人数据保护法》，数据处理者都有义务遵守如下规定：应当以合法、特定及明确的目的来处理个人数据；应当确保个人数据是在充分、相关且适度的必要范围内被处理；应当确保个人数据被准确并实时处理，无任何不当延误；应当确保个人数据以一种仅在该等信息被处理的目的所需要或所要求的期间内保存；应当确保个人数据的完整性和保密性；应当向数据主体提供数据保护机构的信息及对基于数据主体的权利提出的要求所做出决定的相关信息；应当在处理个人数据的过程中实施内控及管控流程。
如同其他国家的个人数据保护法，斯里兰卡也遵循了数据处理的几个重要原则，比如公开透明原则，即数据处理前，应当向个人告知法定事项。又如最小必要原则，即数据处理应该采取对个人权益影响最小的方式，并限于实现处理目的的最小范围。再比如安全原则，即保障数据处理过程中对数据信息的保密，避免可能发生的个人信息的泄漏、意外灭失和不当使用。斯里兰卡《个人数据保护法》的上述规定，实际上确立了数据处理的公开透明原则，体现了数据处理的最小必要原则，并从各个角度规定了数据处理的安全原则。
此外，《个人数据保护法》区分了数据控制人、数据处理人及数据保护合规官的定义，并从各个主体进一步明确了数据处理人的相关责任。
数据控制人指的是自然人或法人、公共权力机关、公众公司、非政府组织、机构或其他主体或实体，其单独或与其他主体一起确定个人数据处理的目的和方式的主体。数据控制人应保证其采取恰当的技术和组织手段，确保数据主体的权利受到保护；应保证遵守合同或任何成文法对数据处理事项、处理时限、处理的性质和目的的规定。
数据处理人指的是根据任何成文法设立的代表控制人处理个人资料的自然人或法人、公共机关或其他实体。数据处理人应保证数据处理的行为仅在数据控制人的书面指令下做出；确保其个人受到合同保密义务的约束；应通过实施适当的技术和组织措施，确保其人员受合同保密义务的约束；协助数据控制人员开展合规审计并根据数据控制人的书面指令，在完成相关数据处理后，删除现存个人数据或向数据控制人退还所有个人数据。
同时，根据斯里兰卡《个人数据保护法》，每一位数据控制人和处理人应当指定或任命一位数据保护合规官。数据保护合规官应当持有相关学术和职业领域的资质。
数据保护合规官的责任为向数据控制人或处理人及他们的雇员提供对数据处理所作要求的建议；确保代表数据控制人或处理人遵守法律规定；协助参与数据处理操作的员工进行能力建设；就个人数据保护影响评估提供建议；协作并遵守数据保护机构发布的有关数据保护的法令与指示。
数据主体享有的权利
在规定数据处理人义务的同时，斯里兰卡《个人数据保护法》也同时规定了数据主体的相关权利。所谓数据主体，是指与个人数据相关的、一个可识别的、在世或已死亡的自然人。根据该法律，数据主体主要享有如下权利：有权撤回其做出的对于处理个人数据的批准或同意；有权获取其个人数据；有权请求修改不正确、不准确或不完整的个人数据；当已撤回同意时，要求删除个人数据。
另外，该法明确规定，当数据控制人收到数据主体基于前述4款规定的书面要求，应当书面通知数据主体对其要求做出的决定。
数据保护机构及处罚机制
根据斯里兰卡《个人数据保护法》，斯里兰卡将设置专门的数据保护机构，该机构的职责为规范个人数据处理，保障数据主体的隐私，确保数据保护的日常合规，以为斯里兰卡向数字化经济的增长和创新提供便利。
如数据控制人或处理人未能遵守数据保护机构签发的法令，数据保护机构应当通知该数据控制人或处理人，根据数据主体所遭受的影响、不合规行为的性质和程度以及不合规的具体事项，要求其就每项不合规行为支付不超过100万卢比的罚金。
当数据控制人或处理人已受到罚金处罚，在之后的不合规行为中仍然未能遵守数据保护机构签发的法令时，该行为人应受到额外的罚金处罚，对于后续的每项不合规行为，应为前一款规定标准的2倍。另外，除对数据控制人或处理人处以罚金外，数据保护机构还可做出其他管理措施，包括但不限于暂停数据控制人或处理人的商业或职业活动，撤销执照或资质。当然，《个人数据保护法》同时规定，数据控制人或处理人如对罚金决定不服，可在收到罚金决定的21个工作日内，向上诉法院提交上诉。
《个人数据保护法》对中资企业的影响及对策
一、可能遭受的制约
根据《个人数据保护法》的适用条件，已经或者将要在斯里兰卡开展业务的中资企业，可能会受到的制约如下。
1.中资企业在斯里兰卡境内有注册设立公司，则不论该数据处理是在中国境内进行还是在斯里兰卡境内进行，均可能受到《个人数据保护法》的约束。
2.中资企业在斯里兰卡境内没有注册设立公司，但向斯里兰卡境内的特定数据主体提供货物或服务的，该中资企业可能受到《个人数据保护法》的约束。
3.中资企业在斯里兰卡境内没有注册公司且没有营业地，但专为监控斯里兰卡境内数据主体的行为活动的，该中资企业可能受到《个人数据保护法》的约束。
二、对策
结合《个人数据保护法》的相关规定，中资在斯企业在日常经营，尤其在招聘属地员工的过程中，应当在如下情形注意收集和处理个人数据的程序符合《个人数据保护法》要求。
1.在招聘过程中，应当注意在招聘平台书面提示应聘者公司的隐私政策，书面详细告知应聘者企业对其个人信息处理的目的、方式、存储期限以及企业和应聘者分别持有的权利及行使方式等信息，书面明确告知应聘者有选择同意或者不同意隐私政策的权利，以及有权撤回其同意企业处理个人信息的决定。
2.在招聘结束后，企业应妥善保管其收集到的个人数据，将应聘者个人信息仅用于招聘以及隐私政策中载明的用途。
3.对于未被录用的应聘者的个人数据，在取得应聘者书面同意的情况下，企业可以在约定期限内继续持有其个人信息，企业不得未经应聘者同意继续持有其个人信息。
4.对于招聘合作伙伴管理方面，如果企业是通过合作伙伴，如猎头公司或者招聘软件取得的应聘者个人数据，应对合作伙伴的个人数据保护能力进行评估，如合作伙伴隐私政策的内容、获取个人数据的程序、采取的个人数据保护措施。
5.劳动合同内容方面，劳动合同的条款中应设置个人数据保护条款，或单独签署个人数据处理协议，明确企业处理应聘者个人信息的目的、期限、处理方式、个人数据的种类、个人数据保护措施以及企业和应聘者对个人数据持有的权利和义务。
6.制度建设方面，梳理《个人数据保护法》中对个人数据保护的具体规定，在公司内部建立对应的合规制度，如内部风险评估，开展合规法律及制度的培训，定期进行员工内部个人数据的清理等。
7.风险管控方面，可以聘请具有数据合规保护经验的当地律师对《个人数据保护法》进行解读，针对公司的日常经营行为是否落入法案管辖范围提供专业建议，以便及时并全面梳理可能面临的法律风险，确保企业的经营管理符合《个人数据保护法》的要求，以避免受到相应处罚。
综上，中资在斯企业应当密切关注斯里兰卡《个人数据保护法》对其业务、运营带来的影响，降低合规风险。
（作者单位：中国港湾工程有限责任公司）