Latham & Watkins Global Privacy Standards

瑞生国际律师事务所全球隐私标准
简介

本文档载列适用于瑞生国际律师事务所内处理欧洲个人数据(定义见下文)的标准(“该标准”)。瑞生国际律师事务所是一家全球律师事务所,办事处遍布全球 16
个国家。律所运作不存在内部界限,业务的国际性决定了在律所内传输个人数据的重要性。

瑞生国际律师事务所通过律所执行委员会郑重承诺,保护在律所处理的个人数据。律所制定该等标准,尤其旨在根据欧盟第 2016/679 号条例促进欧洲个人数据在瑞生国际律师事务所的传输。

定义

“适用法律” 指瑞生国际律师事务所实体所在司法管辖区的法律和管辖该实体的任何其他法律;

“数据保护机构”(简称 “DPA”)指负责监控和强制他人遵守具体国家数据保护法律的监管机构。

EEA” 指欧洲经济区。

欧盟隐私法” 指执行欧洲第 2016/679 号条例、第 2002/58
号指令(以及任何修订或替代条例或指令)的国家法律和相关欧洲隐私法规。

欧洲个人数据” 指 (i)
就招聘和人力资源管理收集和处理的员工、律师、合作伙伴、顾问、承包商及任何上述人士的潜在应聘者;(ii)
就提供法律服务和/或营销和通信目的处理的客户、潜在客户及前员工;及 (iii)
受适用欧盟隐私法管辖的任何瑞生国际律师事务所实体,以数据控制商的身份,鉴于其与瑞生国际律师事务所的关系处理的供应商、销售商、承包商及咨询师(详细信息参见内部数据隐私声明或客户和第三方数据隐私声明)的个人数据。

瑞生国际律师事务所”“律所”指一家根据美国特拉华州法律成立、在全球开展业务的有限责任合伙企业(“特拉华州律师事务所”),其英国、法国、意大利和新加坡业务以关联的有限责任合伙形式进行、香港和日本业务以关联合伙形式进行,并于沙特阿拉伯与Salman M Al-Sudairi 律师事务所 (Law Office of Salman M. Al-Sudairi) 合营。除以上定义外,律所还包括特拉华州律师事务所全资拥有的任何及所有实体。 

本地法律” 指管辖瑞生国际律师事务所实体的任何国家的法律和/或法规,或该等国家施加的任何其他法律义务(适用欧盟隐私法除外)。

瑞生国际律师事务所实体” 指构成该律所的各有限责任合伙企业、合伙企业及有限公司。

示范条款” 指不时由欧洲委员会发布和批准以向在第三方国家成立的处理商或控制商传输个人数据的标准合同条款。

个人数据” 指与一个被确定或可被确定身份的自然人(“数据主体”)有关的信息;一个可被确定身份的人是指一个可通过标识符(如姓名、身份证号码、位置数据和在线标识符),或一个或多个因素(包括身体、生理、基因、精神、经济、文化或社会特征),可直接或间接被确定身份的人。此外,根据适用欧盟隐私法的相关规定,“个人数据”一词还将包括与非自然人之人士有关的任何信息。

人员” 指瑞生国际律师事务所的合作伙伴、律师及员工。

特殊类别数据” 指涉及适用欧盟隐私法涵盖的民族或种族、政治观点、宗教或哲学信仰、工会会员、罪行、刑事定罪、健康、性取向或性生活、基因和生物统计数据及任何其他类信息的欧洲个人数据。

处理”、“数据控制商” 和 “处理商” 应具有欧盟第 2016/679 号条例所赋予的涵义。

范围

瑞生目前在下述国家开展业务(欧洲经济区内的国家以灰色标示):

* 并于沙特阿拉伯与Salman M Al-Sudairi 律师事务所 (Law Office of Salman M. Al-Sudairi) 合营

规则和原则
 1. 数据处理原则

以数据控制商身份行事时,每一个瑞生国际律师事务所实体在根据内部数据隐私声明或客户和第三方数据隐私声明(视情况而定)应遵守以下原则:

  • 以透明、公平、合法的方式处理欧洲个人数据:在相关数据主体不知悉或未收到有关数据控制商身份信息、其个人数据可能的使用目的(须遵守对相关信息提供的任何许可限制,例如牵涉预防犯罪、法律程序或纳税,或适用法律禁止的情况)、处理的法律依据和适用欧盟隐私法要求的其他相关信息的情况下,应向数据主体提供此类信息。此类信息将包括数据主体根据欧盟隐私法可享受的权利的详细信息。
  • 收集欧洲个人数据,须有指定、明确、合法的业务目的,而且除非适用欧盟隐私法另行允许,否则不得以不符上述目的的任何方式予以进一步处理。
  • 只有律所合法业务目的绝对必需时,方可根据适用欧盟隐私法要求的任何保障措施处理特殊类别数据。
  • 律所将采取适当措施,以确保所收集和处理的欧洲个人数据属足够而不过度,同时确保数据的相关性、准确性和(如需要)最新性。如发现个人数据��准确,律所也会采取适当措施,迅速更正或删除该等数据。
  • 除数据处理所需之外,不可在其他时间保留欧洲个人数据,并应根据律所的书面数据保留政策保留(须遵守法规要求和适用欧盟隐私法的要求)。
2. 数据安全性

鉴于当前发展状况和实施成本,各瑞生国际律师事务所实体将采取适当技术性和组织性措施,以防止欧洲个人数据遭到意外或非法破坏或意外遗失、更改、损坏、未经授权的披露或访问(尤其是在数据处理涉及网络传输数据时),以及所有其他非法形式的处理。相关措施将确保提供数据处理风险相应的安全水平,并保护欧洲个人数据的性质,从而加强保护特殊类别信息和其他高度保密信息。此类措施将酌情包括:

  • 假名化;
  • 加密;
  • 系统和服务的机密性、完整性、可用性和复原力
  • 备份和灾后恢复设施;
  • 测试、评估和评价安全措施有效性的流程。

各瑞生国际律师事务所实体应立即将导致其处理的欧洲个人数据发生意外或非法破坏、遗失、更改、未经授权披露或访问的任何安全违规(“安全违规”)电邮至GlobalDPO@lw.com。全球数据隐私办公室将保留适当的记录,记录安全违规、对数据主体的任何潜在影响以及采取的任何补救措施。全球数据隐私办公室也应确保按照欧盟隐私法的要求向相关数据保护部门和受影响的数据主体发出通知。如果瑞生国际律师事务所实体作为数据控制商处理的欧洲个人数据发生安全违规,且其所在的国家或司法管辖区的数据保护机构有要求,则全球数据隐私办公室应将违规记录与该数据保护机构共享。

各瑞生国际律师事务所实体将采取措施,以确保可访问或负责处理欧洲个人数据人员的可靠性,包括按照律所指示处理欧洲个人数据。

第 7 条描述律所的信息安全政策和隐私职能。第 7 条所述的安全委员会负责制定律所的所有信息安全政策和标准。律所的政策和程序(经不时修订)载列律所必须予以遵守的信息安全的详细标准。

3. 与数据处理商合作

如果瑞生国际律师事务所实体聘请另一个瑞生国际律师事务所实体作为数据处理商代表其处理欧洲个人数据,则该数据处理商应遵守该等标准的相关要求,必要时,双方将制定并遵守适用的欧盟隐私法可能要求的任何其他协议的条款。

如果瑞生国际律师事务所实体聘用第三方数据处理商代其处理欧洲个人数据,则该实体应选择可就其将采用的待处理欧洲个人数据的安全水平提供适当保证的数据处理商。瑞生国际律师事务所实体将确保与第三方数据处理商订立合同,合同列明适用欧盟隐私法的相关要求。

如果瑞生国际律师事务所实体是在欧洲经济区成立,但聘用欧洲经济区以外的第三方数据处理商代其处理欧洲个人数据,则该实体应:

  • 确保与数据处理商订立合同,其大体采用数据处理商 示范条款的形式或纳入该示范条款之条款(可作出 适用欧盟隐私法允许的任何修订);或
  • 确保依照适用欧盟隐私法落实其他适当的保护措施,以 保护欧洲个人数据。

在确定该等情况是否必需订立纳入示范条款之条款的合同时,位于欧洲经济区的各瑞生国际律师事务所实体将采取附录 2 载列的相关措施。

如果瑞生国际律师事务所实体(以数据控制商的身份行事)向律所以外的第三方控制商传输欧洲个人数据,则该实体将确保依照适用欧盟隐私法的要求传输相关数据。倘若适用欧盟隐私法有相关要求,或适用欧盟隐私法另行允许(且被视为适当),瑞生国际律师事务所实体将落实保护措施,以保护欧洲个人数据和个人权利。相关保护措施可能会采用合同的形式(以适用于控制商之间进行数据传输的示范条款的形式或可提供足够保护水平的其他形式)。

4. 员工培训

瑞生国际律师事务所坚持实行隐私和安全意识计划,专注于为所有员工、律师和助理律师提供培训,让他们了解律所的隐私和安全政策以及隐私和安全最佳实践。律所将运用多种通信渠道传播隐私和安全意识信息。所有人员均可访问专用隐私和安全内部网网站,获取最佳实践及隐私和安全意识提示单和倡议指南。

此外,各瑞生国际律师事务所实体还将确保可访问或负责处理个人数据的人员可得到适当指导和培训。

5. 与适用本地法律的冲突

如果瑞生国际律师事务所实体有理由认为本地法律、法规或其他法律义务妨碍其遵守该标准,由此可能会对该标准所提供的保证造成重大负面影响,则该实体应立即通知隐私委员会(定义见下文)(法律或执法机关禁止如此行事则除外,例如保障执法调查的保密性)。私隐委员会应记录所有这类通知,以及就这些通知所采取的行动。

隐私委员会将就因瑞生国际律师事务所实体作出的相关通知而需要采取的任何措施作出所有必要决定,且瑞生国际律师事务实体将遵守隐私委员会发布的任何指示。隐私委员会承认,瑞生国际律师事务所实体不应以超出民主社会中的必要范围、以大规模、不成比例或不加鉴别的方式向公共当局传输欧洲个人数据。隐私委员会可随时咨询相关数据保护机构,包括寻求意见解决本地法律和该标准之间的冲突。

如果隐私委员会认定当地法律可能对标准提供的保障产生重大负面影响,则该委员会将通知相关数据保护机构,除非法律或执法机构禁止这样做,例如为了保护执法调查的机密性。如果此类禁令生效,则隐私委员会将指示相关瑞生国际律师事务所实体尽最大努力获得豁免,以允许尽快向相关数据保护机构披露尽可能多的信息,并保存其所做工作的记录。

隐私委员会将记录律所有义务披露的、可能对该等标准提供的保障产生重大负面影响的欧洲个人数据披露,并将每年向相关数据保护机构提供披露汇总(考虑法律或执法机构施加的任何限制)。

倘若本地法律要求的欧洲个人数据保护水平高于该等标准所载列的水平,则以本地法律的条款为准。

6. 与数据保护机构相互协助和协作

各瑞生国际律师事务所实体均将遵守其所在国家或司法管辖区的数据保护机构发布的有关该等标准或一般处理欧洲个人数据的指示,并将考虑数据保护机构对该等标准的释义给予的任何意见。

瑞生国际律师事务所实体将协助其他实体应对数据保护机构对该等标准进行的任何询问或调查,

并将协助其他实体应对数据主体对该等标准或其欧洲个人数据的处理事宜作出的询问或投诉。

实践规则和合规性

7. 瑞生国际律师事务所的政策、职责和隐私职能

7.1 政策和指导

律所已落实隐私委员会和安全委员会批核的具体政策、标准、程序和指导文档,并不时予以更新和修订,以详细描述遵守该等标准(尤其是第 1 条所载列的数据处理原则和第 2 条所载列的信息安全义务)必须遵循的规则和流程。员工可登录律所内部网,在政策一栏查找相关政策的详细信息。

7.2 职责

根据欧盟隐私法的要求,律所将保留其与欧洲个人数据相关的处理活动记录。此类记录应根据要求提供给律所经营所在欧洲经济区国家的数据保护机构。

7.3 隐私和安全委员会
瑞生国际律师事务所的隐私委员会和安全委员会相互独立但又联系紧密,由律所的合作伙伴担任主席,负责向律所的执行委员会汇报工作。隐私委员会主要专注于提高人员意识并强制遵守相关隐私法和该标准(以及任何关联政策),而安全委员会主要专注于制定和强制执行律所的信息安全政策和标准以及事件响应计划。安全委员会负责律所的安全政策、标准、指导和实践(包括通信系统的可接受使用政策的登记事宜),而隐私委员会负责监督内部隐私事宜(如与供应商订立数据传输协议、数据处理协议、遵守本地法规要求、内部隐私政策更新(包括通信系统的可接受使用政策的更新)、培训和指导说明以及本地办事处的隐私政策查询)。隐私委员会负责强制遵守该等标准。

隐私委员会和安全委员会共同负责确保律所的隐私保护方法是积极主动的,通过设计和默认纳入隐私原则,而不仅仅是对数据泄露或其他错误做出被动响应。这种方法将包括使用旨在将处理限制在为有关目的所必需范围内(例如数据最小化)和保护数据主体的权利的技术。

隐私委员会负责按照欧盟隐私法的要求进行数据保护影响评估 (“DPIA”)。如果数据保护影响评估表明,在没有采取任何措施减轻风险的情况下,处理可能会对作为欧洲个人数据主体的个人的权利和自由造成高风险,隐私委员会应根据欧盟隐私法咨询相关数据保护机构。

7.4 隐私人员
瑞生全球数据隐私办公室与多个律所所在地的隐私和安全委员会以及数据隐私律师密切合作,共同制定、解释和监控律所的数据隐私实践、政策和程序,并致力于在多个瑞生国际律师事务所办事处制定战略规划和实施与数据隐私合规性和最佳实践有关的目的和目标。全球数据隐私办公室也负责向所有经理、主管、律师和员工提供有关隐私最佳实践的指导和意见。如有违反或可能违反该标准的行为,全球数据隐私办公室将向隐私委员会予以汇报,隐私委员会将决定是否需要采取强制措施或其他措施。

瑞生国际律师事务所的首席信息官是律所安全委员会的成员,负责监督信息安全官的安全职责。信息安全官负责坚持实行瑞生国际律师事务所的信息安全管理计划,其中包括制定流程来监督、强制和监控人员遵守律所的信息安全政策和信息安全标准。

支持律所实践或业务职能的各系统或应用程序均具有一个信息所有者。信息所有者是律所管理层的代表,负责保护系统或应用程序。此外,办事处技术经理和领导负责在其所在地区支持和管理律所的信息安全政策和标准。

各地的办事处主任与办事处管理合作伙伴和首席运营官展开合作,以制定、解释和监控律所实践、政策和程序的执行,并致力于在相关瑞生国际律师事务所办事处制定战略规划和实施目的和目标。办事处主任负责向所有经理、主管、律师和员工提供律所一般业务运营的指导和意见,并负责处理逐步升级的业务查询和争议。

8. 合规性责任

所有瑞生国际律师事务所人员均须遵守该等标准,且必须(巴黎办事处除外)每年表明其接受该等标准和律所最新制定的通信系统的可接受使用政策。瑞生国际律师事务所巴黎办事处的人员应通过办事处内部规则(“règlement intérieur”)了解该等标准,而人员可通过办事处内部网网站或办事处自助餐厅的实体公告查看和访问办事处内部规则。根据法国法律,法国办事处的所有人员均须遵守 règlement intérieur。不遵守该标准(或如属巴黎办事处,则为 règlement intérieur)属违纪行为,可导致纪律处分(包括终止雇佣关系或解除合伙关系)。

律所已签立协议(“BCR 协议”),承诺处理欧洲个人数据的所有瑞生国际律师事务所实体遵守该标准。瑞生国际(伦敦)律师事务所(“瑞生国际律师事务所伦敦”)已获律所委任为获授权负责保护欧洲经济区数据的瑞生国际律师事务所实体。全球数据隐私办公室(可通过电邮GlobalDPO@lw.com联系)负责联系处理与遵守该标准有关的任何询问或投诉。瑞生国际律师事务所伦敦应采取措施补救任何违反该标准的行为,其中可通过 BCR 协议以合同方式予以强制执行。

瑞生国际律师事务所伦敦负责采取措施,对欧洲经济区以外的其他瑞生国际律师事务所实体的作为或不作为予以补救,并就因该等实体违反该标准而引致的任何损害赔偿作出赔偿。因此,凡针对欧洲经济区以外的瑞生国际律师事务所办事处提出的任何申索,应针对该瑞生国际律师事务所伦敦办事处提出。凡针对欧洲经济区的瑞生国际律师事务所办事处的任何申索,应针对该瑞生国际律师事务所办事处提出。

如要解除数据主体提出的任何申索下的法律责任,瑞生国际律师事务所伦敦必须证明,并未发生任何相关违反行为或欧洲经济区以外的任何瑞生国际律师事务所实体无须对导致数据主体提出损害赔偿或其他补救的任何违反该标准的行为承担责任。

9. 核查合规性的审核程序

瑞生国际律师事务所承诺落实下列措施,以评估和核查该等标准和适用数据保护法例的遵守情况:

  • 内部审核 — 律所的内部审核团队、隐私委员会委员和/或全球数据隐私办公室按滚动方式进行审核,评估律所内部的信息安全性和合规性。根据律所基于风险的审核方法的合理要求,律所将定期审核各瑞生国际律师事务所实体。该等审核的范围已经包括检验律所遵守该等标准的情况。如果审核结果牵涉隐私或信息安全,则应汇报给律所的审核委员会,关键结果应汇报给执行委员会。��瑞生国际律师事务所实体均须实施此类审核认定的、为符合该等标准所必需的任何纠正措施,并由审核委员会进行监督。
  • 外部审核 — 律所的外部审核员每年开展审核,以检验律所业务系统的安全性。任何瑞生国际律师事务所实体可能会临时安排其他外部审核。如果审核结果牵涉隐私或信息安全,则应汇报给律所的隐私委员会。
  • 向欧洲经济区内的数据保护机构提供审核结果 — 如果审核结果牵涉该等标准的遵守情况,欧洲经济区的瑞生国际律师事务所实体应按照数据保护机构的要求与其所在国家或司法管辖区的数据保护机构分享上述内部或外部审核的结果。
  • 服从数据保护机构的审核 — 各瑞生国际律师事务所实体应准许开展业务所在的欧洲经济区国家或司法管辖区的数据保护机构,审核其在该欧洲经济区国家或司法管辖区的业务,以核实是否遵守该等标准和适用数据保护法律。
10. 更新

第 7.3 条提述的隐私委员会将审查该等标准,确保定期予以更新,并传达给相关瑞生国际律师事务所实体。隐私委员会将确保该等标准反映出律所架构的任何变更,且任何瑞生国际律师事务所新实体均须接受并遵守该等标准的条款。

隐私委员会将通知安全委员会所有更新,并在适当时向相关数据保护机构报告更新。

该等标准的非保密条款(包括附录 1(数据隐私投诉程序)的内容)将发布在瑞生国际律师事务所的外部互联网网站和内部网网站上。该标准的全文将应要求(须遵守保密协议)提供予希望行使附录 1 数据隐私投诉程序所述的救济权的任何数据主体。

数据主体权利
11. 访问、纠正和拒绝(包括营销和数据画像)的权利

各瑞生国际律师事务所实体均确认,数据主体对于以欧洲个人数据的数据控制商身份行事的瑞士国际律师事务所实体作为第三方受益人具有下列权利:

  • 有权获得有关瑞生国际律师事务所实体以欧洲个人数据数据控制商的身份处理其个人数据的方式的信息,包括该等标准和数据隐私投诉程序的副本;
  • 有权在期限内和适用欧盟隐私法指定的时段收取瑞生国际律师事务所持有的欧洲个人数据副本(包括处理的目的和方式),但须支付瑞生国际律师事务所实体根据适用欧盟隐私法获允许征收的任何费用,且瑞生国际律师事务所实体根据适用欧盟隐私法可能有权拒绝全部或部分相关请求。
  • 有权更新、纠正或补充他们的欧洲个人数据(尤其是在数据不完整或不准确时),但须遵守适用欧盟隐私法的条款;
  • 有权根据适用的欧盟隐私法的规定删除欧洲个人数据;
  • 有权根据适用的欧盟隐私法的规定限制对其欧洲个人数据数据的处理;
  • 根据适用欧盟隐私法的规定,有权以结构化、常用和机器可读的格式接收欧洲个人数据(数据主体提供给瑞生国际律师事务所实体(作为欧洲个人数据的数据控制商)的)并将该等个人数据传输给其他数据控制商;
  • 根据适用欧盟隐私法条款的要求,有权拒绝收取直接营销材料,而无须获得事先同意,且在所有情况下均有权随时拒绝因直接营销目的处理他们的个人数据(包括数据画像);
  • 有权根据适用的欧盟隐私法的规定随时拒绝对其欧洲个人数据数据的处理以及;
  • 有权反对仅基于自动方式处理(包括数据画像)作出与其欧洲个人数据有关并用于评估其个人特征或行为并产生牵涉或重大影响他们的法律效力的决定(适用欧盟隐私法允许的范围除外,但须遵守适用欧盟隐私法所载的保障措施)。
12. 该等标准的违反

瑞生国际律师事务所确认,数据主体有权以第三方受益人的身份就欧洲个人数据针对律所强制执行下列权利:

  • 在特殊类别数据被传输至欧洲经济区以外无法提供数据充分保护的国家时,具有知情权(适用欧盟隐私法规定的任何例外或豁免情况除外);
  • 有权根据请求获取该等标准的副本(须作出律所或处理请求的瑞生国际律师事务所实体合理要求的任何保密承诺);
  • 有权在提出请求后的合理时间(不迟于 1 个月)内,对涉及在欧洲经济区以外地区处理数据主体的欧洲个人数据的任何咨询收到回复;
  • 有权投诉并获取因任何瑞生国际律师事务所实体违反该等标准(不包括任何违反与员工培训、瑞生国际律师事务所政策和隐私职能、审核程序和该等标准的更新有关的条款)而引致的适当救济(包括在适当情况下就所蒙受损害获得赔偿);
  • 有权向数据主体的常住地、工作所在国或指称违反该等标准所在地的欧洲经济区数据保护机构提出投诉;和
  • 有权在欧洲经济区的适当法院寻求有效司法救济,该法院可位于相关瑞生国际律师事务所实体成立所在的司法管辖区或数据主体的常住地。
13. 数据主体权利的强制执行

行使第 12 条所述权利的流程详细载列于该等标准附录 1 瑞生国际律师事务所数据隐私投诉程序中。
如数据主体希望强制执行其权利,则可通过发送电子邮件至GlobalDPO@lw.com向全球数据隐私办公室,或在相关瑞生国际律师事务实体所在地区的数据保护机构或法院提起投诉。

如任何数据主体寻求强制执行其在该等标准下的权利,则必须出示证据,提出表面上证据确凿的案件,证明已发生相关违反行为。

该标准的生效日期:2016 年 9 月
2020年7月更新

附录 1 瑞生国际律师事务所数据隐私投诉程序

瑞生国际律师事务所数据隐私投诉程序

附录 2 向欧洲经济区以外地区传输个人数据的决策流程

向欧洲经济区以外地区传输个人数据的决策流程 
 
 
 

 
注意:我们感谢您对瑞生国际律师事务所的关注。如果您的询问事项涉及法律问题,且您还不是我所的委托人,请您不要传输任何保密信息给我们。在开始一项代理之前,我们必须确定我们是否能够协助您,并与您就委托协议的条款和条件达成一致。在我们完成以上步骤之前,我们和您之间不能被视为存在律师-委托人关系,且我们没有职责对您发来的信息进行保密。感谢您的理解。