大數據、人工智能、雲計算等新興技術推動了數字經濟的發展,數據要素已成爲引領中國高質量發展的一個新引擎。數據化時代,數據的分佈式存儲、多渠道流轉、多業務共享也使得數據活動場景複雜性增大,新的信息安全風險點日益劇增。在此背景下,我國的數據安全也邁入了強監管時代。《網絡安全法》、《數據安全法》、《個人信息保護法》三大基本數據法陸續出臺,立法活動涉及的細分話題與關切要點進一步包括了數字化轉型、人工智能、網絡內容治理、徵信、區塊鏈、移動應用程序、網絡交易平臺、金融數據安全、智能網聯汽車、算法監管、 SDK 管理、網絡直播、人臉識別、 CII、數據出境 、地方數據立法等,填補了我國數據安全法律法規的立法空白,構建了我國網絡空間治理和數據保護的基本法,對企業的數據收集及使用等各環節,均做出了明確規範和要求。同時,中央及地方層面專項整治行動顯著增多在國家政策不斷明晰,行業監管持續加強背景下,當前,數據合規的時代已全面到來。如何排除企業數據合規風險,切實做到數據合規,是許多企業亟需解決的問題。一、正確理解數據合規管理工作及其意義
數據合規的管理是指企業爲實現網絡安全、數據安全、個人信息及隱私保護這三個合規目標進行的一些列管理活動。從數據處理環節的維度看,數據合規涉及數據收集、使用、共享、傳輸、披露、存儲、刪除等通用場景下的合規工作,以及第三方數據處理、數據出境及境外數據處理等特定場景下的合規工作。對於很多企業來說,數據是公司的核心資產,但很多企業沒有數據合規管理意識,往往因被忽略的數據合規風險導致公司發生重大經營風險。2021年,工信部針對違規通報中未按要求完成整改的 App 進行了下架處理,共進行了10 次下架通報,因未按要求完成整改被工信部下架的 App 共 計 342 款。企業數據合規與安全,成了企業無法迴避的話題。隨着數字經濟的發展,企業通過數據商業化實現對所持有數據資產的變現將在未來爲企業創造更爲廣闊的增值空間。此外,數據合規對於提升企業商業信譽和社會影響力也有着深遠意義。二、科學構建數據合規管理體系——1+3+3+6結構
數據合規有其特殊性,具有專業性、技術性及多學科融合的特點,因此數據合規管理體系需要在大合規的合規管理體系的架構基礎上,加強與產品、業務的關聯性,在不同模塊上,設計針對數據合規的專項調整。架構模塊如下:基於企業所處的行業及主營業務,結合外部適用的法律法規及內部制定的合規管理制度、簽署的相關合作協議、自願性適用的約定,明確數據合規義務,並結合企業當前的數據合規管理實踐,利用風險熱力圖等風控技術,從影響力和發生頻率兩個維度評估合規風險,形成動態風險清單。對企業數據資產進行審視,包括數據的來源、類型、訪問頻率等。對數據資產進行分類,用於評估數據安全風險等級、制定相應的數據合規管理措施等。把控數據在業務中的整個生命週期可能產生的風險。部署數據合規管理組織架構,明確決策層、執行層與管理層,並明確相關人員的職責。在數據合規管理架構的基礎之上,結合流程,制定相應的數據安全管理措施,完善數據合規管理制度。企業應定期進行數據合規培訓,培訓對象包括企業員工、第三方合作夥伴等。有能力的企業可以錄製合規培訓視頻,搭建合規培訓課程庫。同時應注意一線業務部門與中層管理部門之間信息反饋渠道的建設,一線業務部門往往對行業動態更敏感,能夠及時反饋最新的信息。企業可根據自己的業務特點及自身發展的階段性目標,將數據合規完成度、潛在風險等內容數據化,通過建模的方法,對數據合規管理體系的運作情況進行日常監控與審計。針對數據合規監控與審計的結果,對數據合規管理體系進行改進。《網絡安全法》、《數據安全法》、《個人信息保護法》三部基礎性法律均明確規定了指定負責人的情形:《網絡安全法》規定網絡運營者確定網絡安全負責人,落實保護責任:關鍵信息基礎設施運營者( CIIO )還負有特別責任,應當設置專門安全管理機構和安全管理負責人並對該負責人和關鍵崗位的人員進行安全背景審查。《數據安全法》規定重要數據處理者明確數據安全負責人,成立數據安全管理機構,落實數據安全保護責任。根據2021年1l月14日發佈的《網絡數據安全管理條例》(徵求意見稿),數據安全負責人應當具備數據安全專業知識和相關管理工作經歷,由數據處理者決策層成員承擔,有權直接向網信部門和主管、監管部門反映數據安全情況。《個人信息保護法》規定處理個人信息達到一定數量的個人信息處理者,應當指定個人信息保護負責人,對個人信息處理活動以及採取的保護措施等進行監督,公開個人信息保護負責人的聯繫方式,並將個人信息保護負責人的姓名、聯繫方式等報送履行個人信息保護職責的部門。第一道防線,由業務部門安全與隱私合規工程師構成,主要向業務負責人及安全與合規委員會彙報,負責產品安全隱私策略的具體落地應用、自查自糾等。第二道防線,由專職的安全隱私部門(含法務、信息安全人員)構成,主要向安全與合規委員會彙報,負責安全隱私能力的建設與支持、推動產品安全隱私策略的落地。第三道防線,由審計部門擔任,主要向安全與合規委會員彙報,負責產品安全隱私策略落地的審計,發現風險並推動業務整改。三、梳理數據合規義務的模塊設計及合規風險
企業在完善數據合規義務清單,進行義務識別時,可根據數據處理的環節逐級梳理:例如,企業在處理敏感個人信息,自動化決策,委託處理個人信息,向其他個人信息處理者提供、公開個人信息,向境外提供個人信息或實施其他對個人權益有重大影響的個人信息處理活動,應當事前進行個人信息保護影響評估,並對處理情況進行記錄。例如,如果企業是關鍵信息基礎設施運營者,其在境內運營中收集和產生的個人員息和重要數據應當在境內存儲。確需向境外提供的,除另傳有規定外,應當根據規定進行安全評估。例如,企業以個人同意爲合法基礎處理個人信息,在使用時目的、方式和個人信息的種類發生變化的,應當重新取得個人同意。企業利用個人信息進行自動化決策的,應當事前進行個人信息保護影響評估並留存記錄,應當保證決策的透明度和結果公平、公正。例如,企業因合併、分立、解散、被宣告破產等原因需要轉移個人信息的,應當履行告知義務。例如,《電子商務法》第31條規定,“商品和服務信息、交易信息保存時間自交易完成之日起不少於三年。”因此對於電子商務平臺經營者來說,交易信息中的個人信息保存期限應不少於三年。出現法律,行政法規規定的法定刪除情形時,企業應主動履行刪除義務;企業未履行該義務的,個人有權請求企業刪除。企業面臨的數據合規風險,則可以從民事責任、行政責任、刑事責任這三個法律責任的維度梳理。有更高合規目標的企業,也可將商譽風險納入合規風險評估範圍內。《網絡安全法》、《數據安全法》及《個人信息保護法》均規定數據處理主體違反法律規定,給他人造成損害的,須依法承擔民事責任。在侵害個人信息權益類案件中,所應遵循的是過錯推定原則、損害賠償數額的認定規則及關於涉個人信息的公益訴訟制度。企業如果不做好數據合規管理,若想自證無過錯會面臨很大的現實障礙。三大基礎法均規定了對企業責令改正、警告、罰款、沒收違法所得、責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照或類似的行政責任類型。此外,針對企業開展數據處理活動中的高管及第一責任人也有單獨的行政處罰措施,對於直接負責的主管人員,除罰款外,還規定了將違法行爲被記錄到信用檔案,乃至職業禁入的處罰措施。非法處理數據還有可能觸犯例如侵犯公民個人信息罪、非法侵人計算機信息系統罪、非法獲取計算機信息系統數據罪、非法控制計算機信息系統罪提、破壞計算機信息系統罪、拒不履行網絡安全管理義務等罪名。對於個人而言,構成上述犯罪的,將有可能被判處有期徒刑、拘役、管制,並處或單處罰金刑。單位實施前述行爲,將面臨被判處罰金刑的風險,而單位直接負責的主管人員和其他直接責任人員,也將面臨有期徒刑、拘役、管制以及並處或單處罰金刑的刑事法律風險。參考文獻:《企業合規事務管理》(高級),企業合規專業委員會組編附:企業數據合規管理自評表(“是”得1分,不是不得分)
Chrome
Firefox
Safari
IE9及以上