在全球数据经济的大背景下,数据已成为重要的生产要素,也被称为“21世纪的石油”。随着《网络安全法》、《数据安全法》、《个人信息保护法》三大支柱性法律出台,数据合规市场的火爆程度更是达到了高峰。企业在利用数据实现经济效益的同时,个人数据往往存在被过度收集和不法利用的风险,对此企业应积极开展数据合规治理,降低违规和被处罚风险。
鉴于数据合规业务刚刚兴起,一方面公司对数据合规的需求尚未被充分开发,另一方面服务方对数据合规的供给也尚未成熟,本文将简要介绍数据合规工作的呈现方式,以期帮助大家对数据合规业务有初步的认识。
从字面概念来看,“数据合规”即是由“数据”和“合规”组成,数据是数据合规的着力点,而合规则是数据合规的落脚点。
首先,对于“数据”的定义,我国从《数据安全法》《个人信息保护法》《网络安全法》以不同维度作出了规定,具体如下:
综上,可以看出:
个人信息是数据的子概念(也就是数据包含个人信息),大数据时代、信息化时代,其信息的电子化表达离不开互联网,网络是对信息(数据)进行处理的系统。为此,我国出台的《网络安全法》第七十六条第二项对网络安全做出定义,并将保障数据的三性作为网络安全工作的一部分。1
另外,我国法律还对“数据”采取分类分级的方式予以规制。即:
我国法律将数据分为三类,一般数据、重要数据和核心数据。
核心数据
,是指关系国家安全、国民经济命脉、重要民生、重大公共利益等权益的数据;
重要数据
,是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,或将危害国家安全、经济运行、社会稳定、公共健康和安全的数据。
核心数据因面临更高监管要求所以需重点关注。相对而言,针对核心数据或重要数据的数据处理行为需要更为慎重,谨慎开展风险评估。而数据是否会被认定为核心数据,将由国家相关行业主管部门在进行相应摸查后作出判断。
一般数据
可分为个人信息、非个人信息。
个人信息是指以电子或其他方式记录的、已识别或可识别的自然人的各种信息,但不包括经过匿名化处理后的信息。对于非个人信息,国家并没有过多限制其流动,因此可更为自由地流动以发挥价值。
个人信息又可以分为“一般个人信息”与“敏感个人信息”。
敏感个人数据是指泄露或非法使用可能会侵犯个人尊严或人身、财产安全的个人信息,包括生物识别数据、宗教信仰、特定身份、医疗和保健服务、金融账户、位置和移动等方面的信息,以及 14 岁以下未成年人的个人数据。
敏感个人信息在《中华人民共和国个人信息保护法》的规定下有着更为严格的合规义务,包括特定的处理目的、充分必要性的论证、严格的保护措施、用户单独同意、事前风险评估、告知相关影响等义务。
如前所述
,“合规”是数据合规中的落脚点,其概念的涵义可将其拆解为“合”与“规”进行理解。“合”,是指以有效防控合规风险为目的,以企业和员工经营管理行为为对象,开展包括制度制定、风险识别、合规审查、风险应对、责任追究、考核评价、合规培训等有组织、有计划的管理活动。“规”,是指企业及员工的经营管理行为应符合以下维度的监管要求。即:外部,法律法规、党内法规、监管规定、行业准则、行业标准;内部,企业章程、规章制度等;国际,国际条约、规则等。
明白了数据和合规的内涵,可以将数据合规的定义归纳为,企业对其所涉及的用户数据的处理符合法律法规、监管规定、行业准则和企业章程、规章制度以及国际条约、规则等要求。这一定义也揭示了
数据合规的三大方向——网络安全、数据安全以及个人信息保护。
数据合规工作首先需要针对大前提,将数据法规的要求,结合企业所在行业和业务流程,拆解为企业内部可适用的合规要求,形成合规义务清单,作为合规风险评估和合规审计的依据;第二步是了解企业的数据处理活动是否符合数据法规的要求,即对企业数据合规现状进行法律尽职调查,形成数据合规尽职调查报告;最后,将合规义务与企业现状进行适配,查找法律风险点并给出相应的法律整改意见,得出企业的数据合规解决方案。以上三步,形成了数据合规工作的完整闭环,是数据合规工作必不可少的环节。
数据合规的呈现方式小到修订APP隐私政策,大到搭建公司数据合规体系,具体可以分为以下几种工作方式:
1、评估类工作
(1)网络安全和数据保护整体风险评估
(2)个人信息安全影响评估
(3)数据跨境流动风险评估及备案
(4)数据资产/合规性尽职调查
(5)重大数据立法对业务影响评估
针对大体量个人信息数据处理者,相关的合规义务、特定场景下的个人信息安全性影响更应该作为评估重点。针对重大数据立法对业务的影响。企业还应关注立法趋势对于业务的影响。如果相关立法可能对业务产生较大的负面影响,尽量预留充分的时间对相应的业务调整,尤其涉及到大量现有业务调整,或者涉及全球业务系统架构等无法在短期完成所有的合规动作的工作,密切关注立法动向的重要性不言而喻。
2、其他类工作
(1)起草隐私政策及各类数据处理合同
(2)建立各项数据管理制度、合规指引及SOP
(3)数据泄露及风险事件预案及应对
(4)执法和监管调查应对
(5)员工培训
数据合规工作的重中之重是审查业务场景存在的合规性差异及风险。如果数据合规工作者无法准确识别相应的风险,将会导致数据合规工作最终面临非常严重的后果。
若想起做好风险识别工作,关键在于统一各部门对于业务场景的认知。数据合规工作者应尽可能与业务部门、IT部门同事统一对于同样知识流程的认知,否则很难准确排查数据业务风险。
3、数据合规工作者要扮演好“规则塑造者”的角色
开展合规工作的重要原则之一为“外规内化”,即将外部监管所确定的相关合规义务根据企业的业务场景、组织架构、内部的规则作为为内部规章。尤其针对新兴业务场景,更应在分解合规义务的基础上、构筑企业内部合规制度,管理好业务场景中的合规风险点。
1.
《中华人民共和国网络安全法》第七十六条第二项:网络安全,是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。
