瀛泰观点 | 数据全面规管时代之国企“一把手”的责任与机遇

原创数据合规业委会 瀛泰律师事务所 2021-09-27 18:37

收录于话题#数据合规业务委员会12个内容

随着科技的发展，数据已被视作与土地、劳动力、资本、技术并列的生产要素。2020年3月30日《中共中央国务院关于构建更加完善的要素市场化配置体制机制的意见》指出，要“提升社会数据资源价值”及“加快培育数据要素市场”。

今年9月1日，《上海市促进城市数字化转型的若干政策措施》（下称“《政策措施》”）正式实施，为进一步激发国有企业数字化转型动力，上海要推行国有企业数字化转型“一企一战略”和“一把手”负责制。“一把手”负责制要求国有企业与企业“一把手”签订《创新使命责任书》，把数字化转型纳入到企业领导人员任期考核中。

国有企业实施数字化转型的相关项目投入，经认定符合视同于利润政策条件的，在经营业绩考核中可视同于企业利润。这对于具备数字化转型条件的国有企业不可谓不是一重大利好，考核国有企业经营性利润的范畴将因该政策而扩大，有助于国有企业领导人员完成经营考核目标。

科技与技术的结合，既给人们带来了生活和工作上的便利，也产生了因数据和信息的密集流动所造成的安全问题。国家相继出台《中华人民共和国网络安全法》（下称“《网安法》”）、《中华人民共和国数据安全法》（下称“《数据安全法》”）和《中华人民共和国个人信息保护法》（下称“个保法”）之后，《政策措施》也提出了“加强网络安全制度供给，强化网络安全等级保护，建立关键信息基础设施信息共享机制，推进数据跨境流通安全评估试点”。同时提出了“完善网络安全管理绩效考核评价体系”和“修订网络安全绩效审计标准”。因此，网络安全管理作为国企合规管理的一部分也必将纳入国有企业领导人员绩效考核评价内容的一部分。

由于数据合规体系的搭建和实施无法在一朝一夕完成，而是需要相当长的一段时间才可以完成。国企管理层应当尽快将构建数据合规体系提上日程，以防国有企业及其管理层在国企数字化转型的过程中，面临因使用和保管数据不当而产生的刑事责任、行政责任和民事责任的风险。

为了构建数据安全合规体系，我们建议可以从以下几个方面着手：

WINTELL

合规建议

一、不定期组织专业人士为国企中高层领导和一线直接接触数据业务的员工培训《网安法》、《数据安全法》、《个保法》及其他相关法律实务。明确国家标准所确定国有企业和国企“一把手”应当承担的义务边界，及不履行法定义务将承担的法律责任，包括刑事责任、行政责任和民事责任，树立全面数据合规理念，构建自身数据治理的策略。相应培训建议根据具体条件可以制作成影音或文本记录。培训记录除了便于反复学习之外，其本身也是数据合规的一环，在应对企业调查和审核时亦可以用来佐证企业的数据合规体系。 

二、基于数据全生命周期管理的角度，针对企业内部数据的收集、存储、使用、加工、传输、调取及应第三方要求公开流程等进行数据核查。可以聘请外聘专家在跨境数据传输、合同审查、产品服务、隐私监管审查、尽职调查等方面辅助数据核查，以了解企业数据处理现状、识别风险。 

三、确定数据分级制度，通过制度确定数据的敏感等级，并根据该等敏感等级配套以相应的准许接触的员工职务级别及权限，保密等级，以及脱敏流程。

四、结合企业实际情况建立数据合规规则，制定并完善与之相关的制度，包括绩效考核制度和流程。 

五、将数据安全及合规的内容逐步纳入员工手册中，并及时开展员工培训，使每一员工，特别是国企一线员工，充分认识、了解数据合规之必要性与重要性。同时建立必要的奖惩制度，将数据保护制度的要求，贯彻落实到业务流程的每一个环节中。对于直接接触或管理数据的员工，还要将相关权利义务纳入到劳动合同中。对于多次故意违反数据安全但尚未造成严重后果的员工，要及时转职，甚至辞退，以避免造成更严重的损害后果。 

六、在数据合规制度初步搭建后，为保证已制定的制度和流程能被正确执行，企业可以聘请外部专家包括合规律师、注册个人信息保护专员等，持续追踪数据保护合规制度的实施情况，并根据内部对接员工的制度成效实时反馈不断改善企业数据合规机制。

数据合规是上海国有企业根据《政策措施》有效开发数据资源、获取数据资源价值，创造新的利润增长点的前提。因此，尽管前期的数据合规体系建设需要投入，但这也是上海国有企业领导层平衡合规经营与数据资源开发之不可缺少的环节。对此，瀛泰律师事务所也将继续关注立法及司法领域的最新实务，并及时向客户及业内各界人士汇报总结。

- END -