|
iLaw 法务数字化转型年会 学习先进法务部数字化实践 预约年会名额,扫描二维码联系圈圈 
(一)什么样规模的企业需要建立数据合规体系?什么时候是建立数据合规体系的最好时间点? 针对数据合规体系的要求主要来源于我国的《数据安全法》和《个人信息保护法》。这两个法律针对的对象是数据处理者,是适用于中国所有数据处理相关的企业甚至是个人。 判断企业是否需要搭建数据合规体系并不需要区分企业的规模,所有企业都应遵守相应的法律要求。 从急需性角度,像上市企业、国企、央企,以及数据处理数量级较大的企业,包括有重要数据或者个人信息收集使用数量级别较大的企业,因为本身是相对严监管的对象。所以它们是第一批进行数据合规体系搭建的企业。 今年的数据合规监管趋势:范围扩大化、颗粒细度化。 关于什么是建立数据合规体系的最好时间点,各种情况都会有不同。有的企业当真的面临监管或者要求自查的情况下,会促使企业对自身数据合规管理进行自我检查、体系完善。但也有一些企业是由于自我驱动力或者因数字化项目的开展,而产生了数据合规服务的必要。 (二)数据合规体系要与原有风控合规体系融合,还是自成一派? 这个问题并没有一个标准的答案。 目前为止,随着我国数据安全法、个人信息保护法,以及各种标准的逐步完善、细化,合规领域已经是一个非常独立的领域,例如商业秘密保护,其实已经冲破了高层级、高概述性的企业合规体系概念,虽然它也包含在其中,有部分融合,但在这个体系搭建中,还是有较强的独立性和专业性,这也主要源于现在法律法规标准的具体化。 数据合规和企业传统合规相比,有一个特点,就是法律合规和IT技术管理相融合。所以它在管理上,也有自己的独特性。目前大部分企业其实还是在针对数据合规、个人隐私保护建立一个相对独立的体系。 (三)企业搭建数据合规体系前需要了解的框架和核心要点?
体系搭建的最开始,要研究清楚客体目标,即数据的处理行为到底是怎么样的。数据全生命周期处理的基础事实是企业在搭建数据合规体系时的奠基石,必须要了解清楚,才能知道现在体系哪里需要待完善,哪里有风险。从整体维度上,整个流程包括战略启动、特殊场景里的数据资产摸排。 整个制度体系建设是一套比较完整的体系,组织管理架构和技术防护措施是保障整个体系可以自上而下落地的过程。 在最终的体系搭建里,包括风险筛查报告、合规建议报告、整体方案规划、内外制度协议等等。这些建设完成之后,还需要关注整个体系的实施。 随着法律的更新,监管趋势的变化,数据合规又是近几年的新法领域,必定会有很多数据治理上的新的侧重点,实时跟进也是让体系发挥实效的非常重要一步。 (四)需要从哪几个宏观方面去搭建数据合规体系? 整体的数据合规体系搭建还是要看现在监管治理的侧重点。这包括外规的内化,如何把法律法规标准融入到整个体系搭建里,还有对整体数据资产进行细化处理、摸排分类分级。 理解组织内外数据安全需求与监管要求,制定数据安全治理体系,对外和第三方进行数据合作时的数据交互制度以及产品的隐私保护设计(PbD, Privacy by Design)等等,都是合规体系搭建时需要关注的主要内容。
(一)如何搭建一套适合企业的数据合规组织架构 这个问题是非常好的起始问题。因为必须了解到底是哪个部门主管决策管理,执行相应的数据合规体系,找到对应的部门和人员,才能够把体系整体搭建完善。 在整个组织架构搭建上,按照现在法律规定,主要针对几大类的数据处理有架构搭建的要求——有数据的专门管理部门或者是个人信息的保护部门和专员,包括重大数据、个人敏感信息处理者以及大量个人信息处理者。 体系搭建是融合到企业的整体战略目标和合规体系中。同时也要注意,现阶段企业在整个组织体系搭建的过程中,还需要做几方面的准备,例如,根据数据类型来判断是不是必须搭建一个独立的组织部门和架构。因为数据合规组织架构对很多企业来说,需要非常重大的组织性变更和额外协调内部配合的成本。 在整个组织搭建的过程中,如何用新的数据安全工作小组去融合现有的角色,其实也是一个非常具有挑战性的事情。所以对企业来说,组织架构搭建虽然是起始一步,但也是最难以一步到位的,需要更多的时间。 (二)法务部门?技术部门?谁才是企业数据合规工作的牵头部门? 数据合规属于数据安全管理(data security management)里面的一项,它是属于大的范围,是属于整体的大数据管理、大数据治理的大项目。无论是从现有的实践,还是整个数据治理的国际上先进理论、管理经验来看,它都必须是一个多部门共同协调的事情。 对于合规与法务部,尤其在制度体系搭建的初期是非常关键和重要的。因为数据合规体系一定是以合规的基准要求为起点,所以它更需要像合规跟法务部这样的专业部门去制定好相应的制度,确保它是符合法律法规规范要求的。 在后期,随着整个制度体系的实时运转过程中,业务部门的整体参与执行反而是越来越重要。如何能够让制度真正融合到整个业务里?如何能够把数据安全管理的职责融入到整体部门的考核奖惩激励职责里?这些更需要像业务部门、人力资源部门、内审部门和信息安全部门共同配合。 (三)企业如何设计适合自己的数据管理制度? 企业在做自己的管理制度建设的过程中,先要做一个现状梳理。现在已有问题到底存在于哪个制度规则流程中?现有的制度和数据法律要求的匹配度上的差异点到底是多少? 第二,就是要制定好企业整体的数据合规管理制度,它的整个目标是什么?因为这也涉及制度的要求,对制度设计来说,这是难控制的点。因为数据合规的很多要求体现在技术标准、技术规范或者行业标准里,不是法定强制性的。 那么企业制定制度的目标是把基础法律红线要求完善,还是想通过这套制度让企业达成一个更高要求的实践者的指南,甚至成为行业的标杆。不同的目标会导致制度整体宽严程度的区别。 制度的要求其实不简单是一个数据安全管理制度,它可能会区分很多的层级。比如说在数据安全管理办法之上可能抵消企业的二、三级制度,它会有一个更细化的流程。 同时,制度的制定不单单是合规跟法务部门,甚至是和技术部门,它一定是需要多部门协作来评审这个制度的实操性和可行性。 制度的执行层面,我们要确保制度不是被束之高格,不是为了应付监管的需要。制度是要被有效实施的、有效执行的,它能够完成法律的自证要求。制度执行是非常关键的,做好制度的执行记录,做好依据相应的法律法规,相应的监管风险的新变化而进行制度的更新,使制度真的是可以协助企业应对数据合规监管的有利武器。 (四)通盘梳理企业的数据资产,需要去落实哪些原则呢? 企业数据资产的梳理有两个阶段,一个是在整个制度体系搭建前,一个是根据数据治理的整个项目要求,分特定的场景,分样本化的数据应用去进行相应的梳理。 首先,确定梳理目标,是要 对整个数据进行分类分级,还是 以风险合规筛查或者是样本调查为基础,以此决定整个数据合规梳理的范围和标的,又或者是按数据生命周期去梳理数据的整个流转,从收集使用到共享传输到存储删除。数据的收集使用目的都是为了实现业务目的,所以在梳理企业数据资产的过程中一定要和业务场景,进行相应的配合。 数据的梳理,是一个非常细致且范围大的工作,尤其针对一些业务面多,数据量广的企业。对这些企业来说,数据的资产梳理不是一蹴而就的工作,还需要有「以点及面」的策略。 在此过程中可能要先看监管的风险场景、主要系统,从若干个重要系统、重要场景入手梳理,会为后面整体数据资产梳理的模型搭建,起到非常重要的作用。 整个数据梳理过程中,客体标的就是数据。监管要求高的数据以及特殊主体的数据才值得企业花费精力进行梳理,才是对企业来说效益性、促进性最大的。相应地,这些数据的应用场景也应该作为数据梳理的第一支队,引发企业的关注。 (五)如何在数据合规中体系中建立突发事件的应对方法,或者建立应突发事件应对流程? 数据安全应急事件的处置制度是数据合规体系中的法定要求制度。 现在很多企业的数据安全应急事件处置制度并没有独立化,很多都是以信息安全的数据风险管理应急制度直接覆盖。而对现阶段来说是远远不够的,尤其是针对一些行业本身。比如金融行业,它已经针对数据安全风险有了相应的规范性标准,针对数据安全事件有了相应的分类分级。 数据安全事件的应对机制和所有的机制一样,首先要确定相应事件的主管部门是什么,这是最基础的一步。同时,并不是所有的风险都是相同的处理步骤和措施。企业要梳理数据的严重风险点在哪里?做好数据风险的分类分级管理,建立重大数据风险清单,这也是做好应急处置方案的重要步骤。 对于关键信息基础设施企业来说,有定期演练的法定义务要求。但是对于一般企业来说,这种培训和演练也是非常关键的一点。 在实施过程中,还要做好记录,因为安全应急处置制度在适用时,就意味着真正出现了数据安全事件。企业是如何应对的、如何报备、如何通知受影响的数据主体,是不是已经满足了法定义务要求,需要企业特别关注和记录。 在总结阶段,要把数据安全事件的出现原因、处置方案、应对经验定期做内部汇报,确保后面的类似风险可以被避免。 (六)数据合规体系建设中的难点、薄弱点 对于中国企业来说,最薄弱的就是数据合规体系的完善性不足。对于体系的必要性和现存的问题,可以从法律和全球政治的背景进行看待。 数据合规体系是为了应对数据安全和网络安全事件。近几年,网络安全事件频发,除了用户以外,企业也是直接受害者,实际上给企业带来了很多负面影响。企业可能因为数据泄露事件导致一些涉及企业知识产权、商业秘密的资产性数据为他人获取,也可能因为企业本身体系搭建的不完善而受到政府的惩处、问责。还有一些企业,它的影响可能来自于它的数据合作方,比如云服务商本身体系的数据漏洞问题导致租用企业的数据受损。 很多企业的数据合规意识以及数据合规素养处于比较初期的阶段。这可以理解成企业从管理层到员工对于数据合规的法律要求理解并未深刻到位,也暴露了我国现在数据合规专业人才的缺失问题。这些都可能会导致企业的合规体系即便搭建之后,具体执行人是否有能力、有意识把整个体系执行到位。 企业的数据合规管理和业务发展部分存在割裂。企业要重视业务部门负责人在数据合规体系搭建中的参与,让数据合规管理和业务真正结合。 中国的数据治理框架并不像欧美那样清晰全面,而且在数据本身的合规监管上,规范性文件分散,它跟现在的个人信息保护法、数据安全法的原则还没有统一。这也导致企业在进行数据合规体系搭建的过程中,面临法律依据上的不确定性。虽然这些问题企业不能由企业自行克服,但企业至少要有合规意识,要理解现在的数据监管基础架构和法律法规。 此外,数据合规有社会责任属性,企业在用制度做好自证之外,也可以更多用企业的实践反哺制度的完善,贡献企业的力量。
(一)智能制造、工业互联企业的数据合规体系搭建1. 智能制造、工业互联企业相对于互联网和数字化发展,相比于电商和金融行业,制造行业其实是个传统行业,是比较初起步的新兴探索。所以大家可能认为制造业企业不是一个To C端的企业,本身也没有处理大量个人信息量,对于制造业企业是否要遵守数据安全保护的要求?是否要建立数据安全合规体系?随着数据安全法的出台,这个答案已经明确。因为这一类企业有很重要的数据特点——关系到国家关键基础的行业。尤其是这一类企业里的龙头企业,它的数据是需要重点保护的。根据政府的重要数据级分类目录,有一些企业的数据已经受到了重要数据的监管。特别是智能制造、工业互联这一类企业,数据分类分级是数据合规体系搭建里最基础的内容,因为它要寻找到它里面的国家监管的重要数据,核心数据在哪里?这一类数据在使用上,在存储和出境上有很严格的要求。 2. 车联网行业 车联网行业是一个供应链很长的行业。那么弄清企业到底处于供应链的哪个阶段,对企业做数据分析时非常重要。 如果是软件制造商,或者是核心终端的智能驾驶舱的生产者、数据处理者,所面临的数据监管要求也会有所不同。汽车数据管理提出了很多跟这个行业相关的原则性保护要求,包括车内车外数据处理要求,测绘数据测绘信息保护,遵守测绘行业资质要求,甚至细化到行业的运作。这一类企业对于整个企业进行数据合规体系搭建的示范意义是非常大的。同时,我国数据法中重要数据、核心数据的概念和目录尚且在制定、完善过程中,存在不确定性,这对于企业数据合规体系搭建有很大的挑战性。 (二)数据跨境 数据跨境需要关注中国当前数据出境管理办法里的理念。 对于这一类企业来说,数据合规体系搭建的推动力主要来自于几个方面,其中一个是境外国家的监管要求,以及境外合作方在商业合作协议中要求对数据安全能力的承诺。所以这一类企业它需要外部律师协助对境外的数据合规和隐私风险进行识别。 这一类企业中,很多企业本部处于中国,会收集到来自于世界各国的个人信息。按照长臂管辖原则,企业需要遵守很多国家的数据安全管理要求。很多企业会制定一个全球数据使用的合规体系战略,在此基础之上,根据各国的监管重点提出相应的合规指南。所以,这类企业数据合规体系的特点就是把中国的合规要求和全球的高标准要求进行融合。 在个人信息安全管理方面,很多中国企业现在还没有意识到对海外员工进行相应的数据安全保护, 针对海外员工的体系保护其实也在全球体系保护的搭建中。 很多外国企业来华运营的过程中,对它本国已经做好的数据合规体系进行中国本地化的修订,这样的体系搭建也是比较典型的。由于外企的总部设在境外,所以,除了体系本土化之外,其很有可能涉及数据的跨境问题,尤其它的主体服务器在境外。 那么,如果在中国境内没有搭建一套独立的办公系统,那么这就意味着中国境内员工的数据存储在境外搭设的总部的海外系统里,从总部调取中国境内员工的数据,意味着数据已经出镜。所以,这一类企业还需要关注数据出境的风险识别。 (本文整理自德和衡律师事务所合伙人辛小天在iLaw直播间讲授的公开课内容) |
|
|
