企业如何开展数据合规建设落地之实务指引
发布时间:2023-01-05
文 | 王小敏 汇业律师事务所 合伙人
企业数据合规管理体系建设是一项系统化的工程,涉及企业高层管理人员等自上而下的全面认知和企业相关部门之间的资源协作与配合,不仅要有清晰的数据合规目标和实施计划,也要遵循事先设定的科学合理的合规目标和计划,切实有效开展实际落地执行工作,将数据合规贯穿于整个企业内部的管理和业务流程当中。
对广大企业的数据合规管理部门或数据合规负责人来说,想要构建有效的数据合规管理体系,在前期数据合规目标和计划制定完成之后,下一步该如何落地实施和执行将是其中最重要的课题,也是企业在法规与监管日益趋严的形势下不得不认真面对的工作,同时,这也是企业数据合规实务当中最难的一环。
为高效开展数据合规实务落地工作,汇业律师事务所王小敏律师团队建议企业可以从数据盘点、数据分类分级、数据合规风险识别、数据合规专项整改、合规培训等方面入手,逐步推进企业相关数字产品和业务满足我国数据合规相关法规、标准和监管要求,保障数据安全和业务连续性。
一、数据盘点
数据盘点即数据资产盘点,数据资产是相对于实物资产而言的,是企业或组织从其设立到运营过程中产生或控制的,能给企业或组织带来相关经济利益或竞争优势的一切数据资源,包括企业的生产经营数据、财务数据、销售数据、人力资源数据、供应商及客户数据、用户或消费者数据等,数据不仅限于电子形式记录的,也可以是其他形式记录的。可以说,数据资产是数字经济时代企业最重要的资产之一。
当今时代,互联网、物联网、5G、人工智能等数字技术高速发展,任何一家企业都会沉淀或积累大量的数据,不论其是传统的生产制造企业,还是互联网基因的数字化企业;也不论其是面向To B业务的服务型企业,还是面向To C领域的消费型企业。在数字经济时代,企业往往对自身的数据资产缺乏清晰全面的了解,仅知道自己拥有大量数据,但不知道拥有的到底是些什么数据,是结构化数据还是非结构化数据,是生产经营数据,还是用户个人信息数据等,也不清楚各类型数据的数量到底有多少。
因此,进行数据盘点是企业对自身数据资产进行管理和开发利用的前提,也是企业开展后续数据合规工作的重要基础。也就是说,企业要做数据资产管理或者对数据进行开发利用,或者要进行数据合规体系建设,首先都必须清楚自己拥有或控制有什么样的数据。
企业应结合自身所处特定行业、业务范围与类型、商业模式、产品与服务链条等,对企业生产经营或运营过程中产生或控制的数据,进行系统地自查和梳理,摸清自身企业的数据资产现状,以及可能存在的缺陷或问题。
首先应明确数据盘点的范围,如果企业愿意投入足够的成本或资源,最好是对企业进行全面的数据盘点,如果成本或资源有限,那么可以在企业的核心业务或重要业务范围内进行数据盘点,企业应根据自身情况科学合理地设定数据盘点范围。同时,企业也应确定数据盘点的人员,具体由谁来执行数据盘点的工作往往会影响数据盘点的效果和质量。通常,企业内部的IT管理人员或网络安全人员是最佳人选,如果没有相关技术人员或相关技术人员不够,也可以安排相关业务人员负责实施,必要的时候也可以聘请外部专业机构或团队协助。
确定数据盘点范围及人员后,接下来就是具体进行盘点工作了,可以通过人工与相关自动化工具或技术相结合,提升数据盘点的整体效率,同时保障盘点的质量,避免数据盘点耗费大量人力物力后却达不到预期的效果或成果。
二、数据分类分级
企业数据盘点与数据分类分级密不可分,企业可以根据自身数据梳理和盘点情况,按照科学合理的维度进行数据的分类和分级,以便全面掌握自身的数据资产现状和管理数据资产,并按照数据分类分级情况采取相应的数据安全保护措施和合规动作,这也是企业建立数据合规体系的重要步骤。
我国《数据安全法》对数据分类分级提出了明确要求,第二十一条规定国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护[1]。虽然法律提出了数据分类分级保护的原则性要求,但是具体如何进行数据的分类分级,目前仍是行业实践中的难点和痛点。在国家或有关部门制定出台具体的实施细则之前,企业可根据现行法律法规,并结合自身业务和特定行业背景,参照国家标准或某些特定行业的行业标准或指南(如金融、电信、证券期货、网络等),先行先试,探索出一套或多套既满足法规要求又适合自身企业现状的数据分类分级方法。
比如,根据我国《数据安全法》《个人信息保护法》《网络数据安全管理条例(征求意见稿)》《网络安全标准实践指南--网络数据分类分级指引》《信息安全技术 网络数据分类分级要求》(征求意见稿)等相关法律法规和标准指南,企业可以按照数据的重要程度、类型、影响等进行分类。总体上,根据数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,可将数据等级按照从低到高的顺序分为一般数据、重要数据、核心数据三大维度,然后分别对各个维度的数据采取相应的安全技术措施和保护策略,制定相应的合规政策与制度[2]。
数据分类是非常复杂的技术性工作,可以具有多种维度和视角,企业应结合自身数据利用和管理的目的等进行具体分类。比如,企业根据自身数据资产的实际情况,也可参照国标《信息技术 大数据 数据分类指南》(GB/T38667-2020)开展数据分类工作,该国标提供了大数据分类过程、分类视角、分类维度和分类方法等方面的建议和指导,具有一定的参考价值。[8]
在数据分类基础上,可根据企业数据敏感度或重要程度以及数据泄露后对国家安全、民生经济、社会秩序、公众利益和企业经营管理造成的影响和危害程度,再对企业的数据资产进行分级。数据分级更多地是从数据安全角度来考虑的,行业实践中通常可根据企业所属行业以及数据的敏感程度或安全影响的大小,从高到低分为3至5个级别不等,具体分级的方式方法可参照某些特定行业的相关标准和指南。
我国目前在金融、证券期货、基础电信、工业等少数重点行业以及政府政务数据方面,都出台有相关数据分类分级的行业标准或指南,如《金融数据安全 数据安全分级指南》(JR/T0197-2020)、《证券期货业数据分类分级指引》(JR/T0158-2018)、《基础电信企业数据分类分级方法》(YD/T 3813-2020)、《工业数据分类分级指南(试行)》、浙江《数字化改革 公共数据分类分级指南》(DB33/T2350-2021)、贵州《政府数据 数据分类分级指南》(DB52/T1123-2016)等,尤其是金融行业和工业数据的分类分级标准或指南,对其他企业的数据分类分级工作有着较大的示范作用和借鉴意义,还在征求意见阶段的《信息安全技术 网络数据分类分级要求》也具有一定参考价值。
以工信部的《工业数据分类分级指南(试行)》(以下简称《指南》)为例,该《指南》分总则、数据分类、数据分级、分级管理共4章16条,适用于工业和信息化主管部门、工业企业、平台企业等开展工业数据分类分级工作。其所指的工业数据是工业领域产品和服务全生命周期产生和应用的数据,包括但不限于工业企业在研发设计、生产制造、经营管理、运维服务等环节中生成和使用的数据,以及工业互联网平台企业(以下简称平台企业)在设备接入、平台运行、工业APP应用等过程中生成和使用的数据[9]。
《指南》将工业数据分为两大类(工业企业工业数据和平台企业工业数据),其中,工业企业工业数据分类维度包括但不限于研发数据域(研发设计数据、开发测试数据等)、生产数据域(控制信息、工况状态、工艺参数、系统日志等)、运维数据域(物流数据、产品售后服务数据等)、管理数据域(系统设备资产信息、客户与产品信息、产品供应链数据、业务统计数据等)、外部数据域(与其他主体共享的数据等);平台企业工业数据分类维度包括但不限于平台运营数据域(物联采集数据、知识库模型库数据、研发数据等)和企业管理数据域(客户数据、业务合作数据、人事财务数据等)[10]。
在数据分级方面,《指南》根据不同类别工业数据遭篡改、破坏、泄露或非法利用后,可能对工业生产、经济效益等带来的潜在影响,将工业数据分为一级、二级、三级等3个级别,并对各个级别适用的条件进行了例举。结合工业数据分级情况,企业分别采取相应的安全保护措施,其中针对三级数据采取的防护措施,应能抵御来自国家级敌对组织的大规模恶意攻击;针对二级数据采取的防护措施,应能抵御大规模、较强恶意攻击;针对一级数据采取的防护措施,应能抵御一般恶意攻击[11]。
三、数据合规风险识别
在做好数据资产盘点和数据分类分级基础工作之后,数据合规风险识别将是企业推进数据合规建设的重要环节,也是企业规避数据合规风险,进行合规整改的前提。风险识别不是最终目的,而是便于后续针对企业各个阶段或场景面临的不同风险,采取相对应的有效合规整改措施,构建数据合规流程和体系。
企业数据合规风险的识别包括民事风险识别、行政风险识别、刑事风险识别,贯穿于企业数据全生命周期(收集、存储、使用、加工、传输、提供、公开、删除或销毁),涉及企业的商业模式、产品设计开发、内部运营管理、外部合作等多个阶段或场景。
各个阶段或场景中企业均应确保数据处理活动的安全与合法合规,在确保商业模式合法合规的前提下,重点围绕数据全生命周期的安全与合法合规进行风险识别,包括识别出数据在收集、存储、使用、加工、传输、提供、公开、删除或销毁等各个环节面临的法律和合规风险,以及相应的安全风险,特别是在数据收集、使用、加工、提供等环节,不仅要确保企业自身(数据控制者或处理者)遵循法律法规的规定,还要确保数据的合作第三方(如数据提供者或加工者或处理者)遵循法律法规的规定,不得触碰法律红线和合规禁区;在数据存储、传输、公开等环节,企业应特别注意加强数据安全保护措施,通过匿名化、去标识化、差分隐私、同态加密、隐私计算等技术手段,确保数据的安全,避免发生数据泄露、窃取等安全事件。
如果企业业务涉及海外或服务面向全球的,还应识别海外相关国家或地区的数据法律风险和合规风险,特别是欧盟GDPR(通用数据保护条例)、美国CCPA、COPPA等法案的相关要求。目前全世界已有100多个国家或地区颁布了数据保护或个人信息保护方面的专门法律,如果业务涉足这些国家或地区的企业,还应特别注意识别当地法律的一些特殊规定,比如俄罗斯的数据本地化存储等要求。因此,在企业条件允许的情况下,建立国内和国外两套数据合规风险识别机制或体系,对出海企业或跨国企业来说尤为重要。
数据合规风险识别需要结合相关的法律法规、标准指南和监管实践要求来进行,准备和制作相应的合规要素清单,根据合规要素清单对数据全生命周期各环节进行一一尽调核查,识别出相关环节或阶段存在的风险触发点或漏洞,并做好相应的风险识别标记,对识别出的风险可按照法律后果的严重程度进行相应的分类分级,比如按照可能引发的民事风险、行政风险、刑事风险设定相应的风险等级,并形成书面合规风险评估报告或清单。
以国内APP个人信息保护合规风险识别为例,可结合我国现行的《网络安全法》《数据安全法》《个人信息保护法》《电子商务法》《未成年人保护法》等法律,以及《儿童个人信息网络保护规定》《APP违法违规收集使用个人信息行为认定方法》《关于开展纵深推进APP侵害用户权益专项整治行动的通知》等工信部、网信办等相关部委的行政法规或部门规章或规范性文件,以及《个人信息安全规范》(GB/T35273-2020)等国家标准或指南,进行个人信息的合规要素清单设计和风险识别,对识别过程中发现的重大合规风险进行标记,划分相关风险等级程度和处理优先级,形成书面合规风险评估报告,以便后续对相关风险标记按照报告进行重点整改。
数据合规风险识别不仅是人工劳动,还应尽可能地采用各种自动化检测工具,提高数据风险识别效率和有效性、全面性,覆盖人工识别无法触及的更深层次的风险或漏洞,弥补人工风险识别的局限与缺陷。以APP合规检测为例,单纯的人工检测不仅无法有效识别到APP后台权限可能存在的合规风险,比如超范围收集用户个人信息、频繁过度索取用户权限等,也无法满足企业数量庞大的产品合规检测需求。因此,善用自动化系统或技术工具是识别企业数据合规风险的有效途径和必备手段。
四、数据合规风险整改
数据合规风险整改与风险识别密不可分,合规风险识别完毕后,企业就应制定数据合规整改计划并按计划启动具体的数据合规整改工作,对照数据合规风险评估报告将前期风险识别阶段发现的各种数据违法违规风险,分阶段分批次一一进行整改,以使企业的业务运营和数据处理活动达到合法合规状态。
数据合规风险整改涉及到企业的业务、产品、技术、管理甚至商业模式等多个方面,需要企业内部多部门联动,不是仅靠法务或数据合规某一个部门就能够单独完成,还需要业务、技术、安全等其他部门人员相互配合,共同协作推进。因此,企业数据合规整改工作可以由法务或数据合规部门牵头主导,但是必须卷入安全、技术、业务等其他部门人员,同时还应取得企业高层领导的支持,由高层调配相关部门人员与资源,这样才能确保数据合规整改工作顺利实施和整改措施落实到位。否则,将会极大地影响整改效率,增加整改成本,甚至可能导致数据合规风险整改工作无法正常推进。
企业数据合规风险整改要按照计划逐步进行,结合数据合规风险紧急程度设置整改优先级,分阶段分批次推进,优先解决风险程度高、执法监管严的合规风险点,以尽可能早地降低企业数据不合规可能导致的行政处罚、刑事责任等高风险,这样也有利于企业将有限的合规资源或力量集中投入到最紧迫最需要整改的地方,把握好轻重缓急,兼顾合规与发展利益相平衡。
企业数据合规风险整改不仅只关注企业自身业务或内部合规,还需关注和监督企业的客户或外部合作方或供应商进行合规整改,通过及时调整和修改与客户或外部合作方或供应商的数据合作协议或数据处理条款,对数据接收方或合作方进行责任义务约束与限制,同时还可以采取相应措施进行持续监督。诸如发现数据接收方或合作方未按合作协议条款约定、或超出委托处理范围、或违反法律法规处理数据或个人信息的,应立即要求其停止相关行为,并采取有效的补救措施消除企业数据面临的安全和违法违规风险,甚至在必要时还可以解除与数据接收方或合作方的合作关系,并要求其及时返还、删除或销毁获得的企业数据或相关个人信息。
企业数据合规风险整改是一项持续性工作,不是一蹴而就的,也不是解决掉某个问题后就一劳永逸。企业数据合规面临的内外部环境随时都可能发生变化,企业数据合规部门或负责人必须及时跟进和识别这些变化,并在合规风险整改应对工作中及时作出反应和调整。比如,企业内部新产品开发上市或某项产品推出新功能等,都会涉及到数据合规风险的重新识别与整改应对;而外部环境诸如法律法规的变化、监管的新要求等,都会对企业数据合规风险带来新的不确定性。
因此,企业需要充分认识到数据合规风险整改是一项日常性工作,要将合规整改工作融入到业务流程当中,发现合规问题随时进行整改。整改完成后,还可以通过数字跟踪技术对数据的使用和变化情况进行实时监控,及时发现违法违规情况,及时启动整改,及时降低数据违法违规风险。此外,企业在日常数据合规风险整改过程中,还应当密切关注和跟踪数据和个人信息保护相关立法、监管执法、司法判例等方面的动态,根据动态变化及时更新风险识别机制和整改方案。
五、数据合规培训与考核
企业数据合规管理是一项长期持久的工作,不仅需要有合规风险识别和整改方面的具体落地实施工作,还需要企业员工具有数据安全和合规意识,特别是企业产品经理、业务或产品开发设计人员、网络或IT数据安全人员、商务合作部门人员等,更要具备一定的数据合规与安全意识。
因此,对相关人员进行数据合规培训工作必不可少。至于数据合规培训面向的具体人员,企业可以根据自身业务类型、人员组织结构等进行确定,从上至下尽量覆盖到尽可能多的员工。如果企业出于信息安全或业务保密考虑,也可以针对相关特定人员进行小范围的培训或封闭培训。对培训过程企业数据合规或法务相关人员也应该全程记录并留档,方便以后企业内部开展合规审计或自查,当发生数据安全或合规事件时,也可以用来回溯追责,或面临政府监管执法时用来作为企业尽到合规义务的免责依据。
培训的目的是为了增强员工数据安全与数据合规意识,提升相关人员的专业技能水平,从而实现企业整体的数据安全与合规能力水平的提升。所以,除定期或不定期举行数据合规培训外,企业还需结合内部其他的培训活动,将数据安全与合规培训融入到日常经营管理活动中,建立相关的培训机制、人员、课程、手册等,持续地对员工进行相关培训和指导,进一步增强员工的数据安全概念和合规意识,让每个员工都知道数据合规的红线,让数据安全合规融入到企业员工行为规范和企业管理制度当中,最终内化成企业的文化。
通过持续不断地开展定期或不定期培训,也可以提升企业数据合规或法务部门在企业内部的影响力和地位,反过来也有利于数据合规或法务部门后续更好地开展数据合规工作。
最后,企业可以将数据安全与合规遵从纳入到企业内部绩效考核管理当中,对数据合规意识及行为遵从积极者进行奖励,对发生数据安全或违规事件的人员进行惩罚,以确保企业数据合规管理制度和体系的权威性和有效性,保障企业数据合规管理体系的可持续性和生命力。
参考资料
[1]《中华人民共和国数据安全法》第二十一条
[2]《信息技术 大数据 数据分类指南》(GB/T38667-2020)3.3-3.7
[3]网络安全标准实践指南—网络数据分类分级指引2.4
[4]《数据出境安全评估办法》第十九条
[5]《网络数据安全管理条例(征求意见稿)》第七十三条;网络安全标准实践指南—网络数据分类分级指引2.2
[6]《数据安全法》第二十一条;
[7]《网络数据安全管理条例(征求意见稿)》第七十三条;网络安全标准实践指南—网络数据分类分级指引2.3
[8]《信息技术 大数据 数据分类指南》(GB/T38667-2020)3.3-3.7
[9]工业和信息化部《工业数据分类分级指南(试行)》第二条和第三条
[10]工业和信息化部《工业数据分类分级指南(试行)》第六条和第七条
[11]工业和信息化部《工业数据分类分级指南(试行)》第八条和第十四条