一、企業(yè)數(shù)據(jù)合規(guī)監(jiān)管要點(一)數(shù)據(jù)來源的合法性
在信息時代����,數(shù)據(jù)是新的石油,它可以為新時代創(chuàng)造很多前所未有的機(jī)會�,但這一“新石油”卻不能隨意開采,它的獲取來源和途徑需要受到法律的監(jiān)管����。數(shù)據(jù)來源的合法性是企業(yè)通過數(shù)據(jù)創(chuàng)造價值的前提與基礎(chǔ)。當(dāng)前眾多企業(yè)的數(shù)據(jù)利用越來越需要來自多渠道的大數(shù)據(jù)支撐��,數(shù)據(jù)來源合法是企業(yè)能夠合規(guī)使用所獲取到的數(shù)據(jù)的前提,也是監(jiān)管機(jī)構(gòu)關(guān)注的重點�。在實踐中,監(jiān)管部門對各企業(yè)在業(yè)務(wù)中所使用的數(shù)據(jù)來源合法性的監(jiān)管力度也不斷加大�����。
考察企業(yè)收集數(shù)據(jù)來源的合法性可以從以下兩個角度把握:
1.企業(yè)自主收集的數(shù)據(jù)��。企業(yè)在收集個人信息時�,應(yīng)遵守合法、正當(dāng)及必要性原則�����,并獲取信息主體的同意��,具體要求包括:
①僅收集與業(yè)務(wù)直接相關(guān)的個人信息�,避免收集與業(yè)務(wù)無關(guān)的信息。一些移動互聯(lián)網(wǎng)應(yīng)用程序(APP)通過“一攬子協(xié)議”將收集個人數(shù)據(jù)與其功能或服務(wù)進(jìn)行捆綁���,用戶不同意全面授權(quán)�,就無法使用該APP���。這嚴(yán)重?fù)p害了用戶作為個人數(shù)據(jù)主體的決定權(quán)��。針對此現(xiàn)象��,《深圳經(jīng)濟(jì)特區(qū)數(shù)據(jù)條例》確立了以“告知—同意”為前提的個人數(shù)據(jù)處理規(guī)則�,規(guī)范企業(yè)收集個人信息的行為。
②如果企業(yè)收集的個人信息為敏感個人信息����,例如金融機(jī)構(gòu)往往需要收集個人生物特征��、金融賬戶等信息��,則該企業(yè)還需要獲取客戶對于敏感個人信息收集與使用的明示同意���;
③在收集個人信息前����,需制定《隱私政策》����,并在《隱私政策》中具體說明個人信息的使用場景,采取技術(shù)措施(例如彈窗等)引導(dǎo)個人信息主體查閱隱私政策�,獲得個人信息主體明示同意后開展有關(guān)個人信息的收集活動。
例如�,在受到政府審查之前����,滴滴出行在《個人信息保護(hù)及隱私政策》中強(qiáng)調(diào)���,滴滴出行“保留對個人信息的收集�、保存����、使用、共享的權(quán)利”���,其中所指的“個人信息”是“身份證號碼�����、面部識別特征����、錄音錄像���、銀行卡號�����、IP地址”���。這些信息的收集超出正常使用滴滴出行平臺核心功能之所必需���,違反了《信息安全技術(shù)個人信息安全規(guī)范》規(guī)定的個人信息控制者收集個人信息時需要遵循的“最小必要原則”。
2.來源于第三方的數(shù)據(jù)�。《深圳經(jīng)濟(jì)特區(qū)數(shù)據(jù)條例》明確規(guī)定,市場主體不得使用非法手段獲取其他市場主體數(shù)據(jù)���,不得非法收集其他市場主體數(shù)據(jù)提供替代性產(chǎn)品或者服務(wù)�,不得通過數(shù)據(jù)分析無正當(dāng)理由對交易條件相同的交易相對人實施差別待遇�����。因此�����,當(dāng)企業(yè)收集的數(shù)據(jù)來自于第三方時��,需在從第三方接收此類數(shù)據(jù)前����,核實數(shù)據(jù)來源的合法性,包括:
①此類數(shù)據(jù)在收集時���,第三方是否獲得了客戶有關(guān)其個人信息收集與處理的同意����,該同意應(yīng)覆蓋個人信息主體到企業(yè)的全部傳輸鏈接�����。個人信息主體同意的內(nèi)容覆蓋企業(yè)利用該數(shù)據(jù)的各場景���;
②建議第三方提供相應(yīng)的證明文件����,確保企業(yè)收集到的個人信息來源的可追溯性;
③如果需要從合作伙伴處獲取個人信息,應(yīng)通過盡職調(diào)查等適當(dāng)方式確認(rèn)合作伙伴的數(shù)據(jù)來源合法合規(guī)�、真實有效,對外提供數(shù)據(jù)不違反法律法規(guī)要求,并已獲得信息主體本人的明確授權(quán)。
(二)內(nèi)部數(shù)據(jù)安全管理
企業(yè)內(nèi)部數(shù)據(jù)治理水平應(yīng)與企業(yè)對數(shù)據(jù)賦能的推進(jìn)相適應(yīng),若內(nèi)部的數(shù)據(jù)安全制度無法完善�,則數(shù)據(jù)安全無法保障�����,數(shù)據(jù)無法在制度的保障下發(fā)揮價值。因此���,在確定了數(shù)據(jù)來源的合法性后�,企業(yè)還需要對企業(yè)內(nèi)部的數(shù)據(jù)安全進(jìn)行管理��,制定覆蓋數(shù)據(jù)生命全周期的數(shù)據(jù)安全管理制度����。企業(yè)進(jìn)行內(nèi)部數(shù)據(jù)安全管理應(yīng)關(guān)注以下要點:
①具備定位其擁有的數(shù)據(jù)的能力。要想處理并管理這些數(shù)據(jù)����,企業(yè)需要了解數(shù)據(jù)的存儲位置、訪問者以及已經(jīng)存儲了多長時間�。
②具備安全高效檢索數(shù)據(jù)的能力?���!秱€人信息保護(hù)法(草案)》規(guī)定�,個人有權(quán)申請查詢自己的個人信息,并要求更正���、補(bǔ)充�,甚至刪除數(shù)據(jù)。因此要求企業(yè)具備安全高效的數(shù)據(jù)檢索的能力��,確保及時響應(yīng)這些要求��。
③最小化數(shù)據(jù)存儲����。由于《個人信息保護(hù)法(草案)》規(guī)定個人信息的保存期限應(yīng)當(dāng)為實現(xiàn)處理目的所必要的最短時間。因此����,企業(yè)需要根據(jù)《個人信息保護(hù)法(草案)》的要求,建立數(shù)據(jù)存儲最小化系統(tǒng)����,防范數(shù)據(jù)泄露風(fēng)險。
④最大程度保護(hù)數(shù)據(jù)的安全��?!秱€人信息保護(hù)法(草案)》要求保護(hù)個人信息免遭泄露、竊取��、篡改或刪除��。審查訪問控制、加密�����、化名與技術(shù)安全措施�����,以保護(hù)由企業(yè)控制的個人信息���。建立透明的數(shù)據(jù)保護(hù)和安全流程���,確保符合審計和合規(guī)要求。
⑤改變企業(yè)處理����、存儲和保護(hù)用戶個人信息的方式。建立一套隱私影響評估流程�����,對數(shù)據(jù)保護(hù)及個人隱私權(quán)影響作出正式分析�,并將其引入任何新的業(yè)務(wù)流程或系統(tǒng)�。
(三)數(shù)據(jù)的使用與處理
數(shù)據(jù)的使用與處理包括數(shù)據(jù)的收集�、存儲���、使用��、加工�、傳輸��、提供���、公開等活動�����。數(shù)據(jù)的使用與處理應(yīng)采取合法�、正當(dāng)?shù)姆绞?��,遵循誠信原則進(jìn)行�����。以企業(yè)進(jìn)行數(shù)據(jù)共享為例�,近期受審查的滴滴出行APP�����,其《個人信息保護(hù)及隱私政策》的“個人信息的共享、轉(zhuǎn)讓��、公開披露”一節(jié)顯示����,滴滴出行將會在特定情況下共享用戶信息,共享對象主要包括廣告分析服務(wù)商�、供應(yīng)商和其他合作方等。
而《個人信息保護(hù)及隱私政策》的規(guī)定要求����,企業(yè)對用戶數(shù)據(jù)進(jìn)行共享時應(yīng)當(dāng)告知用戶可能產(chǎn)生的后果并且征求用戶同意;進(jìn)一步���,若共享敏感信息����,還應(yīng)當(dāng)告知信息接收主體的身份和數(shù)據(jù)安全能力��,并且征求個人信息主體的明示同意���?�?梢?,滴滴出行這種籠統(tǒng)式要求用戶同意的方法顯然難以契合法規(guī)政策的要求�����。
在不同的業(yè)務(wù)領(lǐng)域���,有著相應(yīng)的法律法規(guī)或監(jiān)管政策對企業(yè)的數(shù)據(jù)使用與處理進(jìn)行規(guī)定��,對于企業(yè)而言�,其合規(guī)要點也相應(yīng)地因行業(yè)監(jiān)管要求的不同而有相應(yīng)的特殊性���。例如��,在金融領(lǐng)域�,《個人金融信息保護(hù)技術(shù)規(guī)范》對金融數(shù)據(jù)按敏感程度進(jìn)行分類��,將個人金融信息分成C3��、C2���、C1管理����。被歸屬于C3的金融信息是最高級別保護(hù)的信息,用于用戶鑒別的個人生物識別信息則屬于此類信息����。對此,金融機(jī)構(gòu)在數(shù)據(jù)的使用與處理方面���,則應(yīng)注意不得將C3以及C2類別信息中的用戶鑒別輔助信息對外共享或委托給第三方機(jī)構(gòu)處理���、委托第三方處理個人金融信息時,不得超出銀行客戶授權(quán)同意的范圍���、在外包活動中建立嚴(yán)格的客戶信息保密制度等合規(guī)要點���。
企業(yè)應(yīng)建立系統(tǒng)性的數(shù)據(jù)安全保障機(jī)制,同時在企業(yè)內(nèi)部應(yīng)對具體保障措施的內(nèi)容���、針對的數(shù)據(jù)對象�����、負(fù)責(zé)的人員等予以明確�,并全面記載安全措施的實施情況,以確保企業(yè)數(shù)據(jù)的使用與處理合法合規(guī)�����。若監(jiān)管機(jī)構(gòu)提出檢查�����,企業(yè)需要能夠拿出相應(yīng)的記錄來進(jìn)行說明�����,或者在發(fā)生安全事故時���,用于證實已盡到必要的安全保障義務(wù)。
二��、企業(yè)數(shù)據(jù)合規(guī)體系建設(shè)(一)建立有效數(shù)據(jù)合規(guī)體系的原因與價值
企業(yè)建立有效數(shù)據(jù)合規(guī)體系的原因與價值主要有以下六點:第一�����,是法律規(guī)定的合規(guī)義務(wù)��。我國《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》和《個人信息保護(hù)法(草案)》,以及GDPR等眾多境外數(shù)據(jù)保護(hù)法規(guī)均明確要求企業(yè)建立數(shù)據(jù)合規(guī)制度��。第二���,提高企業(yè)合規(guī)效率���。有效的數(shù)據(jù)合規(guī)體系可以提高企業(yè)內(nèi)部的合規(guī)效率,降低合規(guī)成本��。第三��,降低風(fēng)險和損失�����。數(shù)據(jù)不合規(guī)可能會為企業(yè)帶來重大的經(jīng)濟(jì)和聲譽(yù)損失�����,包括政府罰金��、訴訟賠償����、用戶流失等。第四,保護(hù)企業(yè)聲譽(yù)��。數(shù)據(jù)不合規(guī)引發(fā)的媒體負(fù)面報道將會影響公司商譽(yù)�。第五,應(yīng)對監(jiān)管執(zhí)法和訴訟�。企業(yè)的數(shù)據(jù)合規(guī)體系可以助力企業(yè)有效應(yīng)對監(jiān)管執(zhí)法和訴訟抗辯,以證明企業(yè)已充分盡到數(shù)據(jù)保護(hù)的義務(wù)���。第六��,提升用戶信任度和市場競爭力。用戶越來越重視隱私和個人信息的保護(hù)��,企業(yè)的數(shù)據(jù)合規(guī)程度將成為企業(yè)重要競爭力的體現(xiàn)��。
(二)合規(guī)體系搭建的考量因素
企業(yè)數(shù)據(jù)合規(guī)的關(guān)鍵在于合規(guī)體系之搭建��。而一個行之有效的合規(guī)體系搭建����,離不開合理的制度和程序、高層參與�、風(fēng)險評估、盡職調(diào)查�、培訓(xùn)和溝通、監(jiān)督和審核等因素。
以埃森哲為例��,埃森哲全球擁有53.7萬名員工���,6000家客戶(分布在120個國家/地區(qū))���,185家合作伙伴,在200座城市開設(shè)有辦事處和業(yè)務(wù)(分布在50個國家/地區(qū))�。作為全球最大的上市咨詢公司,埃森哲的客戶涵蓋世界500強(qiáng)跨國企業(yè)����、政府機(jī)構(gòu)和軍隊。值得注意的是�,作為一家服務(wù)全球的跨國企業(yè),埃森哲在中國也具有相當(dāng)?shù)囊?guī)模��。埃森哲在大中華區(qū)有1.8萬名員工�,分布于北京、上海��、廣州��、深圳���、大連���、成都��、杭州���、香港和臺北等地,服務(wù)的客戶包括世界500強(qiáng)企業(yè)����、國企和政府等。因此����,埃森哲的數(shù)據(jù)是全球流通的����,它每時每刻都在處理大量的敏感數(shù)據(jù)和重要數(shù)據(jù),并且存儲和處理的數(shù)據(jù)需要同時符合中國����、歐盟、美國的規(guī)定�����。面對龐大的數(shù)據(jù)體量和流量,埃森哲通過搭建起一套強(qiáng)大的數(shù)據(jù)合規(guī)體系��,為企業(yè)的數(shù)據(jù)安全保駕護(hù)航��。
在我擔(dān)任埃森哲亞太區(qū)區(qū)域法律服務(wù)董事總經(jīng)理兼大中華區(qū)法律部總經(jīng)理期間����,我作為公司網(wǎng)絡(luò)安全工作小組組長,負(fù)責(zé)網(wǎng)絡(luò)安全以及歐盟GDPR的法律風(fēng)險分析和合規(guī)評估�����,評估包括中國���、美國���、歐盟的法律,支持業(yè)務(wù)團(tuán)隊提供網(wǎng)絡(luò)安全服務(wù)給眾多財富500強(qiáng)跨國企業(yè)���。
結(jié)合埃森哲的成功經(jīng)驗����,建議企業(yè)搭建數(shù)據(jù)合規(guī)體系考慮以下四點:
第一,企業(yè)應(yīng)制定合理的制度和程序��,其作為企業(yè)合規(guī)體系的核心�,是企業(yè)所有員工履行職責(zé)的基本要求。主要分為以下三點:
(1)企業(yè)行為準(zhǔn)則�����,這是企業(yè)經(jīng)營管理和文化建設(shè)的綱領(lǐng)性文件�,包括企業(yè)愿景、使命�、核心價值觀、合規(guī)方針�、社會責(zé)任等方面。埃森哲在全球?qū)用嬷贫似髽I(yè)的商業(yè)道德規(guī)范�,這個規(guī)范是“埃森哲之道”,它建立在埃森哲的核心價值觀(創(chuàng)造客戶價值��、全球化公司��、尊重個人����、最優(yōu)人才�、恪守誠信和傳承卓越)基礎(chǔ)上���,規(guī)定了更詳細(xì)的預(yù)期行為,并推動企業(yè)的合規(guī)文化�、合乎道德的行為和責(zé)任制度。森哲非常重視員工和客戶的數(shù)據(jù)隱私����,其將數(shù)據(jù)隱私保護(hù)列入到公司的最高綱領(lǐng)性文件中,為公司收集和處理數(shù)據(jù)的行為提供道德規(guī)范指引���。
(2)企業(yè)數(shù)據(jù)合規(guī)管理制度��,這是企業(yè)合規(guī)部門進(jìn)行數(shù)據(jù)合規(guī)管理的程序性規(guī)章制度����,包括數(shù)據(jù)合規(guī)組織制度��、數(shù)據(jù)合規(guī)風(fēng)險管理流程�、合規(guī)審查流程、違規(guī)舉報�、調(diào)查與處置流程、合規(guī)報告程序等方面����。埃森哲的企業(yè)數(shù)據(jù)合規(guī)管理制度由域界專家(Subject-matter expert)組建的專業(yè)團(tuán)隊制定��,并結(jié)合強(qiáng)大的信息安全管理系統(tǒng)�����,包括一系列數(shù)據(jù)合規(guī)工具�����,來監(jiān)督和執(zhí)行企業(yè)數(shù)據(jù)管理�����,最大程度實現(xiàn)企業(yè)數(shù)據(jù)自動化合規(guī)管理�。具體而言����,埃森哲將數(shù)據(jù)管理分為客戶數(shù)據(jù)、職能部門的數(shù)據(jù)�����、第三方管理的數(shù)據(jù)���、涉及個人的數(shù)據(jù)權(quán)利��、應(yīng)急事件的機(jī)制(例如��,對網(wǎng)絡(luò)攻擊��,數(shù)據(jù)竊取�,丟失的員工電腦中存儲的數(shù)據(jù)等情況的處理)五大模塊���,通過先進(jìn)的數(shù)據(jù)合規(guī)工具��,在數(shù)據(jù)隱私支持�����、風(fēng)險評估�����、盡職調(diào)查等方面輔助企業(yè)數(shù)據(jù)合規(guī)�。例如���,數(shù)據(jù)合規(guī)工具“ONE TRUST”能夠在一個綜合的平臺上��,自動進(jìn)行數(shù)據(jù)隱私影響評估�����,標(biāo)記潛在風(fēng)險和幫助降低風(fēng)險���;“HIPEROS”能夠進(jìn)行第三方供應(yīng)商風(fēng)險管理��,包括供應(yīng)商風(fēng)險評估和盡職調(diào)查�。
(3)職能部門管理規(guī)章與業(yè)務(wù)合規(guī)流程�����。一方面����,在數(shù)據(jù)合規(guī)領(lǐng)域,企業(yè)應(yīng)重點關(guān)注技術(shù)����、管理、內(nèi)控等部門合規(guī)規(guī)范的執(zhí)行與遵守�����。另一方面,企業(yè)數(shù)據(jù)合規(guī)涉及個人信息保護(hù)和重要數(shù)據(jù)保護(hù)等合規(guī)規(guī)范��,企業(yè)合規(guī)部門需要與業(yè)務(wù)部門結(jié)合企業(yè)使用和處理數(shù)據(jù)的實際情況��,合作制定和修改相關(guān)的業(yè)務(wù)合規(guī)流程�����,實現(xiàn)法律監(jiān)管與業(yè)務(wù)發(fā)展之間的平衡��。
第二��,企業(yè)合規(guī)運(yùn)作應(yīng)有高層的參與�,形成較為成熟的合規(guī)組織體系��。高層參與能夠使企業(yè)形成上下連貫的合規(guī)組織結(jié)構(gòu)���。以埃森哲經(jīng)驗為例:(1)董事會負(fù)責(zé)設(shè)定道德與合規(guī)計劃的范圍和標(biāo)準(zhǔn)�,委托審計委員會負(fù)責(zé)項目監(jiān)督工作�����,進(jìn)行年度合規(guī)審查��;(2)首席合規(guī)官有義務(wù)向首席執(zhí)行官報告,首席執(zhí)行官是埃森哲最高層領(lǐng)導(dǎo)組成的全球管理委員會的成員�����;(3)首席合規(guī)官在必要時��,可直接向董事會和審計委員會報告合規(guī)事宜�����。這樣的高層參與方式能夠確保企業(yè)管理層及時識別合規(guī)風(fēng)險并采取應(yīng)對措施�。
第三,企業(yè)應(yīng)建立合規(guī)的防范體系����,包括風(fēng)險評估、盡職調(diào)查以及培訓(xùn)與溝通��。防范體系針對可能存在的數(shù)據(jù)合規(guī)風(fēng)險采取預(yù)防性措施����,具體而言:
(1)風(fēng)險評估,即定期或不定期地對企業(yè)活動中存在的合規(guī)風(fēng)險進(jìn)行識別與評估�。例如,埃森哲實施三年一周期的持續(xù)風(fēng)險評估模式���,包括第一年開展全球風(fēng)險評估���,第二年對整體風(fēng)險評估計劃進(jìn)行中期強(qiáng)化��,第三年聘請專業(yè)的外部律師團(tuán)隊進(jìn)行風(fēng)險評估審查����。
(2)盡職調(diào)查�����,即合規(guī)部門針對已存在的數(shù)據(jù)安全風(fēng)險或數(shù)據(jù)隱私風(fēng)險進(jìn)行由內(nèi)到外的調(diào)查和研究��,內(nèi)部針對職能部門���,外部針對客戶和產(chǎn)品,形成合規(guī)風(fēng)險報告��,并研究制定和實施降低風(fēng)險的措施����。
(3)培訓(xùn)與溝通,企業(yè)需要定期組織培訓(xùn)和溝通����,一方面能夠確保員工了解最新的數(shù)據(jù)保護(hù)法律法規(guī)���、監(jiān)管規(guī)定、企業(yè)內(nèi)部規(guī)章制度等方面內(nèi)容�;另一方面也能夠保證企業(yè)高層管理者與其它層級員工維持一種穩(wěn)定的溝通,使企業(yè)高層管理者的數(shù)據(jù)合規(guī)理念與態(tài)度能夠順暢傳達(dá)至企業(yè)各層級員工���,形成合規(guī)文化����。
第四�����,企業(yè)應(yīng)建立數(shù)據(jù)合規(guī)監(jiān)控體系����,包括監(jiān)督與審核。監(jiān)督是指企業(yè)的高層管理者或員工在進(jìn)行業(yè)務(wù)活動時��,都應(yīng)在其職責(zé)范圍內(nèi)進(jìn)行可持續(xù)的管理與監(jiān)督�,檢查每一項業(yè)務(wù)活動是否存在違規(guī)行為。審核是指企業(yè)的合規(guī)部門與審計部門相互獨(dú)立地對企業(yè)活動中的違規(guī)行為進(jìn)行審查��,確保企業(yè)的合規(guī)體系在全球各地得到了良好的貫徹執(zhí)行。
(三)搭建合適的合規(guī)組織架構(gòu)
合理規(guī)范的合規(guī)組織架構(gòu)是企業(yè)合規(guī)體系建設(shè)的重點內(nèi)容�,是保證企業(yè)合規(guī)體系良好運(yùn)轉(zhuǎn)的重要保障,也是企業(yè)合規(guī)體系順利落地的必要前提��。合理規(guī)范的合規(guī)組織架構(gòu)能夠協(xié)調(diào)企業(yè)各層級的職權(quán)分工��,優(yōu)化資源配置�,強(qiáng)化各管理部門和職能部門的合規(guī)職責(zé),保證企業(yè)合規(guī)體系功能的實現(xiàn)�。
目前,國資委的《中央企業(yè)合規(guī)管理指引(試行)》����、發(fā)改委的《企業(yè)境外經(jīng)營合規(guī)管理指引》���,以及國家質(zhì)檢總局和標(biāo)準(zhǔn)委聯(lián)合發(fā)布的《合規(guī)管理體系指南(GB/T 35770-2017)》(翻譯于ISO 19600:2014 )均分別對企業(yè)的合規(guī)組織架構(gòu)設(shè)計提供了指引�。結(jié)合上述指引和合規(guī)實操經(jīng)驗�,一個合理規(guī)范的合規(guī)組織架構(gòu)需要由以下四個層級構(gòu)成:決策層(董事會下設(shè)的風(fēng)險管理委員會)、管理層(經(jīng)理層��、合規(guī)負(fù)責(zé)人)�����、執(zhí)行層(風(fēng)險管理部,包括風(fēng)控���、合規(guī)�、審計)和各業(yè)務(wù)部門����。在組織架構(gòu)的運(yùn)作上,各層級之間形成縱向逐級匯報的工作鏈���,即從各業(yè)務(wù)部門的合規(guī)專員→風(fēng)險管理部→高級管理層→董事會下設(shè)的風(fēng)險管理委員會逐級匯報日常合規(guī)工作��。反之��,董事會下設(shè)的風(fēng)險管理委員會對高級管理層進(jìn)行監(jiān)管��,高級管理層監(jiān)督與協(xié)助風(fēng)險管理部���,風(fēng)險管理部與各業(yè)務(wù)部門相互協(xié)作,為各業(yè)務(wù)部門保駕護(hù)航��。需注意的是���,對于合規(guī)事項�����,風(fēng)險管理部有義務(wù)直接向董事會下設(shè)的風(fēng)險管理委員會進(jìn)行匯報����,該風(fēng)險管理委員會有權(quán)對合規(guī)事項進(jìn)行直接的監(jiān)控管理。當(dāng)然��,整個企業(yè)的合規(guī)組織架構(gòu)都要收受到外部監(jiān)察部門的監(jiān)管��,積極配合協(xié)作紀(jì)檢監(jiān)察的監(jiān)督工作��。
(四)數(shù)據(jù)保護(hù)合規(guī)制度搭建步驟
企業(yè)數(shù)據(jù)保護(hù)合規(guī)制度的搭建大致可以分為以下三個階段:
第一階段���,數(shù)據(jù)核查。從信息安全角度進(jìn)行的數(shù)據(jù)核查���,其常規(guī)做法是使用軟件來“感知”一個系統(tǒng)內(nèi)的數(shù)據(jù)種類����,并給予這些數(shù)據(jù)的敏感程度對該系統(tǒng)提出整體的安全方案�。例如,埃森哲通過SERVICE NOW����、ONE TRUST�����、HIPEROS等數(shù)據(jù)合規(guī)工具���,在跨境數(shù)據(jù)傳輸、合同審查�、產(chǎn)品服務(wù)、隱私監(jiān)管審查����、盡職調(diào)查等方面輔助數(shù)據(jù)核查。數(shù)據(jù)核查不僅能夠了解企業(yè)個人信息收集和處理的現(xiàn)狀�,同時也是企業(yè)了解現(xiàn)狀、識別風(fēng)險和建立數(shù)據(jù)合規(guī)體系的重要基礎(chǔ)��。
第二階段�,進(jìn)行風(fēng)險識別和制定合規(guī)方案。在識別現(xiàn)狀的基礎(chǔ)上��,結(jié)合適用法律法規(guī)規(guī)定的合規(guī)義務(wù)進(jìn)行差距分析和風(fēng)險識別�����。就企業(yè)的IT系統(tǒng)、用戶界面�����、用戶注冊流程以及在個人信息收集����、使用以及保護(hù)的透明度等方面,進(jìn)行整體合規(guī)方案規(guī)劃��。
第三階段���,數(shù)據(jù)合規(guī)規(guī)則建立和落地���。結(jié)合企業(yè)實際情況建立數(shù)據(jù)合規(guī)規(guī)則,完善相關(guān)的制度和流程�����。開展員工意識培訓(xùn)���,使員工認(rèn)識、了解數(shù)據(jù)合規(guī)要求以及如何在業(yè)務(wù)流程中落實制度要求。在數(shù)據(jù)保護(hù)合規(guī)制度搭建起來后�����,企業(yè)需要持續(xù)追蹤數(shù)據(jù)保護(hù)合規(guī)制度實施情況����,改善企業(yè)數(shù)據(jù)合規(guī)機(jī)制,確保企業(yè)的數(shù)據(jù)合規(guī)制度持續(xù)為企業(yè)保駕護(hù)航�����。
(五)數(shù)據(jù)合規(guī)體系落地
搭建起來的企業(yè)數(shù)據(jù)合規(guī)體系如何落實到具體的業(yè)務(wù)流程中���?在此��,我們以單項產(chǎn)品上線流程為例����,簡要描述一個數(shù)據(jù)合規(guī)體系的落地過程�。首先,在產(chǎn)品醞釀階段�����,企業(yè)可以邀請隱私保護(hù)專家列席產(chǎn)品開發(fā)的研討,專家提供個人信息保護(hù)的合規(guī)建議���,提示合規(guī)風(fēng)險與解決方案�,此過程應(yīng)通過會議記錄或郵件的形式留痕�����。
其次�����,在初步產(chǎn)品設(shè)計階段�����,產(chǎn)品設(shè)計團(tuán)隊針對使用的數(shù)據(jù)種類建立控制以及架構(gòu)來處理第一稿的產(chǎn)品設(shè)計��,第一稿的產(chǎn)品設(shè)計需體現(xiàn)上一階段提出的隱私及個人信息保護(hù)風(fēng)險的解決方案���。
再次��,產(chǎn)品設(shè)計團(tuán)隊將完成后的產(chǎn)品設(shè)計進(jìn)行個人信息安全影響評估(Data Protection Impact Assessment, DPIA)�����。滴滴出行受審查一事��,也強(qiáng)有力地證明了企業(yè)對于與數(shù)據(jù)相關(guān)的產(chǎn)品進(jìn)行個人信息安全評估的必要性和重要性�����。埃森哲所有與數(shù)據(jù)相關(guān)的新產(chǎn)品和新服務(wù)��,從研發(fā)到上線�����,都需要數(shù)據(jù)安全和個人隱私專家提前介入�,從法律����、商業(yè)、技術(shù)三個維度對個人信息安全進(jìn)行綜合評估���,并形成個人信息安全影響評估報告�,防范數(shù)據(jù)安全風(fēng)險�,防止企業(yè)日后因數(shù)據(jù)安全不合規(guī)而遭受重大損失,影響企業(yè)發(fā)展���。
最后�,最終產(chǎn)品能夠?qū)ο惹安槌龅碾[私和個人信息保護(hù)風(fēng)險進(jìn)行處理,以及明確相應(yīng)的技術(shù)手段和控制���,通過最終產(chǎn)品展示會議(包含法務(wù)�、風(fēng)控�����、合規(guī)���、安全等部門)以及論證加以證明�����。
在大數(shù)據(jù)時代背景下�����,數(shù)據(jù)資源已成為國力較量���、企業(yè)競爭優(yōu)勢的重要衡量標(biāo)準(zhǔn)�。中國境內(nèi)外對數(shù)據(jù)保護(hù)的立法和執(zhí)法力度不斷加強(qiáng)�����,企業(yè)數(shù)據(jù)合規(guī)的重要性也在嚴(yán)格的國際監(jiān)管環(huán)境下日益凸顯��,企業(yè)有效開發(fā)數(shù)據(jù)資源�、獲取數(shù)據(jù)價值的前提就是數(shù)據(jù)合規(guī)����。
對企業(yè)而言,前期的數(shù)據(jù)合規(guī)體系建設(shè)投入���,是企業(yè)平衡合規(guī)經(jīng)營與數(shù)據(jù)資源開發(fā)的重要前提��。滴滴出行受政府審查的事件給國內(nèi)眾多互聯(lián)網(wǎng)企業(yè)敲了一次警鐘���,前期數(shù)據(jù)合規(guī)工作的缺失終將導(dǎo)致企業(yè)后期付出巨大的代價彌補(bǔ),同時企業(yè)也將面臨諸多不確定性因素�。因此,完善的企業(yè)數(shù)據(jù)合規(guī)體系能夠降低企業(yè)運(yùn)營中的合規(guī)風(fēng)險���,幫助企業(yè)有效處理和及時應(yīng)對可能對企業(yè)造成重大損失的風(fēng)險事件����,助力企業(yè)業(yè)務(wù)的穩(wěn)步增長和企業(yè)經(jīng)營的行穩(wěn)致遠(yuǎn)。
在數(shù)據(jù)科技發(fā)達(dá)的今天��,無論是傳統(tǒng)業(yè)務(wù)的企業(yè)還是新興的高新技術(shù)企業(yè)�,都應(yīng)關(guān)注企業(yè)的數(shù)據(jù)保護(hù),搭建一個與自身業(yè)務(wù)性質(zhì)和經(jīng)營管理相適應(yīng)的合規(guī)體系�,為企業(yè)的發(fā)展保駕護(hù)航。
