从近几年最高人民检察院发布的几批涉案企业合规典型案例可以看出,社会各界对于企业合规愈发重视。对于企业而言,合规既是“紧箍咒”,也是“护身符”。从数据合规角度来看,我国网络安全与数据保护领域基本法律框架已经形成,且立法日益精细化和执法走向常态化,企业应当及时建立数据合规管理体系。
文:经理人杂志 本刊记者/景川
2022年7月21日,国家互联网信息办公室依法对滴滴全球股份有限公司(以下简称“滴滴公司”)开出80.26亿元的巨额罚款。同时,对滴滴公司董事长兼CEO程维、总裁柳青各处100万元罚款。
从上市到退市时间不到一年且受到重罚,滴滴公司“数据合规”层面出现的16项违法事实使得公司在移动出行一度的强劲发展势头也被重挫,无论是企业形象还是用户信任都遭受打击。
80亿元的巨额罚款给所有企业尤其是互联网企业敲响了警钟,数据野蛮生长时代已经结束,数据信息安全强监管时代已然到来,企业需要意识到建立数据合规管理体系的重要性。
法治基石与体系建设
从立法层面来看,我国网络安全与数据保护领域基本法律框架已经形成。《中华人民共和国网络安全法》(以下简称“网安法”)、《中华人民共和国数据安全法》(以下简称“数安法”)、《中华人民共和国个人信息保护法》(以下简称“个保法”)这三部法律是目前我国数据合规的基本框架。因此,从架构上来说,数据合规分为网络安全合规、算法合规以及以个人信息保护为核心的传统数据合规。
从企业角度来看,企业该如何实现数据合规?
2022年3月,上海市杨浦区检察院联合市信息服务业行业协会、市数据合规与安全产业发展专家工作组、区工商业联合会,制定发布上海乃至全国首份《企业数据合规指引》。2023年9月,深圳市人民检察院、深圳互联网信息办公室等多部门发布了《深圳市企业数据合规指引》。
结合上海与深圳在数据合规领域的探索实践以及发布数据合规指引文件,可以为企业梳理出数字合规建设基本思路,其中主要包括数据合规组织体系建设和制度体系建设。由于内容繁多,无法一一列举,企业可以参照最高人民检察院官网所披露的《由点及面促企业数据合规见实效》一文,将企业开展数据合规工作概括为五步:
第一步:摸清家底,掌握企业数据情况并制定数据合规措施
数据也是企业资产的一部分,对于企业创建和拥有的数据都必须有清晰的了解。同时,对于企业制定的数据合规措施进行记录并公示。
第二步:风险有数,通过自查或第三方排查的方式对企业的数据风险进行评估
对于有可能产生的数据风险做到心中有数;对于能够接触到数据的内部人员要加强管理,监督到位。同时,对于有着直接标识的数据,一旦泄露引发的影响也最大,根据国际惯例与我国法律规定,需要对数据采取相应的保护措施,包括加密或去标识化,这样,即使发生数据泄露所引发的隐私风险也相对较小。
第三步:有所不为,对于数据的获取需要经过合规审查
在大数据时代要懂得取舍,数据合规要最大限度发挥其潜力和效用,但对于“来路不明”的数据,即使可能带来的利益再大,也要遵守法律底线。
第四步:及时应对,配齐数据合规管理人员并加强培训
做好企业数据合规需要有专业数据合规人员及时有效应对。一方面,企业要配齐掌握相关技能的员工,负责数据安全风险监测、处置数据安全风险和事件;另一方面,加强对这类人员的培训,让其紧随时代和技术发展的步伐,掌握最新的法律法规及监管动态。
第五步:定期审查,确保合规措施符合行业数据安全和合规标准
由于数据合规的技术与规则处于不断变化的状态,需要定期对数据合规措施进行审查,以确保符合行业数据安全和合规标准。同时,建立数据合规常态化机制,定期进行合规测试,定期通报数据合规工作,建立相应的数据合规审查标准,确保数据合规理念“入脑入心”,数据合规措施“手足并用”。①
另外,需要补充的是,对于数据合规组织体系建设,《深圳市企业数据合规指引》明确指出:数据合规第一负责人由企业法定代表人或主要负责人担任,对数据合规负领导责任。而且企业应当设立专门的数据合规管理部门,或由合规管理、法务等相关部门承担数据合规管理职能,并配备数据合规专员。
结合披露的数据信息安全领域的案例,可以将企业内部各个环节的不当处理以及外部政策的变动所引发的风险主要分为——未识别数据类型风险、违法收集风险、未建立数据安全管理体系风险、不同法域数据规则冲突等闲、算法歧视风险。
值得一提的是,数据合规风险覆盖数据从产生到删除的全生命周期。企业要确保数据合规,就要从数据的收集与使用、存储、传输与提供、交易、删除和销毁全部环节入手,并根据自身的业务类型和场景采用多样化合规风险管理工具,预防、识别、报告、评估及管控数据合规风险。
保安全、促发展
随着全球数字经济规模持续增长,数据作为重要的生产要素,在生产生活各个环节的重要作用正日益显现,数据流动和处理活动安全受到越来越多的关注。而全球视野的数据合规,毫无疑问是跨国企业的必修课。
世界范围内,对数据跨境活动的管控和监管逐步健全。2018年5月25日,欧洲联盟出台《通用数据保护条例》(General Data Protection Regulation,简称GDPR)。GDPR主要关注个人身份信息(PII),并对数据提供商提出了严格的合规要求。它要求欧洲境内外的组织对其数据收集行为保持透明,从而让个人对其PII拥有更大的控制权。
自GDPR正式发布以来,隐私和数据保护的立法和更新浪潮在全球范围内迅速蔓延,已经有100多个国家颁布或提出了数据保护或隐私保护法。GDPR最引人注目的方面之一是其对违规行为的毫不妥协的立场。它对那些不遵守其隐私法规和数据合规标准的处以巨额罚款——对违法企业的罚金最高可达2000万欧元(约合1.5亿元人民币)或者其全球营业额的4%,以高者为准。
2019年7月8日,英国信息监管局发表声明,英国航空公司因为违反《一般数据保护条例》被罚1.8339亿英镑(约合15.8亿元人民币)。可见,GDPR促使全球企业重新评估其数据收集和处理实践,强调其数据安全性和合规性的重要性。
目前,世界主要国家和地区的监管执行力度增强,数据合规制度数量增长、管辖范围逐步扩大的趋势明显,这是进行跨国商业活动的企业必须重视的课题。此外,数据跨境可能会因个人信息、重要数据、商业数据等引发用户数据易被泄露、滥用等问题,导致的企业名誉受损、利益受损、被通报批评处罚或罚款,还可能会给企业带来技术管理、资产管理和组织管理等问题。②
“以铜为鉴,可正衣冠。”2017和2018年美国商务部以违反美国出口管制法规为由,两次对中兴通讯有限公司予以制裁。之后,中兴通讯有限公司痛定思痛进行全方位合规整改。公司成立了由总裁直接领导的合规管理委员会,并确立了“遵循全球法规,多维穿透治理”原则。通过几年的实践,中兴通讯已经建立起一整套国内领先有效的合规管理体系。这里,将重点聚焦在公司的数据保护合规体系建设上。
据悉,中兴通讯在组织、规则、协议、培训、商事等方面进行了一系列体系化建设,将数据主体、数据控制者、数据处理者的权利义务贯穿到产品设计、管理内控、服务交付的运行执行中,实现数据保护在中兴通讯的场景穿透和实质运用,促进合规在公司治理体系中的深度吸纳、轮转和融合。比如,在组织体系方面,中兴通讯设置专职数据保护官,并在公司总部、各业务领域及各子公司配置了合规总监/产品安全总监;商事体系方面,中兴通讯将数据保护合规关键控制点嵌入商事活动流程,针对重要展会、论坛、产品发布等商事活动,制定了完备的合规指引套件等等。
中兴通讯为正在走向世界的中国企业应对各类合规风险提供了可借鉴和学习的经验。以正在加快向欧洲出海的新能源汽车产业为例,面对欧洲市场严格的GDPR法规,深耕其中的中国车企必须高度重视隐私保护。
结合监管要求和业务特点,企业可以从强化风险应对能力、合规运营能力和产业合规能力三个维度出发,建立健全风险管理的制度设计、组织建设、机制运转和产业设计,全面提升企业风险能力。②
回望近年来,随着网络安全与数据合规立法日益精细化和执法走向常态化,这些议题已经与众多企业日常运营活动产生了更加紧密的联系。正如深圳市司法局推出“合规”专栏中,除了合规领域立法动态,还有形形色色涉数据安全的企业违法案件。
当然,深圳市司法局此举,旨在为企业提供国内外涉及深圳企业发展的重大合规领域立法及执法的提示和预警服务,助力企业增强合规风险抵御能力。对于企业来说,需要认识到网络安全与数据合规监管并非信息技术和数字经济发展的“阻力”。实际上,这不仅是对网络安全风险、数据安全风险及个人信息处理乱象的迅速响应,更是提升运营管理效率、增强企业效益与利润的关键所在,从而推动企业的可持续、稳定且健康的发展,使企业能够积极拥抱数字经济带来的新机遇。
现阶段我国数字经济发展与网络法治建设仍在持续完善,但网络安全与数据合规的常态化建设是企业在进行网络运营与数据处理时必须坚守的底线。
2024年随着《数据安全法》和《个人信息保护法》的深入实施,以及人工智能监管的全面启动,网络安全与数据合规也逐渐从“形式合规”向“实质合规”转变。《经理人》建议相关企业密切关注数据合规领域的立法动态和执法趋势,提前、主动准备,并加强网络安全与数据合规的常态化建设。
① 引自《检察日报》中《由点及面促企业数据合规见实效》一文
②《数据跨境合规白皮书》,普华永道
