深圳市蓝海大湾区法律服务研究院
LAN HAI INSTITUTE

施俊侃:强化数据治理背景下企业的数据合规体系建设(下)

作者:施俊侃

施俊侃

深圳市蓝海大湾区法律服务研究院合规委员会主任、咨询委员会委员,信达律师事务所合规与监管委员会主任。



作者按

写这篇文章的时候,我回想起在埃森哲因为数据合规问题摸着石头过河、不断与时俱进的13年心路历程。埃森哲虽然是一家跨国公司,但其在中国也处理着大量数据。埃森哲大中华区拥有1.8万名员工,分布于北京、上海、广州、深圳、大连、成都、杭州、香港和台北等地,服务的客户涵盖世界500强企业、国企、大型民营企业和政府。埃森哲的数据是全球流通的,它存储和处理的数据需要同时符合中国、欧盟、美国的规定


起初,针对数据保护方面的研究,我们做了大量的前期准备工作。欧盟的《通用数据保护条例》(General Data Protection Regulation, GDPR)在2018年5月25日生效,其前身是欧盟1995年通过的《数据保护指令》(Data Protection Directive),而埃森哲早在GDPR生效前两年已开始研究数据保护相关的法律法规;我国的《网络安全法》于2017年6月1日生效,埃森哲也是提前一年已开始研究。我们为了实现企业数据合规,专门组建了网络安全和数据保护工作小组,我是该小组的组长,通过研究大量的国内外法律法规,及其不断出台的配套条例、指南、标准,我们才了解数据保护相关法律规范文件对企业业务、运营带来的影响,从而确保新产品、新服务顺利落地。其次,全球的数据合规法律法规在不断更新,我们也不断在企业数据合规的道路上与时俱进,于动态发展中寻求解决方案。我们通过参加各种协会,例如,美国信息技术办公室(United States Information Technology Office) 、美国商会(United States Chamber of Commerce)、欧盟商会(European Union Chamber of Commerce)等,以及各类工作小组,基于国际视野解读中国最新的法律法规,为相关部门提供参考意见。最后,在大数据时代,数据合规是众多企业合规经营的重点,目前也已有很多业界同行对这方面做了扎实的研究。埃森哲大量的产品、服务与数据相关,据埃森哲2020财年财报显示,数字化、云计算和网络安全相关业务占埃森哲全部收入的70%[1],数据合规是埃森哲行稳致远的重中之重,因而本文主要结合自身在埃森哲参与数据保护工作的实操经验,阐述数据治理背景下企业的数据合规体系建设。


本文于2021年7月16日定稿,恰于定稿当晚,滴滴出行事件有了新的进展,国家网信办会同公安部、国家安全部、自然资源部、交通运输部、税务总局、市场监督总局等部门联合进驻滴滴出行科技有限公司,开展网络安全审查。依托大数据赋能的滴滴出行在上市首日风光无两,但是同样也是因为数据合规而陷入困境。滴滴出行本次被审查的成例无疑会成为未来企业数据合规的重要参照。因而,本文也将结合滴滴出行受审查一事,论证企业重视数据合规的必要性和重要性。


总之,希望本文对企业和同行有所帮助,同时也希望能够通过数据合规实操经验的分享,提高企业搭建合规体系的意识,把握好数据合规和数据业务开发之间的平衡点,实现企业价值。本文共分为“引言”、“企业面临数据合规的挑战”、“我国数据合规法律体系概况”、“企业数据合规监督要点”、“企业数据合规体系建设”、“结语”六个部分,将分为上、中、下三篇进行推送,本期推送下篇,欢迎关注与交流!


四、企业数据合规体系建设

(一)建立有效数据合规体系的原因与价值

企业建立有效数据合规体系的原因与价值主要有以下六点:第一,是法律规定的合规义务。我国《网络安全法》《数据安全法》和《个人信息保护法(草案)》,以及GDPR等众多境外数据保护法规均明确要求企业建立数据合规制度。第二,提高企业合规效率。有效的数据合规体系可以提高企业内部的合规效率,降低合规成本。第三,降低风险和损失。数据不合规可能会为企业带来重大的经济和声誉损失,包括政府罚金、诉讼赔偿、用户流失等。第四,保护企业声誉。数据不合规引发的媒体负面报道将会影响公司商誉。第五,应对监管执法和诉讼。企业的数据合规体系可以助力企业有效应对监管执法和诉讼抗辩,以证明企业已充分尽到数据保护的义务。第六,提升用户信任度和市场竞争力。用户越来越重视隐私和个人信息的保护,企业的数据合规程度将成为企业重要竞争力的体现。


(二)合规体系搭建的考量因素

企业数据合规的关键在于合规体系之搭建。而一个行之有效的合规体系搭建,离不开合理的制度和程序、高层参与、风险评估、尽职调查、培训和沟通、监督和审核等因素。以埃森哲为例,埃森哲全球拥有53.7万名员工,6000家客户(分布在120个国家/地区),185家合作伙伴,在200座城市开设有办事处和业务(分布在50个国家/地区)。[1]作为全球最大的上市咨询公司,埃森哲的客户涵盖世界500强跨国企业、政府机构和军队。值得注意的是,作为一家服务全球的跨国企业,埃森哲在中国也具有相当的规模。埃森哲在大中华区有1.8万名员工,分布于北京、上海、广州、深圳、大连、成都、杭州、香港和台北等地,服务的客户包括世界500强企业、国企和政府等。因此,埃森哲的数据是全球流通的,它每时每刻都在处理大量的敏感数据和重要数据,并且存储和处理的数据需要同时符合中国、欧盟、美国的规定。面对庞大的数据体量和流量,埃森哲通过搭建起一套强大的数据合规体系,为企业的数据安全保驾护航。


在我担任埃森哲亚太区区域法律服务董事总经理兼大中华区法律部总经理期间,我作为公司网络安全工作小组组长,负责网络安全以及欧盟GDPR的法律风险分析和合规评估,评估包括中国、美国、欧盟的法律,支持业务团队提供网络安全服务给众多财富500强跨国企业。


结合埃森哲的成功经验,建议企业搭建数据合规体系考虑以下四点:


第一,企业应制定合理的制度和程序,其作为企业合规体系的核心,是企业所有员工履行职责的基本要求。主要分为以下三点:


(1)企业行为准则,这是企业经营管理和文化建设的纲领性文件,包括企业愿景、使命、核心价值观、合规方针、社会责任等方面。埃森哲在全球层面制定了企业的商业道德规范,这个规范是“埃森哲之道”,它建立在埃森哲的核心价值观(创造客户价值、全球化公司、尊重个人、最优人才、恪守诚信和传承卓越)基础上,规定了更详细的预期行为,并推动企业的合规文化、合乎道德的行为和责任制度。[2]埃森哲非常重视员工和客户的数据隐私,其将数据隐私保护列入到公司的最高纲领性文件中,为公司收集和处理数据的行为提供道德规范指引。


(2)企业数据合规管理制度,这是企业合规部门进行数据合规管理的程序性规章制度,包括数据合规组织制度、数据合规风险管理流程、合规审查流程、违规举报、调查与处置流程、合规报告程序等方面。[3]埃森哲的企业数据合规管理制度由域界专家(Subject-matter expert)组建的专业团队制定,并结合强大的信息安全管理系统,包括一系列数据合规工具,来监督和执行企业数据管理,最大程度实现企业数据自动化合规管理。具体而言,埃森哲将数据管理分为客户数据、职能部门的数据、第三方管理的数据、涉及个人的数据权利、应急事件的机制(例如,对网络攻击,数据窃取,丢失的员工电脑中存储的数据等情况的处理)五大模块,通过先进的数据合规工具,在数据隐私支持、风险评估、尽职调查等方面辅助企业数据合规。例如,数据合规工具“ONE TRUST”能够在一个综合的平台上,自动进行数据隐私影响评估,标记潜在风险和帮助降低风险;“HIPEROS”能够进行第三方供应商风险管理,包括供应商风险评估和尽职调查。


(3)职能部门管理规章与业务合规流程。一方面,在数据合规领域,企业应重点关注技术、管理、内控等部门合规规范的执行与遵守。另一方面,企业数据合规涉及个人信息保护和重要数据保护等合规规范,企业合规部门需要与业务部门结合企业使用和处理数据的实际情况,合作制定和修改相关的业务合规流程,实现法律监管与业务发展之间的平衡。


第二,企业合规运作应有高层的参与,形成较为成熟的合规组织体系。[4]高层参与能够使企业形成上下连贯的合规组织结构。以埃森哲经验为例,(1)董事会负责设定道德与合规计划的范围和标准,委托审计委员会负责项目监督工作,进行年度合规审查;(2)首席合规官有义务向首席执行官报告,首席执行官是埃森哲最高层领导组成的全球管理委员会的成员;(3)首席合规官在必要时,可直接向董事会和审计委员会报告合规事宜。这样的高层参与方式能够确保企业管理层及时识别合规风险并采取应对措施。


第三,企业应建立合规的防范体系,包括风险评估、尽职调查以及培训与沟通。[5]防范体系针对可能存在的数据合规风险采取预防性措施,具体而言:(1)风险评估,即定期或不定期地对企业活动中存在的合规风险进行识别与评估。例如,埃森哲实施三年一周期的持续风险评估模式,包括第一年开展全球风险评估,第二年对整体风险评估计划进行中期强化,第三年聘请专业的外部律师团队进行风险评估审查。(2)尽职调查,即合规部门针对已存在的数据安全风险或数据隐私风险进行由内到外的调查和研究,内部针对职能部门,外部针对客户和产品,形成合规风险报告,并研究制定和实施降低风险的措施。(3)培训与沟通,企业需要定期组织培训和沟通,一方面能够确保员工了解最新的数据保护法律法规、监管规定、企业内部规章制度等方面内容;另一方面也能够保证企业高层管理者与其它层级员工维持一种稳定的沟通,使企业高层管理者的数据合规理念与态度能够顺畅传达至企业各层级员工,形成合规文化。


第四,企业应建立数据合规监控体系,包括监督与审核。[6]监督是指企业的高层管理者或员工在进行业务活动时,都应在其职责范围内进行可持续的管理与监督,检查每一项业务活动是否存在违规行为。审核是指企业的合规部门与审计部门相互独立地对企业活动中的违规行为进行审查,确保企业的合规体系在全球各地得到了良好的贯彻执行。


(三)搭建合适的合规组织架构

合理规范的合规组织架构是企业合规体系建设的重点内容,是保证企业合规体系良好运转的重要保障,也是企业合规体系顺利落地的必要前提。合理规范的合规组织架构能够协调企业各层级的职权分工,优化资源配置,强化各管理部门和职能部门的合规职责,保证企业合规体系功能的实现。


目前,国资委的《中央企业合规管理指引(试行)》、发改委的《企业境外经营合规管理指引》,以及国家质检总局和标准委联合发布的《合规管理体系指南(GB/T 35770-2017)》(翻译于ISO 19600:2014 )均分别对企业的合规组织架构设计提供了指引。结合上述指引和合规实操经验,一个合理规范的合规组织架构需要由以下四个层级构成:决策层(董事会下设的风险管理委员会)、管理层(经理层、合规负责人)、执行层(风险管理部,包括风控、合规、审计)和各业务部门。在组织架构的运作上,各层级之间形成纵向逐级汇报的工作链,即从各业务部门的合规专员→风险管理部→高级管理层→董事会下设的风险管理委员会逐级汇报日常合规工作。反之,董事会下设的风险管理委员会对高级管理层进行监管,高级管理层监督与协助风险管理部,风险管理部与各业务部门相互协作,为各业务部门保驾护航。需注意的是,对于合规事项,风险管理部有义务直接向董事会下设的风险管理委员会进行汇报,该风险管理委员会有权对合规事项进行直接的监控管理。当然,整个企业的合规组织架构都要收受到外部监察部门的监管,积极配合协作纪检监察的监督工作。


(四)数据保护合规制度搭建步骤

企业数据保护合规制度的搭建大致可以分为以下三个阶段:


第一阶段,数据核查。从信息安全角度进行的数据核查,其常规做法是使用软件来“感知”一个系统内的数据种类,并给予这些数据的敏感程度对该系统提出整体的安全方案。例如,埃森哲通过SERVICE NOW、ONE TRUST、HIPEROS等数据合规工具,在跨境数据传输、合同审查、产品服务、隐私监管审查、尽职调查等方面辅助数据核查。数据核查不仅能够了解企业个人信息收集和处理的现状,同时也是企业了解现状、识别风险和建立数据合规体系的重要基础。


第二阶段,进行风险识别和制定合规方案。在识别现状的基础上,结合适用法律法规规定的合规义务进行差距分析和风险识别。就企业的IT系统、用户界面、用户注册流程以及在个人信息收集、使用以及保护的透明度等方面,进行整体合规方案规划。


第三阶段,数据合规规则建立和落地。结合企业实际情况建立数据合规规则,完善相关的制度和流程。开展员工意识培训,使员工认识、了解数据合规要求以及如何在业务流程中落实制度要求。在数据保护合规制度搭建起来后,企业需要持续追踪数据保护合规制度实施情况,改善企业数据合规机制,确保企业的数据合规制度持续为企业保驾护航。


(五)数据合规体系落地

搭建起来的企业数据合规体系如何落实到具体的业务流程中?在此,我们以单项产品上线流程为例,简要描述一个数据合规体系的落地过程。首先,在产品酝酿阶段,企业可以邀请隐私保护专家列席产品开发的研讨,专家提供个人信息保护的合规建议,提示合规风险与解决方案,此过程应通过会议记录或邮件的形式留痕。其次,在初步产品设计阶段,产品设计团队针对使用的数据种类建立控制以及架构来处理第一稿的产品设计,第一稿的产品设计需体现上一阶段提出的隐私及个人信息保护风险的解决方案。再次,产品设计团队将完成后的产品设计进行个人信息安全影响评估(Data Protection Impact Assessment, DPIA)。滴滴出行受审查一事,也强有力地证明了企业对于与数据相关的产品进行个人信息安全评估的必要性和重要性。埃森哲所有与数据相关的新产品和新服务,从研发到上线,都需要数据安全和个人隐私专家提前介入,从法律、商业、技术三个维度对个人信息安全进行综合评估,并形成个人信息安全影响评估报告,防范数据安全风险,防止企业日后因数据安全不合规而遭受重大损失,影响企业发展。最后,最终产品能够对先前查出的隐私和个人信息保护风险进行处理,以及明确相应的技术手段和控制,通过最终产品展示会议(包含法务、风控、合规、安全等部门)以及论证加以证明。


五、结语

在大数据时代背景下,数据资源已成为国力较量、企业竞争优势的重要衡量标准。中国境内外对数据保护的立法和执法力度不断加强,企业数据合规的重要性也在严格的国际监管环境下日益凸显,企业有效开发数据资源、获取数据价值的前提就是数据合规。对企业而言,前期的数据合规体系建设投入,是企业平衡合规经营与数据资源开发的重要前提。滴滴出行受政府审查的事件给国内众多互联网企业敲了一次警钟,前期数据合规工作的缺失终将导致企业后期付出巨大的代价弥补,同时企业也将面临诸多不确定性因素。因此,完善的企业数据合规体系能够降低企业运营中的合规风险,帮助企业有效处理和及时应对可能对企业造成重大损失的风险事件,助力企业业务的稳步增长和企业经营的行稳致远。在数据科技发达的今天,无论是传统业务的企业还是新兴的高新技术企业,都应关注企业的数据保护,搭建一个与自身业务性质和经营管理相适应的合规体系,为企业的发展保驾护航。


THE END


[1] 数据来源:埃森哲官网。https://www.accenture.cn/cn-zh/about/company-index

[2] 《埃森哲商业道德规范》,第4页。

[3] 施俊侃:《上市公司与拟上市公司合规指引》。

[4] 同上注。

[5] 同上注。

[6] 同上注。


延伸阅读

企业合规工作既是企业内部管理的核心工作,也是企业进一步防范与规避外部风险的有效举措,其重要性不言而喻。自2016年起,在深圳市司法局指导下,深圳市蓝海大湾区法律服务研究院和深圳市蓝海法律查明和商事调解中心联合域内外专家开展海外合规系列课题研究,完成《企业合规指南》《企业海外知识产权管理和商业秘密保护》《企业走出去法律风险控制建议》《数据和隐私合规指南》《市场准入合规指南》《香港法律查明指南》等十二项重大课题;深圳市蓝海法律查明和商事调解中心于2019年获法制日报社评选的第二届“一带一路·合规之路”优秀法律服务案例。2019-2021年,深圳市蓝海大湾区法律服务研究院连续三年受深圳市南山区司法局委托,为南山区“走出去”重点企业提供深度调研、问卷、访谈等多种形式的合规体检服务,对企业可能遇到的合规问题进行风险提示并提出解决建议。

> 施俊侃:强化数据治理背景下企业的数据合规体系建设(中)

> 施俊侃:强化数据治理背景下企业的数据合规体系建设(上)

> 施俊侃:上市公司与拟上市公司合规指引(下)

> 施俊侃:上市公司与拟上市公司合规指引(上)

> 施俊侃:合规不起诉制度初探

> 终于等到你,企业合规常见问题之进阶篇

> 邓峰:公司合规的源流及中国的制度局限

> 蓝海荐书 ▍法务宝典——《中国企业出口合规指南》