深圳市蓝海大湾区法律服务研究院
LAN HAI INSTITUTE

施俊侃:强化数据治理背景下企业的数据合规体系建设(中)

发表时间:2021-07-21 09:37作者:施俊侃

施俊侃

深圳市蓝海大湾区法律服务研究院合规委员会主任、咨询委员会委员,信达律师事务所合规与监管委员会主任。



作者按

写这篇文章的时候,我回想起在埃森哲因为数据合规问题摸着石头过河、不断与时俱进的13年心路历程。埃森哲虽然是一家跨国公司,但其在中国也处理着大量数据。埃森哲大中华区拥有1.8万名员工,分布于北京、上海、广州、深圳、大连、成都、杭州、香港和台北等地,服务的客户涵盖世界500强企业、国企、大型民营企业和政府。埃森哲的数据是全球流通的,它存储和处理的数据需要同时符合中国、欧盟、美国的规定。


起初,针对数据保护方面的研究,我们做了大量的前期准备工作。欧盟的《通用数据保护条例》(General Data Protection Regulation, GDPR)在2018年5月25日生效,其前身是欧盟1995年通过的《数据保护指令》(Data Protection Directive),而埃森哲早在GDPR生效前两年已开始研究数据保护相关的法律法规;我国的《网络安全法》于2017年6月1日生效,埃森哲也是提前一年已开始研究。我们为了实现企业数据合规,专门组建了网络安全和数据保护工作小组,我是该小组的组长,通过研究大量的国内外法律法规,及其不断出台的配套条例、指南、标准,我们才了解数据保护相关法律规范文件对企业业务、运营带来的影响,从而确保新产品、新服务顺利落地。其次,全球的数据合规法律法规在不断更新,我们也不断在企业数据合规的道路上与时俱进,于动态发展中寻求解决方案。我们通过参加各种协会,例如,美国信息技术办公室(United States Information Technology Office) 、美国商会(United States Chamber of Commerce)、欧盟商会(European Union Chamber of Commerce)等,以及各类工作小组,基于国际视野解读中国最新的法律法规,为相关部门提供参考意见。最后,在大数据时代,数据合规是众多企业合规经营的重点,目前也已有很多业界同行对这方面做了扎实的研究。埃森哲大量的产品、服务与数据相关,据埃森哲2020财年财报显示,数字化、云计算和网络安全相关业务占埃森哲全部收入的70%[1],数据合规是埃森哲行稳致远的重中之重,因而本文主要结合自身在埃森哲参与数据保护工作的实操经验,阐述数据治理背景下企业的数据合规体系建设。


本文于2021年7月16日定稿,恰于定稿当晚,滴滴出行事件有了新的进展,国家网信办会同公安部、国家安全部、自然资源部、交通运输部、税务总局、市场监督总局等部门联合进驻滴滴出行科技有限公司,开展网络安全审查。依托大数据赋能的滴滴出行在上市首日风光无两,但是同样也是因为数据合规而陷入困境。滴滴出行本次被审查的成例无疑会成为未来企业数据合规的重要参照。因而,本文也将结合滴滴出行受审查一事,论证企业重视数据合规的必要性和重要性。


总之,希望本文对企业和同行有所帮助,同时也希望能够通过数据合规实操经验的分享,提高企业搭建合规体系的意识,把握好数据合规和数据业务开发之间的平衡点,实现企业价值。本文共分为“引言”、“企业面临数据合规的挑战”、“我国数据合规法律体系概况”、“企业数据合规监督要点”、“企业数据合规体系建设”、“结语”六个部分,将分为上、中、下三篇进行推送,本期推送中篇,欢迎关注与交流!

二、我国数据合规法律体系概况

(一)数据保护法律框架日趋完善

《中共中央关于制定国民经济和社会发展第十四个五年规划和二〇三五年远景目标的建议》提出,建立数据资源产权、交易流通、跨境传输和安全保护等基础制度和标准规范,推动数据资源开发利用。保障国家数据安全,加强个人信息保护。2020年底召开的中央经济工作会议也强调,要依法规范发展,健全数字规则。


纵览我国数据保护法律框架,我国在数据保护方面秉持着个人信息保护和重要数据保护两手抓的立法思路。我国数据保护法律框架呈“两主线、多维度”的立法特点,以“个人信息保护”和“重要数据保护”为两大主线,针对这两主线的法律规范设计不仅覆盖基础性法律规范如《网络安全法》《数据安全法》《个人信息保护法》《刑法》和《民法典》,还涵盖中央和地方性法规及规章、司法解释和规范性文件。另外,需注意的是,各法律规范之间的设计和适用并非完全割裂,而是可以相互借鉴和相互联系的。例如,对个人信息的立法保护,不仅规定于《个人信息保护法(草案)》,还规定在《刑法》《民法典》《网络安全法》《未成年人保护法》等法律当中;对重要数据的保护,不仅在《网络安全法》《数据安全法》中对重要数据发布、共享、交易、跨境传输等作出直接规定,同时,在《密码法》《档案法》等法律法规中也涉及到特定产品或服务的安全管理、数据出境等问题。由此可见,我国的数据保护法律框架在多个维度上不断完善对个人信息和重要数据的法律保障。


目前,我国的数据治理仍处于起步阶段,数据市场治理法治化程度有较大的提高空间,对数据要素权益、数据交易的分级分类制度、数据市场治理等方面仍需设计相应的数据治理机制。


(二)多头监管的数据保护执法特点

1.多头监管。我国当前的数据市场监管呈现多头监管的特色,一个领域的数据市场治理问题往往涉及多个数据市场监管部门。例如,在金融数据监管领域,网信办、工信部、公安部、国家安全部、市场监督管理局、行业监管机关(例如,中国人民银行、中国银行保险监督管理委员会)等均有权对金融领域的数据市场进行监管执法。多头监管在执法效果上可以形成较大的威慑力,对相关涉案企业进行数据合规整改产生强有力的督促。但另一方面,多头监管也反映出当前数据市场监管存在协调不足的问题,数据市场监管职能分散,各部门监管边界不清,多头监管和监管空白并存,容易产生重复监管,难以形成数据市场监管合力。[2]


2.专项行动。当前我国数据市场监管执法主要以专项行动为主,多个监管部门在短期内联合执法,对某一领域的数据不合规问题进行集中治理。例如,2019年1月至12月,网信办、工信部、公安部、市场监管总局在全国范围内组织开展APP违法违规收集使用个人信息专项治理;市场监管部门等八部门联合开展2019网络市场监管专项行动(网剑行动),严查未经同意收集个人信息行为;公安部组织部署全国公安机关开展“净网2019”专项行动、“净网2020”专项行动等。专项行动为主的“运动式”执法方式在短期内能解决数据市场监管面临的急迫问题,但具有被动性和功利性弱点。[3]由于我国目前数据保护法律体系尚未形成体系性的法律与制度框架,数据市场监管体系有较大的完善空间,这使得当前各监管部门的职责边界模糊,数据市场监管执法较难划分出清晰合理的分工,联合专项治理的监管执法方式是在此短期形势下的优选方案。


2021年7月16日,国家七部门进驻滴滴出行,开展网络安全审查,表明我国数据市场监管领域的多头监管模式依然强势,也是目前整治数据市场乱象的有力手段。接下来,随着我国数据保护监管执法体系的完善,各部门监管制度规则的细化,相信数据市场监管职权分工将会更加合理明晰,监管方式也将会朝着自主化、常态化的方向发展。


三、企业数据合规监管要点

(一)数据来源的合法性

在信息时代,数据是新的石油,它可以为新时代创造很多前所未有的机会,但这一“新石油”却不能随意开采,它的获取来源和途径需要受到法律的监管。数据来源的合法性是企业通过数据创造价值的前提与基础。当前众多企业的数据利用越来越需要来自多渠道的大数据支撑,数据来源合法是企业能够合规使用所获取到的数据的前提,也是监管机构关注的重点。在实践中,监管部门对各企业在业务中所使用的数据来源合法性的监管力度也不断加大。


考察企业收集数据来源的合法性可以从以下两个角度把握:


1.企业自主收集的数据。企业在收集个人信息时,应遵守合法、正当及必要性原则,并获取信息主体的同意,具体要求包括:①仅收集与业务直接相关的个人信息,避免收集与业务无关的信息。一些移动互联网应用程序(APP)通过“一揽子协议”将收集个人数据与其功能或服务进行捆绑,用户不同意全面授权,就无法使用该APP。这严重损害了用户作为个人数据主体的决定权。[4]针对此现象,《深圳经济特区数据条例》确立了以“告知—同意”为前提的个人数据处理规则[5],规范企业收集个人信息的行为。②如果企业收集的个人信息为敏感个人信息,例如金融机构往往需要收集个人生物特征、金融账户等信息,则该企业还需要获取客户对于敏感个人信息收集与使用的明示同意;③在收集个人信息前,需制定《隐私政策》,并在《隐私政策》中具体说明个人信息的使用场景,采取技术措施(例如弹窗等)引导个人信息主体查阅隐私政策,获得个人信息主体明示同意后开展有关个人信息的收集活动。例如,在受到政府审查之前,滴滴出行在《个人信息保护及隐私政策》中强调,滴滴出行“保留对个人信息的收集、保存、使用、共享的权利”,其中所指的“个人信息”是“身份证号码、面部识别特征、录音录像、银行卡号、IP地址”。这些信息的收集超出正常使用滴滴出行平台核心功能之所必需,违反了《信息安全技术个人信息安全规范》规定的个人信息控制者收集个人信息时需要遵循的“最小必要原则”。[6]


2.来源于第三方的数据。《深圳经济特区数据条例》明确规定,市场主体不得使用非法手段获取其他市场主体数据,不得非法收集其他市场主体数据提供替代性产品或者服务,不得通过数据分析无正当理由对交易条件相同的交易相对人实施差别待遇。[7]因此,当企业收集的数据来自于第三方时,需在从第三方接收此类数据前,核实数据来源的合法性,包括:①此类数据在收集时,第三方是否获得了客户有关其个人信息收集与处理的同意,该同意应覆盖个人信息主体到企业的全部传输链接。个人信息主体同意的内容覆盖企业利用该数据的各场景;②建议第三方提供相应的证明文件,确保企业收集到的个人信息来源的可追溯性;③如果需要从合作伙伴处获取个人信息,应通过尽职调查等适当方式确认合作伙伴的数据来源合法合规、真实有效,对外提供数据不违反法律法规要求,并已获得信息主体本人的明确授权。


(二)内部数据安全管理

企业内部数据治理水平应与企业对数据赋能的推进相适应,若内部的数据安全制度无法完善,则数据安全无法保障,数据无法在制度的保障下发挥价值。因此,在确定了数据来源的合法性后,企业还需要对企业内部的数据安全进行管理,制定覆盖数据生命全周期的数据安全管理制度。


企业进行内部数据安全管理应关注以下要点:一,具备定位其拥有的数据的能力。要想处理并管理这些数据,企业需要了解数据的存储位置、访问者以及已经存储了多长时间。二,具备安全高效检索数据的能力。《个人信息保护法(草案)》规定,个人有权申请查询自己的个人信息,并要求更正、补充,甚至删除数据。[8]因此要求企业具备安全高效的数据检索的能力,确保及时响应这些要求。三,最小化数据存储。由于《个人信息保护法(草案)》规定个人信息的保存期限应当为实现处理目的所必要的最短时间[9]。因此,企业需要根据《个人信息保护法(草案)》的要求,建立数据存储最小化系统,防范数据泄露风险。四,最大程度保护数据的安全。《个人信息保护法(草案)》要求保护个人信息免遭泄露、窃取、篡改或删除。审查访问控制、加密、化名与技术安全措施,以保护由企业控制的个人信息。建立透明的数据保护和安全流程,确保符合审计和合规要求。[10]五,改变企业处理、存储和保护用户个人信息的方式。建立一套隐私影响评估流程,对数据保护及个人隐私权影响作出正式分析,并将其引入任何新的业务流程或系统。[11]


(三)数据的使用与处理

数据的使用与处理包括数据的收集、存储、使用、加工、传输、提供、公开等活动。数据的使用与处理应采取合法、正当的方式,遵循诚信原则进行。以企业进行数据共享为例,近期受审查的滴滴出行APP,其《个人信息保护及隐私政策》的“个人信息的共享、转让、公开披露”一节显示,滴滴出行将会在特定情况下共享用户信息,共享对象主要包括广告分析服务商、供应商和其他合作方等。而《个人信息保护及隐私政策》的规定要求,企业对用户数据进行共享时应当告知用户可能产生的后果并且征求用户同意;进一步,若共享敏感信息,还应当告知信息接收主体的身份和数据安全能力,并且征求个人信息主体的明示同意。可见,滴滴出行这种笼统式要求用户同意的方法显然难以契合法规政策的要求。[12]


在不同的业务领域,有着相应的法律法规或监管政策对企业的数据使用与处理进行规定,对于企业而言,其合规要点也相应地因行业监管要求的不同而有相应的特殊性。例如,在金融领域,《个人金融信息保护技术规范》对金融数据按敏感程度进行分类,将个人金融信息分成C3、C2、C1管理。被归属于C3的金融信息是最高级别保护的信息,用于用户鉴别的个人生物识别信息则属于此类信息。对此,金融机构在数据的使用与处理方面,则应注意不得将C3以及C2类别信息中的用户鉴别辅助信息对外共享或委托给第三方机构处理、委托第三方处理个人金融信息时,不得超出银行客户授权同意的范围、在外包活动中建立严格的客户信息保密制度等合规要点。


企业应建立系统性的数据安全保障机制,同时在企业内部应对具体保障措施的内容、针对的数据对象、负责的人员等予以明确,并全面记载安全措施的实施情况,以确保企业数据的使用与处理合法合规。若监管机构提出检查,企业需要能够拿出相应的记录来进行说明,或者在发生安全事故时,用于证实已尽到必要的安全保障义务。[13]


(未完待续)


[1] 来源:埃森哲新闻中心https://www.accenture.cn/cn-zh/about/newsroom/company-news-release-reports-fourth-quarter-and-full-year

[2] 曾铮、王磊:《完善和优化数据市场治理》,光明日报,2021年3月9日。

[3] 同上注。

[4] 《深圳市人大常委会解读<深圳经济特区数据条例>》。https://mp.weixin.qq.com/s/V_2XVVHB71YHdY64e8IchQ

[5] 《深圳经济特区数据条例》第十一条、第十二条。

[6]   施俊侃:《七部门进驻滴滴 企业应当重视数据安全合规》。https://mp.weixin.qq.com/s/k3m6BrY2X7pPIHfm-UB2dg

[7] 《深圳经济特区数据条例》第六十八条、第六十九条。

[8] 《个人信息保护法(草案)》第四十五条、第四十六条、第四十七条。

[9] 《个人信息保护法(草案)》第二十条。

[10] 《个人信息保护法(草案)》第五十条。

[11] 参见:深圳市蓝海大湾区法律服务研究院:《“一带一路”法律库建设调研之分课题三——数据和隐私合规指南》,第56页。

[12] 施俊侃:《七部门进驻滴滴 企业应当重视数据安全合规》。https://mp.weixin.qq.com/s/k3m6BrY2X7pPIHfm-UB2dg

[13] 同上注,第99页。


延伸阅读

企业合规工作既是企业内部管理的核心工作,也是企业进一步防范与规避外部风险的有效举措,其重要性不言而喻。自2016年起,在深圳市司法局指导下,深圳市蓝海大湾区法律服务研究院和深圳市蓝海法律查明和商事调解中心联合域内外专家开展海外合规系列课题研究,完成《企业合规指南》《企业海外知识产权管理和商业秘密保护》《企业走出去法律风险控制建议》《数据和隐私合规指南》《市场准入合规指南》《香港法律查明指南》等十二项重大课题;深圳市蓝海法律查明和商事调解中心于2019年获法制日报社评选的第二届“一带一路·合规之路”优秀法律服务案例。2019-2021年,深圳市蓝海大湾区法律服务研究院连续三年受深圳市南山区司法局委托,为南山区“走出去”重点企业提供深度调研、问卷、访谈等多种形式的合规体检服务,对企业可能遇到的合规问题进行风险提示并提出解决建议。

> 施俊侃:强化数据治理背景下企业的数据合规体系建设(上)

> 施俊侃:上市公司与拟上市公司合规指引(下)

> 施俊侃:上市公司与拟上市公司合规指引(上)

> 施俊侃:合规不起诉制度初探

> 终于等到你,企业合规常见问题之进阶篇

> 邓峰:公司合规的源流及中国的制度局限

> 蓝海荐书 ▍法务宝典——《中国企业出口合规指南》