深圳市蓝海大湾区法律服务研究院
LAN HAI INSTITUTE

施俊侃:强化数据治理背景下企业的数据合规体系建设(上)

作者:施俊侃

施俊侃

深圳市蓝海大湾区法律服务研究院合规委员会主任、咨询委员会委员,信达律师事务所合规与监管委员会主任。



作者按

写这篇文章的时候,我回想起在埃森哲因为数据合规问题摸着石头过河、不断与时俱进的13年心路历程。埃森哲虽然是一家跨国公司,但其在中国也处理着大量数据。埃森哲大中华区拥有1.8万名员工,分布于北京、上海、广州、深圳、大连、成都、杭州、香港和台北等地,服务的客户涵盖世界500强企业、国企、大型民营企业和政府。埃森哲的数据是全球流通的,它存储和处理的数据需要同时符合中国、欧盟、美国的规定。


起初,针对数据保护方面的研究,我们做了大量的前期准备工作。欧盟的《通用数据保护条例》(General Data Protection Regulation, GDPR)在2018年5月25日生效,其前身是欧盟1995年通过的《数据保护指令》(Data Protection Directive),而埃森哲早在GDPR生效前两年已开始研究数据保护相关的法律法规;我国的《网络安全法》于2017年6月1日生效,埃森哲也是提前一年已开始研究。我们为了实现企业数据合规,专门组建了网络安全和数据保护工作小组,我是该小组的组长,通过研究大量的国内外法律法规,及其不断出台的配套条例、指南、标准,我们才了解数据保护相关法律规范文件对企业业务、运营带来的影响,从而确保新产品、新服务顺利落地。其次,全球的数据合规法律法规在不断更新,我们也不断在企业数据合规的道路上与时俱进,于动态发展中寻求解决方案。我们通过参加各种协会,例如,美国信息技术办公室(United States Information Technology Office) 、美国商会(United States Chamber of Commerce)、欧盟商会(European Union Chamber of Commerce)等,以及各类工作小组,基于国际视野解读中国最新的法律法规,为相关部门提供参考意见。最后,在大数据时代,数据合规是众多企业合规经营的重点,目前也已有很多业界同行对这方面做了扎实的研究。埃森哲大量的产品、服务与数据相关,据埃森哲2020财年财报显示,数字化、云计算和网络安全相关业务占埃森哲全部收入的70%[1],数据合规是埃森哲行稳致远的重中之重,因而本文主要结合自身在埃森哲参与数据保护工作的实操经验,阐述数据治理背景下企业的数据合规体系建设。


本文于2021年7月16日定稿,恰于定稿当晚,滴滴出行事件有了新的进展,国家网信办会同公安部、国家安全部、自然资源部、交通运输部、税务总局、市场监督总局等部门联合进驻滴滴出行科技有限公司,开展网络安全审查。依托大数据赋能的滴滴出行在上市首日风光无两,但是同样也是因为数据合规而陷入困境。滴滴出行本次被审查的成例无疑会成为未来企业数据合规的重要参照。因而,本文也将结合滴滴出行受审查一事,论证企业重视数据合规的必要性和重要性。


总之,希望本文对企业和同行有所帮助,同时也希望能够通过数据合规实操经验的分享,提高企业搭建合规体系的意识,把握好数据合规和数据业务开发之间的平衡点,实现企业价值。本文共分为“引言”、“企业面临数据合规的挑战”、“我国数据合规法律体系概况”、“企业数据合规监督要点”、“企业数据合规体系建设”、“结语”六个部分,将分为上、中、下三篇进行推送,本期推送上篇,欢迎关注与交流!

引言

党的十九届四中全会在《中共中央关于坚持和完善中国特色社会主义制度 推进国家治理体系和治理能力现代化若干重大问题的决定》中,首次明确数据作为生产要素参与社会分配,与土地、劳动力、资本、技术并列成为生产要素。“数据”成为数字经济时代的“新石油”,掌握数据的企业对来源广泛的信息进行收集、整理、分析,希望尽可能地挖掘数据的价值,对重要数据掌控能力的竞争成为各国数字经济竞争的焦点。随着大数据技术的广泛应用,个人隐私和公共安全问题也日益凸显,世界各国纷纷加强数据保护立法和监管执法。中国近几年数据保护立法节奏加快,《网络安全法》及其配套的条例、指引、指南和标准,《数据安全法》《个人信息保护法(草案)》等法律相继出台。同时,地方性数据立法也紧随其后,今年7月初,作为我国数据领域首部基础性、综合性的法规《深圳经济特区数据条例》公布,进一步落实和细化已出台的数据保护法律,规范国内数据市场竞争乱象。


在全球重视数据保护的治理环境下,我们有必要思考,作为整合大量数据资源的企业,如何通过搭建数据合规体系,把握好数据合规和数据开发之间的平衡点,实现在合规基础上最大程度释放数据价值?


一、企业面临数据合规的挑战

(一)域外数据保护监管严格

1. 全球多个国家加强数据保护立法


随着越来越多的产品和服务线上化,数据保护以及网络安全的重要性日益凸显,现今全球已经有130多个国家制定了数据保护相关法律。例如,美国的《国家安全与个人数据保护法》(National Security and Personal Data Protection Act of 2019)《加州消费者保护法》(California Consumer Protection Act 2020),欧洲的《通用数据保护条例》(The EU General Data Protection Regulation,GDPR),俄罗斯的《个人数据法》(Personal Data Act 2015),加拿大的《数字宪章》(Digital Charter 2019),印度的《个人数据保护法》(Personal Data Protection Bill 2019),澳大利亚的《消费者数据权利法案》(Consumer Data Right 2019)等。


纵观域外多国的数据保护立法发现,在个人数据及隐私保护领域,对于个人信息的保护重点是“隐私保护”。以美国为例,美国的数据隐私保护主要通过政府监管和隐私诉讼的方式来实现,在联邦层面和州层面均有相关的立法。例如,在联邦政府监管层面,有针对消费者保护的《联邦贸易委员会法》(The Federal Trade Commission Act, FTCA),针对医疗记录的《健康保险隐私及责任法案》(Health Insurance Portability and Accountability Act, HIPAA),针对儿童的《儿童线上隐私保护法》(Children's Online Privacy Protection Act, COPPA)等法案,在州层面,有保护消费者个人信息的《加州消费者保护法》(California Consumer Protection Act, CCPA),伊利诺亚州的《生物识别信息隐私法案》(Biometric Information Privacy Act, BIPA)等法律。美国联邦政府通过隐私权保护的方式保护个人数据,主要规制政府机关涉及利用个人数据的领域,在数据的获取、发布和隐私等与数据相关的政策制定了一整套复杂且不断变化的法律、法规和备忘录。[2]这对企业来说,遵循自身的隐私政策是其合规的重要内容。


同时,欧盟的《通用数据保护条例》(以下简称GDPR)于2018年5月25日生效,对于个人数据的保护标准非常之高,突出表现在凡是处理欧盟居民个人数据的企业,无论其本身是否设于欧盟境内,一律必须遵守这项规范;并且,违规罚金也相当严苛。面对GDPR,企业通常有三种选择,一是承担罚款,二是退出欧洲市场,三是做到合规。对于第一种选择,企业会被处以高达4%的全球营业额或2000万欧元罚款,且以其中金额较高者为准,违法成本非常高,因此几乎不存在愿意承担如此巨额罚款的企业。第二种路径似乎也不可行,欧洲有5亿多用户,市场规模巨大,放弃欧洲对于大型跨国企业来说,显然不是一个明智的选择。这样一来,仅剩下第三种选择即努力做到合规,这会是绝大部分企业的选择。[3]


不难看出,众多严格的数据保护法律法规为企业的经营带来了一定的挑战,企业需要在很多方面做出改进,运营成本可能会增加,甚至会影响其收益。但是,数据保护立法也是企业加强数据保护的一个良好契机,它倒逼企业审视自己的隐私保护政策和数据处理方式,使企业的价值得到提升,创造竞争优势,同时也使企业的经营能够行稳致远。


2.全球数据保护监管执法活跃


自2018年5月GDPR出台以来,美国、加拿大、欧盟(西班牙、法国、意大利等国)等国数据执法活动最为活跃。以欧盟监管为例,欧洲数据保护当局已开出了与GDPR有关的300多张罚单,罚款总额近3亿欧元[4],罚款案例中不乏像谷歌、英国航空、万豪等世界知名企业。除罚款外,业务强制关停、相关责任人被监禁等处罚手段对企业而言也是重大打击。


分析众多数据保护监管的执法案例发现,数据保护监管的罚款原因主要集中于以下两点:第一,未采取充分的技术和管理措施确保信息安全,如数据泄露。例如,英国航空公司因数据泄露而被英国数据保护机构罚款2000万英镑。英国航空公司因未能检测到公司的网络安全系统受攻击,导致公司掌握的429, 612名客户和员工的个人数据遭泄露,泄露的信息包括客户的姓名、地址、支付卡号和安全码,以及员工和管理员账户的用户名和密码等信息。[5]第二,违反一般的数据处理原则。非法存储或使用个人身份信息和不遵守数据主体访问请求,是导致企业被数据监管机构罚款的另一个主要原因。例如,H&M公司因非法监控员工的行为,违反了一般的数据处理原则,被数据保护监管机构罚款3500万欧元。德国数据保护监管机构通过调查发现,H&M公司存在大范围收集和存储员工家庭情况、宗教信仰、假期、医疗情况和疾病诊断记录等个人信息的行为,并将这些信息用于评估工作绩效和作为雇佣决定的参考。[6]


3.全球用户数据保护意识提高


《2020安永全球消费者隐私保护调查报告》结果显示,与组织共享个人数据时,63%的消费者最看重的因素是收集和存储的安全性。如果组织无法提供以上这些保证,消费者将选择其他组织进行数据共享。大多数消费者表示,他们将继续依靠已经有过接触的组织,以安全透明的方式收集、处理和管理其个人数据。另外,54%的消费者认为,组织未经其本人明确同意就与第三方共享消费者的数据的行为,会降低消费者对组织收集、存储和使用其数据的信任程度。[7]


在信息社会,科技与数据的结合,在便利和丰富了个人的日常生活的同时,也带来各种数据隐私安全问题。我们使用的社交网络、购物平台、酒店入住、出行订票等平台,一般都能获取到涉及包括姓名、电话号码、住址、浏览习惯、消费倾向等基本的个人信息,还有“人脸识别”“指纹验证”等生物识别技术也在金融、医疗、交通、支付等场景大范围使用,这些数据一旦泄露或被恶意出售,则相关个人可能会因此收到针对性的电话骚扰或诈骗行为。例如,曾经引起社会高度关注的“徐玉玉案”[8]便是一起典型的因个人信息被犯罪分子非法理利用而发生的电信诈骗案件。另外,企业掌握大量员工和客户的数据,一旦泄露,企业可能因此导致资产损失、损害商业形象等难以挽回的后果。例如,2020年10月份,电商购物平台唯品会因用户数据泄露问题,致使其用户被骗数万元。这种事件的发生很大程度上影响了唯品会的企业形象,也减损了消费者对该企业的信任度。正是由于现代信息社会出现越来越多的数据安全问题,且这些问题都涉及到企业与个人的切身利益,因此,个人信息安全逐渐引起全球用户的重视。


(二)我国数据保护力度加强

1.新法规、指引、标准密集出台


自GDPR生效以来,海外相继出台或修订数据合规相关立法,数据合规立法已成为全球合规监管的主流趋势。[9]我国也不例外,自2017年实施《网络安全法》以来,数据保护的立法节奏不断加快。一方面,《民法典》人格权编有一个专章对隐私权和个人信息保护进行了规定,《数据安全法》《个人信息保护法(草案)》《数据安全管理办法(征求意见稿)》《深圳经济特区数据条例》等数据安全及隐私保护专门立法相继紧密出台;另一方面,《网络安全法》管理体系逐渐形成,《网络关键设备和网络安全专用产品目录(第一批)》《网络安全审查办法》《网络安全漏洞管理规定(征求意见稿)》《网络关键设备安全检测实施办法(征求意见稿)》《个人信息出境安全评估办法(征求意见稿)》《关键信息基础设施安全保护条例(征求意见稿)》,等级保护2.0等各类相关国家标准均相继制定发布,不断完善我国网络安全的法律监管体系。


2.执法和检查日益频繁


网信办、工信部、公安部、市场监管总局关于开展APP违法违规收集使用个人信息专项治理;市场监管部门开展打击侵害消费者个人信息违法行为专项执法行动。在数据保护的执法行动中,监管部门重点打击以下三类违规行为:一是未经消费者同意,收集、使用消费者个人信息违法行为;二是泄露、出售或者非法向他人提供所收集的消费者个人信息违法行为;三是未经消费者同意或者请求,或者消费者明确表示拒绝的,向其发送商业信息违法行为。在数据安全监管的日常执法活动中,众多APP因违法收集或使用个人信息而被行政部门处罚。例如,2021年1月,广东省通信管理局通报215款存在侵害用户权益和安全隐患问题的APP;2021年5月,48款网络借贷类APP因违法违规收集使用个人信息情况被通报。


企业数据合规工作不到位,将对企业的发展乃至生存产生重大的安全隐患。一方面,企业数据不合规将直接影响企业的发展。例如,2019年墨迹天气因数据不合规问题致使其自身IPO被否。另一方面,企业数据不合规也可能会面临行政乃至刑事处罚。例如,今年7月初,正值“滴滴出行”在美国上市之际,国家网信办依据《国家安全法》《网络安全法》对“滴滴出行”实施网络安全审查。审查结果认为,滴滴出行APP存在严重违法违规收集使用个人信息的问题,并通知应用商店下架滴滴出行APP。遭遇严厉审查的滴滴企业不仅因此股价大跌,同时核心业务也在短期内无法正常开展,企业经营受到了重大影响。而在之后的7月16日,国家网信办会同公安部、国家安全部、自然资源部、交通运输部、税务总局、市场监督总局等部门联合进驻滴滴出行,开展网络安全审查。这是自2020年4月《网络安全审查办法》实施以来的首次公开审查,同时也标志着该《办法》正式进入实操阶段。该事项进一步敲响了企业数据安全合规的警钟。[10]


(未完待续)


[1] 来源:埃森哲新闻中心https://www.accenture.cn/cn-zh/about/newsroom/company-news-release-reports-fourth-quarter-and-full-year

[2] 深圳市蓝海大湾区法律服务研究院:《“一带一路”法律库建设调研之分课题三——数据和隐私合规指南》,第12页。

[3] 同上注,第48页。

[4] 数据来源:GDPR Enforcement Tracker,数据统计截至2021年6月30日。

[5] ICO: ICO fines British Airways £20m for data breach affecting more than 400, 000 customers. https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2020/10/ico-fines-british-airways-20m-for-data-breach-affecting-more-than-400-000-customers/

[6] BBC NEWS: H&M fined for breaking GDPR over employee surveilance. https://www.bbc.com/news/technology-54418936

[7] 安永:《2020安永全球消费者隐私保护调查报告》。https://www.sohu.com/a/452686558_676545

[8] 徐玉玉案,又称徐玉玉电信诈骗案,是2016年8月发生在中国山东省临沂市的一起电信诈骗案件,被骗人徐玉玉被骗后心脏骤停,最终抢救无效死亡。2017年7月19日,山东省临沂市中级人民法院一审宣判,主犯陈文辉一审因诈骗罪、非法获取公民个人信息罪被判无期徒刑,没收个人全部财产,其他六名被告人被判15年到3年不等的有期徒刑并处罚金。来源:维基百科https://zh.wikipedia.org/wiki/%E5%BE%90%E7%8E%89%E7%8E%89%E6%A1%88

[9] 普华永道:《国企改革观象台:出海避险行之有道:国企应对数据安全及隐私合规风险(上)》。

[10] 施俊侃:《七部门进驻滴滴 企业应当重视数据安全合规》。https://mp.weixin.qq.com/s/k3m6BrY2X7pPIHfm-UB2dg


延伸阅读

企业合规工作既是企业内部管理的核心工作,也是企业进一步防范与规避外部风险的有效举措,其重要性不言而喻。自2016年起,在深圳市司法局指导下,深圳市蓝海大湾区法律服务研究院和深圳市蓝海法律查明和商事调解中心联合域内外专家开展海外合规系列课题研究,完成《企业合规指南》《企业海外知识产权管理和商业秘密保护》《企业走出去法律风险控制建议》《数据和隐私合规指南》《市场准入合规指南》《香港法律查明指南》等十二项重大课题;深圳市蓝海法律查明和商事调解中心于2019年获法制日报社评选的第二届“一带一路·合规之路”优秀法律服务案例。2019-2021年,深圳市蓝海大湾区法律服务研究院连续三年受深圳市南山区司法局委托,为南山区“走出去”重点企业提供深度调研、问卷、访谈等多种形式的合规体检服务,对企业可能遇到的合规问题进行风险提示并提出解决建议。

> 施俊侃:上市公司与拟上市公司合规指引(下)

> 施俊侃:上市公司与拟上市公司合规指引(上)

> 施俊侃:合规不起诉制度初探

> 终于等到你,企业合规常见问题之进阶篇

> 邓峰:公司合规的源流及中国的制度局限

> 法商导航 ▍实务操作:“合规指引——合规体系”的搭建