×

打开微信,扫一扫二维码
订阅我们的微信公众号

×

扫码分享

EN
首页>汉盛研究>汉盛法评|论“企业数据合规及个人信息保护”之法律关系浅析

汉盛法评|论“企业数据合规及个人信息保护”之法律关系浅析

2021-11-15   韩雪松、郑贤凯

一、数据领域立法概况

自2015年国家提出推行大数据战略以来,我国数字经济蓬勃发展,2020年数字经济规模高达39.2万亿,占GDP比重达38.6%。“数据”作为数字经济发展的核心生产要素,已成为国家重要资产和基础战略资源。与此同时,国内外数据安全形势严峻,企业数据泄漏、违规收集个人信息、违法买卖个人信息等安全事件频发。为了更好地规范数据活动、保护数据权益,各国陆续颁布了多项数据法案,例如欧盟的《一般数据保护条例(GDPR)》、美国的《加州消费者隐私保护法(CCPA)》、英国的《数据保护法》、德国的《联邦数据保护法》等。

自2017年颁布施行《中华人民共和国网络安全法》(以下简称《网安法》)以来,我国对于个人信息保护及数据领域的立法步伐加快,同年最高人民法院、最高人民检察院发布了《关于办理侵犯公民个人信息刑事案件适用法律若干规定》的司法解释;2021年1月1日生效的《中华人民共和国民法典》(以下简称《民法典》)设专章规定了“隐私权和个人信息保护”;作为我国第一部以数据为保护对象的法律,《中华人民共和国数据安全法》(以下简称《数安法》)于2021年9月1日正式生效施行。期间还有多部行政法规、部门规章及地方性立法文件发布实施,如由国务院发布的《关键信息基础设施安全保护条例》、由国家网信办等12个部委联合发布的《网络安全审查办法》、深圳市人大常委会发布的《深圳经济特区数据条例》、上海市人大常委会公布的《上海市数据条例(草案)》等。此外,除了以上数据领域立法的正式渊源以外,多部数据领域的国家标准、行业标准也相继发布或生效,例如国家市场监督管理总局、中国国家标准化管理委员发布的《信息安全技术 个人信息安全规范》,《个人信息安全规范》目前是我国个人信息保护领域最重要、应用最广泛的国家标准。

现阶段多部数据法案并行,内容上互有交叉与补充,但相关法律概念存在一定混淆,尤其是对于数据法律主体及客体的范围界定不清,容易给企业在法律适用上造成困惑。鉴于《中华人民共和国个人信息保护法》(以下简称《个保法》)已于本月初开始生效施行,《网络数据安全管理条例(征求意见稿)》(以下简称《网络数据条例(征)》)也自本月14日起向社会公开征求意见,亟需进一步理清多部数据法案中的数据法律关系,为企业数据合规提供更加明确和清晰的指引。

二、数据法律关系梳理

数据领域的立法是以个人信息及非个人信息等数据客体为主要研究对象,以数据收集、存储、使用、加工、传输、提供、公开等数据全生命周期的处理活动为主要研究内容,以数据分级分类保护、数据安全审查、数据风险评估、数据出境监管等制度为主要研究特色,调整数据主体与数据处理者之间法律关系的法律规范。本文主要从“法律客体、主体、行为”等方面对数据法律关系进行解析。

1.png

图1:数据法律关系图

(一)数据法律客体

根据《数安法》第三条的规定:“数据是指任何以电子或者其他方式对信息的记录”。数据按“可识别性”划分,可分为个人信息和非个人信息;按“重要程度”划分,可分为重要数据和非重要数据。

2.png

图2:数据法律客体

1、个人信息

根据《个保法》第四条规定:“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”《民法典》第一千零三十四条对个人信息进行了列举,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。

【个人信息与隐私的区别】

根据《民法典》第一千零三十二条的规定:“自然人享有隐私权。隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。”

个人信息与隐私并非简单的“包含与被包含”关系,而是两个不同维度的法律概念。首先,隐私必然是未公开的,一旦公开便不再称之为隐私,而个人信息则不然,很多个人信息都是公开的,例如姓名、性别、国籍、民族等,隐私侧重于隐匿,而个人信息侧重于识别;其次,个人信息也无法包括“自然人私人生活安宁和不愿为他人知晓的私密空间、私密活动”等尚未形成记录的隐私。

2、敏感个人信息

《个保法》第二十八条规定:“敏感个人信息是指一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息”。可以看出,只要是涉及到儿童(不满十四周岁)的个人信息,不论何种信息,均属敏感个人信息的范畴,在法律上受到更严格的特殊保护。此前,国家网信办于2019年发布的《儿童个人信息网络保护规定》就已经对儿童个人信息保护作了专门规定,《个保法》的实施从法律层面进一步强化了对儿童个人信息等敏感个人信息的保护力度,规定个人信息处理者只有在具有特定的目的和充分的必要性并采取严格保护措施的情形下,方可处理敏感个人信息,且应当取得个人的单独同意或儿童的监护人同意。

3、重要数据

《数安法》要求国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,各地区、各部门应当按照数据分类分级保护制度确定本地区、本部门以及相关行业、领域的重要数据具体目录。《网络数据条例(征)》进一步明确了重要数据的定义和范围,即重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据图;重要数据范围涵盖了可能影响国家政治、国土、军事、经济、文化、社会、科技、生态、资源、核设施、海外利益、生物、太空、极地、深海等安全的数据,具体范围详见下图。

3.png

图3:重要数据的范围

4、国家核心数据

根据《数安法》的规定,关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度;对于违反国家核心数据管理制度,危害国家主权、安全和发展利益的,最高可罚一千万,并可追究刑事责任。

5、关键运营者信息数据

《网安法》设专节规定了关键信息基础设施保护制度,要求关键信息基础设施的运营者收集和产生的个人信息和重要数据(以下简称“关键运营者信息数据”)原则上应当在境内存储;因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。国家对关键信息基础设施实行重点保护,根据《关键信息基础设施安全保护条例》的规定,“关键信息基础设施”是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。

除了上述数据分类以外,还存在一些特定领域或行业的数据概念,例如《数安法》中提及的“政务数据”,《网络数据条例(征)》中提及的“公共数据”,《个人金融信息保护技术规范》中规定的“个人金融信息”,《汽车数据安全管理若干规定(试行)》中规定的“汽车数据”,《工业和信息化领域数据安全管理办法(试行)》(征求意见稿)中提及的“工业数据、电信数据”等。

(二)数据法律主体

数据法律规范主要调整的是数据主体(提供数据的一方)与数据处理者(处理数据的一方)之间的权利义务关系。同时,数据处理者在开展数据处理活动过程中也要面临数据监管方的监督。

4.png

图4:数据法律主体

1、数据处理者

《民法典》第一百一十一条规定:“任何组织或者个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息”。《数安法》第三十二条规定:“任何组织、个人收集数据,应当采取合法、正当的方式,不得窃取或者以其他非法方式获取数据”。综上,不论是对于个人信息还是非个人信息类的数据,数据处理者均可以由自然人、法人或非法人组织构成。

【数据处理者与数据控制者的区分】

根据欧盟《通用数据保护条例》(General Data Protection Regulation,以下简称“GDPR”)第四条(7)的规定,“控制者”是指能单独决定或共同决定个人数据处理目的与方式的自然人、法人、公共机构、行政机关或其他组织;“处理者”是指为数据控制者处理个人数据的自然人、法人、公共机构、行政机关或其他组织。

然而,我国的《网络安全法》《数据安全法》《个人信息保护法》等法律均未明确区分数据控制者与数据处理者,而是笼统地称之为“网络运营者”、“重要数据的处理者”、“个人信息处理者”。因此,现行数据法律规范中提及的处理者可以理解成“广义的数据处理者”,其指代的主体范围包括“数据控制者”以及“狭义的数据处理者”。对此,国家网信办最新发布(2021年11月14日)的《网络数据条例(征)》也表达了类似观点,该条例第七十三条第(五)项规定:“数据处理者是指在数据处理活动中自主决定处理目的和处理方式的个人和组织”。

2、数据主体及权利

《数安法》第七条明确规定:“国家保护个人、组织与数据有关的权益”。作为提供数据的一方,数据主体的范畴也包括自然人、法人及非法人组织;而关于数据权利属性,目前主要有三种学说:分别是隐私权说、人格权说、财产权说。从我国现行数据立法文件来看,对于个人信息的数据主体,主要强调其享有的人格权;而对于非个人信息的数据主体,则更多地体现为数据权利的财产权属性。

(1)个人信息数据主体及其权利

个人信息的数据主体仅指自然人,对其个人数据享有知情同意权、修改权、可携带权、被遗忘权等人格权益。

①知情同意权

《个保法》第四十四条规定:“个人对其个人信息的处理享有知情权、决定权,有权限制或者拒绝他人对其个人信息进行处理;法律、行政法规另有规定的除外”。“法律、行政法规另有规定的”主要是指《个保法》第十三条中规定的事先征得个人信息主体授权同意的几种例外情形,下文中将会作详细列举。

②修改权

《个保法》第四十六条规定:“个人发现其个人信息不准确或者不完整的,有权请求个人信息处理者更正、补充”。《民法典》第1037条同样规定了个人信息主体享有查询复制权、变更修改权和删除权。

③可携带权

数据可携带权这一概念的提出是源自欧盟GDPR,该法案第二十条规定,数据可携带权是指个人信息数据主体有权将其个人数据从一个数据处理者处无障碍地转移到另一个数据处理者处或用于个人留存,主要表现为复制个人信息、获取个人信息副本的权利。《个保法》第四十五条规定:“个人有权向个人信息处理者查阅、复制其个人信息”。

④被遗忘权

被遗忘权是指个人信息的数据主体要求数据处理者永久删除其个人数据的权利,主要体现为注销个人账户、删除个人数据的权利。《个保法》第四十七条规定:“有下列情形之一的,个人信息处理者应当主动删除个人信息;个人信息处理者未删除的,个人有权请求删除:(一)处理目的已实现、无法实现或者为实现处理目的不再必要;(二)个人信息处理者停止提供产品或者服务,或者保存期限已届满;(三)个人撤回同意…”。《网络数据条例(征)》还进一步规定了删除个人信息的期限要求,该条例第二十二条规定:“出现法定删除情形的,数据处理者应当在15个工作日内删除个人信息或者进行匿名化处理;删除个人信息从技术上难以实现,或者因业务复杂等原因,在15个工作日内删除个人信息确有困难的,数据处理者不得开展除存储和采取必要的安全保护措施之外的处理,并应当向个人作出合理解释”。

(2)非个人信息的数据主体及其权利

区别于个人信息的数据主体只能是自然人,非个人信息的数据主体可以是自然人、法人或非法人组织,其权利性质主要体现为财产权,包括对数据占有、使用、处分、收益的权能。《民法典》第一百二十七条规定:“法律对数据、网络虚拟财产的保护有规定的,依照其规定”。这表明数据与其他财物一样,受到法律的保护。

【关于个人信息类数据的财产权问题】

对于个人信息是否具备财产权属,在学术界仍存争议,例如在欧盟GDPR和德国的相关数据法案中均未提及个人信息财产权的保护问题。在我国,从《民法典》的体例编排来看,个人信息是人格权的客体;《刑法修正案》253条也规定个人信息原则上禁止“出售或提供给他人”。因此我们认为,“个人信息”在我国尚无法直接构成财产权的客体。对此,2021年9月30日发布的《上海市数据条例(草案)》也给出了相近的观点,该条例第十二条规定:“自然人对涉及其个人信息的数据,依法享有人格权益。自然人、法人和非法人组织对其以合法方式获取的数据,以及合法处理数据形成的数据产品和服务,依法享有财产权益”。当然,这并不意味着“凡涉及到个人信息的数据均不能流通或交易”,《个保法》规定了“匿名化处理后的信息”不属于个人信息的范畴,表明个人信息在经过合法处理后仍有可能具备财产权属性。

3、数据监管部门

结合《网安法》等网络安全法规的实施情况及数据保护领域的执法实践来看,网络安全及数据保护领域的行政执法活动主要以网信办、工信部、公安部以及市场监督部门等四部委为主。例如,公安部自2018年开始开展“净网”系列专项行动;网信办、工信部、公安部、市场监督总局,于2019年1月联合开展了APP违法违规收集使用个人信息专项治理;市场监督局于2019年4月开展了“守护消费”暨打击侵害个人信息违法专项行动;工信部于2019年11月开展了信息通信领域APP侵害用户权益专项行动。

随着《数安法》《个保法》的推行实施,数据安全及个人信息保护监管职责进一步明确,基本确立了“国家网信部门统筹协调、国家安全部门承担其职责内数据安全监管、行业主管部门负责本行业安全监管”的数据监管体系。《数安法》第六条规定:“国家网信部门依照本法和有关法律、行政法规的规定,负责统筹协调网络数据安全和相关监管工作;公安机关、国家安全机关等依照本法和有关法律、行政法规的规定,在各自职责范围内承担数据安全监管职责;工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责”。《个保法》第六十条规定:“国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作;国务院有关部门依照本法和有关法律、行政法规的规定,在各自职责范围内负责个人信息保护和监督管理工作”。

(三)数据法律行为

数据法律行为主要是指数据全寿命周期的各类处理活动。欧盟GDPR对于“数据处理”的定义较为广泛,是指对数据或数据集合所作的任何一项或一组操作,如收集、储存、记录、修改、结构化、组织、查阅、检索、使用、传输或以其他方式利用、排列或组合、限制、销毁或删除。我国《数安法》第三条规定:“数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等”;《个保法》第四条规定:“个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等”。综上可知,数据处理活动基本可以涵盖从数据输入、数据利用到数据输出的全过程数据行为。

本节以“个人信息”为例,主要从法律层面列举其相关的数据行为规范。

1、一般性原则

(1)合法正当原则

《个保法》第五条规定:“处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息”。第十条规定:“任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息;不得从事危害国家安全、公共利益的个人信息处理活动”。

(2)最小必要原则

《个保法》第六条规定:“处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息”。《网络数据条例(征)》也指出“处理个人信息要限于实现处理目的最短周期、最低频次”。

(3)公开透明原则

《个保法》第七条规定:“处理个人信息应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围”。对于“个人信息处理规则”的具体内容,《网络数据条例(征)》进行了列举,包括但不限于以下内容:

依据产品或者服务的功能明确所需的个人信息,以清单形式列明每项功能处理个人信息的目的、用途、方式、种类、频次或者时机、保存地点等,以及拒绝处理个人信息对个人的影响;

个人信息存储期限或者个人信息存储期限的确定方法、到期后的处理方式;

个人查阅、复制、更正、删除、限制处理、转移个人信息,以及注销账号、撤回处理个人信息同意的途径和方法;

以集中展示等便利用户访问的方式说明产品服务中嵌入的所有收集个人信息的第三方代码、插件的名称,以及每个第三方代码、插件收集个人信息的目的、方式、种类、频次或者时机及其个人信息处理规则;

向第三方提供个人信息情形及其目的、方式、种类,数据接收方相关信息等;

个人信息安全风险及保护措施;

个人信息安全问题的投诉、举报渠道及解决途径,个人信息保护负责人联系方式。

(4)及时响应原则

《个保法》要求个人信息处理者建立便捷的个人行使权利的申请受理和处理机制,及时响应个人信息主体的权利请求。《网络数据条例(征)》细化了对权利请求响应的规定,根据该条例第二十三条,个人提出查阅、复制、更正、补充、限制处理、删除其个人信息的合理请求的,数据处理者应当履行以下义务:

提供便捷的支持个人结构化查询本人被收集的个人信息类型、数量等的方法和途径,不得以时间、位置等因素对个人的合理请求进行限制;

提供便捷的支持个人复制、更正、补充、限制处理、删除其个人信息、撤回授权同意以及注销账号的功能,且不得设置不合理条件;

收到个人复制、更正、补充、限制处理、删除本人个人信息、撤回授权同意或者注销账号申请的,应当在十五个工作日内处理并反馈。

2、“告知+同意”前提

个人信息处理活动应以“告知+同意”为前提。根据《个保法》的规定,处理个人信息应当取得个人同意,处理敏感个人信息应当取得个人的单独同意或未成年人的监护人同意,该同意应当在充分知情的前提下自愿、明确作出;当个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得同意,并同步修改个人信息处理规则。个人有权撤回其同意,个人信息处理者应当提供便捷的撤回同意的方式,个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品、服务或者干扰个人正常使用服务。

(1)“告知”事项

根据《个保法》第十七条的规定,个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:

个人信息处理者的名称或者姓名和联系方式;

个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;

个人行使本法规定权利的方式和程序等。

(2)“同意”规则

根据《网络数据条例(征)》第二十一条的规定,处理个人信息应当按照服务类型分别向个人申请处理个人信息的同意,不得通过以下手段或行为取得个人同意:

使用概括性条款取得同意;

以改善服务质量、提升用户体验、研发新产品等为由,强迫个人同意处理其个人信息;

通过误导、欺诈、胁迫等方式获得个人的同意;

通过捆绑不同类型服务、批量申请同意等方式诱导、强迫个人进行批量个人信息同意。

(3)例外情形

《个保法》还规定了事先征得个人信息主体授权同意的几种例外情形,主要包括:

为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;

为履行法定职责或者法定义务所必需;

为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;

为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;

依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息等。

3、具体处理行为规定

《民法典》第1038条概括规定了个人信息处理者不得泄露或篡改、不得擅自向他人提供其收集、存储的个人信息等行为规范,《个保法》对个人信息收集、存储、使用、对外提供等具体处理行为作了更细化的规定。

(1)个人信息收集

个人信息收集规则在满足“告知+同意”基本准则的基础上,《个保法》第二十六条还规定了在公共场所采集个人信息的特别要求:“在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识;所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的”。

(2)个人信息存储

个人信息的存储需遵循“保存时间最小化”原则,即个人信息的保存期限应当为实现处理目的所必要的最短时间。个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取相应的保护措施,防止未经授权的访问以及个人信息泄露、篡改、丢失;一旦发生或者可能发生个人信息泄露、篡改、丢失的,个人信息处理者应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人。

(3)个人信息使用

针对过度的用户画像、大数据杀熟、算法歧视等热点现象,《个保法》给予了回应,规定个人信息处理者利用个人信息进行自动化决策的,不得对个人在交易价格等交易条件上实行不合理的差别待遇;通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。例如,为个人提供的产品或服务搜索结果,不应全部为基于个性化推荐的结果,而没有其他一般性的搜索结果。

(4)个人信息对外提供

个人信息公开、转让、委托处理等均属于对外提供的范畴。根据《个保法》的相关规定,个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的,应当依照《个保法》规定重新取得个人同意。

个人信息处理者原则上不得公开其处理的个人信息,除非取得个人的单独同意。个人信息处理者因合并、分立、解散、被宣告破产等原因需要转移个人信息的,应当向个人告知接收方的相关信息。个人信息处理者委托处理个人信息的,应当与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等,未经个人信息处理者同意受托人不得转委托他人处理个人信息;委托合同不生效、无效、被撤销或者终止的,受托人应当将个人信息返还个人信息处理者或者予以删除,不得保留。

三、企业数据合规建议

《个人信息保护法》已于本月初(2021年11月1日)生效实施,该法将与此前颁布的《数据安全法》、《民法典》以及《网络安全法》等法案共同构筑我国个人信息与数据保护的法律规范体系。鉴于国家数据立法的逐步成熟、数据领域监管力度的不断加强、社会公众对个人信息保护重视程度的逐渐升高,企业亟需灌输数据安全意识、开展数据风险评估、制定数据合规策略,从而有效降低因数据违规引发的行政处罚、民事赔偿、刑责追究以及商业利益损失风险。

1、灌输数据安全意识

一是要密切关注数据领域立法动态,开展数据法律法规宣贯,尤其是对《数安法》《个保法》两部法律的适用问题,互联网企业还需额外关注《网安法》及配套法规。二是要树立全员数据安全理念,定期开展数据合规专题讲座,强调数据保护对于维护企业商誉的重要性,加强员工数据安全意识与能力。《网络数据条例(征)》实际上对于重要数据处理者的数据安全教育培训做出了硬性规定,该条例第三十条规定:“重要数据处理者应当制定数据安全培训计划,每年组织开展全员数据安全教育培训,数据安全相关的技术和管理人员每年教育培训时间不得少于二十小时”。

2、开展数据风险评估

企业首先需自查业务目前所涉的数据资源,根据所开展的数据处理活动,判断属于何种法律主体身份,包括重要数据处理者、关键信息基础设施的运营者等,例如《网络数据条例(征)》就明确要求“重要数据的处理者应当成立数据安全管理机构,在识别其重要数据后的十五个工作日内向设区的市级网信部门备案”;其次要根据《数安法》《个保法》等法律规定,对数据全寿命周期的潜在风险环节进行全面梳理,评估其当前实际业务开展情况与数据法规要求之间的差距。对于重要数据、个人信息处理者,还应根据监管要求建立常态化的数据风险评估制度。

3、制定数据合规策略

结合数据法规的系统梳理以及数据风险的综合评估,制定兼容数据法规要求及自身业务特点的数据合规策略,具体可从以下几个方面着手:

(1)定制度

针对数据全寿命周期的各个处理环节,制定相应的数据安全管理制度,按照国家及行业数据目录在企业内部建立或细化相对应的数据保护目录,形成全套的文件体系,匹配法律法规监管要求。

(2)设机构

按需设立数据安全管理机构或数据合规专员,落实企业数据合规策略和具体实施计划,与业务部门协作,有效贯彻数据安全管理制度及流程等内控文件。对于大型互联网平台,根据《个保法》的要求,还需成立主要由外部成员组成的独立机构对个人信息保护情况进行监督。

(3)融流程

根据数据安全管理制度、数据保护目录,细化形成数据管理流程及操作指引,将数据合规管理融入具体可执行的操作流程,将合规控制、风险控制以及绩效控制相结合,注重事前数据风险管控与事中数据风险监督,对可预见的风险进行有效动态控制与防范。

(4)控风险

全过程监控数据的收集、存储、使用、加工、传输、提供、公开等数据处理活动,对潜在风险点进行持续滚动跟踪,定期开展数据合规审计,对所处理的重要数据的种类、数量、开展数据处理活动的情况、数据安全风险及其应对措施等进行定期风险评估,持续强化风险等级预警、应急处置等工作,不断提升员工的风险意识教育以及外部风险承受能力。

相关研究