前言
2022年7月21日,国家互联网信息办公室对滴滴全球股份有限公司依法作出网络安全审查相关行政处罚决定,对滴滴全球股份有限公司处人民币80.26亿元罚款,对滴滴全球股份有限公司董事长兼CEO程维、总裁柳青各处人民币100万元罚款。从处罚金额来看,滴滴全球股份有限公司此次处罚无疑是我国2021年《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》施行之后最大的罚单,滴滴全球股份有限公司因网络安全被予以处罚的事件又再次把企业数据合规推上了风口浪尖。

图片来源于“网信中国”微信公众号
2022年1月至今仅半年时间,国际和国内数据泄漏、数据被盗、黑客攻击等数据安全事件依旧高频涌现。根据网络统计与公布,仅半年时间就发生了包括石油管道巨头 Transneft、国际机场公司Swissport、三星、MeTa(原Facebook)、宜家加拿大公司超过十余起的世界知名企数据泄漏事件,同时国内的数据安全事件更是层出不穷,例如爬虫窃密案、我国互联网遭受境外网络攻击、“超星学习通”的数据信息被盗、BlackMoon僵尸网络感染终端超百万、北京健康宝遭受网络攻击、西北工业大学电子邮件系统遭受境外网络攻击等等。
基于企业数据的机密性、涉及面广等特点,企业数据的泄漏往往给企业乃至社会、国家造成较大的影响,对于企业的经营和发展往往造成不可估量的经济损失和声誉损失,甚至影响企业的生存。因此,数据合规已经逐渐引起企业乃至国家的高度重视。引导和指引各类企业开展数据合规管理,能够有效地降低企业及其员工涉数据类违法犯罪的法律风险,促进企业合法合规经营,保障企业数据资产的安全稳定,对于建立现代化的企业合规管理制度和文化具有重要意义。
那么,如何进行企业数据合规的有效管理呢?
企业数据合规的有效管理是建立现代化企业的重要内容,必须是能够同时强化企业对于内部、外部主体的企业数据安全风险识别能力、安全风险评估能力、安全风险化解能力,目的在于能够构建完整完善的企业数据合规管理体系,这不仅包含静态的企业数据合规管理制度,还包含动态的企业数据安全管理系统有效运行和企业人员数据合规意识和能力的提升,这些都离不开法律专业人员的服务支撑。此外还应该注意,企业数据合规管理体系的建设还必须保持与现有企业管理体系的高度契合发展。
一、建立并完善企业的数据合规管理制度,对企业数据合规管理予以理论指引
(一)明确企业内部运营与发展的数据合规管理制度
重点结合相关法律法规和监管政策的要求,制定企业的系列数据合规管理制度,例如企业的内控合规管理制度、保密合规管理制度、信息管理合规管理制度,完善企业数据发现机制、举报机制、考核机制、培训机制等重要机制。
首先,明确企业内部员工个人数据和企业数据的保护机制。根据《中华人民共和国数据安全法》明确规定的数据安全与发展的原则性规定和管理要求以及《中华人民共和国个人信息保护法》对于个人信息的处理规则等,结合企业内部实际情况,建立企业内部员工个人数据和企业数据的全生命周期保护机制,例如:结合数据的重要程度建立数据分类分级的保护制度、结合数据的全生命周期明确企业在不同周期阶段的数据安全保护义务以及设定相对应的法律责任等。
其次,建立企业内部各部门/机构之间的数据合规协作机制。管理组织体系的建立与完善对于企业合规管理制度的有效运行具有至关重要的作用。从企业合规管理的实践出发,建立企业决策层、管理层、执行层的有效组织架构以及从上而下的协作机制,明确企业数据合规管理的第一责任人以及不同部门/机构的职能范围,完善企业内部的风险评估和内部举报机制,切实保障企业数据合规的有效运行。
最后,建立外聘律师和外部测评机构的有效参与机制。外聘律师和一些测评机构的专业人士的参与,能够有效完善企业的数据合规管理制度。外聘律师等专业法律服务人员能够准确完整地理解数据安全相关法律法规以及监管政策,熟悉法律规则的适用,能够准确及时识别企业经营和管理过程中的数据合规风险,并提出相应的数据合规风险意见和整改方案。测评机构等专业测评人员能够利用其自身的专业知识和专业手段进行深度检测,对企业运营中的数据安全进行专业评析,对企业数据合规的发展与整改具有参考借鉴的意义。
(二)明确企业与利益相关主体业务合作中的数据合规管理制度
此处的“利益相关主体”主要指对企业生产经营发展能够产生重大影响的团体或个人,既包含企业内部的员工,也包含企业外部的机构或个人(例如企业的供应商、竞争对手、合作方等),重点应当关注企业与利益相关主体在合作业务中的数据保密规定。
首先,明确企业内部员工的保密义务。此处的保密义务范围不仅包含内部员工因岗位性质所接触的企业内部商务、财务、管理等相关数据,也包含企业与外部利益相关主体合作中所产生的业务、知识产权、所有权等相关数据,可以通过保密协议等书面约定对此义务以及违约责任予以合法合规地明确。
其次,注意企业与外部利益相关主体在合作中的保密机制。建立企业与外部利益相关主体合作中的前期沟通、商务谈判、协议签订以及合作执行等关键环节的保密机制,审慎排查合作沟通谈判中的涉密内容,严格审查外部协议中的保密义务和责任约定,实时关注执行过程中保密义务的履行,建立完整完善的企业与外部利益相关主体的合作中的动态保密机制。
二、建立并完善企业的数据安全管理系统,对企业数据合规管理予以平台支撑
企业可通过数据合规管理信息化建设,运用大数据分析等技术工具,加强对经营管理行为中的数据合规的实时监控和风险分析。数据安全管理系统的研发与设立是保障企业数据合规管理体系有效运行的平台支撑,作为与数据合规管理制度相匹配且保证制度顺利有效执行的技术工具,能够有效动态监测企业数据的风险。以企业常用的APP为例。
首先,构建数据安全管理系统,需要建立全生命周期的数据安全防护。结合企业数据的全生命周期,在数据收集、存储、使用、加工、传输、提供、公开等不同阶段设置数据安全防护措施,例如:在数据搜集和存储中注意设置敏感信息的防泄漏功能,在数据识别中注意定期数据脱敏效果验证,在数据使用中注意重要数据备份,在数据存储和传输中注意去标识化和加密处理,在数据公开中注意数据接口的认证鉴权和安全监控等等。
其次,构建数据安全管理系统,需要设置系统内的各级权限管控。权限的分级设置能够有效地进行访问控制,企业在系统构建中,针对访问需求类型和重要程度的不同,严格访问权限的分级设置,并对访问的实时情况进行完整反映和记录。
最后,构建数据安全管理系统,需要对数据实施分级加密管理。根据企业数据的重要程度,可以在系统中设定针对不同类型和重要程度数据的技术措施,设定常规数据目录和重要数据目录,实施分级加密管理,以有效达到数据的防泄漏效果。
三、加强企业人员的数据合规指导与培训,对企业数据合规管理予以文化支撑
企业人员的数据合规建设是企业数据合规有效管理的推动力,企业应当制定决策层、管理层和执行层的全方位培训计划,定期或者不定期地为员工开展企业数据合规培训,实时动态地了解国家数据法律法规和监管政策的变化,更好地履行岗位职责。其次,加强企业数据安全管理系统操作人员以及企业数据合规整改参与人员的技能培训,提升企业相关人员的实务操作能力。此外,加强企业数据合规文化培育,能够不断增强员工的数据合规意识。
我们要注意,企业数据合规管理是一个循环、动态的管理,企业在数据合规管理制度的有效指引下,应当不断梳理和分析企业经营和管理过程中的数据变化,借用数据安全管理系统充分有效地识别企业的数据安全风险,对于数据的识别结果建立有效的反馈机制和评估机制,通过数据反馈和评估,从而制定具有针对性、策略性的不同数据安全风险化解计划,根据阶段性的数据安全风险识别、反馈、评估、化解的不同路径,不断调整现有的数据合规管理制度,实时提升企业人员的数据合规管理水平。
数据作为一种新型生产要素,已经与土地、劳动力、资本、技术要素成为国家战略层面的五大重要生产要素。随着智能化时代的快速发展和数据法律法规的不断完善,面对企业数据风险的不断暴露和巨额罚单的层出不穷,企业数据合规的有效管理势在必行。企业必须在法律法规和监管政策的正确指引下,借助专业机构和专业人员的服务,构建完整完善的企业数据合规管理体系,完善企业的数据合规管理制度,设置合理的企业数据安全管理系统,不断提升企业和企业员工的数据安全风险识别能力、风险评估能力、风险化解能力,以此更好地适应交易市场的需求和发展。
附:近年来关于数据合规主要法律法规沿革表(部分)

2022年7月21日,国家互联网信息办公室对滴滴全球股份有限公司依法作出网络安全审查相关行政处罚决定,对滴滴全球股份有限公司处人民币80.26亿元罚款,对滴滴全球股份有限公司董事长兼CEO程维、总裁柳青各处人民币100万元罚款。从处罚金额来看,滴滴全球股份有限公司此次处罚无疑是我国2021年《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》施行之后最大的罚单,滴滴全球股份有限公司因网络安全被予以处罚的事件又再次把企业数据合规推上了风口浪尖。

图片来源于“网信中国”微信公众号
2022年1月至今仅半年时间,国际和国内数据泄漏、数据被盗、黑客攻击等数据安全事件依旧高频涌现。根据网络统计与公布,仅半年时间就发生了包括石油管道巨头 Transneft、国际机场公司Swissport、三星、MeTa(原Facebook)、宜家加拿大公司超过十余起的世界知名企数据泄漏事件,同时国内的数据安全事件更是层出不穷,例如爬虫窃密案、我国互联网遭受境外网络攻击、“超星学习通”的数据信息被盗、BlackMoon僵尸网络感染终端超百万、北京健康宝遭受网络攻击、西北工业大学电子邮件系统遭受境外网络攻击等等。
基于企业数据的机密性、涉及面广等特点,企业数据的泄漏往往给企业乃至社会、国家造成较大的影响,对于企业的经营和发展往往造成不可估量的经济损失和声誉损失,甚至影响企业的生存。因此,数据合规已经逐渐引起企业乃至国家的高度重视。引导和指引各类企业开展数据合规管理,能够有效地降低企业及其员工涉数据类违法犯罪的法律风险,促进企业合法合规经营,保障企业数据资产的安全稳定,对于建立现代化的企业合规管理制度和文化具有重要意义。
那么,如何进行企业数据合规的有效管理呢?
企业数据合规的有效管理是建立现代化企业的重要内容,必须是能够同时强化企业对于内部、外部主体的企业数据安全风险识别能力、安全风险评估能力、安全风险化解能力,目的在于能够构建完整完善的企业数据合规管理体系,这不仅包含静态的企业数据合规管理制度,还包含动态的企业数据安全管理系统有效运行和企业人员数据合规意识和能力的提升,这些都离不开法律专业人员的服务支撑。此外还应该注意,企业数据合规管理体系的建设还必须保持与现有企业管理体系的高度契合发展。
一、建立并完善企业的数据合规管理制度,对企业数据合规管理予以理论指引
(一)明确企业内部运营与发展的数据合规管理制度
重点结合相关法律法规和监管政策的要求,制定企业的系列数据合规管理制度,例如企业的内控合规管理制度、保密合规管理制度、信息管理合规管理制度,完善企业数据发现机制、举报机制、考核机制、培训机制等重要机制。
首先,明确企业内部员工个人数据和企业数据的保护机制。根据《中华人民共和国数据安全法》明确规定的数据安全与发展的原则性规定和管理要求以及《中华人民共和国个人信息保护法》对于个人信息的处理规则等,结合企业内部实际情况,建立企业内部员工个人数据和企业数据的全生命周期保护机制,例如:结合数据的重要程度建立数据分类分级的保护制度、结合数据的全生命周期明确企业在不同周期阶段的数据安全保护义务以及设定相对应的法律责任等。
其次,建立企业内部各部门/机构之间的数据合规协作机制。管理组织体系的建立与完善对于企业合规管理制度的有效运行具有至关重要的作用。从企业合规管理的实践出发,建立企业决策层、管理层、执行层的有效组织架构以及从上而下的协作机制,明确企业数据合规管理的第一责任人以及不同部门/机构的职能范围,完善企业内部的风险评估和内部举报机制,切实保障企业数据合规的有效运行。
最后,建立外聘律师和外部测评机构的有效参与机制。外聘律师和一些测评机构的专业人士的参与,能够有效完善企业的数据合规管理制度。外聘律师等专业法律服务人员能够准确完整地理解数据安全相关法律法规以及监管政策,熟悉法律规则的适用,能够准确及时识别企业经营和管理过程中的数据合规风险,并提出相应的数据合规风险意见和整改方案。测评机构等专业测评人员能够利用其自身的专业知识和专业手段进行深度检测,对企业运营中的数据安全进行专业评析,对企业数据合规的发展与整改具有参考借鉴的意义。
(二)明确企业与利益相关主体业务合作中的数据合规管理制度
此处的“利益相关主体”主要指对企业生产经营发展能够产生重大影响的团体或个人,既包含企业内部的员工,也包含企业外部的机构或个人(例如企业的供应商、竞争对手、合作方等),重点应当关注企业与利益相关主体在合作业务中的数据保密规定。
首先,明确企业内部员工的保密义务。此处的保密义务范围不仅包含内部员工因岗位性质所接触的企业内部商务、财务、管理等相关数据,也包含企业与外部利益相关主体合作中所产生的业务、知识产权、所有权等相关数据,可以通过保密协议等书面约定对此义务以及违约责任予以合法合规地明确。
其次,注意企业与外部利益相关主体在合作中的保密机制。建立企业与外部利益相关主体合作中的前期沟通、商务谈判、协议签订以及合作执行等关键环节的保密机制,审慎排查合作沟通谈判中的涉密内容,严格审查外部协议中的保密义务和责任约定,实时关注执行过程中保密义务的履行,建立完整完善的企业与外部利益相关主体的合作中的动态保密机制。
二、建立并完善企业的数据安全管理系统,对企业数据合规管理予以平台支撑
企业可通过数据合规管理信息化建设,运用大数据分析等技术工具,加强对经营管理行为中的数据合规的实时监控和风险分析。数据安全管理系统的研发与设立是保障企业数据合规管理体系有效运行的平台支撑,作为与数据合规管理制度相匹配且保证制度顺利有效执行的技术工具,能够有效动态监测企业数据的风险。以企业常用的APP为例。
首先,构建数据安全管理系统,需要建立全生命周期的数据安全防护。结合企业数据的全生命周期,在数据收集、存储、使用、加工、传输、提供、公开等不同阶段设置数据安全防护措施,例如:在数据搜集和存储中注意设置敏感信息的防泄漏功能,在数据识别中注意定期数据脱敏效果验证,在数据使用中注意重要数据备份,在数据存储和传输中注意去标识化和加密处理,在数据公开中注意数据接口的认证鉴权和安全监控等等。
其次,构建数据安全管理系统,需要设置系统内的各级权限管控。权限的分级设置能够有效地进行访问控制,企业在系统构建中,针对访问需求类型和重要程度的不同,严格访问权限的分级设置,并对访问的实时情况进行完整反映和记录。
最后,构建数据安全管理系统,需要对数据实施分级加密管理。根据企业数据的重要程度,可以在系统中设定针对不同类型和重要程度数据的技术措施,设定常规数据目录和重要数据目录,实施分级加密管理,以有效达到数据的防泄漏效果。
三、加强企业人员的数据合规指导与培训,对企业数据合规管理予以文化支撑
企业人员的数据合规建设是企业数据合规有效管理的推动力,企业应当制定决策层、管理层和执行层的全方位培训计划,定期或者不定期地为员工开展企业数据合规培训,实时动态地了解国家数据法律法规和监管政策的变化,更好地履行岗位职责。其次,加强企业数据安全管理系统操作人员以及企业数据合规整改参与人员的技能培训,提升企业相关人员的实务操作能力。此外,加强企业数据合规文化培育,能够不断增强员工的数据合规意识。
我们要注意,企业数据合规管理是一个循环、动态的管理,企业在数据合规管理制度的有效指引下,应当不断梳理和分析企业经营和管理过程中的数据变化,借用数据安全管理系统充分有效地识别企业的数据安全风险,对于数据的识别结果建立有效的反馈机制和评估机制,通过数据反馈和评估,从而制定具有针对性、策略性的不同数据安全风险化解计划,根据阶段性的数据安全风险识别、反馈、评估、化解的不同路径,不断调整现有的数据合规管理制度,实时提升企业人员的数据合规管理水平。
数据作为一种新型生产要素,已经与土地、劳动力、资本、技术要素成为国家战略层面的五大重要生产要素。随着智能化时代的快速发展和数据法律法规的不断完善,面对企业数据风险的不断暴露和巨额罚单的层出不穷,企业数据合规的有效管理势在必行。企业必须在法律法规和监管政策的正确指引下,借助专业机构和专业人员的服务,构建完整完善的企业数据合规管理体系,完善企业的数据合规管理制度,设置合理的企业数据安全管理系统,不断提升企业和企业员工的数据安全风险识别能力、风险评估能力、风险化解能力,以此更好地适应交易市场的需求和发展。
附:近年来关于数据合规主要法律法规沿革表(部分)

