数据合规之数据合规管理体系建设

来源:天地人律师事务所

文章摘要
数据合规是企业数字化转型过程中的常规工作,一次性合规措施难以全面解决问题,建立健全的数据合规管理体系才是实现长期有效合规的必由之路。

数据合规是企业数字化转型过程中的常规工作,一次性合规措施难以全面解决问题,建立健全的数据合规管理体系才是实现长期有效合规的必由之路。数据合规管理体系的建设是一个系统工程,它贯穿企业数据生命周期的各个阶段,要求企业在法律与技术双重维度下从组织架构的构建到具体合规管理方案的执行,全面确立合规标准,并最终形成一个综合防护体。
鉴于数据合规领域涉及的法律法规、行业规范和技术标准具有多样性和复杂性,企业在着手构建数据合规管理体系时,往往面临诸多挑战与困惑,难以找到明确的起点。本文旨在系统性地梳理并总结数据合规管理体系建设的方案框架与实施路径,为企业提供实用参考。
01.明确数据合规目标
确立清晰的合规目标是引导合规管理体系建设资源投入的基石。鉴于当前多数企业仍处于数据合规的初步达标阶段,建议企业在设定合规目标时,应秉持务实态度,避免盲目追求过高标准,而应紧密结合企业自身的实际需求与现状,合理设定目标。
由于企业类型的多样性与发展阶段的差异性,数据合规工作的重心亦需灵活调整,以适应企业自身的特定需求。例如,对于计划进行股份制改造或考虑IPO的大型企业而言,其数据合规工作需全面覆盖,以满足整体合规的严格要求。若选择在香港或国外上市,还需额外审慎评估是否需进行网络安全审查。中小企业的数据合规需求则多源于关键技术风险,如数据采集与处理技术是否可能触发刑事或行政责任等,因此需针对性加强相关合规管理。国有企业则因其特殊性质,其数据合规议题常被纳入国有企业合规管理的整体框架中进行综合考量与规划。而对于涉及互联网业务的企业而言,重心则往往聚焦于个人信息保护等核心问题。
02.识别数据合规风险
深入理解现状并精准识别潜在风险是建立数据合规管理体系前的关键步骤。企业应全面清查数据资产,详尽梳理数据信息并科学分类,为数据安全风险评估和制定针对性的合规管理制度提供有力支撑。之后,企业应对自身商业模式、产品设计开发、内部运营管理、外部合作等多个阶段或场景面临的数据合规风险进行识别,进而采取相对应的合规整改措施,构建完善的数据合规管理体系。具体而言:
1.风险识别需严格遵循相关法律法规、标准指南及监管实践要求。在具体操作层面,可依托“三驾马车”——《网络安全法》《数据安全法》及《个人信息保护法》作为核心指导,并参照执法重点,对合规依据进行选择。针对特殊企业,既要梳理通用文本,也要识别特定领域的条款。例如智能汽车领域,就应特别重视交通系统的行业规范与技术标准。
2.企业应依据合规依据所规定的合规义务设计合规要素清单,并从法律、技术、管理三个维度出发,逐一将企业的现状与合规标准进行对比分析。为全面揭示可能存在的风险点,需开展详尽的合规现状调查,调查手段应涵盖常规的尽职调查以及深入技术前线的专门考察。在此过程中,尤为重要的是与技术总监、信息中心负责人等关键岗位人员进行深入访谈,以全面了解企业的技术架构、设备与技术现状、安全管理制度等。为弥补人工风险识别可能存在的局限与不足,企业可采用自动化检测工具,借助技术手段提升风险识别的精准度和覆盖面。
3. 企业应对识别出的重大合规风险进行标记,并依据风险等级程度及处理紧迫性进行划分,进而编制成书面合规风险评估报告。在全面审视内部问题的基础上,企业再结合实际情况,制定数据合规相关规则。
03.部署数据合规管理组织
数据合规工作的有效推进,需要从上而下地贯穿整个企业,为此构建数据合规管理组织体系至关重要。企业数据合规管理组织体系通常包含决策层、管理层与执行层三级架构,企业应清晰界定各层级角色定位,明确相关人员职责范围,以确保合规工作的顺利进行。各层级主要职责如下表所示:

层级

主要职责

决策层

数据合规负责人由企业主要负责人担任,对数据合规负领导责任,主要承担以下职责:

1.确立数据合规方针和合规目标,并确保企业战略方向与合规方针和目标保持一致;

2.引导培育企业数据合规自主性,促成数据合规企业文化,并将数据合规管理要求融入企业的业务过程;

3.为企业数据合规管理制度体系的建构和运行提供必要的资源保障和条件支持,建立有效的数据违规举报、惩处机制、绩效考核机制和跨部门合作机制,确保合规管理制度体系有效运转并持续改进;

4.保障数据合规管理部门具备独立履行职责的能力与权限,对数据合规管理层工作情况进行监督,并对企业重大数据合规事项进行审批。

管理层

企业应当设立专门的数据合规管理部门,或由合规管理、法务、审计、监督等相关部门承担该职能,并配备数据合规专员。企业应当向数据合规管理部门提供足够的授权、人力、财力来支持数据合规管理体系的运行。数据合规管理部门对数据合规决策层负责,并承担以下职责:

1.组织制定企业数据合规管理制度规范与合规计划,统筹实施数据合规管理工作,并对数据合规管理情况进行评估与检查;

2.推动将数据合规责任纳入企业岗位职责和员工绩效考核评价体系,组织或协助管理部门、业务部门等开展数据合规教育培训,并向管理层和各部门员工提供数据合规咨询,以培养数据合规文化;

3.推动跨部门合作机制,促进部门间的沟通与协作,确保企业在数据处理各环节均严格遵守相关法规和数据合规管理;

4.审核评估企业的经营管理和业务行为,确保企业的业务活动以及处理个人信息等活动符合数据法规的要求,并协调建立数据合规技术保障措施,牵头做好数据风险识别、风险评估、风险处置等工作;

5.建立数据合规举报与调查机制,对数据合规举报制定调查方案并开展调查。同时与数据监管部门建立沟通渠道,对于复杂或专业性强且存在重大数据风险的事项,可以向数据监管部门咨询;面对数据监管部门的调查也应积极沟通并予以配合。

6.向数据合规负责人与董事会报告数据合规重大风险和数据合规工作情况。

执行层

企业内部开展数据处理工作的各职能部门负责本部门业务范围内的数据合规工作,并承担以下职责:

1.结合企业数据合规管理制度和合规指引,明确本部门日常数据处理活动的全生命周期合规要求和具体工作机制;

2.确保本部门员工遵守企业合规制度规范,履行数据合规义务;

3.配合数据合规管理负责人和合规管理部门开展合规风险审查、评估、整改等各项合规工作;

4.密切监测日常数据处理工作中的数据安全合规风险,并采取适当的安全保护措施;

5.当发现数据处理活动存在较大合规风险或者发生数据安全事件时,及时向数据合规管理负责人和合规管理部门报告,并配合采取应急处置和整改措施。


需要谨慎考虑的是,在当前阶段企业构建整个管理架构的过程中,应当基于数据类型来审慎评估是否必须设立一个独立的组织部门及架构。因为,对于众多企业而言,构建数据合规组织架构往往需要涉及重大的组织性变革,并伴随着额外的内部协调与配合成本。另外,相关法律法规还对特殊企业的组织设置做出额外规定,如处理个人信息达到国家网信部门规定数量的企业应当指定专门的个人信息保护负责人统筹实施企业内部的个人信息合规工作;关键信息基础设施运营者由企业的主要负责人对关键信息基础设施安全保护负总责;大型互联网平台需要成立主要由外部成员组成的独立机构对个人信息保护情况进行监督。
04.制定数据合规管理制度
企业应制定并执行与业务流程相匹配的数据合规管理制度,确保制度与生产运营、业务发展同步规划、同步建设、同步运行。这些制度包括但不限于数据分类分级管理、数据全生命周期管理、数据安全保护技术、数据安全人员管理以及数据合规监控管理。其他常见的数据合规相关制度还包括数据合作方管理、数据资产管理、数据出境管理等。对于前述数据合规管理制度,企业内部也可以再进行细致地划分,搭建分级制度体系。考虑到文章篇幅,以下将对重点制度进行简要介绍。
1、数据分类分级管理制度
为进一步规范数据分类分级工作,全国网络安全标准化技术委员会于2024年3月15日正式发布了GB/T 43697-2024《数据安全技术数据分类分级规则》这一推荐性国家标准。该规则在分类管理方面提出了“先行业领域分类、再业务属性分类”的分类思路和参考框架,并在分类方法上给出了“明确数据范围”“细化业务分类”“业务属性分类”及“确定分类规则”四个具体步骤;在数据分级维度则在设定核心数据、重要数据、一般数据三个级别框架的基础上,进一步确立了“确定分级对象”“分级要素识别”“数据影响分析”及“综合确定级别”四个分级步骤,并按章节分别具体阐述了分步实现分级的参考方法。
企业可参考前述标准划分数据类别、级别,并对不同类别、级别数据采取对应的管理措施。尤其应对重要数据与核心数据实施更加严格的合规管理制度,明确重要数据和核心数据的管理职责、操作规范、审批要求、备案机制等事项,建立重要数据和核心数据的日常记录和容灾备份机制,强化重要数据和核心数据的安全保障。另外,我国金融、证券期货、基础电信、工业等少数重点行业以及政府政务数据领域也出台了相应的数据分级分类技术标准,企业可根据自身行业特点和企业实际情况灵活参照适用。
2、数据全生命周期管理制度
数据生命周期指数据从产生或获取到销毁的过程,包括采集、传输、存储、处理、使用、交换和销毁等环节。而全生命周期的管理制度,就需要在每一个数据处理环节上提供清晰的合规指引和操作方式。在合规体系建立初期,全生命周期管理制度的建立确实是一项较为艰巨的任务,需在数据分类分级的基础上,调动各层级和部门协调配合,还需要结合法律、技术和设备的支持,方能将制度体系有效建成并落地。细节复杂,难以一言蔽之。
企业在具体制定规则时还需考虑不同环节的合规侧重点。在数据收集、使用和共享环节,企业应重视法律规范层面的合规要求,特别注意保护个人信息主体权益,如收集、使用和共享个人信息时的告知同意机制以及个人信息权利响应机制等。在存储、传输及销毁环节,则需更多关注设备和技术应用的选择和配合实施,以确保管理制度的可行性。同时值得一提的是,在数据生命周期的流动场景中,在与第三方数据交互或数据跨境流动等场景所需遵循的合规标准相较于其他环节更为复杂且繁多,企业可结合自身需求考虑将这些部分单独制定管理制度,从而清晰地为执行部门提供合规指引。
3、数据安全保护技术体系
构建数据安全保护技术体系是推动数据安全治理的重要途径。企业应当根据数据分类分级情况,采取适当的匿名化、备份、加密、访问控制、入侵防范等数据安全保护措施,加强对数据处理系统、数据传输网络、数据存储环境、数据访问接口等物理和网络环境的安全防护,确保将数据安全技术保护覆盖到数据处理的全过程。其中,处理重要数据的系统应满足三级以上网络安全等级保护和关键信息基础设施安全保护要求,处理核心数据的系统依照有关规定从严保护。主要的数据数据安全保护技术工具与其功能如下:

技术工具

功能

身份认证及访问控制

实现在数据全生命周期各环节中涉及的所有业务系统和管理的身份认证和权限管理。

日志管理

收集并分析所有业务系统和管理的日志,并统一日志规范以支持后续的风险分析和审计等工作。

备份与恢复技术

防止数据破坏、丢失的有效手段,用于保证数据可用性和完整性。

数据加密

通过提供常见的加密模块及密钥管理能力,落地数据的加密需求。

敏感数据识别

通过对采集的数据进行识别和梳理,发现其中的敏感数据,以便进行安全管理。

数据脱敏

通过一定的规则对特定数据对象进行变形的一类技术,用于防止数据泄露和违规使用等。

数据水印技术

通过对数据进行处理使其承载特定信息,使得数据具备追溯数据版权所有者与分发对象等信息的能力。在数据处理过程中起到威慑及追责的作用。

数据泄密防护技术

通过终端防泄露技术、邮件防泄露技术、网络防泄露技术,防止敏感数据资产在违反安全策略规定的情况下流出。

API安全管理

提供内部接口和外部接口的安全管控和监控审计能力,保障数据传输接口安全。


4、数据安全人员管理体系
数据安全人员管理体系旨在搭建系统化的人力资源管理制度,以确保相关人员能够具备高度的数据合规意识与扎实的数据合规能力。这一体系的具体实施方式涵盖以下几方面:
1.员工入职与离职
企业应当将遵守数据合规要求和履行相关义务作为人员聘用条件。对于数据处理关键岗位的员工应当开展必要的背景调查,了解其犯罪记录、诚信状况等相关信息,并通过签署合规承诺书、保密协议等方式明确其应遵守的数据合规要求和履行的数据合规义务。对于企业管理层和其他员工,也应鼓励作出合规承诺。合规承诺的内容主要是知悉、愿意遵守数据合规计划,愿意承担违反数据合规承诺的后果。关键岗位员工离岗后,企业亦应要求员工按照数据合规管理要求执行离岗交接、审计、脱密等措施。
2.数据合规考核机制
企业可以建立数据合规考核机制,数据合规考核结果作为企业绩效考核的重要依据,与员工的评优评先、职务任免、职务晋升以及薪酬待遇等挂钩。对于严格遵守数据合规的管理层和员工,制定适当的激励措施使合规计划得到一致遵守和执行。对于不严格执行甚至违反合规计划的管理层和员工,采取适当的纪律措施进行惩戒,并根据违规程度采取不同的风险处置措施。
3.数据合规培训机制
企业应积极为员工开展数据合规培训,使员工认识、了解数据合规要求以及如何在业务流程中落实制度要求。培训的具体受众应从上至下尽量覆盖到尽可能多的员工。若出于信息安全或业务保密考虑,也可以针对相关特定人员实施小范围的培训或封闭培训。对培训过程也应该全程记录并留档,方便以后企业内部开展合规审计或自查,当发生数据安全或合规事件时可以用来回溯追责,在面临监管执法时也可以作为尽到合规义务的有力证明。
4.数据合规咨询机制
企业可以建立数据合规咨询机制,使管理层和各部门员工在工作中可以向数据合规管理部门咨询数据合规问题。数据合规管理部门也应当不断学习、提升合规管理水平,也可以同外部机构开展数据合规咨询合作。
5、数据合规监控管理制度
数据合规监控管理制度旨在对数据违法违规行为进行识别与处理,以保障数据合规的长效化。具体而言,企业可建立风险监测预警机制、安全事件应急处置措施、风险评估与审计制度、举报与调查机制、监管响应与整改机制等。
1.风险监测预警机制
企业应当及时监测日常数据处理活动中的异常情况和安全风险并进行预警。当发现数据安全缺陷、漏洞等风险时,应当立即采取预防、补救措施;造成或者可能造成严重后果的,应当及时告知可能受到影响的主体,并向有关主管部门报告。
2.安全事件应急处置制度
数据安全应急事件的处置制度是数据合规体系中的法定要求制度。结合“三驾马车”的风险处置合规要求及规范标准文件中给出的实践参考,企业在研制该风险处置制度时,一般遵循“预案——演练——补救——通知(有关部门及受影响主体)”的框架进行设定。
企业应当制定数据安全应急预案,按照危害程度、影响范围等因素对数据安全事件进行分级,并结合分级情况确定应急处置的方针策略、人员职责、具体措施、流程规范、物资保障等事项;企业应当每年至少组织1次应急响应培训和应急预案演练,使相关人员掌握熟悉应急处置策略和规程;当发生数据安全事件时,企业应当按照应急预案及时采取处置措施,防止危害扩大,消除安全隐患,记录事件内容,保留相关证据,并向有关主管部门报告;安全事件对个人、组织造成实质性危害的,企业还应及时以电话、短信、邮件等方式向所涉主体告知安全事件情况、危害后果、已采取的补救措施等信息。无法逐一告知的,可采取公告方式告知。
3.风险评估与审计制度
数据合规风险的评估和审计也一直是法律层面的硬性要求。企业必须同等重视,建立一套有效的“事前评估”和“事后审计”管理体系,并对评估和审计过程中发现的合规问题与安全隐患应及时采取整改措施。
关于风险评估。企业每年至少开展一次数据合规风险评估,对数据分类分级保护情况、数据安全技术保护措施有效性、关键基础设施安全水平、数据处理合规情况、法律法规变化和监管动态落实情况、数据安全预警和应急事件处置能力、数据安全问题整改和监管执法响应情况等内容进行评估,并形成数据合规风险评估报告。涉及处理重要数据的,还应对重要数据的处理情况作出评估,并向有关主管部门报送风险评估报告。对新上线业务、第三方数据合作业务以及重点存量业务,企业可以不定期开展合规风险评估。
关于合规审计。企业内部应当定期开展数据合规审计,或委托具有相关资质的外部机构进行,并形成、保存相应的数据合规审计报告。企业可以针对风险较高的数据处理行为进行不定期审计,确保及时发现问题隐患并予以改正。
4.举报与调查机制
企业应当建立内部数据合规举报机制,鼓励、支持内部人员对试图、涉嫌或实际存在的数据不合规行为进行举报,并采取必要措施保护内部举报人信息。同时应当建立外部数据合规举报机制,公布受理部门或人员联系方式、受理流程等信息,鼓励受到数据不合规行为影响的主体进行投诉,并采取必要措施保护外部举报人信息。
收到举报后,数据合规管理部门应当结合举报线索的真实性、有效性及时启动调查程序,确保调查过程的独立性、公正性,形成调查结果报告并采取相应处理和改进措施,持续完善数据合规管理制度体系。
5.监管响应与整改机制
企业应当建立监管执法配合机制,受到监管部门调查时应立即通知数据合规负责人、数据合规管理部门负责人和相关职能部门负责人等人员,启动必要的内部调查程序并明确监管调查对接人员,必要时应当暂停相应的数据处理活动。对监管部门的监管执法,企业必须予以协助、配合,不得拒绝、阻挠,不得提供虚假材料、信息或隐匿、销毁、转移证据。
经评估发现可能已经发生数据违法行为,或者数据监管部门已立案并启动调查程序的,企业应当立即停止违法行为并与执法机构合作。企业应当按照监管部门提出的监管建议及时采取整改措施,优化、更新数据合规管理制度,建立健全数据合规长效机制,有效消除安全隐患。
结语
数据合规管理体系不是一成不变的,而是根据内外部环境的变化在运行过程中不断优化改进。企业可以建立数据合规管理体系持续改进工作台账,对数据合规监管政策以及公司业务实际需求,保持关注并按需更新,确保数据合规管理体系的有效执行和不断提升。

技术驱动法律,专业成就未来