企业合规通常是指企业合规负责机构就合规管理体系的各构成要素制定的专门合规管理内容。传统中企业合规负责机构对职能部门及业务部门的合规管理,通常限于合规审查与合规评审。但随着监管的需求以及企业的发展,越来越多的企业将合规管理工作前移,合规负责人更主动和直接地参与职能部门及业务部门业务流程的制定和修改。换一个角度理解,法律风险控制是法律风险与商业考量而设定的内部管理机制。企业合规则更加侧重于对行政管理作出的反应。现代企业合规管理制度与流程正日益突破原来的界限。为了企业能够“长治”、“久安”,稳定地经营,合规正向职能部门管理规章与业务部门业务流程渗透与延伸,使得企业合规管理与业务流程日益有机衔接、协调融合。
常见的合规大致包括以下几个内容:
企业组织合规
企业组织通常包含两个部分,企业管理部分以及企业雇员部分。企业管理部分通常在《公司法》框架下行使管理职能,企业雇员部分在《劳动合同法》下进行有序的生产经营活动。
企业运营合规
企业经营合规中包括了,企业日常业务运营是否符合法律法规要求。合同管理中是否做好业务合同风险提示以及合同使用、保管流程。
数据安全合规
在《个人信息安全规范》(GB/T 35273-2017)指导下合规的获取、使用、转让数据。我国通过《中华人民共和国网络安全法》《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》我国已形成了一套体系化的,从民事、行政及刑事全方位覆盖的个人信息保护制度。
小师妹今天想跟大家交流的是互联网企业中常见的数据合规问题。最近互联网行业讨论最多的两件事都与合规有关。第一个是墨迹ipo被否,证监会明确指出了墨迹在运营中存在的数据合规问题。第二个是爬虫技术的刑事风险。对于一般互联网企业这两个可以说都是灾难。IPO被否意味着投资者失去了一次从公开市场推出的机会,重新整改后需要重新再找机会。刑事风险意味着不仅商业模式被否定,创始团队都有可能面临牢狱之灾。
具体的数据合规包括以下几个部分:
a、数据获取合规
在数据获取的过程中企业应该紧扣《网络安全法》的底线,对用户有明确具体的提示,并明确告知收集信息的范围及使用用途。数据采集可以说是数据合规的源头,如果利用了爬虫技术采集信息无法区分是否是用户自主暴露在互联网上的内容,其明知自然更无从谈起。有部分数据污染了数据仓库,合规性就会大打折扣。
b、数据利用合规
数据量也是企业的无形资产,但如何利用这部分资产却大有讲究。小师妹认为,数据虽然在企业中但仍然是用户的一种权利,只是附条件的让渡给企业,这种让渡甚至可能是临时性的。企业利用该种权利自然不能跟物权一般随心所欲。同样在《网络安全法》中规定了,个人信息的使用应遵循合法性、最小必要、授权同意的原则。而对于数据的传输、共享等行为,除非进行去身份化处理,否则未经被收集者同意,不得向他人提供个人信息。所以企业也千万不能有凭本事取得的信息就随便用的想法。
c、数据流转合规
数据流转也是核心问题。企业在获得数据没有能力自己变现,就会考虑将其商业上的价值交给能够变现的公司,这个就涉及到了数据的流转。小师妹也要提醒随意出售个人数据,可能会构成刑法上的侵犯公民个人信息罪。
互联网+是个好东西,“+”的本质是对数据流动效率的提高。企业应该重视对数据的利用和管理,在现行法律法规下守住底线,扎实的数据基础才是互联网企业的核心价值。
不能忽视的企业数据合规问题
作者:互联网法律业务部来源:浙江高庭律师事务所

企业合规通常是指企业合规负责机构就合规管理体系的各构成要素制定的专门合规管理内容。传统中企业合规负责机构对职能部门及业务部门的合规管理,通常限于合规审查与合规评审。