编者按
第三方数据合规管控是数据合规领域的重点问题之一,近两年法规政策层面愈发注重审查企业和第三方合作的合规性,更加强调企业对第三方的管理和监督责任,也有越来越多的企业因第三方违法行为而受到处罚。
本文通过分享第三方数据合规管控的主体范围与具体管控内容,如何实现对第三方数据合规管控,以及企业与第三方建立合作关系之后,如何对合规风险进行持续监控等内容,以期给予相关企业一定的合规建议。
温馨提示:
文末附《重点合规审计依据汇编》,限额前100位,如有需要,可滑至文末自行获取。
一、第三方数据合规管控之主体范围
1. 关联方
PIPL下没有关联方“捷径”与“小路”。在中国法项下,关联方并不会因为相关主体受同一实际控制人控制而在整个数据合规管控或者数据内部流通过程中享有豁免的权利。根据中国法律规定,只要涉及数据在不同主体之间进行流通,就必须开展数据交互的定性,对于将会引发的数据合规评估、个人信息保护影响评估等事项,关联方并不享有豁免权。
司法个案中,部分法官可能认为关联方管控应当更加审慎。实践中,在部分司法案件审判时,法官对于关联方之间从事的数据交互合作附加更高的审慎义务,原因在于关联方更容易相互豁免对方的义务,加之目前我国《个人信息保护法》相关司法解释尚未出台,各项标准尚处于摸索阶段,因此赋予关联方更多的审慎注意义务,以防发生数据合规风险。
2. SDK
实际操作中SDK往往会以独立的个人信息处理者的身份出现,尤其是在APP端,其往往需要单独展示其隐私政策,本质为一种直接采集信息的形式,实践中也会存在SDK以受托方形式存在的情形。
对SDK的管控,经历了四个阶段的演变过程,即《APP违法违规收集使用个人信息行为认定方法》→《网络安全标准实践指南——移动互联网应用程序(APP)收集使用个人信息自评估指南》→《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》→《网络数据安全管理条例(征求意见稿)》。

3. 供应商(“产品”提供方)
供应商的委托处理始终具有两面,一面为委托方,另一方为受托方。很多情形下供应商会以双重身份出现,以人脸识别为例,供应商除销售人脸识别设备之外,其仍需向客户提供相关数据服务,后者将会是供应商主要收入来源,此种情况下的人脸识别设备供应商便是兼顾委托方与受托方双重身份。
《个人信息保护法》规定了最常见的三种数据交互模式:共同处理、委托处理与对外提供个人信息。其中基于委托处理具有两面的特征,《个人信息保护法》对于委托方于数据处理活动之事前、事后以及与受托方进行约定等方面的义务进行了明确的规定,同时明确规定了受托方有关遵守约定、转委托、个人信息安全、协助个人信息处理者履行义务、个人信息的返还或删除等方面的义务。
目前,我国对于委托处理场景的规定仅限于个人信息处理活动中,而根据此前发布的《网络数据安全管理条例(征求意见稿)》第12条规定,未来重要数据的委托处理也有可能纳入规制。

4. 对外提供方
对外提供场景下对应第三方数据合规话题,至少包括“接收”方与“提供”方两方面主体,即个人信息处理者向其他个人信息处理者提供数据的行为。
《个人信息保护法》针对对外提供规定了更加细化的告知义务,包括告知时间、告知内容以及告知方式等,同时要求个人信息处理者必须征得用户个人单独同意,并规定在接收方变更原先的处理目的、处理方式的,应当重新取得用户个人同意。此外,对外提供场景下还会引发PIA评估。
《网络数据安全管理条例(征求意见稿)》第12条同样规定了若数据处理者向其他数据处理者共享提供重要数据时,将引发一系列新的义务,包括留存个人同意记录等,此类义务存在向《个人信息保护法》靠拢的趋势,需要企业特别注意。

5. 共同处理者
在实际操作中,共同处理场景出现频率较少,原因在于《个人信息保护法》规定经认定的共同处理者需要承担连带责任,该种责任对于企业而言较重,因此甚少有企业选择采取共同处理的方式。但共同处理存在豁免同意的优势,仍有极少数企业会采用该种模式。此外,企业需要注意参与立法学者的扩张解释,部分学者参与立法过程中认为共同处理存在扩张的趋势。
《个人信息保护法》第20条规定了共同处理者的内容,其中规定个人信息处理者共同处理个人信息,侵害个人信息权益造成损害的,应当依法承担连带责任。
另外,基于《网络消费纠纷案件司法解释(一)》的规定,也可窥探目前立法趋势。根据该司法解释,在电商场景下,电子商务平台经营者或者平台内经营者共同处理消费者个人信息,给消费者造成损害,消费者主张二者承担连带责任,人民法院应予支持。
以上五种分类之外,在判断第三方主体类型时,需要额外考虑以下两方面因素:
第一,数据出境本身构成数据流转,一旦存在境外因素,将会引发跨境难题;
第二,需要考虑是否再对外流转,数据在二次流转过程中数据泄露风险将会大大增加,因此会引发新的义务以及关注,如某些情形下不允许二次流转,或处理者需要承担签署数据保护协议进行管控等义务。
二、第三方数据合规管控之管控内容
(一)数据处理活动
截至目前,《数据安全法》、《个人信息保护法》、《网络数据条例(征求意见稿)》对于数据处理活动进行了较为明确的规定。
《数据安全法》第3条第2款规定,数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等。
《个人信息保护法》第4条第2款规定,个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。
《网络数据条例(征求意见稿)》基本沿用《个人信息保护法》的思路,在第73条第2款中规定,数据处理活动是指数据收集、存储、使用、加工、传输、提供、公开、删除等活动。
由此可以看出,自收集到删除,完整的数据处理活动具备独立的生命周期。
(二)数据交互活动
1. 数据交互的五种场景
实践中数据交互主要包括以下五种场景:共享(对外提供)、委托处理、共同处理、转移以及交易等。
对于委托处理、共同处理以及对外提供,前文对于各方身份以及对应的合规义务已经做了较为详细的说明。《网络数据安全管理条例(征求意见稿)》规定,对于重要数据的共享、交易以及委托处理,数据处理者需对第三方进行管控。此外,在《个人信息保护法》领域还会涉及到转移以及公开披露两种场景,数据转移出现频率较少,只存在于《公司法》项下的公司合并分立、企业宣告破产等场景。
至于交易场景的数据管控,就目前而言,该场景下涉及数据处理者对第三方进行管控的情况较为有限,原因在于,一方面数据交易集中于场内,几乎不会存在场外交易场景,而场内交易基本不会涉及到个人信息;另一方面数据交易绝大多数情况是在数据交易所完成,由交易所对于双方资质进行把控,对于第三方管控的需求较少。
2. 数据交互模式的构建
数据管控并非管控数据交互行为本身,而是管控交互双方的数据交互关系,双方交互模式一旦锁定,各自身份即刻确定,进而引发以下三类需要解决的问题:
首先,我是谁/什么?我要做什么?数据处理者需要明确自己是受托方还是委托方等身份,进而确定自身相关数据合规义务。
其次,对方是谁/什么?对方要做什么?确定自身身份后,也能确定对方是谁,进而确定对方的权利及义务,为后续相关保护协议或条款的签订打好基础。
最后,基于目前的实践情况,数据交互模式不是非黑即白,一目了然的,而是可选的,数据处理者可以实现关系的自我构建。具体而言,针对法条未明之处,交互双方可以根据场景进行倒推,最终选择适合自己的交互模式;也可选择自我保护或强化对方义务的方式。
3. 数据交互的合作方注意事项
企业在考察交互的合作方时需要注意:(具体情况需要根据企业具体交互情况进行针对性选择,做到繁简由人)
第一,数据源,不同数据来源带来不同的数据合规义务,需要针对对方不同数据来源,承担不同的审慎注意审查义务;
第二,告知同意情况,此部分涉及到数据合规合法性基础,如是否需要单独同意、同意撤回机制等等,《网络数据安全管理条例(征求意见稿)》以及《个人信息保护法》明确规定了不被同意的情形(下图1所示);

(图 1 不被支持同意情况)
第三,个人信息保护影响评估,关注对方是否启动个人信息影响评估机制;
第四,数据安全事件,关注对方是否配备相应安全监测与应急处理机制,并对其数据安全保护能力进行审查(下图2所示);

(图 2 安全监测与应急处置)
第五,数据出境,关注对方数据出境行为是否合规,同时是否采取响应合规措施;
第六,个人信息主体权利响应,需要审查其是否配置有关查阅、复制、更正、删除等响应机制。(下图3所示);

(图3 个人信息主体的权利与实现)
三、第三方数据合规管控之如何实现
(一)准入
1. 准入四步走
委托处理场景中,谈及准入情形的企业多为甲方身份,因此本话题下企业首先需要明确自身身份地位。
在数据合规准入方面,有“四步走”战略:
首先,材料审核,要求供应商提供其数据合规的相关证明材料,包括但不限于数据安全相关的资质认证、备案、数据合规内部管理制度等;
其次,处罚通报检索,通过国家企业信用信息公示系统、信用中国等公开渠道检索供应商是否存在数据合规相关的行政处罚或监管通报;
再次,涉诉检索,通过裁判文书网,企查查/启信宝/天眼查等公开渠道检索供应商是否存在个人信息保护纠纷相关的诉讼案件且被人民法院判决承担侵权责任等法律责任;
最后,舆情检索,通过搜索引擎等公开渠道检索供应商是否存在数据合规相关的舆情,例如出现过数据泄露等安全事件。
通过以上步骤判断供应商在数据合规领域是否优秀,若某一步或者多步未通过,视情节采取要求供应商提供说明、限期改正或者终止准入等措施;此外要确保准入“留痕”,保留相关检索底稿,以便后续争议的顺利解决。
2. 交互需求书
交互需求书为材料审核阶段的重要工具,通过向交互方提供交互需求书,经其填写盖章后结合相关材料进行审查。
交互需求书关注数据基本情况以及技术和组织安全两个大方面的内容,数据基本情况更侧重于法律合规角度,包括交互方拟接收及提供数据、数据传输情况等内容,而技术和组织安全则侧重于技术角度,包括人员安全、物理安全措施等内容。

(二)协议保护
首先,企业需要意识到,协议保护存在局限性,只能解决部分场景数据合规问题;
其次,实践中协议可能无法签署,如电商场景中,品牌入驻方与电商平台之间发生数据交互,在确定交互模式后,入驻方在找平台签署相关委托处理协议或者共同处理协议时会吃“闭门羹”。
(三)跟踪监管
数据合规跟踪监管有“三步走”方法:
第一,处罚通报检索,通过国家企业信用信息公示系统、信用中国等公开渠道检索供应商是否存在数据合规相关的行政处罚或监管通报;
第二,涉诉检索,通过裁判文书网,企查查/启信宝/天眼查等公开渠道检索供应商是否存在个人信息保护纠纷相关的诉讼案件且被人民法院判决承担侵权责任等法律责任;
第三,舆情检索,通过搜索引擎等公开渠道检索供应商是否存在数据合规相关的舆情,例如出现过数据泄露等安全事件。
如发现出现处罚通报、涉诉、舆情,视情节采取要求供应商提供说明、限期改正或者终止合作等措施,此外要确保跟踪监督要“留痕”。
(四)应急处置
应急处置机制是数据保护条款较为重要的内容,属于强管控的内容。一旦发生数据泄露,需要企业明晰风险种类,确定该种风险属于涉刑情形、违规情形(各自违规或单方违规)还是违约情形。根据不同风险程度采取不同的风险应对措施。
(五)配套制度
上述措施的实现需要制度的配合,否则将会变成空谈。因此,企业在进行制度建设时需要考虑第三方数据管控内容,即实现制度文本化。管控分为合同管控、文本管控和技术管控。落脚到文本这一侧,还是有局限性,但是它仍然重要,需要企业签署保护协议,做需求书以及相应的约束文件。
只有将相关管控措施制度化,确保前述各环节留痕,再与企业内部管控制度流程相匹配,才能筑牢企业数据合规的防火墙。
四、小结
第三方数据合规管控在数据合规整体建设中重要性凸显,其与供应商管控、合作机构准入与监督等强关联,又需在传统的管控要点之外,特别关注因数据、个人信息交互所引发的权利义务分割与外部合规风险传导防控。哪些主体落入管控范围,哪些行为属于管控重点,哪些工作用于管控落实,本文尝试对这三大问题进行了解构与探讨,在方法论之外的实操落地过程中,如何把握与衡平商业合作推进便利与外部风险传导防御之间的“度”,如何针对不同类型、不同场景的合作方“因材施教”,需要在业务实践中再作斟酌。最后,打油口诀聊作总结:
厘清身份 辨明性质 权义切割
准入关键 监督不怠 制度支撑
如遇突发 当甩则甩 预案紧随
第三方数据合规管控是数据合规领域的重点问题之一,近两年法规政策层面愈发注重审查企业和第三方合作的合规性,更加强调企业对第三方的管理和监督责任,也有越来越多的企业因第三方违法行为而受到处罚。
本文通过分享第三方数据合规管控的主体范围与具体管控内容,如何实现对第三方数据合规管控,以及企业与第三方建立合作关系之后,如何对合规风险进行持续监控等内容,以期给予相关企业一定的合规建议。
温馨提示:
文末附《重点合规审计依据汇编》,限额前100位,如有需要,可滑至文末自行获取。
目录索 引 | 01 第三方数据合规管控之主体范围 |
02第三方数据合规管控之管控内容 | |
03 第三方数据合规管控之如何实现 | |
04 总结 |
一、第三方数据合规管控之主体范围
1. 关联方
PIPL下没有关联方“捷径”与“小路”。在中国法项下,关联方并不会因为相关主体受同一实际控制人控制而在整个数据合规管控或者数据内部流通过程中享有豁免的权利。根据中国法律规定,只要涉及数据在不同主体之间进行流通,就必须开展数据交互的定性,对于将会引发的数据合规评估、个人信息保护影响评估等事项,关联方并不享有豁免权。
司法个案中,部分法官可能认为关联方管控应当更加审慎。实践中,在部分司法案件审判时,法官对于关联方之间从事的数据交互合作附加更高的审慎义务,原因在于关联方更容易相互豁免对方的义务,加之目前我国《个人信息保护法》相关司法解释尚未出台,各项标准尚处于摸索阶段,因此赋予关联方更多的审慎注意义务,以防发生数据合规风险。
2. SDK
实际操作中SDK往往会以独立的个人信息处理者的身份出现,尤其是在APP端,其往往需要单独展示其隐私政策,本质为一种直接采集信息的形式,实践中也会存在SDK以受托方形式存在的情形。
对SDK的管控,经历了四个阶段的演变过程,即《APP违法违规收集使用个人信息行为认定方法》→《网络安全标准实践指南——移动互联网应用程序(APP)收集使用个人信息自评估指南》→《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》→《网络数据安全管理条例(征求意见稿)》。

3. 供应商(“产品”提供方)
供应商的委托处理始终具有两面,一面为委托方,另一方为受托方。很多情形下供应商会以双重身份出现,以人脸识别为例,供应商除销售人脸识别设备之外,其仍需向客户提供相关数据服务,后者将会是供应商主要收入来源,此种情况下的人脸识别设备供应商便是兼顾委托方与受托方双重身份。
《个人信息保护法》规定了最常见的三种数据交互模式:共同处理、委托处理与对外提供个人信息。其中基于委托处理具有两面的特征,《个人信息保护法》对于委托方于数据处理活动之事前、事后以及与受托方进行约定等方面的义务进行了明确的规定,同时明确规定了受托方有关遵守约定、转委托、个人信息安全、协助个人信息处理者履行义务、个人信息的返还或删除等方面的义务。
目前,我国对于委托处理场景的规定仅限于个人信息处理活动中,而根据此前发布的《网络数据安全管理条例(征求意见稿)》第12条规定,未来重要数据的委托处理也有可能纳入规制。

4. 对外提供方
对外提供场景下对应第三方数据合规话题,至少包括“接收”方与“提供”方两方面主体,即个人信息处理者向其他个人信息处理者提供数据的行为。
《个人信息保护法》针对对外提供规定了更加细化的告知义务,包括告知时间、告知内容以及告知方式等,同时要求个人信息处理者必须征得用户个人单独同意,并规定在接收方变更原先的处理目的、处理方式的,应当重新取得用户个人同意。此外,对外提供场景下还会引发PIA评估。
《网络数据安全管理条例(征求意见稿)》第12条同样规定了若数据处理者向其他数据处理者共享提供重要数据时,将引发一系列新的义务,包括留存个人同意记录等,此类义务存在向《个人信息保护法》靠拢的趋势,需要企业特别注意。

5. 共同处理者
在实际操作中,共同处理场景出现频率较少,原因在于《个人信息保护法》规定经认定的共同处理者需要承担连带责任,该种责任对于企业而言较重,因此甚少有企业选择采取共同处理的方式。但共同处理存在豁免同意的优势,仍有极少数企业会采用该种模式。此外,企业需要注意参与立法学者的扩张解释,部分学者参与立法过程中认为共同处理存在扩张的趋势。
《个人信息保护法》第20条规定了共同处理者的内容,其中规定个人信息处理者共同处理个人信息,侵害个人信息权益造成损害的,应当依法承担连带责任。
另外,基于《网络消费纠纷案件司法解释(一)》的规定,也可窥探目前立法趋势。根据该司法解释,在电商场景下,电子商务平台经营者或者平台内经营者共同处理消费者个人信息,给消费者造成损害,消费者主张二者承担连带责任,人民法院应予支持。
以上五种分类之外,在判断第三方主体类型时,需要额外考虑以下两方面因素:
第一,数据出境本身构成数据流转,一旦存在境外因素,将会引发跨境难题;
第二,需要考虑是否再对外流转,数据在二次流转过程中数据泄露风险将会大大增加,因此会引发新的义务以及关注,如某些情形下不允许二次流转,或处理者需要承担签署数据保护协议进行管控等义务。
二、第三方数据合规管控之管控内容
(一)数据处理活动
截至目前,《数据安全法》、《个人信息保护法》、《网络数据条例(征求意见稿)》对于数据处理活动进行了较为明确的规定。
《数据安全法》第3条第2款规定,数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等。
《个人信息保护法》第4条第2款规定,个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。
《网络数据条例(征求意见稿)》基本沿用《个人信息保护法》的思路,在第73条第2款中规定,数据处理活动是指数据收集、存储、使用、加工、传输、提供、公开、删除等活动。
由此可以看出,自收集到删除,完整的数据处理活动具备独立的生命周期。
(二)数据交互活动
1. 数据交互的五种场景
实践中数据交互主要包括以下五种场景:共享(对外提供)、委托处理、共同处理、转移以及交易等。
对于委托处理、共同处理以及对外提供,前文对于各方身份以及对应的合规义务已经做了较为详细的说明。《网络数据安全管理条例(征求意见稿)》规定,对于重要数据的共享、交易以及委托处理,数据处理者需对第三方进行管控。此外,在《个人信息保护法》领域还会涉及到转移以及公开披露两种场景,数据转移出现频率较少,只存在于《公司法》项下的公司合并分立、企业宣告破产等场景。
至于交易场景的数据管控,就目前而言,该场景下涉及数据处理者对第三方进行管控的情况较为有限,原因在于,一方面数据交易集中于场内,几乎不会存在场外交易场景,而场内交易基本不会涉及到个人信息;另一方面数据交易绝大多数情况是在数据交易所完成,由交易所对于双方资质进行把控,对于第三方管控的需求较少。
2. 数据交互模式的构建
数据管控并非管控数据交互行为本身,而是管控交互双方的数据交互关系,双方交互模式一旦锁定,各自身份即刻确定,进而引发以下三类需要解决的问题:
首先,我是谁/什么?我要做什么?数据处理者需要明确自己是受托方还是委托方等身份,进而确定自身相关数据合规义务。
其次,对方是谁/什么?对方要做什么?确定自身身份后,也能确定对方是谁,进而确定对方的权利及义务,为后续相关保护协议或条款的签订打好基础。
最后,基于目前的实践情况,数据交互模式不是非黑即白,一目了然的,而是可选的,数据处理者可以实现关系的自我构建。具体而言,针对法条未明之处,交互双方可以根据场景进行倒推,最终选择适合自己的交互模式;也可选择自我保护或强化对方义务的方式。
3. 数据交互的合作方注意事项
企业在考察交互的合作方时需要注意:(具体情况需要根据企业具体交互情况进行针对性选择,做到繁简由人)
第一,数据源,不同数据来源带来不同的数据合规义务,需要针对对方不同数据来源,承担不同的审慎注意审查义务;
第二,告知同意情况,此部分涉及到数据合规合法性基础,如是否需要单独同意、同意撤回机制等等,《网络数据安全管理条例(征求意见稿)》以及《个人信息保护法》明确规定了不被同意的情形(下图1所示);

(图 1 不被支持同意情况)
第三,个人信息保护影响评估,关注对方是否启动个人信息影响评估机制;
第四,数据安全事件,关注对方是否配备相应安全监测与应急处理机制,并对其数据安全保护能力进行审查(下图2所示);

(图 2 安全监测与应急处置)
第五,数据出境,关注对方数据出境行为是否合规,同时是否采取响应合规措施;
第六,个人信息主体权利响应,需要审查其是否配置有关查阅、复制、更正、删除等响应机制。(下图3所示);

(图3 个人信息主体的权利与实现)
三、第三方数据合规管控之如何实现
(一)准入
1. 准入四步走
委托处理场景中,谈及准入情形的企业多为甲方身份,因此本话题下企业首先需要明确自身身份地位。
在数据合规准入方面,有“四步走”战略:
首先,材料审核,要求供应商提供其数据合规的相关证明材料,包括但不限于数据安全相关的资质认证、备案、数据合规内部管理制度等;
其次,处罚通报检索,通过国家企业信用信息公示系统、信用中国等公开渠道检索供应商是否存在数据合规相关的行政处罚或监管通报;
再次,涉诉检索,通过裁判文书网,企查查/启信宝/天眼查等公开渠道检索供应商是否存在个人信息保护纠纷相关的诉讼案件且被人民法院判决承担侵权责任等法律责任;
最后,舆情检索,通过搜索引擎等公开渠道检索供应商是否存在数据合规相关的舆情,例如出现过数据泄露等安全事件。
通过以上步骤判断供应商在数据合规领域是否优秀,若某一步或者多步未通过,视情节采取要求供应商提供说明、限期改正或者终止准入等措施;此外要确保准入“留痕”,保留相关检索底稿,以便后续争议的顺利解决。
2. 交互需求书
交互需求书为材料审核阶段的重要工具,通过向交互方提供交互需求书,经其填写盖章后结合相关材料进行审查。
交互需求书关注数据基本情况以及技术和组织安全两个大方面的内容,数据基本情况更侧重于法律合规角度,包括交互方拟接收及提供数据、数据传输情况等内容,而技术和组织安全则侧重于技术角度,包括人员安全、物理安全措施等内容。

(二)协议保护
首先,企业需要意识到,协议保护存在局限性,只能解决部分场景数据合规问题;
其次,实践中协议可能无法签署,如电商场景中,品牌入驻方与电商平台之间发生数据交互,在确定交互模式后,入驻方在找平台签署相关委托处理协议或者共同处理协议时会吃“闭门羹”。
(三)跟踪监管
数据合规跟踪监管有“三步走”方法:
第一,处罚通报检索,通过国家企业信用信息公示系统、信用中国等公开渠道检索供应商是否存在数据合规相关的行政处罚或监管通报;
第二,涉诉检索,通过裁判文书网,企查查/启信宝/天眼查等公开渠道检索供应商是否存在个人信息保护纠纷相关的诉讼案件且被人民法院判决承担侵权责任等法律责任;
第三,舆情检索,通过搜索引擎等公开渠道检索供应商是否存在数据合规相关的舆情,例如出现过数据泄露等安全事件。
如发现出现处罚通报、涉诉、舆情,视情节采取要求供应商提供说明、限期改正或者终止合作等措施,此外要确保跟踪监督要“留痕”。
(四)应急处置
应急处置机制是数据保护条款较为重要的内容,属于强管控的内容。一旦发生数据泄露,需要企业明晰风险种类,确定该种风险属于涉刑情形、违规情形(各自违规或单方违规)还是违约情形。根据不同风险程度采取不同的风险应对措施。
(五)配套制度
上述措施的实现需要制度的配合,否则将会变成空谈。因此,企业在进行制度建设时需要考虑第三方数据管控内容,即实现制度文本化。管控分为合同管控、文本管控和技术管控。落脚到文本这一侧,还是有局限性,但是它仍然重要,需要企业签署保护协议,做需求书以及相应的约束文件。
只有将相关管控措施制度化,确保前述各环节留痕,再与企业内部管控制度流程相匹配,才能筑牢企业数据合规的防火墙。
四、小结
第三方数据合规管控在数据合规整体建设中重要性凸显,其与供应商管控、合作机构准入与监督等强关联,又需在传统的管控要点之外,特别关注因数据、个人信息交互所引发的权利义务分割与外部合规风险传导防控。哪些主体落入管控范围,哪些行为属于管控重点,哪些工作用于管控落实,本文尝试对这三大问题进行了解构与探讨,在方法论之外的实操落地过程中,如何把握与衡平商业合作推进便利与外部风险传导防御之间的“度”,如何针对不同类型、不同场景的合作方“因材施教”,需要在业务实践中再作斟酌。最后,打油口诀聊作总结:
厘清身份 辨明性质 权义切割
准入关键 监督不怠 制度支撑
如遇突发 当甩则甩 预案紧随
