企业数据合规最早可以追溯到美国上世纪三十年代大萧条阶段,为了确保金融体系的稳定,加强合规管理。二战后,随着全球经济复苏,互联网企业发展迅速,众多发达国家如美国、欧盟国家、亚洲的日本和新加坡等国家纷纷出台了诸多数据合规相关的法律,也因此形成了区域性的数据堡垒。我国的数据行业尤其是互联网企业兴起于上世纪九十年代,随着经济全球化和中国崛起,我国数据跨境交易和境内交易需求日益增长,随之而来的数据风险也逐渐增加,需要强有力的防范,我国近年来出台了一系列的数据安全保护的法律、法规和政策以及针对性的行政处罚、司法裁判亦是对于防范数据风险作出的应对。
早在1970年德国联邦黑森州就通过数据保护法来保护数据隐私,瑞典在1973年通过了数据保护法,美国政府也在1973年制定了的公平信息惯例(FIPS),截至2022年共有近200个国家和国际组织发布了数据合规相关的立法,例如经合组织《1980年9月隐私保护准则》列出了8项数据处理原则[1],英国《1998年数据保护法案》、阿尔巴尼亚《2008年数据保护法》、加纳《2012年数据保护法》、美国《2012年消费者隐私权利法案》、《美国加州消费者隐私法案》(CCPA)。在众多国际关于数据合规的规定中,为了更好地保障个人权利,欧盟2016年4月通过、2018年5月25日正式实施了号称史上最严格的数据隐私保护法案——《通用数据保护条例》(GDPR),通过各种机制对不仅欧盟也对各个国家产生了广泛的影响。第一,定义了与个人数据相关的3种不同实体:1)数据主体,即个人数据所有者;2)数据控制者,即收集和使用个人数据的个人或组织;3)数据处理者,即为控制者处理个人数据的个人或组织。同时,任命具有数据保护法和实践专业知识数据保护官(DPO),以协助数据控制者和处理者监控其法规的遵守情况。第二,规定了7项处理个人数据相关原则:1)合法性、公平性和透明度;2)目的限制;3)数据最小化;4)准确性;5)存储限制;6)完整性和保密性;7)问责制。第三,详细阐明了数据主体的基本权利:1)知情权;2)访问权;3)更正权;4)删除权;5)限制处理权;6)可携带权;7)反对权;8)不受制于自动化决策。第四,违规行为的补救措施、责任和处罚:要求数据控制者必须在违规行为发生后72小时内通知监管机构,依据违规的严重程度、违规的持续时间、受违规影响的数据主体数量以及违规造成的损害程度来处罚违规行为责任方。(二)国内关于数据合规的相关规定
一
数据合规的概念以及相关规定简述数据合规是企业根据法规政策的规定,为防控数据合规风险建立治理体系并执行的过程。很多国家和地区对数据合规都有相关的法律规定和实操的经验,我国近年来陆续出台的《中华人民共和国网络安全法》、《中华人民共和国电子商务法》、《中华人民共和国数据安全法》和《中华人民共和国个人信息保护法》等法律亦表明国家对数据安全保护越来越重视。(一)国际上对于数据合规的相关规定二
企业开展数据合规的主要方法概述企业可以通过内外部两个层面开展一系列的数据合规举措防范数据合规风险,保护数据隐私安全。(一)内部:建立企业数据合规管理体系1. 搭建企业数据合规管理的内部组织企业数据合规内部组织一般包括数据合规管理委员会、首席数据合规官、数据保护合规部、每个业务单元中的数据保护合规专员等四级架构。实务中有些企业设置由总裁直接领导的合规管理委员会,作为负责合规管理体系运作的最高指导机构,听取数据合规的工作汇报并进行指导;各业务单位、数据合规部门各司其职,协调配合。此外,大多企业会设置由数据保护合规官领导的数据保护合规部进行数据保护工作,负责数据合规规则的规划、制定、执行与监督,对具体业务流程的合规风险进行评估和审查;业务单元的数据保护合规专员关注和执行合规政策,并实践合规政策的合理性。2. 制定数据合规政策企业不仅要制定面向客户、第三方的外向型数据合规规则,还需制定针对企业高管、员工、分支机构的内部守则,这两种都属于企业的数据合规政策。制定外部数据合规规则和员工内部守则需穷尽数据保护法律的禁止性和义务性条款,并与数据合规风险和特定业务场景相结合,实现“风险导向”和“场景细化”。3. 数据信息的归类与所适应的规则建库企业应研习自身数据所涉及的不同法域的数据规则,审查各法域数据业务交易的往来文件。如在数据采集阶段,企业需要区分来源于不同地区的数据,以明确目标法域的合规性审查规定及相关要求;在数据存储阶段,企业需要充分了解自身所存储的数据类型,适应主体进出简便化要求,同时允许个人在授权同意后做出变更;在数据分析及数据服务阶段,企业应适配信息处理“去标识化”及数据传输规范化要求。企业需要对敏感数据进行加密和匿名化处理,删除数据可识别的特定标识等。总之,企业应及时应关注所涉法域的相关规定,避免数据传输的法律冲突,降低合规风险与成本。4. 企业数据合规风险评估及管理企业应对数据处理活动存在的风险点进行定期及不定期评估,并保存评估报告和处理情况的记录,以便识别处理各类数据合规信息、执行企业数据合规政策过程中的风险点。企业应对发现的各类风险进行分析评估,并制定相应的应对措施,如党识别的数据合规风险可承受,则需要建立分级管理机制,通常是针对轻微风险等级的风险只需进行日常合规培训,针对高风险等级的风险则需要责令限期整改、提交整改方案和报告。必要时,根据制度规定处理违规责任人,修复合规体系和技术漏洞,制定停止服务和消除影响补救方案等应急预案,在违规事件发生后立即实施预案,启动调查、处置和补救措施,并向主管部门报告,积极配合事件调查。5. 数据合规尽职调查数据合规尽职调查的对象主要是客户、第三方商业伙伴和被并购方,让被调查的主题接受合规管理。首先,企业可运用通常尽职调查的方式如公开信息检索、调查问卷、背景调查、文件审阅、管理层访谈、现场调查等开展工作。其次,根据尽职调查的结果要求被调查的主体作出相应的整改。最后,若被调查主体不配合合规调查或不作出相应的合规整改,可以根据企业数据合规政策以及合同约定责令退出、解除合同。因此,企业需要在合同中设立合规条款或者单独签署合规协议,约定被调查主体应遵守数据合规政策、管控措施和退出机制。6. 数据合规培训数据合规培训应主要讲解数据合规政策,让员工熟知数据合规管理制度,企业要进行全程电子或书面留痕,采取录像、照片、签到等方式,以证明企业开展数据合规培训的事实,并要求参加培训的员工签署数据合规承诺书,承诺严格依照法律法规和授权范围处理数据。在数据合规培训后,员工仍然实施违规行为的企业可以免责,有员工自担责任。7. 数据合规监控管理8. 数据合规监控需对违法违规行为进行实时监测和识别,包含全流程数据合规监控、合规审计、违规行为举报、合规报告等具体流程。企业可设立举报机制,搭建专门的举报平台,并对举报人进行严格保护和高额奖励;此外,可以通过合规审计的方式进行监控,要求对数据信息处理活动进行专项和定期审计,企业也可委托专业机构进行审计,对审计过程和结果应形成完整记录并妥善留存;最后形成各项数据合规制度执行报告,以便及时更正各类问题。(二)外部:加强对外交流以提升数据合规管理水平1. 同行之间建立数据合规信息桥梁面对日趋复杂严峻的数据合规局势,同行之间应建立良好的合作同盟,通过信息共享、数据合规经验交流等方式加强业务往来、互通有无,开展审查评估、模拟预演、合规分析等交流活动,不断提升数据合规水平,更好地应对数据治理的复杂趋势。2. 跨行之间加强数据合规管理的合作企业可通过与律师事务所、数据安全第三方企业等相关各行业进行数据合规交流与合作,减少合规成本、弥补技术缺陷。此外,企业还应与监管机构及行业协会等部门建立有效的互动机制,既能寻求专业的监管意见,也能在争议出现后增加一项抗辩理由。三
结 语目前国家对于数据合规管理日趋重视,我国企业应吸取境内外惩罚的案例教训,可通过向律师咨询,了解法规政策,识别数据合规风险,及时应对处理,既要拿上望远镜又要带上显微镜,发展壮大的同时重视安全。[1]收集限制原则、数据质量原则、目的规范原则、使用限制原则、安全保障原则、开放性原则、个人参与原则和问责原则