强化数据治理背景下企业的数据合规体系建设
作者按
写这篇文章的时候,我回想起在埃森哲因为数据合规问题不断与时俱进、摸着石头过河的13年心路历程。埃森哲虽然是一家跨国公司,但其在中国也处理着大量数据。埃森哲大中华区拥有1.8万名员工,分布于北京、上海、广州、深圳、大连、成都、杭州、香港和台北等地,服务的客户涵盖世界500强企业、国企、大型民营企业和政府。埃森哲的数据是全球流通的,它存储和处理的数据需要同时符合中国、欧盟、美国的规定。
起初,关于在数据保护方面的研究,我们做了大量的提前准备工作。欧盟的《通用数据保护条例》(General Data Protection Regulation, GDPR)在2018年5月25日生效,其前身是欧盟1995年通过的《数据保护指令》(Data Protection Directive),而埃森哲早在GDPR生效前两年已开始研究数据保护相关的法律法规;国内的《网络安全法》于2017年6月1日生效,埃森哲也是提前一年已开始研究。我们为了企业能够实现数据合规,专门组建了网络安全工作小组,我是该小组的组长,通过研究大量的国内外法律法规,及其不断出台的配套条例、指南、标准,才了解数据保护相关法律规范文件对企业业务、运营带来的影响,确保新产品、新服务顺利落地。其次,全球的数据合规法律法规在不断更新,我们也不断在企业数据合规的道路上疲于奔命,于动态发展中寻求解决方案。我们通过参加各种协会,例如,美国信息技术办公室(United States Information Technology Office) 、美国商会(United States Chamber of Commerce)、欧盟商会(European Union Chamber of Commerce)等,以及各类工作小组,基于国际视野解读中国最新的法律法规,为相关部门提供参考意见。最后,在大数据时代,数据合规是众多企业合规经营的重点,目前也已有很多业界同行对这方面做了扎实的研究。埃森哲有大量的产品、服务与数据相关,因而本文主要结合了自身在埃森哲参与数据保护工作的实操经验。据埃森哲2020财年财报显示,数字化、云计算和网络安全相关业务占埃森哲全部收入的70%[1],数据合规是埃森哲行稳致远的重中之重。
本文于2021年7月16日定稿,正于定稿当晚,滴滴出行的事件有了新的进展,国家网信办会同公安部、国家安全部、自然资源部、交通运输部、税务总局、市场监督总局等部门联合进驻滴滴出行科技有限公司(下称“滴滴出行”),开展网络安全审查。依托大数据赋能的滴滴出行在上市首日风光无两,但是同样也是因为数据合规而陷入层层困境之中。滴滴出行本次被审查的成例无疑将会成为未来企业数据合规的重要参照。因而,本文也将结合滴滴出行受审查一事,阐述企业重视数据合规的必要性和重要性。
总之,希望本文对企业和同行有所帮助,同时也希望能够通过数据合规实操经验的分享,提高企业搭建合规体系的意识,把握好数据合规和数据业务开发之间的平衡点,实现企业价值。
引言
党的十九届四中全会在《中共中央关于坚持和完善中国特色社会主义制度 推进国家治理体系和治理能力现代化若干重大问题的决定》中,首次明确数据作为生产要素参与社会分配,与土地、劳动力、资本、技术并列成为生产要素。“数据”成为数字经济时代的“新石油”,掌握数据的企业对来源广泛的信息进行收集、整理、分析,希望尽可能地挖掘数据的价值,对重要数据掌控能力的竞争成为各国数字经济竞争的焦点。随着大数据技术的广泛应用,个人隐私和公共安全问题也日益凸显,世界各国纷纷加强数据保护立法和监管执法。中国近几年数据保护立法节奏加快,《网络安全法》及其配套的条例、指引、指南和标准,《数据安全法》《个人信息保护法(草案)》等法律相继出台。同时,地方性数据立法也紧随其后,今年7月初,我国数据领域首部基础性、综合性的法规《深圳经济特区数据条例》公布,进一步落实和细化已出台的数据保护法律,规范国内数据市场竞争乱象。
在全球重视数据保护的治理环境下,我们有必要思考,作为整合大量数据资源的企业,如何通过搭建数据合规体系,把握好数据合规和数据开发之间的平衡点,实现在合规基础上最大程度释放数据价值?
一、企业面临数据合规的挑战
(一)域外数据保护监管严格
1. 全球多个国家制定数据保护相关立法
随着越来越多的产品和服务线上化,数据保护以及网络安全的重要性日益凸显,现今全球已经有130多个国家制定了数据保护相关立法。例如,美国的《国家安全与个人数据保护法》(National Security and Personal Data Protection Act of 2019)《加州消费者保护法》(California Consumer Protection Act 2020),欧洲的《通用数据保护条例》(The EU General Data Protection Regulation,GDPR),俄罗斯的《个人数据法》(Personal Data Act 2015),加拿大的《数字宪章》(Digital Charter 2019),印度的《个人数据保护法》(Personal Data Protection Bill 2019),澳大利亚的《消费者数据权利法案》(Consumer Data Right 2019)等。
纵观域外多国的数据保护立法发现,在个人数据及隐私保护领域,对于个人信息的保护重点是“隐私保护”。以美国为例,美国的数据隐私保护主要通过政府监管和隐私诉讼的方式来实现,在联邦层面和州层面均有相关的立法。例如,在联邦政府监管层面,有针对消费者保护的《联邦贸易委员会法》(The Federal Trade Commission Act, FTCA)、针对医疗记录的《健康保险隐私及责任法案》(Health Insurance Portability and Accountability Act, HIPAA)、针对儿童的《儿童线上隐私保护法》(Children's Online Privacy Protection Act, COPPA)等法案;在州层面,有保护消费者个人信息的《加州消费者保护法》(California Consumer Protection Act, CCPA)、伊利诺亚州的《生物识别信息隐私法案》(Biometric Information Privacy Act, BIPA)等法律。美国联邦政府通过隐私权保护的方式保护个人数据,主要规制政府机关涉及利用个人数据的领域,在数据的获取、发布和隐私等与数据相关的政策上制定了一整套复杂且不断变化的法律、法规和备忘录[2]。对企业来说,遵循自身的隐私政策是其合规的重要内容。
同时,欧盟的《通用数据保护条例》(以下简称GDPR)于2018年5月25日生效,对于个人数据的保护标准非常之高,突出表现在凡是处理欧盟居民个人数据的企业,无论其本身是否设于欧盟境内,一律必须遵守这项规范;并且,违规罚金也相当严苛。面对GDPR,企业通常有三种选择,一是承担罚款,二是退出欧洲市场,三是做到合规。对于第一种选择,企业会被处以高达2000万欧元或全球营业额4%的罚款,且以其中金额较高者为准,违法成本非常高,因此几乎不存在愿意承担如此巨额罚款的企业。第二种路径似乎也不可行,欧洲有5亿多用户,市场规模巨大,放弃欧洲对于大型跨国企业来说,显然不是一个明智的选择。这样一来,仅剩下第三种选择即努力做到合规,这会是绝大部分企业的选择[3]。
不难看出,众多严格的数据保护法律法规为企业的经营带来了一定的挑战,企业需要在很多方面做出改进,运营成本可能会增加,甚至会影响其收益。但是,数据保护立法也是企业加强数据保护的一个良好契机,它倒逼企业审视自己的隐私保护政策和数据处理方式,使企业的价值得到提升,创造竞争优势,同时也使企业的经营能够行稳致远。
2. 全球数据保护监管执法活跃
自2018年5月GDPR出台以来,美国、加拿大、欧盟(西班牙、法国、意大利等国)等国数据执法活动最为活跃。以欧盟监管为例,欧洲数据保护当局已开出了与GDPR有关的300多张罚单,罚款总额近3亿欧元[4],罚款案例中不乏谷歌、英国航空、万豪等世界知名企业。除罚款外,业务强制关停、相关责任人被监禁等处罚手段对企业而言也是重大打击。
分析众多数据保护监管的执法案例发现,数据保护监管的罚款原因主要集中于以下两点:第一,未采取充分的技术和管理措施确保信息安全,如数据泄露。例如,英国航空公司因数据泄露而被英国数据保护机构罚款2000万英镑。英国航空公司因未能检测到公司的网络安全系统受攻击,导致公司掌握的429, 612名客户和员工的个人数据遭泄露,泄露的信息包括客户的姓名、地址、支付卡号和安全码,以及员工和管理员账户的用户名和密码等信息。[5] 第二,违反一般的数据处理原则。非法存储或使用个人身份信息和不遵守数据主体访问请求,是导致企业被数据监管机构罚款的另一个主要原因。例如,H&M公司因非法监控员工的行为,违反了一般的数据处理原则,被数据保护监管机构罚款3500万欧元。德国数据保护监管机构通过调查发现,H&M公司存在大范围收集和存储员工家庭情况、宗教信仰、假期、医疗情况和疾病诊断记录等个人信息的行为,并将这些信息用于评估工作绩效和作为雇佣决定的参考。[6]
3. 全球用户数据保护意识提高
《2020安永全球消费者隐私保护调查报告》结果显示,与组织共享个人数据时,63%的消费者最看重的因素是收集和存储的安全性。如果组织无法提供以上这些保证,消费者将选择其他组织进行数据共享。大多数消费者表示,他们将继续依靠已经有过接触的组织,以安全透明的方式收集、处理和管理其个人数据。另外,54%的消费者认为,组织未经其本人明确同意就与第三方共享消费者的数据的行为,会降低消费者对组织收集、存储和使用其数据的信任程度。[7]
在信息社会,科技与数据的结合,在便利和丰富了个人的日常生活的同时,也带来各种数据隐私安全问题。我们使用的社交网络、购物平台、酒店入住、出行订票等平台,一般都能获取到涉及包括姓名、电话号码、住址、浏览习惯、消费倾向等基本的个人信息,还有“人脸识别”“指纹验证”等生物识别技术也在金融、医疗、交通、支付等场景大范围使用,这些数据一旦泄露或被恶意出售,则相关个人可能会因此收到针对性的电话骚扰或诈骗行为。例如,曾经引起社会高度关注的“徐玉玉案”[8]便是一起典型的因个人信息被犯罪分子非法利用而发生的电信诈骗案件。另外,企业掌握大量员工和客户的数据,一旦泄露,企业可能因此导致资产损失、损害商业形象等难以挽回的后果。例如,2020年10月份,电商购物平台唯品会因用户数据泄露问题,致使其用户被骗数万元。这种事件的发生很大程度上影响了唯品会的企业形象,也减损了消费者对该企业的信任度。正是由于现代信息社会出现越来越多的数据安全问题,且这些问题都涉及到企业与个人的切身利益,因此,个人信息安全逐渐引起全球用户的重视。
(二)我国数据保护力度加强
1. 新法规、指引、标准密集出台
自GDPR生效以来,海外相继出台或修订数据合规相关立法,数据合规立法已成为全球合规监管的主流趋势。[9] 我国也不例外,自2017年实施《网络安全法》以来,数据保护的立法节奏不断加快。一方面,《民法典》人格权编有一个专章对隐私权和个人信息保护进行了规定,《数据安全法》《个人信息保护法(草案)》《数据安全管理办法(征求意见稿)》《深圳经济特区数据条例》等数据安全及隐私保护专门立法相继紧密出台;另一方面,《网络安全法》管理体系逐渐形成,《网络关键设备和网络安全专用产品目录(第一批)》《网络安全审查办法》《网络安全漏洞管理规定(征求意见稿)》《网络关键设备安全检测实施办法(征求意见稿)》《个人信息出境安全评估办法(征求意见稿)》《关键信息基础设施安全保护条例(征求意见稿)》、等级保护2.0等各类相关国家标准均相继制定发布,不断完善我国网络安全的法律监管体系。
2. 执法和检查日益频繁
网信办、工信部、公安部、市场监管总局开展APP违法违规收集使用个人信息专项治理;市场监管部门开展打击侵害消费者个人信息违法行为专项执法行动。在数据保护的执法行动中,监管部门重点打击以下三类违规行为:一是未经消费者同意,收集、使用消费者个人信息违法行为;二是泄露、出售或者非法向他人提供所收集的消费者个人信息违法行为;三是未经消费者同意或者请求,或者消费者明确表示拒绝的,向其发送商业信息违法行为。在数据安全监管的日常执法活动中,众多APP因违法收集或使用个人信息而被行政部门处罚。例如,2021年1月,广东省通信管理局通报215款存在侵害用户权益和安全隐患问题的APP;2021年5月,48款网络借贷类APP因违法违规收集使用个人信息情况被通报。
企业数据合规工作不到位,将对企业的发展乃至生存产生重大的安全隐患。一方面,企业数据不合规将直接影响企业的发展。例如,2019年墨迹天气因数据不合规问题致使其自身IPO被否。另一方面,企业数据不合规也可能会面临行政乃至刑事处罚。例如,今年7月初,正值“滴滴出行”在美国上市之际,国家网信办依据《国家安全法》《网络安全法》对“滴滴出行”实施网络安全审查。审查结果认为,滴滴出行APP存在严重违法违规收集使用个人信息的问题,并通知应用商店下架滴滴出行APP。遭遇严厉审查的滴滴企业不仅因此股价大跌,同时核心业务也在短期内无法正常开展,企业经营受到了重大影响。而在之后的7月16日,国家网信办会同公安部、国家安全部、自然资源部、交通运输部、税务总局、市场监督总局等部门联合进驻滴滴出行,开展网络安全审查。这是自2020年4月《网络安全审查办法》实施以来的首次公开审查,同时也标志着该《办法》正式进入实操阶段。该事项进一步敲响了企业数据安全合规的警钟。[10]
二、我国数据合规法律体系概况
(一)数据保护法律框架日趋完善
《中共中央关于制定国民经济和社会发展第十四个五年规划和二〇三五年远景目标的建议》提出,建立数据资源产权、交易流通、跨境传输和安全保护等基础制度和标准规范,推动数据资源开发利用,保障国家数据安全,加强个人信息保护。2020年底召开的中央经济工作会议也强调,要依法规范发展,健全数字规则。
纵览我国数据保护法律框架,我国在数据保护方面秉持着个人信息保护和重要数据保护两手抓的立法思路。我国数据保护法律框架呈“两主线、多维度”的立法特点,以“个人信息保护”和“重要数据保护”为两大主线,针对这两主线的法律规范设计不仅覆盖基础性法律规范如《网络安全法》《数据安全法》《个人信息保护法》《刑法》和《民法典》,还涵盖中央和地方性法规及规章、司法解释和规范性文件。另外,需注意的是,各法律规范之间的设计和适用并非完全割裂,而是可以相互借鉴和相互联系的。例如,对个人信息的立法保护,不仅规定于《个人信息保护法(草案)》,还规定在《刑法》《民法典》《网络安全法》《未成年人保护法》等法律当中;对重要数据的保护,不仅在《网络安全法》《数据安全法》中有对重要数据发布、共享、交易、跨境传输等作出直接规定,同时,在《密码法》《档案法》等法律法规中也涉及到特定产品或服务的安全管理、数据出境等问题。由此可见,我国的数据保护法律框架在多个维度上不断完善对个人信息和重要数据的法律保障。
目前,我国的数据治理仍处于起步阶段,数据市场治理法治化程度有较大的提高空间,对数据要素权益、数据交易的分级分类制度、数据市场治理等方面仍需设计相应的数据治理机制。
(二)多头监管的数据保护执法特点
1. 多头监管。我国当前的数据市场监管呈现多头监管的特色,一个领域的数据市场治理问题往往涉及多个数据市场监管部门。例如,在金融数据监管领域,网信办、工信部、公安部、国家安全部、市场监督管理局、行业监管机关(例如,中国人民银行、中国银行保险监督管理委员会)等均有权对金融领域的数据市场进行监管执法。多头监管在执法效果上可以形成较大的威慑力,对相关涉案企业进行数据合规整改产生强有力的督促。但另一方面,多头监管也反映出当前数据市场监管存在协调不足的问题,数据市场监管职能分散,各部门监管边界不清,多头监管和监管空白并存,容易产生重复监管,难以形成数据市场监管合力。[11]
2. 专项行动。当前我国数据市场监管执法主要以专项行动为主,多个监管部门在短期内联合执法,对某一领域的数据不合规问题进行集中治理。例如,2019年1月至12月,网信办、工信部、公安部、市场监管总局在全国范围内组织开展APP违法违规收集使用个人信息专项治理;市场监管部门等八部门联合开展2019网络市场监管专项行动(网剑行动),严查未经同意收集个人信息行为;公安部组织部署全国公安机关开展“净网2019”专项行动、“净网2020”专项行动等。专项行动为主的“运动式”执法方式在短期内能解决数据市场监管面临的急迫问题,但具有被动性和功利性弱点。[12] 由于我国目前数据保护法律体系尚未形成体系性的法律与制度框架,数据市场监管体系有较大的完善空间,这使得当前各监管部门的职责边界模糊,数据市场监管执法较难划分出清晰合理的分工,联合专项治理的监管执法方式是在此短期形势下的优选方案。
2021年7月16日,国家七部门进驻滴滴出行,开展网络安全审查,表明我国数据市场监管领域的多头监管模式依然强势,也是目前整治数据市场乱象的有力手段。接下来,随着我国数据保护监管执法体系的完善,各部门监管制度规则的细化,相信数据市场监管职权分工将会更加合理明晰,监管方式也将会朝着自主化、常态化的方向发展。
三、企业数据合规监管要点
(一)数据来源的合法性
在信息时代,数据是新的石油,它可以为新时代创造很多前所未有的机会,但这一“新石油”却不能随意开采,它的获取来源和途径需要受到法律的监管。数据来源的合法性是企业通过数据创造价值的前提与基础。当前众多企业的数据利用越来越需要来自多渠道的大数据支撑,数据来源合法是企业能够合规使用所获取到的数据的前提,也是监管机构关注的重点。在实践中,监管部门对各企业在业务中所使用的数据来源合法性的监管力度也不断加大。
考察企业收集数据来源的合法性可以从以下两个角度把握:
1. 企业自主收集的数据。企业在收集个人信息时,应遵守合法、正当及必要性原则,并获取信息主体的同意,具体要求包括:①仅收集与业务直接相关的个人信息,避免收集与业务无关的信息。一些移动互联网应用程序(APP)通过“一揽子协议”将收集个人数据与其功能或服务进行捆绑,用户不同意全面授权,就无法使用该APP。这严重损害了用户作为个人数据主体的决定权。[13] 针对此现象,《深圳经济特区数据条例》确立了以“告知—同意”为前提的个人数据处理规则[14],规范企业收集个人信息的行为。②如果企业收集的个人信息为敏感个人信息,例如金融机构往往需要收集个人生物特征、金融账户等信息,则该企业还需要获取客户对于敏感个人信息收集与使用的明示同意;③在收集个人信息前,需制定《隐私政策》,并在《隐私政策》中具体说明个人信息的使用场景,采取技术措施(例如弹窗等)引导个人信息主体查阅隐私政策,获得个人信息主体明示同意后开展有关个人信息的收集活动。例如,在受到政府审查之前,滴滴出行在《个人信息保护及隐私政策》中强调,滴滴出行“保留对个人信息的收集、保存、使用、共享的权利”,其中所指的“个人信息”是“身份证号码、面部识别特征、录音录像、银行卡号、IP地址”。这些信息的收集超出正常使用滴滴出行平台核心功能之所必需,违反了《信息安全技术个人信息安全规范》规定的个人信息控制者收集个人信息时需要遵循的“最小必要原则”。[15]
2. 来源于第三方的数据。《深圳经济特区数据条例》明确规定,市场主体不得使用非法手段获取其他市场主体数据,不得非法收集其他市场主体数据提供替代性产品或者服务,不得通过数据分析无正当理由对交易条件相同的交易相对人实施差别待遇。[16] 因此,当企业收集的数据来自于第三方时,需在从第三方接收此类数据前,核实数据来源的合法性,包括:①此类数据在收集时,第三方是否获得了客户有关其个人信息收集与处理的同意,该同意应覆盖个人信息主体到企业的全部传输链接。个人信息主体同意的内容覆盖企业利用该数据的各场景;②建议第三方提供相应的证明文件,确保企业收集到的个人信息来源的可追溯性;③如果需要从合作伙伴处获取个人信息,应通过尽职调查等适当方式确认合作伙伴的数据来源合法合规、真实有效,对外提供数据不违反法律法规要求,并已获得信息主体本人的明确授权。
(二)内部数据安全管理
企业内部数据治理水平应与企业对数据赋能的推进相适应,若内部的数据安全制度无法完善,则数据安全无法保障,数据无法在制度的保障下发挥价值。因此,在确定了数据来源的合法性后,企业还需要对企业内部的数据安全进行管理,制定覆盖数据生命全周期的数据安全管理制度。
企业进行内部数据安全管理应关注以下要点:一,具备定位其拥有的数据的能力。要想处理并管理这些数据,企业需要了解数据的存储位置、访问者以及已经存储了多长时间。二,具备安全高效检索数据的能力。《个人信息保护法(草案)》规定,个人有权申请查询自己的个人信息,并要求更正、补充,甚至删除数据。[17] 因此要求企业具备安全高效的数据检索的能力,确保及时响应这些要求。三,最小化数据存储。由于《个人信息保护法(草案)》规定个人信息的保存期限应当为实现处理目的所必要的最短时间[18]。因此,企业需要根据《个人信息保护法(草案)》的要求,建立数据存储最小化系统,防范数据泄露风险。四,最大程度保护数据的安全。《个人信息保护法(草案)》要求保护个人信息免遭泄露、窃取、篡改或删除。审查访问控制、加密、化名与技术安全措施,以保护由企业控制的个人信息。建立透明的数据保护和安全流程,确保符合审计和合规要求。[19] 五,改变企业处理、存储和保护用户个人信息的方式。建立一套隐私影响评估流程,对数据保护及个人隐私权影响作出正式分析,并将其引入任何新的业务流程或系统。[20]
(三)数据的使用与处理
数据的使用与处理包括数据的收集、存储、使用、加工、传输、提供、公开等活动。数据的使用与处理应采取合法、正当的方式,遵循诚信原则进行。以企业进行数据共享为例,近期受审查的滴滴出行APP,其《个人信息保护及隐私政策》的“个人信息的共享、转让、公开披露”一节显示,滴滴出行将会在特定情况下共享用户信息,共享对象主要包括广告分析服务商、供应商和其他合作方等。而《个人信息保护及隐私政策》的规定要求,企业对用户数据进行共享时应当告知用户可能产生的后果并且征求用户同意;进一步,若共享敏感信息,还应当告知信息接收主体的身份和数据安全能力,并且征求个人信息主体的明示同意。可见,滴滴出行这种笼统式要求用户同意的方法显然难以契合法规政策的要求。[21]
在不同的业务领域,有着相应的法律法规或监管政策对企业的数据使用与处理进行规定,对于企业而言,其合规要点也相应地因行业监管要求的不同而有相应的特殊性。例如,在金融领域,《个人金融信息保护技术规范》对金融数据按敏感程度进行分类,将个人金融信息分成C3、C2、C1管理。被归属于C3的金融信息是最高级别保护的信息,用于用户鉴别的个人生物识别信息就属于此类信息。对此,金融机构在数据的使用与处理方面,则应注意不得将C3以及C2类别信息中的用户鉴别辅助信息对外共享或委托给第三方机构处理、委托第三方处理个人金融信息时不得超出银行客户授权同意的范围、在外包活动中建立严格的客户信息保密制度等合规要点。
企业应建立系统性的数据安全保障机制,同时在企业内部应对具体保障措施的内容、针对的数据对象、负责的人员等予以明确,并全面记载安全措施的实施情况,以确保企业数据的使用与处理合法合规。若监管机构提出检查,企业需要能够拿出相应的记录来进行说明,或者在发生安全事故时,用于证实已尽到必要的安全保障义务。[22]
四、企业数据合规体系建设
(一)建立有效数据合规体系的原因与价值
企业建立有效数据合规体系的原因与价值主要有以下六点:第一,是法律规定的合规义务。我国《网络安全法》《数据安全法》和《个人信息保护法(草案)》,以及GDPR等众多境外数据保护法规均明确要求企业建立数据合规制度。第二,提高企业合规效率。有效的数据合规体系可以提高企业内部的合规效率,降低合规成本。第三,降低风险和损失。数据不合规可能会为企业带来重大的经济和声誉损失,包括政府罚金、诉讼赔偿、用户流失等。第四,保护企业声誉。数据不合规引发的媒体负面报道将会影响公司商誉。第五,应对监管执法和诉讼。企业的数据合规体系可以助力企业有效应对监管执法和诉讼抗辩,以证明企业已充分尽到数据保护的义务。第六,提升用户信任度和市场竞争力。用户越来越重视隐私和个人信息的保护,企业的数据合规程度将成为企业重要竞争力的体现。
(二)合规体系搭建的考量因素
企业数据合规的关键在于合规体系之搭建。而一个行之有效的合规体系搭建,离不开合理的制度和程序、高层参与、风险评估、尽职调查、培训和沟通、监督和审核等因素。以埃森哲为例,埃森哲在全球拥有53.7万名员工,6000家客户(分布在120个国家/地区),185家合作伙伴,在200座城市开设有办事处和业务(分布在50个国家/地区)。[23] 作为全球最大的上市咨询公司,埃森哲的客户涵盖世界500强跨国企业、政府机构和军队。值得注意的是,作为一家服务全球的跨国企业,埃森哲在中国也具有相当的规模。埃森哲在大中华区有1.8万名员工,分布于北京、上海、广州、深圳、大连、成都、杭州、香港和台北等地,服务的客户包括世界500强企业、国企和政府等。因此,埃森哲的数据是全球流通的,它每时每刻都在处理大量的敏感数据和重要数据,并且存储和处理的数据需要同时符合中国、欧盟、美国的规定。面对庞大的数据体量和流量,埃森哲通过搭建起一套强大的数据合规体系,为企业的数据安全保驾护航。
在我担任埃森哲亚太区区域法律服务董事总经理兼大中华区法律部总经理期间,我作为公司网络安全工作小组组长,负责网络安全以及欧盟GDPR的法律风险分析和合规评估,评估包括中国、美国、欧盟的法律,支持业务团队提供网络安全服务给众多财富500强跨国企业。
结合埃森哲的成功经验,建议企业搭建数据合规体系考虑以下四点:
第一,企业应制定合理的制度和程序,其作为企业合规体系的核心,是企业所有员工履行职责的基本要求。主要分为以下三点:
(1)企业行为准则,这是企业经营管理和文化建设的纲领性文件,包括企业愿景、使命、核心价值观、合规方针、社会责任等方面。埃森哲在全球层面制定了企业的商业道德规范,这个规范是“埃森哲之道”,它建立在埃森哲的核心价值观(创造客户价值、全球化公司、尊重个人、最优人才、恪守诚信和传承卓越)基础上,规定了更详细的预期行为,并推动企业的合规文化、合乎道德的行为和责任制度。[24] 埃森哲非常重视员工和客户的数据隐私,其将数据隐私保护列入到公司的最高纲领性文件中,为公司收集和处理数据的行为提供道德规范指引。
(2)企业数据合规管理制度,这是企业合规部门进行数据合规管理的程序性规章制度,包括数据合规组织制度、数据合规风险管理流程、合规审查流程、违规举报、调查与处置流程、合规报告程序等方面。[25] 埃森哲的企业数据合规管理制度由域界专家(Subject-matter expert)组建的专业团队制定,并结合强大的信息安全管理系统,包括一系列数据合规工具,来监督和执行企业数据管理,最大程度实现企业数据自动化合规管理。具体而言,埃森哲将数据管理分为客户数据、职能部门的数据、第三方管理的数据、涉及个人的数据权利、应急事件的机制(例如,对网络攻击,数据窃取,丢失的员工电脑中存储的数据等情况的处理)五大模块,通过先进的数据合规工具,在数据隐私支持、风险评估、尽职调查等方面辅助企业数据合规。例如,数据合规工具“ONE TRUST”能够在一个综合的平台上,自动进行数据隐私影响评估,标记潜在风险和帮助降低风险;“HIPEROS”能够进行第三方供应商风险管理,包括供应商风险评估和尽职调查。
(3)职能部门管理规章与业务合规流程。一方面,在数据合规领域,企业应重点关注技术、管理、内控等部门合规规范的执行与遵守。另一方面,企业数据合规涉及个人信息保护和重要数据保护等合规规范,企业合规部门需要与业务部门结合企业使用和处理数据的实际情况,合作制定和修改相关的业务合规流程,实现法律监管与业务发展之间的平衡。
第二,企业合规运作应有高层的参与,形成较为成熟的合规组织体系。[26] 高层参与能够使企业形成上下连贯的合规组织结构。以埃森哲经验为例,①董事会负责设定道德与合规计划的范围和标准,委托审计委员会负责项目监督工作,进行年度合规审查;②首席合规官有义务向首席执行官报告,首席执行官是埃森哲最高层领导组成的全球管理委员会的成员;③首席合规官在必要时,可直接向董事会和审计委员会报告合规事宜。这样的高层参与方式能够确保企业管理层及时识别合规风险并采取应对措施。
第三,企业应建立合规的防范体系,包括风险评估、尽职调查以及培训与沟通。[27] 防范体系针对可能存在的数据合规风险采取预防性措施,具体而言:(1)风险评估,即定期或不定期地对企业活动中存在的合规风险进行识别与评估。例如,埃森哲实施三年一周期的持续风险评估模式,包括第一年开展全球风险评估,第二年对整体风险评估计划进行中期强化,第三年聘请专业的外部律师团队进行风险评估审查。(2)尽职调查,即合规部门针对已存在的数据安全风险或数据隐私风险进行由内到外的调查和研究,内部针对职能部门,外部针对客户和产品,形成合规风险报告,并研究制定和实施降低风险的措施。(3)培训与沟通,企业需要定期组织培训和沟通,一方面能够确保员工了解最新的数据保护法律法规、监管规定、企业内部规章制度等方面内容;另一方面也能够保证企业高层管理者与其它层级员工维持一种稳定的沟通,使企业高层管理者的数据合规理念与态度能够顺畅传达至企业各层级员工,形成合规文化。
第四,企业应建立数据合规监控体系,包括监督与审核。[28] 监督是指企业的高层管理者或员工在进行业务活动时,都应在其职责范围内进行可持续的管理与监督,检查每一项业务活动是否存在违规行为。审核是指企业的合规部门与审计部门相互独立地对企业活动中的违规行为进行审查,确保企业的合规体系在全球各地得到了良好的贯彻执行。
(三)搭建合适的合规组织架构
合理规范的合规组织架构是企业合规体系建设的重点内容,是保证企业合规体系良好运转的重要保障,也是企业合规体系顺利落地的必要前提。合理规范的合规组织架构能够协调企业各层级的职权分工,优化资源配置,强化各管理部门和职能部门的合规职责,保证企业合规体系功能的实现。
目前,国资委的《中央企业合规管理指引(试行)》、发改委的《企业境外经营合规管理指引》,以及国家质检总局和标准委联合发布的《合规管理体系指南(GB/T 35770-2017)》(翻译于ISO 19600:2014)均分别对企业的合规组织架构设计提供了指引。结合上述指引和合规实操经验,一个合理规范的合规组织架构需要由以下四个层级构成:决策层(董事会下设的风险管理委员会)、管理层(经理层、合规负责人)、执行层(风险管理部,包括风控、合规、审计)和各业务部门。在组织架构的运作上,各层级之间形成纵向逐级汇报的工作链,即从各业务部门的合规专员→风险管理部→高级管理层→董事会下设的风险管理委员会逐级汇报日常合规工作。反之,董事会下设的风险管理委员会对高级管理层进行监管,高级管理层监督与协助风险管理部,风险管理部与各业务部门相互协作,为各业务部门保驾护航。需注意的是,对于合规事项,风险管理部有义务直接向董事会下设的风险管理委员会进行汇报,该风险管理委员会有权对合规事项进行直接的监控管理。当然,整个企业的合规组织架构都要受到外部监察部门的监管,积极配合协作纪检监察的监督工作。
(四)数据保护合规制度搭建步骤
企业数据保护合规制度的搭建大致可以分为以下三个阶段:
第一阶段,数据核查。从信息安全角度进行的数据核查的常规做法是使用软件来“感知”一个系统内的数据种类,并给予这些数据的敏感程度对该系统提出整体的安全方案。例如,埃森哲通过SERVICE NOW、ONE TRUST、HIPEROS等数据合规工具,在跨境数据传输、合同审查、产品服务、隐私监管审查、尽职调查等方面辅助数据核查。数据核查不仅能够了解企业个人信息的收集和处理的现状,同时也是企业了解现状、识别风险和建立数据合规体系的重要基础。
第二阶段,进行风险识别和制定合规方案。在识别现状的基础上,结合适用法律法规规定的合规义务进行差距分析和风险识别。就企业的IT系统、用户界面、用户注册流程以及在个人信息收集、使用以及保护的透明度等方面,进行整体合规方案规划。
第三阶段,数据合规规则建立和落地。结合企业实际情况建立数据合规规则,完善相关的制度和流程。开展员工意识培训,使员工认识、了解数据合规要求以及如何在业务流程中落实制度要求。最后,在数据保护合规制度搭建起来后,企业需要持续追踪数据保护合规制度实施情况,改善企业数据合规机制,确保企业的数据合规制度持续为企业保驾护航。
(五)数据合规体系落地
搭建起来的企业数据合规体系如何落实到具体的业务流程中?在此,我们以单项产品上线流程为例,简要描述一个数据合规体系的落地过程。首先,在产品酝酿阶段,企业可以邀请隐私保护专家列席产品开发的研讨,专家提供个人信息保护的合规建议,提示合规风险与解决方案,此过程应通过会议记录或邮件的形式留痕。其次,在初步产品设计阶段,产品设计团队针对使用的数据种类建立控制以及架构来处理第一稿的产品设计,第一稿的产品设计需体现上一阶段提出的隐私及个人信息保护风险的解决方案。再次,产品设计团队将完成后的产品设计进行个人信息安全影响评估(Data Protection Impact Assessment,DPIA)。滴滴出行受审查一事,也强有力地证明了企业对于与数据相关的产品进行个人信息安全评估的必要性和重要性。埃森哲所有与数据相关的新产品和新服务,从研发到上线,都需要数据安全和个人隐私专家提前介入,从法律、商业、技术三个维度对个人信息安全进行综合评估,并形成个人信息安全影响评估报告,防范数据安全风险,防止企业日后因数据安全不合规而遭受重大损失,影响企业发展。最后,最终产品能够对先前查出的隐私和个人信息保护风险进行处理,以及明确相应的技术手段和控制,通过最终产品展示会议(包含法务、风控、合规、安全等部门)以及论证加以证明。
结语
在大数据时代背景下,数据资源已成为国力较量、企业竞争优势的重要衡量标准。中国境内外对数据保护的立法和执法力度不断加强,企业数据合规的重要性也在严格的国际监管环境下日益凸显,企业有效开发数据资源、获取数据价值的前提就是数据合规。对企业而言,前期的数据合规体系建设投入,是企业平衡合规经营与数据资源开发的重要前提。滴滴出行受政府审查的事件给国内众多互联网企业敲了一次警钟,前期数据合规工作的缺失终将导致企业后期付出巨大的代价弥补,同时企业也将面临诸多不确定性因素。因此,完善的企业数据合规体系能够降低企业运营中的合规风险,帮助企业有效处理和及时应对可能对企业造成重大损失的风险事件,助力企业业务的稳步增长和企业经营的行稳致远。在数据科技发达的今天,无论是传统业务的企业还是新兴的高新技术企业,都应留意企业的数据保护,搭建一个与自身业务性质和经营管理相适应的合规体系,为企业的发展保驾护航。
[1]来源:埃森哲新闻中心https://www.accenture.cn/cn-zh/about/newsroom/company-news-release-reports-fourth-quarter-and-full-year
[2]深圳市蓝海大湾区法律服务研究院:《“一带一路”法律库建设调研之分课题三——数据和隐私合规指南》,第12页。
[3]同上注,第48页。
[4]数据来源:GDPR EnforcementTracker,数据统计截至2021年6月30日。
[5] ICO: ICOfines British Airways £20m for data breach affectingmore than 400, 000 customers.https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2020/10/ico-fines-british-airways-20m-for-data-breach-affecting-more-than-400-000-customers/
[6] BBC NEWS: H&Mfined for breaking GDPR over employee surveilance. https://www.bbc.com/news/technology-54418936
[7]安永:《2020安永全球消费者隐私保护调查报告》。https://www.sohu.com/a/452686558_676545
[8]徐玉玉案,又称徐玉玉电信诈骗案,是2016年8月发生在中国山东省临沂市的一起电信诈骗案件,被骗人徐玉玉被骗后心脏骤停,最终抢救无效死亡。2017年7月19日,山东省临沂市中级人民法院一审宣判,主犯陈文辉一审因诈骗罪、非法获取公民个人信息罪被判无期徒刑,没收个人全部财产,其他六名被告人被判15年到3年不等的有期徒刑并处罚金。来源:维基百科https://zh.wikipedia.org/wiki/%E5%BE%90%E7%8E%89%E7%8E%89%E6%A1%88
[9]普华永道:《国企改革观象台:出海避险行之有道:国企应对数据安全及隐私合规风险(上)》。
[10]施俊侃:《七部门进驻滴滴企业应当重视数据安全合规》。https://mp.weixin.qq.com/s/k3m6BrY2X7pPIHfm-UB2dg
[11]曾铮、王磊:《完善和优化数据市场治理》,光明日报,2021年3月9日。
[12]同上注。
[13]《深圳市人大常委会解读<深圳经济特区数据条例>》。https://mp.weixin.qq.com/s/V_2XVVHB71YHdY64e8IchQ
[14]《深圳经济特区数据条例》第十一条、第十二条。
[15] 施俊侃:《七部门进驻滴滴企业应当重视数据安全合规》。https://mp.weixin.qq.com/s/k3m6BrY2X7pPIHfm-UB2dg
[16]《深圳经济特区数据条例》第六十八条、第六十九条。
[17]《个人信息保护法(草案)》第四十五条、第四十六条、第四十七条。
[18]《个人信息保护法(草案)》第二十条。
[19]《个人信息保护法(草案)》第五十条。
[20]参见:深圳市蓝海大湾区法律服务研究院:《“一带一路”法律库建设调研之分课题三——数据和隐私合规指南》,第56页。
[21]施俊侃:《七部门进驻滴滴企业应当重视数据安全合规》。https://mp.weixin.qq.com/s/k3m6BrY2X7pPIHfm-UB2dg
[22]同上注,第99页。
[23]数据来源:埃森哲官网。https://www.accenture.cn/cn-zh/about/company-index
[24]《埃森哲商业道德规范》,第4页。
[25]施俊侃:《上市公司与拟上市公司合规指引》。
[26]同上注。
[27]同上注。
[28]同上注。