安理观法丨强监管态势下企业数据合规应对策略（二）

*本文为《强监管态势下企业数据合规应对策略》第二部分，文章第一部分安理观法丨强监管态势下企业数据合规应对策略（一）回顾请点击前方蓝色字体。

企业通过对全业务条线的系统性排查，不断识别出可能存在的基础合规问题，并通过及时整改，确保企业尽快达到基础合规状态。在此基础上，通过对组织架构、业务、制度等各方面不断优化完善，最终建立系统性的数据合规体系。一般而言，搭建动态符合监管要求的数据合规体系，至少应包括组织架构、业务现状和数据梳理、政策制定和执行、建立完善的法律文件体系、技术管控措施、沟通和培训、审计评估和监督、回顾和改进等组成部分。

一、数据合规专项工作的切入点

结合实际，企业如先期启动数据合规专项工作，总体上可采用“先基础合规，再系统优化提升”的模式，即先行识别出实质风险点，并制定针对性的整改方案，解决业务中尚未满足数据合规要求、可能触及监管红线的问题，以尽快消除企业所面临的合规风险，同时为搭建动态符合监管要求的数据合规体系奠定基础。

二、搭建数据合规体系的主要内容

1. 组织架构

主要包括在决策层、管理层、执行层、监督层分别设置（或调整现有的）负责、决策、执行及监督机制。主要合规工作任务包括制定或完善数据合规决策机构的设置及决策制度、常设工作组的设置及决策制度、数据合规体系的整体运行及管理制度等。

2. 业务现状和数据梳理

主要包括对数据资产盘点､梳理与分类，形成数据资产清单。主要合规工作任务包括数据尽职调查报告、数据资产清单、数据分级分类情况清单、合规差距分析报告、专项整改方案等。

3. 政策制定和执行

主要基于法律规定及企业实际，制定或完善相应的管理政策，包括符合法律规定的相关制度办法、规范细则、计划表单等，并由包括行政管理部门在内的多个部门共同推动执行。政策制定层面，主要合规工作任务包括制定或完善覆盖企业全业务领域的、具备可操作性的数据管理制度等。政策执行层面，一般由企业内部数据合规常设工作机构作为执行管控部门，负责监督制度是否执行到位。

4. 建立完善的法律文件体系

主要包括全部对外（包括用户及合作方）及对内（员工）法律文件体系的系统性设计和完善。主要合规工作任务包括制定或完善隐私协议、用户授权同意书、对外公示法律文件、业务合同、劳动合同、各类业务规范表格文件等。

5. 技术管控措施

针对不断发展的人工智能、区块链、物联网、大数据以及云计算等新技术环境，主要合规工作任务包括制定或完善数据全生命周期的技术措施方案、数据安全防护及检测内控制度、数据安全响应及应急处置制度及管控措施等。

6. 沟通和培训

在企业内部进行数据合规宣导工作，针对普通员工、涉及数据处理的核心岗位、信息技术部门以及企业管理层等制定并开展定制化的培训课程，提高整体数据合规意识。主要合规工作任务包括制定或完善培训计划、培训教材、数据合规宣传材料，组织实施培训活动等。

7. 审计、评估和监督

主要针对数据合规的审计要求、个人信息影响评估以及数据处理者对受托方的监督等制度机制进行对应的设置。主要合规工作任务包括制定或完善数据合规审计制度、评估制度，完成各类审计报告、评估报告等。

8. 回顾和改进

对数据合规体系的回顾和改进，以不断根据法律法规的变化进行改进工作，并动态适应监管要求。主要合规工作任务包括数据合规体系相关测试报告、问题反馈清单、整改/完善方案及计划等。

值得注意的是，很多跨国企业在中国法下搭建数据合规体系时，会不同程度借鉴GDPR的成熟实践，在将GDPR下的文件进行中国本地化过程中，需要关注到GDPR和《个人信息保护法》之间的差异，结合数据合规体系的政策制定、文件准备等重要内容，现将若干注意要点示例一二。

三、政策制定

1. 个人信息处理者与受托人

GDPR下定义了两类角色：Data Controller，系有权自主决定个人信息的处理目的、处理方式，对个人信息处理全流程最终负责的角色；Data Processor，系受委托处理特定事项的角色，比如存储服务、数据分析加工服务，只对受托的具体事项负责。两者之间有管理合同，前者对后者监督管控。中国法下的《个人信息保护法》存在对应前述两者的角色，即，Data Controller——个人信息处理者，Data Processor——受托人。但如果只做中英文的直译，就会造成困惑，需要注意法律概念上的区分。

2. 隐私与个人信息

在英美法下，隐私是习惯用法，如隐私保护政策、隐私指引、通知，中国的很多APP、网站亦借鉴了隐私政策这种习惯用法。但是，在中国法下，隐私与个人信息这两个法律概念是有差别的。因此，从用语规范角度，使用个人信息保护政策，会更符合中国法下的法律语言体系。

3. 个人信息安全事件的应急预案

《个人信息保护法》明确要求个人信息处理者应该建立个人信息安全事件的应急预案。

1

对个人信息主体的通知。即，发生个人信息的安全事件后，要不要通知个人信息主体？GDPR下原则上可以不通知，但是经过评估以后，认为个人信息泄露事件，会对个人信息主体有较高的安全风险影响时，应当通知；《个人信息保护法》下原则上应当通知，除非经过评估、采取了有效措施，可以完全避免对个人信息主体的损害时，可以不通知。

2

对主管部门的通知。GDPR下允许在例外情形下不用通知；《个人信息保护法》下所有情况都要通知。

因此，在应急预案制度及文件本地化过程中，应注意对相应条款的调整。

四、文件准备

1. 同意告知表格的审阅和修改

同意告知表格的内容，如是根据GDPR体系建立的，根据《个人信息保护法》的要求，需要对相关的表格、文件做审阅、修改。

（1）完整地告知所处理的个人信息种类。

GDPR下的告知类型，经常会有“包括但不限于”“基于处理业务所需的任何其他信息”等相对笼统、模糊的表述，没有明显要求；《个人信息保护法》下要求完全列明个人信息种类。

（2）接收方的名称和联系方式。

GDPR下只要告知到接收方的类型；《个人信息保护法》下明确要求在接收方的类型为并购或破产的接收方、其他个人信息处理者、境外接收方等几种情况下，必须告知接收方的名称和联系方式。

（3）单独同意。

对比GDPR，单独同意是《个人信息保护法》新提出来的，要求在向其他个人信息处理者提供、处理敏感个人信息、个人信息跨境等情形下，要单独告知、单独获得同意。

2. 业务合同的审阅和修改

从《个人信息保护法》的视角，企业可以将业务合同分为3类：个人信息处理者——处理者的合同（重点审查合同相对方是否拿到单独同意）；个人信息处理者——受托人的合同（在合同条款中要明确约定个人信息处理者的监督义务）；个人信息处理者——服务接收方（不碰数据）的合同（在合同中要明确双方的角色、权利义务）。

结语

中国正在用国际通行的法律语言来维护国家利益，在数据要素发挥更重要作用的未来，企业需要深刻理解中国基于风险差异化管理的监管逻辑，搭建动态符合监管要求的数据合规体系，在数据治理、特别是产生巨大价值的数据流动，和数据安全中找到平衡。 

作者简介

杨博

北京办公室 合伙人

yangbo@anlilaw.com

杨博律师拥有15年以上法律及管理工作经验，加入安理前，曾先后供职于国家部委、国内知名VC机构，具有中国执业律师资格、科技情报工程类工程师专业技术资格、基金从业资格等。服务过的客户包括中央直接管理的国有特大型企业、大中型企事业单位，以及知名的创业投资基金和股权投资基金、成长型/创业企业等。曾主持国家发展改革委“中央地方联合创新创业联合研究课题”研究项目，相关立法政策建议获采纳并写入《国务院关于强化实施创新驱动发展战略进一步推进大众创业万众创新深入发展的意见》（国发[2017]37号）。

相关阅读

• 安理观法丨反垄断合规的现状与趋势

• 安理观法丨从长沙医学院税务事件看非营利法人的税收疑惑
  

• 安理观法丨最低工资标准的适用范围
  

• 安理观法丨强监管态势下企业数据合规应对策略（一）
  

• 安理观法丨简析保理合同纠纷中债务人的抗辩权
  

• 安理观法丨《反不正当竞争法司法解释》解读
  

免责声明

本微信文章仅为交流之目的，不代表安理律师事务所的法律意见或对法律的解读，任何仅仅依照本文的全部或部分内容而做出的作为或不作为决定及因此造成的后果由行为人自行负责，如果您需要法律意见或其他专家意见，应当向具有相关资格的专业人士寻求专业的法律帮助。