强化数据治理背景下企业的数据合规体系建设(下)
作者按
写这篇文章的时候,我回想起在埃森哲因为数据合规问题不断与时俱进、摸着石头过河的13年心路历程。埃森哲虽然是一家跨国公司,但其在中国也处理着大量数据。埃森哲大中华区拥有1.8万名员工,分布于北京、上海、广州、深圳、大连、成都、杭州、香港和台北等地,服务的客户涵盖世界500强企业、国企、大型民营企业和政府。埃森哲的数据是全球流通的,它存储和处理的数据需要同时符合中国、欧盟、美国的规定。
起初,关于在数据保护方面的研究,我们做了大量的提前准备工作。欧盟的《通用数据保护条例》(General Data Protection Regulation, GDPR)在2018年5月25日生效,其前身是欧盟1995年通过的《数据保护指令》(Data Protection Directive),而埃森哲早在GDPR生效前两年已开始研究数据保护相关的法律法规;国内的《网络安全法》于2017年6月1日生效,埃森哲也是提前一年已开始研究。我们为了企业能够实现数据合规,专门组建了网络安全工作小组,我是该小组的组长,通过研究大量的国内外法律法规,及其不断出台的配套条例、指南、标准,才了解数据保护相关法律规范文件对企业业务、运营带来的影响,确保新产品、新服务顺利落地。其次,全球的数据合规法律法规在不断更新,我们也不断在企业数据合规的道路上疲于奔命,于动态发展中寻求解决方案。我们通过参加各种协会,例如,美国信息技术办公室(United States Information Technology Office) 、美国商会(United States Chamber of Commerce)、欧盟商会(European Union Chamber of Commerce)等,以及各类工作小组,基于国际视野解读中国最新的法律法规,为相关部门提供参考意见。最后,在大数据时代,数据合规是众多企业合规经营的重点,目前也已有很多业界同行对这方面做了扎实的研究。埃森哲有大量的产品、服务与数据相关,因而本文主要结合了自身在埃森哲参与数据保护工作的实操经验。据埃森哲2020财年财报显示,数字化、云计算和网络安全相关业务占埃森哲全部收入的70%[1],数据合规是埃森哲行稳致远的重中之重。
本文于2021年7月16日定稿,正于定稿当晚,滴滴出行的事件有了新的进展,国家网信办会同公安部、国家安全部、自然资源部、交通运输部、税务总局、市场监督总局等部门联合进驻滴滴出行科技有限公司(下称“滴滴出行”),开展网络安全审查。依托大数据赋能的滴滴出行在上市首日风光无两,但是同样也是因为数据合规而陷入层层困境之中。滴滴出行本次被审查的成例无疑将会成为未来企业数据合规的重要参照。因而,本文也将结合滴滴出行受审查一事,阐述企业重视数据合规的必要性和重要性。
总之,希望本文对企业和同行有所帮助,同时也希望能够通过数据合规实操经验的分享,提高企业搭建合规体系的意识,把握好数据合规和数据业务开发之间的平衡点,实现企业价值。注:本文因篇幅限制,将分为两部分推送,本篇为第二部分。3
企业数据合规监管要点(一)数据来源的合法性
在信息时代,数据是新的石油,它可以为新时代创造很多前所未有的机会,但这一“新石油”却不能随意开采,它的获取来源和途径需要受到法律的监管。数据来源的合法性是企业通过数据创造价值的前提与基础。当前众多企业的数据利用越来越需要来自多渠道的大数据支撑,数据来源合法是企业能够合规使用所获取到的数据的前提,也是监管机构关注的重点。在实践中,监管部门对各企业在业务中所使用的数据来源合法性的监管力度也不断加大。
考察企业收集数据来源的合法性可以从以下两个角度把握:
1. 企业自主收集的数据。企业在收集个人信息时,应遵守合法、正当及必要性原则,并获取信息主体的同意,具体要求包括:①仅收集与业务直接相关的个人信息,避免收集与业务无关的信息。一些移动互联网应用程序(APP)通过“一揽子协议”将收集个人数据与其功能或服务进行捆绑,用户不同意全面授权,就无法使用该APP。这严重损害了用户作为个人数据主体的决定权。[13] 针对此现象,《深圳经济特区数据条例》确立了以“告知—同意”为前提的个人数据处理规则[14],规范企业收集个人信息的行为。②如果企业收集的个人信息为敏感个人信息,例如金融机构往往需要收集个人生物特征、金融账户等信息,则该企业还需要获取客户对于敏感个人信息收集与使用的明示同意;③在收集个人信息前,需制定《隐私政策》,并在《隐私政策》中具体说明个人信息的使用场景,采取技术措施(例如弹窗等)引导个人信息主体查阅隐私政策,获得个人信息主体明示同意后开展有关个人信息的收集活动。例如,在受到政府审查之前,滴滴出行在《个人信息保护及隐私政策》中强调,滴滴出行“保留对个人信息的收集、保存、使用、共享的权利”,其中所指的“个人信息”是“身份证号码、面部识别特征、录音录像、银行卡号、IP地址”。这些信息的收集超出正常使用滴滴出行平台核心功能之所必需,违反了《信息安全技术个人信息安全规范》规定的个人信息控制者收集个人信息时需要遵循的“最小必要原则”。[15]
2. 来源于第三方的数据。《深圳经济特区数据条例》明确规定,市场主体不得使用非法手段获取其他市场主体数据,不得非法收集其他市场主体数据提供替代性产品或者服务,不得通过数据分析无正当理由对交易条件相同的交易相对人实施差别待遇。[16] 因此,当企业收集的数据来自于第三方时,需在从第三方接收此类数据前,核实数据来源的合法性,包括:①此类数据在收集时,第三方是否获得了客户有关其个人信息收集与处理的同意,该同意应覆盖个人信息主体到企业的全部传输链接。个人信息主体同意的内容覆盖企业利用该数据的各场景;②建议第三方提供相应的证明文件,确保企业收集到的个人信息来源的可追溯性;③如果需要从合作伙伴处获取个人信息,应通过尽职调查等适当方式确认合作伙伴的数据来源合法合规、真实有效,对外提供数据不违反法律法规要求,并已获得信息主体本人的明确授权。
(二)内部数据安全管理
企业内部数据治理水平应与企业对数据赋能的推进相适应,若内部的数据安全制度无法完善,则数据安全无法保障,数据无法在制度的保障下发挥价值。因此,在确定了数据来源的合法性后,企业还需要对企业内部的数据安全进行管理,制定覆盖数据生命全周期的数据安全管理制度。
企业进行内部数据安全管理应关注以下要点:一,具备定位其拥有的数据的能力。要想处理并管理这些数据,企业需要了解数据的存储位置、访问者以及已经存储了多长时间。二,具备安全高效检索数据的能力。《个人信息保护法(草案)》规定,个人有权申请查询自己的个人信息,并要求更正、补充,甚至删除数据。[17] 因此要求企业具备安全高效的数据检索的能力,确保及时响应这些要求。三,最小化数据存储。由于《个人信息保护法(草案)》规定个人信息的保存期限应当为实现处理目的所必要的最短时间[18]。因此,企业需要根据《个人信息保护法(草案)》的要求,建立数据存储最小化系统,防范数据泄露风险。四,最大程度保护数据的安全。《个人信息保护法(草案)》要求保护个人信息免遭泄露、窃取、篡改或删除。审查访问控制、加密、化名与技术安全措施,以保护由企业控制的个人信息。建立透明的数据保护和安全流程,确保符合审计和合规要求。[19] 五,改变企业处理、存储和保护用户个人信息的方式。建立一套隐私影响评估流程,对数据保护及个人隐私权影响作出正式分析,并将其引入任何新的业务流程或系统。[20]
(三)数据的使用与处理
数据的使用与处理包括数据的收集、存储、使用、加工、传输、提供、公开等活动。数据的使用与处理应采取合法、正当的方式,遵循诚信原则进行。以企业进行数据共享为例,近期受审查的滴滴出行APP,其《个人信息保护及隐私政策》的“个人信息的共享、转让、公开披露”一节显示,滴滴出行将会在特定情况下共享用户信息,共享对象主要包括广告分析服务商、供应商和其他合作方等。而《个人信息保护及隐私政策》的规定要求,企业对用户数据进行共享时应当告知用户可能产生的后果并且征求用户同意;进一步,若共享敏感信息,还应当告知信息接收主体的身份和数据安全能力,并且征求个人信息主体的明示同意。可见,滴滴出行这种笼统式要求用户同意的方法显然难以契合法规政策的要求。[21]
在不同的业务领域,有着相应的法律法规或监管政策对企业的数据使用与处理进行规定,对于企业而言,其合规要点也相应地因行业监管要求的不同而有相应的特殊性。例如,在金融领域,《个人金融信息保护技术规范》对金融数据按敏感程度进行分类,将个人金融信息分成C3、C2、C1管理。被归属于C3的金融信息是最高级别保护的信息,用于用户鉴别的个人生物识别信息就属于此类信息。对此,金融机构在数据的使用与处理方面,则应注意不得将C3以及C2类别信息中的用户鉴别辅助信息对外共享或委托给第三方机构处理、委托第三方处理个人金融信息时不得超出银行客户授权同意的范围、在外包活动中建立严格的客户信息保密制度等合规要点。
企业应建立系统性的数据安全保障机制,同时在企业内部应对具体保障措施的内容、针对的数据对象、负责的人员等予以明确,并全面记载安全措施的实施情况,以确保企业数据的使用与处理合法合规。若监管机构提出检查,企业需要能够拿出相应的记录来进行说明,或者在发生安全事故时,用于证实已尽到必要的安全保障义务。[22]
4
(一)建立有效数据合规体系的原因与价值
企业建立有效数据合规体系的原因与价值主要有以下六点:第一,是法律规定的合规义务。我国《网络安全法》《数据安全法》和《个人信息保护法(草案)》,以及GDPR等众多境外数据保护法规均明确要求企业建立数据合规制度。第二,提高企业合规效率。有效的数据合规体系可以提高企业内部的合规效率,降低合规成本。第三,降低风险和损失。数据不合规可能会为企业带来重大的经济和声誉损失,包括政府罚金、诉讼赔偿、用户流失等。第四,保护企业声誉。数据不合规引发的媒体负面报道将会影响公司商誉。第五,应对监管执法和诉讼。企业的数据合规体系可以助力企业有效应对监管执法和诉讼抗辩,以证明企业已充分尽到数据保护的义务。第六,提升用户信任度和市场竞争力。用户越来越重视隐私和个人信息的保护,企业的数据合规程度将成为企业重要竞争力的体现。
(二)合规体系搭建的考量因素
企业数据合规的关键在于合规体系之搭建。而一个行之有效的合规体系搭建,离不开合理的制度和程序、高层参与、风险评估、尽职调查、培训和沟通、监督和审核等因素。以埃森哲为例,埃森哲在全球拥有53.7万名员工,6000家客户(分布在120个国家/地区),185家合作伙伴,在200座城市开设有办事处和业务(分布在50个国家/地区)。[23] 作为全球最大的上市咨询公司,埃森哲的客户涵盖世界500强跨国企业、政府机构和军队。值得注意的是,作为一家服务全球的跨国企业,埃森哲在中国也具有相当的规模。埃森哲在大中华区有1.8万名员工,分布于北京、上海、广州、深圳、大连、成都、杭州、香港和台北等地,服务的客户包括世界500强企业、国企和政府等。因此,埃森哲的数据是全球流通的,它每时每刻都在处理大量的敏感数据和重要数据,并且存储和处理的数据需要同时符合中国、欧盟、美国的规定。面对庞大的数据体量和流量,埃森哲通过搭建起一套强大的数据合规体系,为企业的数据安全保驾护航。
在我担任埃森哲亚太区区域法律服务董事总经理兼大中华区法律部总经理期间,我作为公司网络安全工作小组组长,负责网络安全以及欧盟GDPR的法律风险分析和合规评估,评估包括中国、美国、欧盟的法律,支持业务团队提供网络安全服务给众多财富500强跨国企业。
结合埃森哲的成功经验,建议企业搭建数据合规体系考虑以下四点:
第一,企业应制定合理的制度和程序,其作为企业合规体系的核心,是企业所有员工履行职责的基本要求。主要分为以下三点:
(1)企业行为准则,这是企业经营管理和文化建设的纲领性文件,包括企业愿景、使命、核心价值观、合规方针、社会责任等方面。埃森哲在全球层面制定了企业的商业道德规范,这个规范是“埃森哲之道”,它建立在埃森哲的核心价值观(创造客户价值、全球化公司、尊重个人、最优人才、恪守诚信和传承卓越)基础上,规定了更详细的预期行为,并推动企业的合规文化、合乎道德的行为和责任制度。[24] 埃森哲非常重视员工和客户的数据隐私,其将数据隐私保护列入到公司的最高纲领性文件中,为公司收集和处理数据的行为提供道德规范指引。
(2)企业数据合规管理制度,这是企业合规部门进行数据合规管理的程序性规章制度,包括数据合规组织制度、数据合规风险管理流程、合规审查流程、违规举报、调查与处置流程、合规报告程序等方面。[25] 埃森哲的企业数据合规管理制度由域界专家(Subject-matter expert)组建的专业团队制定,并结合强大的信息安全管理系统,包括一系列数据合规工具,来监督和执行企业数据管理,最大程度实现企业数据自动化合规管理。具体而言,埃森哲将数据管理分为客户数据、职能部门的数据、第三方管理的数据、涉及个人的数据权利、应急事件的机制(例如,对网络攻击,数据窃取,丢失的员工电脑中存储的数据等情况的处理)五大模块,通过先进的数据合规工具,在数据隐私支持、风险评估、尽职调查等方面辅助企业数据合规。例如,数据合规工具“ONE TRUST”能够在一个综合的平台上,自动进行数据隐私影响评估,标记潜在风险和帮助降低风险;“HIPEROS”能够进行第三方供应商风险管理,包括供应商风险评估和尽职调查。
第四,企业应建立数据合规监控体系,包括监督与审核。[28] 监督是指企业的高层管理者或员工在进行业务活动时,都应在其职责范围内进行可持续的管理与监督,检查每一项业务活动是否存在违规行为。审核是指企业的合规部门与审计部门相互独立地对企业活动中的违规行为进行审查,确保企业的合规体系在全球各地得到了良好的贯彻执行。
(三)搭建合适的合规组织架构
合理规范的合规组织架构是企业合规体系建设的重点内容,是保证企业合规体系良好运转的重要保障,也是企业合规体系顺利落地的必要前提。合理规范的合规组织架构能够协调企业各层级的职权分工,优化资源配置,强化各管理部门和职能部门的合规职责,保证企业合规体系功能的实现。
目前,国资委的《中央企业合规管理指引(试行)》、发改委的《企业境外经营合规管理指引》,以及国家质检总局和标准委联合发布的《合规管理体系指南(GB/T 35770-2017)》(翻译于ISO 19600:2014)均分别对企业的合规组织架构设计提供了指引。结合上述指引和合规实操经验,一个合理规范的合规组织架构需要由以下四个层级构成:决策层(董事会下设的风险管理委员会)、管理层(经理层、合规负责人)、执行层(风险管理部,包括风控、合规、审计)和各业务部门。在组织架构的运作上,各层级之间形成纵向逐级汇报的工作链,即从各业务部门的合规专员→风险管理部→高级管理层→董事会下设的风险管理委员会逐级汇报日常合规工作。反之,董事会下设的风险管理委员会对高级管理层进行监管,高级管理层监督与协助风险管理部,风险管理部与各业务部门相互协作,为各业务部门保驾护航。需注意的是,对于合规事项,风险管理部有义务直接向董事会下设的风险管理委员会进行汇报,该风险管理委员会有权对合规事项进行直接的监控管理。当然,整个企业的合规组织架构都要受到外部监察部门的监管,积极配合协作纪检监察的监督工作。
(四)数据保护合规制度搭建步骤
企业数据保护合规制度的搭建大致可以分为以下三个阶段:
第一阶段,数据核查。从信息安全角度进行的数据核查的常规做法是使用软件来“感知”一个系统内的数据种类,并给予这些数据的敏感程度对该系统提出整体的安全方案。例如,埃森哲通过SERVICE NOW、ONE TRUST、HIPEROS等数据合规工具,在跨境数据传输、合同审查、产品服务、隐私监管审查、尽职调查等方面辅助数据核查。数据核查不仅能够了解企业个人信息的收集和处理的现状,同时也是企业了解现状、识别风险和建立数据合规体系的重要基础。
第二阶段,进行风险识别和制定合规方案。在识别现状的基础上,结合适用法律法规规定的合规义务进行差距分析和风险识别。就企业的IT系统、用户界面、用户注册流程以及在个人信息收集、使用以及保护的透明度等方面,进行整体合规方案规划。
第三阶段,数据合规规则建立和落地。结合企业实际情况建立数据合规规则,完善相关的制度和流程。开展员工意识培训,使员工认识、了解数据合规要求以及如何在业务流程中落实制度要求。最后,在数据保护合规制度搭建起来后,企业需要持续追踪数据保护合规制度实施情况,改善企业数据合规机制,确保企业的数据合规制度持续为企业保驾护航。
(五)数据合规体系落地
搭建起来的企业数据合规体系如何落实到具体的业务流程中?在此,我们以单项产品上线流程为例,简要描述一个数据合规体系的落地过程。首先,在产品酝酿阶段,企业可以邀请隐私保护专家列席产品开发的研讨,专家提供个人信息保护的合规建议,提示合规风险与解决方案,此过程应通过会议记录或邮件的形式留痕。其次,在初步产品设计阶段,产品设计团队针对使用的数据种类建立控制以及架构来处理第一稿的产品设计,第一稿的产品设计需体现上一阶段提出的隐私及个人信息保护风险的解决方案。再次,产品设计团队将完成后的产品设计进行个人信息安全影响评估(Data Protection Impact Assessment,DPIA)。滴滴出行受审查一事,也强有力地证明了企业对于与数据相关的产品进行个人信息安全评估的必要性和重要性。埃森哲所有与数据相关的新产品和新服务,从研发到上线,都需要数据安全和个人隐私专家提前介入,从法律、商业、技术三个维度对个人信息安全进行综合评估,并形成个人信息安全影响评估报告,防范数据安全风险,防止企业日后因数据安全不合规而遭受重大损失,影响企业发展。最后,最终产品能够对先前查出的隐私和个人信息保护风险进行处理,以及明确相应的技术手段和控制,通过最终产品展示会议(包含法务、风控、合规、安全等部门)以及论证加以证明。
在大数据时代背景下,数据资源已成为国力较量、企业竞争优势的重要衡量标准。中国境内外对数据保护的立法和执法力度不断加强,企业数据合规的重要性也在严格的国际监管环境下日益凸显,企业有效开发数据资源、获取数据价值的前提就是数据合规。对企业而言,前期的数据合规体系建设投入,是企业平衡合规经营与数据资源开发的重要前提。滴滴出行受政府审查的事件给国内众多互联网企业敲了一次警钟,前期数据合规工作的缺失终将导致企业后期付出巨大的代价弥补,同时企业也将面临诸多不确定性因素。因此,完善的企业数据合规体系能够降低企业运营中的合规风险,帮助企业有效处理和及时应对可能对企业造成重大损失的风险事件,助力企业业务的稳步增长和企业经营的行稳致远。在数据科技发达的今天,无论是传统业务的企业还是新兴的高新技术企业,都应留意企业的数据保护,搭建一个与自身业务性质和经营管理相适应的合规体系,为企业的发展保驾护航。
[13]《深圳市人大常委会解读<深圳经济特区数据条例>》。https://mp.weixin.qq.com/s/V_2XVVHB71YHdY64e8IchQ
[14]《深圳经济特区数据条例》第十一条、第十二条。
[15] 施俊侃:《七部门进驻滴滴企业应当重视数据安全合规》。https://mp.weixin.qq.com/s/k3m6BrY2X7pPIHfm-UB2dg
[16]《深圳经济特区数据条例》第六十八条、第六十九条。
[17]《个人信息保护法(草案)》第四十五条、第四十六条、第四十七条。
[18]《个人信息保护法(草案)》第二十条。
[19]《个人信息保护法(草案)》第五十条。
[20]参见:深圳市蓝海大湾区法律服务研究院:《“一带一路”法律库建设调研之分课题三——数据和隐私合规指南》,第56页。
[21]施俊侃:《七部门进驻滴滴企业应当重视数据安全合规》。https://mp.weixin.qq.com/s/k3m6BrY2X7pPIHfm-UB2dg
[22]同上注,第99页。
[23]数据来源:埃森哲官网。https://www.accenture.cn/cn-zh/about/company-index
[24]《埃森哲商业道德规范》,第4页。
[25]施俊侃:《上市公司与拟上市公司合规指引》。
[26]同上注。
[27]同上注。
[28]同上注。