壬寅虎年春节前夕,上海市首份《企业数据合规指引》(以下简称《指引》)由上海市杨浦区人民检察院联合市信息服务业行业协会、市数据合规与安全产业发展专家工作组、杨浦区工商业联合会制定发布。
在刚刚结束的上海市十五届人大六次会议《加快推动数字技术和实体经济融合,促进本市数字经济高质量发展》专题审议会上,这份创新指引也被特别提到。《指引》根据《个人信息保护法》、《网络安全法》、《数据安全法》等法律法规制定,旨在引导企业加强数据合规管理,保护个人信息,保障数据安全,规范数据处理活动,虽然《指引》并不具有强制性,但是作为上海市首份企业“安全生产”操作指南,具有较强的指导意义,我们还是有必要共同学习一下。
据统计,以软数字经济为核心的产业规模目前在杨浦区已超过了800亿。自2021年3月起,作为上海市企业合规改革试点单位,杨浦区人民检察院立足该区大力推动数字经济与实体经济深度融合、整体转型,打造“一带、一区、一圈”数字经济地标的区位特点,积极大胆尝试,致力于探索符合区域数字经济特点的企业合规改革路径。在一起对某信息科技有限公司涉嫌非法获取计算机信息系统数据案件委托第三方评估组织开展监督考察、督促涉案企业合规改革的过程中,杨浦区人民检察院首次尝试引导企业建立数据安全合规标准,并且着手分析识别数字经济企业可能存在的法律风险共性问题,把“碎片化治理”整合成“综合性治理”,以个案合规向逐步推动行业合规。在此背景下,杨浦区人民检察院以数据法规为依据,以企业合规基本理论为指导,并联合市信息服务业行业协会、市数据合规与安全产业发展专家工作组、杨浦区工商业联合会召开企业代表、专家学者座谈会,听取各方意见,最终形成符合改革试点工作实际和司法办案需求的企业数据合规指引范本。《指引》共有三十八条,按照合规架构与风险识别处理的逻辑划分为六章,从数据合规管理体系、数据风险识别、数据风险评估与处置、数据合规运行与保障等方面引导企业加强数据合规管理。✦ 1、明确企业最高管理者作为数据合规的第一责任人,需确保将数据合规落实情况和效果纳入企业内部人员绩效考核体系。✦ 2、鼓励各类企业设置专门的数据合规管理部门,而不是由法务部门履行合规管理职能。企业应向数据合规管理部门负责人提供足够的授权、人力、财力来支持数据合规管理体系的运行。✦ 3、企业应积极与监管部门建立沟通渠道,了解数据监管部门期望的数据合规体系,并制定符合其要求的数据合规制度。企业在制定合规计划的时候应当全面识别所面临的数据风险,根据这些风险来制定和完善合规计划。✦ 1、《指引》列举了一些常见的数据风险,包括数据全生命周期各阶段中可能存在的未授权访问、数据滥用、数据泄露等风险,例如:● 数据处理者开展影响或者可能影响国家安全的数据处理活动,应当按照国家有关规定,申报网络安全审查;● 企业在应用程序开发和运营过程中使用第三方SDK时,应该通过合同等形式明确第三方的数据安全责任义务,并督促第三方采取必要的数据安全保护措施,加强数据合规管理;● 数据处理者处理个人信息,应当依据《个人信息保护法》的规定遵守八项规则,并在特定情况下删除个人信息或者进行匿名化处理等。✦ 2、《指引》还特别对数据刑事风险进行了提示,数据处理者在数据处理活动中可能因为存在某些行为被追究侵犯公民个人信息罪、破坏计算机信息系统罪、非法侵入计算机信息系统罪等刑事责任。✦ 1、数据风险分级。企业在识别数据风险内容的基础上,可根据自身经营规模、组织体系、业务内容以及市场环境,分析和评估数据风险的来源,发生的可能性、后果的严重性等,并对数据风险进行分级。✦ 2、建立风险处置机制。企业应建立健全数据安全事件应急预案和风险处置机制,对识别和评估的各类风险设置恰当的控制和应对措施来降低风险,必要时停止相关风险行为。✦ 3、积极应对数据监管部门的调查。不得拒绝提供有关材料、信息,或者提供虚假材料、信息,或者隐匿、销毁、转移证据,或者有其他拒绝、阻碍调查的行为。✦ 1、发现和举报机制。企业通过设置日常的流程监控、内部审核、重点核查以及定期评估等方式发现企业及员工的违规行为,并及时采取相应的处置措施,同时,企业也应该允许员工实名或匿名举报数据违规行为。✦ 2、考核和培训机制。企业应将数据合规考核结果作为企业绩效考核的重要依据,与员工的评优评先、职务任免、职务晋升以及薪酬待遇等挂钩。同时,应当定期为管理层、员工培训数据法规、数据合规计划、岗位角色与职责等。2021年可以称之为数据合规的元年,企业以“三驾马车”作为法律基准,试图将数据合规全面落地尚有一定难度,但2022年三部大法的配套法规可能会密集出台,企业的数据合规建设不再是纸上谈兵。
本次出台的上海市首份《企业数据合规指引》虽然不具有法律强制性,法律法规对数据合规另有专门规定的,从其规定,但是《指引》可以为各类所有制企业进行数据处理活动,建立数据合规管理体系提供参考。正如杨浦区区长薛侃在相关专题审议会上,也充分肯定了《指引》的引领作用——从制度规范、准入门槛上设定明确的指引,让企业知道在什么样的游戏规则下发展,引导、帮助数字经济企业合法合规成长。对企业而言,在数据科技发达的今天,无论是传统业务的企业还是新兴的高新技术企业,都应关注企业的数据合规和保护,变被动为主动,尽早搭建一个与自身业务性质和经营管理相适应的合规体系。尤其对于有上市计划的公司而言,更是要未雨绸缪,正视目前审核机关对拟上市企业(尤其是科创板上市)的数据合规审查日趋严格,涉数据问询也从概括、笼统变得具体、细致的趋势。滴滴出行受政府审查的事件给国内众多互联网企业敲了一次警钟,前期数据合规工作的缺失终将导致企业后期付出巨大的代价弥补,同时企业也将面临诸多不确定性因素。新年伊始,万象更新,我们也希望借助本次《指引》的引导作用,企业可以进一步完善自身的数据合规体系以降低企业运营中的合规风险,帮助企业有效处理和及时应对可能对企业造成重大损失的风险事件,助力企业业务的稳步增长和企业经营的行稳致远!