在大型企业落地数据合规,有哪些难点?
▲
王新锐
安理律师事务所
高级合伙人
罗为
安理律师事务所
高级合伙人
数据合规面对的首要难点,是公司内部多个业务部门之间信息的不同步。对于大多数大型公司来说,涉及到数据收集和使用的部门往往有多个,至少包括市场、采购、IT、人力资源、客服、合规部门,如果是医疗、教育等行业,还可能涉及对接医生、教师的单独部门,一部分企业在数字化转型的过程中还会成立跨部门的机构负责领导。对于数据合规来说,在提出“怎么做”之前必须要搞清楚“是什么”“为什么”。但数据处理活动技术性很强,不易描述,而且数量如此之多的部门均参与到处理数据的过程中,各自的目的和场景也不相同,每个部门对数据活动的认知都是有限的。比如使用数据的部门并不清楚数据的来源,而负责数据收集的部门也不清楚是否会用于其他目的。如何准确、全面地描述大型企业对数据的处理(即data mapping),并确定其中哪些处理行为可以根据合规要求进行调整,哪些是商业模式的基础几乎不能改变,就成为了数据合规各项工作推进的前提。
数据合规在大公司遇到的第二大难点,是合规义务的分解和嵌入管理流程。中国目前关于数据的规则非常复杂,法律、法规、部门规章、规范性文件、国家标准均有大量规则,而且在一些情况中,某些规则的法律层级虽然不高,却是监管机构执法的主要依据。此外,大量的司法案例和舆情事件也会实际形成一些规则,在合规中需要关注。对于大型公司来说,这么多颗粒度不一的规则如何进行分解,而后嵌入到公司内部的政策、标准作业程序(SOP)或其他管理文件中,就变成了一项艰难的任务。尤其还要考虑到法律法规会随着风险事件不断变化,例如,人脸识别、开发者工具套件(SDK)都因为社会关注度较高,进而成为了监管的重要关注点,亦有细化的相关规则陆续推出。相对来说,法律法规案例的梳理工作虽然需要耗费人力,但难度不大,如何把这些规则和公司内部的管理流程进行对位,才是真正的难点。尤其是很多跨国公司的组织架构非常复杂,牵一发而动全身,不可能因为数据保护的细化规则就进行较大调整。
数据合规的第三个难点,是各项制度优先级的选择。个人信息和数据安全的相关法律法规,都对企业提出了许多具体的制度要求,例如数据安全风险评估制度、个人信息保护负责人制度、个人信息泄露通知制度。如果再结合行业或场景的特点,制度还要进行拼接或细化,比如员工个人信息保护制度、生物识别信息保护制度、数字营销数据保护。在公司资源有限的情况下,各项制度建设的优先级排序会决定着合规工作的效果。次序如果选择有误,会导致合规工作急刹车,各个部门会无所适从,或者对于新建立的合规制度产生抵触情绪。
除了上述难点以外,大公司的数据合规工作还可能涉及境内外规则的要求不同甚至互相冲突、中央和地方不同监管机构执法要求不同、供应商众多而数据安全水平参差不齐等其他困难,本文不一一展开。
尽管存在这些难点,只要能充分认识到成因,困难程度就会降低。合规最重要的要求还是识别和管理组织中出现的风险,合规过程中最糟糕的情况是对风险的产生和传递没有全局性的认识。数据合规业务在国内是新兴业务,但在国际上已开展多年,积累了丰富的经验,同时,数据合规业务也可以从其他合规业务如反腐败、反垄断的实践中有所借鉴。很多大型跨国公司,尤其是总部位于欧洲的公司,历经欧盟《通用数据保护条例》(GDPR)合规的洗礼,也形成了一些方法论和合规工具,有时对于解决上述难点会很有启发。当然,考虑到中国数字经济的丰富性和监管要求的重点不同,实践中也需要对这些方法论和工具进行筛选。
作者 | 安理律师事务所高级合伙人王新锐、罗为
本文将刊载于《商法》2021年2月号,原标题为“数据合规:在大型企业落地的几大难点”。如欲阅读电子版,欢迎浏览《商法》官网。
往期专栏精选
长按扫码关注我们
为了让您第一时间获取专业法律资源
请常点”在看“
并将”CBLJ 商法”设为星标
阅读原文查看更多专家策略相关文章