《个保法》正式施行,To B企业的数据合规应该怎么做? | 云启投后内参
2021年,产业互联网关键词是什么?
对于这个问题,不同人有不同的答案。有人会认定为云原生,有人给出的答案是分布式数据库,有人会选择AI,但所有人都不会有异议一个关键词是“数据安全”。
对企业而言,数据安全正在成为一条新的红线。数字化进入深水区,企业要更加明确数据使用的合规合法范围,如何有效的保障数据安全又不阻碍企业自身成长,成为to B企业的新挑战。
新的合规要求带来了新的问题:企业面对怎样的信息数据合规的监管?如何收集信息和数据?企业应该如何应对监管挑战?企业应该承担怎样的责任和义务?
最近,在腾讯云启的产业生态投资-云享交流活动中,腾讯内部法务合规专家和汉坤律师事务所专家针对这些问题带来了相关干货分享,以下是分享实录,enjoy。
*关注云启公众号,后台回复“合规”可获取《企业数据保护法律风险防控》完整资料
Q1 当前数据合规的监管框架是什么?
信息保护与数据安全的监管框架
信息化时代,个人信息保护已成为广大人民群众最关心最直接最现实的利益问题之一。近年来,我国对个人信息数据保护越来越重视、有关法律法规也日益健全。
在数据成为基本生产要素的当下,数据的采集、使用以及延伸应用都逐步受到监管。我国形成了以《网络安全法》、《数据安全法》、《个人信息保护法》三法为核心的网络法律体系,为数字时代的网络安全、数据安全、个人信息权益保护提供了基础制度保障。与此同时,监管机关的执法权力也会进一步加强,多部门联合执法将会成为常态。
其中,个人信息安全的“红线”——《中华人民共和国个人信息保护法》已于2021年11月1日正式实施。《个保法》对违反个保法的企业及单位最高罚款5000万元或上一年度营业额5%;暂停或终止App、网站服务。对直接负责的主管和直接责任人最高罚款100万元,并可禁止担任董监高和个人信息保护负责人。违法行为还将记入信用档案予以公示,对企业声誉、品牌形象、招投标、上市等带来负面影响。
Q2 在新的监管背景下,哪些公司要注意数据合规监管?
约束主体和适用范围
境内所有商事主体(包括在境内的外国企业使用境外网络服务)及国家机关在收集、存储、使用、加工、传输、提供、公开、删除个人信息的过程中都要遵循个保法要求;向境内自然人提供产品或服务的境外主体也受我国相关法律约束。
数据合规的行业数据敏感性
公司数据合规的敏感性取决于业务是否涉及个人信息、是否处理敏感个人信息(包括生物识别、医疗金融、行踪轨迹等)。
如公司业务涉及有较多个人信息的行业(如to B行业常见的线上零售、广告、营销等),需要关注合规风险,及时进行整改。其中,公司业务如果涉及个人敏感信息,需高度关注数据合规风险,对部分行业更有专门立法来限制和规范数据合规行为。
Q3 企业应该怎样做好数据合规?
收集个人信息的核心原则是告知-同意原则
“告知-同意”是贯穿个人信息保护的基础规则和个人信息处理者处理用户信息的前提。
企业要制定明确的个人信息保护政策,告知收集及使用目的、范围场景、对外披露情形、个人信息主体权利保障机制、投诉处理渠道等。
梳理调整产品业务流程,必要的情况下考虑重新设计、调整业务流程或产品,加强对客户的告知义务,以满足“告知-同意”的执行要求。在实操中可以使用用户弹窗等方式实现,保障用户可以随时查看公司隐私保护条例,提前确认收集信息对应用户的告知义务。在产品上,及早修补数据安全漏洞。
企业需要获取及处理个人信息前,应以显著、清晰易懂的语言真实准确完整地向个人告知,不能打包同意,要单独提示对应信息的用户同意。同时,企业供查看的整体隐私政策不代表用户的单独同意,隐私政策是一系列行为而不是某一个具体数据处理活动,针对用户的具体数据处理动作,还是要单独告知并申请用户同意。
信息收集原则及信息分级管理
企业应定期进行全面数据评估自查
信息处理要按照合法、正当、必要、诚信、公开、透明、影响最小原则进行,处理个人信息应当具有明确合理目的,数据收集必须与数据处理目的直接相关,并采取对个人权益影响最小的方式。收集也应当受限于处理目的的最小范围和最短时间,不得过度收集、保存时长。
其中针对敏感个人信息(包括生物信息、金融、行程等)处理要按照特定目的+充分必要+保护措施来谨慎收集处理。
具体执行指南
企业对自身涉及的个人信息的类别、规模、来源等有基本的了解,进行定期的自查工作。也推荐进行定期的数据合规审计,不断提升企业合规水平。
根据个人信息的敏感(重要)程度、来源、用途、是否对外提供或跨境,对数据进行评估和分类,对其中涉及的重点信息进行单独处理、存放。对于非必要信息、超出个人信息处理原则范围采集的信息,应当及时予以剔除、隔离。
信息处理全流程合规
技术、管理合规两手抓
技术上,企业建立防范危害网络安全行为的技术措施:防范计算机病毒和网络攻击、防范网络侵入等危害网络安全行为的技术措施;监测网络运行状态,留存日志不少于六个月;对数据分类、重要数据备份和加密;在处理信息时引入安全技术措施,如加密、去标识化技术等。
管理上,公司要制定内部安全管理制度和操作规程:落实网络安全保护责任,确定网络安全负责人,制定网络安全管理组织架构、人员配备、行为规范规则;制定公司人员应遵守的数据合规程序或步骤;根据不同保护等级设置安全管理人员、安全主管、安全管理责任人等。
委托外部处理信息注意合规义务
业务中对外委托处理数据的情况,无论是“共同处理”还是“委托处理”, 委托方和受托方都应明确约定委托的处理目的、期限、处理方式等细则,不得超出约定的处理目的、处理方式。委托方、受托方都受到相关法律法规的约束,都必须担负数据合规相关义务。
具体执行指南
如公司A委托公司B进行数据处理,如果企业A有数据不合规情况的话,那么公司B也要承担责任。从提供服务的企业角度来讲,公司B也需要对公司A提供的数据、用户同意的审核工作做到位,才能减少自身合规风险。
进行事先评估与防控
提前合规是关键
提前准备网络安全应急处置措施,制定安全问题应急预案。发生事件后及时向主管部门报告。
当用户控诉企业数据问题,企业需自证合规,需做好自证合规的相关流程及应对方案准备。
企业可以请第三方进行安全认证,出具评估报告,提前做好对应行业的合规认证(如国家市场监管总局与人民银行推出的【金融科技产品认证】,信通院推出的【可信云服务评估】等)。
密切关注监管动态
积极配合监管机关
积极关注各类法规的数据处理个案,及时进行风险研判。当企业发现了违法数据信息或其他违法行为,应尽快停止提供相关数据服务,保存记录向有关部门报告,必要时要及时与公安机关、监管部门沟通配合。
企业做好自身网络产品、服务的安全性合规保障,部分企业因自身业务还有身份验证核验、关键信息基础设施安全保护等其他义务。
Q4 企业在准备IPO,监管部门提及的网络安全审查或安全评估是什么?
网络安全审查由企业进行申报,相关安全监管部门审查,重点评估数据处理活动可能带来的安全风险。处理一百万人以上个人信息的数据处理者赴国外上市的、赴香港上市的,影响(或可能影响)国家安全的,需要申报网络安全审查。
数据安全审查评估工作是数据处理者需要自行或委托第三方评估机构开展数据安全评估,并出具数据安全评估报告等。处理重要数据者或者赴境外上市的普通数据处理者,应当自行或者委托数据安全服务机构每年开展一次数据安全评估,并在每年1月31日前将上一年度数据安全评估报告上报所在区域的市级网信部门。
拟上市企业应尽早开始进行数据合规准备,数据安全未来可能成为涉及数据业务企业IPO的必选项。无论是在海外、香港上市,无论数据是否跨境,企业均要面对相关安全部门对数据安全的审查,要持续落实关于数据与网络安全运营方面的合规义务。企业要密切关注后续监管动态,特别是关于网络安全审查的动态。如明确上市计划,建议和中国律师、监管机构进行充分沟通,并为潜在审查预留充分的时间(如半年左右),积极与监管沟通配合。
综上所述,企业应当主动应变、积极合规。贯彻落实个人信息保护及数据合规有关法律规定和相关监管要求,建立健全企业内部个人信息保护合规制度。从业务层面出发、结合有关规定及监管要求多维度、多层次自检和整改,技术合规、管理合规两手抓,定期开展内部审计活动,落实有关规定及监管要求,以实际行动保障个人信息安全、优化业务合规。
*关注云启公众号,后台回复“合规”可获取《企业数据保护法律风险防控》完整资料
关于产业生态投资投后增值服务
结合腾讯优势和ToB资源,腾讯产业生态投资为投后企业提供产业链资源协同、公司战略澄清解码、组织能力诊断提升、经营策略方法论、联合校招等腾讯特色的投后增值服务。
关于腾讯云启
腾讯云启创新生态,以资金和资源扶持中国创新企业快速发展。通过产业加速器加速ToB优质企业成长,促进与腾讯全业务链接合作,通过产业共创营与企业共创从0到1的行业解决方案,并以产业基地为载体,在区域形成1-N的复制。
欢迎扫码添加“云启小助手”,加入社群!↑↑↑