数据合规观察 | 深圳企业数据合规管理体系建设的实施路径【走出去智库】

Original 郭小明、刘润兴走出去智库 2022-11-22

走出去智库观察

由走出去智库（CGGT）提供学术资源支持的《深圳法治评论》2021年第四期已经付印，本期主题聚焦深圳法治示范城市建设和法治政府示范建设。

2021年5月，中央全面依法治国委员会印发《关于支持深圳建设中国特色社会主义法治先行示范城市的意见》，从中央层面对深圳的法治建设作出部署、擘画蓝图。建设中国特色社会主义法治先行示范城市是建设社会主义法治国家的重要探索，也是推动城市治理体系和治理能力现代化的重要路径。

《深圳法治评论》由中共深圳市委全面依法治市委员会办公室、深圳市司法局主办，定位于高端领导决策读物，聚焦深圳法治建设，刊发高水平、可实操的应用性政策研究，辅助市领导及本市党政机关领导干部法治建设方面决策，为支持深圳建设中国特色社会主义法治先行示范城市建言献策。

自2020年创刊起，走出去智库（CGGT）即为该高端决策读物提供学术资源支持。

由深圳鹏城法律合规研究院院长郭小明、副院长刘润兴、高级研究员黄嘉洁撰写的《深圳企业数据合规管理体系建设的实施路径》刊登在《深圳法治评论》2021年第四期合规栏目，今天走出去智库（CGGT）刊发该文，供关注数据合规的读者参考。

要点

CGGT，CHINA GOING GLOBAL THINKTANK

1、个人信息保护是数据合规的核心，虽然各国相关立法并不完全相同，但基本遵循了共通的合规原则，对于个人信息数据的处理依据、主体权利、影响评估、第三方管理、数据出境、安全措施、组织机构、应急机制等均作出规定，为确立通行的数据合规管理体系标准提供了现实的可能性。

2、企业应对收集和使用到的数据类别有清晰的认知，重点关注个人信息及重要数据，并对数据进行全生命周期的管理。这就要求企业在对数据处理过程进行全面调研后，形成清晰的数据清单以及数据映射图表。

3、企业应加强对数据流通全链条的数据安全合规管理。针对委托第三方进行数据处理或共同处理，以及接收第三方数据信息，应与相关方签订数据安全保障合约，明确相关人员的数据安全管理职责，制定严格的数据引入、对接、传输和流通的合规管理体系。

正文

CGGT，CHINA GOING GLOBAL THINKTANK

文/郭小明

深圳鹏城法律合规研究院院长

北京市通商（深圳）律师事务所高级合伙人

刘润兴

深圳鹏城法律合规研究院副院长

北京市通商（深圳）律师事务所高级顾问

黄嘉洁

深圳鹏城法律合规研究院高级研究员

北京市通商（深圳）律师事务所律师

《数据安全法》及《个人信息保护法》是2021 年我国在数据合规领域最重要的两部立法，与此同时，深圳亦出台了国内数据领域首部基础性、综合性立法——《深圳经济特区数据条例》（以下简称《深圳条例》）。上述立法对包括深圳企业在内的所有数据处理主体均提出了相应的合规要求，企业应根据法律规定建立健全自身的数据合规管理体系。

数据合规是立法执法活动的客观要求

《数据安全法》第 27 条规定，开展数据处理活动应当“建立健全全流程数据安全管理制度，组织开展数据安全教育培训，采取相应的技术措施和其他必要措施，保障数据安全”。对个人信息处理者而言，《个人信息保护法》的要求更为具体和明确，既要在“处理”上合规，也应在“管理”上合规，例如，制定内部管理制度和操作规程，对个人信息实行分类管理，采取安全技术措施，合理确定操作权限，定期开展教育培训，实施应急预案等。《深圳条例》亦明确要求数据处理者“建立健全数据分类分级、风险监测、安全评估、安全教育等安全管理制度，落实保障措施，不断提升技术手段，确保数据安全”。在国内的执法活动中，工信部、网信办等部门也对企业建立有效的数据合规管理体系提出了要求，例如，针对侵害用户权益的 App 专项执法行动，组织互联网平台企业作出依法合规经营承诺等，均要求相关主体系统性地开展数据合规工作。

从域外执法实践来看，建立数据合规管理体系亦是企业遵行合规要求的基本义务。例如，2019 年 7 月 24 日，美国联邦贸易委员会（FTC）与 Facebook 达成和解，Facebook 除支付 50亿美元罚款外，还需接受长达 20 年的合规监管，并从多个方面建立、实施和维护全面的隐私合规体系，包括建立独立的隐私委员会，接受指定的合规官和具有广泛监督权力的第三方评估人，强制推行产品隐私审查与数据安全事件报告，加强安全性技术要求等。

由此可见，在应对全球数据监管和遵守国家相关法规的前提下，企业如何做好数据合规，尤其是有关个人信息保护的合规管理体系建设，有效防范数据违规风险，成为现实环境下的重要议题。

国内外主要数据合规管理体系标准

个人信息保护是数据合规的核心，虽然各国相关立法并不完全相同，但基本遵循了共通的合规原则，对于个人信息数据的处理依据、主体权利、影响评估、第三方管理、数据出境、安全措施、组织机构、应急机制等均作出规定，为确立通行的数据合规管理体系标准提供了现实的可能性。当前国际国内主要数据合规管理体系标准简述如下：

美加制定的公认隐私原则

2003 年，美国注册会计师协会和加拿大特许会计师协会共同制定了公认隐私原则（以下简称 GAPP），现行版本为 2009 版。GAPP 创建了北美的通用隐私管理体系标准，确立了 10 项个人信息及隐私数据的管理要素和原则，分别是管理、通知、选择和同意、收集、使用、访问、向第三方披露、隐私安全、质量、监控和执行。这10 项原则以客观和可衡量的标准作为后盾，确定了组织内的隐私风险和合规性，并且从战略目标、风险诊断、风控执行、维持和管理以及独立审计等方面设置了隐私管理的实施步骤。

ISO/IEC 27701 隐私信息管理体系

2019 年，国际标准化组织和国际电工委员会发布了《ISO/IEC 27701 隐私信息管理体系》，在原有基于信息安全的管理、实施、操作、监控、审查的基础上，分别从数据控制者和数据处理者的角度，补充说明了收集和处理个人信息数据的条件、对信息主体的隐私保护义务、隐私设计保护和默认保护，以及个人信息共享、转移和披露的相关要求。该标准的发布和实施标志着，信息安全、隐私与个人信息保护在国别法律法规的合规遵从上有了广泛认可的指南。

美国国家标准技术研究院隐私框架

2020 年 1 月，美国国家标准技术研究院发布基于企业风险评估导向的隐私框架（Privacy Framework）。隐私框架由三方面组成：核心层（Core）、方案层（Profile）和实施层（Implementation），强调组织和企业可以通过连接业务导向和组织内部的角色和责任分配、建立和完善隐私体系、嵌入系统开发生命周期、嵌入数据处理生态、嵌入采购活动等措施进行隐私风险管理。

国标《信息安全技术个人信息安全规范》

国家标准《信息安全技术个人信息安全规范》自 2017 年底首次发布以来，已被各个行业和企业在数据合规工作中广泛采用，而且中国网络安全审查技术与认证中心正是依据此标准对移动互联网应用程序开展认证工作。该推荐性国家标准为组织在个人信息的收集、保存、使用，个人信息主体权利，委托处理、共享、转让、公开披露，个人信息安全事件处置，个人信息安全管理要求等方面提供了详细的行为指引，既可用于指导包括企业在内的各类组织建立数据合规管理体系，也可为监管部门、第三方机构等开展个人信息保护合规的监督、检查、评估等工作提供指引。

企业建立有效数据合规管理体系的路径

无论从立法执法，还是业界倡导的合规标准来看，建立有效的数据合规管理体系是企业充分应对数据合规风险、守护数据价值的必由之路。深圳企业可从如下方面考虑搭建或完善内部的数据合规体系：

开展数据核查分析

企业应对收集和使用到的数据类别有清晰的认知，重点关注个人信息及重要数据，并对数据进行全生命周期的管理。这就要求企业在对数据处理过程进行全面调研后，形成清晰的数据清单以及数据映射图表。对于在经营过程中收集、存储、使用、加工、传输、提供个人信息数据的，企业应分别列出其收集的方式、使用的目的、范围、期限、涉及的第三方、输出物等关键内容。例如，按照 SIPOC 方法论，从提供者（Supplier）、输入（Input）、处理（Process）、输出（Output）、接收者（Client）等方面分别列示数据处理活动。同时，企业亦应以数据清单为基础，通过数据映射图表对业务场景、企业岗位职责、对应合规要求等进行划分和风险分析，根据法律法规的监管要求，不断丰富和完善对业务活动的合规管理要求。

建立合规管理组织

建立专业、高效的合规管理部门，优化组织机构，是企业落实数据合规管理责任、实现数据安全保护战略的重要组织保障。企业应对数据保护进行穿透式合规管理，建立分层分级管理、多点多面控制、各部门协同工作的数据合规机制，做到横向到边、纵向到底。同时，企业应当加强合规培训教育活动，持续培育合规文化，提升涉及数据处理岗位人员的合规能力，建立能力模型，实现从“要我合规”到“我要合规”的转变。

制定数据合规政策

制定数据合规政策是企业开展数据合规工作的具体依据及风向标。企业应在数据合规政策中集中体现良好的数据合规价值观、卓越的管理措施与技术能力，以及企业获得的数据安全认证资质等。在内容上，企业可以从管理职责、数据分类分级、数据处理合规要求、合作伙伴管理、安全事件应急预案、合规检查审计等方面制定数据合规的管理制度。另外，数据合规政策应与企业发展战略相匹配，引导各部门结合业务场景去识别和应对业务活动中的数据合规风险，并建立基于实际业务操作的行为指引。数据合规政策的合理化、透明化，有助于增加用户对企业的信赖度，推动企业提高数据合规的自律性。

完善数据处理规则

对于个人信息和重要数据，企业应采取数据安全措施，如进行脱敏处理，不得违法违规对用户进行画像或进行强制个性化推送，合规处理数据出境事宜。企业应加强数据主体权利管理，全面支持相应主体的知情权、访问权、删除权、更正权、拒绝权等权利，将履行合规管理义务的实际行动嵌入到业务流程中。对于数据的收集、使用和处理，企业应对数据主体进行明确的告知，并征得相关主体的同意，不得通过默认同意、强制捆绑、不同意就限制权限等方式违法违规收集和使用相关数据。当数据的收集和使用授权到期、被撤回，或者数据主体要求销毁数据时，企业应保障数据传输中断、撤回、销毁等技术手段的安全性、保密性、合法性和彻底性，实现数据全生命周期的安全保障。

落实数据安全审核

企业应通过建立数据安全保护机制、数据分类分级管理与保护制度、数据出境安全评估等制度，全面落实数据安全审核。其中，企业应重点针对国家秘密、关键信息基础设施数据、重要数据以及个人信息，根据是否存在被窃取、泄露、毁损或出境，以及是否有可能被国外机构影响、控制、非法利用等风险进行排查。在发布新产品、新服务时，同步开展数据保护影响评估。同时，对于数据出境以及域外执法司法活动，应按照有关法律法规进行安全评估并且提交审批申请。对于发现的数据安全漏洞以及潜在威胁，企业应积极、及时、专业地进行处理和应对，切实提高企业数据安全意识与防范能力。

配套必要保护措施

企业应加强对数据流通全链条的数据安全合规管理。针对委托第三方进行数据处理或共同处理，以及接收第三方数据信息，应与相关方签订数据安全保障合约，明确相关人员的数据安全管理职责，制定严格的数据引入、对接、传输和流通的合规管理体系。另外，对网络访问、授权验证、大数据风控、数据安全存储及恢复等关键点，在技术上进行完善，在管理上严格要求，围绕业务场景及境内外法律制定配套的必要保护措施。同时，企业应建立健全数据安全事件的申诉和举报路径，保障企业内外部的数据安全沟通渠道，持续开展数据合规审计与调查，实现数据合规闭环管理。

延展阅读