其他
随着全球数字化转型的飞速发展,数据已成为新时代最重要的生产要素之一。作为国家的基础性战略资源,数据不仅是推动经济社会转型发展的强大助力,还关系着国计民生的方方面面。为此,国家已出台多部相关法律政策,明确了使用收集数据等行为的规范和要求,势必将数据安全合规问题推向正轨,而各行各业也必定会协助这一趋势,将数据安全合规要求贯彻始终,共建安全、合规的数字化时代。在此背景下,4月22日,诸子云深圳分会举办了“数据安全合规线下研讨会”,六位专家分别以“数据出境合规路径”、“场内数据交易及合规审核”、“数据管理解决方案”等为题,针对数据安全合规问题展开了深入讨论。本次线下会议由诸子云深圳分会主办。活动有幸邀请深圳数据交易所、深圳卓建律师事务所、太平保险、晨星资讯、传音、深圳矽递科技、慧泽保险、天虹数科、安克创新科技股份有限公司、联易融数科集团、宝能汽车、中国平安财产保险股份有限公司、腾讯安全、艾贝电商、雅乐居、集贤科技、长城证券股份有限公司、招商期货、平安科技、奇安信、顺丰、太平洋产险、小鹏汽车、金元证券、碧桂园物业、华润集团、普联技术有限公司、TCL、东呈酒店、红途科技、Kaamel等企业的安全专家共同参与。卓建律师事务所魏安迪、深圳数据交易所陈一芊、平安科技丁克淦、TCL陈东、Kaamel蔺毅翀、红途科技李晓文等六位专家分别进行了分享。《企业数据出境合规路径解读》魏安迪卓建律师事务所《网络安全法》、《数据安全法》、《个人信息保护法》三部上位法都对数据出境的相关合规问题进行了非常严格的规定,去年开始《数据出境安全评估办法》、《个人信息保护认证实施规则》等一些比较具体的细则出台,也说明了数据出境的合规要求需要进行落地和实际操作。数据出境比较典型的场景示例:境内企业在境外进行投资时,需要向境外转账大笔金额,因此会受到境外反洗钱的监管,企业需要解释这笔资金的合法性来源,并向监管提供相应的资料,这就会涉及到境内一些个人信息的出境;还有在香港的总公司需要收集大陆子公司的数据,也是比较典型的场景。数据出境具体的合规要求,目前来说主要关注个人信息和重要数据。个人信息方面,首先是要得到个人信息主体的同意,其次在出境前需要进行个人信息保护影响评估,需要输出个人信息保护影响评估报告,保存期限是三年。除此之外,根据个人信息保护法,要在数据出境安全评估、个人信息保护认证、个人信息出境标准合同中择其一。重要数据方面,数据出境安全评估一定要做。企业如果想要数据出境满足合规要求,首先要识别数据出境场景,重点关注四个模块,人力资源、系统产品、供应链/采购、国际交流合作。梳理完出境场景后,企业就需要根据自身情况看具体要履行哪些合规要求,比如是否是关基,是否需要处理重要信息等。需要做数据出境安全评估的情况有几种,一是涉及到重要数据,二是关键基础设施运营者,三是看个人信息出境的数据量有多大。企业数据出境首先要做数据出境安全风险评估,而数据出境安全评估比较重要的内容是提交数据出境自评估报告;如果企业不需要申报数据出境安全评估,可能会涉及到个人信息保护认证,依据是个人信息保护实施细则。如果企业出境的场景是单次的,可以签署数据出境标准合同,流程是先进行个人信息保护影响评估,然后签署个人信息出境标准合同,最后在标准合同生效10个工作日内向所在地省级网信部门备案。最后,建议企业针对数据出境建立一个长效的数据跨境管控体系。《场内数据交易及合规审核》陈一芊深圳数据交易所数据交易场所运营机构里,场内数据交易相关方分为两个部分,一个叫做数据交易主体,其包括数据卖方、买方和数据商,还有一个叫第三方服务机构,其为数据交易活动提供服务,包括律师事务所、安全检测机构等。需要注意的是,按照深圳相关规定,数据商对数据的真实性和来源合法性负有责任,所以如果想要来场内交易,标的物不是自己所拥有的情况下(即提供保荐服务),建议上市前先对交易标的进行合规自查,其次是要和被代理方签好协议,明确相关责任,以降低自身风险。交易标的主要分为数据产品、数据服务和数据工具;数据交易流程分为交易准备、交易磋商、交易合同签订、支付结算和争议处理。数据交易相关的法律政策比较重要是的2022年底发布的“数据二十条”。“数据二十条”主要回应了三个问题,第一是“数据产权不清晰”的问题,国家的回应是要“建立保障权益、合规使用的数据产权制度”;第二是“相关立法不明确,数据难以合规流通”的问题,国家的回应是“建立合规高效、场内外结合的数据要素流通和交易制度”;第三是“数据交易缺乏激励”的问题,国家的回应是“建立体现效率、促进公平的数据要素收益分配制度”。最后部分是场内数据交易合规审核的难点和解决思路。第一个难点是数据交易所的审核责任边界在哪里?从《数据安全法》来看,从事数据交易中介服务的机构提供服务,应当要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录;从《交易管理暂行办法》来看,交易所要审核交易准备环节买卖双方提供的信息。对交易所来说,未来发展趋势是以自动化审核代替人工审核,并且实行不同交易标的不同审核标准。第二个难点,交易标的的合规评估标准是什么?针对数据交易合规评估标准不明确,入场交易成本高的问题,可以通过建立动态诚信合规体系,对数据商、律所、律师等主体实行动态评级预警,同时在推动落地场内数据合规评估标准、行刑衔接激励、动态协同监管等方面,实现交易成本降低,场内交易效率提升的目标。第三个难点,谁来评?如何保证评估质量?为此,深圳数据交易所开展了场内数据交易合规师认证活动,鼓励更多对数据交易行业感兴趣的专业人士加入,通过交流、培训、考核,为市场培养一批新时代的数据交易合规人才。加入活动,不仅可以与行业专家一起交流,还能及时获取数据交易行业最新资讯、研究成果和合作机会。《TCL智能终端产品隐私保护实践》陈东TCL全球隐私监管的态势越来越严格,TCL在面临这样的趋势时主要关注五个方向,非法处理、违反数据处理原则、违反安全、违反数据主体权利、违反通知义务。外部客户明确提出了隐私保护要求,比如过分收集数据,消费者会拒绝使⽤该产品,比如消费者因顾虑隐私会停⽌使⽤产品,消费者认为企业应保护好其个⼈数据。此外,合作伙伴会要求提供隐私合规证明,客户会要求提供隐私合规说明,隐私也成为了进入市场的重要因素。面临这些问题需要内外兼修,在内主要是要建组织、建流程、建平台,以支持整个数据的采集和内控管理;在外主要是提升隐私数据框架的成熟度、多做认证,以及提升外部感知⼒。主要体现在四个方面:透明可控、用户受益、安全保障、合法合规。TCL隐私管理体系框架包括了12个工作域,保障了整个策略流程以及整个规程方案的整体落地,管理体系按照三五法则来做,其中,在流程上包含数据主体权利响应(DSR)流程、隐私事件响应(PIR)流程、隐私影响评估({PIA)管理流程、第三方数据保护管理流程、个人数据跨境转移风险评估(TRA)管理流程。TCL构建了SPbD安全隐私管理平台,通过整合TCL在软件研发安全领域多年积累的流程、⽅法、⼯具、知识库等经验,实现覆盖产品软件全⽣命周期的安全隐私⻛险控制,并且实现可量化管理,赋能项⽬团队实现⾼效可信的持续交付能⼒。阿波罗计划里,TCL把整个对外隐私、感知力、行权往上放;中间整个软件层面,会把PIA的评估需求会落入到功能进行牵引,这样功能上就会产出各种安全的开发工作,再通过平台逐步做牵引,通过隐私评估平台做支撑;下层是平台线,能够保障好整个产品软件的安全隐私风险管理,对此进行统一整理的是泰坦风险管理平台。TCL在采集数据时会在产品线添加感知、告知的功能,比如在用户体验改善和隐私协议上;采集好的数据会经过云上方案,TCL会根据相应的规则将数据脱敏,之后按照3+1+x的策略方案进行存储。TCL获得的认证:《从TikTok听证会看》蔺毅翀Kaamel自2019年以来,TikTok在海外多个国家和地区受到了监管的问询和调查,在部分国家因为用户隐私保护问题甚至受到了监管的处罚,罚款主要聚焦在两点:儿童隐私保护和数据跨境。去年TikTok内审内控团队跨境使用了用户数据,其通过《华尔街日报》几名记者的IP信息关联内部给媒体爆料的员工,该数据跨境访问行为被媒体爆出后将其近几年构建用户信任的努力功亏一篑。这也是TikTok美国听证会的前因。以TikTok为代表,中国本土企业想要出海可能面临的不仅仅是一个数据合规的问题,甚至还会牵扯到国家安全。而隐私合规问题在带来媒体关注的同时,企业也将面临更多的负面舆情风险。企业在发展到一定规模,同时在隐私合规上投入大量人力物力之后仍然避免不了被海外监管部门处罚,究其原因是企业在国内经营的风格形成了企业做事惯性,即很多管理者会习惯性按国内的监管执法特点去衡量海外的监管环境,以致水土不服产生很大的误区和误判;其次,海外的监管机构,其执法逻辑区别于国内;最后是危机管理的区别,国内的处理方式一般是删帖、静默等冷处理,但这样的应对方式在国外往往只会适得其反。从组织层级的角度来看,美国分为国家安全层面、联邦层面、州层面和集体诉讼。国家安全层面,首先是国会,国会没有管辖权、执法权,它的作用是推动立法,给监管机构施压;接着是CIFUS-财政部,在资本、企业投资并购方面具有管辖权,TikTok就是在收购musical.ly时未向CIFUS报备而被处处针对。联邦层面最活跃的是FTC,其职能类似于国内的商务部,FTC有两大执法利器,一是FTC