自2021年7月4日开始,针对滴滴全球有限公司的数据违规调查告一段落。昨天,国家互联网信息办公室对滴滴全球有限公司罚款80.26亿元,对滴滴全球有限公司董事长兼首席执行官程维、总裁刘清罚款100万元..
此次对滴滴的处罚是目前国内对数据违规行为的最高处罚,也警示所有企业,“数据安全”不仅关系到企业业务的可持续发展,更因其敏感性和重要性关系到企业的安全发展,从而规避违规风险。
在我们的企业数据合规项目中,我们注意到一些企业对“数据安全”的理解存在一些偏差。“企业数据安全管理体系建设”系列文章将帮助企业更全面地了解如何建设数据安全管理体系以及如何付诸实践。本文将分析如何构建企业数据安全管理体系的“金字塔”,为企业有效开展数据合规管理提出有益的思路。
一、为什么要建设企业数据安全管理系统?
滴滴80.26亿元的罚款,给所有数据相关企业敲响了合规警钟。除了滴滴数据的违法处罚,IPO领域也有不少IPO申请因数据合规被否决的案例。监管多侧重于企业获取和使用用户数据的合规性、内控制度的有效性,以及数据采集、清理、管理和应用等方面的合规措施。可见,企业数据安全的合规性不仅影响企业的正常经营活动,而且在涉及企业IPO、寻求更广阔的业务领域和进一步发展的关键节点,越来越受到监管部门的重视。可以预见,随着数据安全“三驾马车”的全面实施,数据安全合规将对企业日常运营和资本市场上市产生巨大影响。所以企业要提前做好规划和应对,未雨绸缪。
二、构建企业数据安全合规体系的前提和思路
说到数据安全合规,其中一个关键环节就是合规。因此,构建企业数据安全合规体系的一个前提条件是需要初步了解中国目前的数据安全立法框架和监管部门的执法现状。我国在数据安全领域的立法,大体可以概括为“总则+特别规定”两步走。以传统立法为基础,以“三驾马车”为代表,辅以针对特定领域的具体规定,形成了中国当前数据安全立法的框架:
从目前监管部门的执法情况来看,我国目前的数据安全保护监管呈现“多头+专项”的特点,即一个领域的数据安全保护往往涉及多个监管部门,以专项行动为主,多个监管部门在短时间内联合执法,对某一领域的数据不合规进行集中治理。以“互联网+医疗健康”行业的互联网医药电商平台为例。主管部门可以包括商务部、工业和信息化部、国家互联网信息办公室、国家市场监督管理总局、中国人民银行、国家发展和改革委员会、海关总署、交通运输部、中华人民共和国国家税务总局、国家卫生健康委员会和国家医疗保障局。相关数据安全治理活动,如公安部组织部署的“净网2021”专项行动、“App非法收集和使用个人信息专项治理”行动等也多次开展。
在立法和执法的大背景下,企业有必要明确建设数据安全管理体系的思路:数据安全合规不仅是体系的建设,更是体系的执行和与监管部门的沟通。其中,制度的实施不仅取决于企业内部自上而下、从决策层到管理层最后到员工层良好的合规意识和文化建设,还取决于制度的事前预防、事中监控、评估和事后问责及完善。
三、如何构建金字塔式的企业数据安全管理体系
在搭建企业数据安全管理体系的“金字塔”之前,首先要明确“企业数据”的范围。很多企业都有“数据=个人信息”的误区。事实上,根据《数据安全法》,数据是指以电子或其他方式对信息的任何记录,个人信息只是最关键的一项。个人信息、产品信息、商业数据、研究成果、大数据分析报告等除外。都属于“企业数据”,最典型的就是企业的商业秘密。由此可见,数据安全不仅仅是个人信息的合规性,还与商业秘密的保护密切相关。企业数据安全管理体系金字塔的建立包括两个层次的工作:确定负责数据安全的组织结构;设计一个适用于本企业的数据安全管理系统。下面我们将一一分析。
(1)确定负责数据安全的组织结构。
数据安全管理系统属于企业内部系统。只有设立完善的组织部门,将数据合规的义务和责任落实到具体的部门和人员,才能真正保证企业数据合规体系的高效运行。因此,确定组织结构是构建企业数据安全管理体系金字塔的第一步。
企业数据安全管理的组织结构通常应该包括一个最高决策部门,通常由董事会担任。在最高决策部门,设立一名数据合规负责人负责数据合规事务,通常由董事会成员担任,负责建立数据安全管理体系,对数据安全保护事务负全面领导责任,对数据安全事件进行决策。最高决策部门由管理部门和监督部门组成。一般董事会设立企业合规部,负责制定具体的数据安全制度和实施细则,各部门相应领域的数据合规治理,直接向董事会汇报。监管部负责系统运行中的风险监控和各部门数据合规执行情况的监督;最后,需要明确执行层面,即各个业务部门,部门负责人要推动基层员工落实企业数据安全保护的具体事宜。
从制度文件来看,上述组织架构设计和各级部门的相应职能应在企业数据安全管理体系中有所体现。以监管层的审计部为例。体系文件可明确审计部门负责企业内部数据处理行为和场景的安全风险评估,对于数据安全管理体系,配合企业指定的外部专业机构进行半年度或年度安全风险审计和检查。以执行层面的人力资源部门为例,可以要求其在招聘、员工入职、在职和离职管理中执行相关个人信息处理规则,实现对员工个人信息和敏感个人信息的合规处理。
在实践中,大多数企业已经有了成熟的组织架构,如法务部门、人事部门、业务部门、运维IT部门等。在设计数据安全管理系统的组织结构时可能会有问题。如何将数据安全管理所需的组织架构与公司已经成型的组织架构结合起来。企业可以将“数据安全最高责任人”的职位调整到企业的组织架构中,在董事会层面设置一名或数名董事作为数据安全最高责任人。然后按照其原有的组织架构设计,将其整合到决策、管理、监督、执行的架构中。比如企业现有的法律部门可以作为监督层,人事部门和业务部门可以作为执行层。同时根据企业数据相关业务的规模、行业、数据量决定是否单独设立数据合规部门。结合项目中常见的企业组织结构类型,我们预设了一个适用于一般数据相关企业的数据安全管理组织结构,可供所有企业参考:
随着数据安全的进一步推进,不同省市对数据安全提出了不同的要求,相关的指导性文件也相继出台。以上海市杨浦区检察院联合杨浦工商会、信息服务业协会发布的《企业数据合规指引》为例。在组织架构设计方面,《指引》提出,企业应当设立最高负责人,鼓励各类企业设立专门的数据合规管理部门。但是,不建议法律部履行合规管理职能。建议董事会直接设立企业合规部,下设数据合规管理部等各专业合规部门。可见,对于互联网电子商务平台、大型涉网数据企业、跨国企业、集团企业,需要参照《指引》设立专门的数据合规部门,同时设立各个具体的管理部门,符合后续监管趋势。
(2)设计适用于企业的数据安全管理系统。
系统建设是构建企业数据安全合规体系的关键,也是决定后续系统能否顺利运行的基础。从制度的安排上,数据安全管理体系也是自上而下的结构,从方针政策到具体形式。
每个企业的具体情况差别很大。数据系统作为企业的内部系统,需要与企业的实际情况紧密结合。根据《数据安全法》的普适性规定,无论企业来自何种行业,在日常经营中涉及数据处理,数据安全管理体系至少应包括四个层次的体系。
1.原则和政策-纲领性文件
该政策属于企业数据安全体系的纲领性文件,原则上包括数据合规的总体目标、基本原则、法律法规等纲领性内容。在具体系统中,通常体现在数据安全管理措施上。
2.管理规范——数据安全的基础体系
管理规范是在方针政策的基础上,根据应当遵循的法律法规,通过贯彻一级方针政策所制定的总体目标和基本原则,用以规范企业经营管理的基本制度和具体规范。管理通常包括三个层次。我们将重要性高的管理规范、法律和基本内容列举如下:
其中,除上图所列的关键规范外,企业还可以制定合作伙伴数据的规范(适用于数据共享、委托加工和提供等情况较多的业务领域)、跨境数据流动的规范(适用于跨国企业集团和涉及外贸的企业)和内容审查的规范(适用于互联网电子商务平台和网络社交平台的运营)
以最重要的数据安全风险防范,原则上每个企业都必须具备的数据分类分级管理标准、全流程数据安全管理标准、企业员工管理标准为例:
(1)数据分类和分类管理规范
数据的分类和分级是全过程数据安全管理、安全风险识别和处置的前提。结合监管要求和企业实际需求,做好数据分类分级是其他数据安全系统设计的前提。
《数据安全法》和《个人信息保护法》对企业的一般数据、一般个人信息和敏感个人信息提出了不同的合规要求。比如在处理敏感的个人信息时要征得当事人的个人同意,而在处理其他数据和个人信息时,却没有这种“个人同意”的要求。
因此,企业可以对其内部数据进行分级管理,并对敏感的个人信息、关键信息基础设施运营商收集的数据、重要数据和关键业务数据采取更高的管理要求。对于其他一般的业务数据,不需要设置太高的安全管理标准。一方面,企业在数据安全管理上可以避免不必要的负担;另一方面,灵活的分层管理也有利于企业数据的综合应用和数据价值的提升。
(2)全过程数据安全管理规范
全过程数据安全管理规范规定了企业在数据采集、使用、加工、提供、委托加工、共享、存储、删除、销毁等全过程的合规要求,贯穿于企业数据处理的全过程。这个制度不仅涉及条款的设计,还需要注意与实际业务操作的匹配。
以互联网企业互联网相关产品为例,在《全过程数据安全管理规范》条款的设计层面,应注重最小必要性原则,在规范中设计需要采集的数据类型和范围;同时,还需要符合“数据主体授权同意”的规定,取得数据主体的同意。在实际业务操作层面,以公司业务需要通过公司网站、APP、小程序等互联网方式采集数据为例,在数据采集功能上线之前,业务部门需要确定数据采集的范围、方式和目的,数据合规部门和法律部门需要对需求的合法性进行审核。数据合规部门将批准并记录合规情况。数据收集功能上线,需要配套的收集和使用规则,比如“用户协议”、“隐私政策”。
(3)企业员工管理标准
它是企业数据安全体系的“尖兵”。企业设计的数据安全合规体系能否真正落实并发挥作用,取决于员工能否按照既定的制度去执行。《企业员工管理规范》规定了员工在处理企业数据时应该做什么,不应该做什么,是整个数据安全体系的关键文件。
以数据相关岗位员工的管理为例,建议在规则层面设置最低授权访问控制策略,限制员工只能访问其职责所需的最低限度的必要数据。在实际操作层面,可能会要求涉及数据岗位的员工在入职阶段签署数据合规承诺书;在在职阶段,企业可以配备工作电脑,运维IT部门可以设置最低授权访问权限,禁止对外传输功能等。对于超越权限的数据处理,需要提前报告并获得授权,并对存储重要数据的办公地点进行监控;这些员工的电脑设备要在离职阶段及时收回,运维IT部门要及时终止离职员工的所有访问权限。
(4)实施细则——解决落地难。
实施细则是将管理制度中无法涵盖的具体工作安排,以具体操作规程或实施指南的形式展现出来,以解决“落地难”的问题。通常在企业中,可能包括财务数据管理实施细则、第三方人员管理细则、办公机房安全管理细则等。
以《财务数据管理实施细则》为例。由于财务数据是企业的机密数据,一旦泄露,可能会造成巨大的经济损失。要对财务部门不同职级员工查看财务数据的范围和权限、其他员工查询财务数据的审批流程、财务部门员工离职审核等做出详细规定,明确财务数据安全维护的具体职责。
(5)各种形式——对应具体的执行程序。
各种表格是数据安全管理系统的重要工具。用于各种报表、记录、报告等。管理制度和实施细则实施过程中产生的,采用定制模板或其他方式,以保证前后内容的一致性,便于记录、阅读和保存。通常在企业中,可能包括访问控制记录表、数据合规承诺表、数据安全培训评估表等。例如,访问控制记录表单可以设置身份认证、权限控制、审批流程、查询记录等内容,以标记重要的数据访问。
构建企业数据安全管理体系金字塔是企业数据安全合规工作的起点,而不是终点。系统能否顺利运行并在企业日常管理中发挥应有的作用,仍然需要企业做好对进一步运行的监控和评估,以及对系统的管理和维护。我们将在后续文章中继续梳理这一问题,以期对企业的数据安全合规体系建设有所帮助。本文作者:
马钧,德恒上海办公室律师;主要执业领域为企业数据合规、股权投融资、公司合规、公司治理等领域的诉讼以及非诉讼法律服务等,曾协助多家境内外企业构建企业数据与个人信息保护制度,并取得了良好的效果。指导伙伴:
俞霞,德恒上海办公室合伙人、律师,上海律协政府与社会资本合作业委会委员、国际争议解决及风险管理协会国际认可专业调解员;主要执业领域为股权投融资、资本市场及公司治理与合规,长期为多家医药医疗公司、互联网企业、大数据及机器人等科创企业提供法律服务。张韬,德恒北京办公室合伙人、律师,网络与数据研究中心主任;《中华人民共和国电子商务法》起草组专家,国家级网络市场监管与服务示范区评审专家;长期参与互联网、电子商务、数据、知识产权等领域法律起草、政策规划制订工作,主要业务领域为互联网与数据合规、电子商务、知识产权等。声明: 本文由德恒律师事务所律师原创,仅代表作者本人观点,不应视为德恒律师事务所或其律师出具的正式法律意见或建议。如需转载或引用本文任何内容,请注明出处。