4层拆解：数据合规管理体系落地要点！

随着《个人信息安全规范》、《数据安全法》、《网络安全法》的相继出台，越来越多的企业逐渐认识到数字经济的时代已然到来。“数据”和“合规”对于国家、企业和社会来讲，变得尤为重要与迫切。数据合规虽然成为了法律人的蓝海，但若想在该领域大展拳脚却并非易事，需要同时具备法律知识和技术能力。本次文章以“数据合规体系落地”为主题，从战略、组织、流程、IT四个角度切入，结合过往实务经验，让“数据合规”不再陌生。

目录索引

一、战略篇
二、组织篇
三、流程篇
四、IT篇

在数据合规领域，《个人信息保护法》与《数据安全法》、《网络安全法》共同构成我国企业应遵循的数据保护合规义务的法律框架。目前，国家对个人信息、重要数据等数据保护力度不断加强，企业也应有把握时代趋势的敏感度，加强自身数据合规管理体系建设。

企业数据合规管理体系必须抓住“管理”和“技术”两个要点，同时融入企业管理体系，既要满足外部监管要求，还要满足企业的管理诉求。

一、战略篇

企业数据合规管理工作首先要说服企业管理层认可数据合规的意义，即将“数据合规体系建设”纳入到企业的战略中。为此，数据合规管理体系需要与企业的经营战略对齐。

战略对齐的核心要点是“向上管理”，和企业管理层做好沟通，最好的沟通材料就是执法案例。法务合规部门可以从三个方面与管理层沟通执法案例：是否是同行？是否有同类业务？是否存在同类违规点？说服领导层在战略层面开展数据合规体系的建设。

二、组织篇

（一）搭建数据合规管理体系的重要角色部门

1. 数据合规负责人

《个人信息保护法》第52条规定，“处理个人信息处理数量达到网信部门规定数量的个人信息处理者应当指定个人信息保护负责人。”《数据安全法》第27条也规定，重要数据的处理者应当明确数据安全负责人和管理机构

数据合规负责人的级别如何设置。个人信息保护负责人具体如何设置、级别如何安排，属于企业自治内容，但应与企业重要数据/个人信息的数量、重要程度等相匹配。

2. 数据合规组织机构

数据合规组织机构是指明确配合个人信息保护负责人开展工作的工作机构。《数据安全法》第27条规定，重要数据的处理者应当明确数据安全负责人和管理机构，落实数据安全保护责任。《个人信息保护法》虽然没有直接规定企业应当设立个人信息保护工作机构，但其对企业处理个人信息规定了各方面义务，履行这些义务显然需要专门工作机构的支持。

成熟的数据合规管理体系一般围绕以下骨架搭建：数据合规工作组可分领导小组、能力小组、实施小组。领导小组由主要由公司重量级领导做组长，各业务部门主管为成员，负责制定整体策略，决策数据合规方案；能力小组由法务合规专家、技术专家组成，负责制定数据合规要求，跨部门统筹协调等；实施小组主要由各BG/BU的数据合规人员组成，负责数据合规的具体落实。

3. 独立监督机构

《个人信息保护法》第58条规定，提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，应当成立主要由外部成员组成的独立机构对个人信息保护情况进行监督。

在落实《个人信息保护法》该项规定的过程中，涉案企业合规第三方监督评估制度和上市公司独立董事制度可能会成为参考。因此，建议企业在制定未来规划时，可以尽早考虑成立独立监督机构，占据主动优势。

（二）数据合规BP的“能力模型”

数据合规BP是整个数据合规责任体系的关键，一个合规的数据合规BP才能帮助业务主管履行好数据合规管理第一责任人的职责。数据合规BP（Business Partner） 能力模型包含三个方面——法律、技术、业务。

1. 法律是开展数据合规工作的基础。
2. 技术：数据合规工作涉及大量技术问题，而且技术手段是从源头规避风险的重要方法。
3. 业务：数据合规工作只有融入业务才能真正起到作用。

数据合规入门不难，只需要掌握能力模型的一个方面即可，但入门后需尽快补齐另外两部分，并将三个方面融会贯通、灵活运用。

三、流程篇

（一）如何落实数据合规体系
外规如何内化，制定相应的政策和流程是企业数据合规能力的体现。

合规合的是法律，但不能直接照搬法条，要将法律法规转化成公司内部的政策、流程。一方面是业务人员不是法律出身，难以真正领会法律要求，另一方面也是因为同一业务可能涉及多个合规风险，需要统一各合规风险的要求，提升执行效率。

（二）如何制度化的规避数据合规风险（风险评估）

为确保业务合规，企业在开展业务之前需进行相应的风险评估；与此同时，企业开展对个人权益有重大影响的个人信息处理活动时，应当事前进行个人信息保护影响评估，这既是《个人信息保护法》第五十五条规定的法定义务，也是数据合规风险评估的一种。

结合企业业务实际情况，建议在以下场景中增加数据合规评估：

1. 产品/IT方案上线（尤其是涉及用户数据收集的产品/IT）
2. 数据入/出数据湖
3. 涉及个人数据处理的用户活动
4. 流程发布
5. 个人数据采购
6. 对外提供个人数据

为平衡数据合规评审效率和质量，可以分层分级进行风险评审。

1. 成熟场景：成熟场景风险相对可控，可基于业务部门数据合规BP的能力交由数据合规BP负责评审。成熟场景的定义可以采用白名单管理，成熟一个授权一个。

2. 新场景（新业务、新产品）：新场景涉及的法律不清晰、业务场景不清晰，需由专业团队把关，建议由数据合规专家（能力小组）进行评审。

3. 升级机制：当遇到数据合规BP无法判断的场景时，可将评审工作升级，由数据合规专家（能力小组）进行把关。

四、IT篇

数据合规是数据的合规，在当前企业数字化转型的大背景下，数据合规的管理要求嵌入业务系统，从源头规避合规风险。运用IT将业务系统之间的壁垒打通，提高管理效率，避免不停调整数据。还能深入到各个业务系统抓取数据，监控业务的执行情况，并通过智能管理平台进行展示，拉近管理者与数据合规的距离。

合规数据库：合规工作离不开对法律环境的洞察和法律/案例/实务文章的检索，这就需要一个智能化的合规数据库，将“人找法律”转变为“法律找人”，提升法务合规人员工作效率。

PIA风险评估：合规管理的核心是风险管理，但不同行业、不同企业、不同业务对风险评估的要求均不一样，我们需要一个能够适应不同行业特点、不同企业管理特点的灵活的风险评估工具，实现风险从识别、定级、到处置、管理的软件，实现风险的端到端管理。

隐私文档管理：数据合规工作绕不开隐私文档，对于产品线比较丰富，需要编制大量隐私文档管理的企业，一款好的隐私文档管理工具不仅可以大大提升隐私文档的编写效率和质量，还能实现隐私文档的规范化管理。

来源：iLaw合规 作者：张风