#前言
随着技术的发展,云计算、大数据等新技术在各行业得到广泛应用,海量的数据发生跨领域的汇聚融合。数据利用在成为驱动产业发展的重要因素的同时,也带来有关个人隐私保护、数据安全甚至是国家安全等风险,数据合规也因此成为企业必须重视的问题。《数据安全法》和《个人信息保护法》的问世,让我们感受到了不断增强的数据合规监管压力。强监管时代,如何做好数据合规工作成为了企业开发利用数据时的必答题。
本文将从中国国内数据立法保护与监管趋势,数据合规关注要点,以及数据合规主要工作三方面对数据合规工作展开深入分析,以期为企业数据合规能力的提升提供建设性意见。
一、国内数据保护立法和监管趋势
(一)我国关于数据保护领域的有关法律
2016 年之前,我国没有数据保护的专门性立法,有关数据保护的内容散见于不同的法律法规之中,当时的数据合规工作,除参考部分国内行政法规外,更多参考的是国际立法要求。
2016年后,我国推出第一部有关数据方面的立法——《网络安全法》。网络安全法本应聚焦于网络安全问题的监管,但由于国内外形势的发展,在个人信息保护方面的法律规制也具有紧迫性。因此,《网络安全法》中单设了有关个人信息保护相关内容的专门章节。
2021年9月1日,《数据安全法》正式施行,《个人信息保护安全法》也于同年11月1日正式施行。《个人信息保护安全法》的颁布实施,标志着我国有关网络安全及数据安全治理的整体法律框架的初步形成。
与此同时,我国也一直致力于有关法律的配套制度建设。例如:2021年11月1日,《汽车数据安全管理若干规定》颁布,2022年7月7日,《数据出境安全评估办法》出台,这些都属于具有重大影响的立法实践。
由于数据合规问题可能涉及多个法律领域,属于复合型法律问题,合规从业者不仅需要关注相关法律规范,也需要关注不同业务场景下是否会产生相关民事责任或者刑事责任竞合等问题。
国际层面,多国针对数据合规设置专门的监管机构。但目前中国的监管体系是由中央领导小组决定、指导、实施相关数据安全战略和重大方针政策,由网信部门负责统筹协调有关数据保护工作,由各监管部门承担本行业、本领域内的数据安全监管职责。
(二)中国对于个人信息违法行为的处罚措施
我国的个人信息保护力度水平与国际接轨。企业发生违法行为时,最高将面临5000万元以下或者上一年度营业额5%以下罚款处罚措施。此外,对直接负责的主管人员和其他直接责任人员,也将面临十万元以上一百万元以下罚款,并将被计入信用档案予以公示。目前《网络安全法》修订的征求意见稿也已发布,主要的修改内容也是参照《个人信息保护法》的内容大幅提高了处罚标准。
除了数据保护专项立法的处罚措施,企业还应当关注我国的刑法对于个人信息违法行为也有相关规制,如:《刑法修正案(九)》规定的侵犯公民个人信息罪以及网络服务提供者拒不履行信息网络安全管理义务罪。
(三)中国数据保护立法、监管趋势
第一,数据安全越来越被重视。
第二,立法快速推出,多项配套细则处于起草阶段。在短短几年内先后通过关于数据安全的三项立法,体现国家对于数据安全法律框架的重视,但高速立法进程也使得将有大量的与之配套的规则、细则不断出台。
第三,多项国内规则均出于反制,尤其是针对“长臂管辖”。这要求合规工作者格外重视某些关乎国家数据主权的法律条款。
第四,执法活跃且严厉,多头监管,技术手段丰富。监管部门可能以有影响力的执法案件为标杆,在全社会范围凝聚重视数据安全的共识。
第五,法律赋权用户,司法案例和舆情事件增长。我国关于数据合规方面的司法案例以及相关舆情事件都呈现较高增长势头。这也提醒数据合规工作者应重点关注用户维权工作。
第六,在数据保护问题上,企业需自证清白。企业一切数据合规工作都应留痕,如此方可确保在面对相关调查或者投诉案件时能够及时提交证据,用以证明已履行相关合规义务。
二、数据合规关注要点
开展数据合规工作需要关注以下4个重点问题,具体实操要点如下:
(一)数据分级
企业开展相关数据工作的首要任务是对数据资产进行盘查并进行分级分类。数据通常可分为核心数据、重要数据、一般数据。
核心数据,是指关系国家安全、国民经济命脉、重要民生、重大公共利益等权益的数据;重要数据,是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,或将危害国家安全、经济运行、社会稳定、公共健康和安全的数据。
核心数据因面临更高监管要求所以需重点关注。相对而言,针对核心数据或重要数据的数据处理行为需更为慎重,谨慎开展风险评估。而数据是否会被认定为核心数据,将由国家相关行业主管部门在进行相应摸查后作出判断。
一般数据可分为个人信息、非个人信息。个人信息,是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。对于非个人信息,国家并没有过多限制其流动,因此可更为自由地流动以发挥价值。
个人信息分为“一般个人信息”与“敏感个人信息”。
敏感个人信息,是指一旦泄露或者非法使用,容易侵害自然人的人格尊严或人身、财产安全的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
敏感个人信息在《中华人民共和国个人信息保护法》的规定下有着更为严格的合规义务,包括特定的处理目的、充分必要性的论证、严格的保护措施、用户单独同意、事前风险评估、告知相关影响等义务。
(二)匿名化与去标识化
匿名化,是指个人信息经过处理无法识别特定自然人且不能复原的过程。个人信息匿名化处理后,不再属于个人信息。
去标识化,是指通过对个人信息的技术处理,使其在不借助额外信息的情况下,无法识别的个人信息,或者关联个人信息主体的过程。个人信息去标识化处理后,仍然是个人信息。
一旦相关的个人信息实现匿名化,相关数据便不再属于个人信息,数据处理者可以不用履行个人信息处理者的合规义务。因此,无论是欧洲,还是中国,都对匿名化的认定持有非常谨慎态度。绝大多数情况下,基于法律角度观察,企业所谓的实现匿名化,都仅仅是实现了去标识化。因此企业需慎重论证有关技术手段是否能够实现匿名化,若监管当局不认可该手段,企业将大概率会承担严重的违规风险。
(三)《个人信息保护法》所规定的三种数据合作法律关系
《个人信息保护法》对于数据合作关系的法律类型进行区分,不同类型的法律关系将面临不同的合规义务及法律风险。
1)共同处理
2)委托处理
3)转移处理
(四)数据出境需要关注的合规重点
数据出境活动主要包括以下行为:数据处理者将在境内运营中收集和产生的数据传输、存储至境外;或数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以访问或者调用。
数据出境合规首先要明确是否存在数据出境场景,其次通过企业自评估判断出境数据的合规义务和风险。
(1)若涉及核心数据出境,企业将会面临非常严格的审查,除非确有必要性,否则不会轻易允许相关数据出境;
(2)如果涉及重要数据的出境,企业应按照数据出境管理办法相关要求,进行数据出境安全评估申报;
(3)若仅仅是个人信息而未涉及重要数据,也需具体问题具体分析:
如果是关键信息基础设施运营者,或者是处理100万人以上个人信息的数据处理者,无论个人信息出境的数量多少,都需要进行数据出境安全评估申报;
而对于其他个人信息处理者,如果出境数据量自上年1月1日起累计向境外提供10万人,或是累计提供超过1万人的敏感个人信息,也需进行数据出境安全评估申报。
在申报数据出境安全评估前,企业往往需要开展数据出境风险自评估,风险自评估应重点评估以下事项:
(1)数据出境情况和风险。要全方位排查出境数据规模、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险。
(2)境外接收方的安全保障能力。要明确境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全。
(3)数据处理者的安全保障能力。全方位排查数据出境中及出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等风险,个人信息权益维护的渠道是否通畅等。
(4)法律文件的约定情况。与境外接收方拟订立的数据出境相关合同或其他具备法律效力的文件等是否充分约定数据安全保护责任义务。
(5)其他。全方位排查其他可能影响数据出境安全的事项。
三、数据合规主要工作
(一)数据合规人员如何更好地开展合规工作
1、数据合规工作者要扮演好“风险识别者”的角色
数据合规工作的重中之重是审查业务场景存在的合规性差异及风险。如果数据合规工作者无法准确识别相应的风险,将会导致数据合规工作最终面临非常严重的后果。
2、数据合规工作者要扮演好“认知对齐者”的角色
若想起做好风险识别工作,关键在于统一各部门对于业务场景的认知。数据合规工作者应尽可能与业务部门、IT部门同事统一对于同样知识流程的认知,否则很难准确排查数据业务风险。
3、数据合规工作者要扮演好“规则塑造者”的角色
开展合规工作的重要原则之一为“外规内化”,即将外部监管所确定的相关合规义务根据企业的业务场景、组织架构、内部的规则作为为内部规章。尤其针对新兴业务场景,更应在分解合规义务的基础上、构筑企业内部合规制度,管理好业务场景中的合规风险点。
(二)数据合规中的具体工作
1、评估类工作
(1)网络完全和数据保护整体风险评估
(2)个人信息安全影响评估
(3)数据跨境流动风险评估及备案
(4)数据资产/合规性尽职调查
(5)重大数据立法对业务影响评估
针对大体量个人信息数据处理者,相关的合规义务、特定场景下的个人信息安全性影响更应该作为评估重点。针对重大数据立法对业务的影响。企业还应关注立法趋势对于业务的影响。如果相关立法可能对业务产生较大的负面影响,尽量预留充分的时间对相应的业务调整,尤其涉及到大量现有业务调整,或者涉及全球业务系统架构等无法在短期完成所有的合规动作的工作,密切关注立法动向的重要性不言而喻。
2、其他类工作
(1)起草隐私政策及各类数据处理合同
(2)建立各项数据管理制度、合规指引及SOP
(3)数据泄露及风险事件预案及应对
(4)执法和监管调查应对
(5)员工培训
来源:合规智行
自主竣工验收
清洁生产审核
排污许可核查
