2022年1月27日,上海市杨浦区人民检察院、上海市杨浦区工商业联合会、上海市信息服务业行业协会,以及上海数据合规与安全产业发展专家工作组联合发布了《企业数据合规指引》(以下简称“《指引》”)。虽然《指引》自身并没有强制性,但是其相对完整、全面地对企业所应履行的义务作出了说明,可以作为降低数据安全风险的合规参考。本文将结合《指引》的具体内容,对其中六大要点进行解读,以供相关企业参考。
一
检察机关推动,落实企业合规
提到与“企业合规”有关的部门,人们的第一反应往往是具体履行监管职责的行政部门。然而,由于企业的合规状况对于部分涉企案件的处理亦具有重要参考作用,近年来检察机关亦开始更多地推动与企业合规相关的机制建设。2021年6月3日,最高人民检察院、司法部、财政部、生态环境部、国务院国有资产监督管理委员会、国家税务总局、国家市场监督管理总局、中华全国工商业联合会,以及中国国际贸易促进委员会联合发布了《关于建立涉案企业合规第三方监督评估机制的指导意见(试行)》。检察日报亦发表社评,指出“推进企业合规工作,是落实习近平新时代中国特色社会主义思想和习近平法治思想的重要举措,也是政治性极强的业务工作,需要有关各方全力以赴共同抓落实。”[1]
在此背景下,检察机关将更多地参与到推进企业合规、优化营商环境的工作中。以发布本次《指引》的杨浦区为例,自2021年3月起,杨浦区检察院先后召开四次企业合规推进会,并成立了企业合规改革试点工作领导小组。[2]本次《指引》的发布,亦是杨浦区检察院推进企业合规的一环。而且,《中华人民共和国个人信息保护法》第七十条规定:“个人信息处理者违反本法规定处理个人信息,侵害众多个人的权益的,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。”因此,检察机关亦有动力对企业的合规情况进行主动监督。在此背景下,未来可能更多见到由检察机关牵头组织,指导企业落实合规义务的场景。因此,除各类数据监管部门之外,企业亦应当对检察机关的动向与态度施以必要的关注。
二
促进政企沟通,建立交流机制
在检察机关推动企业合规工作的同时,本就需要承担监管职能的相关政府部门自然也不会缺席。尤其在落实规定要求的具体实践中,政府部门的监管口径对于企业有着极其重要的意义。虽然我国在近年制定了一系列与数据合规有关的法律法规,但是其中很多规定还相对宏观,缺少相关的细则。此时,政府部门的监管口径就可以帮助企业把握业务尺度,了解合规的边界。
然而,由于政府部门天然地存在监管者这一身份,实践中亦有部分企业对与政府沟通存在抵触情绪。它们担心这一过程可能暴露自身的合规瑕疵,进而引发各类不利的后果。对此,《指引》第十条规定:“企业应积极与数据监管部门建立沟通渠道,了解数据监管部门期望的数据合规体系,并制定符合其要求的数据合规制度;对于复杂或专业性强且存在重大数据风险的事项,可以向数据监管部门咨询……”本条虽然在字面上是对企业提出建议,但是“建立沟通渠道”并不可能依靠企业单方的努力即告完成,亦需要数据监管部门提供沟通对接、答复咨询的窗口与人员。因此,如果从实质内容上分析,本条的实现将有赖于企业与数据监管部门两方的通力合作。在《指引》发布后,亦可以进一步观察数据监管部门是否会针对性地向企业开放沟通渠道或建立相应机制,为政企交流提供便利。
三
确定第一责任人,明确职责范围
对企业而言,在明确合规体系的制定原则后,下一步就是确定数据合规事宜的负责人,相关负责人的层级一定程度上能够体现企业对此问题的重视程度。本次《指引》在第六条明确提出:“企业的最高管理者是数据合规的第一责任人”,意在鼓励企业将数据合规列为自身最为重视的事项之一。
同时,考虑到最高管理者通常相对繁忙,对于数据合规可能无法事必躬亲,《指引》亦列明了最高管理者应当承担的管理职责,包括:“(一)分配足够和适当的资源来建立、发展、实施、评估、维护和改进数据合规管理体系;(二)确保建立举报数据违规的有效机制;(三)确保战略和运营目标与履行数据合规义务之间的一致性;(四)建立和维护问责机制,包括纪律处分和后果;(五)确保将数据合规落实情况和效果纳入企业内部人员绩效考核体系。”上述职责均相对宏观,使最高管理者既能够全局性地把握数据合规情况,落实数据合规义务,又不至于被琐碎的具体合规问题所困扰。而对具体合规问题的处理,就牵涉到下一个要点,即如何确定数据合规的团队与人员。
四
拆分合规与法务,建立专业化团队
为落实数据合规义务,企业必然需要相应的人员与团队。《指引》亦在第七条中对此作出了规定:“鼓励各类企业设置专门的数据合规管理部门,或者将数据合规管理职能融入现有的企业合规管理体系,但是不建议由法务部门履行合规管理职能。”
从企业内部治理与职责划分的角度,尽管法务、合规都需要以各类规范作为工作的基础,但是二者之间依然存在不少差异。首先,合规工作所涉及的各类依据往往相对更为具体与琐碎,以数据合规为例,除法律法规外,还可能涉及各部委的监管规定、实践中的处罚案例、乃至部分国标、行业规范。而且,数据合规还仅只是合规中的一个部分,在此之外的其他合规领域还可能涉及不同的内容,如由法务部门负担全部领域的合规职责,则存在出现遗漏与疏忽的可能性。同时,在数据合规领域,亦存在一些专业性的资质与认证,例如CIPP、CIPM和CIPT认证等,企业在组建数据合规团队时,亦可以考虑选择聘用具备资质的人员,以提升团队专业化程度。
其次,实践中有大量企业将法务部门主要用于辅助业务部门完成交易,其作用往往随着交易完成即宣告结束。然而从履行合规义务的角度,除对交易进行事前的合规风险评估外,交易事后的持续监控、企业整体的合规体系建设等都属于履行合规义务的一部分,这一定位已经远远超出了目前很多企业法务部门的职能范围。
在上述背景下,《指引》特别指出“不建议由法务部门履行合规管理职能”,一定程度上也是希望企业能够以单独的部门将数据合规落到实处,而不是仅由法务部门挂名兼任,最终却因能力或定位不匹配而使得合规监管的职能流于形式。
五
强化自我治理,完善内部措施
在确定责任人与团队后,落实企业数据合规义务就需要具体的措施与手段。《指引》亦就此提出了一些建议,可以供企业参考选用。
其一是建立风险评估机制。虽然“数据处理活动定期开展风险评估”是《中华人民共和国数据安全法》中已经提出的合规措施。但是该法仅对“重要数据的处理者”提出了该项要求。本次《指引》的第二十三条在鼓励企业进行风险评估的基础上,还进一步建议各类企业都可以对于数据风险进行分级,并根据风险评估结果对不同职级、工作范围的管理层与员工进行风险提示,以便实现事前预防的效果。
其二是建立内部举报机制。由于企业处理数据的情形可能相对繁多,仅凭合规团队及相应人员进行内部监督难以面面俱到。因此《指引》在第三十条提出可以设置举报机制,“允许员工实名或匿名通过内部系统举报数据违规行为,并严格保护实名举报者和匿名举报者不受打击和报复,尤其是保护匿名举报者的个人信息安全”。配合《指引》第九条提出的“建立数据合规举报记录台账,对数据合规举报制定调查方案并开展调查”,该措施可以动员企业员工广泛参与数据合规的监督工作,并确保所有的举报切实得到回应与处理,尽可能减少企业自我监督时的漏洞与死角。
六
部分表述参考草案,应当注意及时更新
在《指引》中,除不少内容直接借鉴现行数据保护相关法律法规的规定外,亦有部分条款参考了尚未生效的草案的表述。例如《指引》第十五条、第十六条和第十九条即分别参考了《网络数据安全管理条例(征求意见稿)》的第十七条、第二十一条和第十二条的规定。《指引》第二十一条关于“数据出境风险自评估”的规定则是参考了《数据出境安全评估办法(征求意见稿)》第五条的表述。
鉴于我国数据保护的相关法律体系仍在不断完善的过程中,作为一部相对全面实践指导,《指引》不可避免地需要参考此类尚未生效的草案。目前企业亦可以先参照《指引》中的规定用以自查合规情况、完善合规体系,但是,企业仍然应当时刻关注最新的立法动向,如未来上述各项规定的正式稿出台且对草案的表述作出调整,则企业应当及时按照最终生效的规定调整合规体系,不能再简单沿用《指引》中的相关建议,否则反而可能造成企业合规体系与监管规定脱节,产生新的合规风险。
综上所述,作为检察机关推动起草的参考性文件,《指引》从多个方面较为全面地为企业提供了合规建议,在更多与数据合规有关的条例细则出台前,企业可以结合自身的数据处理情况与需求,选择适用其中的标准或建议,以建设、改善数据合规体系,实现降低数据安全风险的目的。
[注]
[1] 检察日报社评:《推进合规重在落实第三方监督评估机制》,载https://www.spp.gov.cn/spp/zdgz/202110/t20211011_531740.shtml,最后访问于2022年2月8日
[2] “拥抱监管 让企业发展得更稳更好 杨浦区检察院召开企业数据合规指引座谈会”,载https://view.inews.qq.com/a/20220121A052Z700,最后访问于2022年2月8日
来源:中伦视界
乳化液与切削液处理设备
2024年度安全质量年度工作总...