随着大数据、云计算、人工智能等新兴技术在数字经济中广泛运用,数据要素已成为引领中国高质量发展的一个新引擎。但随之而来, 数据的分布式存储、多渠道流转、多业务共享已成为常态,数据活动场景复杂性增大,新的信息安全风险点由此延伸。
与此同时,我国的数据安全也迈入了强监管时代。《网络安全法》《数据安全法》《个人信息保护法》等法律陆续出台,健全了我国数据安全法律法规矩阵,构建了我国网络空间治理和数据保护的基本法,对企业的数据收集以及使用等各环节,做出了明确规范和要求。
在此背景下,企业数据合规也面临着更高的要求。
那么,什么是企业数据合规?
企业数据合规是指企业对数据采取的行为符合所在地与业务关联地法律法规的要求。企业从数据的收集、处理、储存,到转让、删除、销毁,都需要依照相关法规来执行。
做好数据合规,能帮助企业避免关法律风险,促进企业良性发展;同时也能确保企业可以持续、合法的使用相应的数据,以及拥有相应数据产品的财产权利,帮助企业维护好数据资产。
01、数据合规监管框架
要做好企业数据合规,我们首先需要理清当前的数据合规监管框架。
从主要的法规、监管政策发布实施时间来看,自2019年起,数据合规和保护逐渐进入到强监管的时代。
2013年的《电信和互联网用户个人信息保护规定》就个人信息的收集和使用规范以及企业需要采取的安全保障措施作出专章规定,其中确定的大部分原则延续至今。
2017年,《网络安全法》开始实施,该法作为网络安全领域的第一部法律,在网络运行安全和网络信息安全方面提出了数据保护和个人信息保护的要求。
2019年初,工信部、网信办、公安部、市场监管总局共同以一则《开展APP违法违规收集使用个人信息专项治理的公告》启动了持续到现在的专项整治行动。
2020年10月1日,市场监督总局和国家标准委员会联合发布了GB/T35273-2020《信息安全技术个人信息安全规范》,从数据处理全流程的活动原则和安全要求上作出全面规定。
2021年1月1日实施的《民法典》则是从基本法律的高度上明确了个人信息受法律保护。
2021年8月1日,最高院《关于审理使用人脸识别技术处理个人信息相关民事案件适用若干问题的规定》成为第一个针对特定个人信息(人脸)保护作出的司法解释。
2021年9月1日,确立数据安全及治理基本框架的《数据安全法》实施。
2021年11月1日,针对个人信息保护的《个人信息保护法》实施。
另外,公安部2019年发布的《互联网个人信息安全保护指南》、信标委2020年7月发布的《网络安全标准实践指南——移动互联网应用程序(APP)收集使用个人信息自评估指南》、9月发布的《网络安全标准实践指南——移动互联网应用程序(APP)个人信息保护常见文集及处置指南》也是经常被提及和参考的一些文件。
上述文件,共同构筑了当下数据合规的监管框架。
02、常见的数据合规风险类型
侵犯个人信息
大数据技术的发展给生产生活带来了便利,但如若滥用技术、过度收集和使用个人数据,会造成对个人信息的侵犯,触发数据合规问题。这一风险现象在一些APP中时有发生,比如一些APP会使用默认授权的方式来强迫用户同意APP对其个人信息的收集、或是要求开启与其服务无关的权限。
2021年5月1日实施的《常见类型移动互联网应用程序必要个人信息范围规定》(以下简称《规定》)对此做了相应规范与界定,明确了39种常见类型App必要的个人信息收集范围,同时要求App不得因为用户拒绝提供非必要个人信息而拒绝用户使用其基本服务。
侵犯消费者权益
这一风险主要存在于企业的数据应用阶段,比如常见的“大数据杀熟”现象,同样的商品或服务,老客户看到的价格远高于新客户的价格。这一现象实质上是企业对大数据算法等技术手段的滥用。
对此,相关机构也出台了明文规定:文化和旅游部在《在线旅游经营服务管理暂行规定》中要求在线旅游企业不得滥用大数据分析侵犯旅游者的合法权益;市场监管总局发布了《关于平台经济领域的反垄断指南》征求意见稿,力求进一步加强对互联网平台不公平价格行为的监管。
侵犯商业机密
商业机密数据是指对企业生产发展和竞争力具有重要价值的企业数据,如客户资料、生产数据等。企业既存在着商业数据秘密被他人侵犯的风险,也存在着侵犯他人商业数据秘密的风险。比如一些企业利用掌握其他企业商业数据秘密的员工跳槽所带来的相关数据进行业务拓展,或者利用尚未公开的技术数据进行新产品开发等,都存在侵犯商业秘密的风险。
侵犯计算机/信息网络违法犯罪
企业数据风险不仅包括民事上的涉诉风险,还可能使企业及管理层面临刑事责任风险。
例如“爬虫”是企业高效提取并利用数据最常用的网络信息搜索技术,但若“爬虫”行为未在法律框架内实施,则可能给企业带来严重的刑事后果。如在数据获取环节,利用“爬虫”非法获取其他计算机信息系统中存储、处理或者传输的数据的,可能涉嫌“非法获取计算机信息系统数据罪”;干扰其他网站正常运营,或者故意制作、传播病毒等破坏性程序,影响计算机系统正常运行的,可能构成“破坏计算机信息系统罪”。
违反网络安全保护或信息网络安全管理义务
数据安全问题一直以来都是用户关心的重点,也是企业应当重点关注的事项。在信息网络安全管理方面,如企业作为网络服务提供者不履行法律法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正导致违法信息大量传播、用户信息泄露等的,则可能构成拒不履行信息网络安全管理义务罪。
数据跨境流动合规风险
企业若未经国家相关部门批准而将数据擅自传输至国外也可能面临构成《刑法》中国家安全犯罪的风险。《评估指南》和《评估办法》中也均要求可能影响国家安全、经济发展、公共利益的数据在出境前应先报请行业主管或监管部门组织安全评估。
《网络安全法》第六十六条规定了关键信息基础设施的运营者违法在境外存储网络数据或者向境外提供网络数据的,将由有关主管部门进行行政处罚或对主管人员处以罚款。除了《网络安全法》、《数据安全法(草案)》等数据安全专门法律法规的规定之外,一些专业领域方面的法律规定中也对数据跨境流动进行了限制,若未注意可能会受到相应的行政处罚。
03、企业如何做好数据合规?
- 建立数据合规框架体系
一个完备、高效的内部合规管理组织体系,是做好企业数据合规的基础保障。
企业可以以“专家+工具”模式,依据国家法律法规、上级监管部门、国标行标及企业内部数据安全相关要求,围绕数据生命周期各环节中数据采集、传输、存储、使用、共享、销毁的数据分布、数据分类分级、业务场景、数据流转环节及管控措施等详情展开梳理、搜集与分析,把控各个节点的法律风险,并对应提出相应合规方案。
在工具层面,亿信华辰的数据治理产品睿治就是一个辅助保障数据安全合规的优秀工具,它将数据安全管理贯穿于数据治理全过程,可以提供对隐私数据的加密、脱敏、模糊化处理、数据库授权监控等多种数据安全管理措施,全方位保障数据的安全合规运作。
同时,在企业横向层面,企业各个部门都应当建立数据合规管理制度,明晰各职能部门、各工作人员的责权利,让合规要求落实到每个环节及责任人,使相应的制度具有约束力和警示作用。
此外,还需建立一个常态化的合规策略体系,使安全合规持续同步法律法规要求及业务发展需要,形成从制定计划、评估安全、执行解决方案、到总结经验的数据安全闭环管理流程,使数据安全合规建设有的放矢、安全标准规范落地、安全能力循序提升。
在构建企业合规体系时,需要注意的是企业数据安全合规管理组织体系应是与企业现有管理体系高度融合的,不是另起炉灶,否则成本过高且难以正常运行。而且,数据安全合规重点是因人而异的,即不同行业、不同服务对象、不同规模的企业重点不同,在合规管理组织体系建设中也应充分结合企业特征突出重点、管好难点,并且与企业其他合规要求协调同步,彼此增益。
- 建设企业数据安全能力
要做好数据合规,离不开建立完善的数据安全技术体系,围绕数据合规的各项要求,建立与制度流程相配套并保证有效执行的技术和工具。
企业在进行数据安全技术体系建设时,需从数据安全管理、数据安全防护、数据安全监测与审计三方面来加强能力建设。
(1)数据安全管理能力
数据安全管理是指实现数据安全管理流程、策略、规范及数据资产的电子化、信息化管理。
企业需要对重要数据、敏感数据进行全面排查梳理,并根据业务需要对不同角色接触、处理数据的权限进行梳理。针对不同的访问需求,规范数据访问权限,并严格记录访问情况,实现内部数据操作行为的有效控制与监管。同时也要配备各环节相应的应急处置机制,一旦发生安全事件,确保企业有完善的应急预案和应对处理机制,防止事态进一步扩大。
(2)安全防护能力
企业需建立数据全生命周期的安全防护能力,如数据加密、脱敏、数字水印、访问控制、数据防泄露等,支撑数据安全管理工作的落地执行。安全防护能力的建设主要可从以下三个方面来切入。
①脱敏流转。即在数据使用流转过程,遵循数据最小使用原则,去标识,去隐私,实现数据的安全高效利用,在安全的前提下提升数据的使用价值。
②密文存储。即落实重要数据识别和分类分级保护要求,对重要的核心数据加密存储,守护数据安全。
③入侵防御。即建立、检查数据库防火墙,以便对外部攻击进行有效防护,同时也对内部数据库漏洞进行有效防护,防止漏洞被违规利用。
(3)数据安全监管与审计能力
企业需构建一个可控、可查、可见的统一的内部数据安全闭环监管体系,从数据产生,到场景化使用,进行流向监控、精准分析,实现有效监管;通过对数据安全风险及业务数据场景的持续运营,梳理资产、数据、用户、权限等要求,指导安全技术、管理、运营能力的体系化建设与协作。
- 强化人员数据合规意识与能力
数据安全合规治理是多元主体共同参与的过程,其中人员是数据安全各项要求有效实施的基石,也是安全风险的重要来源,应加强人员安全意识培养、技能提升、规范流程演练,以明确安全职责、部门协同机制等,提升应急响应与处置能力。
(1)建立人员安全意识培养机制
通过定期开展培训,将法律法规、标准规范、案例事件等进行宣贯,逐步提升人员对数据安全的价值认识和威胁识别能力。
(2)加强合规治理参与人员的技能培训
对不同岗位的人员制定科学合理的培训计划,按照必备优先,先基础、后专业、再全面的原则,逐步提升人员的专业技能。
(3)建立应急演练机制
通过定期或事件触发机制,对实际业务场景中的各类风险主题的处理方式、协作流程及响应机制等进行模拟演练,确保安全措施落实到位,安全处置流程正确有效等,全面提升数据安全合规治理运营保障能力。
04、小结
当前形势下,企业数据合规面临着更高的挑战,更高的要求,这也意味着企业在数据合规方面的投入也会随之增加。于是很多企业把数据合规看作是一项成本负担。但在数据安全步入法制时代的新形势下,企业应转变观念,充分认识数字经济发展新形势和数据安全合规治理的新变化新需求,坚持合规优先,发展并进,急用先行,逐层推进原则,构建科学的数据合规治理制度体系,让数据更好且更规范地驱动发展。