企業(yè)通過對全業(yè)務條線的系統(tǒng)性排查,不斷識別出可能存在的基礎合規(guī)問題,并通過及時整改,確保企業(yè)盡快達到基礎合規(guī)狀態(tài)。在此基礎上,通過對組織架構、業(yè)務、制度等各方面不斷優(yōu)化完善,最終建立系統(tǒng)性的數(shù)據(jù)合規(guī)體系。一般而言,搭建動態(tài)符合監(jiān)管要求的數(shù)據(jù)合規(guī)體系,至少應包括組織架構、業(yè)務現(xiàn)狀和數(shù)據(jù)梳理、政策制定和執(zhí)行、建立完善的法律文件體系、技術管控措施、溝通和培訓、審計評估和監(jiān)督、回顧和改進等組成部分。
一、數(shù)據(jù)合規(guī)專項工作的切入點
結合實際,企業(yè)如先期啟動數(shù)據(jù)合規(guī)專項工作,總體上可采用“先基礎合規(guī),再系統(tǒng)優(yōu)化提升”的模式,即先行識別出實質風險點,并制定針對性的整改方案,解決業(yè)務中尚未滿足數(shù)據(jù)合規(guī)要求、可能觸及監(jiān)管紅線的問題,以盡快消除企業(yè)所面臨的合規(guī)風險,同時為搭建動態(tài)符合監(jiān)管要求的數(shù)據(jù)合規(guī)體系奠定基礎。
二、搭建數(shù)據(jù)合規(guī)體系的主要內容
1. 組織架構
主要包括在決策層、管理層、執(zhí)行層、監(jiān)督層分別設置(或調整現(xiàn)有的)負責、決策、執(zhí)行及監(jiān)督機制。主要合規(guī)工作任務包括制定或完善數(shù)據(jù)合規(guī)決策機構的設置及決策制度、常設工作組的設置及決策制度、數(shù)據(jù)合規(guī)體系的整體運行及管理制度等。
2. 業(yè)務現(xiàn)狀和數(shù)據(jù)梳理
主要包括對數(shù)據(jù)資產盤點?梳理與分類,形成數(shù)據(jù)資產清單。主要合規(guī)工作任務包括數(shù)據(jù)盡職調查報告、數(shù)據(jù)資產清單、數(shù)據(jù)分級分類情況清單、合規(guī)差距分析報告、專項整改方案等。
3. 政策制定和執(zhí)行
主要基于法律規(guī)定及企業(yè)實際,制定或完善相應的管理政策,包括符合法律規(guī)定的相關制度辦法、規(guī)范細則、計劃表單等,并由包括行政管理部門在內的多個部門共同推動執(zhí)行。政策制定層面,主要合規(guī)工作任務包括制定或完善覆蓋企業(yè)全業(yè)務領域的、具備可操作性的數(shù)據(jù)管理制度等。政策執(zhí)行層面,一般由企業(yè)內部數(shù)據(jù)合規(guī)常設工作機構作為執(zhí)行管控部門,負責監(jiān)督制度是否執(zhí)行到位。
4. 建立完善的法律文件體系
主要包括全部對外(包括用戶及合作方)及對內(員工)法律文件體系的系統(tǒng)性設計和完善。主要合規(guī)工作任務包括制定或完善隱私協(xié)議、用戶授權同意書、對外公示法律文件、業(yè)務合同、勞動合同、各類業(yè)務規(guī)范表格文件等。
5. 技術管控措施
針對不斷發(fā)展的人工智能、區(qū)塊鏈、物聯(lián)網(wǎng)、大數(shù)據(jù)以及云計算等新技術環(huán)境,主要合規(guī)工作任務包括制定或完善數(shù)據(jù)全生命周期的技術措施方案、數(shù)據(jù)安全防護及檢測內控制度、數(shù)據(jù)安全響應及應急處置制度及管控措施等。
6. 溝通和培訓
在企業(yè)內部進行數(shù)據(jù)合規(guī)宣導工作,針對普通員工、涉及數(shù)據(jù)處理的核心崗位、信息技術部門以及企業(yè)管理層等制定并開展定制化的培訓課程,提高整體數(shù)據(jù)合規(guī)意識。主要合規(guī)工作任務包括制定或完善培訓計劃、培訓教材、數(shù)據(jù)合規(guī)宣傳材料,組織實施培訓活動等。
7. 審計、評估和監(jiān)督
主要針對數(shù)據(jù)合規(guī)的審計要求、個人信息影響評估以及數(shù)據(jù)處理者對受托方的監(jiān)督等制度機制進行對應的設置。主要合規(guī)工作任務包括制定或完善數(shù)據(jù)合規(guī)審計制度、評估制度,完成各類審計報告、評估報告等。
8. 回顧和改進
對數(shù)據(jù)合規(guī)體系的回顧和改進,以不斷根據(jù)法律法規(guī)的變化進行改進工作,并動態(tài)適應監(jiān)管要求。主要合規(guī)工作任務包括數(shù)據(jù)合規(guī)體系相關測試報告、問題反饋清單、整改/完善方案及計劃等。
值得注意的是,很多跨國企業(yè)在中國法下搭建數(shù)據(jù)合規(guī)體系時,會不同程度借鑒GDPR的成熟實踐,在將GDPR下的文件進行中國本地化過程中,需要關注到GDPR和《個人信息保護法》之間的差異,結合數(shù)據(jù)合規(guī)體系的政策制定、文件準備等重要內容,現(xiàn)將若干注意要點示例一二。
三、政策制定
1. 個人信息處理者與受托人
GDPR下定義了兩類角色:Data Controller,系有權自主決定個人信息的處理目的、處理方式,對個人信息處理全流程最終負責的角色;Data Processor,系受委托處理特定事項的角色,比如存儲服務、數(shù)據(jù)分析加工服務,只對受托的具體事項負責。兩者之間有管理合同,前者對后者監(jiān)督管控。中國法下的《個人信息保護法》存在對應前述兩者的角色,即,Data Controller——個人信息處理者,Data Processor——受托人。但如果只做中英文的直譯,就會造成困惑,需要注意法律概念上的區(qū)分。
2. 隱私與個人信息
在英美法下,隱私是習慣用法,如隱私保護政策、隱私指引、通知,中國的很多APP、網(wǎng)站亦借鑒了隱私政策這種習慣用法。但是,在中國法下,隱私與個人信息這兩個法律概念是有差別的。因此,從用語規(guī)范角度,使用個人信息保護政策,會更符合中國法下的法律語言體系。
3. 個人信息安全事件的應急預案
《個人信息保護法》明確要求個人信息處理者應該建立個人信息安全事件的應急預案。
1
對個人信息主體的通知。即,發(fā)生個人信息的安全事件后,要不要通知個人信息主體?GDPR下原則上可以不通知,但是經(jīng)過評估以后,認為個人信息泄露事件,會對個人信息主體有較高的安全風險影響時,應當通知;《個人信息保護法》下原則上應當通知,除非經(jīng)過評估、采取了有效措施,可以完全避免對個人信息主體的損害時,可以不通知。
2
對主管部門的通知。GDPR下允許在例外情形下不用通知;《個人信息保護法》下所有情況都要通知。
因此,在應急預案制度及文件本地化過程中,應注意對相應條款的調整。
四、文件準備
1. 同意告知表格的審閱和修改
同意告知表格的內容,如是根據(jù)GDPR體系建立的,根據(jù)《個人信息保護法》的要求,需要對相關的表格、文件做審閱、修改。
(1)完整地告知所處理的個人信息種類。
GDPR下的告知類型,經(jīng)常會有“包括但不限于”“基于處理業(yè)務所需的任何其他信息”等相對籠統(tǒng)、模糊的表述,沒有明顯要求;《個人信息保護法》下要求完全列明個人信息種類。
(2)接收方的名稱和聯(lián)系方式。
GDPR下只要告知到接收方的類型;《個人信息保護法》下明確要求在接收方的類型為并購或破產的接收方、其他個人信息處理者、境外接收方等幾種情況下,必須告知接收方的名稱和聯(lián)系方式。
(3)單獨同意。
對比GDPR,單獨同意是《個人信息保護法》新提出來的,要求在向其他個人信息處理者提供、處理敏感個人信息、個人信息跨境等情形下,要單獨告知、單獨獲得同意。
2. 業(yè)務合同的審閱和修改
從《個人信息保護法》的視角,企業(yè)可以將業(yè)務合同分為3類:個人信息處理者——處理者的合同(重點審查合同相對方是否拿到單獨同意);個人信息處理者——受托人的合同(在合同條款中要明確約定個人信息處理者的監(jiān)督義務);個人信息處理者——服務接收方(不碰數(shù)據(jù))的合同(在合同中要明確雙方的角色、權利義務)。
結語
中國正在用國際通行的法律語言來維護國家利益,在數(shù)據(jù)要素發(fā)揮更重要作用的未來,企業(yè)需要深刻理解中國基于風險差異化管理的監(jiān)管邏輯,搭建動態(tài)符合監(jiān)管要求的數(shù)據(jù)合規(guī)體系,在數(shù)據(jù)治理、特別是產生巨大價值的數(shù)據(jù)流動,和數(shù)據(jù)安全中找到平衡。
北京
北京市朝陽區(qū)東三環(huán)中路5號財富金融中心35-36層
電話:+86 10 8587 9199
上海
上海市長寧區(qū)長寧路1133號長寧來福士廣場T1辦公樓37層
電話:+86 21 6289 8808
深圳
廣東省深圳市福田區(qū)金田路榮超經(jīng)貿中心4801
電話:+86 755 8273 0104
天津
天津市河西區(qū)郁江道14號觀塘大廈1號樓17層
電話:+86 22 8756 0066
南京
南京市江寧區(qū)秣周東路12號7號樓知識產權大廈10層1006-1008室
電話:+86 25 8370 8988
鄭州
河南省鄭州市金水區(qū)金融島華仕中心B座2樓
電話:+86 371 8895 8789
呼和浩特
內蒙古呼和浩特市賽罕區(qū)綠地騰飛大廈B座15層
電話:+86 471 3910 106
昆明
云南省昆明市盤龍區(qū)恒隆廣場11樓1106室
電話:+86 871 6330 6330
西安
陜西省西安市雁塔區(qū)翠華路500號佳和商務大廈A座26層07室
電話:+86 29 8931 3353
杭州
浙江省杭州市西湖區(qū)學院路77號黃龍國際中心B座11層
電話:+86 571 8673 8786
重慶
重慶市兩江新區(qū)慶云路2號國金中心T6寫字樓8層8-8
電話:+86 23 6752 8936
海口
海南省海口市龍華區(qū)玉沙路5號國貿中心11樓
電話:+86 898 6850 8795
日本東京
日本國東京都港區(qū)虎之門一丁目1番18號HULIC TORANOMON BLDG.
電話:0081 3 3591 3796
加拿大愛德華王子島省
加拿大愛德華王子島省夏洛特頓市皇后街160號B座
電話:001 902 518 2988
阿聯(lián)酋迪拜
迪拜伊瑪爾商業(yè)園1號樓505號
電話:971 52 8372673
Copyright 2001-2026 Anli Partners. All Rights Reserved 京ICP備05023788號-2 京公網(wǎng)安備11010502032603號
聲明:本官網(wǎng)文章僅供交流,不構成安理律師對特定事項的法律意見或建議。如您面臨法律問題,建議您聯(lián)系安理律師或其他具有相關資格的專業(yè)人士尋求法律幫助。安理法律咨詢電話:400-800-5639。
