企业如何做好数据合规？ 数据合规是合规工作中的重要部分，从近两年的被调查企业看，涉及大量拥有数据资产的公司比较容易成为被调查对象。

典型的案例就是滴滴出行：

2021年7月4日，国家互联网信息办公室发布对滴滴的下家通报“根据举报，经检测核实，滴滴出行app存在严重违法违规收集使用个人信息问题，国家互联网信息办公室依据中华人民共和国网络安全法相关规定，通知应用商店下架滴滴出行app，要求滴滴出行科技有限公司严格按照法律要求，参照国家有关标准，认真整改存在的问题，切实保障光大用户个人信息安全”。

由此可见，针对用户数据收集、处理的合规性，已成为证监会重点关注的问题之一。

这期内容，老万就数据违规的话题和大家聊一聊企业如何进行数据合规管理。

本期要点：

1.什么是数据违规？

2.企业如何进行数据合规管理？

3.最后总结

01什么是数据违规？

数据违规主要体现在以下几个方面：

1、用户数据泄露

用户数据泄露是指企业在进行数据收集、存储、传输、处理、使用等数据活动之时，可能会发生用户数据泄露。

主要原因可能是：

1）自身数据安全保护系统存在漏洞，容易被攻击、侵入、干扰和破坏；

2）员工故意（泄愤、报复、不良竞争）或过失泄露用户数据；

3）外部人员利用木马、病毒、爬虫等计算机网络技术措施对目标企业的数据系统发起攻击，窃取用户数据；

经典案例：瑞智华胜涉窃取30亿条个人信息非法牟利超千万元

2、数据违规收集

数据违规收集主要体现在APP上，大致可以分为以下4类：

1）违规收集用户个人信息

2）超范围收集用户个人信息

3）不合理索取用户权限

4）违规使用用户个人信息

经典案例：讯飞输入法APP因未完全满足5月1日国家网信办关于个人信息收集违规问题通报的整改要求被应用商店下架。

3、数据非法使用

一些企业为了谋求自身商业利益最大化，会对违规收集的消费者个人信息进行最大限度的商业利用，追逐最大限度的可得利润。

数据非法使用的形式主要有以下2种：

1）移动网站或app在未经用户同意的情况下，私自将设备识别信息、商品浏览记录、用户搜索习惯等信息共享给第三方；

2）强制用户使用定向推送功能，简单的说就是app在未告知用户或未以显著方式提示的情况下，将收集到的用户搜索、浏览记录、使用习惯等个人信息，用于定向推送或精准营销，且未提供关闭该功能的选项。

02

企业如何进行数据合规管理？

1、数据来源合规

其中包括获取途径或方式是否合法合规、获取方式是否符合行业惯例或商业逻辑、授权链路是否具有完整性等。

2、数据内容合规

数据内容是否合规主要看获取数据的性质和类型，如是否涉及个人信息、商业机密及其他非公开信息等；数据内容是否为法律法规允许采取、是否为公开数据等。

3、第三方数据来源合规

数据提供方对外提供数据的行为需要合法合规，有资质要求；数据接收方需要有针对提供方的数据审核、评价机制等。

4、商业合理性

企业需要注意的是，除去数据合规性外，数据的获取也要符合正常的商业逻辑或行业惯例。

03最后总结

数据合规是专项合规管理体系的重要议题，也是数字经济时代社会治理的重要组成部分。

面对国家日趋严峻的立法和执法姿态，数据合规已经成了企业合规治理的刚性需求。