自从去年11月《个保法》实施以来,数据合规已经被越来越多的企业所了解和关注,但是大部分企业对国内数据合规的现状、以及如何开展数据合规工作还是一头雾水。
本文结合Convertlab在数据合规领域的实践和洞察,详细分享国内数据合规所处的阶段,以及在当前的合规生态中都有哪些重要角色参与其中。Convetlab总结的企业数字化合规服务四部曲,对企业开展数据合规的流程有一个清晰的认知。
随着数字经济发展,数据逐渐成为经济增长的核心资产,数字社会治理对数据管理、隐私保护的需求激增,个人对于隐私、个人信息保护的意识也越来越完善。
2021年被称为中国的数据合规元年,9月1日出台了《数据安全法》,11月1日颁布《个人信息保护法》,这两部数据领域核心法律,与2017年6月1日出台的《网络安全法》形成三马齐驱之势。构成了我国网络安全与数据合规领域的基本法律规则框架。在法律层级上明确了中国数据安全、个人信息保护的顶层设计,但是在法律的落地实施上,还需要制定更多细化的配套规则和标准,增强法律条文的可操作性。
一般而言,某项新的法律制度的演进分为几个过程,即:立法、执法、守法(合规)、诉讼/个人权利行使 、修法(释法)。类似一个新产品,需要不断地循环、打磨、碰撞、升级并完善,逐渐形成一个相对稳定的状态,以达到预期效果。
当前国内数据合规相关的法律还处于立法向执法过渡的阶段,还需要多方努力,推动企业合规逐步走向完善,共同构筑合规生态,从而更好的适应我国经济和社会高质量发展的要求。
二、合规生态中的主要角色目前国内的数据合规生态链,包括政府机构、Martech厂商、律所、咨询公司等角色,他们在数据合规的评估审计、整改实施、合规认证及合规管理中发挥着各自的作用。
其中涉及到数据合规的政府机构主要有网信办、工信部、市监局、公安部,四个部门曾多次联合开展APP违法违规收集使用个人信息治理工作,并且会针对重点领域、热点问题,制定配套的细化规定和标准,确保相关法律制度的落地。
如6月30日,网信办公布了关于《个人信息出境标准合同规定(征求意见稿)》,为企业依法开展数据跨境业务提供了更为明确的实施依据。其实《个保法》第三十八条第一款第(三)项,有要求企业开展跨境业务需要签订合同协议,但并没有可落地参考的合同模板。所以以往数据跨境的合同基本是参考GDPR的SCC协议,进行本土化改造,来拟定合同。现如今有了《出境合同》,对于规范个人信息出境活动,保护个人信息权益,促进个人信息跨境安全、自由流动等都有着重要的指导作用。
同时为了加强网络数据安全保护,规范企业数据处理活动,前不久网信办联合市监局发布了《关于开展数据安全管理认证工作的公告》对认证依据、认证模式、认证后的监督管理办法,都有详细说明,便于企业和认证机构更好地开展认证工作。
企业在完成数据合规整改之后,需要通过专业的认证机构完成合规认证,用以应对合规审查。目前官方机构也在选取国内各行业的头部企业开展认证试点工作,探索合规认证的实施流程。离形成标准的解决方案还需要一定的时间。
但是企业在融资、上市、应对监管时,却是有了明确的合规认证要求。这时候就需要律所或咨询公司出场,对企业开展评估审计,出具数据合规审计报告。律所和咨询机构的合规审计标准,也是参照政府部门颁布的法律、实施指引和建议梳理而成,具有较强的参考价值。机构利用自己的公信力来为企业数据合规背书,所以报告在一定程度上充当了“认证”的作用。
在完成认证之前,其实还有前置的两个步骤,分别是评估审计和整改实施。在评估审计的过程中会梳理出企业存在的组织或业务系统上的数据合规管理问题,企业必须要逐一进行整改,直到符合相应的法规要求,才能拿到合格的报告。
如果是公司内部组织制度的数据安全问题,可以通过律所和咨询机构的指导,完善规章制度和隐私协议等内容,完成整改。但是涉及到业务系统的合规问题,还是需要借由技术解决方案来完善当前的合规管理工作。
通常这样的技术解决方案会有Martech厂商提供,比如Convertlab开发了一款独立的数据合规产品工具,简称CPM,主要用于管理用户同意授权与偏好管理,确保用户数据采集和应用的合规性。除此之外,数据在存储、传输、共享的过程中,也要做好合规工作,这就要求CDP、SCRM、MA等营销系统也需要根据法律要求,进行相应的数据合规整改,而Convertlab在相应的产品上都做了数据合规能力的升级,能够为企业提供全方位的数据合规技术解决方案。
通过上面的分享,大家可以看到,政府机构,Martech厂商、律所以及咨询机构,在整个数据合规生态中,承担着着不同的角色和职能分工,构建出一个完整的数据合规解决方案,这也是目前Convertlab在着力打造的数字化合规解决方案。
三、Convertlab数字化合规四部曲数字化合规其实是由数字化转型与数据合规能力两部分构成,其意义在于,帮助企业实现数字化转型的同时,也让企业具备由内到外的数据合规能力。
在与上百家客户、信通院、律所及咨询机构进行深入探讨的基础上,结合Convertlab深耕数字化营销的实践经验,我们总结企业数字化合规服务四部曲,分别是:评估审计、整改实施、合规认证和合规管理。
在评估审计阶段,我们会联合国内专业律所,采用工具+咨询的模式,根据《数安法》、《网安法》、《个保法》以及一系列评估指南和指引文件,从数据安全治理、内部风险管理、数据安全分类分级、数据跨境传输等多方面,评估企业当前的合规现状,并对存在的问题给出具有针对性且可落地的整改方案,从而能够有序地开展整改实施工作。
在整改实施阶段,我们将提供“产品+咨询服务”的解决方案,帮助企业进行组织制度和业务系统的合规改造。在组织制度方面,我们会联合专业律所提供合规制度建设的策略,交付隐私协议、跨境合同等标准法律文本,并对企业内部数据安全相关人员进行指导培训。
在业务系统层面,采用Convertlab专业的数据合规产品CPM,结合丰富的CDP、MA、SCRM产品矩阵,为企业提供国内领先的数据合规技术解决方案,并且支持私有化部署,实现数据采集、加工、存储、应用、传输、删除全生命周期的合规管理。
在完成整改实施之后,Convertlab还可牵头帮助企业开展数据合规认证工作,从容应对合规审查。同时,还会通过“产品+咨询服务”的方式,帮助企业了解最新的合规动态,持续做好常态化的数据合规管理。通过合规认证+合规管理双措并举,确保企业由内到外的全面合规。
数据合规不是为了应对执法,而是应该为企业高质量发展创造价值。随着各类细则标准的不断完善、合规执法经验的积累,以及数字经济蓬勃的蓬勃发展,数据合规管理将会变得规范化、严格化、常态化。企业应该顺势而为,积极拥抱数据合规,为企业长远发展奠定坚实的基础!
在线客服
微信
