刚刚过去的2021年,对于中国的数字相关产业来说是重要的一年。年内先后生效的《数据安全法》和《个人信息保护法》,与2017年生效的《网络安全法》共同构成了数据合规的重要法律基础,呈三足鼎立之势。全年人大、各部委及地方政府数据相关重要立法活动九十余次。这一年数据合规与隐私保护执法活动进入深水区,以知名网约车平台被网络安全审查进而导致海外退市为典型代表的违规事件,成为数据相关行业更加重视数据合规的标志性里程碑。如果说2021年是数据合规的立法大年,那么2022年将是中国企业的数据合规元年,随着配套部门规章、行政法规及规范性文件的不断完善出台,数据合规相关执法必将更加频繁和严厉。
数据合规已然成为监管机构的日常关注重点,也成为企业、特别是拟上市企业须关注的重大问题。
近年来,不少互联网企业将大数据作为企业运营发展的重要基础,在进行投融资时,将之作为向投资人推介的企业发展状况重要指标之一。且随着互联网企业与实体经济的加速融合,很多传统企业也开始重视大数据的采集和应用。但在互联网乃至传统企业对用户数据的采集与应用过程中,用户数据被盗用、滥用的现象屡见不鲜,部分企业对公众数据信息及隐私的损害已经到了相当严重的程度。
例如部分企业利用信息和专业知识的不对称,在未经用户授权的条件下,过度获取用户数据,并将其作为自身“大数据”所需,甚至用于商业化交易,获取了丰厚收益,进而进入拟上市阶段。鉴于此种现状,监管层的审核把关显得至关重要。一方面,企业在发展过程中,理应“守法经营”,上市企业和申请上市企业较一般非上市企业而言更应该将此原则摆在首位,绝不能牺牲用户的合法权益来为企业的发展买单,如果在社会责任践行上存在一定的缺陷,甚至有过重大过错乃至违法行为,就不符合上市公司的基本条件。另一方面,根据《证券法》与《公司法》的有关规定,监管部门对申请上市公司进行资质审查时,除了要对该企业的盈利能力和成长性进行审核,更要对企业是否存在重大违法违规行为、是否存在持续性经营风险等问题详加审核,随着数字产业的不断发展,“数据合规”无疑会成为审核的重要一环。
本文选取了2016-2021六年以来监管机构以问询等方式要求企业就数据合规方面情况进行答复的近百家境内拟上市企业作为样本,通过深入分析监管机构的问询内容及企业的相应答复,研究在上市过程中企业需要重点关注的数据合规方面的问题,进而提出相应的合规建议。其中,本篇将聚焦上市时需要关注数据合规问题的企业特征及管理体系建议,中篇和下篇将分别从四个方面梳理企业上市需要关注的重点数据合规问题及典型案例。
数据安全风险较高的企业,必须将数据安全合规作为重点领域进行专项管理,主要包括以下几类:
(一)主要业务涉及关键信息基础设施的企业。根据《网络安全法》规定:“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。”[1]
(二)《信息安全技术 个人信息安全规范》中规定的“应设立专职的个人信息保护负责人和个人信息保护工作机构,负责个人信息安全工作”的企业:(1)主要业务涉及个人信息处理,且从业人员规模大于200人;(2)处理超过100万人的个人信息,或预计在12个月内处理超过100万人的个人信息;(3)处理超过10万人的个人敏感信息的。[2]
(三)《中华人民共和国保守国家秘密法》规定的“从事国家秘密载体制作、复制、维修、销毁,涉密信息系统集成或者武器装备科研生产等涉及国家秘密的业务”[3]的企业。
(四)法律法规规定的其他情形。当然,根据《个人信息保护法》(以下简称“个保法)和《数据安全法》(以下简称“数安法)的规定,企业只要涉及处理自然人个人信息的活动或者数据处理活动及其安全监管均需要进行数据合规。
我们的合规建议是,符合上述条件的企业首先应当建立数据合规管理体系。该体系主要包含三部分内容:数据合规负责人、数据合规管理部门、数据合规制度规范。
一、数据合规负责人
企业的最高管理者是数据合规的第一责任人,总体而言,数据合规责任人是企业整个数据合规体系和制度的统筹者,负责根本性、全局性的工作。具体来讲,应当承担以下职责:一方面应当把握企业战略和运营的方向,确保其与履行数据合规义务之间的一致性;而另一方面则是要分配足够和适当的资源来建立、发展、实施、评估、维护和改进系统、完备的企业数据合规机制。包括数据合规管理体系、举报数据违规机制、企业问责机制(包括纪律处分和后果)以及将数据合规落实情况和效果纳入企业内部人员绩效的考核体系[4]。
二、数据合规管理部门
数据合规管理部门是企业内部的以预防和降低涉数据的违法犯罪为目的,以企业及其员工的经营管理行为为对象,开展包括合规管理体系、风险识别、风险评估与处置、合规运行与保障等有组织、有计划的管理活动的部门。企业可以设置专门的数据合规管理部门或者将数据合规管理职能融入现有的企业合规管理体系,但是不建议由法务部门履行合规管理职能。数据合规管理部门设立后,企业应当向该部门提供足够的授权、人力、财力来支持数据合规管理体系的运行,一般由董事会直接设立企业合规部门,下设数据合规管理部门等各类专业合规部门。
企业数据合规部门的职责具体包括以下内容:
(1)制定数据合规管理整体方针策略,协调建立数据合规技术保障措施,牵头做好数据风险识别、风险评估、风险处置等工作;(2)制定、完善数据合规计划,并推动其有效实施;(3)审核评估企业的经营管理和业务行为,确保企业与供应商、代理商、经销商、关联企业、分支机构的业务活动,以及处理个人信息等活动符合数据法规的要求,并制定数据风险应对措施;(4)组织或协助管理部门、业务部门等开展数据合规教育培训,并向管理层和各部门员工提供数据合规咨询;(5)建立数据合规举报记录台账,对数据合规举报制定调查方案并开展调查;(6)推动将数据合规责任纳入企业岗位职责和员工绩效考核评价体系,培养数据合规文化;(7)持续关注国内和业务所涉国家(地区)数据法规的发展动态并及时提供数据合规建议;(8)其他。[5]
三、数据合规制度规范
企业应建立健全数据安全合规管理的相关标准、制度和规范,包括建立重大数据安全合规审批清单、数据分类分级管理、权限管理、数据安全合规风险评估及审计、重大数据安全合规风险事件报告、应急处置机制、以及内部教育培训体系七大制度,并根据法律法规变化和监管动态,及时将外部合规要求落实到内部规章制度[6]。
(一)建立重大数据安全合规事项实施清单管理制度。由数据安全合规管理的责任部门牵头编制本企业重大数据安全合规事项清单,提交党委会审议通过后,由董事会合规委员会或承担合规管理职责的专业委员会负责审批清单涉及的重大数据合规事项。数据安全合规管理的责任部门应根据法律法规及企业的实际运营情况的变化进行及时更新清单。
(二)建立数据分类分级管控标准和管控要求。首先,企业应优先根据所属行业相关标准对核心业务数据进行分类分级,无明确标准的企业可自行建立相关分类及分级标准。其中数据分级标准应参考及遵循国家数据安全等相关法律法规。在进行分级分类管理时,关系国家安全、国民经济命脉、重要民生、重大公共利益等数据需要实施更加严格的管理制度,包括涉及国家保密范围的产业规划、战略规划、重大项目、核心技术等,应根据相关法律法规的具体要求进行重点保护和管理。前述相关数据的交易、出境及共享等业务,应列入企业“三重一大”事项进行管理,不得向境外司法或执法机构提供存储于境内的数据。其次,数据的分级分类应具有全面性。应根据标准对现有数据进行全面分类分级,并通过技术手段落实安全管理要求,定期对新增数据进行梳理,确保所有数据分类及分级管控。最后,数据的分级分类应具有时效性。应根据相关法律法规或行业标准的变化,及时更新企业内部数据分类分级的相关标准。
(三)企业应规范数据处理的权限管理。建立适当的用户权限管理机制,根据岗位设置相关账户权限,明确相关数据所涉及的账户管理流程,减少数据滥用情况,提高数据安全合规水平。
(四)数据安全风险较高的监管企业,应建立数据安全合规评估及审计机制。应自行或委托有相关信息安全检查评估资质的机构,每年至少进行一次全面的网络安全监测和风险评估,定期或不定期对企业整体数据使用情况、数据全生命周期安全及合规性、基础安全等情况进行评估及审计,并对发现的问题及时整改。
(五)数据安全风险较高的企业,应建立数据安全应急响应机制。明确数据安全事故管理和应急响应职责,制定各类数据安全事故的处置流程及应急预案,并定期进行演练,对各类安全事件进行及时响应和处置,降低企业因数据安全事故而引发的损失。
(六)数据安全风险较高的企业,应建立重大数据安全合规风险事件报告制度。对影响或可能影响国家安全的数据处理活动,发现数据安全威胁时,应按规定向公安机关、国家安全机关报告,可能关系到重大经营风险的应同步及时向市国资委报告,并积极采取措施防止危害,减少损失。企业应积极配合公安机关、国家安全机关依法维护国家安全或者侦查犯罪需要,及时配合提供相关数据。
(七)推进企业数据合规内部培训制度。企业应建立有效的管控模式,对其下属全资、控股和实际控制子企业在数据安全合规工作内容和职责方面分工,可根据实际情况,分批推进各单位数据安全合规管理工作,并结合集团合规管理管控模式进行差异化管理;企业应全面评估企业本部及下属各级全资、控股和实际控制子企业的数据安全风险。针对数据安全风险较高的企业应尽快开展数据安全合规管理相关工作,建立数据安全合规的相关标准、制度及规范。监管企业可根据相关子企业的工作成果及经验,逐步在其他子企业进行推广及实施;数据安全风险较高的企业,可基于企业的原有的战略规划、IT规划等制定本企业的数据安全三年滚动工作规划,确保监管企业按照既定路线达成数据安全合规目标,并在执行过程中,根据数据安全合规和企业IT战略目标不断优化、提升数据安全合规管理的各项制度和信息系统。
————————
[1] 《网络安全法》第31条
[2] 《信息安全技术 个人信息安全规范》第11.1条
[3] 《中华人民共和国保守国家秘密法》第34条
[4] 参照:上海市《企业数据合规指引》
[5] 参照:上海市《企业数据合规指引》
[6] 参照:《广州市国资委监管企业数据安全合规管理指南(试行2021年版)》
© 2022 盈理版权所有。
免责声明:本微信文章中的信息仅供一般参考之用,不可视为详尽说明,亦不构成盈理的法律、税务或其他专业建议或服务。盈理不对任何主体因使用本文内容而导致的任何损失承担责任。
来源:盈理律师事务所
在线客服
微信
