企业通过对全业务条线的系统性排查,不断识别出可能存在的基础合规问题,并通过及时整改,确保企业尽快达到基础合规状态。在此基础上,通过对组织架构、业务、制度等各方面不断优化完善,最终建立系统性的数据合规体系。一般而言,搭建动态符合监管要求的数据合规体系,至少应包括组织架构、业务现状和数据梳理、政策制定和执行、建立完善的法律文件体系、技术管控措施、沟通和培训、审计评估和监督、回顾和改进等组成部分。
一、数据合规专项工作的切入点
结合实际,企业如先期启动数据合规专项工作,总体上可采用“先基础合规,再系统优化提升”的模式,即先行识别出实质风险点,并制定针对性的整改方案,解决业务中尚未满足数据合规要求、可能触及监管红线的问题,以尽快消除企业所面临的合规风险,同时为搭建动态符合监管要求的数据合规体系奠定基础。
二、搭建数据合规体系的主要内容
1. 组织架构
主要包括在决策层、管理层、执行层、监督层分别设置(或调整现有的)负责、决策、执行及监督机制。主要合规工作任务包括制定或完善数据合规决策机构的设置及决策制度、常设工作组的设置及决策制度、数据合规体系的整体运行及管理制度等。
2. 业务现状和数据梳理
主要包括对数据资产盘点、梳理与分类,形成数据资产清单。主要合规工作任务包括数据尽职调查报告、数据资产清单、数据分级分类情况清单、合规差距分析报告、专项整改方案等。
3. 政策制定和执行
主要基于法律规定及企业实际,制定或完善相应的管理政策,包括符合法律规定的相关制度办法、规范细则、计划表单等,并由包括行政管理部门在内的多个部门共同推动执行。政策制定层面,主要合规工作任务包括制定或完善覆盖企业全业务领域的、具备可操作性的数据管理制度等。政策执行层面,一般由企业内部数据合规常设工作机构作为执行管控部门,负责监督制度是否执行到位。
4. 建立完善的法律文件体系
主要包括全部对外(包括用户及合作方)及对内(员工)法律文件体系的系统性设计和完善。主要合规工作任务包括制定或完善隐私协议、用户授权同意书、对外公示法律文件、业务合同、劳动合同、各类业务规范表格文件等。
5. 技术管控措施
针对不断发展的人工智能、区块链、物联网、大数据以及云计算等新技术环境,主要合规工作任务包括制定或完善数据全生命周期的技术措施方案、数据安全防护及检测内控制度、数据安全响应及应急处置制度及管控措施等。
6. 沟通和培训
在企业内部进行数据合规宣导工作,针对普通员工、涉及数据处理的核心岗位、信息技术部门以及企业管理层等制定并开展定制化的培训课程,提高整体数据合规意识。主要合规工作任务包括制定或完善培训计划、培训教材、数据合规宣传材料,组织实施培训活动等。
7. 审计、评估和监督
主要针对数据合规的审计要求、个人信息影响评估以及数据处理者对受托方的监督等制度机制进行对应的设置。主要合规工作任务包括制定或完善数据合规审计制度、评估制度,完成各类审计报告、评估报告等。
8. 回顾和改进
对数据合规体系的回顾和改进,以不断根据法律法规的变化进行改进工作,并动态适应监管要求。主要合规工作任务包括数据合规体系相关测试报告、问题反馈清单、整改/完善方案及计划等。
值得注意的是,很多跨国企业在中国法下搭建数据合规体系时,会不同程度借鉴GDPR的成熟实践,在将GDPR下的文件进行中国本地化过程中,需要关注到GDPR和《个人信息保护法》之间的差异,结合数据合规体系的政策制定、文件准备等重要内容,现将若干注意要点示例一二。
三、政策制定
1. 个人信息处理者与受托人
GDPR下定义了两类角色:Data Controller,系有权自主决定个人信息的处理目的、处理方式,对个人信息处理全流程最终负责的角色;Data Processor,系受委托处理特定事项的角色,比如存储服务、数据分析加工服务,只对受托的具体事项负责。两者之间有管理合同,前者对后者监督管控。中国法下的《个人信息保护法》存在对应前述两者的角色,即,Data Controller——个人信息处理者,Data Processor——受托人。但如果只做中英文的直译,就会造成困惑,需要注意法律概念上的区分。
2. 隐私与个人信息
在英美法下,隐私是习惯用法,如隐私保护政策、隐私指引、通知,中国的很多APP、网站亦借鉴了隐私政策这种习惯用法。但是,在中国法下,隐私与个人信息这两个法律概念是有差别的。因此,从用语规范角度,使用个人信息保护政策,会更符合中国法下的法律语言体系。
3. 个人信息安全事件的应急预案
《个人信息保护法》明确要求个人信息处理者应该建立个人信息安全事件的应急预案。
1
对个人信息主体的通知。即,发生个人信息的安全事件后,要不要通知个人信息主体?GDPR下原则上可以不通知,但是经过评估以后,认为个人信息泄露事件,会对个人信息主体有较高的安全风险影响时,应当通知;《个人信息保护法》下原则上应当通知,除非经过评估、采取了有效措施,可以完全避免对个人信息主体的损害时,可以不通知。
2
对主管部门的通知。GDPR下允许在例外情形下不用通知;《个人信息保护法》下所有情况都要通知。
因此,在应急预案制度及文件本地化过程中,应注意对相应条款的调整。
四、文件准备
1. 同意告知表格的审阅和修改
同意告知表格的内容,如是根据GDPR体系建立的,根据《个人信息保护法》的要求,需要对相关的表格、文件做审阅、修改。
(1)完整地告知所处理的个人信息种类。
GDPR下的告知类型,经常会有“包括但不限于”“基于处理业务所需的任何其他信息”等相对笼统、模糊的表述,没有明显要求;《个人信息保护法》下要求完全列明个人信息种类。
(2)接收方的名称和联系方式。
GDPR下只要告知到接收方的类型;《个人信息保护法》下明确要求在接收方的类型为并购或破产的接收方、其他个人信息处理者、境外接收方等几种情况下,必须告知接收方的名称和联系方式。
(3)单独同意。
对比GDPR,单独同意是《个人信息保护法》新提出来的,要求在向其他个人信息处理者提供、处理敏感个人信息、个人信息跨境等情形下,要单独告知、单独获得同意。
2. 业务合同的审阅和修改
从《个人信息保护法》的视角,企业可以将业务合同分为3类:个人信息处理者——处理者的合同(重点审查合同相对方是否拿到单独同意);个人信息处理者——受托人的合同(在合同条款中要明确约定个人信息处理者的监督义务);个人信息处理者——服务接收方(不碰数据)的合同(在合同中要明确双方的角色、权利义务)。
结语
中国正在用国际通行的法律语言来维护国家利益,在数据要素发挥更重要作用的未来,企业需要深刻理解中国基于风险差异化管理的监管逻辑,搭建动态符合监管要求的数据合规体系,在数据治理、特别是产生巨大价值的数据流动,和数据安全中找到平衡。
北京
北京市朝阳区东三环中路5号财富金融中心35-36层
电话:+86 10 8587 9199
上海
上海市长宁区遵义路150号虹桥南丰城C栋2006室
电话:+86 21 6289 8808
深圳
广东省深圳市福田区金田路荣超经贸中心4801
电话:+86 0755-82730104
天津
天津市河西区郁江道14号观塘大厦1号楼17层
电话:022-87560066
南京
江苏省南京市江宁区庄排路159号2号楼601室
电话:+025-83708988
郑州
河南省郑州市金水区金融岛华仕中心B座2楼
电话:+86 371 8895 8789
呼和浩特
内蒙古呼和浩特市赛罕区绿地腾飞大厦B座15层
电话:0471-3910106
昆明
云南省昆明市盘龙区恒隆广场11楼1106室
电话:+0871-63306330
西安
陕西省西安市高新区锦业路11号绿地中心B座39层
电话:+029-68273708
杭州
浙江省杭州市西湖区学院路77号黄龙国际中心B座11层
电话:+86 571 8673 8786
重庆
地址:重庆市江北区庆云路江2号国金中心T6写字楼8层8-8
电话:+86 23 67528936
海口
海南省海口市龙华区玉沙路5号国贸中心11楼
电话:0898-68508795
东京
日本国东京都港区虎之门一丁目1番18号HULIC TORANOMON BLDG.
电话:+81 3 3591 3796
加拿大
加拿大爱德华王子岛省夏洛特顿市皇后街160号
电话:001-902-918-0888
Copyright 2001- 2020 Anli Partners. All Rights Reserved 京ICP备05023788号-2 京公网安备11010502032603号
法律咨询电话:400-800-5639