企業(yè)通過對全業(yè)務(wù)條線的系統(tǒng)性排查����,不斷識別出可能存在的基礎(chǔ)合規(guī)問題��,并通過及時(shí)整改���,確保企業(yè)盡快達(dá)到基礎(chǔ)合規(guī)狀態(tài)。在此基礎(chǔ)上����,通過對組織架構(gòu)、業(yè)務(wù)��、制度等各方面不斷優(yōu)化完善����,最終建立系統(tǒng)性的數(shù)據(jù)合規(guī)體系。一般而言��,搭建動態(tài)符合監(jiān)管要求的數(shù)據(jù)合規(guī)體系�����,至少應(yīng)包括組織架構(gòu)、業(yè)務(wù)現(xiàn)狀和數(shù)據(jù)梳理���、政策制定和執(zhí)行�����、建立完善的法律文件體系�、技術(shù)管控措施��、溝通和培訓(xùn)��、審計(jì)評估和監(jiān)督����、回顧和改進(jìn)等組成部分。
一�����、數(shù)據(jù)合規(guī)專項(xiàng)工作的切入點(diǎn)
結(jié)合實(shí)際�����,企業(yè)如先期啟動數(shù)據(jù)合規(guī)專項(xiàng)工作����,總體上可采用“先基礎(chǔ)合規(guī)�����,再系統(tǒng)優(yōu)化提升”的模式��,即先行識別出實(shí)質(zhì)風(fēng)險(xiǎn)點(diǎn)�,并制定針對性的整改方案�����,解決業(yè)務(wù)中尚未滿足數(shù)據(jù)合規(guī)要求��、可能觸及監(jiān)管紅線的問題��,以盡快消除企業(yè)所面臨的合規(guī)風(fēng)險(xiǎn)�����,同時(shí)為搭建動態(tài)符合監(jiān)管要求的數(shù)據(jù)合規(guī)體系奠定基礎(chǔ)�����。
二���、搭建數(shù)據(jù)合規(guī)體系的主要內(nèi)容
主要包括在決策層�、管理層���、執(zhí)行層�����、監(jiān)督層分別設(shè)置(或調(diào)整現(xiàn)有的)負(fù)責(zé)��、決策��、執(zhí)行及監(jiān)督機(jī)制��。主要合規(guī)工作任務(wù)包括制定或完善數(shù)據(jù)合規(guī)決策機(jī)構(gòu)的設(shè)置及決策制度�����、常設(shè)工作組的設(shè)置及決策制度����、數(shù)據(jù)合規(guī)體系的整體運(yùn)行及管理制度等�。
2. 業(yè)務(wù)現(xiàn)狀和數(shù)據(jù)梳理
主要包括對數(shù)據(jù)資產(chǎn)盤點(diǎn)?梳理與分類,形成數(shù)據(jù)資產(chǎn)清單����。主要合規(guī)工作任務(wù)包括數(shù)據(jù)盡職調(diào)查報(bào)告�、數(shù)據(jù)資產(chǎn)清單��、數(shù)據(jù)分級分類情況清單�、合規(guī)差距分析報(bào)告、專項(xiàng)整改方案等����。
主要基于法律規(guī)定及企業(yè)實(shí)際,制定或完善相應(yīng)的管理政策����,包括符合法律規(guī)定的相關(guān)制度辦法��、規(guī)范細(xì)則��、計(jì)劃表單等����,并由包括行政管理部門在內(nèi)的多個(gè)部門共同推動執(zhí)行。政策制定層面���,主要合規(guī)工作任務(wù)包括制定或完善覆蓋企業(yè)全業(yè)務(wù)領(lǐng)域的��、具備可操作性的數(shù)據(jù)管理制度等��。政策執(zhí)行層面���,一般由企業(yè)內(nèi)部數(shù)據(jù)合規(guī)常設(shè)工作機(jī)構(gòu)作為執(zhí)行管控部門�,負(fù)責(zé)監(jiān)督制度是否執(zhí)行到位��。
主要包括全部對外(包括用戶及合作方)及對內(nèi)(員工)法律文件體系的系統(tǒng)性設(shè)計(jì)和完善�����。主要合規(guī)工作任務(wù)包括制定或完善隱私協(xié)議����、用戶授權(quán)同意書、對外公示法律文件��、業(yè)務(wù)合同���、勞動合同��、各類業(yè)務(wù)規(guī)范表格文件等����。
針對不斷發(fā)展的人工智能、區(qū)塊鏈��、物聯(lián)網(wǎng)����、大數(shù)據(jù)以及云計(jì)算等新技術(shù)環(huán)境,主要合規(guī)工作任務(wù)包括制定或完善數(shù)據(jù)全生命周期的技術(shù)措施方案��、數(shù)據(jù)安全防護(hù)及檢測內(nèi)控制度�����、數(shù)據(jù)安全響應(yīng)及應(yīng)急處置制度及管控措施等�����。
在企業(yè)內(nèi)部進(jìn)行數(shù)據(jù)合規(guī)宣導(dǎo)工作���,針對普通員工、涉及數(shù)據(jù)處理的核心崗位����、信息技術(shù)部門以及企業(yè)管理層等制定并開展定制化的培訓(xùn)課程,提高整體數(shù)據(jù)合規(guī)意識。主要合規(guī)工作任務(wù)包括制定或完善培訓(xùn)計(jì)劃�、培訓(xùn)教材、數(shù)據(jù)合規(guī)宣傳材料�,組織實(shí)施培訓(xùn)活動等。
主要針對數(shù)據(jù)合規(guī)的審計(jì)要求�����、個(gè)人信息影響評估以及數(shù)據(jù)處理者對受托方的監(jiān)督等制度機(jī)制進(jìn)行對應(yīng)的設(shè)置���。主要合規(guī)工作任務(wù)包括制定或完善數(shù)據(jù)合規(guī)審計(jì)制度、評估制度��,完成各類審計(jì)報(bào)告�����、評估報(bào)告等�。
對數(shù)據(jù)合規(guī)體系的回顧和改進(jìn),以不斷根據(jù)法律法規(guī)的變化進(jìn)行改進(jìn)工作�,并動態(tài)適應(yīng)監(jiān)管要求。主要合規(guī)工作任務(wù)包括數(shù)據(jù)合規(guī)體系相關(guān)測試報(bào)告��、問題反饋清單、整改/完善方案及計(jì)劃等�����。
值得注意的是��,很多跨國企業(yè)在中國法下搭建數(shù)據(jù)合規(guī)體系時(shí)�����,會不同程度借鑒GDPR的成熟實(shí)踐���,在將GDPR下的文件進(jìn)行中國本地化過程中�����,需要關(guān)注到GDPR和《個(gè)人信息保護(hù)法》之間的差異��,結(jié)合數(shù)據(jù)合規(guī)體系的政策制定����、文件準(zhǔn)備等重要內(nèi)容��,現(xiàn)將若干注意要點(diǎn)示例一二��。
GDPR下定義了兩類角色:Data Controller�����,系有權(quán)自主決定個(gè)人信息的處理目的�����、處理方式���,對個(gè)人信息處理全流程最終負(fù)責(zé)的角色;Data Processor����,系受委托處理特定事項(xiàng)的角色,比如存儲服務(wù)�、數(shù)據(jù)分析加工服務(wù),只對受托的具體事項(xiàng)負(fù)責(zé)���。兩者之間有管理合同�����,前者對后者監(jiān)督管控���。中國法下的《個(gè)人信息保護(hù)法》存在對應(yīng)前述兩者的角色��,即�,Data Controller——個(gè)人信息處理者���,Data Processor——受托人���。但如果只做中英文的直譯,就會造成困惑���,需要注意法律概念上的區(qū)分�。
在英美法下��,隱私是習(xí)慣用法�,如隱私保護(hù)政策、隱私指引��、通知�����,中國的很多APP�、網(wǎng)站亦借鑒了隱私政策這種習(xí)慣用法。但是���,在中國法下�,隱私與個(gè)人信息這兩個(gè)法律概念是有差別的����。因此,從用語規(guī)范角度���,使用個(gè)人信息保護(hù)政策�����,會更符合中國法下的法律語言體系�。
3. 個(gè)人信息安全事件的應(yīng)急預(yù)案
《個(gè)人信息保護(hù)法》明確要求個(gè)人信息處理者應(yīng)該建立個(gè)人信息安全事件的應(yīng)急預(yù)案�����。
對個(gè)人信息主體的通知�。即,發(fā)生個(gè)人信息的安全事件后�,要不要通知個(gè)人信息主體�����?GDPR下原則上可以不通知��,但是經(jīng)過評估以后���,認(rèn)為個(gè)人信息泄露事件,會對個(gè)人信息主體有較高的安全風(fēng)險(xiǎn)影響時(shí)�����,應(yīng)當(dāng)通知�;《個(gè)人信息保護(hù)法》下原則上應(yīng)當(dāng)通知,除非經(jīng)過評估����、采取了有效措施,可以完全避免對個(gè)人信息主體的損害時(shí)�,可以不通知。
對主管部門的通知�����。GDPR下允許在例外情形下不用通知���;《個(gè)人信息保護(hù)法》下所有情況都要通知�。
因此,在應(yīng)急預(yù)案制度及文件本地化過程中�����,應(yīng)注意對相應(yīng)條款的調(diào)整��。
同意告知表格的內(nèi)容�,如是根據(jù)GDPR體系建立的��,根據(jù)《個(gè)人信息保護(hù)法》的要求���,需要對相關(guān)的表格����、文件做審閱�、修改。
(1)完整地告知所處理的個(gè)人信息種類�����。
GDPR下的告知類型,經(jīng)常會有“包括但不限于”“基于處理業(yè)務(wù)所需的任何其他信息”等相對籠統(tǒng)����、模糊的表述,沒有明顯要求�����;《個(gè)人信息保護(hù)法》下要求完全列明個(gè)人信息種類��。
(2)接收方的名稱和聯(lián)系方式�����。
GDPR下只要告知到接收方的類型��;《個(gè)人信息保護(hù)法》下明確要求在接收方的類型為并購或破產(chǎn)的接收方����、其他個(gè)人信息處理者、境外接收方等幾種情況下���,必須告知接收方的名稱和聯(lián)系方式�����。
對比GDPR����,單獨(dú)同意是《個(gè)人信息保護(hù)法》新提出來的,要求在向其他個(gè)人信息處理者提供���、處理敏感個(gè)人信息、個(gè)人信息跨境等情形下�,要單獨(dú)告知、單獨(dú)獲得同意�����。
從《個(gè)人信息保護(hù)法》的視角�����,企業(yè)可以將業(yè)務(wù)合同分為3類:個(gè)人信息處理者——處理者的合同(重點(diǎn)審查合同相對方是否拿到單獨(dú)同意)��;個(gè)人信息處理者——受托人的合同(在合同條款中要明確約定個(gè)人信息處理者的監(jiān)督義務(wù));個(gè)人信息處理者——服務(wù)接收方(不碰數(shù)據(jù))的合同(在合同中要明確雙方的角色���、權(quán)利義務(wù))�。
中國正在用國際通行的法律語言來維護(hù)國家利益��,在數(shù)據(jù)要素發(fā)揮更重要作用的未來��,企業(yè)需要深刻理解中國基于風(fēng)險(xiǎn)差異化管理的監(jiān)管邏輯�,搭建動態(tài)符合監(jiān)管要求的數(shù)據(jù)合規(guī)體系,在數(shù)據(jù)治理����、特別是產(chǎn)生巨大價(jià)值的數(shù)據(jù)流動,和數(shù)據(jù)安全中找到平衡���。
