引言:
2022年7月21日,国家互联网信息办公室对滴滴全球股份有限公司(以下简称“滴滴公司”)依法作出网络安全审查相关行政处罚决定,对滴滴公司处人民币80.26亿元罚款,对滴滴公司董事长兼CEO程维、总裁柳青各处人民币100万元罚款。
在上二期中,从滴滴公司的违法事实和处罚依据谈起,解读了什么是企业数据合规,并就数据安全的问题与挑战进行了细致分析。本文中,笔者将更进一步,对企业如何进行内部的数据合规管理提出自己的意见和看法。
六、如何进行企业内部的数据合规工作?
保证数据信息严密不被泄露是当下互联网企业不可忽视的一个环节。通过浅析国内数据安全问题可看出,我国数据执法愈发严格,可以预见的是,我国的执法标准将在三到五年后趋于成熟和稳定,届时执法实践的边界会更为清晰。这一趋势决定了企业数据合规的高门槛,亦是向未来国内企业的合规发展提出了新问题与新挑战。
首先,企业应建立详实的数据合规管理制度。对企业内部的信息系统、数据处理流程、网络安全与数据合规的现状进行全面梳理,通过内部尽职调查了解自身业务中可能涉及到的数据类型,相应的数据生命周期,以及网络安全与数据合规的认证资质,厘清企业目前网络安全制度、数据处理规则与现行法律法规的差距。在了解清楚内部问题之后,要在公司层面根据自身的实际情况,制定相应的内部数据合规管理制度,涵盖个人数据的合规处理、个人数据权限控制、网络安全事件应急、个人数据主体权利请求响应、数据安全数据生命周期等制度,建立覆盖数据采集、传输、存储、使用、删除及销毁过程的安全框架。目前,从笔者了解或亲自处理的相关案件中可以看到,现在大多企业都是从网络上或者会议中照抄相关数据合规的管理制度,类似于现在大多企业照抄市场监督管理部门提供的公司《章程》一样,从形式上看什么似乎都有了,但是根本不能解决或者不能很好地解决企业面临的现实问题。所以,建议健全有针对性的、千企千面的企业合规制度迫在眉睫。
其次,企业应当根据自身服务类型的实际情况,按照《常见类型移动互联网应用程序必要个人信息范围规定》收集个人的必要信息。在收集信息过程中,企业应明确告知用户收集信息的目的、方式、范围,且应当与企业实际收集使用的用户信息方式一致。需要特别注意的是,以概括授权的方式获得用户对个人信息处理方式的授权已经被《个人信息保护法》所禁止。如果公司后续因业务更新等实际需要,还要扩大收集用户信息范围的,应当以短信或弹窗的方式对用户进行一对一的特别提示。特别是在收集、处理个人敏感信息时,应当按照《个人信息保护法》规定的单独同意规则,对于用户的人脸识别信息、精准定位信息、行动轨迹信息等必须格外谨慎。企业在收集个人信息时,不应逾越《常见类型移动互联网应用程序必要个人信息范围规定》的界限,对收集内容有疑问的,也应主动联系当地网信办、通信管理局等监管部门,明确收集界限以降低违规的风险。
再次,要树立意识先行的观念,树立数据安全合规的意识、企业合规文化。在企业数据合规的项目中,笔者注意到多数企业容易出现的一个问题:企业的决策层、管理层和监督层积极推进数据安全管理体系搭建工作,但向各执行层部门和员工推进时则困难重重,执行层部门和员工认为数据安全管理制度为其日常工作设置了更多的规范性要求,属于加“紧箍咒”,他们往往是照抄照搬、敷衍了事,导致企业的数据安全管理制度难以落地,更不要说落到实处。笔者建议,企业需要制定决策层、管理层和执行层的全方位合规培训计划,提高领导的合规意识;同时,必须定期或不定期地为员工开展企业数据合规培训,实时动态地了解国家数据法律法规和监管政策的变化;对于相关处罚的案例更是要及时地传递给全企业。另外,还应建立和维护合规问责机制,包括处分和后果追查,确保将数据合规落实情况和效果纳入企业内部人员绩效考核体系,确保员工更好地履行岗位职责。
最后,建立外聘律师和外部测评机构的有效参与机制。外聘合规专业律师和一些测评机构专业人士的参与,能够有效完善企业的数据合规管理制度,准确完整地理解数据安全相关法律法规以及监管政策,熟悉法律规则的适用,及时识别企业经营和管理过程中的数据合规风险,并提出相应的数据合规风险意见和整改方案。律师和外部测评机构的加入,可对数据的识别结果建立有效的反馈机制和评估机制,通过数据反馈和评估,从而帮助企业制定具有针对性、策略性的不同数据管理制度及其安全风险化解计划,根据法律法规的制定、修改,企业阶段性的数据安全风险识别、反馈、评估、化解的不同路径,不断地调整与优化企业现有的数据合规管理制度,实时提升企业人员的数据合规管理水平。
七、结语
滴滴被罚事件不是第一例,也不会是最后一例被处罚的案例,但它应当算是数据合规实施强监管后最具有典型意义的里程碑事件。正如网信办有关负责人所说的,“加大典型案例曝光力度,形成强大声势和有力震慑,做到查处一案、警示一片,教育引导互联网企业依法合规运营,促进企业健康规范有序发展。”笔者相信,随着《数据安全法》《个人信息保护法》的相继出台、施行,加之通过一例例的执法案例,将会对企业网络安全、数据安全和个人信息保护的数据合规提出了越来越高、越来越细的要求。
数据既是“新时代的石油”,同时也是“烫手的山芋”。对于企业来说,无论是日常运营活动,还是上市、投资融资等重大经营事项,都会涉及到数据处理,都会需要保护个人信息、保障数据安全,都必须规范数据处理活动。数据强监管时代已至,数据合规己成为企业合规管理体系的重点领城之一,企业高层人员必然需要加强对数据合规的重视,设计有效合规方案,防范企业违规风险,为企业健康、长远发展提供制度保障。
作者简介:朱政,执业律师,北京京师(合肥)律师事务所主任,国家高级经济师。最高人民检察院和省级人民检察院民事、行政诉讼监督案件咨询专家,第八届中华全国律师协会破产与重整专业委员会委员、第九届中华全国律师协会公司法专业委员会委员,第八届、第九届安徽省律师协会常务理事、纪律委员会常务副主任,安徽省高级人民法院、安徽省司法厅确定的安徽律师调解员,安徽省商会调解员,安徽省《民法典》讲师团成员。
