肖飒:数字化转型后如何做到合规?

快报
2021
07/13
20:32
亚设网
分享

中新经纬客户端7月13日电 题:《肖飒:数字化转型后如何做到合规?》

作者 肖飒(北京大成律师事务所合伙人)

伴随数据信息相关的国家标准、法律法规不断修订与出台,数据立法与保护的工作显然已被国家提上日程。而近期有关部门的行政执法动作与刑事发案几率,更是彰显出各行各业数据合规的紧迫性。

从效率与便捷的角度出发,传统企业数字化转型已是当前不可逆转的方向。但对于面向大众的传统企业而言,数字化往往意味着中心化数据库的形成,风险自此而生。因此,如何规范数据的收集、存储、使用成为关键。

为什么要进行数据合规?

为什么近年大量在数据领域立法?为什么要通过行政法这一公法形式规制数据领域的问题?

1、数据能够带来收益

虽然对于数据能否成为权利客体在法学理论上仍有争议,但伴随技术手段的发展,对于数据能够产生收益是没有争议的。企业可以通过分析个人产生的信息进行精准投放,甚至依赖售卖信息赚取收益。因此,数据有被立法保护的价值。

2、自力难以救济

大部分的数据信息可以归入个人隐私的范围,在民法领域,隐私权受到侵害的用户有权向信息收集方的企业提起隐私权纠纷的民事诉讼。但是,该类诉讼存在如下阻碍:其一,用户已同意企业对其数据的使用;其二,用户难以举证相关信息泄露系特定企业所致;其三,时间与经济成本高,用户缺乏诉讼意愿。

3、解决渠道的产生

数据问题根源在于数据产生的收益分配规则不公平,在目前的规则下,经营主体企业占据了数据所产生的全部经济利益。而用户作为数据信息的提供者,并没有享受到实质性利益。为解决这一矛盾,一来有必要规范经营主体收集、使用、传播数据的行为,二来可以赋予数据提供者实质性利益。如此一来,作为更为方便的、可纳入公法调整的第一种进路,自然成为了当下立法首选。

确认合规依据

中国采用的是分散式数据立法,虽然这为检索和合规工作带来不便,但根据业务领域数据保护价值的不同区分保护方法有助于提高整体环境的合规效率。

基于此,不同领域的传统企业数字化转型后,在数据合规前首先需要做的是确认与自己业务相匹配的合规依据。

对于面向C端用户的传统企业来说,数字化转型后,为经营便利,该类企业大多具有存储用户个人信息的中心化数据库,这就使得该类企业背负了个人信息合规的相关义务。

1、一般个人信息的数据合规依据

暂未生效的依据可包括二次审定的个人信息保护法草案、出台但未施行的《中华人民共和国数据安全法》、关键信息基础设施相关国家标准征求意见稿等即将生效的规范,已经生效的依据可包括《中华人民共和国网络安全法》、《互联网个人信息安全保护指南》、《信息安全技术 个人信息安全规范》等规定。

2、不同类型个人信息的数据合规依据

因个人信息类别较多,仅选取部分类型的个人信息简介合规依据如下:

(1)如传统企业存在涉外业务,可能存在个人信息出境的,企业须仿照《个人信息出境安全评估办法(征求意见稿)》关于个人信息出境的监管规定进行合规;

(2)如传统企业因用户存在儿童等原因,可能获取儿童信息的,企业应当依照《儿童个人信息网络保护规定》的要求,对儿童信息提供进一步的保护;

(3)如传统企业因业务需要获取了用户个人金融信息的,企业需要按照《中国人民银行金融消费者权益保护实施办法》、《个人金融信息保护技术规范》等规范性文件调整其个人金融信息的保护强度。

数据合规的主要环节

1、建章立制

以个人金融信息的合规为例,《中国人民银行金融消费者权益保护实施办法》要求建立健全金融消费者权益保护的各项内控制度,包括金融消费者权益保护工作考核评价机制、金融消费者风险等级评估机制、个人金融信息保护机制等。不同类型的数据有着不同的建章立制要求,在企业内建立起相应规范制度是数据合规的第一步。

2、调整业务条线

在合规依据确定、建章立制完成后,企业需要依据个人信息的监管要求调整与规范业务条线,将规范化的收集、传输、存储、使用、删除、销毁等整个信息处理要求整合至各业务条线之中。

3、事中管理

管理体系难以发挥效果,问题多是因为缺少过程中的监督,前期的筹备可能因为执行中的懈怠而毁于一旦,所以需要建立机制,保证事中持续的跟进与督促。首先要由合规部门牵头进行合规检查,其次还要进行合规尽职调查,最终形成相应的事中合规报告,即可以发挥监督和总结作用的定期合规报告。

4、事后反馈

合规体系要发挥实质性的作用,则需对企业高管或者员工出现的违法、违规、违纪等不合规的问题,按照规定进行相应的合规问责,并形成合规问责决议,否则会对合规体系本身造成损害。例如涉及刑事违法的情形,应当按照规定交由司法部门进行处理。

5、技术赋能

区块链为数据合规提供了新的发展思路,可以提升其效率、透明度以及可审计性。利用区块链技术制定统一的数据类型和标准规则,可以实现数据存储和同步到区块链的各个节点,在分布式的结构之中,加大了篡改、删除数据或者恶意攻击数据库的难度,进而保证了数据的真实性、完整性、隐私性和安全性。

6、宣传与教育

数据合规的具体操作由企业业务各环节的员工负责与完成,对员工合规意识的定期培训是实现数据合规的必要组成。特别是在个人信息的售卖入刑后,侵犯公民个人信息罪在各类数字化企业的发案率相当高,不可不防。

在数据价值被不断挖掘、传统行业数字化转型的今天,数据合规势必成为未来各行各业必须达到的经营要求。但同时也要注意到,数据合规的法律体系暂未搭建完善,不同业务领域的数据合规要求不同,如何将相应的合规服务做好,是我们正在探索的方向之一。(中新经纬APP)

( HN666)

THE END
免责声明:本文系转载,版权归原作者所有;旨在传递信息,不代表亚设网的观点和立场。

2.jpg

关于我们

微信扫一扫,加关注

Top