企业数据合规管理体系的构建

  • A+
所属分类:数据合规风险

企业的数据合规制度是企业合规制度(大合规)的组成部分,属于专项合规。根据企业资源、能力、经营领域和合规重点的不同,数据合规制度既可以内嵌于企业整体合规机制当中,也可以建立专门的数据合规制度。

笔者认为,健全的数据合规体系应当包括高层重视、合规组织、制度建设、合规资源、风险评估、流程管控、培训沟通这七个要素。上海市发布的《企业数据合规指引》可供参考。

(一)高层重视

企业的最高管理者是数据合规的第一责任人。最高管理者应当承担以下职责:

为保证数据合规分配足够资源;建立违规举报和问责机制;确保运营目标符合合规义务;将数据合规情况纳入绩效考核。

(二)合规组织

*合规部门应具有独立性,不建议由法务部门履行合规管理职能。

《数据安全法》27条:重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。

《信息安全技术和个人信息安全规范》(GB/T 35273-2020)11.1 d)项规定,个人信息保护负责人和个人信息保护工作机构的应履行的职责包括但不限于:

全面统筹实施组织内部的个人信息安全工作,对个人信息安全负直接责任;制定个人信息保护计划、政策和相关规程;管理现有个人信息及其来源;进行安全评估;组织相关培训;为本公司产品或服务进行个人信息安全评估;受理投诉举报;与其他部门保持沟通。

(三)制度建设

【数据合规计划】数据合规部门负责人应结合企业自身特点制定并不断调整数据合规计划。

【部门协作】数据合规管理部门应加强与业务部门的分工协作。业务部门应主动进行日常数据合规管理工作,配合合规管理部门的监督与管理。

数据合规管理部门应与其他具有合规管理职能的监督部门(如法务部门、审计部门、监察部门等)建立明确的合作和信息交流机制,加强协调配合。

【主动接受监管】企业应积极与数据监管部门建立沟通渠道,了解相关制度;对于复杂或重大数据风险事项,向监管部门咨询;面对调查予以配合。

【激励和纪律】企业应当建立数据合规考核机制,并作为整体绩效考核一部分。

(四)合规资源

企业应当向数据合规管理部门负责人提供足够的授权、人力、财力来支持数据合规管理体系的运行。一般由董事会直接设立企业合规部门,下设数据合规管理部门等各类专业合规部门。

(五)风险评估

企业开展数据合规管理应当准确识别风险。常见的数据风险包括数据全生命周期各阶段中可能存在的未授权访问、数据滥用、数据泄漏等风险,以及侵犯个人信息、非法获取计算机信息系统数据、传播违法信息、侵犯知识产权、非法跨境提供数据等刑事犯罪风险,企业应根据识别出的风险评估相关经营管理和业务行为是否合规。

【重点风险场景】企业应在数据安全、自动化工具(网络爬虫等)、软件开发工具包、个人信息处理规则、个人生物特征信息、向第三方提供数据的规则、接收方处理数据的规则、跨境提供数据安全审查等方面进行风险评估。

(六)流程管控

【发现机制】设置日常的流程监控等多种方式发现违规行为,建立内部举报机制,并保护匿名举报者的个人信息安全;建立便捷的外部投诉机制。

【风险识别处理】企业在识别数据风险内容的基础上,可根据自身经营特点,对数据风险进行分级。

数据合规管理部门应定期向合规负责人汇报数据合规管理情况,发生重大风险行为时,更要及时汇报并提出解决方案。同时应当根据风险评估结果对不同职级、不同工作范围的员工进行风险提示,降低违法犯罪风险。

(七)培训沟通

【培训】数据合规管理部门应当建立培训机制,定期为管理层、员工培训数据合规相关知识。鼓励员工作出并履行明确、公开的数据合规承诺。

【内部咨询】企业可建立数据合规咨询机制,各部门员工可以向数据合规管理部门咨询数据合规问题。

【数据合规文化】将数据合规文化作为企业文化建设的重要内容,践行合规经营的价值观,不断增强员工的数据合规意识。

鼓励行业协会在本行业内积极倡导数据合规文化,强化行业的数据合规意识。

结语:

企业数据合规要求数据处理者以个人信息为主要保护对象,兼顾其他数据种类,同时避免违法有害数据的传播。在数据获取、数据使用与交易、数据安全三大方面,进行全流程的合规风险防范。

既往判例表明,建立合规制度对于企业避免刑事风险具有至关重要的价值。例如在雀巢公司被控侵犯公民个人信息案中,法院最终认定雀巢公司禁止员工从事侵犯公民个人信息的违法犯罪行为,员工违反公司管理规定,为提升个人业绩而实施犯罪为个人行为。即建立了完善的企业合规制度,实现了企业责任与员工责任的切割,最终将本案认定个人犯罪。

如今企业合规制度试点工作正在如火如荼地推进,它既为企业提供了一个提升治理水平并在关键时刻化解风险的机会,同时也是新时代对企业提出的更高的要求。任何一个面向大众消费者或者业务包含数据处理场景的企业,均须实现数据合规。

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: