企業通過對全業務條線的系統性排查,不斷識別出可能存在的基礎合規問題,并通過及時整改,確保企業盡快達到基礎合規狀態。在此基礎上,通過對組織架構、業務、制度等各方面不斷優化完善,最終建立系統性的數據合規體系。一般而言,搭建動態符合監管要求的數據合規體系,至少應包括組織架構、業務現狀和數據梳理、政策制定和執行、建立完善的法律文件體系、技術管控措施、溝通和培訓、審計評估和監督、回顧和改進等組成部分。
一、數據合規專項工作的切入點
結合實際,企業如先期啟動數據合規專項工作,總體上可采用“先基礎合規,再系統優化提升”的模式,即先行識別出實質風險點,并制定針對性的整改方案,解決業務中尚未滿足數據合規要求、可能觸及監管紅線的問題,以盡快消除企業所面臨的合規風險,同時為搭建動態符合監管要求的數據合規體系奠定基礎。
二、搭建數據合規體系的主要內容
1. 組織架構
主要包括在決策層、管理層、執行層、監督層分別設置(或調整現有的)負責、決策、執行及監督機制。主要合規工作任務包括制定或完善數據合規決策機構的設置及決策制度、常設工作組的設置及決策制度、數據合規體系的整體運行及管理制度等。
2. 業務現狀和數據梳理
主要包括對數據資產盤點?梳理與分類,形成數據資產清單。主要合規工作任務包括數據盡職調查報告、數據資產清單、數據分級分類情況清單、合規差距分析報告、專項整改方案等。
3. 政策制定和執行
主要基于法律規定及企業實際,制定或完善相應的管理政策,包括符合法律規定的相關制度辦法、規范細則、計劃表單等,并由包括行政管理部門在內的多個部門共同推動執行。政策制定層面,主要合規工作任務包括制定或完善覆蓋企業全業務領域的、具備可操作性的數據管理制度等。政策執行層面,一般由企業內部數據合規常設工作機構作為執行管控部門,負責監督制度是否執行到位。
4. 建立完善的法律文件體系
主要包括全部對外(包括用戶及合作方)及對內(員工)法律文件體系的系統性設計和完善。主要合規工作任務包括制定或完善隱私協議、用戶授權同意書、對外公示法律文件、業務合同、勞動合同、各類業務規范表格文件等。
5. 技術管控措施
針對不斷發展的人工智能、區塊鏈、物聯網、大數據以及云計算等新技術環境,主要合規工作任務包括制定或完善數據全生命周期的技術措施方案、數據安全防護及檢測內控制度、數據安全響應及應急處置制度及管控措施等。
6. 溝通和培訓
在企業內部進行數據合規宣導工作,針對普通員工、涉及數據處理的核心崗位、信息技術部門以及企業管理層等制定并開展定制化的培訓課程,提高整體數據合規意識。主要合規工作任務包括制定或完善培訓計劃、培訓教材、數據合規宣傳材料,組織實施培訓活動等。
7. 審計、評估和監督
主要針對數據合規的審計要求、個人信息影響評估以及數據處理者對受托方的監督等制度機制進行對應的設置。主要合規工作任務包括制定或完善數據合規審計制度、評估制度,完成各類審計報告、評估報告等。
8. 回顧和改進
對數據合規體系的回顧和改進,以不斷根據法律法規的變化進行改進工作,并動態適應監管要求。主要合規工作任務包括數據合規體系相關測試報告、問題反饋清單、整改/完善方案及計劃等。
值得注意的是,很多跨國企業在中國法下搭建數據合規體系時,會不同程度借鑒GDPR的成熟實踐,在將GDPR下的文件進行中國本地化過程中,需要關注到GDPR和《個人信息保護法》之間的差異,結合數據合規體系的政策制定、文件準備等重要內容,現將若干注意要點示例一二。
三、政策制定
1. 個人信息處理者與受托人
GDPR下定義了兩類角色:Data Controller,系有權自主決定個人信息的處理目的、處理方式,對個人信息處理全流程最終負責的角色;Data Processor,系受委托處理特定事項的角色,比如存儲服務、數據分析加工服務,只對受托的具體事項負責。兩者之間有管理合同,前者對后者監督管控。中國法下的《個人信息保護法》存在對應前述兩者的角色,即,Data Controller——個人信息處理者,Data Processor——受托人。但如果只做中英文的直譯,就會造成困惑,需要注意法律概念上的區分。
2. 隱私與個人信息
在英美法下,隱私是習慣用法,如隱私保護政策、隱私指引、通知,中國的很多APP、網站亦借鑒了隱私政策這種習慣用法。但是,在中國法下,隱私與個人信息這兩個法律概念是有差別的。因此,從用語規范角度,使用個人信息保護政策,會更符合中國法下的法律語言體系。
3. 個人信息安全事件的應急預案
《個人信息保護法》明確要求個人信息處理者應該建立個人信息安全事件的應急預案。
1
對個人信息主體的通知。即,發生個人信息的安全事件后,要不要通知個人信息主體?GDPR下原則上可以不通知,但是經過評估以后,認為個人信息泄露事件,會對個人信息主體有較高的安全風險影響時,應當通知;《個人信息保護法》下原則上應當通知,除非經過評估、采取了有效措施,可以完全避免對個人信息主體的損害時,可以不通知。
2
對主管部門的通知。GDPR下允許在例外情形下不用通知;《個人信息保護法》下所有情況都要通知。
因此,在應急預案制度及文件本地化過程中,應注意對相應條款的調整。
四、文件準備
1. 同意告知表格的審閱和修改
同意告知表格的內容,如是根據GDPR體系建立的,根據《個人信息保護法》的要求,需要對相關的表格、文件做審閱、修改。
(1)完整地告知所處理的個人信息種類。
GDPR下的告知類型,經常會有“包括但不限于”“基于處理業務所需的任何其他信息”等相對籠統、模糊的表述,沒有明顯要求;《個人信息保護法》下要求完全列明個人信息種類。
(2)接收方的名稱和聯系方式。
GDPR下只要告知到接收方的類型;《個人信息保護法》下明確要求在接收方的類型為并購或破產的接收方、其他個人信息處理者、境外接收方等幾種情況下,必須告知接收方的名稱和聯系方式。
(3)單獨同意。
對比GDPR,單獨同意是《個人信息保護法》新提出來的,要求在向其他個人信息處理者提供、處理敏感個人信息、個人信息跨境等情形下,要單獨告知、單獨獲得同意。
2. 業務合同的審閱和修改
從《個人信息保護法》的視角,企業可以將業務合同分為3類:個人信息處理者——處理者的合同(重點審查合同相對方是否拿到單獨同意);個人信息處理者——受托人的合同(在合同條款中要明確約定個人信息處理者的監督義務);個人信息處理者——服務接收方(不碰數據)的合同(在合同中要明確雙方的角色、權利義務)。
結語
中國正在用國際通行的法律語言來維護國家利益,在數據要素發揮更重要作用的未來,企業需要深刻理解中國基于風險差異化管理的監管邏輯,搭建動態符合監管要求的數據合規體系,在數據治理、特別是產生巨大價值的數據流動,和數據安全中找到平衡。
北京
北京市朝陽區東三環中路5號財富金融中心35-36層
電話:+86 10 8587 9199
上海
上海市長寧區長寧路1133號長寧來福士廣場T1辦公樓37層
電話:+86 21 6289 8808
深圳
廣東省深圳市福田區金田路榮超經貿中心4801
電話:+86 755 8273 0104
天津
天津市河西區郁江道14號觀塘大廈1號樓17層
電話:+86 22 8756 0066
南京
南京市江寧區秣周東路12號7號樓知識產權大廈10層1006-1008室
電話:+86 25 8370 8988
鄭州
河南省鄭州市金水區金融島華仕中心B座2樓
電話:+86 371 8895 8789
呼和浩特
內蒙古呼和浩特市賽罕區綠地騰飛大廈B座15層
電話:+86 471 3910 106
昆明
云南省昆明市盤龍區恒隆廣場11樓1106室
電話:+86 871 6330 6330
西安
陜西省西安市雁塔區翠華路500號佳和商務大廈A座26層07室
電話:+86 29 8931 3353
杭州
浙江省杭州市西湖區學院路77號黃龍國際中心B座11層
電話:+86 571 8673 8786
重慶
重慶市兩江新區慶云路2號國金中心T6寫字樓8層8-8
電話:+86 23 6752 8936
海口
海南省海口市龍華區玉沙路5號國貿中心11樓
電話:+86 898 6850 8795
日本東京
日本國東京都港區虎之門一丁目1番18號HULIC TORANOMON BLDG.
電話:0081 3 3591 3796
加拿大愛德華王子島省
加拿大愛德華王子島省夏洛特頓市皇后街160號B座
電話:001 902 518 2988
阿聯酋迪拜
迪拜伊瑪爾商業園1號樓505號
電話:971 52 8372673
Copyright 2001-2026 Anli Partners. All Rights Reserved 京ICP備05023788號-2 京公網安備11010502032603號
聲明:本官網文章僅供交流,不構成安理律師對特定事項的法律意見或建議。如您面臨法律問題,建議您聯系安理律師或其他具有相關資格的專業人士尋求法律幫助。安理法律咨詢電話:400-800-5639。
