当前位置:CIOCIO联盟 → 正文

强监管时代下的企业数据合规

责任编辑:cres |来源:企业网D1Net  2021-08-29 14:32:11 原创文章 企业网D1Net

8月29日,由企业网D1Net、信众智CIO智力共享平台和中国企业数字化联盟共同主办的2021北京部委央企及大型企业CIO大会暨中国企业数字化联盟年会(夏)在京召开。本次大会以“数字化转型进入深水区”为主题,着重探讨部委、央企及大中型企业数字化转型的成功实践,邀请了包括生态环境部、国家卫健委卫生发展研究中心、北京信息资源中心等部委,中国电建集团、中粮肉食集团、北京瀛和律师事务所等多家央企CIO进行精彩分享,并有超过百家大中型企业的CIO及行业优秀供应商代表共同参与。
 
以下是现场速记。
 


北京瀛和律师事务所 知识产权中心主任 赵礼杰
 
赵礼杰:各位领导、各位来宾,大家下午好!站在这儿跟各位技术大咖来介绍数据合规还是有点忐忑,虽然我学法律,但是我觉得大家可能对数据研究应该比我的历史要长,可能是这样的。我是从做律师以后,可能对这块研究的会更多一些。今天是范总给我的命题,介绍刚刚颁布的《数据安全法》和《个人信息保护法》,时间原因不太展开,主要分享跟各位专家相关的法条。
 
我分享的主题是强监管时代下的企业数据合规。大家能感觉到数据的监管好像是越来越严了,或者我把好像去掉,大家应该特别有感觉,所以今天有了这样的命题。
 
正式开始之前,首先简单的做个自我介绍,我叫赵礼杰,我现在在北京瀛和律师事务所,这个事务所主持人介绍了,看来主持人是到过我们那边。我们所就在这个楼,特别有缘,我们在国际饭店5层,大家茶歇时感兴趣的话可以去我们那边参观一下,我带着大家看一看坐一坐。
 
我现在是一个执业律师,主要做的法律服务是知识产权和数据合规,我之前在科技企业做法务,一个是京东方,还有一个做人工智能的企业。
 
下面正式开始我今天的分享,分享的内容是强监管下的数据合规,主要有三个内容跟大家简单交流:
 
第一.数据强监管下的严峻形势。
 
第二.数安法与个保法要点解读。
 
第三.企业的数据合规开展建议。
 
大家应该能感觉到现在数据的治理或者说合规这一块,国家是越来越关注了。国家为什么关注?可能大家都想过,因为它其实是关系到大到国家安全,中等到产业安全,小到个人信息安全,其实它关系的是国家主权、国际民生还有我们个人的正常的安宁的个人生活。
 
谈到严峻形势,我们首先看几个案例:
 
案例1.阿里云泄露用户信息被责令整改。
 
2021年8月23日,一份浙江省通信管理局对投诉人的答复函,我是想让大家关注到,现在国家相关部门对数据的关注或者说监管是越来越严了,相应的市场主体肯定要做好数据的保护。
 
案例2.滴滴被网信办启动网络安全审查。
 
大家应该关注到了这个案例,发生在它在美国IPO的时间节点。官方信息没有给定论原因,但是做数据的CIO们会感觉到国家层面关心的是数据安全,这肯定是很重要的关联因素。网信办通知的时间是2021年7月2日。
 
案例3.运满满、货车帮、BOSS直聘被网络安全审查。
 
这是发生在2021年7月5日,网信办为什么这么密集的对这些公司进行安全审查?因为这个事儿对国家层面它很急迫。大家看一下他们做的业务,他们做的业务并不是涉及到多少重要数据的业务,可能是这样想的。但是大家看到审查的通知以后,自己的思维要扭转一下了,他可能实际做的日常业务里涉及到的日常数据就可能是重要数据,所以网信办会对它进行安全审查。
 
案例4.深网视界的数据泄露事件。
 
这个案例稍微有点老,是2019年2月份发生的。这个案例曝出来的时候,当时我正好关注到了,当时我还不律所,我在另外一家公司,还在旷世。当时因为做法务,所以对这些事件还是有一定敏感度的。
 
这是一家做AI的公司,它犯了什么错误呢?它的数据库被黑客发现,它是在线公开状态,任何人都可以自由访问。这些数据里包括什么数据?它大概有超过250万人的数据信息,包括身份证信息、人脸识别图像、包括这些信息被捕获的地点。不管是按《网络安全法》还是按《数据安全法》还是按《个人信息保护法》,这些数据都属于个人信息。
 
这个事儿后面我没关注,它只是曝出来了,后面我没做跟踪。但这个事儿应当能给企业里从事数据合规或者数据安全的同事做一些警示,这其实是很严重的数据泄露案件。
 
案例5.某数据企业员工专卖个人信息4刑事案件。
 
这个案例是搜索界面截图,我搜索的是数据源厂商了就是数据堂,我只是客观介绍案例,没有任何个人色彩在里面。当年时,这应该是18年的时候,那个阶段,这个案例网上一搜,不管通过什么搜索引擎都是好多页相关的报道,为什么这么被新闻媒体关注?就是因为它涉及到了转卖或者倒卖个人信息,而且是刑事案件,最后这件事儿盖棺定论没有跟这家公司建立直接的联系,最后是员工自然人被定罪了。这个事儿背后到底是什么情况?可能只有当事人才能说得清楚,但是它给我们所有的从业者一个深深的警示,涉及到个人信息的非法的倒卖,它会入刑的,而且真的会被判刑的,这几个同学被判了实刑的。
 
通过以上几个案例大家能注意到数据合规治理的事儿,在所有涉及到数据处理的企业都是特别重要的一件事儿,就是国家层面特别关注,而且企业层面也特别关注,就是因为它跟我们企业合法的、可持续的运营直接相关。
 
谈到数据合规主要涉及到哪些问题?不知道大家有没有想过?简单总结一下可能数据合规涉及到的问题主要是这些:
 
第一.数据安全。这个可能和大家在座的各位专家们的本职工作会比较相关,因为我们这块有很多是CIO,也有很多厂商是做安全的厂商。
 
第二.隐私和个人信息保护。这个可能也跟我们比较相关,但是可能它有点偏法律维度,在公司里面有一部分是信息安全负责的,有一部分是法务合规团队负责的,但它跟公司运营直接相关,我们都需要关注。
 
其他几块内容也是大家工作里一直关注的,比如数据权属问题,这个数据到底是我的,还是我采集的自然人的?我有什么权利,我怎样开发和怎样利用?
 
数据垄断和不正当竞争。这个在业界也很多,有些头部企业有了大量的数据,它形成了数据垄断,它会不会涉及到反垄断的问题?
 
有一些厂商之间在数据上面有不正当的竞争行为,比如通过爬虫爬数据。
 
在数据这一块还有特别重要的问题,就是个人信息或者重要数据的出境问题。刚才的某一个案例,其实它的数据是出去了的,或者最起码当时官方怀疑它出去了,所以对它启用了网络安全审查。为什么对它的数据那么关注?因为它涉及到大量的个人信息,而且它跟地理位置结合以后,它是重要数据。数据这块还可能是数据征信的问题。
 
中国数据领域的三部基础法律:
 
过往比较关注的是《网络安全法》,从2017年6月1日实施。《数据安全法》会在2021年9月1日实施,《个人信息保护法》到2021年11月1日也会实施。
 
《数据安全法》监管的是对数据处理的活动,对所有数据都保护,它并不像《网络安全法》那样,只关注网络空间。非网络空间的数据,它也要去做监管。它里面涉及到很多关键事项,比如数据安全标准体系的建设、数据的分类分级保护、数据跨境流动监管、数据安全风险预警机制及应急处理机制。
 
关于《个人信息保护法》,它更多的是关注自然人的个人信息。它可能涉及到很多问题,比如个人信息的范围有了一个新的界定,它确立了一些个人信息的基本处理原则,还有它对我们个人信息的主体权利做了明确的规定,而且也明确的规定了个人信息处理者的义务。
 
以上是关于严峻形势的介绍,下面我们接着刚才那一页PPT一起来看一下《数据安全法》还有个保法里面的一些具体条文。因为两个法律都是大几十条的法律,时间原因无法把相关法律都一一跟大家做交流,我只简单罗列了几个可能跟在座各位技术专家们的日常工作更直接相关的几个法条。
 
首先来看一下《数安法》相关法条,它是关于数据分级分类的保护制度。我们可以一起看一下,这一条是《数据安全法》第21条,里面明确规定国家建立数据分级分类保护制度,对应企业制度肯定也需要做分类分级的保护。
 
肯定很多头部企业已经在做分类分级了,而且因为一直在做律师,跟很多企业里的信息安全团队还有法务团队或合规团队沟通很多,有些头部企业分类分级分的特别细,比法律现在有些粗犷要求分类要细很多,但是也接触到一些发展中的企业特别是创业型公司并没有做这样的事儿。《数据安全法》9月1日就要实施了,这些事情是不是要做起来?
 
标红的部分大家关注一下:
 
一个是重要数据。重要数据的监管会很严,就是它的处理特别是出境会很严。大家会看到重要数据出境需要审查。以前我们传统很粗犷的,境外有个研发中心,直接传数据让它去用,这样的方式是不是不合规,也违法了?甚至可能犯罪了?所以大家可能很习以为常的处理方式就是违法犯罪了,所以这两部法律建议大家从头去读一下,如果内部有法务团队,让他们深入研究,跟业务小伙伴一起探讨、交流。
 
还有一个是国家核心数据,关心到国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。我们做业务过程中会不会涉及到这些数据,我们提供安全解决方案的公司,我们给相关政府部门提供服务的时候,是不是会接触到这些数据?我们业务上如何去应对?可能大家需要提前做准备,而且需要随着《数据安全法》落地过程中,所有法条都明确之后相应的调整我们的业务模式。
 
我们下面看一下第27条,关于数据安全保护义务。这个是《数据安全法》里面的核心,《数据安全法》最重要的是数据安全保护义务,对相关的数据、重要数据、国家核心数据如何去保护?它里边第27条明确规定了开展数据处理活动,应当依照法律法规的规定,我们去建立健全全流程数据安全管理制度。
 
大家看一下标红的几个字“全流程监管制度”,我们企业在数据处理整个生命周期里,从收集或采集开始到最后比如把它删除掉它中间经过很多处理的步骤或者处理的流程,我有没有建立起全流程的安全管理制度?当然它有其他要求,包括教育培训、技术措施和其他必要措施,有没有对应全流程?不一定,每家企业做的不一样。
 
大家特别关注的是第二款,它提到对重要数据的处理者,这些处理者是那些厂商,可能是在座的各家公司,我们供职的公司和我们自己的公司。数据处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任,也就是说如果处理重要数据的话,需要明确一个安全负责人,这个人的责任会很重大,他要去尽数据安全保护义务。
 
关注到刑法的时候,都会关注到如果单位犯罪的话,直接责任人有一些会需要遭受刑事处罚,这个直接责任人是不是能对应到数据安全负责人呢?这个是一个新的概念,现在还没有实际的案例。从法理角度分析,他应该能对应过去,而且直接责任人可能不仅限于数据安全负责人。大家看到还有一个管理机构,管理机构里可能还有其他的人。
 
这是关于数据安全保护义务还有数据安全负责人。
 
下面再看一个法条,这个法条其实就是要求对重要数据的处理,要依照相关规定,对这个数据处理活动定期开展风险评估。可能之前没有这部法律的时候,大家未必在做这个动作,肯定有的公司在做,有很多公司的数据安全还有合规是做的远远高于国家的相关法律法规的要求的标准,但有些公司可能没有做,但是后面这件事儿要做起来了。
 
关于《数据安全法》我们看最后一个法条,就是第45条,关于数据处理活动的。大家简单看一下蓝色、红色的字体,蓝色是对单位的处罚,红色是对直接负责的主管人员还有其他责任人员的处罚。
 
大家看到了它有行政处罚就是罚款,涉及到犯罪的会追踪形势责任,对于公司而言可能涉及到暂停相关业务、停业整顿、吊销相关的许可证或者吊销营业执照,大家可以看到对公司而言它的罚款可能最高是第二款1000万以下,但是其实有另外一个法条没列过来就是它的下一条,是关于数据出境的,这个处罚会根严一些。
 
再来看《个人信息保护法》的相关规定。
 
首先来看第24条,这一条是大家特别关注的,叫大数据杀熟。很多公司有过这些行为,被曝出来过。这个大数据杀熟行为,在商业实践里已经特别多了,相关立法者也关注到这个问题了,所以《个人信息保护法》第24条专门对这件事儿做了规制。
 
它是说个人信息处理者,利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。
 
下一个法条定义了一个个人敏感信息,这个更严格的定义了敏感的个人信息。它包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息以及不满十四周岁未成年人的个人信息。
 
28条第二款规定,只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。也就是说,按《个人信息保护法》而言,我们以前处理的某些信息可能现在不能处理了,或者说我需要去评价一下它是不是符合这个处理的必要性?而且我需要去区分普通个人信息和敏感个人信息,如果我是做APP的,APP的弹窗提示可能都不一样了。
 
第29条说处理个人敏感信息应该取得个人的单独同意,什么叫单独同意?比如它采集人脸识别,它是生物识别信息,以前它放在整个用户协议里边加粗一下会采集我的信息用于给我提供更好的服务就OK了,但现在掺杂整个用户协议里不行,需要单独弹出来告诉我采集我的信息,干什么用。
 
如果涉及到APP的厂商尤其技术专家需要考虑,怎样去弹窗。如果采集信息,弹窗之后用户体验肯定会差。时间原因不展开。
 
下面再看第52条,这也是个人信息保护负责人,跟《数据安全法》是同样的概念。大家可以回顾一下《网络安全法》,《网络安全法》里也有网络安全负责人,这个负责人到底是谁?是我们在座的CIO吗?很多场景下我觉得它是,如果是的话,后面相关法律责任是大家需要尽量做防控的。
 
下面这个条款是关于法律责任,其实跟《数据安全法》是类似的,我们就不展开了,我们来一起看一下另外两个《刑法》的法条,一个是《刑法》第253条之一-侵犯公民个人信息罪,《个人信息保护法》跟这个罪是直接对应的。
 
再看《刑法》第286条,拒不履行信息网络安全管理义务罪。它的刑期是三年以下有期徒刑、拘役或者管制,并处或者单处罚金。
 
最后一个方面,简单跟大家交流一下企业的数据合规建议。
 
首先给大家简单的列出了数据合规的工作流程,我看企业做的到底合不合规,怎样去做?
 
首先是尽职调查,第二步分析现在合规分析方案是否符合方案规定,第三步是合规优化。
 
对于企业数据合规有哪些实操方面需要关注?首先要建立健全数据合规机构和负责人;合规文化很重要,企业全员范围内培育数据合规文化;建立基于业务的数据合规机制和制度;基于数据处理全生命周期进行数据合规;主动推进数据合规工作并持续优化重点关注与防控高危数据合规风险。
 
最后总结两点:
 
第一.数据强监管时代已经到来,做好数据合规是企业良性发展的必由之路。
 
第二.有远见的CIO,应当格外重视数据合规,并将可能涉刑的合规事项作为数据合规的重中之重。
 
以上就是我分享的全部内容,刚才提到了特别有缘分,我们北京瀛和律师事务所就在国际饭店五层,茶歇时欢迎大家去我们办公室参观、交流。谢谢大家!

关键字:数字化转型数据合规

原创文章 企业网D1Net

x 强监管时代下的企业数据合规 扫一扫
分享本文到朋友圈
当前位置:CIOCIO联盟 → 正文

强监管时代下的企业数据合规

责任编辑:cres |来源:企业网D1Net  2021-08-29 14:32:11 原创文章 企业网D1Net

8月29日,由企业网D1Net、信众智CIO智力共享平台和中国企业数字化联盟共同主办的2021北京部委央企及大型企业CIO大会暨中国企业数字化联盟年会(夏)在京召开。本次大会以“数字化转型进入深水区”为主题,着重探讨部委、央企及大中型企业数字化转型的成功实践,邀请了包括生态环境部、国家卫健委卫生发展研究中心、北京信息资源中心等部委,中国电建集团、中粮肉食集团、北京瀛和律师事务所等多家央企CIO进行精彩分享,并有超过百家大中型企业的CIO及行业优秀供应商代表共同参与。
 
以下是现场速记。
 


北京瀛和律师事务所 知识产权中心主任 赵礼杰
 
赵礼杰:各位领导、各位来宾,大家下午好!站在这儿跟各位技术大咖来介绍数据合规还是有点忐忑,虽然我学法律,但是我觉得大家可能对数据研究应该比我的历史要长,可能是这样的。我是从做律师以后,可能对这块研究的会更多一些。今天是范总给我的命题,介绍刚刚颁布的《数据安全法》和《个人信息保护法》,时间原因不太展开,主要分享跟各位专家相关的法条。
 
我分享的主题是强监管时代下的企业数据合规。大家能感觉到数据的监管好像是越来越严了,或者我把好像去掉,大家应该特别有感觉,所以今天有了这样的命题。
 
正式开始之前,首先简单的做个自我介绍,我叫赵礼杰,我现在在北京瀛和律师事务所,这个事务所主持人介绍了,看来主持人是到过我们那边。我们所就在这个楼,特别有缘,我们在国际饭店5层,大家茶歇时感兴趣的话可以去我们那边参观一下,我带着大家看一看坐一坐。
 
我现在是一个执业律师,主要做的法律服务是知识产权和数据合规,我之前在科技企业做法务,一个是京东方,还有一个做人工智能的企业。
 
下面正式开始我今天的分享,分享的内容是强监管下的数据合规,主要有三个内容跟大家简单交流:
 
第一.数据强监管下的严峻形势。
 
第二.数安法与个保法要点解读。
 
第三.企业的数据合规开展建议。
 
大家应该能感觉到现在数据的治理或者说合规这一块,国家是越来越关注了。国家为什么关注?可能大家都想过,因为它其实是关系到大到国家安全,中等到产业安全,小到个人信息安全,其实它关系的是国家主权、国际民生还有我们个人的正常的安宁的个人生活。
 
谈到严峻形势,我们首先看几个案例:
 
案例1.阿里云泄露用户信息被责令整改。
 
2021年8月23日,一份浙江省通信管理局对投诉人的答复函,我是想让大家关注到,现在国家相关部门对数据的关注或者说监管是越来越严了,相应的市场主体肯定要做好数据的保护。
 
案例2.滴滴被网信办启动网络安全审查。
 
大家应该关注到了这个案例,发生在它在美国IPO的时间节点。官方信息没有给定论原因,但是做数据的CIO们会感觉到国家层面关心的是数据安全,这肯定是很重要的关联因素。网信办通知的时间是2021年7月2日。
 
案例3.运满满、货车帮、BOSS直聘被网络安全审查。
 
这是发生在2021年7月5日,网信办为什么这么密集的对这些公司进行安全审查?因为这个事儿对国家层面它很急迫。大家看一下他们做的业务,他们做的业务并不是涉及到多少重要数据的业务,可能是这样想的。但是大家看到审查的通知以后,自己的思维要扭转一下了,他可能实际做的日常业务里涉及到的日常数据就可能是重要数据,所以网信办会对它进行安全审查。
 
案例4.深网视界的数据泄露事件。
 
这个案例稍微有点老,是2019年2月份发生的。这个案例曝出来的时候,当时我正好关注到了,当时我还不律所,我在另外一家公司,还在旷世。当时因为做法务,所以对这些事件还是有一定敏感度的。
 
这是一家做AI的公司,它犯了什么错误呢?它的数据库被黑客发现,它是在线公开状态,任何人都可以自由访问。这些数据里包括什么数据?它大概有超过250万人的数据信息,包括身份证信息、人脸识别图像、包括这些信息被捕获的地点。不管是按《网络安全法》还是按《数据安全法》还是按《个人信息保护法》,这些数据都属于个人信息。
 
这个事儿后面我没关注,它只是曝出来了,后面我没做跟踪。但这个事儿应当能给企业里从事数据合规或者数据安全的同事做一些警示,这其实是很严重的数据泄露案件。
 
案例5.某数据企业员工专卖个人信息4刑事案件。
 
这个案例是搜索界面截图,我搜索的是数据源厂商了就是数据堂,我只是客观介绍案例,没有任何个人色彩在里面。当年时,这应该是18年的时候,那个阶段,这个案例网上一搜,不管通过什么搜索引擎都是好多页相关的报道,为什么这么被新闻媒体关注?就是因为它涉及到了转卖或者倒卖个人信息,而且是刑事案件,最后这件事儿盖棺定论没有跟这家公司建立直接的联系,最后是员工自然人被定罪了。这个事儿背后到底是什么情况?可能只有当事人才能说得清楚,但是它给我们所有的从业者一个深深的警示,涉及到个人信息的非法的倒卖,它会入刑的,而且真的会被判刑的,这几个同学被判了实刑的。
 
通过以上几个案例大家能注意到数据合规治理的事儿,在所有涉及到数据处理的企业都是特别重要的一件事儿,就是国家层面特别关注,而且企业层面也特别关注,就是因为它跟我们企业合法的、可持续的运营直接相关。
 
谈到数据合规主要涉及到哪些问题?不知道大家有没有想过?简单总结一下可能数据合规涉及到的问题主要是这些:
 
第一.数据安全。这个可能和大家在座的各位专家们的本职工作会比较相关,因为我们这块有很多是CIO,也有很多厂商是做安全的厂商。
 
第二.隐私和个人信息保护。这个可能也跟我们比较相关,但是可能它有点偏法律维度,在公司里面有一部分是信息安全负责的,有一部分是法务合规团队负责的,但它跟公司运营直接相关,我们都需要关注。
 
其他几块内容也是大家工作里一直关注的,比如数据权属问题,这个数据到底是我的,还是我采集的自然人的?我有什么权利,我怎样开发和怎样利用?
 
数据垄断和不正当竞争。这个在业界也很多,有些头部企业有了大量的数据,它形成了数据垄断,它会不会涉及到反垄断的问题?
 
有一些厂商之间在数据上面有不正当的竞争行为,比如通过爬虫爬数据。
 
在数据这一块还有特别重要的问题,就是个人信息或者重要数据的出境问题。刚才的某一个案例,其实它的数据是出去了的,或者最起码当时官方怀疑它出去了,所以对它启用了网络安全审查。为什么对它的数据那么关注?因为它涉及到大量的个人信息,而且它跟地理位置结合以后,它是重要数据。数据这块还可能是数据征信的问题。
 
中国数据领域的三部基础法律:
 
过往比较关注的是《网络安全法》,从2017年6月1日实施。《数据安全法》会在2021年9月1日实施,《个人信息保护法》到2021年11月1日也会实施。
 
《数据安全法》监管的是对数据处理的活动,对所有数据都保护,它并不像《网络安全法》那样,只关注网络空间。非网络空间的数据,它也要去做监管。它里面涉及到很多关键事项,比如数据安全标准体系的建设、数据的分类分级保护、数据跨境流动监管、数据安全风险预警机制及应急处理机制。
 
关于《个人信息保护法》,它更多的是关注自然人的个人信息。它可能涉及到很多问题,比如个人信息的范围有了一个新的界定,它确立了一些个人信息的基本处理原则,还有它对我们个人信息的主体权利做了明确的规定,而且也明确的规定了个人信息处理者的义务。
 
以上是关于严峻形势的介绍,下面我们接着刚才那一页PPT一起来看一下《数据安全法》还有个保法里面的一些具体条文。因为两个法律都是大几十条的法律,时间原因无法把相关法律都一一跟大家做交流,我只简单罗列了几个可能跟在座各位技术专家们的日常工作更直接相关的几个法条。
 
首先来看一下《数安法》相关法条,它是关于数据分级分类的保护制度。我们可以一起看一下,这一条是《数据安全法》第21条,里面明确规定国家建立数据分级分类保护制度,对应企业制度肯定也需要做分类分级的保护。
 
肯定很多头部企业已经在做分类分级了,而且因为一直在做律师,跟很多企业里的信息安全团队还有法务团队或合规团队沟通很多,有些头部企业分类分级分的特别细,比法律现在有些粗犷要求分类要细很多,但是也接触到一些发展中的企业特别是创业型公司并没有做这样的事儿。《数据安全法》9月1日就要实施了,这些事情是不是要做起来?
 
标红的部分大家关注一下:
 
一个是重要数据。重要数据的监管会很严,就是它的处理特别是出境会很严。大家会看到重要数据出境需要审查。以前我们传统很粗犷的,境外有个研发中心,直接传数据让它去用,这样的方式是不是不合规,也违法了?甚至可能犯罪了?所以大家可能很习以为常的处理方式就是违法犯罪了,所以这两部法律建议大家从头去读一下,如果内部有法务团队,让他们深入研究,跟业务小伙伴一起探讨、交流。
 
还有一个是国家核心数据,关心到国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。我们做业务过程中会不会涉及到这些数据,我们提供安全解决方案的公司,我们给相关政府部门提供服务的时候,是不是会接触到这些数据?我们业务上如何去应对?可能大家需要提前做准备,而且需要随着《数据安全法》落地过程中,所有法条都明确之后相应的调整我们的业务模式。
 
我们下面看一下第27条,关于数据安全保护义务。这个是《数据安全法》里面的核心,《数据安全法》最重要的是数据安全保护义务,对相关的数据、重要数据、国家核心数据如何去保护?它里边第27条明确规定了开展数据处理活动,应当依照法律法规的规定,我们去建立健全全流程数据安全管理制度。
 
大家看一下标红的几个字“全流程监管制度”,我们企业在数据处理整个生命周期里,从收集或采集开始到最后比如把它删除掉它中间经过很多处理的步骤或者处理的流程,我有没有建立起全流程的安全管理制度?当然它有其他要求,包括教育培训、技术措施和其他必要措施,有没有对应全流程?不一定,每家企业做的不一样。
 
大家特别关注的是第二款,它提到对重要数据的处理者,这些处理者是那些厂商,可能是在座的各家公司,我们供职的公司和我们自己的公司。数据处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任,也就是说如果处理重要数据的话,需要明确一个安全负责人,这个人的责任会很重大,他要去尽数据安全保护义务。
 
关注到刑法的时候,都会关注到如果单位犯罪的话,直接责任人有一些会需要遭受刑事处罚,这个直接责任人是不是能对应到数据安全负责人呢?这个是一个新的概念,现在还没有实际的案例。从法理角度分析,他应该能对应过去,而且直接责任人可能不仅限于数据安全负责人。大家看到还有一个管理机构,管理机构里可能还有其他的人。
 
这是关于数据安全保护义务还有数据安全负责人。
 
下面再看一个法条,这个法条其实就是要求对重要数据的处理,要依照相关规定,对这个数据处理活动定期开展风险评估。可能之前没有这部法律的时候,大家未必在做这个动作,肯定有的公司在做,有很多公司的数据安全还有合规是做的远远高于国家的相关法律法规的要求的标准,但有些公司可能没有做,但是后面这件事儿要做起来了。
 
关于《数据安全法》我们看最后一个法条,就是第45条,关于数据处理活动的。大家简单看一下蓝色、红色的字体,蓝色是对单位的处罚,红色是对直接负责的主管人员还有其他责任人员的处罚。
 
大家看到了它有行政处罚就是罚款,涉及到犯罪的会追踪形势责任,对于公司而言可能涉及到暂停相关业务、停业整顿、吊销相关的许可证或者吊销营业执照,大家可以看到对公司而言它的罚款可能最高是第二款1000万以下,但是其实有另外一个法条没列过来就是它的下一条,是关于数据出境的,这个处罚会根严一些。
 
再来看《个人信息保护法》的相关规定。
 
首先来看第24条,这一条是大家特别关注的,叫大数据杀熟。很多公司有过这些行为,被曝出来过。这个大数据杀熟行为,在商业实践里已经特别多了,相关立法者也关注到这个问题了,所以《个人信息保护法》第24条专门对这件事儿做了规制。
 
它是说个人信息处理者,利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。
 
下一个法条定义了一个个人敏感信息,这个更严格的定义了敏感的个人信息。它包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息以及不满十四周岁未成年人的个人信息。
 
28条第二款规定,只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。也就是说,按《个人信息保护法》而言,我们以前处理的某些信息可能现在不能处理了,或者说我需要去评价一下它是不是符合这个处理的必要性?而且我需要去区分普通个人信息和敏感个人信息,如果我是做APP的,APP的弹窗提示可能都不一样了。
 
第29条说处理个人敏感信息应该取得个人的单独同意,什么叫单独同意?比如它采集人脸识别,它是生物识别信息,以前它放在整个用户协议里边加粗一下会采集我的信息用于给我提供更好的服务就OK了,但现在掺杂整个用户协议里不行,需要单独弹出来告诉我采集我的信息,干什么用。
 
如果涉及到APP的厂商尤其技术专家需要考虑,怎样去弹窗。如果采集信息,弹窗之后用户体验肯定会差。时间原因不展开。
 
下面再看第52条,这也是个人信息保护负责人,跟《数据安全法》是同样的概念。大家可以回顾一下《网络安全法》,《网络安全法》里也有网络安全负责人,这个负责人到底是谁?是我们在座的CIO吗?很多场景下我觉得它是,如果是的话,后面相关法律责任是大家需要尽量做防控的。
 
下面这个条款是关于法律责任,其实跟《数据安全法》是类似的,我们就不展开了,我们来一起看一下另外两个《刑法》的法条,一个是《刑法》第253条之一-侵犯公民个人信息罪,《个人信息保护法》跟这个罪是直接对应的。
 
再看《刑法》第286条,拒不履行信息网络安全管理义务罪。它的刑期是三年以下有期徒刑、拘役或者管制,并处或者单处罚金。
 
最后一个方面,简单跟大家交流一下企业的数据合规建议。
 
首先给大家简单的列出了数据合规的工作流程,我看企业做的到底合不合规,怎样去做?
 
首先是尽职调查,第二步分析现在合规分析方案是否符合方案规定,第三步是合规优化。
 
对于企业数据合规有哪些实操方面需要关注?首先要建立健全数据合规机构和负责人;合规文化很重要,企业全员范围内培育数据合规文化;建立基于业务的数据合规机制和制度;基于数据处理全生命周期进行数据合规;主动推进数据合规工作并持续优化重点关注与防控高危数据合规风险。
 
最后总结两点:
 
第一.数据强监管时代已经到来,做好数据合规是企业良性发展的必由之路。
 
第二.有远见的CIO,应当格外重视数据合规,并将可能涉刑的合规事项作为数据合规的重中之重。
 
以上就是我分享的全部内容,刚才提到了特别有缘分,我们北京瀛和律师事务所就在国际饭店五层,茶歇时欢迎大家去我们办公室参观、交流。谢谢大家!

关键字:数字化转型数据合规

原创文章 企业网D1Net

电子周刊
回到顶部

关于我们联系我们版权声明隐私条款广告服务友情链接投稿中心招贤纳士

企业网版权所有 ©2010-2024 京ICP备09108050号-6 京公网安备 11010502049343号

^