(原标题:数字化转型后如何做到合规?)
伴随数据信息相关的国家标准、法律法规不断修订与出台,数据立法与保护的工作显然已被国家机关提上日程。而近期有关部门的行政执法动作与刑事发案几率,更是彰显出各行各业数据合规的紧迫性。
从效率与便捷的角度出发,传统企业数字化转型已是当前不可逆转的倾向。但对于面向大众的传统企业而言,数字化往往意味着中心化数据库的形成,风险自此而生。因此,如何规范数据的收集、存储、使用成为关键。基于以上考虑,飒姐团队撰写本文,旨在讨论数据合规的意义与传统企业数字化后的简要合规思路,供各位读者参考指正。
为什么要进行数据合规?
这个问题的本质是为什么近年会出现大量的数据领域立法,为什么要通过行政法这一公法形式规制数据领域的问题,飒姐团队就此问题提供解答思路如下:
1、数据能够带来收益
虽然对于数据能否成为权利客体在法学理论上仍有争议,但伴随技术手段的发展,对于数据能够产生收益是没有争议的。企业可以通过分析个人产生的信息进行精准投放,甚至依赖售卖信息赚取收益。因此,数据有被立法保护的价值。
2、自力难以救济
大部分的数据信息可以归入个人隐私的范围,在民法的领域,隐私权受到侵害的用户有权向信息收集方的企业提起隐私权纠纷的民事诉讼。但是,该等诉讼存在如下阻碍:其一,用户已同意企业对其数据的使用;其二,用户难以举证证明相关信息泄露系特定企业所致;其三,时间与经济成本高,用户缺乏诉讼意愿。
3、解决渠道的产生
数据问题根源在于数据产生的收益分配规则不公平,在目前的规则下,经营主体企业占据了数据所产生的全部经济利益。而用户作为数据信息的提供者,并没有享受到实质性利益。为解决这一矛盾,一来有必要规范经营主体的收集、使用、传播数据的行为,二来可以赋予数据提供者实质性利益。如此一来,作为更为方便的、可纳入公法调整的第一种进路,自然成为了当下立法首选。
确认合规依据
我国采用的是分散式数据立法,虽然这为检索和合规工作带来不便,但根据业务领域数据保护价值的不同区分保护方法有助于提高整体环境的合规效率。
基于此,不同领域的传统企业数字化转型后,在数据合规前首先需要做的是确认与自己业务相匹配的合规依据。
对于面向C端用户的传统企业来说,数字化转型后,为经营的便利,该类企业大多具有存储用户个人信息的中心化数据库,这就使得该类企业背负了个人信息合规的相关义务。
1、一般个人信息的数据合规依据
暂未生效的依据可包括二次审定《个人信息保护法》征求意见稿、出台但未施行的《数据安全法》、关键信息基础设施相关国家标准征求意见稿等即将生效的规范,已经生效的依据可包括《网络安全法》、《互联网个人信息安全保护指南》、《个人信息安全规范》等规定。
2、不同类型个人信息的数据合规依据
因个人信息类别较多,飒姐团队仅选取部分类型的个人信息简介合规依据如下:
(1)如传统企业存在涉外业务,可能存在个人信息出境的,企业须仿照《个人信息出境安全评估办法》征求意见稿关于个人信息处境的监管规定进行合规;
(2)如传统企业因用户存在儿童等原因,可能获取儿童信息的,企业应当依照《儿童个人信息网络保护规定》的要求,对儿童信息提供进一步的保护;
(3)如传统企业因业务需要获取了用户个人金融信息的,企业需要按照《金融消费者权益保护实施办法》、《个人金融信息保护技术规范》等规范性文件调整其个人金融信息的保护强度。
数据合规的主要环节
1、建章立制
以个人金融信息的合规为例,《金融消费者权益保护实施办法》要求健全金融消费者权益保护的各项内控制度,包括金融消费者权益保护工作考核评价制度、金融消费者风险等级评估制度、消费者金融信息保护制度等。不同类型的数据有着不同的建章立制要求,在企业内建立起相应规范制度是数据合规的第一步。
2、调整业务条线
在合规依据确定、建章立制完成后,企业需要依据个人信息的监管要求调整与规范业务条线,将规范化的收集、传输、存储、使用、删除、销毁等整个信息处理要求整合至各业务条线之中。
3、事中管理
管理体系难以发挥效果,问题多是因为缺少过程中的监督,前期的筹备可能因为执行中的懈怠而毁于一旦,所以需要建立机制,保证事中持续的跟进与督促。首先要由合规部门牵头进行合规检查,其次还要进行合规尽职调查,最终形成相应的事中合规报告,即可以发挥监督和总结作用的定期合规报告。
4、事后反馈
合规体系要发挥实质性的作用,则需对企业高管或者员工出现的违法、违规、违纪等不合规的问题,按照规定进行相应的合规问责,并形成合规问责决议,否则会对合规体系本身造成损害。例如涉及刑事违法的情形,应当按照规定交由司法部门进行处理。
5、技术赋能
区块链为数据合规提供了新的发展思路,可以提升其效率、透明度以及可审计性。利用区块链技术制定统一的数据类型和标准规则,可以实现数据存储和同步到区块链的各个节点,在分布式的结构之中,加大了篡改、删除数据或者恶意攻击数据库的难度,进而保证了数据的真实性、完整性、隐私性和安全性。
6、宣传与教育
数据合规的具体操作由企业业务各环节的员工负责与完成,对员工合规意识的定期培养是实现数据合规的必要组成。特别是在个人信息的售卖入刑后,侵犯公民个人信息罪在各类数字化企业的发案率相当之高,不可不防。
写在最后
在数据价值被不断挖掘、传统行业数字化转型的今天,数据合规势必成为未来各行各业必须达到的经营要求。但同时我们也注意到,数据合规的法律体系暂未搭建完善,不同业务领域的数据合规要求不同,如何将相应的合规服务做好是飒姐团队正在探索的方向之一。
本文系未央网专栏作者:肖飒 发表,内容属作者个人观点,不代表网站观点,未经许可严禁转载,违者必究!本文网址:http://www.78099.cn/gulouqu/316733.html ,喜欢请注明来源河南开封新闻网。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。