滴滴80.26亿罚款对企业数据合规的警示(下)
——如何实现数据安全管理制度的落地运行
2022-07-25
在“滴滴80.26亿罚款对企业数据合规的警示(上)”一文中,我们分析了如何搭建企业数据安全管理制度金字塔。实际操作中,除制度构建外,很多企业往往面临制度“落地难”的窘境,而这可能带来系列不利影响,比如:外部层面可能导致企业在日常交易和管理活动中违反监管要求被责令暂停业务、处以高额罚款等;内部层面可能存在不同部门和岗位之间的合规职责混乱、缺位,导致企业数据安全和合规管理体系的系统性失灵,从而导致企业数据安全管理目标无法实现。
良好的数据安全管理体系不仅仅是制定与数据安全保护相关的“死规则”,所谓“理论运用于实践”,还应当考虑其如何更好地运行。本文我们将对如何实现数据安全管理制度的落地运行进行分析,为企业切实实现数据安全管理制度的落地提供实务建议。
一、数据安全管理制度运行的大前提:意识先行
部分企业会认为“合规意识”是个空架子,但实际上数据安全制度能否真正实施、发挥效用,最终需落实到每一个执行层的部门和其员工,需要让执行层的部门领导和员工认同企业合规文化,树立数据安全合规的意识,积极参与到企业数据安全合规体系中来。
在企业数据合规的项目中,我们注意到多数企业会出现一个问题:董事会决策层、管理层和监督层积极推进数据安全管理体系搭建工作,但向各执行层部门和员工推进时困难重重,执行层部门和员工认为数据安全管理制度为其日常工作设置了更多的规范性要求,属于加“紧箍咒”,导致企业的数据安全管理制度难以落地。
这主要源于员工对于数据合规的重要性以及违规后果认识不足。事实上,根据《数据安全法》、《个人信息保护法》的规定,企业发生数据安全事故的通常执行“双罚制”——既罚违规企业,也罚直接负责的主管人员和其他直接责任人员。例如,根据《个人信息保护法》规定,企业违法处理个人信息情节严重的,对企业处5000万元以下或者上一年度营业额5%以下罚款,并可以责令暂停相关业务或者停业整顿、吊销相关业务许可或吊销营业执照;对直接负责的主管人员和其他直接责任人员则并处10万元以上100万元以下罚款,并可以禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。根据公开数据,滴滴公司在2021年的全年总营收为1738.27亿元,5%大约为86.9亿元,本次针对滴滴的80.26亿处罚可能即引用了《个人信息保护法》的前述规定,滴滴公开的财报显示其2021年全年净亏损493亿,本次处罚对滴滴而言可谓是一记重拳。
因此,在形成和运行数据安全合规体系之前,企业可先行通过普法培训和动员宣讲的方式,使执行层部门领导形成“数据合规不仅事关公司,且事关其个人”的意识,降低抵触情绪,从而促使执行层业务部门自发、主动在本部门内推动遵守数据安全管理制度,为实现数据安全管理制度的顺利运行打好基础。
二、实现数据安全管理制度落地运行的环节与实操建议
数据安全管理制度的落地运行是一个动态的过程,应当包含制定规则、实施和评价规则、维护规则三个环节:
从时间线上而言,数据安全管理制度运行是一个从“事前防范→事中监测、评估→事后管理”的递进关系,其中“事前防范”涉及的规则制定问题,我们在上篇中做了较为详细的分析,下文我们将重点针对“事中监测、评估”和“事后管理”进行具体分析。
(一)数据安全管理制度的监测与评估
“三驾马车”对于企业作为数据处理者、个人信息处理者提出了安全风险监测要求,同时要求重要数据的处理者对其数据处理活动定期开展风险评估。做好数据安全监测与评估,不仅仅是制度落地运行所需,也是企业履行法定义务所必须。
结合相关法定要求及实际操作的可行性,针对数据安全管理制度的事中监测和评估,企业可考虑从以下几个层面开展:
1. 面向企业内部——开展企业内部数据安全风险评估
开展内部数据安全风险评估的目的在于及时把握企业内部各部门数据处理活动存在的风险点,及时发现潜在风险,适时作出应对,防止引发严重的数据安全事件。
企业内部数据安全风险评估的可定期开展,根据企业数据重要性和体量,可视情况设定月度、季度或半年度评估。除定期风险评估外,在开展特殊数据处理活动的情形下,可针对特定数据处理活动开展临时专项评估,例如企业处理敏感个人信息、委托处理数据、向其他方提供或公开数据或涉及数据出境情形等,该等特殊数据处理活动往往面临更高的合规要求(例如,关键信息基础设施的运营者在中国境内运营中收集和产生的重要数据原则上禁止出境),对其开展专项安全风险评估有利于企业数据处理行为的合规。
企业内部的数据安全风险评估标准可从是否需承担法律责任、是否会对企业造成财务损失、是否影响企业生产经营、对企业声誉的影响、对数据主体安全的影响五个方面来综合判断安全风险大小。如判定存在安全风险的,根据风险的影响程度和公司的实际情况,可对应采取如下措施:由决策层与数据安全最高负责人讨论确定风险处理计划;制定相应管理策略及数据处理的流程控制(例如,确需重要数据出境的,安排与国家网信办对接进行安全评估或签署标准版本数据出境合同);视情况采取必要的技术措施,加装防火墙、提升网络安全等级等;制定每一项控制措施执行后的期望目标,作为数据合规体系有效性的衡量依据。
通常而言,企业内部数据安全风险评估主要是评估数据处理活动遵循相关法律法规及公司制度的情况、处理行为对数据主体合法权益的影响。因此,评估内容主要可针对:数据收集环节是否遵循目的明确、选择同意、最小必要等原则;数据处理是否可能对数据主体合法权益造成不利影响;数据安全措施的有效性;匿名化或去标识化处理后的数据集重新识别出数据主体的风险;数据提供、数据公开等活动对数据主体合法权益可能产生的不利影响;发生数据安全事件时,对数据主体合法权益可能产生的不利影响等。
2. 面向企业外部——开展针对合作伙伴的数据安全风险评估
企业不仅仅自行开展数据处理活动,在业务处理、劳动人事管理中,通常会涉及与关联公司、服务提供商、授权合作伙伴之间委托处理或共享、转让数据,此时也需要实现合作伙伴数据处理活动的合规与安全。对于合作伙伴的数据安全风险进行尽调、明确权利义务,通过事前审查的方式避免遭遇数据合规风险。
合作开展前,企业可以通过资料调查、实地调查等多种方式对合作伙伴展开数据安全风险调查,调查主要针对:合作伙伴是否具有相应服务能力及数据风险防范应对能力;是否曾经发生数据违法违规事件;服务内容是否互斥等。同时,建议企业可审查合作伙伴的资质要求,包括是否符合经营资质要求(例如开展在线数据/交易处理服务合作的,需审查合作伙伴是否具有EDI许可)、是否符合国家规定必须具备的数据风险处理及应对能力要求、是否符合人员资质要求(例如从事大数据技术应用相关职业的数据安全员,应通过“数据安全师”职业能力等级评价)、是否符合国家其他相关的强制要求等。
针对企业经数据安全风险调查后确定的合作伙伴,双方应该明确权利义务分配,可通过:在合同中设立数据安全合规条款或者单独签署合规协议书;要求合作伙伴出具数据安全合规承诺书,承诺数据处理行为符合“三驾马车”等适用的法律法规的规定;明确如因数据处理行为产生任何处罚、赔偿的,由合作伙伴承担,如企业先行担责的有权向合作伙伴追偿。
3. 面向执行层员工——打通自下而上的报告渠道,落实自上而下的考核奖惩
执行层的员工是数据安全管理制度落地的中坚力量,通常也是数据安全隐患和事故的第一发现人,为其建立起自下而上的报告、举报渠道,同时配合制度考核与奖惩,是实现数据安全制度顺利运行的关键一环。
(1)打通自下而上的报告、举报渠道
自下而上的报告、举报机制是保证企业快速发现数据安全隐患的有效途径。为便于企业第一时间发现数据安全隐患,应当要求各执行层业务部门在发现涉数据安全的异常情况时立即向部门负责人及数据合规负责人报告,如难以联系或事件重大的亦可越级向合规部门或上级部门或数据安全最高责任人直接报告。相关负责人在接到报告后,应第一时间进行检查,可以恢复的立即予以恢复;如故障原因不明或情况严重不能在短时间内排除的,应立即报告合规负责人,以确定是否启动数据安全应急预案。
同时,企业应当鼓励员工、第三方伙伴及相关利益主体对合规问题进行沟通,对数据合规问题进行举报,搭建专门的举报平台,开放并公布电话、网络、邮件举报等途径,对举报人进行严格的信息保护并给予相应奖励。接到沟通信息或举报信息后,数据合规管理部门工作人员、其他具有管理职能的监管部门应就各自职责范围内的事项,予以积极回答和处理,避免出现石沉大海的情况。
(2)落实自上而下的考核奖惩
我们通常说“没有考核和对应惩罚措施的制度就是一纸空文”,有效的考核和奖惩措施是保障企业数据安全管理制度真正落实的关键之一。企业可将员工对于数据安全管理制度学习及贯彻情况、数据安全合规培训测试结果等纳入业绩考核,或作为干部任免、奖惩的依据之一,与员工的年度薪资调整、晋升等关联,从而督促员工切实了解企业数据安全管理制度。
针对实施了数据违规行为的员工,可相应设置纪律处分,例如明确超越权限查询企业数据,或未经许可擅自使用或不当使用他人的个人信息,或违法录制他人声音、影像的行为均属于严重违纪行为,员工实施该类行为的企业将处以解除劳动合同的纪律处分,从而使数据安全管理制度对员工具备约束力。
4. 面向企业整体——开展数据安全合规检查与审计
面向企业各个部门的数据安全合规检查与审计是协助企业发现数据安全隐患的重要途径,也是对于数据安全管理制度进行“事中评估”的关键评估对象。
(1)业务部门的自查——数据安全合规检查
数据合规检查是执行层各业务部门对本部门数据处理活动以及采取的数据安全保护措施的自查行为,实践中一般由各执行层业务部门负责人负责,可根据企业所处行业、数据体量定期开展,例如按月或按季度自查。数据合规管理部门可在各业务部门自查的基础上不定期进行数据合规控制情况抽查,每半年或年度可组织企业整体进行数据安全管理的全面合规自查。
(2)开展数据合规审计
除了自查之外,企业也可以根据实际情况做相对独立的合规审计,由独立于各业务部门之外的审计人员进行审核与监督,例如委托外部律师事务所进行专项审计。
数据安全合规审计可分为年度审计和日常审计、全面审计和专项审计、内部审计和外部审计。通常情形下,企业可采取年度全面审计,即由审计人员开展数据安全管理领域的全面审计。企业发生重大变化时(例如公司组织架构、公司业务方向、监管规范等重大变更),亦可进行不定期的专项审计,着重审查变更后的事项是否继续符合相关规定、公司数据安全管理制度是否需相应调整。
合规审计仅仅是“事中评估”的开端,审计工作完成后应根据审计结果总结明确不合规项并根据相关风险程度提出纠正和预防措施。
如前所述,“事中监测和评估”是企业数据安全管理制度落地运行最为关键的一环,企业可以根据实际情况和数据处理业务的规模,选择适合的监测和评估方式。无论采取何种方式,企业的数据安全监测与评估都应注意保留好相关书面凭证,做好“留痕”工作,妥善留存相关评估表格、评估结果、审计报告、对应采取的安全措施,作为企业履行了数据安全监测和评估义务的有效凭证。后续如若企业发生数据安全事故,该类义务履行凭证将可作为与监管机关良好沟通的基础,以便企业争取到较好的处理结果。
(二)数据安全管理制度的管理与维护
除了事前防范、事中监测和评估外,做好对于数据安全管理制度事后的维护和管理,才能真正让员工意识到数据安全管理制度在切实发挥作用,同时保障企业的制度与监管保持协同性。数据安全管理制度的事后维护包含了安全事件问责和制度及时更新两个层面。
1. 安全事件问责
数据安全管理制度作为对企业全体人员具有约束力的内部制度,发生数据安全事件后的问责有利于提升制度执行力,提高员工对于制度的遵守度。
鉴于此,如数据安全事件由人为引起的,企业应严格追究相关人员责任,如构成违法犯罪的应报告相关监管机关处理。例如华为2021年员工违规查询供应商招标信息案,华为发现员工通过内部系统窃取供应商招标价格信息后报警,该员工最终被认定为非法获取计算机信息系统数据罪,承担了刑事责任。如安全事件系因企业内部管理疏忽引起,则应根据制度规定追究当事人和相关部门负责人的责任,更为重要的是需要检查企业数据安全管理制度是否存在漏洞,如有应相应完善制度,以实现治标治本。
2. 完善数据安全合规制度的更新、修改、废除
关于数据安全合规的监管文件处于不断更新、完善的过程中,监管机关的尺度和趋势可能也将随着实际发展和监管文件变更而发生变动,同时企业在执行数据安全合规制度的过程中可能也将逐步发现与企业实际情况不适配、需要调整之处。企业可基于以下情形及时更新、定期整理数据安全合规制度:因国家规范性文件、政策指引的变化;基于企业经营范围、业务方向的变化;基于企业关于数据合规管理工作政策方针的变化;基于对数据合规管理工作实施结果的整理总结;基于事中监测和评估时发现的风险点和评价结果;基于企业各部门员工的要求、建议或第三方合作伙伴的建议;基于参与数据合规研讨会、培训讲座所受启示等。
需要注意的是,数据安全管理制度作为企业规章制度之一,虽然目前暂无明文规定其起草、修改是否必须经工会、职工代表或全体职工表决通过,但数据安全管理制度中可能包含员工违反制度的纪律处罚等规定,该类纪律处罚涉及员工重要权利义务,因此,从审慎的角度而言,建议可由工会或职工代表或全体职工就数据安全管理制度表决通过,由行政部门通过邮件、公告栏或企业内部OA系统等方式进行公示,并由员工签收确认,以实现程序的合法合规,防止数据安全管理制度存在效力瑕疵。
三、架构起与监管机构、司法机构之间的沟通“桥梁”
正如我们在“滴滴80.26亿罚款对企业数据合规的警示(上)”一文中提到的,数据安全领域的监管存在“多头+专项”的特殊监管特征,一个数据安全事件往往涉及到多个监管机关,数据安全合规不仅仅是企业内部的事情,还涉及到与监管机关的同频共振。2021年7月,南京市雨花台区的一家公司在检察院专项合规执法活动中被发现非法获取公民信息,该公司积极配合检察院、司法局进行合规整改,最后争取到了不起诉的决定,正是与监管机关保持良好沟通的一个例子。
因此,在搭建数据合规体系的进程中,建议企业与监管机构、司法机构之间建立起良好的沟通,积极配合监管、执法行动,发生数据安全事件时积极与监管机关沟通,按照要求快速整改,同时也关注相关专业研讨会、讲座,以把握最新的监管尺度。
完善且运行良好的数据安全合规体系是企业内部实现数据安全管理、外部应对监管要求的有力武器。随着数据安全的关注度逐渐提高,可以预见未来在企业日常运营、资本市场IPO等领域,数据安全合规都将占据极为重要的地位。数据安全的合规落地任重道远,企业还需根据自身实际情况灵活应对,筹谋在先。
本文作者:
指导合伙人:
声明:
本文由德恒律师事务所律师原创,仅代表作者本人观点,不得视为德恒律师事务所或其律师出具的正式法律意见或建议。如需转载或引用本文的任何内容,请注明出处。
