企业数据合规尽职调查的流程和要点

2022-07-27

引言

经过一年的调查之后，国家互联网信息办公室（简称“网信办”）于2022年7月21日正式对滴滴全球股份有限公司（简称“滴滴公司”）作出行政处罚决定，认定滴滴公司严重违反《网络安全法》《数据安全法》《个人信息保护法》等法律法规，对滴滴公司处以人民币80.26亿元罚款，并对其负责人处以100万元罚款。根据网信办公布的滴滴公司存在的八个方面违法事实，进一步来看主要表现为违法处理用户信息、数据处理活动影响国家安全、未按照规定履行数据合规义务等。

作为目前国内在网络数据安全领域最高金额的行政处罚，滴滴事件无疑又一次给各大企业尤其是从事或涉及数据处理活动的企业敲响了警钟。因在数据领域违法违规而受到主管部门的行政处罚，滴滴公司也并非个例。从2019年起，网信办等多部门多次对App进行检查，通报、下架了一批违规收集、处理个人信息的App，并采取约谈公司负责人、罚款等措施。随着网络监管政策的逐渐加强，各省市数据条例的出台（上海、深圳、重庆、浙江等省市的数据条例已经发布，其余主要省市也已发布征求意见稿或将其纳入立法计划在加紧制定），涉及数据处理活动的企业将面临更加严格的数据监管规则。数据合规一方面成为企业日常生产经营的常态化合规管理工作，另一方面也逐渐成为企业上市、投融资等重大经营事项中监管机构和投资人关注的重点。

想要交好数据合规这张答卷，首先需要对企业涉及数据事项有全面的了解。通过法律尽职调查对企业的数据处理活动和制度管理进行详细梳理和风险排查是一项基本的工具和手段。不同于常规的法律尽职调查围绕企业主体资格、股权架构、历史沿革、资产、债权债务、业务、资质、税务、财务、劳动用工、争议纠纷等方面展开，数据合规法律尽职调查侧重于企业的数据处理活动和数据安全管理体系。在调查方式上，主要包括查阅文件、调查问卷、访谈、走访、公开网络检索、产品体验、与第三方测评机构合作等手段。下文将结合实践介绍数据合规法律尽职调查的常规流程与关注要点。

一、调查行业属性，定位主体身份

数据合规尽职调查首先要弄清楚调查对象的行业属性，是专门从事数据处理活动的企业，还是业务中包含大量数据处理的电信、教育、医疗、酒店、金融、科技型等企业，或者仅一般性涉及数据处理的工业企业、能源企业等，区分的意义在于精准匹配相应的法律规定，尤其是针对特殊行业制定的专门规范。

在对企业进行初步调查了解的时候，要重点核查企业是否属于关键信息基础设施运营者、重要互联网平台等特殊角色，以及企业处理的数据是否涉及重要数据、国家核心数据、敏感个人信息等特殊数据类型，如果存在这些情况，则在后续尽职调查的过程中应对企业的特殊义务予以重点关注。

二、梳理数据地图，区分流转环节

对企业的属性和数据类型有了初步了解后，需要进一步梳理企业数据处理活动的详细流程，按照数据生命周期绘制企业的数据流转地图，以判断数据处理各环节的合法合规性。以下以列举的方式对数据全生命周期流程中的常见调查重点内容进行说明：

1.数据采集

    ■ 采集数据的类型、数量、方式是否遵循合法、正当、必要原则

    ■ 是否以清晰易懂的方式告知用户处理信息的方式、目的和范围等，是否取得用户同意

    ■ 涉及敏感个人信息和未成年人信息时是否取得单独同意

    ■ 是否为用户提供便捷的撤回同意的方式

    ■ 是否提供查询、更正、补充、删除个人信息的途径，是否易于操作

2.数据传输

    ■ 数据传输采取的方式

    ■ 传输是否采取技术安全保障措施

3.数据存储

    ■ 数据存储的地点，是否涉及境外存储

    ■ 数据存储的载体及其安全性，有无备份

    ■ 数据存储的期限是否遵循最小时间原则

    ■ 是否建立分类分级存储机制

    ■ 是否加密存储、设置访问权限

    ■ 是否去标识化或匿名化

4.数据处理

    ■ 数据处理是否在取得用户同意的处理方式、目的和范围内

    ■ 是否涉及委托处理，有无订立协议约定具体权利义务、保护措施

    ■ 是否构建用户画像及构建规则和内容

    ■ 是否采取自动化决策算法，是否按规定向用户公开了算法内容

    ■ 是否利用数据分析对交易条件相同的相对人实施差别待遇（大数据杀熟）

    ■ 数据加工后的产品数据产权属性及安全保障措施

    ■ 是否定期开展个人信息安全影响评估

5.数据共享

    ■ 共享的数据是否已履行告知同意规则

    ■ 是否采取技术安全措施

    ■ 是否对数据共享情况进行详细准确记录并保存

    ■ 是否通过内嵌SDK共享数据，有无检测、监督措施

    ■ 是否涉及数据出境，是否需要通过安全评估、审查认证等

    ■ 是否事前开展个人信息安全影响评估

6.数据销毁

    ■ 是否建立数据销毁机制

    ■ 是否存在超保存期限未销毁数据的情况

三、考察管理制度，检验执行机制

数据安全管理制度是企业践行数据保护的政策和指南，企业是否具有较为完善的数据安全管理制度并实际落地执行是考察企业数据合规的重点关注事项。调查企业数据安全管理制度主要涉及制度文件、人员管理、操作执行等方面，一般包括以下内容：

    ■ 是否按照规定设置数据安全负责人或组织机构

    ■ 是否制定数据安全管理制度，产品有无对应的隐私政策

    ■ 数据安全管理制度是否有相应的操作流程，具体如何执行

    ■ 有无数据分级分类保护机制

    ■ 日常人员管理，例如是否设置权限划分

    ■ 是否定期开展数据安全教育培训

    ■ 是否定期对数据管理进行风险监测、评估与合规审计

    ■ 有无数据安全事件的应急处置预案并定期演练

四、直面投诉处罚，起底潜在风险

企业在数据合规方面的突出问题往往会以被客户投诉、相关利益方提起诉讼或仲裁，甚至主管部门作出行政处罚等形式集中表现出来，如果存在这些已经暴露的问题，则尽职调查应关注企业的投诉处理机制、争议案件的进展、行政处罚的内容及是否按照要求进行整改等。

企业目前没有这些情况并不能说明不存在数据合规的问题，尽职调查除了关注已经暴露出的显性问题外，还应着重关注企业存在的隐性数据合规问题，例如企业向第三方采购数据未进行数据来源的合法性审查，则将来可能面临其他主体的追诉甚至来自主管部门的行政处罚，也应予以重点关注。

五、出具尽调报告，制定合规方案

对企业进行尽职调查之后会出具尽职调查报告，指出企业在数据处理活动中存在的不合法不合规问题，并提出相应的合规建议。对于一些数据合规管理存在严重欠缺的企业，可能需要协助搭建数据合规体系，起草数据政策法规体系、标准规范体系、合规手册、内部使用文件模板等。如果企业存在较高的数据合规需求，则还需要制定专门的合规方案，结合企业的业务模式、运营管理、技术手段等制定详细具体可执行的合规计划。

本文作者：

声明：            

本文由德恒律师事务所律师原创，仅代表作者本人观点，不得视为德恒律师事务所或其律师出具的正式法律意见或建议。如需转载或引用本文的任何内容，请注明出处。