1、企业数据合规核查与整改的十大要点一、背景二、数据合规工作的十大难点与解决方案一、背景在全球数据经济的大背景下,数据已经成为最重要的生产要素之一,也被称为“21世纪的石油”。以网络安全法、数据安全法、个人信息保护法三驾马车为基础各类数据保护条例日趋完善,数据合规市场的火爆程度更是达到了高峰。企业在利用数据实现经济效益的同时,数据往往存在被过度收集和不法利用的风险,对此企业应积极开展数据合规治理,降低违规和被处罚风险。企业开展数据合规工作主要面临着三大现实需求:国家立法和政策导向强调数据合规,整体数据合规立法情况呈现出多、细、严的特点,这对企业自身合规提出更高的要求;数据合规相关司法案例层出、行政
2、执法行动频发,企业面临严峻的外部监管压力;从企业自身发展出发,资本市场和投融资活动中愈发关注数据合规,企业如希望吸引外部资金以发展壮大也需完善自身数据合规情况。二、数据合规工作的十大难点与解决方案1.外部监管手续1、网络安全审查手续根据网络安全审查办法相关规定,企业数据处理活动影响或可能影响国家安全的,需要进行网络安全审查。2、数据出境监管包括数据出境安全评估、个人信息出境标准合同备案、个人信息保护认证。依据促进和规范数据跨境流动规定,企业需根据数据出境业务场景、数据出境类型和数量判断适用的监管手续。3、信息安全等级保护备案(等保)针对公司运营的第二级以上信息系统,应当通过公安机关办理备案手续
3、4、通信网络单元备案(通保)根据通信网络安全防护管理办法,通信网络运行单位需对通信网络单元进行定级并备案。5、重要数据目录备案数据安全法规定国家建立数据分类分级保护制度,当前实践中要求企业需对处理的重要数据进行目录备案。6、关键信息基础设施运营者认定法律法规对关键信息基础设施运营者有额外要求,企业需注意监管部门的认定通知。7、算法备案涉及个性化推送等算法的企业需通过算法备案系统提交备案。8、互联网信息服务安全评估具有舆论属性或社会动员能力的服务需进行安全评估并提交安全评估报告。9、移动互联网应用程序备案APP和小程序在提供服务前需办理备案,以避免下架风险。10、生成式人工智能(大语言模型)上
4、线备案依据生成式人工智能服务管理暂行办法等相关规定,具有舆论属性或社会动员能力的生成式人工智能服务需办理备案手续。除上述主要监管手续外,企业还需考虑地方或行业特定要求,如年度汽车数据安全管理情况报送、数据安全风险评估报告等。止匕外,企业应关注是否收到过监管部门的整改通知或处罚,并确保整改措施得到执行。监管手续主要法规依据主要内容办理渠道网络安全审查网络安全审查办法关键信息基础设施运营者采购网络产品和服务,网络平台运营者开展数据处理活动,影响或者可能影响国家安全的,应当进行网络安全审查0掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。通过CCRC
5、申请网络安全审查数据出境监管手续促进和规范数据跨境流动规定包括数据出境安全评估、个人信息出境标准合同备案、个人信息保护认证.申报数据出境安全评估、备案个人信息出境标准合同可以登录数据出境申报系统,网址:申请个人信息保护认证可以登录个人信息保护认证管理系统,网址:信息安全等级保护备案(等保)信息安全等级保护管理办法已运营(运行)的第二级以上信息系统,应当在安全保护等级确定后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。新建第二级以上信息系统,应当在投入运行后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。通过所在地公安机关办理通信网络单元备案(通
6、保)通信网络安全防护管理办法通信网络运行单位应当在通信网络定级评审通过后三十日内,将通信网络单元的划分和定级情况按照向电信管理机构备案。通过“通信网络安全防护管理系统”(https:/mii-)进行备案重要数据目录备案数据安全法、工业和信息化领域数据安全管理办法(试行)、各地通知文件数据处理者应当将本单位重要数据目录向本地区行业监管部门备案。线下与监管部门沟通备案事宜监管手续主要法规依据主要内容办理渠道关键信息基础设施运营者认定关键信息基础设施安全保护条例保护工作部门根据认定规则负责组织认定本行业、本领域的关键信息基础设施,及时将认定结果通知运营者,并通报国务院公安部门。以监管部门通知为主互联
7、网信息服务算法备案互联网信息服务算法推荐管理规定具有舆论属性或者社会动员傩力的算法推荐服务提供者应当在提供服务之日起十个工作日内通过互联网信息服务算法备案系统填报服务提供者的名称、服务形式、应用领域、算法类型、算法自评估报告、拟公示内容等信息,履行备案手续。通过“互联网信息服务算法备案系空(https:/beian.cac.gov.en/*/index)办理备案互联网信息服务安全评估具有舆论属性或社会动员能力的互联网信息服务安全评估规定具有舆论属性或社会动员能力的信息服务上线等情形下,互联网信息服务提供者应当自行开展安全评估,并将安全评估报告通过全国互联网安全管理服务平台提交所在地地市级以上网
8、信部门和公安机关。通过“全国互联网安全管理服争平台(移动互联网应用程序备案工业和信息化部关于开展移动互联网应用程序备案工作的通知在中华人民共和国境内从事互联网信息服务的APP(含小程序)主办者,应当依照中华人民共和国反电信网络诈曜法互联网信息服务管理办法(国务院令第292号)等规定同行备案手续,未履行备案手续的,不得从事APP互联网信息服务。通过网络接入服务提供者、小程序平台申请办理生成式人工智能(大语言模型)上线备案生成式人工智能服务管理暂行办法、国家互联网信息办公室关于发布生成式人工智能服务已备案信息的公告提供具有舆论属性或者社会动员能力的生成式人工智能服务的,通过属地网信部门履行备案程序
9、通过属地网信办厦行备案程序2.组织架构设置数据合规工作要求企业必须设立专门的团队或部门来负责相关事务。在回应监管部门关于企业内部数据合规措施的问询时,通常需要从人员配置、制度建设、具体措施等方面进行说明。企业在设置数据合规组织架构时,需遵循网络安全法、数据安全法、个人信息保护法等相关法律法规的规定。不同行业如金融、工信等领域的特定管理办法,也对数据安全管理的组织机构和负责人有具体要求。企业还需考虑所在地区和行业的特殊规定。例如,上海通管局要求取得电信业务经营许可证的电信和互联网企业设立首席数据官,以负责数据安全等相关工作。企业数据合规组织架构通常包括决策层、执行层和中间层。决策层如信息安全管
10、理委员会,负责顶层决策和规划;执行层涵盖信息安全、研发、法务合规、人力资源等部门,具体推进数据合规工作;中间层则负责协调统筹,确保决策落实。在设置数据合规架构时,明确职责划分至关重要。企业需将现有的数据合规相关工作通过制度文件明确规划,以满足监管部门对组织架构和职责清晰度的要求。个人信息保护负责人的选任是组织架构设置中的一个关键点。根据个人信息保护法,个人信息保护负责人需承担相应法律责任,包括可能的罚款和任职限制。因此,企业内部并非所有人都愿意担任此职位。关于个人信息保护负责人的任职模式,虽无明确规定禁止兼职,但处理大量个人信息时推荐设置专职个人信息保护负责人,并且建议由企业内部人士担任,以确
11、保对企业数据保护工作的熟悉度和有效协调。个人信息保护负责人的最佳人选应具备管理决策职责和专业知识。实践中,由法务合规部门的负责人或IT信息安全部门的负责人兼任个人信息保护负责人是常见做法。在实际操作中,协调各部门对数据合规工作的接受度和参与度是一个挑战。通过虚拟组织形式的决策层来分配具体工作事项,可能是一种合适的解决方案。监管部门期望看到企业有一个完善的数据合规组织架构和清晰的职责划分,这有助于提高企业数据合规的透明度和监管的有效性。信息安全管理委员会职责:1 .制定公司数据合规工作的总体战略规划,确定公司数据合规工作目标;2 .听取数据合规工作汇报,对涉及数据合规工作的重大事项进行审议、决策
12、3 .审批公司数据合规相关制度规范,建立健全公司的数据合规工作体系;网络安全/数据安全/个人信息保护负责人4 .组织对违反数据合规工作要求的行为进行调查,查处不合规现象和违纪员工。决策层(信息安全管理委员会)执行层信息安全部门研发部门法务合规部门人力资源部门3.内部制度制定网络安全法、数据安全法、个人信息保护法等法律法规明确规定企业必须建立数据合规的内部管理制度和操作规程。企业未建立相关制度可能面临处罚。通常企业需建立的制度包括网络安全管理制度、数据分类分级规则、数据全生命周期管理制度、个人信息保护管理办法、安全事件应急处置制度等。企业可构建分层级的制度体系以完善合规体系,如一级制度包括原则
13、性、纲领性规定;二级制度包括具体合规要求,结合业务实际和法规要求进行规定;三级制度包括具体操作规程和手册。制度内容应体现法规要求,并结合公司内部数据合规操作实践。避免制度要求与公司实践脱节,以免监管检查时发现问题导致处罚。4 .安全管理措施企业应采取的内部安全管理措施包括但不限于:定期安全教育培训、应急预案演练、数据分类分级、权限管控、数据安全风险评估与审计、个人信息保护影响评估(PIA)、个人信息合规审计、个人信息权利行使机制、内部人员管理,特别是保密管理、网络安全漏洞信息接收响应机制。1、定期安全教育培训企业应定期组织安全教育培训I,内容包括法律法规、内部管理制度、工作规范、操作手册要求、
14、信息安全保护意识提升等。法律法规未明确规定培训周期,但建议每年至少一次。止匕外,企业还需关注行业和地区特殊规定,如北京地区规定电信领域数据处理者对数据安全岗位人员的年度培训时长要求不小于30个学时。企业应保留开展安全教育培训的证据,如现场照片、线上培训截图、参加人员签到记录等,作为合规佐证。2、数据分类分级数据安全管理措施离不开数据分级分类管理。根据数据泄露可能造成的危害程度等因素,将数据分为一般数据、重要数据、核心数据三级。若涉及重要数据或核心数据,需按外部监管手续进行目录梳理并上报监管部门。考虑到数据分类分级工作的复杂性,实际操作中,建议指定牵头部门统筹协调数据分类分级工作,可先从重要场景
15、开始进行数据分类分级,逐步推广至企业其他数据处理场景。重要数据的识别存在一定难度,因为多数行业和地区对此缺乏具体标准。建议企业应分两步走:首先检查是否收到监管通知,如是,按监管要求开展重要数据识别和备案工作;其次主动识别内部处理的重要数据,可参考数据安全技术数据分类分级规则等标准,并与监管部门沟通获得更具体的判断标准。3、个人信息保护影响评估根据个人信息保护法,处理敏感个人信息或利用个人信息进行自动化决策等活动前,企业需进行PIA并形成评估报告,保存期限不少于三年。PIA在实操中也存在以下几个难点:1、发起困难:业务一线难以准确判断是否触发PlA情形。2、评估流程复杂:国家标准信息安全技术个人
16、信息安全影响评估指南(GB/T39335-2020)规定的评估流程较为复杂,可能给企业带来较大负担。3、报告细节不明:法规未明确评估报告具体内容要求。对于PIA实操主要有以下几点建议:1、指定牵头部门负责PIA工作,通过工单加签等形式纳入其他部门集体评估,如法务合规部门牵头、安全部门协同。2、进行预评估工作,对企业内部可能触发PlA的业务、场景进行摸底。3、通过工单等形式,设置流程卡点,将PIA流程纳入业务审批流中,对于部分较为简单的场景,可直接通过线上完成PIA工作。4、部分较为复杂的业务场景,可通过线下访谈、测试、检查、联合评审等方式开展PIA工作。5、对于PIA报告,如果是线上完成的,可
17、直接在线生成PIA报告内容。对于较为复杂/重要的业务场景,可考虑起草专门的PIA报告进行留存。6、报告的详简建议根据具体评估情况而定,一般建议至少包括:评估时间、评估业务场景和个人信息处理情况介绍、评估结论(个人信息的处理目的、处理方式等是否合法、正当、必要;对个人权益的影响及安全风险;所采取的保护措施是否合法、有效并与风险程度相适应)。5 .技术措施保障网络安全法、数据安全法、个人信息保护法等法律法规均强调了采取技术措施的重要性。未采取技术措施可能导致产品遭受非法入侵、数据泄露等安全事件,进而面临监管部门的处罚。技术措施不仅用于防止危害后果的发生,也是监管部门日常检查的重点。即使未发生实际危
18、害,缺乏如数据加密等基本技术保护措施也可能导致处罚。技术保障措施包括但不限于:采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;数据加密;个人信息的去标识化和匿名化处理等。去标识化指个人信息经过处理,在不借助额外信息的情况下无法识别个人的过程。匿名化指个人信息经过处理无法识别特定自然人且不能复原的过程,不再视为个人信息,不受个保法等法规限制。实操难点主要在于如何判断是否达到匿名化程度,考虑匿名化当前没有明确的标准,且大概率难以做到,当前建议避免轻易认定匿名化。6 .线上产品合规线上产品如网站、APP、小程序等需进行合规性核查与整改,可以关注以下三大方面:1、协议文件:隐私政策
19、用户协议、个人信息授权书等文件是否齐全,内容和形式是否符合法律法规要求。2、前端交互:常见合规问题点如权限申请不合规、强制获取用户个人信息、默认同意、未设置个性化推荐开关、缺乏用户权利行使入口等。3、后端处理:常见合规问题点如超范围收集个人信息、SDK收集个人信息未明示、后台静默收集个人信息等。对于线上产品合规性核查,实操中主要有以下两点建议:1、定期进行线上产品合规性自查,参照Upp违法违规收集使用个人信息行为认定方法等规定。2、关注工信部和通管局通报的APP、小程序合规问题,及时整改。企业在线上产品合规性管理时,应密切关注法律法规要求,结合实际业务情况,采取有效措施保护数据安全,避免违法
20、违规行为,确保企业可持续发展。7 .数据全生命周期管理数据全生命周期的合规要求不仅适用于线上产品,也包括线下数据处理场景和其他场景,如通过爬虫获取数据或外部采购获取数据等。企业需梳理内部数据处理场景,并根据全生命周期的合规要求评估符合性。数据存储时间上,个人信息存储时间应符合法律法规要求,不应永久存储。企业需设定存储期限规则,避免与业务需求的矛盾。8 .员工个人信息处理员工个人信息处理常被忽略,但合规要求同样重要,处理员工信息主要有以下几点合规要点:1、完善内部劳动规章制度/员工劳动合同等文件中涉及个人信息处理的内容、制定员工个人信息处理政策。根据个人信息保护法第十三条规定,按照依法制定的劳动
21、规章制度和依法签订的集体合同实施人力资源管理所必需可处理个人信息。2、从招聘、入职、日常管理、离职等全流程梳理员工个人信息处理场景,完善个人信息处理的告知同意安排,例如部分场景如需要公开披露员工个人信息或对外提供员工个人信息的,应当取得员工的单独同意或具备其他合法性基础。3、考勤/门禁处理员工人脸、指纹等敏感个人信息的合理性和必要性:A.难以论证为实施人力资源管理所必需,建议单独告知、取得员工的单独同意;B.提供其他无需收集生物识别数据的替代方案,例如输入密码进行打卡等。4、办公场所监控和办公设备监控的合规要求A.必要性上存在争议,建议至少通过员工个人信息处理政策、个人信息授权书等方式,取得员
22、工的同意。B.采取其他缓释措施,如尽量在办公监控区域设置显著的提示标识,如“您已进入监控范围内”,并提示员工做好个人信息防护,包括穿着、密码输入等,避免秘密监控。监控办公设备提前告知,明确员工仅能将办公设备用于办公用途。9 .合作方管理建立涉数据处理及网络产品/服务的合作方的管理机制,包括事前准入尽调、事中监督、事后清退与处置等,特别留意关联方间的数据处理关系。合作方管理要点主要包括以下几点:1、事前准入尽调:对合作方进行必要的背景调查和评估。2、事中监督:建立监督机制,确保合作方数据处理活动合规。3、事后清退处置:明确合作结束后的数据处置流程。10 .其他数据合规工作还包含适用于特定行业、业
23、务的合规要求:1、网络信息内容生态治理建立网络信息内容发布审核、管理机制;设立网络信息内容生态治理负责人,配备与业务范围和服务规模相适应的专业人员,负责网络信息内容管理事宜;制定并公开管理规则和平台公约,完善用户协议,明确用户相关权利义务;编制网络信息内容生态治理工作年度报告。2、互联网用户账号信息管理制定和公开互联网用户账号管理规则、平台公约,与互联网用户签订服务协议,明确账号信息注册、使用和管理相关权利义务;建立用户账号信息的审核、管理机制,配备与服务规模相适应的专业人员和技术能力;在互联网用户账号信息页面展示合理范围内的互联网用户账号的互联网协议(IP)地址归属地信息。3、互联网弹窗信息
24、推送服务管理以服务协议等明确告知用户弹窗信息推送服务的具体形式、内容频次、取消渠道等;不得以任何形式干扰或者影响用户关闭弹窗,弹窗信息应当显著标明弹窗信息推送服务提供者身份;弹窗推送广告信息的,应当具有可识别性,显著标明“广告”和关闭标志,确保弹窗广告一键关闭;健全弹窗信息推送内容管理规范,完善信息筛选、编辑、推送等工作流程,配备与服务规模相适应的审核力量,加强弹窗信息内容审核。4、互联网信息服务算法推荐管理以显著方式告知用户提供算法推荐服务的情况,并以适当方式公示算法推荐服务的基本原理、目的意图和主要运行机制等;向用户提供不针对其个人特征的选项,或者向用户提供便捷的关闭算法推荐服务的选项;向用户提供选择或者删除用于算法推荐服务的针对其个人特征的用户标签的功能;在对外提供服务的网站、应用程序等的显著位置标明其备案编号并提供公示信息链接。5、生成式人工智能服务管理生成内容标识;与注册服务的生成式人工智能服务使用者签订服务协议,明确双方权利义务,提示服务的局限性等风险信息;在显著位置公开服务的适用人群、场合、用途等信息;设置投诉举报入口等。6、科技伦理审查设立科技伦理(审查)委员会;开展科技伦理审查活动;通过国家科技伦理管理信息登记平台登记科技伦理(审查)委员会设立情况等。