目 录
第一部分:企业数据安全合规体系建设
一、数据安全合规总体要求
二、企业数据安全合规体系建立路径
(一) 建立健全数据安全合规管理组织体系
(二) 建立数据分类分级保护体系
(三) 建立完善的数据安全技术体系
第二部分:企业交易数据合规风险防范
一、交易行为中的数据合规风险
二、数据合规尽调方式
Part1 企业数据安全合规体系建设
2021年6月10日《中华人民共和国数据安全法》(以下简称《数据安全法》)已由中华人民共和国第十三届全国人民代表大会常务委员会第二十九次会议通过,并自2021年9月1日起施行。生效之后,《数据安全法》《网络安全法》以及将于2021年11月1日生效的《个人信息保护法》一起,构筑起中国信息及数据安全领域的基础法律框架,相应的,企业数据安全合规也有了法律层面的清晰要求。
相较于已施行的《网络安全法》,《数据安全法》更强调数据本身的安全,且数据的含义不限于电子化数据;而较之即将出台的《个人信息保护法》,《数据安全法》则从更加宏观角度全面规定了数据安全合规要求,可以说,《数据安全法》是数据合规领域的顶层设计。因此,企业数据安全合规体系的建设应围绕《数据安全法》的基本要求展开,并结合自身的行业特性、数据来源及载体的特质融入《个人信息保护法》《网络安全法》及其他法律法规的要求。
但正因为《数据安全法》的全面性、宏观性,其并未详细规定数据安全监管的具体标准体系,对于监管机构和监管权限的规定也较为原则化。为便于广大涉数据企业针对性做好数据安全合规体系建设,笔者结合多年合规工作经验及对数字基建领域的研究,提出以下企业数据安全合规体系建设路径以供参考。
一、数据安全合规总体要求
“十四五”规划明确提出要激活数据要素潜能,推进网络强国建设,加快建设数字经济、数字社会、数字政府,以数字化转型整体驱动生产方式、生活方式和治理方式变革。数据已成为新兴的生产要素,是国家基础性和战略性资源,数据安全需求也越发凸显。加强对数据安全的保护不仅关乎每个人、每个组织的利益。《数据安全法》的出台从法律层面将数据安全上升到国家安全层面,明确了数据、数据处理、数据安全的范畴,厘清了数据安全防护的主体责任,规范了国家行政主管部门、企业、个人的职责与权力。并且从数据全生命周期角度出发,《数据安全法》明确了对数据的收集、存储、使用、加工、传输、提供、公开等各个环节进行数据安全风险的监测、评估和防护要求,以及权限管控、数据脱敏、数据加密、审计溯源等多种技术要求,并对后续的执法检查、标准制定、企业数据安全防护、个人权益保障等方面作出了规定。
《数据安全法》的发布标志着我国将数据安全保护的政策要求,通过法律文本的形式进行了明确和强化。有关单位和个人收集、存储、使用、加工、传输、提供、公开数据资源,都应当依法建立健全数据安全管理制度,采取相应技术措施保障数据安全。企业未来应该加强数据安全的自监管,国家行政主管部门的执法监管要与企业自监管有机结合,以促进数据有序使用。
二、企业数据安全合规体系建立路径
《数据安全法》明确了企业开展数据活动应承担数据安全保护义务,需要落实数据安全保护责任;确立了企业开展数据活动应进行数据分级分类管理,并建立风险评估,监测预警和应急处置等数据安全管理各项基本制度;开展数据活动的企业还应在跨境提供数据时严格遵守国家安全审查规定,并依法配合公安、安全等部门进行犯罪调查,境外执法机构要调取存储在中国的数据,未经批准,不得提供。
由于《数据安全法》于2021年9月1日开始实施,《个人信息保护法》也将于2021年11月1日起实施,涉数据企业尽快建立可落地、可实施的自行合规内控体系,避免政策法律环境骤然收紧对企业经营带来不利影响可以说是“当务之急”。虽然目前数据安全制度落地在金融、电信等传统强合规行业之外的其他行业数据安全监管要求尚不明确的问题,而且传统强合规行业的现有数据安全监管要求可能会对照上位法要求修改等现实问题,但基于我国的数据安全政策的一脉相承性,及企业合规体系建设的共性特征,建议涉数据企业尽快从以下路径展开数据安全合规体系建设。
(一) 建立健全数据安全合规管理组织体系
从经验来看,企业合规管理的成败主要取决于企业核心决策层对该问题的重视程度,即取决于企业核心决策层是否有强有力地自上而下推行合规要求,并建立较为完备、高效的内部合规管理组织体系,全员提升合规意识,并将合规要求融入到日常经营中。
企业数据安全合规体系的有效建立也不例外,需要形成“管理层重视、一把手负责、全员参与”的管理模式。并且,企业数据安全合规管理组织体系应是与企业现有管理体系高度融合的,不是另起炉灶,否则成本过高且难以正常运行。而且,数据安全合规重点是因人而异的,即不同行业、不同服务对象、不同规模的企业重点不同,在合规管理组织体系建设中也应充分结合企业特征突出重点、管好难点,并且与企业其他合规要求协调同步,彼此增益。
(二) 建立数据分类分级保护体系
《数据安全法》第二十一条明确规定了国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。并且各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录。但《数据安全法》并没有说清楚谁来制定《重要数据目录》、数据分类分级保护制度谁来制定,以及中央与地方、行业的权限如何划分。从更微观层面考虑的话,数据类型有结构化、非结构化的数据。数据存储上更是企业服务器数据库中有,员工终端上也有,甚至还有大量非信息化的数据……就个体企业来说怎么确定什么是重要数据,重要数据存放在哪里,是难点,也是个性化很强的问题。
鉴于《数据安全法》和我国信息安全行业密不可分,其规定的“建立重要数据目录”、“分类分级”保护制度与信息安全行业存在已久的等级保护制度是一脉相承的,企业可先根据自身业务先行启动等级保护的相关工作,避免政策法规骤然出台对企业运营带来影响。
目前我国等级保护的标准已形成一个较为完整的体系,除了法律层面的《网络安全法》和即将实施的《数据安全法》《个人信息保护法》之外,法规层面的《计算机信息系统安全保护条例》为等级保护的总要求;在行业标准层面则有《计算机信息系统安全保护等级划分准则》作为总体标准,以及《信息安全技术网络安全等级保护实施指南》(GB/T25058-2019)、《信息安全技术网络安全等级保护定级指南》(GB/T22240-2020)、《信息安全技术网络安全等级保护基本要求》(GB/T22239-2019)、《信息安全技术网络安全等级保护安全设计技术要求》(GB/T25070-2019)、《信息安全技术网络安全等级保护测评要求》(GB/T28448-2019)、《信息安全技术网络安全等级保护测评过程指南》(GB/T28449-2018)等超过30项具体标准性文件。笔者相信,《数据安全法》体系下的《重要数据目录》及分类分级保护制度是建立在该些现有法规制度之上的。
(三) 建立完善的数据安全技术体系
做好数据安全合规体系建设离不开建立完善的数据安全技术体系。企业在进行数据安全技术体系建设时,必须要考虑数据安全、访问控制以及数据保护三个层面问题。简单说,数据安全首先需要确定数据在哪里?数据的主体是谁?访问控制首要目标是数据使用者如何证明具备相应的数据权限。数据保护则需要更高层面的建设框架,首要目标是组织或个人如何确保数据已获得了恰当的保护。
实现对数据采集、传输、存储、处理、交换、销毁全生命周期的管理,在业务层面,应当考虑建设包含预防、发现、消除泄密隐患为主的数据安全体系;在技术层面,应当考虑建设数据风险核查能力、数据梳理能力、数据保护能力以及数据威胁监控预警能力四大核心数据能力的建设;最终建立“数据安全运营”的全过程安全支撑能力,直至达到整体安全目标。具体来说,企业应从以下七方面着手建立数据安全技术体系:
1. 数据梳理。即对企业重要数据、敏感数据进行全面排查梳理,并根据业务需要对不同角色接触、处理数据的权限进行梳理。
2. 入侵防御。即建立、检查数据库防火墙,以便对外部攻击进行有效防护,同时也对内部数据库漏洞进行有效防护,防止漏洞被违规利用。
3. 权限管控。即针对不同访问需求,规范数据访问权限,并严格记录访问情况,实现内部数据操作行为的有效控制与监管。
4. 脱敏流转。即在数据使用流转过程,遵循数据最小使用原则,去标识,去隐私,实现数据的安全高效利用,在安全的前提下提升数据的使用价值。
5. 密文存储。即落实重要数据识别和分类分级保护要求,对重要的核心数据加密存储,守护数据安全。
6. 监管稽核。即建立有效的内部数据安全合规监管体系,从数据产生,到场景化使用,进行流向监控、精准分析,实现有效监管。
7. 应急处置机制。即一旦发生安全事件,确保企业有完善的应急预案和应对处理机制,防止事态进一步扩大。
综上,笔者建议,基于《数据安全法》带来的合规需求,无论其配套法规文件何时落地,企业想要减少数据安全相关的合规风险,就应变被动为主动,尽早启动企业数据安全合规体系建设。考虑到内控合规体系建设所需周期,尽早着手自行合规工作对于运营系统数量众多、数据量庞大的企业尤为重要。
此外,随着大批量企业数字化转型的加速,涉数据问题的企业间商业合作、并购交易日趋频繁,企业交易对手方的数据合规不到位也可能给企业带来重大隐患。该风险的识别、防范之道笔者将在下文详述。
Part2 企业交易数据合规风险防范
近年来,我国对数据安全及个人信息保护监管不断加强,《民法典》,以及《数据安全法》《个人信息保护法》《网络安全法》《电子商务法》等陆续出台,构筑起了我国数据合规制度体系的顶层架构,加之逐渐常态化的执法活动,企业面临日益严格的合规挑战。与此同时,数据已成为新兴的生产要素,是国家基础性和战略性资源,数据的资产属性已得到普遍认可。而新冠疫情的爆发加速了企业的数字化转型,广大企业已经将数字化战略作为发展战略的重要方向,涉数据内容的采购、商业合作、并购交易也日趋频繁,因此,企业在做好内部数据安全合规体系建设的同时,也应密切关注由交易带来的数据合规风险。尤其对于有上市计划的公司而言,更是要未雨绸缪,正视目前审核机关对拟上市企业(尤其是科创板上市)的数据合规审查日趋严格,涉数据问询也从概括、笼统变得具体、细致的趋势,避免本为了快速实现上市目标而进行的并购交易中出现涉数据安全问题而导致上市受阻,甚至如新三板挂牌公司数据堂案[注1]一般付出惨痛代价。
一、交易行为中的数据合规风险
《数据安全法》明确了对数据的收集、存储、使用、加工、传输、提供、公开等各个环节进行数据安全风险的监测、评估和防护要求,有关单位和个人收集、存储、使用、加工、传输、提供、公开数据资源,都应当依法建立健全数据安全管理制度,采取相应技术措施保障数据安全。而《个人信息保护法》是聚焦于个人信息,对“个人信息处理规则”、“个人信息主体权利”、“个人信息处理者义务”、“跨境传输”等重点关注的主题提出了具体要求,其第二十一至二十三条对“向第三方提供个人信息”进行了明确的限制。《网络安全法》第四十二条也规定,网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。此外,我国《刑法》第253条之一第三款规定,窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第三条第二款规定未经被收集者同意,将合法收集的公民个人信息向他人提供的,属于刑法第二百五十三条之一规定的“提供公民个人信息” ,但是经过处理无法识别特定个人且不能复原的除外。
综上,不难看出企业的交易行为中,涉及个人验证信息的数据是涉数据交易行为中核心风险来源。在司法实践中,“购买”普遍被视为《刑法》第253条之一第三款规定的“其他方法”的一种。并且,该处的“购买”应该广义理解,即应理解为具备对价的数据转让、共享,可能发生在数据采购、商业合作及并购交易中。企业在进行涉数据交易的过程中一定要做好交易对手和交易所涉及数据的尽职调查,否则有可能被认定为非法数据交易的直接参与者,导致做出购买决定的一系列管理者以及相关财务人员都将面临极高的法律风险。
因此企业在数据交易过程中不仅要确保自身依法依规,还要做好交易对手的尽职调查和风控工作,并根据匿名化数据的再识别风险等级有选择地进行交易。对于交易对手的尽职调查,主要需要考虑数据出售方资质、数据来源合法性、接收数据的范围和形式等多个方面。一般而言,大公司受到监管机关关注的可能性大,也有足够的资源完善其合规制度,与之进行合作,数据购买方的合规压力相对较小。但交易对象的资质声誉也不是决定性因素,比交易对手资质更重要的是要确保交易涉及数据来源的合法性。由于《个人信息保护法》及相关规定中对个人信息采集强调的是“同意、合理、最小化”三原则,因此在考察数据来源合规性问题时,主要考量的因素包括被收集人是否明知该数据被数据提供方收集、数据流通行为是否已经得到被收集人同意、数据利用形式是否已告知被采集人并得到同意以及接收数据的种类等,从法律条文来看,对数据进行匿名化处理或取得用户合法有效的同意是规避数据交易法律风险的有效途径。
企业在进行涉数据交易时都应当通过协议等形式对交易对手方、被并购对象的数据合规问题进行确认。但需要注意的是,即便已与交易对手方或被并购对象签署了数据合规方面的保证协议,也并不能保证完全避免作为数据接收方的企业可能面临的行政或刑事责任,对于民事责任,数据接收方也仅仅是能通过违约责任将最终损害赔偿责任转嫁至数据出售方或其他第三方。所以,企业在进行涉数据交易时不可依赖交易对手方、被并购对象对数据合规问题的承诺,认真做好数据合规尽调是必不可少的。
二、数据合规尽调方式
企业在进行涉数据交易前,认真开展数据合规尽调,摸底合作方、交易方、拟并购方的数据合规情况,做到“知己知彼”,才能防患于未然。数据合规尽调具体来说该怎么做呢?主要包括如下工作:
首先是对交易对手方的基本信息、数据处理、业务运营等情况进行初步了解,搜集相关基础文件,并对数据合规相关的IT、HR、法务、运营等关键部门、关键人员进行访谈,对交易对手方数据搜集、使用、内外部流转的基本情况建立认识。
尽调工作的核心内容是对交易对手方从数据收集、存储、使用、传输(包括跨境传输)、共享、披露等数据处理的各环节的合法合规性进行调查。该工作需要结合交易对手方的业务情况及与企业自身的关系来针对性设计方案,一般应包含对以下问题的调查:
1. 数据的来源,主要是数据通过何种渠道收集;
2. 数据的匿名化情况,重点关注被反向识别的可能;
3. 数据的存储,包括对存储地点,是存储在本地服务器存储或存放在第三方云等问题进行明确;
4. 数据内部的流转、使用情况,包括可被哪些部门及人员访问和处理、用于哪些目的等;
5. 数据对外流转情况及其目的,如传输给关联公司、合作伙伴、供应商等;
6. 向中国境外传输数据的情况及其目的,例如向哪些国家传输;
7. 数据删除、销毁、冷藏处理的情况等。
具体尽调工作的开展会从组织、制度、技术等层面考虑数据处理活动的合法性和合规性。
组织层面,需要对目前的组织架构、相关人员(如数据保护官)设置情况及其职责、权限进行考察。比如是否明确了董事会、监事会、管理层等在数据合规方面的监管责任;是否任命了数据保护官(或同类职责人员),并确定其在企业中的角色和职责;是否会定期或不定期对管理层、数据保护官、隐私保护负责人及其他员工进行数据保护相关培训或考核等。
制度层面,需要对交易对手的数据安全相关政策、文件进行审查。主要从这些方面进行审查:是否具有整体性的数据合规政策;是否在关键领域建立并实施了操作性文件,以确保数据收集和使用行为合法合规,例如隐私政策、员工个人信息同意函、数据接收/共享协议等;是否采取了数据分类、分级存储制度,是否明确了不同类型数据的管理规则;是否具有记录制度,以确保数据处理活动有迹可循;是否建立了与业务开展需求匹配的数据分级访问控制制度,对企业内部可以访问相关数据的人员分级权限设置;对外提供数据,是否建立了相应的约束机制,以确保数据传输的安全性以及不被未经授权地使用;是否建立了跨境传输制度,以确保数据的跨境传输符合相关法律法规规定以及行业主管部门的要求;是否建立了数据安全事件应急预案等。
技术层面,律师主要是从法律的角度考察是否采取了技术措施,以及其落实情况。至于技术实际的有效性、安全性等问题,需要相关技术公司和专业人员进行审查核验。一般来说,技术层面数据安全尽调工作需要考察的内容包括但不限于:是否采取了数据分类、重要数据备份和加密等措施;是否会定期及不定期对数据设施和系统进行安全检查;是否采取了防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;是否采取了监测、记录网络运行状态、网络安全事件的技术措施;采购第三方信息系统产品或服务时,是否已通过尽调等方式对第三方的网络安全能力进行考察,或通过合同或其他方式对供应商的相关责任义务进行明确;是否进行了网络安全等级保护备案;是否取得了网络安全相关认证等。
随着经济社会的进步,数据已成为重要生产要素,并且数据安全合规使用的监管要求也越来越高。传统尽调已经无法适应新时代交易中涉及的数据安全需要,面临安全的新态势、新要求,企业在继续做好业务、财务尽调的基础之上,将数据安全尽调纳入对交易对方的尽调范围已成必然趋势。
数据安全合规管理与法律及相关法规、政策、标准的出台、变更密切相关,也与企业自身所在行业的要求、服务对象的特征密切相关。未来笔者将陆续就金融、医疗等重要数据应用环境的数据安全合规要求,以及未成年人数据信息保护等问题推出数据合规操作性专题与大家分享、探讨。
注释及参考文献:
[1] 2018年7月,山东临沂警方破获了因运营商内部人员倒卖数据引发的特大侵犯公民个人信息案件。警方在侦查中发现,新三板上市公司数据堂购买了该批涉案数据,进而逮捕了包括该公司一名副总裁在内的多名高管。