日前,由上海交通大学凯原法学院、中国人民大学国际商事争端预防与解决研究院、北京卓纬(上海)律师事务所、走出去智库主办,智合、威科先行共同协办的“高水平改革开放与企业合规”主题高峰论坛于上海举行,探讨贸易合规、数据合规方面的热点问题。
浪潮电子信息产业股份有限公司合规部总经理范磊在主旨演讲中指出,根据不同领域合规体系搭建的经验,以及不同领域合规体系的融合融通情况来看,主要合规领域在体系方法论上的构建上有相通之处。合规体系的构建主要是为了解决内部合规如何有效及可执行性,以及外部的有效监管的证明。随着时间的推移和发展,以及国内国际形势的变化,企业走出去合规体系构建的标准已经由之前的形式合规向实质性合规转变。实质性合规就是要做到对内的有效建立和执行,以及对外的有效的证明。
企业合规官如何构建数据合规体系?今天,走出去智库(CGGT)刊发范磊演讲的主要内容,供关注数据合规的读者参考。
文/范磊 浪潮电子信息产业股份有限公司
一、国内外数据安全监管形势
从全球来看,近年来关于数据安全及个人隐私的相关立法已经非常频繁。2018年欧盟实行GDPR之前,虽然很多国家也有数据安全的法,但是从2018年以后很多国家加强数据安全的立法并上升到很重要的层级,包括非洲有一些国家也开始逐步加大数据和个人隐私的立法。因此,对于中国企业走出去,数据合规工作面临着一个非常大的挑战。
从国内来看,提到数据安全离不开三部法律:个人信息保护法、数据安全法以及网络安全法。企业构建数据安全、个人隐私保护相关的合规体系,应该把这三部法律以及这三部法律相配套的规则结合起来进行综合的使用。
近几年全球关于数据安全的执法案例,主要针对的是数据的过分搜集、对个人信息权利的侵犯、数据泄露的问题,以及数据跨境的问题,甚至平台监管责任的问题等,如亚马逊违反《通用数据保护条例》(GDPR)的行为被罚款7.46亿欧元。这些执法案例的背后,总体上反映出在数据的合规领域,可能存在的一些权益冲突的地方。如企业在获取数据、利用数据的过程当中,与个人权益之间的平衡问题,数据出境方面利用方面与国家安全相关的平衡问题,甚至是不同企业在互相利用数据之间的权益平衡问题。这三个方面带来了企业在构建数据合规体系过程当中,所重点需要解决的几个大问题。
二、数据安全合规体系构成要素
在企业数据合规安全体系中,有一些关于整体合规构建的标准和要求,包括数据安全、网络安全、个人信息相关的法律规定,以及网信办和行业协会出台的细则里面,都会有关于数据安全和个人隐私等相关体系构建的要求。甚至在很多认证体系中,都会有对这个体系的介绍。在企业内部构建合规体系,需要考虑不同领域的合规之间的共性,用共性的方式来构建这样一个体系,以达到说既能够有效的建立起一套体系,同时也能够降低企业内部构建的成本和业务执行的难度。
我根据不同合规体系搭建的经验,以及不同合规体系的融合,发现所有合规领域在体系构建的本质上其实是一样的,主要是为了解决内部合规如何有效及可执行性,以及外部的有效监管的证明。且随着时间的推移和发展,以及国内国际形势的变化,企业走出去合规体系构建的标准已经由之前的形式合规向实质性合规转变。实质性合规就是要做到对内的有效建立和执行,以及对外的有效的证明。
总体来看,海量的数据从搜集、存储、出境、第三方处理等要涉及到大量的公司内部各业务部门以及公司外部各关联方乃至合作伙伴,由此数据安全领域的管理层承诺、组织建设方面显得非常重要,相关组织建设、体系落地方面也较为复杂。如果没有管理层的重视和支持,数据合规体系根本建不起来。因此,在数据合规体系构建过程中,要做的第一件事是对管理层进行相应的培训,尤其是合规部的负责人或者首席合规官。管理层意识的提升、能力的赋能,各方面业务才会真正的重视起来。浪潮信息的最高管理层就对公司的合规工作非常得重视和支持。当然,除了管理层重视之外,在公司内部设立类似于合规委员会、隐私保护办公室,甚至和网络安全结合在一起,建立网络安全与治理办公室。具体执行之时,会有IT部门和法律合规部门互相支撑,有些可能是IT牵头,有些是法律部门牵头,甚至到业务之后,再确立各个一线业务的第一责任人。通过这些方式形成一套有效的制度体系、组织体系,保证数据安全评估工作,能够从上到下得到有效的执行。其中,管理层需要公开支持数据安全合规的政策和体系,包括企业关于数据安全的公开承诺,或者发布数据安全白皮书等。从外部应对来说,构建数据安全合规的过程当中,能不能提供有效的资源,是监管机构评估是否企业数据合规有效的重要条件。
企业在建立数据安全合规体系时,需要将数据安全法、个人信息保护法和网络安全法三者结合起来,这其中有一个基本的要素就是数据。企业将业务流程当中产生的数据进行梳理,做好标签分类,以区别不同类型的数据应该遵循个人信息保护法的要求,还是应该遵循数据安全和网络安全法的法规。
在上述过程中,包括风险评估、流程嵌入、识别和梳理数据以后,还有数据的搜集、处理、加密、外部第三方关系处理等做一系列的流程嵌入,这是非常重要的工作。在记录保存方面,如果是数据必要的使用,在使用完以后要对数据进行删除,但记录保存从合规体系构建的角度来说,就需要把删除的制度、合规的流程进行保存。合规体系构建是从由风险应对型向风险防控型转变,需要每年不断的持续改进。
三、数据安全合规体系构建的难点
企业数据合规的难点很多,但是从企业内部角度来看,最主要的难点首先是是规则梳理的难度,国内国际有众多的规则要进行研究和梳理;另一方面则是梳理了很多复杂规则以后,如何进行归纳总结,如果在将其与业务特点相匹配基础上将适合的规则传递给业务部门,使业务部门领导和员工真正懂得规则,这就需要构建数据安全体系的合规人员,既懂规则又懂业务。
关于数据资产的识别梳理,如果一个公司业务量较大、各类型部门较多,产品形态丰富多样,出现各种各样的业务场景,梳理起来会非常的复杂。到底有多少种数据类型,怎么分类,怎么梳理,挑战很大。但另一方面讲,又必须要做数据梳理,且要把数据的梳理作为一个常态化的机制去运行。比如说,对于全球型客户来说往往会关心供应链安全,那么涉及供应链相关的数据梳理工作到底有没有做到真正的全面有效性。
当然数据安全合规体系构建过程中,还有数据生命全周期的管控的难点,数据搜集梳理以后,各种数据进行分类、标签,在业务流程中流转的过程中加密、标识,还有访问权限等等,如何有效的管控与流程衔接是很大的问题。
当然,要解决上述问题,甚至包括数据跨境的问题,企业内部要有一个有效的管理组织架构和不同机构的拉通运转机制等等。
四、数据安全合规体系构建的重点
从自上而下的角度来讲,数据安全合规体系的构建首先是一把手工程,而不是一个自下而上的过程。如果没有管理层的重视和支持,就无法建立合规体系。合规部门一定要成为企业的战略部门。通过对法律监管规则的研究进行分级分类,提供给不同的层级,并对公司重大战略决策、新市场的选择、海外业务的规划、提供力所能及的意见,这是在内部组织中体现合规价值很重要的方面。
另外一方面,数据安全合规体系的构建是上传下达。数据安全非常复杂,真正有效的落地需要所有的业务部门和合规、IT一起互动,合规制度能不能有效的通过一线业务部门的人员真正落地,保证上传下达的通畅机制,这是企业构建数据安全合规体系的时候需要认真考虑的。
数据安全合规体系的构建还存在冲突协调的问题。包括企业内部不同的合规价值和业务自由度之间的冲突和协调,也包括与不同国家数据安全隐私相关法律制度之间的冲突。如数据本地化存储和跨境,存在不同国家的法律规定之间的冲突。还有来自个人用户、政府监管部门、行业生态,以及客户、上游合作伙伴对供应链数据安全的担心。在构建内部合规体系之后,如何向外部诚信透明展示合规工作的安全可靠也很重要。
还有文化生态的问题。合规体系的构建是既要做内部管控,还要响应客户、个人用户,甚至响应监管机构的要求,所以合规体系一定要从内部文化的角度、从对外构建品牌和生态的角度进行构建,让生态环节上的合作伙伴尽量达成一致,以应对监管的不确定性。同时,将合规体系作为品牌展现,还可以赢得个人消费者和用户的信赖,例如部分互联网公司开始使用外部第三方的监督员就是一个较好的尝试。
专家介绍
范磊
浪潮电子信息产业股份有限公司
合规部总经理
全国企业合规委员会专家
负责浪潮信息全球业务领域的合规治理与体系的搭建和建设工作。曾经担任中兴通讯全球合规总监、出口管制规则标准部部长,传音控股首席合规官。在合规体系建设与合规治理动作标准化、因“企”而异构建合规体系、出口管制与经济制裁、个人隐私、数据保护等合规领域有着丰富的理论和实践经验。曾主导多个大型合规项目的建设,以国际一流合规标准先后在企业全球采购、生产、研发、销售、物流、售后、投融资、人事、财务等领域构建合规标准与体系,并得到监管机构认可。成功应对多起国际制裁合规事件,并有着丰富的国际政府机构出口管制与制裁监管一线亲身应对经验。
声明:本文来自走出去智库,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。