《国有企业数据合规体系建设的3个要点.docx》由会员分享,可在线阅读,更多相关《国有企业数据合规体系建设的3个要点.docx(8页珍藏版)》请在优知文库上搜索。
1、国有企业数据合规体系建设的3个要点国有企业数据合规,是指企业为了防控合规风险所建立的一项专项治理机制,主要由数据合规政策和数据合规管理流程两大要素构成。本文以国有企业为什么需要重视数据合规体系建设为引导,梳理国有企业数据合规体系构建的重难点,进而提出国有企业数据合规体系建设路径的设计方案,为国企数据合规体系建设提供思路参考。Ol为什么国有企业要重视数据合规体系构建在我国,国有企业体量大,国有经济在国民经济中发挥着主导作用,并在市场主体中占据重要地位。由国有企业带头构建数字经济、数字产业、数字企业等数字资产评估标准,并将标准推广应用到民营企业、社会领域,不仅有利于国有企业数字资产保值增值,也有利
2、于引领全社会数字经济高质量发展,使国有企业成为数字经济高质量发展的领头羊2。当下正处于深化国有企业改革的时代浪潮中,二十大以来国家愈发重视建设数字中国、大力发展数字经济、提升数字化公共服务水平的战略部署,国有企业作为国民经济的命脉,更加应当肩负强化企业数据合规管理方面发挥引领示范作用。(一)从合规政策上看早在2018年国务院就印发了中央企业合规管理指引(试行).的通知,2022年在指引基础上,国务院正式发布中央企业合规管理办法(下称办法”),相较于指引,新发的办法内容更全面,对国央企合规管理的要求更为突出,具有了一定的强监管意义。从国企数据治理角度来看,办法第六章信息化建设,设置专门章节明确“
3、中央企业应当加强合规管理信息化建设”,表明数据保护应作为国企合规体系建设当中的重要一章。(二)从外部监管来讲近年来,诸如滴滴公司发生严重影响国家数据安全事件、厦门银行违反个人金融信息保护以及披露管理披露管理规定违法收集个人信息、以及跨境电信网络诈骗违法犯罪事件频发,相关部门对企业的网络安全与数据合规的监管要求愈发严格。(三)从企业规范管理的现实角度出发区别于一般企业,绝大多数国有企业由母公司、子公司、分公司、控股企业、平行代管公司、参股公司组成大体量的集团公司,围绕集团公司还存在着众多的关联企业,因此,国有企业普遍存在集众多生产、经营机构为一体的复杂特点,这也使得国有企业的合规建设往往侧重于综
4、合性的“大合规”体系建设。回到国企的数据合规管理上,正是因为多数国有一体化的特点,从而在数据产生、利用上容易发生共享、交互、融合,但实际上集团公司的各个关联公司之间对外而言属于彼此独立的法人主体,无论是应付外部监管部门的监管、应对服务群体的个人信息保护问题,或出于企业内部协同高效、责任区分的需求,该类企业都应当关注数据安全应用的问题,尤其在数据传输共享过程中如何厘清各自的使用范围(注I移动互联网应用程序运营者除外,该类主体依据GB/T41391-2022信息安全技术移动互联网应用程序(APP)收集个人信息基本要求当中,如与APP运营者属于不同的法人主体,但属于同一集团,之间发生的数据融合共享,
5、不屈于J笫:方交叮3)、进行责任分配方面,否则极其容易引发数据合规风险,在出现侵权问题或面临行政处罚乃至刑事违法责任时,可能牵扯各公司承担连带责任。典型案例比如阿里巴巴集团与蚂蚁集团组作为关联企业,在蚂蚁集团准备上市过程中,就为了满足企业数据合规监管要求,阿里巴巴发布与蚂蚁集团终止数据共享协议,并在企业年报中表示“阿里巴巴与蚂蚁集团将按双方向各自客户提供服务的必要限度,根据个案并依照适用法律及法规协商数据共享安排的条款”。(四)从资源利用与资产管理的角度来看企业国有资产法第二条指出,“本法所称企业国有资产(以卜称国疗资产),是指国家对企业各种形式的出资所形成的权益”4,因此国有企业经营管理过程
6、中形成的数据资产,实际上也属于国有资产的一种。伴随地方性债务的持续扩大,中央及地方均意识到债务风险与化解责任的重要紧迫,国务院办公厅关于进一步盘活存量资产扩大有效投资的意见(国办发(2022)19号)就我国在基础设施等领域形成了一大批存量资产未能有效应用的现实情况,提出盘活存量资产的重点领域及方法意见,虽然意见提出的三大重点领域不包括数据资产,但以通讯、金融、公共服务行业为例的国有企业,极其容易揽收大量的个人信息乃至国家秘密信息,除了保密义务外,面对这些数据,其中的有效内容是可以妥善运用的,避免该笔数据资产在收集后以数据孤岛形式闲置存在,如能有效利用该笔数据资产使其发挥新的价值,企业则能以合法
7、合规方式对这些资源进行再利用,形成合法营收,提高企业整体收入。这种资源利用行为实际上也属于盘活存量国有资产之列。02国有企业数据合规体系构建的重难点(一)主体身份的特殊性,多数企业具有关键信息基础设施运营者身份涉及公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的运营者)。6因此,国有企业往往需要履行更高的数据安全保护义务,比如数据安全法第三十四条就明确指出“除本法第二十一条的规定外,关键信息基础设施的运营者还应当履行下列安全保护义务:(一)设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查;(二)定期对从业人员进行网
8、络安全教育、技术培训和技能考核;(三)对重要系统和数据库进行容灾备份;(四)制定网络安全事件应急预案,并定期进行演练;(五)法律、行政法规规定的其他义务。(二)合规对象的特殊性,涉及国家秘密、重要数据、核心数据的处理在数据安全法网络数据安全管理条例(征求意见稿)关键信息基础设施保护条例重要数据识别指南(征求意见稿)中涉及“重要数据”的保护及处理要点,相较于一般数据,对于重要数据需采取不同的保护措施,比如重要数据的处理者需明确数据安全负责人和管理机构,并落实数据安全保护责任。数据处理活动中需定期开展风险评估,并形成内容包含重要数据种类、数量、数据处理活动情况、数据安全风险及对应措施的风险评估报告
9、,并向主管部门进行报送(尢方报送甫变数据);涉及出境动作,则强调Cn运营者收集和产生的重要数据的出境安全管理,适用网络安全法;其他数据处理者境内收集、产生的重要数据,如涉及出境,需要满足国家网信部门会同国务院有关部门制定的出境安全管理办法网。涉及重要数据、核心数据泄露,严重情形下还存在被追究刑事责任的风险。(三)履行备案手续的特殊要求比如根据互联网信息服务算法推荐管理规定第二十四条“具有舆论属性或者社会动员能力的算法推荐服务提供者应当在提供服务之日起十个工作日内通过互联网信息服务算法备案系统填报服务提供者的名称、服务形式、应用领域、算法类型、算法自评估报告、拟公示内容等信息,履行备案手续”的要
10、求,许多国企的业务范围实际上也具有舆论属性或者社会动员能力,该类企业则需排查自身是否应当履行备案义务而尚未备案登记。03国企数据合规体系建设路径的设计方案(一)盘点企业数据的具体类型和性质国有企业因主体数量多、业务体量大、经营范围广,因此,其经营管理过程中收集到的数据信息也较为密集复杂,在进行数据合规体系建设过程中,盘点数据类型的工作应作为第一步展开。通常而言,可将数据类型分为:一般经营信息、个人信息、商业秘密、重要数据、国家秘密、核心数据这几种类型。(二)确立数据合规的法律依据确立数据合规的法律依据,建立在盘清数据类型的基础上,即对企业现有的数据信息应符合哪些法律法规及政策监管内容进行梳理。
11、中央企业合规管理办法及中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见10对国企进行数据合规建设提出要求,在此前提下,国企数据合规体系的构建,离不开以国家安全法为统领,以网络安全法数据安全法个人信息保护法为“三驾马车”的四大上位法法律基础作为监管和构建依据。又因为国企涉猎行业多数涉及关键信息基础设施建设,因此在网络安全法的合规指导下,此类涉及关键信息基础设施行业的企业,网络数据安全应用上还应符合关键信息基础设施安全保护条例保守国家秘密法等法律法规的要求。而在数据收集、存储、传输使用、流动、删除的全生命周期过程中,形成的数据除了会在境内被使用、被共享或披露外,往往涉及数据跨境流动的问
12、题,我国个人信息保护法数据安全法等在如何与国际通用数据法律法规进行有效对接这一问题上,现行的以及即将出台的规范性文件并无详细规定,相关条文基于部分国际合作协议或联合声明而制定,这对于我国在国际数据规则制定上的主导地位会产生不利影响,从而影响数字经济营商环境的构建。11国有企业需要秉承我国法律规范如数据出境安全评估办法个人信息出境标准合同办法促进和规范数据跨境流动规定的基础上,再结合不同国家的交易习惯,通过调查国际通用数据条例,完善与他国在国际协助与国际贸易上的接洽(如美国加利福尼亚消费者隐私法案(CCPA),欧盟通用数据保护条例(GDPR),以至于构建出符合企业预期的数据合规管理体系。(三)数
13、据合规风险梳理,生命周期全覆盖“万物得其本者生,百事得其道者成。“数据合规风险梳理是迎接国有企业数据风险挑战的重要方法,确保可适应数字经济时代发展的国有企业科学数据商业模式的形成U2。完成上述两项工作后,企业应围绕数据生命周期的全过程展开数据合规的风险梳理工作。数据生命周期细分下来可概括为:数据的收集-传输-存储.使用.共享披露一跨境流动-删除,简而言之,就是数据从产生到消亡的生命过程,由于数据在不同阶段会面临不同形式的监管,以“个人信息”为例,在收集时,根据个人信息保护法第十七条要求“个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:(一)个
14、人信息处理者的名称或者姓名和联系方式;(二)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;(三)个人行使本法规定权利的方式和程序;(四)法律、行政法规规定应当告知的其他事项。前款规定事项发生变更的,应当将变更部分告知个人。个人信息处理者通过制定个人信息处理规则的方式告知第一款规定事项的,处理规则应当公开,并且便于查阅和保存”屋3;到存储阶段时,则要求符合个人信息保护法第三十六条“国家机关处理的个人信息应当在中华人民共和国境内存储;确需向境外提供的,应当进行安全评估。安全评估可以要求有关部门提供支持与协助”的规定。因此,国有企业数据合规体系建设走到风险梳理环节,应围绕数据的全生命周
15、期开展工作14。企业数据合规的目的在于数据风险防范和管控,而数据风险防范和管控的基础是风险识别和评估I。因此,企业进行数据风险梳理的过程应当涵盖风险评估工作在内,这里包括企业内部的风险评估,以及第三方风险评估一一对于提供数据服务的第三方的网络安全、数据安全合规性进行评估16。风险评估的方式基本上可以数据的暴露机会、影响程度划分成两个维度,暴露机会越多、影响程度越重的评为高风险,反之则可列为低风险事项。再结合实际情况对标监管规定,通过问卷调查、现场访谈、文档审阅等方法细化评估结果。具体而言,以金融行业为例,可按个人金融信息敏感度从高到低程度风险评级,诸如供金融机构内部使用的个人金融信息(账户开立
16、时间、开户行信息)V可以识别个人金融状况信息(账户余额、借贷信息)V直接影响个人财产安全的用户隐私信息(账户登陆密码、交易密码)。(四)形成企业数据合规管理制度,包括风险预警以及违规奖惩制度完成数据合规风险梳理工作后,此时就评估结果应形成合规评估检查表风险识别清单合规评估报告合规整改建议等成果,依据该成果,企业可以“由外到内”的顺序,在现有的制度下进行合规调整,即优先针对对外的文本、制度等进行合规调整,以符合外部监管要求,再对集团制度、公司制度进行内部调节。值得一提的是,不同类型的企业的合规重点不同,国有企业具有显著的一体化特征,在数据合规管理的流程设计上应贯彻自上而下的数据合规一体化建设、并符合党组织内部政策性文件
免费区 