<em id="5xgjh"></em>
    <nav id="5xgjh"><code id="5xgjh"></code></nav>
  1. <sub id="5xgjh"><address id="5xgjh"></address></sub>
    <form id="5xgjh"></form>
    <sub id="5xgjh"><address id="5xgjh"></address></sub>
      <sub id="5xgjh"></sub>
    1. <nav id="5xgjh"></nav>

        首頁 > 安全 > 正文
        分享到:

        數據要素市場建設中的企業數據合規分析

        時間:2023-05-25 21:48:05 來源: 評論:0 點擊:0
          0 引言

          5 月 25 日消息:近年來,我國加大了對于數據要素市場培育和建設的力度。2020年4月,《中共中央 國務院關于構建更加完善的要素市場化配置體制機制的意見》(簡稱《意見》)首次將數據正式納入生產要素范圍,并提出了加快培育數據要素市場的意見;2022年12月,《中共中央 國務院關于構建數據基礎制度更好發揮數據要素作用的意見》(簡稱“數據二十條”)指出,要在數據產權、數據要素流通和交易、數據要素收益分配和數據要素治理四個方面進行制度建設和創新,在合規、高效、安全的前提下加快構建數據基礎制度,充分激活數據價值,發揮數據要素的作用。

          合規是貫穿“數據二十條”的重要主題詞,全文共提及“合規”關鍵詞16 次,貫穿數據基礎制度建設的各個維度,包括合規流通使用、全流程合規治理、企業數據合規體系建設和監管、合規認證、合規公證、數據流通主體相關合規性審查、鼓勵企業創新內部數據合規管理體系等??梢姡诠膭顢祿亓魍ǖ耐瑫r,合規監管力度也在增加。企業只有提升自身的數據合規能力,才能適應逐漸完善的數據基礎制度,掌握參與數據要素市場建設的主動權。

          1 我國數據合規監管現狀

          我國數據合規監管目前仍呈現出多頭監管的現狀。在行政監管方面,以工業和信息化部(簡稱“工信部”)、國家互聯網信息辦公室(簡稱“國家網信辦”)開展的通報、檢查、評估、審查等為主,加上各行業監管部門(如中國人民銀行、中國銀行保險監督管理委員會、國家市場監督管理總局等)在各自的監管領域內針對數據合規行為進行規范和處罰。此外,公安部也連續開展專項行動打擊侵犯公民個人信息的行為。檢查機關則通過個人信息公益訴訟以及企業合規不起訴等方式,在司法層面參與數據合規監管。隨著立法的不斷完善,我國數據合規監管越來越深入和細致,覆蓋范圍也越來越廣泛,整體呈現趨嚴態勢。

          1.1 APP監管更加深入細致

          隨著智能手機的普及,移動互聯網應用程序(APP)逐漸成為了收集和使用個人信息的重要途徑。自2019年以來,APP監管一直是我國數據合規監管的重點,并呈現深入細致的趨勢。各部委公開的通報體現了以下特點。

          (1)監管主體增加。2019年,工信部通報了第一批侵害用戶權益的APP;從2020年開始,國家網信辦也不定期對違法違規收集使用個人信息的情況進行監測和通報。此外,工信部發布的通報也逐漸開始包括各地方通信管理局對當地APP情況的具體通報。

          (2)從統一通報到專項通報。在工信部發布的通報中,除了統一針對“侵害用戶權益行為”的APP進行通報外,還對“違規調用麥克風、通訊錄、相冊”“開屏彈窗信息騷擾用戶”“超范圍索取權限、過度收集用戶個人信息”等專項問題進行通報、整治。

          (3)監管重點逐漸深入細致。除了針對APP本身的侵權行為進行通報,監管范圍逐漸擴展到了小程序、應用平臺,并開始深入到APP內嵌第三方軟件開發工具包(Software Development Kit,SDK)的違法、違規使用行為。2022年,工信部在APP違法通報中首次將SDK違規收集用戶設備信息的行為納入監管視野;2022年年底,國家網信辦部署開展了“清朗·移動互聯網應用程序領域亂象整治”專項行動,加強APP全鏈條管理,全面規范移動應用程序在搜索、下載、使用等環節的運營行為,督促應用程序分發平臺落實好各項任務,整治各個環節存在的問題。

          1.2 數據出境監管體系初步形成

          針對數據出境,早在2017年生效的《中華人民共和國網絡安全法》(簡稱《網絡安全法》)中就提出了安全評估的原則性要求,但隨后出臺的《個人信息和重要數據出境安全評估辦法》《信息安全技術 數據出境安全評估指南》等僅停留在了征求意見稿階段。2021年,《中華人民共和國數據安全法》(簡稱《數據安全法》)和《中華人民共和國個人信息保護法》(簡稱《個人信息保護法》)正式實施,加上2022年生效的《數據出境安全評估辦法》以及一系列配套規范等,初步形成了我國數據出境監管體系。

          其中,重要數據出境的合規路徑為安全評估,可以參考《網絡安全法》《數據出境安全評估辦法》的相關規定;對于重要數據的判定,《江蘇省數據出境安全評估申報工作指引(第一版)》參考《網絡數據安全管理條例(征求意見稿)》提供了判斷重要數據的參考標準,要求數據處理者優先參考相關行業標準界定出境數據是否為重要數據,同時針對沒有相關行業標準的情況提供了判斷標準。個人信息的出境則有三大合規路徑[3],包括安全評估、標準合同和保護認證。《數據出境安全評估申報指南》《個人信息出境標準合同辦法》《個人信息跨境處理活動安全認證規范》《個人信息保護認證實施規則》的出臺,為以上三種合規路徑的落地實施提供了具體指引。

          目前,北京市互聯網信息辦公室和上海市互聯網信息辦公室陸續發布了關于數據出境安全評估申報和通過情況,北京已有兩家公司通過審批。相對于審查通過的案例,未通過審查的案例對于企業申報而言可能更具參考價值。企業多依托第三方專業服務機構輔助申報,相較于其他行政審批事項,我國的數據出境安全評估距離實現標準化和流程化還存在一定距離。

          1.3 企業合規不起訴制度在數據領域落地實施

          企業數據合規不起訴制度是我國企業合規改革在數據合規領域的體現。自2020年3月起,我國最高人民檢察院在全國6 家基層檢察院開展企業合規改革第一期試點工作,并于2021年4月發布了《關于開展企業合規改革試點工作的方案》,以及2021年6月發布了《關于建立涉案企業合規第三方監督評估機制的指導意見(試行)》。開展企業合規改革試點工作,是指檢察機關對于辦理的涉企刑事案件,在依法做出不批準逮捕、不起訴決定或者根據認罪認罰從寬制度提出輕緩量刑建議等。同時,針對企業涉嫌具體犯罪,結合辦案實際,督促涉案企業做出合規承諾并積極整改落實,促進企業合規守法經營,減少和預防企業犯罪,實現司法辦案政治效果、法律效果、社會效果的有機統一。2022年5月,上海市普陀區檢察院公布我國首起數據合規不起訴案件辦理情況。涉案公司針對其違法行為進行了積極賠償損失并取得諒解。經涉案公司申請,上海市普陀區檢察院向其制發合規檢察建議,并啟動范式合規審查,根據公司合規整改及評估情況最終做出不起訴決定。

          企業數據合規不起訴制度的落地執行,極大地提升了企業主動提高自身數據合規能力的積極性,強化了數據合規工作在減輕刑事責任風險方面的重要性。尤其在我國數據合規法律體系建設初期,企業合規不起訴制度對于減輕企業數據合規壓力、平衡合規與業務發展方面起到了積極的作用。

          2 我國企業數據合規面臨的挑戰

          近年來,隨著數據合規立法和監管的不斷完善,我國企業對于數據合規的重視程度也在逐漸增加。然而,由于立法更新迅速、實施細則缺失等原因,企業數據合規工作面臨著一系列挑戰。

          2.1 監管指引不足,合規要求難以落實

          《數據安全法》《個人信息保護法》和《網絡安全法》共同構成了數據合規領域的基本制度框架。但對于《數據安全法》《個人信息保護法》中的規定如何具體落實,目前仍缺少足夠的配套規范和監管指引。例如,《個人信息保護法》提到的單獨同意如何以不影響用戶體驗的方式實現;如何指導隱私政策的制定使其符合要求且簡潔易懂;如果絕對的匿名化無法實現,那么對于個人信息開發利用的邊界在哪里等。目前,監管并未通過具體的行政處罰行為來明確實踐中的紅線,因此該等問題提升了企業數據合規實踐的難度。

          2.2 企業整改被動盲目,合規成本難以負擔

          整體而言,頭部企業對于數據合規能力的提升尤為重視。無論是為了減少合規風險、維護企業口碑,還是出于打造行業標桿、承擔社會責任的目的,頭部企業都有更強的動力和能力去提升自身的數據合規能力。相較于頭部企業,其他企業的數據合規工作則往往存在被動、盲目和高成本的情況。

          (1)被動合規。對很多企業來說,配合密集的監管行動進行整改已經應接不暇,更無從顧及常態化的數據合規能力提升。因此,不少企業都處在被動整改的狀態,主要針對目前已暴露的數據合規問題進行“亡羊補牢”式補救。然而,這種事后補救的方式,不僅會因為整改而影響業務開展(如APP下架),也會因為公開的通報降低用戶對企業及其產品的信任,對企業名譽造成難以彌補的損失。

          (2)盲目合規。很多企業并不了解數據合規的重要性,也不清楚企業的數據合規現狀、能力以及行業估值水位。在數據合規問題出現時,由于企業對于潛在風險沒有合理的預判,因此不能馬上識別風險源頭,也無法啟動相應的處理機制。一方面,會導致合規工作盲目無條理,合規整改針對性差,效率低、成本高;另一方面,也會因為處理不及時而擴大合規風險的危害和損失。

          (3)合規成本高。除了合規工作低效導致成本增加外,企業因不具備自身動態調整優化并匹配新要求的能力,面對每一次新規出臺或新一輪監管活動啟動,都需要委托外部的專業機構進行評估,導致反復耗費人力、物力、財力,從而造成合規成本增加。

          2.3 企業內部權責難定,合規工作難以推進

          企業內部責任分配問題一直是企業管理的難點,在數據合規方面更是如此,原因主要包含以下幾個方面。

          一是面對數據合規領域新的監管要求,企業內部各部門都較為排斥為本部門增添責任和風險,存在互相推諉的情況。

          二是數據合規工作的推進往往需要業務部門、信息安全部門、法律合規部門、人力資源部門等多部門配合,而實踐中合規整改工作往往主要依靠法律合規部門牽頭并承擔主要責任。這就容易導致其他部門配合動力不足,為合規工作的推進增加了難度。

          三是員工數據合規意識不足,對合規整改工作重視程度不高,也會導致合規工作的具體執行效果差。

          四是合規天然會對業務發展帶來一定的限制,無法平衡雙方之間的關系也是合規工作推進的阻礙。

          3 新形勢下企業數據合規思路

          數據要素市場建設的基礎和底線是合規。盡管企業數據合規本身就存在一些強制性的法律要求,但面臨不完善的實施細則、業務發展和成本限制等現實原因,企業的數據合規實踐情況參差不齊。“數據二十條”的出臺為企業提升數據合規能力釋放了更強烈的信號。企業若想提升自身的商業競爭能力,充分參與數據要素市場建設,借數據要素市場建設之東風促進自身發展,可以參考以下思路盡快提升自身的數據合規能力。

          3.1 抓緊落實數據分類分級

          2020年4月,《意見》提出推動完善適用于大數據環境下的數據分類分級安全保護制度,加強對政務數據、企業商業秘密和個人數據的保護。2021年,《數據安全法》正式提出從國家制度層面建立數據分類分級保護制度,根據不同的重要程度匹配相應的保護和管理措施。在實踐中,數據分類分級基本上也已成為梳理企業數據合規基本情況的初始步驟,對于企業盤點數據使用情況、識別數據合規風險等具有重要意義。

          “數據二十條”的發布則更加強調了數據分類分級的重要性。“數據二十條”在數據確權授權、完善數據全流程合規與監管規則體系、建立跨境數據管理機制等場景下均提及數據分類分級。在數據確權授權方面,“數據二十條”將數據分類分級作為數據確權授權使用的前提,提出在國家數據分類分級保護制度下,推進數據分類分級確權授權使用和市場化流通交易;建立公共數據、企業數據、個人數據的分類分級確權授權制度。在完善數據全流程合規與監管規則體系方面,“數據二十條”要求結合數據流通范圍、影響程度、潛在風險,區分使用場景和用途用量,建立數據分類分級授權使用規范。在建立跨境數據管理機制場景下,“數據二十條”要求統籌數據開發利用和數據安全保護,探索建立跨境數據分類分級管理機制。

          由此可見,數據的分類分級不僅對數據安全保護策略的制定和實施具有重大意義,在企業數據合規的其他方面也具有基礎性作用,企業亟需探索和實施符合本企業經營特點和需求的數據分類分級制度。未來,相關監管思路可能會傾向于針對不同類別和級別的數據匹配不同的授權使用機制。盡管目前尚未出臺相關政策將數據分類分級與具體的授權制度相匹配,但新政策大概率會考慮到與現有數據分類分級規則的銜接。目前,部分行業或領域(如證券期貨業、工業、網絡、金融、公共數據等)已經出臺了數據分類分級的相關指引。企業可以先依據現有指引做好自身的數據分類分級,對所掌握的數據類型、體量、使用目的等有清楚的認知,以便能夠在未來相關規則和制度明確之時快速調整和匹配合規要求,縮短合規整改窗口期。

          3.2 加強數據來源合法合規審查

          數據來源的合法性一直是數據合規的重點,也是數據流通和交易合法合規的前提和基礎。若數據來源的合法性無法保證,則后續的數據處理和使用就如同食用“毒樹之果”,將帶來重大的合規隱患。“數據二十條”提出的建立合規高效、場內外結合的數據要素流通和交易制度,進一步凸顯了數據源合規的重要性。

          “數據二十條”指出,要規范引導場外交易,培育壯大場內交易,統籌構建規范高效的數據交易場所。建立數據來源可確認、使用范圍可界定、流通過程可追溯、安全風險可防范的數據可信流通體系等,以及建立數據流通準入標準規則,強化市場主體數據全流程合規治理,確保數據來源合法、隱私保護到位、數據流通和交易規范。目前,我國通過數據交易機構進行的數據交易占比較低,按照“數據二十條”的指引,未來場內外數據交易的占比可能會有所改變,場內數據交易必然會向更加規范的方向發展,也會對企業提出更高的要求。我國幾大主要數據交易所都已制定和發布數據交易規則文件,對合規性、安全性等進行評估,對數據交易全流程進行監管。企業只有做到嚴格判斷數據來源合法性,才能夠在數據交易市場中占得先機。

          但在實踐中,企業往往會發現,數據來源合法性的判斷十分復雜,并非單憑對方一紙承諾就可以高枕無憂。那么企業應當如何提升數據來源合法性的判斷能力呢?參考《可信數據服務 金融機構外部可信數據源評估要求》,企業可以從數據本身和數據提供方兩個方面重點判斷。首先,針對數據本身,企業應當判斷數據獲取來源是否真實、合規、可追溯,數據獲取方式是否為合法渠道,尤其關注爬取數據的合法性;同時,數據通過授權獲取的,應當判斷授權是否完整,尤其針對個人信息的授權應當根據相應的法律要求判斷授權是否充分知情、自愿,是否取得單獨或書面同意等。其次,通過數據提供方的一些基本情況,也可以輔助判斷數據來源是否存在潛在風險,如數據提供方業務資質、經營資質、經營實力、經營狀況、企業信譽、過往項目經歷等;此外,對數據提供方的數據供應能力的審查也至關重要,如相關業務流程、內部管理制度、技術能力、硬件設備、配套服務、合規安全保障能力等。若企業對數據本身的判斷較為模棱兩可,那么結合數據提供方自身情況進行綜合判斷,可以幫助企業更加準確地判斷數據來源的合法、合規性,最大程度避免合規風險。

          3.3 培養企業數據合規能力常態化提升意識

          除了以上兩個具體的合規要點之外,企業還應當注意將數據合規工作融入企業內部治理的常態化工作中去。隨著數字經濟的發展,數據相關產業從無到有、從萌芽到興盛,必然會經歷從野蠻發展到趨于合規的過程。隨著數據合規相關立法的不斷完善,我國數據合規監管經過幾年時間的摸索與沉淀,也會逐漸趨于常態化。“數據二十條”的出臺,預示著我國未來一段時間內將大力促進數據要素市場的發展,監管對于企業的要求也將突破一輪輪的監管行動,升級為更加細致、深入、全面考察企業數據合規的情況。應對這種新形勢,企業應當著手建立和完善數據合規能力體系,通過制度化、系統化、流程化的手段對數據合規能力建設進行整體的規劃和管理,做到既能夠對合規風險進行準確及時的識別和處理,還能夠對新的立法和監管要求進行自適應,從而讓高水平的數據合規能力助力企業在數據要素市場建設中更好發展。

          具體而言,企業數據合規能力至少可以進一步分為數據合規基礎能力、數據合規通用能力和數據全生命周期合規能力。其中,數據合規基礎能力可以從數據合規的機構設置和人員安排、企業層面整體的工作規劃和方案、數據合規技術工具的使用等方面進行完善和提升,從企業管理的角度為數據合規工作的開展奠定基礎;數據合規通用能力建設則包括數據合規風險識別、數據分類分級、個人信息主體權利保障、網絡安全和數據安全、合作方管理以及員工個人信息保護等方面,要基本涵蓋法律法規對于企業數據合規的通用要求;數據全生命周期合規能力則要結合企業相關業務開展的情況,從數據的收集、存儲、使用、加工、傳輸、提供等各個環節匹配相關合規要求,并對每個環節進行監督和管理,同時與數據合規基礎能力和通用能力相結合,共同構成企業數據合規能力體系。

          4 結束語

          企業的數據合規工作不是一成不變的,而是需要根據立法、政策和業務發展等變化而不斷動態調整的。“數據二十條”的發布,不僅為數據相關企業的業務發展注入了一劑強心針,也為企業數據合規工作提供了新的方向和指引。企業在響應政策、積極探索和參與數據流通創新的同時,也應當時刻將數據合規理念嵌入相關業務的各個環節,隨時關注“數據二十條”發布之后相關法律法規、政策文件的出臺和監管動態,及時調整數據合規工作的重點,全面提升數據合規的意識和能力,為企業發展保駕護航。

        美女精品一区二区