注册有礼
< 返回资讯中心

数据要素市场建设中的企业数据合规分析(上)

发布人:中嘉和信 发布时间:2023.05.29 来源:通信世界全媒体

近年来,我国加大了对于数据要素市场培育和建设的力度。20204月,《中共中央 国务院关于构建更加完善的要素市场化配置体制机制的意见》(简称《意见》)首次将数据正式纳入生产要素范围,并提出了加快培育数据要素市场的意见;202212月,《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》(简称“数据二十条”)指出,要在数据产权、数据要素流通和交易、数据要素收益分配和数据要素治理四个方面进行制度建设和创新,在合规、高效、安全的前提下加快构建数据基础制度,充分激活数据价值,发挥数据要素的作用。

合规是贯穿“数据二十条”的重要主题词,全文共提及“合规”关键词16 次,贯穿数据基础制度建设的各个维度,包括合规流通使用、全流程合规治理、企业数据合规体系建设和监管、合规认证、合规公证、数据流通主体相关合规性审查、鼓励企业创新内部数据合规管理体系等。可见,在鼓励数据要素流通的同时,合规监管力度也在增加。企业只有提升自身的数据合规能力,才能适应逐渐完善的数据基础制度,掌握参与数据要素市场建设的主动权。

1  我国数据合规监管现状

我国数据合规监管目前仍呈现出多头监管的现状。在行政监管方面,以工业和信息化部(简称“工信部”)、国家互联网信息办公室(简称“国家网信办”)开展的通报、检查、评估、审查等为主,加上各行业监管部门(如中国人民银行、中国银行保险监督管理委员会、国家市场监督管理总局等)在各自的监管领域内针对数据合规行为进行规范和处罚。此外,公安部也连续开展专项行动打击侵犯公民个人信息的行为。检查机关则通过个人信息公益诉讼以及企业合规不起诉等方式,在司法层面参与数据合规监管。随着立法的不断完善,我国数据合规监管越来越深入和细致,覆盖范围也越来越广泛,整体呈现趋严态势。

1.1  APP监管更加深入细致

随着智能手机的普及,移动互联网应用程序(APP)逐渐成为了收集和使用个人信息的重要途径。自2019年以来,APP监管一直是我国数据合规监管的重点,并呈现深入细致的趋势。各部委公开的通报体现了以下特点。

1)监管主体增加。2019年,工信部通报了第一批侵害用户权益的APP;从2020年开始,国家网信办也不定期对违法违规收集使用个人信息的情况进行监测和通报。此外,工信部发布的通报也逐渐开始包括各地方通信管理局对当地APP情况的具体通报。

2)从统一通报到专项通报。在工信部发布的通报中,除了统一针对“侵害用户权益行为”的APP进行通报外,还对“违规调用麦克风、通讯录、相册”“开屏弹窗信息骚扰用户”“超范围索取权限、过度收集用户个人信息”等专项问题进行通报、整治。

3)监管重点逐渐深入细致。除了针对APP本身的侵权行为进行通报,监管范围逐渐扩展到了小程序、应用平台,并开始深入到APP内嵌第三方软件开发工具包(Software Development KitSDK)的违法、违规使用行为。2022年,工信部在APP违法通报中首次将SDK违规收集用户设备信息的行为纳入监管视野;2022年年底,国家网信办部署开展了“清朗·移动互联网应用程序领域乱象整治”专项行动,加强APP全链条管理,全面规范移动应用程序在搜索、下载、使用等环节的运营行为,督促应用程序分发平台落实好各项任务,整治各个环节存在的问题。

1.2  数据出境监管体系初步形成

针对数据出境,早在2017年生效的《中华人民共和国网络安全法》(简称《网络安全法》)中就提出了安全评估的原则性要求,但随后出台的《个人信息和重要数据出境安全评估办法》《信息安全技术 数据出境安全评估指南》等仅停留在了征求意见稿阶段。2021年,《中华人民共和国数据安全法》(简称《数据安全法》)和《中华人民共和国个人信息保护法》(简称《个人信息保护法》)正式实施,加上2022年生效的《数据出境安全评估办法》以及一系列配套规范等,初步形成了我国数据出境监管体系。

其中,重要数据出境的合规路径为安全评估,可以参考《网络安全法》《数据出境安全评估办法》的相关规定;对于重要数据的判定,《江苏省数据出境安全评估申报工作指引(第一版)》参考《网络数据安全管理条例(征求意见稿)》提供了判断重要数据的参考标准,要求数据处理者优先参考相关行业标准界定出境数据是否为重要数据,同时针对没有相关行业标准的情况提供了判断标准。个人信息的出境则有三大合规路径[3],包括安全评估、标准合同和保护认证。《数据出境安全评估申报指南》《个人信息出境标准合同办法》《个人信息跨境处理活动安全认证规范》《个人信息保护认证实施规则》的出台,为以上三种合规路径的落地实施提供了具体指引。

目前,北京市互联网信息办公室和上海市互联网信息办公室陆续发布了关于数据出境安全评估申报和通过情况,北京已有两家公司通过审批。相对于审查通过的案例,未通过审查的案例对于企业申报而言可能更具参考价值。企业多依托第三方专业服务机构辅助申报,相较于其他行政审批事项,我国的数据出境安全评估距离实现标准化和流程化还存在一定距离。

1.3  企业合规不起诉制度在数据领域落地实施

企业数据合规不起诉制度是我国企业合规改革在数据合规领域的体现。自20203月起,我国最高人民检察院在全国6 家基层检察院开展企业合规改革第一期试点工作,并于20214月发布了《关于开展企业合规改革试点工作的方案》,以及20216月发布了《关于建立涉案企业合规第三方监督评估机制的指导意见(试行)》。开展企业合规改革试点工作,是指检察机关对于办理的涉企刑事案件,在依法做出不批准逮捕、不起诉决定或者根据认罪认罚从宽制度提出轻缓量刑建议等。同时,针对企业涉嫌具体犯罪,结合办案实际,督促涉案企业做出合规承诺并积极整改落实,促进企业合规守法经营,减少和预防企业犯罪,实现司法办案政治效果、法律效果、社会效果的有机统一。20225月,上海市普陀区检察院公布我国首起数据合规不起诉案件办理情况。涉案公司针对其违法行为进行了积极赔偿损失并取得谅解。经涉案公司申请,上海市普陀区检察院向其制发合规检察建议,并启动范式合规审查,根据公司合规整改及评估情况最终做出不起诉决定。

企业数据合规不起诉制度的落地执行,极大地提升了企业主动提高自身数据合规能力的积极性,强化了数据合规工作在减轻刑事责任风险方面的重要性。尤其在我国数据合规法律体系建设初期,企业合规不起诉制度对于减轻企业数据合规压力、平衡合规与业务发展方面起到了积极的作用。

2  我国企业数据合规面临的挑战

近年来,随着数据合规立法和监管的不断完善,我国企业对于数据合规的重视程度也在逐渐增加。然而,由于立法更新迅速、实施细则缺失等原因,企业数据合规工作面临着一系列挑战。

2.1  监管指引不足,合规要求难以落实

《数据安全法》《个人信息保护法》和《网络安全法》共同构成了数据合规领域的基本制度框架。但对于《数据安全法》《个人信息保护法》中的规定如何具体落实,目前仍缺少足够的配套规范和监管指引。例如,《个人信息保护法》提到的单独同意如何以不影响用户体验的方式实现;如何指导隐私政策的制定使其符合要求且简洁易懂;如果绝对的匿名化无法实现,那么对于个人信息开发利用的边界在哪里等。目前,监管并未通过具体的行政处罚行为来明确实践中的红线,因此该等问题提升了企业数据合规实践的难度。

2.2  企业整改被动盲目,合规成本难以负担

整体而言,头部企业对于数据合规能力的提升尤为重视。无论是为了减少合规风险、维护企业口碑,还是出于打造行业标杆、承担社会责任的目的,头部企业都有更强的动力和能力去提升自身的数据合规能力。相较于头部企业,其他企业的数据合规工作则往往存在被动、盲目和高成本的情况。

1)被动合规。对很多企业来说,配合密集的监管行动进行整改已经应接不暇,更无从顾及常态化的数据合规能力提升。因此,不少企业都处在被动整改的状态,主要针对目前已暴露的数据合规问题进行“亡羊补牢”式补救。然而,这种事后补救的方式,不仅会因为整改而影响业务开展(如APP下架),也会因为公开的通报降低用户对企业及其产品的信任,对企业名誉造成难以弥补的损失。

2)盲目合规。很多企业并不了解数据合规的重要性,也不清楚企业的数据合规现状、能力以及行业估值水位。在数据合规问题出现时,由于企业对于潜在风险没有合理的预判,因此不能马上识别风险源头,也无法启动相应的处理机制。一方面,会导致合规工作盲目无条理,合规整改针对性差,效率低、成本高;另一方面,也会因为处理不及时而扩大合规风险的危害和损失。

3)合规成本高。除了合规工作低效导致成本增加外,企业因不具备自身动态调整优化并匹配新要求的能力,面对每一次新规出台或新一轮监管活动启动,都需要委托外部的专业机构进行评估,导致反复耗费人力、物力、财力,从而造成合规成本增加。

2.3  企业内部权责难定,合规工作难以推进

企业内部责任分配问题一直是企业管理的难点,在数据合规方面更是如此,原因主要包含以下几个方面。

一是面对数据合规领域新的监管要求,企业内部各部门都较为排斥为本部门增添责任和风险,存在互相推诿的情况。

二是数据合规工作的推进往往需要业务部门、信息安全部门、法律合规部门、人力资源部门等多部门配合,而实践中合规整改工作往往主要依靠法律合规部门牵头并承担主要责任。这就容易导致其他部门配合动力不足,为合规工作的推进增加了难度。

三是员工数据合规意识不足,对合规整改工作重视程度不高,也会导致合规工作的具体执行效果差。

四是合规天然会对业务发展带来一定的限制,无法平衡双方之间的关系也是合规工作推进的阻碍。

中嘉和信作为深耕IDC行业十余年的数据中心服务商,致力于成为行业领先的数字化业务连续性保障服务提供商。业务覆盖金融机构、银行保险、人工智能、电商零售、交通运输、生产制造、能源化工、地产建安、生活服务等多个行业。中嘉和信为客户提供数据中心规划建设、数据中心托管运营、公有云、私有云、混合云DCI全球组网、云网融、信创集成服务、安全集成服务等定制化解决方案,依托经验丰富的专业技术服务团队和先进的运维服务管理体系,持续为各行业客户提供一站式数字化业务连续性保障服务,陪伴客户共同成长,助力客户实现梦想。如有业务需求请拨打010-51265666进行咨询,欢迎预约参观机房!

文章来源:互联网,如有侵权联系删除!

相关文章推荐《我国已累计建成5G行业虚拟专网16000余个

热门新闻

版权所有©2023年北京中嘉和信通信技术有限公司京ICP备09037838号-6京公网安备11010602104635号