注册有礼
< 返回资讯中心

数据要素市场建设中的企业数据合规分析(下)

发布人:中嘉和信 发布时间:2023.05.29 来源:通信世界全媒体

3  新形势下企业数据合规思路

数据要素市场建设的基础和底线是合规。尽管企业数据合规本身就存在一些强制性的法律要求,但面临不完善的实施细则、业务发展和成本限制等现实原因,企业的数据合规实践情况参差不齐。“数据二十条”的出台为企业提升数据合规能力释放了更强烈的信号。企业若想提升自身的商业竞争能力,充分参与数据要素市场建设,借数据要素市场建设之东风促进自身发展,可以参考以下思路尽快提升自身的数据合规能力。

3.1  抓紧落实数据分类分级

20204月,《意见》提出推动完善适用于大数据环境下的数据分类分级安全保护制度,加强对政务数据、企业商业秘密和个人数据的保护。2021年,《数据安全法》正式提出从国家制度层面建立数据分类分级保护制度,根据不同的重要程度匹配相应的保护和管理措施。在实践中,数据分类分级基本上也已成为梳理企业数据合规基本情况的初始步骤,对于企业盘点数据使用情况、识别数据合规风险等具有重要意义。

“数据二十条”的发布则更加强调了数据分类分级的重要性。“数据二十条”在数据确权授权、完善数据全流程合规与监管规则体系、建立跨境数据管理机制等场景下均提及数据分类分级。在数据确权授权方面,“数据二十条”将数据分类分级作为数据确权授权使用的前提,提出在国家数据分类分级保护制度下,推进数据分类分级确权授权使用和市场化流通交易;建立公共数据、企业数据、个人数据的分类分级确权授权制度。在完善数据全流程合规与监管规则体系方面,“数据二十条”要求结合数据流通范围、影响程度、潜在风险,区分使用场景和用途用量,建立数据分类分级授权使用规范。在建立跨境数据管理机制场景下,“数据二十条”要求统筹数据开发利用和数据安全保护,探索建立跨境数据分类分级管理机制。

由此可见,数据的分类分级不仅对数据安全保护策略的制定和实施具有重大意义,在企业数据合规的其他方面也具有基础性作用,企业亟需探索和实施符合本企业经营特点和需求的数据分类分级制度。未来,相关监管思路可能会倾向于针对不同类别和级别的数据匹配不同的授权使用机制。尽管目前尚未出台相关政策将数据分类分级与具体的授权制度相匹配,但新政策大概率会考虑到与现有数据分类分级规则的衔接。目前,部分行业或领域(如证券期货业、工业、网络、金融、公共数据等)已经出台了数据分类分级的相关指引。企业可以先依据现有指引做好自身的数据分类分级,对所掌握的数据类型、体量、使用目的等有清楚的认知,以便能够在未来相关规则和制度明确之时快速调整和匹配合规要求,缩短合规整改窗口期。

3.2  加强数据来源合法合规审查

数据来源的合法性一直是数据合规的重点,也是数据流通和交易合法合规的前提和基础。若数据来源的合法性无法保证,则后续的数据处理和使用就如同食用“毒树之果”,将带来重大的合规隐患。“数据二十条”提出的建立合规高效、场内外结合的数据要素流通和交易制度,进一步凸显了数据源合规的重要性。

“数据二十条”指出,要规范引导场外交易,培育壮大场内交易,统筹构建规范高效的数据交易场所。建立数据来源可确认、使用范围可界定、流通过程可追溯、安全风险可防范的数据可信流通体系等,以及建立数据流通准入标准规则,强化市场主体数据全流程合规治理,确保数据来源合法、隐私保护到位、数据流通和交易规范。目前,我国通过数据交易机构进行的数据交易占比较低,按照“数据二十条”的指引,未来场内外数据交易的占比可能会有所改变,场内数据交易必然会向更加规范的方向发展,也会对企业提出更高的要求。我国几大主要数据交易所都已制定和发布数据交易规则文件,对合规性、安全性等进行评估,对数据交易全流程进行监管。企业只有做到严格判断数据来源合法性,才能够在数据交易市场中占得先机。

但在实践中,企业往往会发现,数据来源合法性的判断十分复杂,并非单凭对方一纸承诺就可以高枕无忧。那么企业应当如何提升数据来源合法性的判断能力呢?参考《可信数据服务 金融机构外部可信数据源评估要求》,企业可以从数据本身和数据提供方两个方面重点判断。首先,针对数据本身,企业应当判断数据获取来源是否真实、合规、可追溯,数据获取方式是否为合法渠道,尤其关注爬取数据的合法性;同时,数据通过授权获取的,应当判断授权是否完整,尤其针对个人信息的授权应当根据相应的法律要求判断授权是否充分知情、自愿,是否取得单独或书面同意等。其次,通过数据提供方的一些基本情况,也可以辅助判断数据来源是否存在潜在风险,如数据提供方业务资质、经营资质、经营实力、经营状况、企业信誉、过往项目经历等;此外,对数据提供方的数据供应能力的审查也至关重要,如相关业务流程、内部管理制度、技术能力、硬件设备、配套服务、合规安全保障能力等。若企业对数据本身的判断较为模棱两可,那么结合数据提供方自身情况进行综合判断,可以帮助企业更加准确地判断数据来源的合法、合规性,最大程度避免合规风险。

3.3  培养企业数据合规能力常态化提升意识

除了以上两个具体的合规要点之外,企业还应当注意将数据合规工作融入企业内部治理的常态化工作中去。随着数字经济的发展,数据相关产业从无到有、从萌芽到兴盛,必然会经历从野蛮发展到趋于合规的过程。随着数据合规相关立法的不断完善,我国数据合规监管经过几年时间的摸索与沉淀,也会逐渐趋于常态化。“数据二十条”的出台,预示着我国未来一段时间内将大力促进数据要素市场的发展,监管对于企业的要求也将突破一轮轮的监管行动,升级为更加细致、深入、全面考察企业数据合规的情况。应对这种新形势,企业应当着手建立和完善数据合规能力体系,通过制度化、系统化、流程化的手段对数据合规能力建设进行整体的规划和管理,做到既能够对合规风险进行准确及时的识别和处理,还能够对新的立法和监管要求进行自适应,从而让高水平的数据合规能力助力企业在数据要素市场建设中更好发展。

具体而言,企业数据合规能力至少可以进一步分为数据合规基础能力、数据合规通用能力和数据全生命周期合规能力。其中,数据合规基础能力可以从数据合规的机构设置和人员安排、企业层面整体的工作规划和方案、数据合规技术工具的使用等方面进行完善和提升,从企业管理的角度为数据合规工作的开展奠定基础;数据合规通用能力建设则包括数据合规风险识别、数据分类分级、个人信息主体权利保障、网络安全和数据安全、合作方管理以及员工个人信息保护等方面,要基本涵盖法律法规对于企业数据合规的通用要求;数据全生命周期合规能力则要结合企业相关业务开展的情况,从数据的收集、存储、使用、加工、传输、提供等各个环节匹配相关合规要求,并对每个环节进行监督和管理,同时与数据合规基础能力和通用能力相结合,共同构成企业数据合规能力体系。

4  结束语

企业的数据合规工作不是一成不变的,而是需要根据立法、政策和业务发展等变化而不断动态调整的。“数据二十条”的发布,不仅为数据相关企业的业务发展注入了一剂强心针,也为企业数据合规工作提供了新的方向和指引。企业在响应政策、积极探索和参与数据流通创新的同时,也应当时刻将数据合规理念嵌入相关业务的各个环节,随时关注“数据二十条”发布之后相关法律法规、政策文件的出台和监管动态,及时调整数据合规工作的重点,全面提升数据合规的意识和能力,为企业发展保驾护航。

中嘉和信作为深耕IDC行业十余年的数据中心服务商,致力于成为行业领先的数字化业务连续性保障服务提供商。业务覆盖金融机构、银行保险、人工智能、电商零售、交通运输、生产制造、能源化工、地产建安、生活服务等多个行业。中嘉和信为客户提供数据中心规划建设、数据中心托管运营、公有云、私有云、混合云DCI全球组网、云网融、信创集成服务、安全集成服务等定制化解决方案,依托经验丰富的专业技术服务团队和先进的运维服务管理体系,持续为各行业客户提供一站式数字化业务连续性保障服务,陪伴客户共同成长,助力客户实现梦想。如有业务需求请拨打010-51265666进行咨询,欢迎预约参观机房!

文章来源:互联网,如有侵权联系删除!

相关文章推荐《数据要素市场建设中的企业数据合规分析(上)


热门新闻

版权所有©2023年北京中嘉和信通信技术有限公司京ICP备09037838号-6京公网安备11010602104635号