本文由CIO发展中心根据金杜律师事务所网络安全与数据合规合伙人吴涵在《解读数字化时代的企业合规与数据保护暨走进金杜律师事务所》现场会上的演讲整理。
在《解读数字化时代的企业合规与数据保护暨走进金杜律师事务所》现场会上,金杜律师事务所网络安全与数据合规合伙人吴涵结合我国的《个人信息保护法(草案)》&《数据安全法(草案)》的相关条文,深度挖掘了当下企业中CIO应该关注的重点问题,对于企业的数据安全与合规,他提出应当保证所有入库数据的来源形式合法,在风险把控上要制定权利义务划分明确的合同,同时要完善数据内部管理体系,建立数据跨境内部管理流程机制,最终通过技术手段实现数据安全与合规的落地。
吴涵 金杜律师事务所网络安全与数据合规合伙人
大家好,很高兴今天有机会为大家带来本次分享,首先做一下自我介绍,我是金杜律师事务所网络安全与数据合规团队合伙人吴涵,目前我们有一个网络安全与数据合规和治理团队,专门就网络安全、数据合规、数据资产相关的项目提供法律服务。今天我分享的内容将围绕目前我国关于数据安全法律法规的现状展开,帮助各位进行解读。
我们的网络安全和数据治理团队,目前有3位合伙人、16名律师,专门负责网络安全业务,提供服务的类型非常多样,服务客户包括本土企业、跨国企业和出海企业。基于金杜的全球平台,目前我们在26个司法辖区有效解决了跨司法辖区企业的安全体系和兼容的问题。
在提供服务的过程中,我发现很多CIO会产生这样的疑问:CIO在数据驱动型企业中到底应该扮演什么样的角色?本土企业与全球公司究竟应该是什么样的关系?在我看来,目前大多数企业身处新型的数字社会,数据安全与合规建设应该是一个分步进行的过程:第一步要保证数据安全;第二步要保证数据的合规,合规的获取、存储、共享;第三步需要通过中台技术实现数据的融合;第四步是要定义数据资产,应当建立一个技术上相互监督、商业上各自分润、合规上相互审计的基于数据变现的分润机制,并通过现有的法律法规固定住现有的数据资产;第五步是到达数据资产的智能化阶段,这就意味着拿到任何一个数据,都已经打好了相应的标签,该数据能够根据不同的场景进行相应的分享,而且以上动作是一种自动化的流程。纵观以上五个步骤,没有CIO和IT部门是不可能实现的。
此外,我认为CIO的另一个非常重要的作用,在于为企业“解绑”,提供工具为企业赋能,以驱动公司发展,而这些工具和方法是其他部门的人想象不到的。例如律师画像,对于我来说,通过律师画像,我了解到客户中有35%是来自于金融业务,看似是一个普通的结果,但是让我充分理解到金融类、互联网类、交通类的业务是我的痛点,再次帮助我明确了业务的发展方向。因此对于CIO来说,应该去做的不仅仅止于安全,而应该在后面四个步骤。
关于跨国公司,其往往会涉及到全球购买,在中国现有的合规审查要求中,会有很多限制:全球总部购买了,本土企业是否能够使用?IT系统的策略与框架是否会受到数据跨境的影响?核心系统是否有必要本土化搭建?现在有很多公司提供SAAS服务,怎样通过IT来实现合规与安全?这些是广大跨国企业需要思考的问题。
我们会发现以上问题都是由法律法规驱动而产生的,因此我将为大家梳理相关法律法规。
在我国关于数据合规,主要有以下几个痛点,第一,是个人信息保护;第二,是重要数据,包括行业监管的重要数据;第三,是其他一些条文,包括国家秘密、商业秘密。因此,只要掌握产品的需求是基于什么,是个人信息保护、重要数据、还是国家秘密,就能明确这类信息的边界在哪里。
对于数据和网络安全而言,最上方的法律是《国家安全法》,包含三个分支:《网络安全法》、《个人信息保护法》、《数据安全法》。有了这三部法律,探讨安全合规的问题就都能按图索骥了。从国际形势来看,对于数据隐私的保护,立法呈现出愈发严格的趋势,其中GDPR立法主要是保护人权,而且它实际上是要促进欧盟单一数据评判标准,通过建立一个强权,进行价值观的输出,以此去确保外国公司进入欧盟开展业务时产生合规性门槛。可以预见的是,未来全球范围内关于个人信息保护的法律也将越来越多。
在与其他国家交涉的过程中,涉及到维权问题的时候,便要用四个字进行维权,就是“数据主权”,当然这是一个政治化的概念,各国对于数据跨境的限制也在不断增强,数据作为国家的资源,是不能够随意传输的,因此IT部门也要重视数据主权的概念,不论是基于经济上的数据主权还是企业本身的安全,都要充分重视个人信息的安全和数据保护。
在企业中,对于个人信息和重要数据的界定,往往会出现意见不统一的结果,法务部门认为涉及到了重要信息,但是业务部门并不一定认同,不同部门对于法律的解读也有所不同,但是能够预见的是,未来个人信息的范围将会越来越大。当下对于个人信息的界定,是已识别或者可识别的自然人的有关信息,未来可能与个人相关联起来的其他信息,都属于个人信息的范畴。
关于必要的域外适用效力,也会存在一些问题,例如在中国为了合规做了一些设置和产品,境外的公司会提出疑问,《网安法》是否对其也适用,因此企业一定要注意在不同的司法辖区法律的适用性问题:其中一种情况是企业在欧盟有实体,这样的话要满足GDPR的要求。还有一种情况是只在欧盟提供产品和服务,这样的企业也要符合GDPR的要求,这是欧洲在进行法律输出长臂管辖的一种方式。但是随着社会的发展,数据在自由流动,如果不设立边界,也无法对数据进行有效管辖。
《网安法》要求收集处理个人信息,要征得当事人同意,其实对于这个问题很多CIO并不关心,但是可能涉及到一个风险,如果其他人需要使用这些数据怎么办,例如政府部门需要这些数据,是必须要给到的。这时候CIO就要发挥自身的作用,对数据以及调取流程进行验证,如果相关部门依据法律对数据进行调取,在调取的过程中,保证数据的安全性,确定数据传输的方式也是CIO需要考虑的事情。
关于个人信息处理“知情-同意”机制,企业在进行合规的过程中,会涉及到“自证合规”的问题,这要求企业要证明取得的信息获得了个人的单独同意,并且是个人在自由意志下做出的同意。个人信息处理中个体权利的演化,其最大痛点就是怎么去删除信息,假设一个企业有6条数据线,并且做了一个数据池,而且具备用户画像,现在有一个用户在信用卡业务中,要求注销信用卡并删除个人信息,但是会发现该用户的信用卡信息与储蓄卡信息相关联,还有一些其他的关联信息,究竟该删除哪些、保留哪些、怎样去进行数据删除,需要IT部门做好相应的平衡。
自动化决策包括现在很多的短视频推荐的算法,如果有相关监管部门提出该算法有问题,因为短视频软件背后的动机是恶意的,这对于该平台来说是极为不利的,所以算法合规也是个人信息保护合规的一个重要组成部分。算法合规的第一点就是如何解释算法,未来将会有更多的公司公布自己的算法,原因在于企业要证明本身是处于技术散布,科技向上的状态。第二个就是算法歧视,怎样去避免所谓的算法歧视,这也是CIO以后应当重点关注的问题。
就目前来看,我国对于个人信息违法的惩治力度显著提升,进一步设置了高额处罚,情节严重的,对个人信息保护职责部门将处以5000万以下或者上一年度营业额5%以下的罚款,对直接负责的主管人员和其他直接责任人员处10万元以上100万元以下罚款。而且大多数公司的直接负责人并不是法务,往往会是CIO或者CEO,因此控制风险、保护数据安全不容忽视。
对数据保护如果只谈数据安全,这大大限制了各位IT人的能力,同时也大大限制了一个公司于数字化时代的潜力。而且随着我国执法力度的越来越严格,采用APP执法等手段,很多企业如履薄冰,因此IT负责人提前与法务进行沟通、协作,找到技术与监管的平衡点,将有效推动企业的合规与数据安全。
未来还有一个风险就是个人信息泄露以后,可以提出集体诉讼,《民法典》将个人信息写入到了民事权益中,划定了人格权,这就使得个人信息主体可能有法律依据提起民事诉讼。《个信法》是法工委和网信办主导起草的,而《数据安全法》是法工委和国家安全局主导的,未来对于重要数据的监管和识别检测内容,很有可能是国家安全局牵头来制定,对于重要数据的识别将会涉及到数据的科学性、重要性保护以及数据安全风险的预警评估等等。
最后我想说的是关于企业数据合规,说到底还是要保证所有入库数据的来源形式合法,同时要能够证明数据的来源是合法的;在风险把控上要制定权利义务划分明确的合同,建立企业与相对方的“责任防火墙”;同时要做好分级分类,完善数据内部管理体系;在数据的跨境评估环节,要建立数据跨境内部管理流程机制;最后就是要思考红线在哪里,怎样通过技术的手段实现落地,同时做好相应的自证材料,以保证企业业务的合法合规。
以上内容就是我的分享,谢谢大家。