专业研究

企业数据合规体检要点之九:合作方管理

发布时间:

2024-09-05

作者:

陈嘉伟 张功俐

来源:

至融至泽

企业数据合规体检专题系面向企业内部人员提供开展数据合规核查及整改工作的指引,本专题总结了企业开展数据合规体检工作的十大要点,希望帮助企业内部人员了解数据合规工作所包含的具体内容,通俗而言,即数据合规工作到底需要做什么以及需要做到什么程度。

 

本篇系本专题第九篇,聚焦合作方管理问题。数据合规领域,合作方管理是一个重点环节,企业在与外部第三方开展涉数据处理相关合作时,首先要考虑与合作方之间的数据处理关系,不同的数据处理关系下,对企业的合规要求也不一致。本文将在梳理合规要求的基础上,协助企业构建数据处理合作方的全流程管理机制。

 

一、数据合作方管理要求概览

结合法律法规规定以及行业实践情况,不同数据处理关系下,对应有不同的合作方管理要求:

 

数据合作类型

特征

重点管理要求

间接获取

数据处理者从数据提供方处获取数据

1、要求提供方说明数据来源,签署数据来源合法合规性承诺函等文件;

2、对数据提供方的资质进行必要核查,如过往是否存在数据违法违规处罚事件等;

3、对数据来源的合法性进行必要核查,如要求数据提供方提供个人信息授权书等文件以核实获取的个人信息是否取得个人信息主体的有效授权。

委托处理

数据处理者委托第三方按照约定的目的和方式开展数据处理活动

1、委托人以协议等方式与受托人约定委托处理的目的、期限、处理方式、处理的数据种类、保护措施以及双方的权利和义务等;

2、委托人对受托人的数据处理活动进行监督;

3、受托人应当按照约定处理数据,不得超出约定的处理目的、处理方式等;

4、委托合同不生效、无效、被撤销或者终止的,受托人应当返还数据或者予以删除,不得保留;

5、未经委托人同意,受托人不得转委托他人进行数据处理。

数据共享

数据处理者向接收方提供数据,双方均对数据拥有独立的控制权

1、通过协议约定等方式约定数据接收方的责任和义务;

2、发现数据接收方违反法律法规要求或约定处理数据的,采取必要的补救措施,如及时中断数据传输等。

共同处理

两个以上的处理者共同决定数据的处理目的和处理方式

1、以协议等方式约定各自的权利和义务;

2、共同处理个人信息,侵害个人信息权益造成损害的,应当依法承担连带责任。

 

除上述规定外,不同领域的法规可能对数据合作方管理有进一步的要求。例如金融领域,国家金融监督管理总局在2023年6月发布了《关于加强第三方合作中网络和数据安全管理的通知》,要求银行保险机构切实履行网络和数据安全保护义务,加强对外包服务商的监督管理和实地检查,采取针对性安全保护措施。2024年3月,国家金融监督管理总局发布了《银行保险机构数据安全管理办法》(征求意见稿),要求银行保险机构制定外部数据采购、合作引入的集中审批管理制度,与第三方数据合作时,要实现自身与外部的安全风险隔离,与外部机构的数据交互应当通过集中管理的外联平台或者应用程序接口实施。再如工信领域,2022年12月,工业和信息化部发布《工业和信息化领域数据安全管理办法(试行)》,对工业和信息化领域数据处理者涉及间接获取数据、对外提供数据、委托处理数据等活动时,对合作方的安全管理要求进行了相关规定,包括委托他人开展数据处理活动的,应当通过签订合同协议等方式,明确委托方与受托方的数据安全责任和义务等。

 

二、数据合作方管理机制的建立

在企业数据处理全生命周期中,均可能涉及与第三方的合作,如通过第三方收集数据、购买第三方云服务进行数据存储、委托第三方进行数据加工处理等。因此,为加强数据全生命周期的安全管理,企业应当建立起涉数据处理的合作方管理机制,这不仅涉及到合作伙伴的选择和管理,也包括对数据收集、存储、对外提供、加工使用等过程中的控制和监督。此外,企业需留意,合作方并不仅仅包括外部第三方,企业与集团内部关联方开展涉及数据处理的合作时,也需要遵守相应的合作方管理要求。

企业可以考虑从“事前、事中、事后”的全流程视角建立数据合作方的管控机制:

(一)事前准入

事前准入是建立数据合作方管理机制的第一步,通过建立事前准入机制为企业选择数据合作方提供指引,也有利于后续对合作方进行管理。

1、确定合作方的准入标准

企业事先确定数据处理合作方的准入标准,准入标准的考虑维度包括合作方经营情况、业务规模、数据处理项目经验、数据安全管理能力、数据合规处罚情况等。

2、建立合作方准入评估机制

在确定数据合作方准入标准的基础上,建立企业内部的评估机制。可由企业的采购部门、法务合规部门、安全管理部门、技术部门等进行联合评估,要求合作方填写数据合规问卷(对合作方资质、数据处理安排等进行说明)、提供必要的证明文件(如数据安全能力资质证书、安全认证报告等)以供企业进行资格评估。

 

(二)事中监督管理

在与合作方达成合作意向并开展数据处理活动时,建立有效的事中监督管理机制至关重要。

1、合作协议约束

与合作方签订专门的数据处理协议或者在合作协议中纳入数据处理条款,明确双方合作过程中的数据处理安排、保密约定、安全保护责任以及监督管理的配合义务等。如涉及间接获取数据的,还可要求合作方签署承诺函,对数据来源的合法合规性等进行承诺。

2、采取针对性的安全保护措施

根据数据处理安排的不同,针对性地采取安全保护措施。例如涉及对外传输数据的,可进一步设置数据流审批安排,确保在通过内部审批后,向合作方传输数据。在传输数据时,采取加密措施等进行保护,避免通过即时通讯软件等不安全渠道进行数据传输等。

如涉及为合作方开通相关权限以访问处理数据的,确保将权限限于最小必要范围内,监督并定期审计权限访问情况。

如涉及接入第三方提供的系统或产品,应当进行技术检测,避免引入木马、后门等恶意软件。

3、监测和预警

合作期间,通过技术检测、定期安全检查等方式对与合作方的数据处理行为(如数据传输、数据调用等)进行监测、分析,及时发现违法、违约处理数据的情况。

持续关注数据合作方的诉讼、纠纷、投诉举报、负面舆情等情况,并及时采取终止数据传输等处置措施,避免合作方的风险传导至企业自身。

 

(三)事后处置

将合作方的数据安全风险管理纳入企业自身的应急处置机制范畴,当合作方发生风险事件时,及时响应,评估对企业可能的影响并针对性采取处置措施。

如合作方出现违法违约处理数据或发生数据安全风险事件的,及时采取停止合作、要求合作方删除或者返还数据、中断数据传输等方式尽可能避免风险传导,影响企业自身正常运营。

合作结束时,根据数据处理情况采取处置措施,例如要求合作方删除或者返还数据;及时注销为合作方开通的账号、权限等。

陈嘉伟

陈嘉伟

邮箱:jiawei.chen@ronzelaw.com

张功俐

张功俐

邮箱:gongli.zhang@ronzelaw.com

上一篇

返回列表

下一篇

相关推荐