专业研究
企业数据合规体检要点之七:数据全生命周期管理
发布时间:
2024-09-05
作者:
陈嘉伟 张功俐
来源:
至融至泽
企业数据合规体检专题系面向企业内部人员提供开展数据合规核查及整改工作的指引,本专题总结了企业开展数据合规体检工作的十大要点,希望帮助企业内部人员了解数据合规工作所包含的具体内容,通俗而言,即数据合规工作到底需要做什么以及需要做到什么程度。
本篇系本专题第七篇,主要探讨企业数据全生命周期管理过程中的合规要求。数据全生命周期包括了数据收集和使用、数据存储、数据传输、数据共享和委托处理、数据公开、数据删除和销毁等全流程,其中部分合规要求已在前几篇章节内容中有所体现,但此前更多从不同板块的合规视角出发进行阐述,如在线上产品合规模块中也会涉及对数据收集和使用的相关要求。而数据全生命周期管理则是一套法律与技术结合的系统方法论,旨在从“数据流”视角帮助企业落地数据处理的法律法规要求和行业最佳实践。实操中,数据的全生命周期管理离不开数据的分类分级,最佳实践应当在分类分级基础上,针对不同类别、不同级别的数据制定全生命周期管理要求。此外,随着数据资产的重要性愈发受到关注,数据全生命周期管理也可为数据资产价值挖掘提供保障。
本篇将从合规视角出发,梳理数据处理全生命周期过程中的重点合规要求。企业在落地数据全生命周期治理要求时,建议需先梳理了解企业的数据处理场景,不同的数据处理安排面临不同的合规要求,例如同样是数据收集,但直接面向数据主体收集数据和从数据供应商处间接获取数据所关注的合规要点也不一致。
一、数据收集和使用
企业可对数据的收集来源、时间、类型等进行记录,不同的数据的收集方式和数据类型面临不同的合规要求。企业直接收集个人信息,需要考虑获取个人信息主体的同意或符合为订立、履行个人作为一方当事人的合同所必需等其他合法性基础。企业从外部采购数据,则应当对数据供应商及数据来源进行适当核查,例如供应商是否具备相应授权可提供数据,并要求供应商签署数据来源合法合规性承诺函等。
当前实操中,企业也较为关注通过爬虫等自动化工具收集数据的合规要求。原则上使用爬虫收集数据应当遵循Robots协议、行业规则,不得采用侵入、非法控制计算机信息系统、非法获取计算机信息系统数据的程序收集数据,避免对被爬网站的性能、功能等造成不利影响,干扰被爬网站服务的正常运行。同时,考虑爬虫获取数据的高敏感性,建议企业可建立事前的评估机制,对企业拟通过爬虫收集数据的合规性进行评估,评估的维度重点包括爬取的内容、爬取的对象、爬取的手段等。其中需要重点关注的评估内容可参考附件一。
对于数据的使用,需关注是否符合收集目的,另需注意配置相应的数据安全管理措施和技术措施,如日志记录、权限管控等,避免数据使用过程中发生数据安全事件。
二、数据存储
数据存储需重点关注数据存储的方式,如涉及采购第三方云服务存储数据的,应当对第三方的数据安全保护能力进行必要审查,与第三方签订数据处理协议等。对于数据存储地点,如涉及境外存储的,则需履行数据出境相应手续;在数据存储过程中,应当采取相应的技术措施以避免发生数据泄露、被非法获取等风险事件,例如数据加密、数据备份等措施。
对于数据存储,实操中企业经常面临的一个难点问题系个人信息存储时间的设置。《个人信息保护法》第十九条规定,除法律、行政法规另有规定外,个人信息的保存期限应当为实现处理目的所必要的最短时间。第四十七条规定,保存期限已届满的,个人信息处理者应当删除个人信息。企业常面临的困惑在于如何确定企业收集的个人信息应当存储多长时间?过短则可能影响业务的正常开展,过长则担心违反《个人信息保护法》“最短必要”的要求。对此,我们提供以下三点建议供企业参考:
1、梳理相关法规中关于数据存储期限的要求,在考虑个人信息存储时间时,可优先参考相关法规的规定。常见的个人信息存储期限规定可参见附件二。
2、在无法律法规规定的情况下,主张为实现处理目的必须保存个人信息时,确保至少能“自圆其说”,例如在用户注销后,如果为了分析用户此前使用产品的情况而留存用户行为数据则可能不符合“为实现处理目的最短必要时间”的要求。
3、在以上两点基础上,制定企业内部的个人信息存储期限规则并遵照执行。实操中,不少企业在内部制度中涉及个人信息存储期限的规定时经常使用“长期”留存等表述,则可能涉嫌违反《个人信息保护法》关于“最短必要”的原则性规定。
三、数据传输和提供
涉及对外传输和提供数据的,建议企业应当建立内部的事前审批机制,重点关注对外传输和提供数据的期限、数据类型、接收方、所采取的安全措施等,以评估是否可能造成相应的安全风险。
对外提供个人信息的,应当向个人告知接收方信息和涉及的个人信息种类等内容,取得个人的单独同意;数据传输过程中应当采取数据加密等安全措施。如涉及向境外提供数据的,还应当取得个人单独同意、履行数据出境监管手续等合规要求。涉及因合并、分立、解散、被宣告破产等原因转移个人信息的,向个人告知接收方的名称或者姓名和联系方式。如涉及公开个人信息的,应当取得个人单独同意或者具备相应的合法性基础,公开其他类型数据,应当事前研判评估可能造成的风险,如可能对国家安全、公共利益产生重大影响的避免公开。
四、数据删除和销毁
数据删除和销毁通常是数据全生命周期管理的最后一环,企业可建立数据删除和销毁的管理制度和操作规程,明确数据删除和销毁的条件、流程等要求并遵照执行。
《个人信息保护法》第四十七条对个人信息的删除进行了相应规定,个人信息主体享有删除权,在处理目的已实现、无法实现或者为实现处理目的不再必要;个人信息处理者停止提供产品或者服务,或者保存期限已届满;个人撤回同意;个人信息处理者违反法律、行政法规或者违反约定处理个人信息等情形下,个人信息处理者应当主动删除个人信息,个人也有权请求删除个人信息。
关于数据删除和数据销毁概念的区别,实务中也有较多讨论,但二者更多系技术概念上的区分。《信息安全技术 个人信息安全规范》(GB/T 35273-2020)规定删除系指“在实现日常业务功能所涉及的系统中去除个人信息的行为,使其保持不可被检索、访问的状态”。《金融数据安全 数据生命周期安全规范》(JR/T 0223—2021)中规定“数据删除是指在金融产品和服务所涉及的系统及设备中去除数据,使其保持不可被检索、访问的状态”;“数据销毁是指金融业机构在停止业务服务、数据使用以及存储空间释放再分配等场景下,对数据库、服务器和终端中的剩余数据以及硬件存储介质等采用数据擦除或者物理销毁的方式确保数据无法复原的过程。其中,数据擦除是指使用预先定义的无意义、无规律的信息多次反复写入存储介质的存储数据区域;物理销毁是指采用消磁设备、粉碎工具等设备以物理方式使存储介质彻底失效”。前述规定也可为企业在实操中实施数据删除和销毁策略时可提供参考。
相关推荐
