企业数据合规体检专题系面向企业内部人员提供开展数据合规核查及整改工作的指引,本专题总结了企业开展数据合规体检工作的十大要点,希望帮助企业内部人员了解数据合规工作所包含的具体内容,通俗而言,即数据合规工作到底需要做什么以及需要做到什么程度。
本篇系本专题第三篇,前两篇我们梳理了外部监管的各项要求,以及企业内部如何建立数据合规组织架构,满足了对“人”的要求,接下来,如何将数据合规监管要求落实于企业的日常经营管理中,就需要充分发挥制度建设的作用。目前关于数据合规制度建设的要求多分散在不同的法律、法规及行业标准中,如何体系性的建立制度规范对企业来说也是不小的挑战。基于此,我们结合法律法规要求及实践经验,就数据合规管理制度建设提出如下总结和思考,希望给企业提供一些有益参考和建议。
一、数据合规管理制度建设的法律法规要求
数据合规管理制度是企业整体数据合规管理体系建设的基础,也是落实合规要求的重要保障。从法律层面看,“三驾马车”均明确企业应建立“合规管理制度”,如《网络安全法》要求企业“制定内部安全管理制度和操作规程”;《数据安全法》明确企业需要“建立健全全流程数据安全管理制度”;《个人信息保护法》针对个人信息保护,提出企业应“制定内部管理制度和操作规程”。
考虑到以上三部法律中所涉合规要求较为抽象和概括性,实践中,国家相关部门结合理论和实践研究形成的一些有针对性的合规建设和评估标准规范也给企业提供了参考性的框架和模板。比如:《网络安全标准实践指南——网络数据安全风险评估实施指引》、《电信网和互联网数据安全评估规范》(YD/T 3956-2021)、《金融数据安全数据生命周期安全规范》(JR/T 0223—2021)等。
二、数据合规重点管理制度概览
结合第一部分提及的法律法规及行业标准规范等,为了便于读者直观理解数据合规重点制度所涉范围及内容,我们对于数据合规重点制度简要梳理如下:
|
制度
|
法规出处
|
主要内容及注意事项
|
|
网络安全管理制度
|
《网络安全法》第二十一条规定,网络运营者应当按照网络安全等级保护制度的要求,履行相应安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改,制定内部安全管理制度和操作规程等。
|
网络安全管理制度的内容一般包括网络安全管理的总则、原则性要求;网络安全管理职责和分工;网络安全建设管理;系统运行安全管理;人员安全管理;权限管理;监督检查和责任追究等。
|
|
数据分类分级规则
|
《数据安全法》第二十一条规定,国家建立数据分类分级保护制度。
《工业和信息化领域数据安全管理办法(试行)》第七条和第八条规定,工业和信息化领域数据处理者应当定期梳理数据,并根据相关规定细分数据的类别和级别。
|
数据分类分级规则是数据合规制度建设中的核心环节之一,是落实数据分类分级工作的重要体现。数据分类分级工作的成果一般以数据清单的形式呈现,而分类分级规则的内容更多包括企业内部数据分类分级工作的职责分工、流程、分类规则、分级规则等内容。
|
|
数据全生命周期管理制度
|
《数据安全法》第二十七条规定,开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度。
《工业和信息化领域数据安全管理办法(试行)》第十三条规定,工业和信息化领域数据处理者应当建立数据全生命周期安全管理制度,针对不同级别数据,制定数据收集、存储、使用、加工、传输、提供、公开等环节的具体分级防护要求和操作规程。
|
数据的全生命周期,包含数据从收集、存储、使用、加工、传输、提供、公开、删除的完整过程,而全生命周期的管理制度,就需要在每一个数据处理环节上提供清晰的合规指引和操作方式。实践中,数据全生命周期管理制度与数据分类分级管理制度密不可分,通常来说,企业会在数据分类分级的基础上,明确不同类别、级别数据在各个环节所涉的合规管理要求。
|
|
个人信息保护管理制度
|
《个人信息保护法》第五十一条规定,个人信息处理者应当制定内部管理制度和操作规程。
|
通常包括个人信息保护工作的目标、范围、原则、职责分工以及个人信息处理全生命周期的安全防护要求等。
|
|
安全教育培训管理制度
|
《数据安全法》第二十七条规定,开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。
《个人信息保护法》第五十一条规定,个人信息处理者要定期对从业人员进行安全教育和培训。
|
员工的安全教育培训制度通常包括培训的方式、对象、组织安排、周期、培训内容等。安全教育培训制度也是落实制定安全教育培训计划的要求。
|
|
安全事件应急处置制度
|
《网络安全法》第二十五条规定,网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。
《数据安全法》第二十九条规定,开展数据处理活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。
《个人信息保护法》第五十一条规定,个人信息处理者应当制定并组织实施个人信息安全事件应急预案。
|
应急处置制度的内容通常包括应急处置的流程、事件上报流程、职责分工、应急响应培训和应急演练安排等。
|
|
合作方管理制度
|
《个人信息保护法》对涉及个人信息处理的合作方的安全监督等均有所要求;《网络安全标准实践指南-网络数据安全风险评估实施指引》(TC260-PG-20231A)第6.1.1.1条规定针对数据安全制度体系建设情况,应重点评估的内容也包括数据合作方管理制度建设情况。
|
合作方管理是数据安全管理的核心环节之一,合作方管理制度的内容通常包括合作方的事前准入尽调、事中安全监督、事后清退与处置等管理要求以及数据安全责任、义务的划分等。
|
|
信息内容安全管理与生态治理制度
|
《网络信息内容生态治理规定》第九条规定,网络信息内容服务平台应当建立网络信息内容生态治理机制,制定本平台网络信息内容生态治理细则,健全用户注册、账号管理、信息发布审核、跟帖评论审核、版面页面生态管理、实时巡查、应急处置和网络谣言、黑色产业链信息处置等制度。
|
网络信息内容管理是网络安全管理的重要组成部分,信息内容安全管理与生态治理制度通常包括企业内部的职责分工、网络信息内容的内容规范要求、事前审核机制、事中巡检及处理机制等。
|
除以上制度外,其他常见的数据合规相关制度还包括了算法安全管理制度、爬虫管控制度、科技伦理审查制度、互联网用户账号信息管理办法、投诉举报管理办法等。此外,随着《中共中央、国务院关于构建数据基础制度更好发挥数据要素作用的意见》(“《数据二十条》”)、《关于加强数据资产管理的指导意见》、《企业数据资源相关会计处理暂行规定》等一系列具有政策和落地双层指导意义的文件的出台,数据的价值正在不断被发掘和提升,数据如何作为资产入表也成为企业管理层关注的重点领域之一。未来为了更好的保障企业数据资产权益,发挥数据价值,也需要建立起企业内部的数据资产管理制度。
三、数据合规制度体系建设
从完善公司制度体系的角度出发,基于上述数据合规管理的核心制度,企业内部也可以考虑再进行细致的划分,搭建分级制度体系。如一级制度,体现纲领性、框架性、原则性的规定;二级制度体现具体合规上的各方面要求;三级制度提供具体操作流程上的指导。制度建设的核心是要体现“法规要求”与“公司实际”的融合,制度审批、发布、生效的流程可以沿用公司内部相关规定。
完善的制度建设还需要内部管理及技术措施的保障,在本专题第四篇文章中,我们将给大家进一步解析企业内部安全管理措施的合规要求,以确保数据的完整性、可用性和保密性,敬请期待。
