专业研究
企业数据合规体检要点之二:数据合规组织架构设置
发布时间:
2024-09-05
作者:
陈嘉伟 张功俐
来源:
至融至泽
企业数据合规体检专题系面向企业内部人员提供开展数据合规核查及整改工作的指引,本专题总结了企业数据合规体检工作的十大要点,希望帮助企业内部人员了解数据合规工作所包含的具体内容,通俗而言,即数据合规工作到底需要做什么以及需要做到什么程度。
本篇主要介绍数据合规组织架构设置要求。数据合规相关组织架构设置系指企业内部需设立相关部门和人员,负责数据合规相关工作。数据合规组织架构的搭建需满足法律法规要求,并考虑企业的实际情况。良好有效的组织架构是企业开展数据合规治理工作的重要一步,对于保护企业数据资产、维护企业声誉和遵守法律法规至关重要。
一、法规要求
在搭建企业内部数据合规组织架构时,首先需考虑满足法律法规的要求,可从通行性规定以及企业所处行业和地域的相关规定出发梳理企业所适用的相关要求。
1、通行性规定
《网络安全法》、《数据安全法》、《个人信息保护法》等数据合规领域的通行性规定均对数据合规相关部门和人员的设置有所要求。《网络安全法》第二十一条规定,网络运营者要确定网络安全负责人,落实网络安全保护责任。《数据安全法》第二十七条规定,重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。除《数据安全法》对重要数据处理者的规定外,其他数据相关监管手续也可能对数据安全管理机构和人员的设置有所要求,例如企业在申报数据出境安全评估时,根据《数据出境安全评估申报指南(第二版)》的要求,相关材料中需填写“数据安全负责人和管理机构信息”。《个人信息保护法》第五十二条也规定,处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督。《信息安全技术个人信息安全规范》(GB/T 35273-2020)(“《个人信息安全规范》”)第11.1条要求个人信息处理者在处理超过100万人的个人信息等情形下还应当设立专职的个人信息保护负责人和个人信息保护工作机构。此外,如涉及处理儿童个人信息,根据《儿童个人信息网络保护规定》第八条的要求,应当指定专人负责儿童个人信息保护。
2、行业性规定
一些特定行业领域的法规也对数据合规组织架构的设置作出了规定,例如金融领域,《银行保险机构数据安全管理办法》(征求意见稿)第十条及第十一条规定,银行保险机构应当建立数据安全责任制,党委(党组)、董(理)事会对本单位数据安全工作负主体责任,银行保险机构主要负责人为数据安全第一责任人,分管数据安全的领导为直接责任人,银行保险机构应当指定数据安全归口管理部门,作为本机构负责数据安全工作的主责部门。再如工信领域,根据《工业和信息化领域数据安全管理办法(试行)》第十三条规定,工业和信息化领域数据处理者根据需要配备数据安全管理人员,统筹负责数据处理活动的安全监督管理,协助行业监管部门开展工作,重要数据和核心数据处理者还应当建立覆盖本单位相关部门的数据安全工作体系,明确数据安全负责人和管理机构,建立常态化沟通与协作机制。
3、地方性规定
各地数据合规相关管理规定中也可能对企业的人员设置有所要求,例如《上海市数据条例》第六条规定,鼓励各区、各部门、各企业事业单位建立首席数据官制度,首席数据官由本区域、本部门、本单位相关负责人担任。上海市通管局下发的《上海市电信和互联网行业首席数据官制度建设指南(试行)》要求上海市电信和互联网企业设立CDO(首席数据官)岗位,负责和实施企业数据相关战略工作等,且企业需配置专职岗位负责本单位数据处理、流通利用等具体工作,以及与数据工作相关的沟通协调和日常联络工作。
因此,总体而言,企业在考虑根据法律法规要求搭建数据合规组织架构时,需综合通行性规定、以及企业所处行业和地域的相关规定。对于涉及跨境经营的企业而言,还需要进一步考虑域外法规的要求,例如欧盟GDPR要求符合条件的企业应当任命数据保护专员(DPO)承担数据合规相关工作职责。
二、数据合规组织架构类型
在法律法规规定的基础上,还需要进一步结合企业现有组织架构情况、业务规模、数据处理规模等因素设置企业的数据合规组织架构。当前实操中较为常见的数据合规组织架构包括以下两种:
1、集中专职的组织架构
在企业内部设置专职的数据合规管理部门,履行数据合规相关职责,并在落实具体要求时,由该等专职部门协调企业内部其他部门执行。该等部门的负责人也较为常见同时作为公司的网络安全/数据安全/个人信息保护负责人等角色。该等组织架构设置形式便于快速决策和执行,一般适用于规模较小的企业。
2、分层虚拟的组织架构
常见的分层架构一般包括决策层、管理层和执行层三个层级,决策层由公司核心领导成员组成,负责企业数据合规的战略规划、重大事项的决策和协调等工作。管理层一般由企业数据合规负责人牵头,并由企业内部各相关部门人员组成,负责制定具体的工作方案,协调推进落实数据合规工作要求。执行层一般由企业各业务部门、安全部门、技术部门、法务合规部门等组成,负责具体执行数据合规工作事项。实操中根据各企业实际情况也存在两层或者四层的数据合规组织架构设置安排。
此外,对于综合性大型集团而言,通常除在集团层面设立统一的管理决策组织外,还会在各BU、BG层面设立单独的数据合规工作小组或数据合规接口人员负责落实相关工作要求。该等分层虚拟的组织架构安排具备一定灵活性,能够尽可能涵盖利益相关方,便于协调企业内部数据合规相关工作的推进,但在决策和执行层面可能会存在一定的效率问题。
数据合规组织架构的设置在符合法律法规要求的前提下,并无固定的形式要求,企业可结合自身实际情况灵活安排,同时也可考虑与企业现行组织架构相结合,避免与现行部门设置、人员职责等相冲突。
三、个人信息保护负责人
在搭建企业内部数据合规组织架构时,个人信息保护负责人的选择也是企业较为关注的问题。《个人信息保护法》第五十二条规定,处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督。关于“国家网信部门规定数量”当前暂无明确标准,《个人信息安全规范》第11.1条规定处理超过100万人的个人信息应当设立专职的个人信息保护负责人。而就当前实操情况而言,企业设置个人信息保护负责人也较为普遍,并非仅仅只是处理个人信息数量较多的企业有该等岗位安排。
个人信息保护负责人负责统筹管理监督企业内部的个人信息处理活动,《个人信息保护法》第五十二条规定个人信息处理者应当公开个人信息保护负责人的联系方式,并将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门。同时,《个人信息保护法》第六十六条也规定个人信息处理者违反规定处理个人信息的,直接负责的主管人员和其他直接责任人员可能被处以罚款或在一定期限内禁止担任相关企业的董监高和个人信息保护负责人。个人信息保护负责人的职责相对重大,也因此实操中企业内部对于个人信息保护负责人的选择和任命也相对谨慎。
在选择个人信息保护负责人时,可综合参考相关法规规定的要求以及行业实操经验,其中主要法规包括:
在综合相关法规要求的前提下,实操中在选择任命个人信息保护负责人时,企业较为关注的问题主要包括:
1、个人信息保护负责人是否可兼职?
法规层面无明确规定,当前实操中,特别是对于中小企业而言,以企业内部人士兼任的形式设置个人信息保护负责人也较为常见。按照《个人信息安全规范》要求,处理个人信息规模较大的机构建议设置专职个人信息保护负责人。
2、个人信息保护负责人是否可外包?
《个人信息保护法》对此无明确要求,综合相关规定以及个人信息保护负责人需履行的职责而言,建议应当由组织内部人士担任。
3、个人信息保护负责人具体应当由谁担任?
建议由组织内部的决策管理层成员,且具备一定相关专业知识和工作经历的人员担任。实操中除设置专门的个人信息保护负责人外,也较为常见由信息安全部门的负责人、法务合规部门的负责人等兼任个人信息保护负责人。
相关推荐
