作者:{admin 整理} 文章摘要 落实网络及数据安全管理责任,建立健全数据安全管理体系,是法律对企业的要求,也是企业规范经营行为、保护自身数据资产,防范企业和相关责任人员个人责任风险的重要措施。企业数据安全合规体系建设包括哪些方面、法律人员如何协助企业建设数据安全合规体系?本文以作者参与的数据安全合规体系建设工作为例,分享法律人员协助建设企业数据安全合规体系的工作要点。  -企业合规必备丛书- 数据合规实务:尽职调查及解决方案 刘 瑛 李晓华 著 刘瑛,北京市天元律师事务所合伙人,律师。北京大学法学学士、法学硕士。美国杜克大学(Duke University)法学院访问学者。著有《律师的思维与技能》(法律出版社2006年出版)、《重新定义合同:从商业意图到法律文件》(法律出版社2019年出版)。曾从事近十年法律教学工作。律师执业二十余年来,主要从事公司综合法律业务、投资并购改制重组、企业合规等领域法律服务。连续多年为通信信息行业提供法律服务,对通信及互联网产业政策、行业发展和变迁历程以及业务有深刻的理解和感受,在通信以及互联网、个人信息保护与数据安全、企业合规等领域具有丰富的综合法律服务经验。 李晓华,北京市天元律师事务所律师。中山大学法学学士,美国威廉玛丽大学(The College of William and Mary)法学硕士(LL.M),美国杜克大学(Duke University)法学与创业学专业法学硕士(LL.M)。律师执业主要领域为并购及融资、境外投资、公司综合法律业务、企业合规、数据合规等。   《网络安全法》《数据安全法》《个人信息保护法》等法律法规对企业的安全管理责任有明确的要求,主要包括明确数据安全管理组织架构、建立和完善数据安全管理制度、采取数据安全合规管理措施等方面。下面两图片展示根据相关法律规定企业应当制定和实施的数据安全管理制度或措施,企业根据实际情况制定。    与其他领域的合规工作相同,企业建设数据安全合规体系,同样需要先梳理现状,分析企业的数据安全管理现状与法律监管要求之间的差距,才能准确地作出判断,进而提出切实可行的解决方案。对现状的梳理工作可以围绕以下要点展开:  法律人员协助企业梳理其数据安全管理现状后,形成相应的差距分析报告,供企业制定解决方案参考。   通过对企业数据安全管理现状的梳理,对于企业在数据安全合规体系方面需要整改或调整的方向和重点事项有了基本判断,进而进入整改环节。 企业在数据安全合规体系建设将涉及企业内部机构的机构设置、职能安排和编制管理,需要综合企业整体合规规划、业务发展、组织结构、信息安全能力、资源和成本等多方面情况考虑。企业数据安全合规体系建设工作可以分解为以下几个方面: (一)制定行动计划 企业的数据安全合规体系建设方案,法律人员可以与企业其他相关人员基于企业数据合规现状、围绕企业开展本次数据合规的目标制定数据合规整改行动计划,对企业应当在什么时限内、按照何种优先顺序、采取何种具体措施以满足特定的数据合规要求作出安排,作为后续工作的操作指引。  (二)落实数据安全合规体系建设方案 数据安全合规体系建设的实施主体主要是企业的相关管理和业务部门。法律人员可以在组织架构搭建的合法合规性、相关制度文本内容的规范性、合法性和有效性,以及数据安全合规管理措施的合法性等方面提供专业支撑。 例如,根据《个人信息保护法》,企业处理个人信息达到一定数量或者处理重要数据的,应当设置数据合规管理机构、指定数据合规负责人。就企业数据合规组织架构搭建,法律人员根据法律规定、企业公司章程规定、企业合规管理组织架构现状及企业实际情况,提出相应的建议方案。 又如,法律人员协助起草和审查相关数据安全管理制度文本的规范性、合法性和有效性。企业的数据合规管理制度体系可以从三个层次考虑: 1.确定企业、全体成员和业务伙伴共同遵守的数据合规行为准则,列明数据合规底线。 2.企业数据安全管理的纲领性文件,明确公司数据合规管理总体要求、管理机构及职责、基本制度、网络及数据安全技术措施、信息系统安全保护等事项。 3.相关具体制度,确定包括管理流程、管理标准、管理措施等具体数据合规管理细则。法律人员通常需要协助企业对照数据安全相关法律规定,起草、修改、审阅相关制度文本。  企业建立数据安全合规体系后,需要在日常运营和管理中落实运行。法律人员在数据合规咨询、数据合规审查评估、数据合规审计、人员培训等方面提供持续的法律服务支撑,是企业数据安全管理的重要方面。   建设数据安全合规体系,是企业落实法律规定的数据安全管理责任的重要体现。数据安全合规体系建设还涉及对“人”“财”“物”等方面的综合考量,需要同时兼顾外部监管要求和内部管理和资源分配,往往难以一蹴而就。特别是对于尚未建立数据安全相关管理制度或机制的企业,需要结合自身实际情况,从“以点带面”到“全面覆盖”,分步推进数据安全合规体系建设。  法律人员谙熟法律规则,能够为企业建立健全和运行数据安全合规体系提供重要的专业支撑。更多有关法律人员如何协助企业建立健全数据安全合规体系的心得分享(包括工作步骤、制度文本示例等),可以参阅由法律出版社出版的《数据合规实务:尽职调查及解决方案》一书。       (目录是一本书的精华) ━ ━ ━ ━ ━ 第一章 数据合规尽职调查 一、数据合规尽职调查内容 (一)了解企业的业务情况 (二)梳理业务经营中的数据处理活动 1.区分数据的类型 2.核查数据生命周期全流程 3.甄别企业在数据处理活动中的角色 (三)了解企业数据合规管理情况 1.核查企业的数据安全管理组织架构 2.核查企业的数据安全管理制度 3.核查企业业务的数据安全技术措施 4.核查企业的网络信息系统安全等级保护情况 5.核查企业的数据安全教育培训情况 (四)核查企业涉及的与数据合规相关的争议、诉讼、仲裁或行政处罚等情况 (五)数据合规尽职调查的几个重点核查事项 1.企业是否属于关键信息基础设施的运营者 2.企业处理的数据是否属于重要数据、核心数据 3.企业处理个人信息的规模 4.企业是否需要进行网络安全审查 二、数据合规尽职调查方式 (一)核查企业提供的资料 1.准备数据合规尽职调查资料清单 2.视情况准备数据合规补充尽职调查清单 (二)进行网络平台穿行测试 (三)访谈相关人员 (四)通过公共查询渠道核查印证 三、数据合规尽职调查报告 (一)企业上市、投融资项目的数据合规尽职调查报告 1.《数据合规尽职调查报告》模板示例 2.《数据合规尽职调查重大法律问题备忘录》示例及简析 (二)企业日常运营项目、数据合规体系建设项目的数据合规尽职调查报告 第二章 数据合规解决方案 一、制订数据合规整改行动计划 二、落实数据合规整改措施 (一)个人信息处理流程及文本的整改和优化 1.业务流程的整改优化 2.个人信息处理规则(隐私政策)的整改和优化 (二)业务或交易等商业合同的整改和优化 1.场景一:企业作为数据委托方委托合同对方处理个人信息等数据 2.场景二:企业作为受托方处理合同对方提供的个人信息等数据 3.场景三:企业与合同相对方共同处理个人信息等数据 4.场景四:因合并、分立、解散、被宣告破产等原因需要转移个人信息等数据 5.场景五:企业向合同相对方提供个人信息等数据 (三)建立企业数据合规管理体系 1.搭建网络和数据合规组织架构 2.建立和完善网络及数据安全相关制度 第三章 数据合规结论性意见 一、就企业数据合规情况发表结论性法律意见 二、就数据合规的特定事项出具法律分析意见 (一)关于企业是否属于关键信息基础设施运营者的专项分析意见 (二)关于企业数据分类分级管理的专项分析意见 (三)关于企业是否需要进行网络安全审查的专项分析意见 (四)关于数据出境的专项分析意见 案例目录 案例1-1 不同业务模式下的企业数据处理角色 案例1-2 “告知—同意”规则履行情况的核查与分析 案例1-3 “单独同意”规则履行情况的核查与分析 案例1-4 数据来源合法性核查与分析 案例1-5 违法使用爬虫或类似自动化技术收集数据与分析 案例1-6 数据使用范围是否符合用途的核查与分析 案例1-7 个人信息使用范围是否符合用途的核查与分析 案例1-8 利用个人信息进行自动化决策是否符合法律规定的核查与分析 案例1-9 AI“换脸”软件涉嫌侵权 案例1-10 对人脸识别第三方SDK情况的核查与分析 案例1-11 关于互联网医院数据存储期限的核查与分析 案例1-12 受政府委托处理政务数据行为的核查与分析 案例1-13 第三方SDK数据存储境外的核查与分析 案例1-14 委托方处理个人信息与受托方签订合同情况的核查与分析 案例1-15 委托处理个人信息向个人告知并取得同意情况的核查与分析 案例1-16 委托处理个人信息前个人信息影响评估情况的核查与分析 案例1-17 受托方按照合同约定处理数据情况的核查与分析 案例1-18 受托方在合同中对委托方数据来源合法合规的约定 案例1-19 母公司与其子公司共同处理客户信息核查与分析 案例1-20 App运营者与SDK提供方共同处理用户个人信息核查与分析 案例1-21 数据转移中提供方的告知义务 案例1-22 接收方变更原先处理目的应当重新取得个人同意 案例1-23 向其他数据处理者提供数据告知个人情况的核查与分析 案例1-24 对数据提供方数据来源合法性情况的核查与分析 案例1-25 涉及大量个人信息处理活动的企业设置个人信息保护负责人情况的核查与分析 案例1-26 关键信息基础设施运营者制定网络服务和产品采购审查相关制度情况的核查与分析 案例1-27 网络日志留存期限核查与分析 案例1-28 企业网络安全等级定级、备案情况核查与分析 案例1-29 未按照整改要求完成整改的核查与分析 案例2-1 E公司被网信办约谈事项处理的整改方案 案例2-2 关于某App隐私政策授权方式的整改 案例2-3 关于某App隐私政策展示方式的整改 案例2-4 关于某App敏感个人信息单独同意流程的整改 案例2-5 关于某App索取手机相册权限流程的整改 案例2-6 关于某App个人信息权利保障路径流程的整改 案例2-7 关于某App账号注销功能的整改 案例2-8 关于某App隐私政策文本规范性的整改 案例2-9 关于儿童隐私政策 示例目录 示例1-1 产品合规审查项目的数据尽职调查清单 示例1-2 企业数据合规体系建设项目的尽职调查资料清单 示例1-3 企业融资项目的尽职调查资料清单 示例1-4 补充尽职调查清单 示例1-5 App穿行测试核查记录 示例1-6 产品合规审查的数据合规尽职调查访谈问卷清单 示例1-7 企业赴香港上市项目的数据尽职调查访谈问卷清单 示例1-8 数据安全、网络安全、个人信息保护相关诉讼处罚核查情况表 示例1-9 《数据合规尽职调查报告》 示例1-10 《数据合规尽职调查重大法律问题备忘录》 示例1-11 企业日常运营事项、数据合规体系建设项目备忘录 示例2-1 某香港上市项目的数据合规整改行动计划 示例2-2 某融资项目的数据合规整改行动计划 示例2-3 C企业个人信息保护合规整改行动计划 示例2-4 D企业某产品合规论证项目 示例2-5 互联网平台数据合规整改事项行动清单 示例2-6 数据处理合同相关条款(委托方角度) 示例2-7 数据处理合同条款(受托方角度) 示例2-8 数据处理合同条款(共同处理者角度) 示例2-9 因企业分立产生的数据转移 示例2-10 某电信运营商向银行提供电信用户个人信息 示例2-11 集团内信息共享的相关合同条款 示例2-12 关于数据处理的补充协议 示例2-13 关于××企业数据合规管理组织架构的方案建议 示例2-14 企业《数据合规行为准则》 示例2-15 企业《数据安全管理办法》 示例2-16 企业《数据分类分级管理制度》 示例2-17 儿童个人信息保护制度文件 示例3-1 香港上市项目数据合规专项法律意见 示例3-2 企业融资项目数据合规专项法律意见书 示例3-3 企业日常运营中的数据合规专项法律意见 示例3-4 关于某企业是否属于CIIO的分析意见 示例3-5 关于某企业数据分类分级工作的分析意见 示例3-6 关于某在线职业培训企业是否需要进行网络安全审查的法律意见 示例3-7 关于某网约车企业是否需要进行网络安全审查的分析意见 示例3-8 关于企业因业务需要而向境外提供相关数据的法律意见 |
