●企业数据安全合规,是指企业在数据处理活动时的行为符合法律法规、监管规定、行业准则等要求,并采取必要措施保障数据安全。
企业数据安全重点关注的风险领域
一、是否建立数据安全合规管理组织体系
企业合规管理的成败主要取决于企业领导层的重视程度,是否强有力地自上而下推行合规制度,使全体员工树立合规意识并将合规要求融入到日常经营活动中。企业能否切实落实数据合规义务离不开“管理层重视、执行层负责、全员参与”的管理模式。
二、是否对数据生命周期进行行之有效的管理
国家标准《信息安全技术数据安全能力成熟度模型》中规定了数据的生命周期的六个阶段分别为数据采集、数据存储、数据处理、数据传输、数据交换、数据销毁。
企业在采集数据时是否有正当需求,是否征得数据所有人的授权或者同意;在对外提供、公开或委托处理个人信息是否履行法定告知义务并取得单独同意;非法采集或处理数据的可能会涉嫌构成非法获取计算机信息系统罪、侵犯公民个人信息罪、拒不履行网络安全管理义务罪等刑事犯罪,以及因侵犯公民个人隐私被要求承担民事侵权责任。
企业对重要信息存储介质未进行定期维护或传输若未采用匿名化或加密化处理手段,可能导致信息被不发分子窃取,造成公司损失。
企业对数据销毁应当严格建立销毁审批流程并对销毁过程进行监督,确保被删除和销毁的用户个人电子信息不能被再次还原,严防数据销毁阶段可能出现的数据泄露问题。
三、是否建立数据安全事件处理机制
企业在开展数据处理活动应加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施。未履行法定数据处理合规义务的,可能会依照《网络安全法》《数据安全法》《个人信息保护法》中相关规定承担不同类型、程度的行政责任。
企业数据合规整改方案
一、搭建合规管理组织架构
1
明确企业负责人作为履行推进合规体系建设第一责任人,切实履行合规管理体系建设的重要组织者、推动者和实践者的职责,对重要工作亲自部署、重大问题亲自过问、重点环节亲自协调、重要任务亲自督办。
2
在董事会层面设立合规委员会,承担合规管理的组织领导和统筹协调工作,定期召开会议,研究合规管理重大事项或提出意见建议,指导、监督和评价合规管理工作。
3
企业可以单独设立合规管理牵头部门,也可以明确由其他相关职能部门为合规管理牵头部门,组织、协调和监督合规管理工作,为其他部门提供合规支持。
4
业务部门负责本领域的日常合规管理工作,按照合规要求完善业务管理制度和流程,主动开展合规风险识别、分析和隐患排查,发布合规预警,组织合规审查,及时向合规管理牵头部门通报风险事项,妥善应对合规风险事件,做好本领域合规培训和商业伙伴合规调查等工作,组织或配合进行违规问题调查并及时整改。
二、建立数据合规管理制度
1
企业数据合规管理制度应基于企业的产品、业务线,就数据的收集、存储、处理、传输、共享、销毁等全生命周期安全管理作出详细规定;
2
进一步细化及明确各层级合规管理机构及相关部门的数据安全合规管理职责;
3
建立数据安全风险识别机制,明确禁止从事的数据活动及个人信息处理规则;
4
建立重重大数据安全合规风险事件报告、应急处置机制及教育培训等管理事项。
三、开展数据合规培训与文化建设
企业应当定期对全体员工或对数据处理活动享有决策性影响的员工开展数据合规培训,并将公司制定的数据合规管理制度进行宣贯,确保相关人员作出的决策符合相关法律规定,培育员工具备遵守相关管理制度的工作能力,确保员工知悉企业内部的管理规定。
在每次培训后各业务部门都要组织对参与培训的人员进行考核。考核成绩超过两次仍不合格的,给予相应地处罚,培训记录表由人事处统一管理,作为绩效考核的一部分以及职位晋升的参考依据。
此外,还应当对企业合作的第三方(包括数据的共享方、接收方)开展合规培训,确保共享/传递出去的数据被合规使用、确保接收的数据是合法获取且依法获得收取的数据。
四、加强数据合规审计与监督
企业应每年开展一次数据合规审计,重点对企业数据处理风险能力、应对措施、数据合规管理架构的运营情况、开展合规培训的情况、员工的意识及对数据合作伙伴的管理等方面进行审计,将数据合规完成情况、潜在风险等内容数据化、指标化,针对数据合规监控与审计的结果,对数据合规管理体系中发现的缺陷以及内部情况和外部环境的变动不断完善,持续改进。
文 | 贾浩东
.
团队简介|Team Profile
华炬律师事务所合规业务中心,是在山西华炬律师事务所公司法律事务部、税务法律事务部、国资国企法律事务部、刑事法律事务部、争议解决法律事务部等部门中,选拔精通企业内控、企业合规、企业经营法律风险防范的精英律师组成,现团队核心成员十余名,律师及律师助理若干,擅长处理公司领域各类疑难复杂案件和项目。合规业务中心核心业务:企业经营合规体系建设、企业合规有效性评价、企业内部控制体系建设、企业整体或单项业务单元法律风险排查与整改、刑事涉案合规第三方监督评估等。
