目 錄
第一部分:企業(yè)數(shù)據(jù)安全合規(guī)體系建設(shè)
一、數(shù)據(jù)安全合規(guī)總體要求
二、企業(yè)數(shù)據(jù)安全合規(guī)體系建立路徑
(一) 建立健全數(shù)據(jù)安全合規(guī)管理組織體系
(二) 建立數(shù)據(jù)分類分級(jí)保護(hù)體系
(三) 建立完善的數(shù)據(jù)安全技術(shù)體系
第二部分:企業(yè)交易數(shù)據(jù)合規(guī)風(fēng)險(xiǎn)防范
一、交易行為中的數(shù)據(jù)合規(guī)風(fēng)險(xiǎn)
二、數(shù)據(jù)合規(guī)盡調(diào)方式
Part1 企業(yè)數(shù)據(jù)安全合規(guī)體系建設(shè)
2021年6月10日《中華人民共和國(guó)數(shù)據(jù)安全法》(以下簡(jiǎn)稱《數(shù)據(jù)安全法》)已由中華人民共和國(guó)第十三屆全國(guó)人民代表大會(huì)常務(wù)委員會(huì)第二十九次會(huì)議通過(guò),并自2021年9月1日起施行。生效之后,《數(shù)據(jù)安全法》《網(wǎng)絡(luò)安全法》以及將于2021年11月1日生效的《個(gè)人信息保護(hù)法》一起,構(gòu)筑起中國(guó)信息及數(shù)據(jù)安全領(lǐng)域的基礎(chǔ)法律框架,相應(yīng)的,企業(yè)數(shù)據(jù)安全合規(guī)也有了法律層面的清晰要求。
相較于已施行的《網(wǎng)絡(luò)安全法》,《數(shù)據(jù)安全法》更強(qiáng)調(diào)數(shù)據(jù)本身的安全,且數(shù)據(jù)的含義不限于電子化數(shù)據(jù);而較之即將出臺(tái)的《個(gè)人信息保護(hù)法》,《數(shù)據(jù)安全法》則從更加宏觀角度全面規(guī)定了數(shù)據(jù)安全合規(guī)要求,可以說(shuō),《數(shù)據(jù)安全法》是數(shù)據(jù)合規(guī)領(lǐng)域的頂層設(shè)計(jì)。因此,企業(yè)數(shù)據(jù)安全合規(guī)體系的建設(shè)應(yīng)圍繞《數(shù)據(jù)安全法》的基本要求展開(kāi),并結(jié)合自身的行業(yè)特性、數(shù)據(jù)來(lái)源及載體的特質(zhì)融入《個(gè)人信息保護(hù)法》《網(wǎng)絡(luò)安全法》及其他法律法規(guī)的要求。
但正因?yàn)椤稊?shù)據(jù)安全法》的全面性、宏觀性,其并未詳細(xì)規(guī)定數(shù)據(jù)安全監(jiān)管的具體標(biāo)準(zhǔn)體系,對(duì)于監(jiān)管機(jī)構(gòu)和監(jiān)管權(quán)限的規(guī)定也較為原則化。為便于廣大涉數(shù)據(jù)企業(yè)針對(duì)性做好數(shù)據(jù)安全合規(guī)體系建設(shè),筆者結(jié)合多年合規(guī)工作經(jīng)驗(yàn)及對(duì)數(shù)字基建領(lǐng)域的研究,提出以下企業(yè)數(shù)據(jù)安全合規(guī)體系建設(shè)路徑以供參考。
一、數(shù)據(jù)安全合規(guī)總體要求
“十四五”規(guī)劃明確提出要激活數(shù)據(jù)要素潛能,推進(jìn)網(wǎng)絡(luò)強(qiáng)國(guó)建設(shè),加快建設(shè)數(shù)字經(jīng)濟(jì)、數(shù)字社會(huì)、數(shù)字政府,以數(shù)字化轉(zhuǎn)型整體驅(qū)動(dòng)生產(chǎn)方式、生活方式和治理方式變革。數(shù)據(jù)已成為新興的生產(chǎn)要素,是國(guó)家基礎(chǔ)性和戰(zhàn)略性資源,數(shù)據(jù)安全需求也越發(fā)凸顯。加強(qiáng)對(duì)數(shù)據(jù)安全的保護(hù)不僅關(guān)乎每個(gè)人、每個(gè)組織的利益。《數(shù)據(jù)安全法》的出臺(tái)從法律層面將數(shù)據(jù)安全上升到國(guó)家安全層面,明確了數(shù)據(jù)、數(shù)據(jù)處理、數(shù)據(jù)安全的范疇,厘清了數(shù)據(jù)安全防護(hù)的主體責(zé)任,規(guī)范了國(guó)家行政主管部門、企業(yè)、個(gè)人的職責(zé)與權(quán)力。并且從數(shù)據(jù)全生命周期角度出發(fā),《數(shù)據(jù)安全法》明確了對(duì)數(shù)據(jù)的收集、存儲(chǔ)、使用、加工、傳輸、提供、公開(kāi)等各個(gè)環(huán)節(jié)進(jìn)行數(shù)據(jù)安全風(fēng)險(xiǎn)的監(jiān)測(cè)、評(píng)估和防護(hù)要求,以及權(quán)限管控、數(shù)據(jù)脫敏、數(shù)據(jù)加密、審計(jì)溯源等多種技術(shù)要求,并對(duì)后續(xù)的執(zhí)法檢查、標(biāo)準(zhǔn)制定、企業(yè)數(shù)據(jù)安全防護(hù)、個(gè)人權(quán)益保障等方面作出了規(guī)定。
《數(shù)據(jù)安全法》的發(fā)布標(biāo)志著我國(guó)將數(shù)據(jù)安全保護(hù)的政策要求,通過(guò)法律文本的形式進(jìn)行了明確和強(qiáng)化。有關(guān)單位和個(gè)人收集、存儲(chǔ)、使用、加工、傳輸、提供、公開(kāi)數(shù)據(jù)資源,都應(yīng)當(dāng)依法建立健全數(shù)據(jù)安全管理制度,采取相應(yīng)技術(shù)措施保障數(shù)據(jù)安全。企業(yè)未來(lái)應(yīng)該加強(qiáng)數(shù)據(jù)安全的自監(jiān)管,國(guó)家行政主管部門的執(zhí)法監(jiān)管要與企業(yè)自監(jiān)管有機(jī)結(jié)合,以促進(jìn)數(shù)據(jù)有序使用。
二、企業(yè)數(shù)據(jù)安全合規(guī)體系建立路徑
《數(shù)據(jù)安全法》明確了企業(yè)開(kāi)展數(shù)據(jù)活動(dòng)應(yīng)承擔(dān)數(shù)據(jù)安全保護(hù)義務(wù),需要落實(shí)數(shù)據(jù)安全保護(hù)責(zé)任;確立了企業(yè)開(kāi)展數(shù)據(jù)活動(dòng)應(yīng)進(jìn)行數(shù)據(jù)分級(jí)分類管理,并建立風(fēng)險(xiǎn)評(píng)估,監(jiān)測(cè)預(yù)警和應(yīng)急處置等數(shù)據(jù)安全管理各項(xiàng)基本制度;開(kāi)展數(shù)據(jù)活動(dòng)的企業(yè)還應(yīng)在跨境提供數(shù)據(jù)時(shí)嚴(yán)格遵守國(guó)家安全審查規(guī)定,并依法配合公安、安全等部門進(jìn)行犯罪調(diào)查,境外執(zhí)法機(jī)構(gòu)要調(diào)取存儲(chǔ)在中國(guó)的數(shù)據(jù),未經(jīng)批準(zhǔn),不得提供。
由于《數(shù)據(jù)安全法》于2021年9月1日開(kāi)始實(shí)施,《個(gè)人信息保護(hù)法》也將于2021年11月1日起實(shí)施,涉數(shù)據(jù)企業(yè)盡快建立可落地、可實(shí)施的自行合規(guī)內(nèi)控體系,避免政策法律環(huán)境驟然收緊對(duì)企業(yè)經(jīng)營(yíng)帶來(lái)不利影響可以說(shuō)是“當(dāng)務(wù)之急”。雖然目前數(shù)據(jù)安全制度落地在金融、電信等傳統(tǒng)強(qiáng)合規(guī)行業(yè)之外的其他行業(yè)數(shù)據(jù)安全監(jiān)管要求尚不明確的問(wèn)題,而且傳統(tǒng)強(qiáng)合規(guī)行業(yè)的現(xiàn)有數(shù)據(jù)安全監(jiān)管要求可能會(huì)對(duì)照上位法要求修改等現(xiàn)實(shí)問(wèn)題,但基于我國(guó)的數(shù)據(jù)安全政策的一脈相承性,及企業(yè)合規(guī)體系建設(shè)的共性特征,建議涉數(shù)據(jù)企業(yè)盡快從以下路徑展開(kāi)數(shù)據(jù)安全合規(guī)體系建設(shè)。
(一) 建立健全數(shù)據(jù)安全合規(guī)管理組織體系
從經(jīng)驗(yàn)來(lái)看,企業(yè)合規(guī)管理的成敗主要取決于企業(yè)核心決策層對(duì)該問(wèn)題的重視程度,即取決于企業(yè)核心決策層是否有強(qiáng)有力地自上而下推行合規(guī)要求,并建立較為完備、高效的內(nèi)部合規(guī)管理組織體系,全員提升合規(guī)意識(shí),并將合規(guī)要求融入到日常經(jīng)營(yíng)中。
企業(yè)數(shù)據(jù)安全合規(guī)體系的有效建立也不例外,需要形成“管理層重視、一把手負(fù)責(zé)、全員參與”的管理模式。并且,企業(yè)數(shù)據(jù)安全合規(guī)管理組織體系應(yīng)是與企業(yè)現(xiàn)有管理體系高度融合的,不是另起爐灶,否則成本過(guò)高且難以正常運(yùn)行。而且,數(shù)據(jù)安全合規(guī)重點(diǎn)是因人而異的,即不同行業(yè)、不同服務(wù)對(duì)象、不同規(guī)模的企業(yè)重點(diǎn)不同,在合規(guī)管理組織體系建設(shè)中也應(yīng)充分結(jié)合企業(yè)特征突出重點(diǎn)、管好難點(diǎn),并且與企業(yè)其他合規(guī)要求協(xié)調(diào)同步,彼此增益。
(二) 建立數(shù)據(jù)分類分級(jí)保護(hù)體系
《數(shù)據(jù)安全法》第二十一條明確規(guī)定了國(guó)家建立數(shù)據(jù)分類分級(jí)保護(hù)制度,根據(jù)數(shù)據(jù)在經(jīng)濟(jì)社會(huì)發(fā)展中的重要程度,以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,對(duì)國(guó)家安全、公共利益或者個(gè)人、組織合法權(quán)益造成的危害程度,對(duì)數(shù)據(jù)實(shí)行分類分級(jí)保護(hù)。并且各地區(qū)、各部門應(yīng)當(dāng)按照數(shù)據(jù)分類分級(jí)保護(hù)制度,確定本地區(qū)、本部門以及相關(guān)行業(yè)、領(lǐng)域的重要數(shù)據(jù)具體目錄。但《數(shù)據(jù)安全法》并沒(méi)有說(shuō)清楚誰(shuí)來(lái)制定《重要數(shù)據(jù)目錄》、數(shù)據(jù)分類分級(jí)保護(hù)制度誰(shuí)來(lái)制定,以及中央與地方、行業(yè)的權(quán)限如何劃分。從更微觀層面考慮的話,數(shù)據(jù)類型有結(jié)構(gòu)化、非結(jié)構(gòu)化的數(shù)據(jù)。數(shù)據(jù)存儲(chǔ)上更是企業(yè)服務(wù)器數(shù)據(jù)庫(kù)中有,員工終端上也有,甚至還有大量非信息化的數(shù)據(jù)……就個(gè)體企業(yè)來(lái)說(shuō)怎么確定什么是重要數(shù)據(jù),重要數(shù)據(jù)存放在哪里,是難點(diǎn),也是個(gè)性化很強(qiáng)的問(wèn)題。
鑒于《數(shù)據(jù)安全法》和我國(guó)信息安全行業(yè)密不可分,其規(guī)定的“建立重要數(shù)據(jù)目錄”、“分類分級(jí)”保護(hù)制度與信息安全行業(yè)存在已久的等級(jí)保護(hù)制度是一脈相承的,企業(yè)可先根據(jù)自身業(yè)務(wù)先行啟動(dòng)等級(jí)保護(hù)的相關(guān)工作,避免政策法規(guī)驟然出臺(tái)對(duì)企業(yè)運(yùn)營(yíng)帶來(lái)影響。
目前我國(guó)等級(jí)保護(hù)的標(biāo)準(zhǔn)已形成一個(gè)較為完整的體系,除了法律層面的《網(wǎng)絡(luò)安全法》和即將實(shí)施的《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》之外,法規(guī)層面的《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》為等級(jí)保護(hù)的總要求;在行業(yè)標(biāo)準(zhǔn)層面則有《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》作為總體標(biāo)準(zhǔn),以及《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)實(shí)施指南》(GB/T25058-2019)、《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》(GB/T22240-2020)、《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》(GB/T22239-2019)、《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》(GB/T25070-2019)、《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求》(GB/T28448-2019)、《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南》(GB/T28449-2018)等超過(guò)30項(xiàng)具體標(biāo)準(zhǔn)性文件。筆者相信,《數(shù)據(jù)安全法》體系下的《重要數(shù)據(jù)目錄》及分類分級(jí)保護(hù)制度是建立在該些現(xiàn)有法規(guī)制度之上的。
(三) 建立完善的數(shù)據(jù)安全技術(shù)體系
做好數(shù)據(jù)安全合規(guī)體系建設(shè)離不開(kāi)建立完善的數(shù)據(jù)安全技術(shù)體系。企業(yè)在進(jìn)行數(shù)據(jù)安全技術(shù)體系建設(shè)時(shí),必須要考慮數(shù)據(jù)安全、訪問(wèn)控制以及數(shù)據(jù)保護(hù)三個(gè)層面問(wèn)題。簡(jiǎn)單說(shuō),數(shù)據(jù)安全首先需要確定數(shù)據(jù)在哪里?數(shù)據(jù)的主體是誰(shuí)?訪問(wèn)控制首要目標(biāo)是數(shù)據(jù)使用者如何證明具備相應(yīng)的數(shù)據(jù)權(quán)限。數(shù)據(jù)保護(hù)則需要更高層面的建設(shè)框架,首要目標(biāo)是組織或個(gè)人如何確保數(shù)據(jù)已獲得了恰當(dāng)?shù)谋Wo(hù)。
實(shí)現(xiàn)對(duì)數(shù)據(jù)采集、傳輸、存儲(chǔ)、處理、交換、銷毀全生命周期的管理,在業(yè)務(wù)層面,應(yīng)當(dāng)考慮建設(shè)包含預(yù)防、發(fā)現(xiàn)、消除泄密隱患為主的數(shù)據(jù)安全體系;在技術(shù)層面,應(yīng)當(dāng)考慮建設(shè)數(shù)據(jù)風(fēng)險(xiǎn)核查能力、數(shù)據(jù)梳理能力、數(shù)據(jù)保護(hù)能力以及數(shù)據(jù)威脅監(jiān)控預(yù)警能力四大核心數(shù)據(jù)能力的建設(shè);最終建立“數(shù)據(jù)安全運(yùn)營(yíng)”的全過(guò)程安全支撐能力,直至達(dá)到整體安全目標(biāo)。具體來(lái)說(shuō),企業(yè)應(yīng)從以下七方面著手建立數(shù)據(jù)安全技術(shù)體系:
1. 數(shù)據(jù)梳理。即對(duì)企業(yè)重要數(shù)據(jù)、敏感數(shù)據(jù)進(jìn)行全面排查梳理,并根據(jù)業(yè)務(wù)需要對(duì)不同角色接觸、處理數(shù)據(jù)的權(quán)限進(jìn)行梳理。
2. 入侵防御。即建立、檢查數(shù)據(jù)庫(kù)防火墻,以便對(duì)外部攻擊進(jìn)行有效防護(hù),同時(shí)也對(duì)內(nèi)部數(shù)據(jù)庫(kù)漏洞進(jìn)行有效防護(hù),防止漏洞被違規(guī)利用。
3. 權(quán)限管控。即針對(duì)不同訪問(wèn)需求,規(guī)范數(shù)據(jù)訪問(wèn)權(quán)限,并嚴(yán)格記錄訪問(wèn)情況,實(shí)現(xiàn)內(nèi)部數(shù)據(jù)操作行為的有效控制與監(jiān)管。
4. 脫敏流轉(zhuǎn)。即在數(shù)據(jù)使用流轉(zhuǎn)過(guò)程,遵循數(shù)據(jù)最小使用原則,去標(biāo)識(shí),去隱私,實(shí)現(xiàn)數(shù)據(jù)的安全高效利用,在安全的前提下提升數(shù)據(jù)的使用價(jià)值。
5. 密文存儲(chǔ)。即落實(shí)重要數(shù)據(jù)識(shí)別和分類分級(jí)保護(hù)要求,對(duì)重要的核心數(shù)據(jù)加密存儲(chǔ),守護(hù)數(shù)據(jù)安全。
6. 監(jiān)管稽核。即建立有效的內(nèi)部數(shù)據(jù)安全合規(guī)監(jiān)管體系,從數(shù)據(jù)產(chǎn)生,到場(chǎng)景化使用,進(jìn)行流向監(jiān)控、精準(zhǔn)分析,實(shí)現(xiàn)有效監(jiān)管。
7. 應(yīng)急處置機(jī)制。即一旦發(fā)生安全事件,確保企業(yè)有完善的應(yīng)急預(yù)案和應(yīng)對(duì)處理機(jī)制,防止事態(tài)進(jìn)一步擴(kuò)大。
綜上,筆者建議,基于《數(shù)據(jù)安全法》帶來(lái)的合規(guī)需求,無(wú)論其配套法規(guī)文件何時(shí)落地,企業(yè)想要減少數(shù)據(jù)安全相關(guān)的合規(guī)風(fēng)險(xiǎn),就應(yīng)變被動(dòng)為主動(dòng),盡早啟動(dòng)企業(yè)數(shù)據(jù)安全合規(guī)體系建設(shè)。考慮到內(nèi)控合規(guī)體系建設(shè)所需周期,盡早著手自行合規(guī)工作對(duì)于運(yùn)營(yíng)系統(tǒng)數(shù)量眾多、數(shù)據(jù)量龐大的企業(yè)尤為重要。
此外,隨著大批量企業(yè)數(shù)字化轉(zhuǎn)型的加速,涉數(shù)據(jù)問(wèn)題的企業(yè)間商業(yè)合作、并購(gòu)交易日趨頻繁,企業(yè)交易對(duì)手方的數(shù)據(jù)合規(guī)不到位也可能給企業(yè)帶來(lái)重大隱患。該風(fēng)險(xiǎn)的識(shí)別、防范之道筆者將在下文詳述。
Part2 企業(yè)交易數(shù)據(jù)合規(guī)風(fēng)險(xiǎn)防范
近年來(lái),我國(guó)對(duì)數(shù)據(jù)安全及個(gè)人信息保護(hù)監(jiān)管不斷加強(qiáng),《民法典》,以及《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》《網(wǎng)絡(luò)安全法》《電子商務(wù)法》等陸續(xù)出臺(tái),構(gòu)筑起了我國(guó)數(shù)據(jù)合規(guī)制度體系的頂層架構(gòu),加之逐漸常態(tài)化的執(zhí)法活動(dòng),企業(yè)面臨日益嚴(yán)格的合規(guī)挑戰(zhàn)。與此同時(shí),數(shù)據(jù)已成為新興的生產(chǎn)要素,是國(guó)家基礎(chǔ)性和戰(zhàn)略性資源,數(shù)據(jù)的資產(chǎn)屬性已得到普遍認(rèn)可。而新冠疫情的爆發(fā)加速了企業(yè)的數(shù)字化轉(zhuǎn)型,廣大企業(yè)已經(jīng)將數(shù)字化戰(zhàn)略作為發(fā)展戰(zhàn)略的重要方向,涉數(shù)據(jù)內(nèi)容的采購(gòu)、商業(yè)合作、并購(gòu)交易也日趨頻繁,因此,企業(yè)在做好內(nèi)部數(shù)據(jù)安全合規(guī)體系建設(shè)的同時(shí),也應(yīng)密切關(guān)注由交易帶來(lái)的數(shù)據(jù)合規(guī)風(fēng)險(xiǎn)。尤其對(duì)于有上市計(jì)劃的公司而言,更是要未雨綢繆,正視目前審核機(jī)關(guān)對(duì)擬上市企業(yè)(尤其是科創(chuàng)板上市)的數(shù)據(jù)合規(guī)審查日趨嚴(yán)格,涉數(shù)據(jù)問(wèn)詢也從概括、籠統(tǒng)變得具體、細(xì)致的趨勢(shì),避免本為了快速實(shí)現(xiàn)上市目標(biāo)而進(jìn)行的并購(gòu)交易中出現(xiàn)涉數(shù)據(jù)安全問(wèn)題而導(dǎo)致上市受阻,甚至如新三板掛牌公司數(shù)據(jù)堂案[注1]一般付出慘痛代價(jià)。
一、交易行為中的數(shù)據(jù)合規(guī)風(fēng)險(xiǎn)
《數(shù)據(jù)安全法》明確了對(duì)數(shù)據(jù)的收集、存儲(chǔ)、使用、加工、傳輸、提供、公開(kāi)等各個(gè)環(huán)節(jié)進(jìn)行數(shù)據(jù)安全風(fēng)險(xiǎn)的監(jiān)測(cè)、評(píng)估和防護(hù)要求,有關(guān)單位和個(gè)人收集、存儲(chǔ)、使用、加工、傳輸、提供、公開(kāi)數(shù)據(jù)資源,都應(yīng)當(dāng)依法建立健全數(shù)據(jù)安全管理制度,采取相應(yīng)技術(shù)措施保障數(shù)據(jù)安全。而《個(gè)人信息保護(hù)法》是聚焦于個(gè)人信息,對(duì)“個(gè)人信息處理規(guī)則”、“個(gè)人信息主體權(quán)利”、“個(gè)人信息處理者義務(wù)”、“跨境傳輸”等重點(diǎn)關(guān)注的主題提出了具體要求,其第二十一至二十三條對(duì)“向第三方提供個(gè)人信息”進(jìn)行了明確的限制。《網(wǎng)絡(luò)安全法》第四十二條也規(guī)定,網(wǎng)絡(luò)運(yùn)營(yíng)者不得泄露、篡改、毀損其收集的個(gè)人信息;未經(jīng)被收集者同意,不得向他人提供個(gè)人信息。但是,經(jīng)過(guò)處理無(wú)法識(shí)別特定個(gè)人且不能復(fù)原的除外。此外,我國(guó)《刑法》第253條之一第三款規(guī)定,竊取或者以其他方法非法獲取公民個(gè)人信息的,依照第一款的規(guī)定處罰。《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問(wèn)題的解釋》第三條第二款規(guī)定未經(jīng)被收集者同意,將合法收集的公民個(gè)人信息向他人提供的,屬于刑法第二百五十三條之一規(guī)定的“提供公民個(gè)人信息” ,但是經(jīng)過(guò)處理無(wú)法識(shí)別特定個(gè)人且不能復(fù)原的除外。
綜上,不難看出企業(yè)的交易行為中,涉及個(gè)人驗(yàn)證信息的數(shù)據(jù)是涉數(shù)據(jù)交易行為中核心風(fēng)險(xiǎn)來(lái)源。在司法實(shí)踐中,“購(gòu)買”普遍被視為《刑法》第253條之一第三款規(guī)定的“其他方法”的一種。并且,該處的“購(gòu)買”應(yīng)該廣義理解,即應(yīng)理解為具備對(duì)價(jià)的數(shù)據(jù)轉(zhuǎn)讓、共享,可能發(fā)生在數(shù)據(jù)采購(gòu)、商業(yè)合作及并購(gòu)交易中。企業(yè)在進(jìn)行涉數(shù)據(jù)交易的過(guò)程中一定要做好交易對(duì)手和交易所涉及數(shù)據(jù)的盡職調(diào)查,否則有可能被認(rèn)定為非法數(shù)據(jù)交易的直接參與者,導(dǎo)致做出購(gòu)買決定的一系列管理者以及相關(guān)財(cái)務(wù)人員都將面臨極高的法律風(fēng)險(xiǎn)。
因此企業(yè)在數(shù)據(jù)交易過(guò)程中不僅要確保自身依法依規(guī),還要做好交易對(duì)手的盡職調(diào)查和風(fēng)控工作,并根據(jù)匿名化數(shù)據(jù)的再識(shí)別風(fēng)險(xiǎn)等級(jí)有選擇地進(jìn)行交易。對(duì)于交易對(duì)手的盡職調(diào)查,主要需要考慮數(shù)據(jù)出售方資質(zhì)、數(shù)據(jù)來(lái)源合法性、接收數(shù)據(jù)的范圍和形式等多個(gè)方面。一般而言,大公司受到監(jiān)管機(jī)關(guān)關(guān)注的可能性大,也有足夠的資源完善其合規(guī)制度,與之進(jìn)行合作,數(shù)據(jù)購(gòu)買方的合規(guī)壓力相對(duì)較小。但交易對(duì)象的資質(zhì)聲譽(yù)也不是決定性因素,比交易對(duì)手資質(zhì)更重要的是要確保交易涉及數(shù)據(jù)來(lái)源的合法性。由于《個(gè)人信息保護(hù)法》及相關(guān)規(guī)定中對(duì)個(gè)人信息采集強(qiáng)調(diào)的是“同意、合理、最小化”三原則,因此在考察數(shù)據(jù)來(lái)源合規(guī)性問(wèn)題時(shí),主要考量的因素包括被收集人是否明知該數(shù)據(jù)被數(shù)據(jù)提供方收集、數(shù)據(jù)流通行為是否已經(jīng)得到被收集人同意、數(shù)據(jù)利用形式是否已告知被采集人并得到同意以及接收數(shù)據(jù)的種類等,從法律條文來(lái)看,對(duì)數(shù)據(jù)進(jìn)行匿名化處理或取得用戶合法有效的同意是規(guī)避數(shù)據(jù)交易法律風(fēng)險(xiǎn)的有效途徑。
企業(yè)在進(jìn)行涉數(shù)據(jù)交易時(shí)都應(yīng)當(dāng)通過(guò)協(xié)議等形式對(duì)交易對(duì)手方、被并購(gòu)對(duì)象的數(shù)據(jù)合規(guī)問(wèn)題進(jìn)行確認(rèn)。但需要注意的是,即便已與交易對(duì)手方或被并購(gòu)對(duì)象簽署了數(shù)據(jù)合規(guī)方面的保證協(xié)議,也并不能保證完全避免作為數(shù)據(jù)接收方的企業(yè)可能面臨的行政或刑事責(zé)任,對(duì)于民事責(zé)任,數(shù)據(jù)接收方也僅僅是能通過(guò)違約責(zé)任將最終損害賠償責(zé)任轉(zhuǎn)嫁至數(shù)據(jù)出售方或其他第三方。所以,企業(yè)在進(jìn)行涉數(shù)據(jù)交易時(shí)不可依賴交易對(duì)手方、被并購(gòu)對(duì)象對(duì)數(shù)據(jù)合規(guī)問(wèn)題的承諾,認(rèn)真做好數(shù)據(jù)合規(guī)盡調(diào)是必不可少的。
二、數(shù)據(jù)合規(guī)盡調(diào)方式
企業(yè)在進(jìn)行涉數(shù)據(jù)交易前,認(rèn)真開(kāi)展數(shù)據(jù)合規(guī)盡調(diào),摸底合作方、交易方、擬并購(gòu)方的數(shù)據(jù)合規(guī)情況,做到“知己知彼”,才能防患于未然。數(shù)據(jù)合規(guī)盡調(diào)具體來(lái)說(shuō)該怎么做呢?主要包括如下工作:
首先是對(duì)交易對(duì)手方的基本信息、數(shù)據(jù)處理、業(yè)務(wù)運(yùn)營(yíng)等情況進(jìn)行初步了解,搜集相關(guān)基礎(chǔ)文件,并對(duì)數(shù)據(jù)合規(guī)相關(guān)的IT、HR、法務(wù)、運(yùn)營(yíng)等關(guān)鍵部門、關(guān)鍵人員進(jìn)行訪談,對(duì)交易對(duì)手方數(shù)據(jù)搜集、使用、內(nèi)外部流轉(zhuǎn)的基本情況建立認(rèn)識(shí)。
盡調(diào)工作的核心內(nèi)容是對(duì)交易對(duì)手方從數(shù)據(jù)收集、存儲(chǔ)、使用、傳輸(包括跨境傳輸)、共享、披露等數(shù)據(jù)處理的各環(huán)節(jié)的合法合規(guī)性進(jìn)行調(diào)查。該工作需要結(jié)合交易對(duì)手方的業(yè)務(wù)情況及與企業(yè)自身的關(guān)系來(lái)針對(duì)性設(shè)計(jì)方案,一般應(yīng)包含對(duì)以下問(wèn)題的調(diào)查:
1. 數(shù)據(jù)的來(lái)源,主要是數(shù)據(jù)通過(guò)何種渠道收集;
2. 數(shù)據(jù)的匿名化情況,重點(diǎn)關(guān)注被反向識(shí)別的可能;
3. 數(shù)據(jù)的存儲(chǔ),包括對(duì)存儲(chǔ)地點(diǎn),是存儲(chǔ)在本地服務(wù)器存儲(chǔ)或存放在第三方云等問(wèn)題進(jìn)行明確;
4. 數(shù)據(jù)內(nèi)部的流轉(zhuǎn)、使用情況,包括可被哪些部門及人員訪問(wèn)和處理、用于哪些目的等;
5. 數(shù)據(jù)對(duì)外流轉(zhuǎn)情況及其目的,如傳輸給關(guān)聯(lián)公司、合作伙伴、供應(yīng)商等;
6. 向中國(guó)境外傳輸數(shù)據(jù)的情況及其目的,例如向哪些國(guó)家傳輸;
7. 數(shù)據(jù)刪除、銷毀、冷藏處理的情況等。
具體盡調(diào)工作的開(kāi)展會(huì)從組織、制度、技術(shù)等層面考慮數(shù)據(jù)處理活動(dòng)的合法性和合規(guī)性。
組織層面,需要對(duì)目前的組織架構(gòu)、相關(guān)人員(如數(shù)據(jù)保護(hù)官)設(shè)置情況及其職責(zé)、權(quán)限進(jìn)行考察。比如是否明確了董事會(huì)、監(jiān)事會(huì)、管理層等在數(shù)據(jù)合規(guī)方面的監(jiān)管責(zé)任;是否任命了數(shù)據(jù)保護(hù)官(或同類職責(zé)人員),并確定其在企業(yè)中的角色和職責(zé);是否會(huì)定期或不定期對(duì)管理層、數(shù)據(jù)保護(hù)官、隱私保護(hù)負(fù)責(zé)人及其他員工進(jìn)行數(shù)據(jù)保護(hù)相關(guān)培訓(xùn)或考核等。
制度層面,需要對(duì)交易對(duì)手的數(shù)據(jù)安全相關(guān)政策、文件進(jìn)行審查。主要從這些方面進(jìn)行審查:是否具有整體性的數(shù)據(jù)合規(guī)政策;是否在關(guān)鍵領(lǐng)域建立并實(shí)施了操作性文件,以確保數(shù)據(jù)收集和使用行為合法合規(guī),例如隱私政策、員工個(gè)人信息同意函、數(shù)據(jù)接收/共享協(xié)議等;是否采取了數(shù)據(jù)分類、分級(jí)存儲(chǔ)制度,是否明確了不同類型數(shù)據(jù)的管理規(guī)則;是否具有記錄制度,以確保數(shù)據(jù)處理活動(dòng)有跡可循;是否建立了與業(yè)務(wù)開(kāi)展需求匹配的數(shù)據(jù)分級(jí)訪問(wèn)控制制度,對(duì)企業(yè)內(nèi)部可以訪問(wèn)相關(guān)數(shù)據(jù)的人員分級(jí)權(quán)限設(shè)置;對(duì)外提供數(shù)據(jù),是否建立了相應(yīng)的約束機(jī)制,以確保數(shù)據(jù)傳輸?shù)陌踩砸约安槐晃唇?jīng)授權(quán)地使用;是否建立了跨境傳輸制度,以確保數(shù)據(jù)的跨境傳輸符合相關(guān)法律法規(guī)規(guī)定以及行業(yè)主管部門的要求;是否建立了數(shù)據(jù)安全事件應(yīng)急預(yù)案等。
技術(shù)層面,律師主要是從法律的角度考察是否采取了技術(shù)措施,以及其落實(shí)情況。至于技術(shù)實(shí)際的有效性、安全性等問(wèn)題,需要相關(guān)技術(shù)公司和專業(yè)人員進(jìn)行審查核驗(yàn)。一般來(lái)說(shuō),技術(shù)層面數(shù)據(jù)安全盡調(diào)工作需要考察的內(nèi)容包括但不限于:是否采取了數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施;是否會(huì)定期及不定期對(duì)數(shù)據(jù)設(shè)施和系統(tǒng)進(jìn)行安全檢查;是否采取了防范計(jì)算機(jī)病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施;是否采取了監(jiān)測(cè)、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施;采購(gòu)第三方信息系統(tǒng)產(chǎn)品或服務(wù)時(shí),是否已通過(guò)盡調(diào)等方式對(duì)第三方的網(wǎng)絡(luò)安全能力進(jìn)行考察,或通過(guò)合同或其他方式對(duì)供應(yīng)商的相關(guān)責(zé)任義務(wù)進(jìn)行明確;是否進(jìn)行了網(wǎng)絡(luò)安全等級(jí)保護(hù)備案;是否取得了網(wǎng)絡(luò)安全相關(guān)認(rèn)證等。
隨著經(jīng)濟(jì)社會(huì)的進(jìn)步,數(shù)據(jù)已成為重要生產(chǎn)要素,并且數(shù)據(jù)安全合規(guī)使用的監(jiān)管要求也越來(lái)越高。傳統(tǒng)盡調(diào)已經(jīng)無(wú)法適應(yīng)新時(shí)代交易中涉及的數(shù)據(jù)安全需要,面臨安全的新態(tài)勢(shì)、新要求,企業(yè)在繼續(xù)做好業(yè)務(wù)、財(cái)務(wù)盡調(diào)的基礎(chǔ)之上,將數(shù)據(jù)安全盡調(diào)納入對(duì)交易對(duì)方的盡調(diào)范圍已成必然趨勢(shì)。
數(shù)據(jù)安全合規(guī)管理與法律及相關(guān)法規(guī)、政策、標(biāo)準(zhǔn)的出臺(tái)、變更密切相關(guān),也與企業(yè)自身所在行業(yè)的要求、服務(wù)對(duì)象的特征密切相關(guān)。未來(lái)筆者將陸續(xù)就金融、醫(yī)療等重要數(shù)據(jù)應(yīng)用環(huán)境的數(shù)據(jù)安全合規(guī)要求,以及未成年人數(shù)據(jù)信息保護(hù)等問(wèn)題推出數(shù)據(jù)合規(guī)操作性專題與大家分享、探討。
注釋及參考文獻(xiàn):
[1] 2018年7月,山東臨沂警方破獲了因運(yùn)營(yíng)商內(nèi)部人員倒賣數(shù)據(jù)引發(fā)的特大侵犯公民個(gè)人信息案件。警方在偵查中發(fā)現(xiàn),新三板上市公司數(shù)據(jù)堂購(gòu)買了該批涉案數(shù)據(jù),進(jìn)而逮捕了包括該公司一名副總裁在內(nèi)的多名高管。