引言
在当今数字化浪潮的推动下,企业数据安全合规已成为众多企业稳健运营的基石。笔者作为实习律师,有幸在曾理律师、付阳春律师的带领下,为一家国有零售商提供了全面的国企数据安全合规项目。该项目不仅全面,而且深入,几乎囊括了国企在数据安全合规方面所需的全部要素。
该项目内容涵盖了数据安全合规风险排查、公司内部数据合规制度体系搭建、相关业务文本的起草与修订、APP与小程序的专项合规等。针对该项目,本团队出具了数据安全合规风险评估报告、小程序个人信息收集合规检测报告及UI界面优化建议、隐私政策、用户协议、数据委托处理协议等书面文本。
尽管项目内容繁多且看似散乱,但它们实际上是一个有机整体,相互关联。我们在推行项目的过程中,始终围绕风险排查、风险识别与分析、整改方案的制定与落实这三个核心步骤进行。这种方法帮助我们迅速抓住了主线和主要矛盾,确保了合规工作的高效性和系统性。
本文的写作逻辑遵循了上述项目实施的主线逻辑,旨在通过分享我们在该项目中的经验,为其他国有或非国有企业提供实现数据合规的参考和思路。
第一部分:风险排查
一、尽职调查:风险排查的起点
作为隶属于企业外部第三方机构的律师,需要收集并分析大量的信息,以全面了解企业运营状况,对潜在风险的深入剖析。律师一般通过问卷调查、人员访谈等方式进行尽职调查,这些信息往往来自于企业的各个部门、各个环节,原始信息呈现出散乱无序的状态。这些信息来自企业的信息部、综合部、商品部、运营部等各个部门,收集的信息,有时候是片面的只言片语,以至于无法串联起全部信息的关联性;有些时候又过于冗杂,例如笔者在尽职调查的过程中曾接受到长达106页的计算机系统建设方案,里面混杂大量的计算机术语,涉及系统综述、总体规划、安装部署、系统安全保护等级确定等五大类、数十个小类,而作为一名未曾接受过任何计算机学科教育的法律从业者,在短时间内铺天盖地接受如此高密度的计算机参数信息,极容易导致思维混乱。因此,如何有效地梳理这些信息,成为风险排查的关键,也是本部分内容讲述的重点。
二、信息梳理:从宏观、中观、微观三个角度切入
为有效梳理纷繁杂乱的各类信息,律师可以从宏观、中观、微观三个角度入手:(1)外部产业模式;(2)企业内部环境;(3)数据全生命周期。这三个角度并非相互独立,而是相互联系的。
(一)宏观角度:通过外部产业模式洞察不同的角色定位
数据是物质世界产业链条在信息化世界的映射,而数据的传输,总有发射点与接收点。因此,律师可以通过观察公司现实中的产业模式,从宏观角度快速掌握:
● 与公司产生数据处理活动的其他对象是谁?
● 双方/多方主体相互之间存在什么关系?
● 公司在数据链条中的角色定位?
简单举例:
公司主要经营B2C电子商务网站,可以大致梳理其产业模式如下:
第三方商家通过公司经营的B2C电子商务网站,销售自己的商品或服务给最终用户。
图1:产业模式
相对应的,可以得知如下信息:
(1)与公司产生数据处理活动的其他对象必然包括:第三方商家、C端客户。
(2)多方主体相互之间的关系:
客户提供地址、联系方式、名字等数据给B2C电子商务网站,B2C电子商务网站把上述信息提供给第三方商家,第三方商家把这些信息提供给物流公司,以完成发货配送。
图2:C端客户地址、联系方式、名字数据的传输链条
(3)公司的角色定位:主要为数据接收方,涉及的数据处理活动主要有数据收集、使用、存储、传输,可能涉及加工。
(二)中观角度:通过企业内部环境洞察数据管理流程
在企业内部环境中,数据的流转与交互贯穿于各个运营环节。无论是母公司向子公司的数据下传,还是总公司与分公司之间的数据交换,乃至公司内部不同部门间的数据共享,这些数据流动都是企业运作不可或缺的部分。它们不仅影响着企业的运营效率,更关键地是,它们直接涉及到企业的数据安全性与合规性标准。
通过细致地梳理和优化公司内部的业务流程,可以明确辨识出数据的产生者、使用者、监管者及责任承担者。这一过程是至关重要的,因为它为后续的数据合规整改计划的制定、数据合规体系的构建或完善,奠定了坚实的基础。这种对内部数据流动的深入理解和有效管理,是确保企业数据合规性、维护数据安全和推动业务高效运转的关键步骤。
(三)微观角度:通过数据全生命周期揭示数据处理活动全貌
数据全生命周期,是指数据从产生,经过数据收集、数据传输、数据存储、数据使用(包括计算、分析、可视化等)、数据交换,直至数据销毁等各种生存形态的演变过程。对这一连续过程的系统化梳理,是揭示企业数据处理活动全貌、建立全面风险管理基础的关键步骤。
以购物APP为例,其数据处理活动可细分为以下阶段:
1.数据收集阶段:购物APP需在用户同意的前提下,合法收集个人信息(例如地址、姓名、手机号码等)和购物偏好等数据,确保收集的合法性和用户隐私的保护。
2.数据存储阶段:收集到的数据必须通过加密和访问控制等安全措施,被安全地保存在该APP的服务器上,以防止数据泄露或未授权访问。
3.数据使用阶段:APP通过分析处理用户数据,提供个性化推荐和定制化的营销策略,同时确保数据处理活动的透明度和用户权益的尊重。
4.数据传输阶段:在与第三方合作伙伴(例如物流公司、移动支付软件等)进行数据交互时,必须确保数据传输的安全性,并通过合同等法律手段明确数据共享的责任和义务。
5.数据销毁阶段:当用户注销账号时,为防止数据被恢复和滥用,企业需采取有效措施彻底删除不再需要的数据,并确保销毁过程符合法律法规要求。
三、数据映射分析:通过多维视角全面审视与梳理个人信息的处理活动
在完成对数据全生命周期过程的梳理之后,我们对企业数据从诞生到消亡的每个阶段都有了清晰的认识。现在,我们需要把这些认识转化为对数据处理的具体步骤,并创建一份详尽的数据清单和易于理解的映射图谱。
在这个阶段,我们要做到以下几点:
● 紧密结合实际场景:分析个人信息处理的实际情况,包括它在哪里被收集、如何被存储和使用,以及如何被分享和删除。
● 全面调研:从个人信息的收集到删除的每个环节,我们都要深入了解,包括为什么收集这些信息,用什么方法处理,以及如何保护它们。
● 全面考虑信息处理过程中涉及的相关资源和相关方:需要考虑哪些系统、工具和相关方参与了信息处理,例如公司内部的系统、外部的服务提供商、云服务商、平台经营者等。
● 特殊情况:在调研中,还要考虑到一些特殊情况,比如系统下线、系统数据合并、公司合并或收购等。
具体可以列为下列表格:
图3:来源自GB/T39335-2020《信息安全技术 个人信息安全影响评估指南》
在整理和分析数据映射的结果时,我们要做到:
● 分类个人信息处理活动:根据信息的种类、敏感程度、在哪里收集、如何处理等因素,将个人信息处理活动分成不同的类别。
● 详细描述每个类别:对每一类个人信息处理活动进行详细描述,这样我们可以更好地了解和评估可能存在的风险。
具体可以列为下表:
图3:来源自GB/T39335-2020《信息安全技术 个人信息安全影响评估指南》
未完待续......
