經(jīng)過半年多的起草、修改,《基于數(shù)字化運營的CRM 3.0系統(tǒng)需求指南》的組成部分《零售企業(yè)數(shù)據(jù)安全合規(guī)指南》今日正式發(fā)布。一、《基于數(shù)字化運營的CRM 3.0系統(tǒng)需求指南》編制背景數(shù)字化時代,零售業(yè)的IT系統(tǒng)需求發(fā)生了巨大變化,對系統(tǒng)滿足其新需求的要求更為迫切,協(xié)會應(yīng)行業(yè)需求,于2021年成立了“新時期百購行業(yè)IT及數(shù)字化系統(tǒng)需求研究”項目組。項目組連續(xù)兩年展開百購行業(yè)IT及數(shù)字化系統(tǒng)需求調(diào)查工作并形成報告,兩年報告均顯示:CRM是零售企業(yè)的核心痛點和最不滿意的信息系統(tǒng)。信息化時代下的CRM 1.0,解決了會員信息化及存檔的問題;互聯(lián)網(wǎng)時代下的CRM 2.0,解決了通過郵箱、短信等通道單向信息傳遞,實現(xiàn)了簡單營銷功能;數(shù)智化時代下的CRM 3.0時代,CRM不僅僅是充當存檔和單向傳遞的工具,更應(yīng)建立與消費者高效連接互動,成為內(nèi)容運營和提供針對性產(chǎn)品和服務(wù)的主要陣地。
為此,中國百貨商業(yè)協(xié)會在項目組組織下,開展《基于數(shù)字化運營的CRM 3.0系統(tǒng)需求指南》(以下簡稱“CRM需求指南”)起草研究,前期主要由中國百貨商業(yè)協(xié)會、杭州比智科技有限公司、北京尚博信科技有限公司、零一裂變(深圳)科技有限公司、北京市盈科律師事務(wù)所重點參與,目前初稿已近完成。
二、《零售企業(yè)數(shù)據(jù)安全合規(guī)指南》的重要意義作為《需求指南》的重要組成部分,《零售企業(yè)數(shù)據(jù)安全合規(guī)指南》(以下簡稱“合規(guī)指南”)具有重要意義。零售企業(yè)的消費者數(shù)據(jù)、交易數(shù)據(jù)、商品數(shù)據(jù)規(guī)模龐大,近年來,消費者法律意識不斷提升,國家相關(guān)監(jiān)管機制也在不斷完善,對零售企業(yè)存儲、使用現(xiàn)有數(shù)據(jù)提出了很高的要求。與此同時,零售企業(yè)的數(shù)據(jù)治理理念和架構(gòu)又相對傳統(tǒng),形成了數(shù)據(jù)量大、高要求和低治理水平間的矛盾,處理不好可能會上升到司法層面的問題。為此,協(xié)會聯(lián)合知名律所盈科公司,以及其它相關(guān)專家,在《CRM需求指南》中增加了《合規(guī)指南》的內(nèi)容,專家們結(jié)合司法實踐,系統(tǒng)闡述了數(shù)據(jù)安全合規(guī)的相關(guān)要求,為企業(yè)開展數(shù)據(jù)相關(guān)工作提供了可靠的指引。在CRM系統(tǒng)要求中,加入數(shù)據(jù)安全合規(guī)的內(nèi)容,也是一項具有創(chuàng)新性的實踐,將與數(shù)據(jù)相關(guān)的技術(shù)開發(fā)、業(yè)務(wù)運營和法規(guī)要求進行了有機的結(jié)合。協(xié)會先行發(fā)布《數(shù)據(jù)合規(guī)指南》,《CRM需求指南》的其它部分也將在近期正式發(fā)布。協(xié)會將通過媒體宣傳、線下交流研討、案例分享等方面,對指南內(nèi)容進行持續(xù)宣貫,同時,以適當?shù)闹芷趯χ改线M行迭代更新。其中,《數(shù)據(jù)合規(guī)指南》的線下交流會擬定于2月下旬召開,敬請關(guān)注。如有相關(guān)意見建議,請反饋至:gaomd@ccagm.org.cn 1數(shù)據(jù)安全發(fā)展趨勢
1.1數(shù)據(jù)要素市場發(fā)展趨勢
數(shù)據(jù)要素市場化是數(shù)字經(jīng)濟的新現(xiàn)象。由于大數(shù)據(jù)與人工智能技術(shù)的結(jié)合,數(shù)據(jù)已經(jīng)成為第一生產(chǎn)要素,數(shù)據(jù)及其運行機制成為支撐算法算力切實有效發(fā)揮作用的關(guān)鍵要素,是數(shù)字經(jīng)濟高質(zhì)量發(fā)展的基礎(chǔ)原料和邏輯基點。數(shù)據(jù)正在成為企業(yè)進行決策、生產(chǎn)、營銷、交易、配送、服務(wù)等商務(wù)活動所必不可少的投入品和重要的戰(zhàn)略性資產(chǎn),成為促進經(jīng)濟高質(zhì)量增長的重要驅(qū)動力。協(xié)同推進技術(shù)、 模式、業(yè)態(tài)和制度創(chuàng)新,切實用好數(shù)據(jù)要素,將為經(jīng)濟社會數(shù)字化發(fā)展帶來強勁動力。
2020 年 4 月 9 日,中共中央、國務(wù)院印發(fā)《關(guān)于構(gòu)建更加完善的要素市場化配置體制機制的意見》,進一步強調(diào)數(shù)據(jù)要素的重要地位,將數(shù)據(jù)與土地、資本、技術(shù)、勞動并列為五大生產(chǎn)要素。提出加快培育數(shù)據(jù)要素市場,包括推進政府數(shù)據(jù)開放共享、提升社會數(shù)據(jù)資源價值、加強數(shù)據(jù)資源整合和安全保護三項具體內(nèi)容。2021年3月,中央在“十四五”規(guī)劃中作出了“建設(shè)高標準市場體系;推進土地、勞動力、資本、技術(shù)、數(shù)據(jù)等要素市場化改革”的戰(zhàn)略部署,要求建立數(shù)據(jù)資源產(chǎn)權(quán)、交易流通、跨境傳輸和安全保護等基礎(chǔ)制度和標準規(guī)范,推動數(shù)據(jù)資源開發(fā)利用。2021 年 12 月 12 日,國務(wù)院印發(fā)《“十四五”數(shù)字經(jīng)濟發(fā)展規(guī)劃》,提出在2025 年初步建立數(shù)據(jù)要素市場體系,充分發(fā)揮數(shù)據(jù)要素作用。2)各地陸續(xù)出臺數(shù)字經(jīng)濟促進條例2021-2022年,全國各省市陸續(xù)出臺了數(shù)字經(jīng)濟促進條例,以培育數(shù)據(jù)要素市場。例如,自2022年6月1日起施行的《廣州市數(shù)字經(jīng)濟促進條例》第四條規(guī)定:“數(shù)字經(jīng)濟發(fā)展應(yīng)當以數(shù)字產(chǎn)業(yè)化和產(chǎn)業(yè)數(shù)字化為核心,推進數(shù)字基礎(chǔ)設(shè)施建設(shè),實現(xiàn)數(shù)據(jù)資源價值化,提升城市治理數(shù)字化水平,營造良好發(fā)展環(huán)境,構(gòu)建數(shù)字經(jīng)濟全要素發(fā)展體系。”自2022年11月1日起施行的《深圳經(jīng)濟特區(qū)數(shù)字經(jīng)濟產(chǎn)業(yè)促進條例》第二十三條規(guī)定:“ 鼓勵市場主體加強數(shù)據(jù)開放和數(shù)據(jù)流動,推動數(shù)據(jù)要素資源化、資產(chǎn)化、資本化發(fā)展。” 即將于2023年1月1日起施行的《北京市數(shù)字經(jīng)濟促進條例》第一條明確:“為了加強數(shù)字基礎(chǔ)設(shè)施建設(shè),培育數(shù)據(jù)要素市場,推進數(shù)字產(chǎn)業(yè)化和產(chǎn)業(yè)數(shù)字化,完善數(shù)字經(jīng)濟治理,促進數(shù)字經(jīng)濟發(fā)展,建設(shè)全球數(shù)字經(jīng)濟標桿城市,根據(jù)有關(guān)法律、行政法規(guī),結(jié)合本市實際情況,制定本條例。”國家和地方相關(guān)政策文件的密集出臺,為數(shù)據(jù)作為生產(chǎn)要素在市場中進行配置,提供了政策土壤,也推動了我國大數(shù)據(jù)產(chǎn)業(yè)不斷發(fā)展,技術(shù)不斷進步,基礎(chǔ)設(shè)施不斷完善,融合應(yīng)用不斷深入。
1.2企業(yè)合規(guī)管理發(fā)展趨勢
習近平總書記強調(diào),守法經(jīng)營是任何企業(yè)都必須遵守的一個大原則,企業(yè)只有依法合規(guī)經(jīng)營才能行穩(wěn)致遠。黨的十九大后,黨中央明確提出習近平法治思想,把全面依法治國提升到前所未有的新高度。《法治中國建設(shè)規(guī)劃(2020-2025年)》《法治社會建設(shè)實施綱要(2020-2025年)》等中央文件對企業(yè)依法合規(guī)經(jīng)營提出明確要求。在當前國際競爭越來越體現(xiàn)為規(guī)則之爭、法律之爭的大背景下,我國企業(yè)面臨的國內(nèi)外環(huán)境和風險挑戰(zhàn)日趨復雜嚴峻,必須加快提升依法合規(guī)經(jīng)營管理水平,確保改革發(fā)展各項任務(wù)在法治軌道上穩(wěn)步推進。自2022年10月1日起施行的《中央企業(yè)合規(guī)管理辦法》第三條規(guī)定對企業(yè)“合規(guī)”的定義,作出了明確規(guī)定:“本辦法所稱合規(guī),是指企業(yè)經(jīng)營管理行為和員工履職行為符合國家法律法規(guī)、監(jiān)管規(guī)定、行業(yè)準則和國際條約、規(guī)則,以及公司章程、相關(guān)規(guī)章制度等要求。”合規(guī)管理成為企業(yè)做大做強的必經(jīng)之道。1)我國企業(yè)合規(guī)管理政策的發(fā)展歷程
為推進合規(guī)管理,《中央企業(yè)合規(guī)管理辦法》制定了一系列保障措施,例如,在組織和職責方面,將中央企業(yè)主要負責人作為推進法治建設(shè)第一責任人,設(shè)立合規(guī)委員會,由總法律顧問兼任首席合規(guī)官等;在運行機制方面,應(yīng)當建立合規(guī)風險識別評估預(yù)警機制,將合規(guī)審查作為必經(jīng)程序嵌入經(jīng)營管理流程,并應(yīng)建立違規(guī)問題整改機制、設(shè)立違規(guī)舉報平臺、完善違規(guī)行為追責問責機制等。1.3網(wǎng)絡(luò)安全與數(shù)據(jù)安全發(fā)展趨勢
當前,以數(shù)字經(jīng)濟為代表的新經(jīng)濟成為經(jīng)濟增長新引擎,數(shù)據(jù)作為核心生產(chǎn) 要素成為了基礎(chǔ)戰(zhàn)略資源,數(shù)據(jù)安全的基礎(chǔ)保障作用也日益凸顯。伴隨而來的數(shù) 據(jù)安全風險與日俱增,數(shù)據(jù)泄露、數(shù)據(jù)濫用等安全事件頻發(fā),為個人隱私、企業(yè) 商業(yè)秘密、國家重要數(shù)據(jù)等帶來了嚴重的安全隱患。為了規(guī)范數(shù)據(jù)處理活動,保障數(shù)據(jù)安全,促進數(shù)據(jù)開發(fā)利用,近兩年來,國家對數(shù)據(jù)安全與個人信息保護進行了前瞻性戰(zhàn)略部署,開展了系統(tǒng)性的頂層設(shè)計。《中華人民共和國數(shù)據(jù)安全法》于2021年9月1日正式施行,《中華人民共和國個人信息保護法》于2021年11月1日正式施行。這兩部法律與2017年的《中華人民共和國網(wǎng)絡(luò)安全法》共同構(gòu)建了中國數(shù)據(jù)合規(guī)及隱私保護的基礎(chǔ)法律框架,對網(wǎng)絡(luò)安全、數(shù)據(jù)安全和個人信息保護提出了方向性和基礎(chǔ)性指引及監(jiān)管要求。“工欲善其事,必先利其器”,在數(shù)字經(jīng)濟快速發(fā)展的背景下,我們更需要深刻認識到數(shù)據(jù)安全建設(shè)的重要性,不僅需要在技術(shù)上重點布局、勇于創(chuàng)新,更需要在安全意識和安全管理水平上大幅提升。2安全合規(guī)指南
2.1數(shù)據(jù)資產(chǎn)盤點
2.1.1數(shù)據(jù)流向測繪
首先,要做數(shù)據(jù)安全管控,我們需要知道企業(yè)目前有哪些數(shù)據(jù),數(shù)據(jù)是如何分布的,哪些是敏感數(shù)據(jù),敏感數(shù)據(jù)分布在哪里。為了解決這些問題,我們需要做的是數(shù)據(jù)資產(chǎn)的梳理、數(shù)據(jù)分類分級。其次,要做好敏感數(shù)據(jù)的安全管控,我們需要知道敏感數(shù)據(jù)是如何產(chǎn)生的,敏感數(shù)據(jù)是如何存儲的,敏感數(shù)據(jù)是如何使用的,如誰有權(quán)訪問敏感數(shù)據(jù)。為了解決這些問題,我們需要做的是“根據(jù)數(shù)據(jù)分類分級結(jié)果,針對敏感數(shù)據(jù)識別具體的使用場景,繪制出數(shù)據(jù)流轉(zhuǎn)圖。再次,根據(jù)上述繪制的數(shù)據(jù)流轉(zhuǎn)圖,基于整個業(yè)務(wù)場景識別敏感數(shù)據(jù)可能存在的安全風險,開展風險評估。同時,識別敏感數(shù)據(jù)現(xiàn)有的安全控制措施,分析當前存在的不足。最后,根據(jù)風險評估結(jié)果,設(shè)計差異化、可落地的安全管控措施,包括管理措施、技術(shù)措施、監(jiān)控審計類措施,目的是為了確保數(shù)據(jù)安全的“可感、可控、可審、可視”。
2.1.2資產(chǎn)盤點
企業(yè)開展數(shù)據(jù)資產(chǎn)盤點的過程中,需要結(jié)合所盤點的業(yè)務(wù)情況,劃定業(yè)務(wù)過程中需要進行盤點的數(shù)據(jù)范圍,即對“企業(yè)在運營活動中形成的,由企業(yè)擁有、全過程可控,并能給企業(yè)帶來價值的數(shù)據(jù)”開展盤點,當擁有、可控、具有價值三個條件全部滿足時,即可識別為數(shù)據(jù)資產(chǎn)盤點的對象范疇。數(shù)據(jù)資產(chǎn)盤點范圍應(yīng)包含18種數(shù)據(jù)資源,盤點數(shù)據(jù)資產(chǎn)類型可分為:業(yè)務(wù)對象、基礎(chǔ)表、代碼表、報表與指標等。 | 1.0 集成產(chǎn)品開發(fā)(IPD) |
|
|
|
|
|
| 7.0 從戰(zhàn)略到執(zhí)行(DSTE) |
|
|
|
|
| |
|
|
|
| 16.0 品牌與公共關(guān)系管理(B&RM) |
|
|
數(shù)據(jù)資產(chǎn)盤點要圍繞企業(yè)的全部業(yè)務(wù)活動展開,包含所有類型數(shù)據(jù)(線上線下、結(jié)構(gòu)半結(jié)構(gòu)),真實反映數(shù)據(jù)資源全貌,并識別出核心的數(shù)據(jù)資產(chǎn)。盤點的方法和過程包含以下內(nèi)容:
劃分業(yè)務(wù)主題及子主題,梳理業(yè)務(wù)流程和業(yè)務(wù)活動,識別業(yè)務(wù)對象。確定數(shù)據(jù)所屬業(yè)務(wù)領(lǐng)域、業(yè)務(wù)部門、崗位及數(shù)據(jù)來源。數(shù)據(jù)所屬IT架構(gòu)中具體區(qū)域、IT系統(tǒng)、數(shù)據(jù)類型和系統(tǒng)路徑。業(yè)務(wù)層面、組織層面和IT層面盤點的成果填充至提前制定好的數(shù)據(jù)資產(chǎn)盤點模板,形成數(shù)據(jù)資產(chǎn)盤點清單。針對盤點的成果進行內(nèi)容細化,例如數(shù)據(jù)量、更新頻率、數(shù)據(jù)重要等級、數(shù)據(jù)密集等資產(chǎn)認定字段進行完善。(6)輸出數(shù)據(jù)資產(chǎn)盤點成果輸出數(shù)據(jù)資產(chǎn)盤點成果,為后續(xù)構(gòu)建數(shù)據(jù)資產(chǎn)地圖、數(shù)據(jù)安全管理、數(shù)據(jù)治理提供基礎(chǔ)支持。
2.2數(shù)據(jù)分類分級
從數(shù)據(jù)分類而言,建議數(shù)據(jù)分類遵循有關(guān)法律法規(guī)及部門規(guī)定要求,優(yōu)先對國家或行業(yè)有專門管理要求的數(shù)據(jù)進行識別和管理,滿足相應(yīng)的數(shù)據(jù)安全合規(guī)管理要求。比如識別是否存在國家核心數(shù)據(jù)、重要數(shù)據(jù)、個人信息數(shù)據(jù)等。根據(jù)不同數(shù)據(jù)分類,匹配不同的法律法規(guī)要求,部署相應(yīng)的落地要求。
借助技術(shù)手段可以對結(jié)構(gòu)化數(shù)據(jù)開展自動分類分級和敏感數(shù)據(jù)的標志標識,最終輸出數(shù)據(jù)資產(chǎn)分布地圖。如下圖所示,自動分類分級平臺可以通過多種方式采集應(yīng)用系統(tǒng)中的原始數(shù)據(jù),并使用關(guān)鍵字、正則表達式、字段名匹配、表明匹配、機器學習、自然語言識別等多種敏感信息識別算法,識別敏感數(shù)據(jù)的類型,并按照分級標準完成敏感數(shù)據(jù)的分級。
數(shù)據(jù)類別千差萬別,甚至同樣的數(shù)據(jù)在不同的單位,重要程度的級別可能不一樣。“數(shù)據(jù)處理活動”的主體,可以根據(jù)主管部門、監(jiān)管單位對本行業(yè)的數(shù)據(jù)分類分級標準進行數(shù)據(jù)分類、分級。若“數(shù)據(jù)處理活動”主體的主管、監(jiān)管單位未制定相關(guān)標準,則建議按照上圖進行分類分級,并建立對應(yīng)級別的數(shù)據(jù)保護措施。通過數(shù)據(jù)映射,將數(shù)據(jù)的類別和級別,按照法律法規(guī)和國家標準、行業(yè)標準的保護要求進行保護,并以下列形式進行展現(xiàn):
2.3數(shù)據(jù)安全風險評估
為確保業(yè)務(wù)合規(guī),企業(yè)在開展業(yè)務(wù)之前需進行相應(yīng)的風險評估;與此同時,企業(yè)開展對個人權(quán)益有重大影響的個人信息處理活動時,應(yīng)當事前進行個人信息保護影響評估,這既是《個人信息保護法》第五十五條規(guī)定的法定義務(wù),也是數(shù)據(jù)合規(guī)風險評估的一種。結(jié)合企業(yè)業(yè)務(wù)實際情況,建議在以下場景中增加數(shù)據(jù)合規(guī)評估:1)產(chǎn)品/IT方案上線(尤其是涉及用戶數(shù)據(jù)收集的產(chǎn)品/IT)2)數(shù)據(jù)入/出數(shù)據(jù)湖為平衡數(shù)據(jù)合規(guī)評審效率和質(zhì)量,可以分層分級進行風險評審。主要場景如下:1)成熟場景:成熟場景風險相對可控,可基于業(yè)務(wù)部門數(shù)據(jù)合規(guī)BP的能力交由數(shù)據(jù)合規(guī)BP負責評審。成熟場景的定義可以采用白名單管理,成熟一個授權(quán)一個。2)新場景(新業(yè)務(wù)、新產(chǎn)品):新場景涉及的法律不清晰、業(yè)務(wù)場景不清晰,需由專業(yè)團隊把關(guān),建議由數(shù)據(jù)合規(guī)專家(能力小組)進行評審。3)升級機制:當遇到數(shù)據(jù)合規(guī)BP無法判斷的場景時,可將評審工作升級,由數(shù)據(jù)合規(guī)專家(能力小組)進行把關(guān)。
2.4數(shù)據(jù)全生命周期保護框架
2.4.1管理體系的重要角色部門
1)數(shù)據(jù)合規(guī)負責人
2)《個人信息保護法》第52條規(guī)定,“處理個人信息處理數(shù)量達到網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者應(yīng)當指定個人信息保護負責人。”《數(shù)據(jù)安全法》第27條也規(guī)定,重要數(shù)據(jù)的處理者應(yīng)當明確數(shù)據(jù)安全負責人和管理機構(gòu)
3)數(shù)據(jù)合規(guī)負責人的級別如何設(shè)置。個人信息保護負責人具體如何設(shè)置、級別如何安排,屬于企業(yè)自治內(nèi)容,但應(yīng)與企業(yè)重要數(shù)據(jù)/個人信息的數(shù)量、重要程度等相匹配。
4)數(shù)據(jù)合規(guī)組織機構(gòu)5)數(shù)據(jù)合規(guī)組織機構(gòu)是指明確配合個人信息保護負責人開展工作的工作機構(gòu)。《數(shù)據(jù)安全法》第27條規(guī)定,重要數(shù)據(jù)的處理者應(yīng)當明確數(shù)據(jù)安全負責人和管理機構(gòu),落實數(shù)據(jù)安全保護責任。《個人信息保護法》雖然沒有直接規(guī)定企業(yè)應(yīng)當設(shè)立個人信息保護工作機構(gòu),但其對企業(yè)處理個人信息規(guī)定了各方面義務(wù),履行這些義務(wù)顯然需要專門工作機構(gòu)的支持。6)成熟的數(shù)據(jù)合規(guī)管理體系一般圍繞以下骨架搭建:數(shù)據(jù)合規(guī)工作組可分領(lǐng)導小組、能力小組、實施小組。領(lǐng)導小組由主要由公司重量級領(lǐng)導做組長,各業(yè)務(wù)部門主管為成員,負責制定整體策略,決策數(shù)據(jù)合規(guī)方案;能力小組由法務(wù)合規(guī)專家、技術(shù)專家組成,負責制定數(shù)據(jù)合規(guī)要求,跨部門統(tǒng)籌協(xié)調(diào)等;實施小組主要由各BG/BU的數(shù)據(jù)合規(guī)人員組成,負責數(shù)據(jù)合規(guī)的具體落實。8)《個人信息保護法》第58條規(guī)定,提供重要互聯(lián)網(wǎng)平臺服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復雜的個人信息處理者,應(yīng)當成立主要由外部成員組成的獨立機構(gòu)對個人信息保護情況進行監(jiān)督。9)在落實《個人信息保護法》該項規(guī)定的過程中,涉案企業(yè)合規(guī)第三方監(jiān)督評估制度和上市公司獨立董事制度可能會成為參考。因此,建議企業(yè)在制定未來規(guī)劃時,可以盡早考慮成立獨立監(jiān)督機構(gòu),占據(jù)主動優(yōu)勢。
2.4.2數(shù)據(jù)合規(guī)BP的“能力模型”
數(shù)據(jù)合規(guī)BP是整個數(shù)據(jù)合規(guī)責任體系的關(guān)鍵,一個合規(guī)的數(shù)據(jù)合規(guī)BP才能幫助業(yè)務(wù)主管履行好數(shù)據(jù)合規(guī)管理第一責任人的職責。數(shù)據(jù)合規(guī)BP(Business Partner) 能力模型包含三個方面——法律、技術(shù)、業(yè)務(wù)。2.5數(shù)據(jù)安全管理體系建設(shè)
通過對企業(yè)數(shù)據(jù)安全管理現(xiàn)狀的梳理,對于企業(yè)在數(shù)據(jù)安全合規(guī)體系方面需要整改或調(diào)整的方向和重點事項有了基本判斷,進而進入整改環(huán)節(jié)。企業(yè)在數(shù)據(jù)安全合規(guī)體系建設(shè)將涉及企業(yè)內(nèi)部機構(gòu)的機構(gòu)設(shè)置、職能安排和編制管理,需要綜合企業(yè)整體合規(guī)規(guī)劃、業(yè)務(wù)發(fā)展、組織結(jié)構(gòu)、信息安全能力、資源和成本等多方面情況考慮。企業(yè)數(shù)據(jù)安全合規(guī)體系建設(shè)工作可以分解為以下幾個方面:企業(yè)的數(shù)據(jù)安全合規(guī)體系建設(shè)方案,法律人員可以與企業(yè)其他相關(guān)人員基于企業(yè)數(shù)據(jù)合規(guī)現(xiàn)狀、圍繞企業(yè)開展本次數(shù)據(jù)合規(guī)的目標制定數(shù)據(jù)合規(guī)整改行動計劃,對企業(yè)應(yīng)當在什么時限內(nèi)、按照何種優(yōu)先順序、采取何種具體措施以滿足特定的數(shù)據(jù)合規(guī)要求作出安排,作為后續(xù)工作的操作指引。2)落實數(shù)據(jù)安全合規(guī)體系建設(shè)方案數(shù)據(jù)安全合規(guī)體系建設(shè)的實施主體主要是企業(yè)的相關(guān)管理和業(yè)務(wù)部門。法律人員可以在組織架構(gòu)搭建的合法合規(guī)性、相關(guān)制度文本內(nèi)容的規(guī)范性、合法性和有效性,以及數(shù)據(jù)安全合規(guī)管理措施的合法性等方面提供專業(yè)支撐。例如,根據(jù)《個人信息保護法》,企業(yè)處理個人信息達到一定數(shù)量或者處理重要數(shù)據(jù)的,應(yīng)當設(shè)置數(shù)據(jù)合規(guī)管理機構(gòu)、指定數(shù)據(jù)合規(guī)負責人。就企業(yè)數(shù)據(jù)合規(guī)組織架構(gòu)搭建,法律人員根據(jù)法律規(guī)定、企業(yè)公司章程規(guī)定、企業(yè)合規(guī)管理組織架構(gòu)現(xiàn)狀及企業(yè)實際情況,提出相應(yīng)的建議方案。又如,法律人員協(xié)助起草和審查相關(guān)數(shù)據(jù)安全管理制度文本的規(guī)范性、合法性和有效性。企業(yè)的數(shù)據(jù)合規(guī)管理制度體系可以從三個層次考慮:確定企業(yè)、全體成員和業(yè)務(wù)伙伴共同遵守的數(shù)據(jù)合規(guī)行為準則,列明數(shù)據(jù)合規(guī)底線。企業(yè)數(shù)據(jù)安全管理的綱領(lǐng)性文件,明確公司數(shù)據(jù)合規(guī)管理總體要求、管理機構(gòu)及職責、基本制度、網(wǎng)絡(luò)及數(shù)據(jù)安全技術(shù)措施、信息系統(tǒng)安全保護等事項。相關(guān)具體制度,確定包括管理流程、管理標準、管理措施等具體數(shù)據(jù)合規(guī)管理細則。法律人員通常需要協(xié)助企業(yè)對照數(shù)據(jù)安全相關(guān)法律規(guī)定,起草、修改、審閱相關(guān)制度文本。企業(yè)建立數(shù)據(jù)安全合規(guī)體系后,需要在日常運營和管理中落實運行。法律人員在數(shù)據(jù)合規(guī)咨詢、數(shù)據(jù)合規(guī)審查評估、數(shù)據(jù)合規(guī)審計、人員培訓等方面提供持續(xù)的法律服務(wù)支撐,是企業(yè)數(shù)據(jù)安全管理的重要方面。2.6營銷/算法推薦合規(guī)管理體系
《個人信息保護法》第24條對利用個人信息進行自動化決策行為進行規(guī)定,算法推薦是自動化決策的方式之一,因此,對算法推薦的法律規(guī)制也要依次為依據(jù),《互聯(lián)網(wǎng)信息服務(wù)算法推薦管理規(guī)定》則是對算法推薦的規(guī)制作了詳細規(guī)定,更具有可操作性。結(jié)合出臺的相關(guān)法律法規(guī),梳理了算法推薦合規(guī)義務(wù)清單如下:
2.7數(shù)據(jù)安全事件應(yīng)急響應(yīng)
預(yù)防數(shù)據(jù)泄露是數(shù)據(jù)合規(guī)工作中的重點和難點之一,數(shù)據(jù)泄露事件一旦發(fā)生,企業(yè)不僅需要承擔高昂的經(jīng)濟損失,還可能承擔嚴重的法律后果。《數(shù)據(jù)安全法》規(guī)定,對造成大量數(shù)據(jù)泄露等嚴重后果的數(shù)據(jù)處理者,將處以較高數(shù)額的罰款,責令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、吊銷相應(yīng)業(yè)務(wù)許可證或營業(yè)執(zhí)照;《個人信息保護法》也規(guī)定,違反個人信息保護義務(wù)導致信息數(shù)據(jù)泄露的,將沒收違法所得,對違法處理個人信息的應(yīng)用程序,責令暫停或者終止提供服務(wù),相關(guān)違法行為還會被計入信用檔案并公示。企業(yè)在數(shù)據(jù)安全事件發(fā)生后應(yīng)注意采取如下應(yīng)對措施:2.7.1調(diào)查、評估與補救措施
接到威脅情報或者監(jiān)管部門事件通知后,涉事企業(yè)應(yīng)按照本企業(yè)的《網(wǎng)絡(luò)安全應(yīng)急預(yù)案》部署事件處理團隊,立即進行事件確認,調(diào)查排查數(shù)據(jù)泄露的原因,識別涉及的數(shù)據(jù)類型和數(shù)量以及數(shù)據(jù)的敏感程度,確定受影響的個人信息主體的范圍,分析所涉數(shù)據(jù)是否已加密、防控措施是否有效抵御了攻擊等,據(jù)此評估對個人信息主體的權(quán)利和自由的影響程度以及其他可能造成的后果。同時,企業(yè)應(yīng)當立即保護網(wǎng)絡(luò)系統(tǒng),修復可能造成數(shù)據(jù)泄露的漏洞,并防止數(shù)據(jù)進一步泄露,例如封鎖環(huán)境、限制訪問、監(jiān)控出入點、關(guān)閉受影響的設(shè)備、更改秘鑰等。在此過程中,企業(yè)可以聘請外部法律和技術(shù)團隊協(xié)助電子數(shù)據(jù)取證并留存證據(jù),以備后續(xù)可能發(fā)生的調(diào)查和爭議。 2.7.2情況上報與通知受影響主體
根據(jù)對安全事件的影響與風險的評估以及相關(guān)法律法規(guī)要求,確定企業(yè)是否需要上報監(jiān)管機構(gòu)、是否需要通知受影響的個人信息主體。如有必要,企業(yè)應(yīng)迅速確定如下內(nèi)容:(1)此次安全事件是否受域外法律管轄,且所涉域外法律是否有特殊規(guī)定;(2)上報哪個/哪些監(jiān)管機構(gòu),是否包括域外的監(jiān)管機構(gòu);(3)需要通知的數(shù)據(jù)主體的范圍以及通知的方式;(4)上報的內(nèi)容以及通知的內(nèi)容。在確定上述內(nèi)容后,及時根據(jù)相關(guān)法律法規(guī)要求進行上報和通知。 《網(wǎng)絡(luò)安全法》也在第22和25條規(guī)定了網(wǎng)絡(luò)運營者的通知義務(wù)和補救義務(wù)。網(wǎng)絡(luò)運營者發(fā)現(xiàn)其網(wǎng)絡(luò)產(chǎn)品、服務(wù)存在安全缺陷、漏洞等風險時,應(yīng)當立即采取補救措施,按照規(guī)定及時告知用戶并向有關(guān)主管部門報告;在發(fā)生危害網(wǎng)絡(luò)安全的事件時,應(yīng)立即啟動應(yīng)急預(yù)案,采取相應(yīng)的補救措施,并按照規(guī)定向有關(guān)主管部門報告。GDPR第33和34條規(guī)定了在發(fā)生個人數(shù)據(jù)泄露的情形時,數(shù)據(jù)控制者的報告和通知義務(wù)。除非個人數(shù)據(jù)泄露不太可能會對自然人的權(quán)利和自由造成風險,數(shù)據(jù)控制者應(yīng)當在發(fā)現(xiàn)數(shù)據(jù)泄露的72小時內(nèi)將個人數(shù)據(jù)泄露的情況報告監(jiān)管機構(gòu)。如果數(shù)據(jù)泄露可能對自然人的權(quán)利和自由產(chǎn)生較高風險,數(shù)據(jù)控制者還應(yīng)當立即將個人數(shù)據(jù)泄露的事實告知數(shù)據(jù)主體。2.7.3做好安全事件記錄
《網(wǎng)絡(luò)安全法》第21條還要求網(wǎng)絡(luò)運營者采取監(jiān)測、記錄網(wǎng)絡(luò)運行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施,并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個月。無論安全事件是否需要上報監(jiān)管機關(guān)或通知受影響的自然人,企業(yè)都應(yīng)當做好安全事件的記錄。如果企業(yè)根據(jù)評估決定不上報和通知,企業(yè)應(yīng)當記錄評估的分析過程與結(jié)果。企業(yè)還應(yīng)當留存安全事件有關(guān)的事實、事件起因、相關(guān)影響以及采取的補救措施的相關(guān)記錄,且相關(guān)網(wǎng)絡(luò)日志至少要留存六個月的時間。這不僅是法律法規(guī)的要求,在監(jiān)管機構(gòu)介入并可能定性和判罰時,也將成為判罰的重要參考依據(jù)。2.8 數(shù)據(jù)資產(chǎn)化解決方案
要想實現(xiàn)數(shù)據(jù)資產(chǎn)化,首先要做好數(shù)字資產(chǎn)化全生命周期管理。中國通信研究院發(fā)布的研究報告將數(shù)據(jù)資產(chǎn)化生命周期劃分為確權(quán)—定價—交易—融資四個核心階段。
1)確權(quán):明確數(shù)據(jù)物權(quán)(財產(chǎn)權(quán))、使用權(quán)、分法權(quán)等多方的權(quán)利形式和權(quán)利主體。2)定價:通過成本法、市場法等方式,對數(shù)據(jù)的經(jīng)濟價值進行評估,兼顧評價數(shù)據(jù)產(chǎn)生的社會價值。3)交易:對明確產(chǎn)權(quán)、確定價值的數(shù)據(jù)資產(chǎn)進行交易,交易可以通過區(qū)塊鏈等方式進行追溯。4)融資:搭建數(shù)據(jù)資產(chǎn)密集型企業(yè)與金融機構(gòu)、資本之間的橋梁,激活數(shù)據(jù)要素潛能。企業(yè)數(shù)據(jù)資產(chǎn)化一般步驟:數(shù)據(jù)資產(chǎn)化的生命周期劃分為六個階段:業(yè)務(wù)信息化—數(shù)據(jù)資源化—數(shù)據(jù)產(chǎn)品化—數(shù)據(jù)資產(chǎn)化—資產(chǎn)數(shù)據(jù)化—資產(chǎn)貨幣化。
當前數(shù)據(jù)要素成為推動經(jīng)濟增長和科技創(chuàng)新的重要引擎,賦能經(jīng)濟社會高質(zhì)量發(fā)展的重要作用已經(jīng)得到充分彰顯。如何在厘清法律權(quán)屬的基礎(chǔ)上論證數(shù)據(jù)資產(chǎn)化,探索合理的數(shù)據(jù)定價和估值機制,推動數(shù)據(jù)在市場上進行有序交易,實現(xiàn)其市場化配置并釋放價值,實現(xiàn)數(shù)據(jù)資產(chǎn)的保值和增值,進而實現(xiàn)數(shù)據(jù)要素的資本化是建設(shè)現(xiàn)代化經(jīng)濟體系,推動經(jīng)濟高質(zhì)量發(fā)展的有益和必要的實踐和探索。
 logo 轉(zhuǎn)曲.png)
