观韬视点 | 从首例数据合规不起诉案看数据合规价值及落实路径
作者:吴丹君 张振君
案情导读
近日,普陀区检察院办理全国首例数据合规不起诉案。在该案中,普陀区检察院通过制发检察建议书和引入第三方监督评估机制指导Z公司开展数据合规整改工作。最终在普陀区检察院举行的公开审查听证中,与会各方认可数据合规整改结果,一致同意对Z公司及人员作出不起诉决定。
一、数据合规的价值启示
这一案例中,Z公司在触犯法律红线后积极整改,落实各项数据合规措施,最终由检察院作出不起诉决定,这揭示了数据合规“亡羊补牢”的价值。除此之外,数据合规更大的价值体现在它的“防患于未然”。
客观而言,数据保护没有百分之百的安全,企业只能通过建立和执行全流程数据安全管理制度尽力做到百分之百的防御。有观点认为,数据安全事件的责任承担与高空坠物事件存在相似之处。《民法典》规定,如坠物事件发生时,可能的加害者(建筑物使用人)无法证明自己并非侵权人的,则由可能的加害人予以补偿。与之相似的,《个人信息保护法》规定,处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。当发生数据安全事件时,整个数据流转链条上接触到数据的所有组织都存在嫌疑。此时,数据处理者如果能通过全流程数据安全管理制度的制定和执行来证明自身履行了法律所要求的数据安全保护义务,对该事件的发生不存在过错,将有利于降低行政机关或法院认定其应当被处以行政处罚或承担损害赔偿责任等风险。
相反,若企业未能履行数据安全保护义务,建立健全并执行全流程数据安全管理制度,即使未发生数据安全事件,行政机关仍可按照《数据安全法》和《个人信息保护法》等法律法规进行行政处罚。《数据安全法》采取双罚制,开展数据处理活动而未履行相应数据安全保护义务,导致大量数据泄露等严重后果的,不仅企业可能面临罚款、暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照等法律后果,直接负责的主管人员和其他直接责任人员亦可能被处罚款。
数据合规对于企业还有利于品牌价值的维护和提升,随着制度完善和权利意识的增强,数据合规和用户体验已不再是二选一的问题。相反,数据合规已成为影响用户体验的重要因素。当然,数据合规并不是限制技术发展,而是尊重技术,让技术为数据合规所用。一个有理有据的数据合规需求,需要置于技术和产品的视角下进行考量。
可见,数据合规既可“防范于未然”,降低企业数据安全事件的发生风险,在企业面临行政监管和民事指控时,能够提供其履行数据安全保护义务且不存在侵权行为的证据;还可“亡羊补牢”,在企业触犯法律红线时,给予其合规不起诉的机会。另外,数据合规对于企业的商业价值亦需得到重视。
然而,真正系统地部署落实全流程数据安全管理制度并不是一蹴而就的,而是需要让数据合规意识深入到全企业的每一个环节和每一位员工,做好每一个合规板块的细化,数据合规工作的开展永远不会太早。
二、数据合规的落实路径
在前述数据合规不起诉案中,检察建议书主要提出构建数据合规管理体系,提高数据合规风险识别、应对能力及稳健数据合规运行三项建议,这些建议可以为企业落实数据合规带来启发。
在第一阶段,企业需对全流程数据安全管理制度进行“顶层设计”。
企业首先需梳理自身数据资产,对业务和现有资源等情况进行评估,了解业务对于数据的需求,以及企业在数据处理各个环节中的不同风险。在前述评估结果的基础上,企业结合业务需求、监管要求、自身能力,确定企业数据安全目标,制定数据安全战略,并定期进行审查修订。
其次是数据安全岗位和人员设置。企业需建立或指定负责企业内部数据安全工作的部门、岗位和人员,该数安部门要保持与人力资源管理部门、IT部门、客服部门等部门的联动,防范员工管理、技术措施设置、乃至客服部门履行职责过程中存在的数据安全风险。
对于其他部门,建议企业根据岗位职责设置各级数据处理权限,按照最小必要、职权分离等原则,授予不同账户为完成各自承担任务所需的最小权限,在各账号间形成相互制约的关系。同时,明确数据权限授权审批流程,对数据权限申请和变更进行审核。此外,我们还建议企业与能够接触重要数据或个人信息的员工签订数据保护协议。
在第二阶段,企业需要建立贯穿数据生命全流程的各项基础制度,主要包括这四个方面:
一是数据分类分级制度。《数据安全法》首次在法律层面上提出数据分类分级制度,该制度要求企业根据一定标准对自身数据资产进行梳理,有利于形成数据保护资源配置的最优解。
二是技术保障和风险监测制度。企业开展数据处理活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施。如企业可制定数据生命周期各阶段的数据访问和操作监控方案(如实时监控、定期批量监控等),对数据异常访问和操作进行告警,将高敏感数据以及特权账户对数据的访问和操作都纳入重点的监控范围。
三是安全事件应急制度,发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。企业除加强日常的风险监测外,还需制定数据安全事件应急预案并定期进行演练,以做到对数据安全事件的快速响应。
四是培训制度。企业应定期对员工进行培训,增强和提升员工的数据安全保护意识和保护能力,并考察员工能力与岗位职责的匹配程度。《网络数据安全管理条例(征求意见稿)》也提出了细化要求,重要数据处理者需制定安全培训计划,每年组织开展全员数据安全教育培训,数据安全相关的技术和管理人员每年教育培训时间不得少于20小时。
在第三阶段,企业需结合不同数据处理环节的特点和风险,从组织建设、制度流程、技术工具及人员能力四个方面制定各类更具针对性的制度。每个企业的数据处理需求和应用场景不同,企业在业务开展中及时引入数据合规法律顾问等专业第三方为企业设计定制化的数据合规方案亦有利于防患于未然。
结语
目前由《网络安全法》《数据安全法》及《个人信息保护法》引领的网络安全和数据合规法律体系顶层设计已经完成,合规要求和法律后果基本明确,《个人信息保护法》更是设置了“五千万元以下或者上一年度营业额百分之五以下罚款”的巨额法律责任。《网络数据安全保护条例(征求意见稿)》《数据出境安全评估办法(征求意见稿)》等等细化措施的接连出台,对企业而言,正是在数据全流程管理、数据保护体系建设与数据安全运营等方面加大力度的时机。企业可对照已发布的法律文件调整完善自身合规方案,在数字经济的浪潮中,发挥数据合规的风险防范作用,充分激发数据的创新价值。