企业数据合规体系架构建设

发表于 2019-11-4 19:09:55

马上注册，结交更多数据大咖，获取更多知识干货，轻松玩转大数据

您需要登录才可以下载或查看，没有帐号？立即注册

x

孟洁

环球律师事务所合伙人，主要方向数据合规、个人隐私保护、网络与信息安全。
曾在诺基亚等世界五百强跨国公司和律师事务所工作超过十余年
曾担任出门问问公司总法律顾问和数据保护官（DPO），负责法律、合规、知识产权、政策研究和政府关系；
在TMT领域及企业数据与隐私保护方面有丰富实践经验，尤其是曾亲自带队在企业内部进行基于中、欧、美法律要求的数据合规体系建设，总结出不少可落地实操的方法论并接受过中央电视台采访；
发表过数据合规文章几十篇，关于企业如何应对GDPR合规的专题，并翻译了美国、印度、巴西等多国数据保护立法。

01 个人信息保护合规要点

02 关键信息基础设施建设合规要点

03 数据出境合规要点

04 数据危机处理的预防与应对

05 数据合规与数据资产变现

数据保护的目标与保护层次

企业数据合规体系架构建设

第一部分
个人信息保护合规要点

01 国内法律标准要求

网安法的信息安全理念

国家标准涉及的主要内容

国家标准涉及的基本原则梳理

01	权责一致原则对其个人信息处理活动对个人信息主体合法权益造成的损害承担责任
02	目的明确原则具有合法、正当、必要、明确的个人信息处理目的。
03	选择同意原则向个人信息主体明示个人信息处理目的、方式、范围、规则等，征求其授权同意。
04	最少够用原则只处理满足用户授权同意的目的所需的最少信息类型和数量。
05	公开透明原则以明确、易懂和合理的方式公开处理个人信息的范围、目的、规则等。
06	确保安全原则采取足够的管理措施和技术手段，保护个人信息保密性、完整性、可用性
07	主体参与原则向个人信息主体提供能够访问、更正、删除其个人信息，以及撤回同意、注销账户等方法。

以用户同意为基础的保护框架

企业不合规的痛点

违规代价如监管处罚、诉讼费用、整改费用等		直接的业务损失如流失客户减少了业务收入等

内部企业文化损失如企业执行力受损、价值观冲突引起员工积极性下降等		名誉损失如品牌形象受损、客户信任受损等

个人信息保护合规设计的整体思路

国内数据合规工作的基本路径总结

参考文章：在《个人信息安全规范》指引下--初探AI企业数据合规的Good Practice
（发表自网安寻路人公众号）

02 欧盟、美国法律要求

欧盟GDPR立法背景

美国加州CCPA立法背景

2018年6月28日签署，正式生效日期：2020年1月1日
加州现成的零散的data privacy/ protection laws：2002年 Notifications of data security breaches; 2004年website privacy policies
充分保护加利福尼亚州消费者的隐私权，提升个人信息安全水平以达到充分保护隐私权的目的。
加州对全球经济的影响非常大，在加州开展业务的公司包括中国公司需要留心此法。

GDPR适用范围

CCPA适用范围

Principally, all California residents are protected under the California Consumer Privacy Act with respect to any information that relates to them.

加州民法典§1798.140（g）将“消费者”定义为加利福尼亚州居民的任何“自然人” 。
根据该法规，“居民”包括两层含义（1）在加州区域内的每一个人，除临时或暂时目的以外，以及（2）在加州区域内有居所的每一个人，但他暂时或者临时在州外。

GDPR的合法性基础

更加清晰的个人同意规定
“Positive action” of the data subject required

个人同意仍然作为个人信息收集和使用的前提，但相对于1995年的指令GDPR对何为有效的个人同意的前提，做出了更加严格的要求。
核心的变化是，数据主体做出声明，或者做出清晰的肯定性动作，同意被认为才有效。个人沉默、提前勾选的选项、静止等状态，不足以认定个人表达了同意。【explicit】
GDPR还明确了何种情况下，同意是由数据主体自由地做出的。【freely given】
数据控制方还应当告知数据主体撤回同意的权利。【fully informed】

GDPR的合法性基础

除同意以外的正当事由

数据主体对出于单个或多个特定目的而处理其个人数据表示同意；
处理是为向身为合同当事人之数据主体履行合同所必须的，或在缔约前，应数据主体的要求所必须采取的步骤；
因履行数据控制者承担的法律义务而必须处理个人数据的；
为保护数据主体重大利益或其他自然人重大利益而必须处理个人数据的；
为公共利益而执行任务，或数据控制者履行赋予的公共职能时，必须处理个人数据的；
因数据处理者正当利益或第三方正当利益而必须处理个人数据的，但当数据主体的利益或基本权利和自由（特别当数据主体尚未成年时）高于上述正当利益时，不得使用该事由。

CCPA个人信息流转全生命周期基础

知情权	反对权	被遗忘权	访问权	个人数据可携权
数据控制者的身份和联系方式数据处理的目的及合法基础须就自动化的数据处理（如画像）活动提供基本算法个人信息保存周期及理由数据主体的权利跨境传输非直接收集	数据主体始终有权随时拒绝数据控制者基于合法利益处理个人数据数据主体始终有权随时拒绝基于个人数据的市场营销行为	当用户依法撤回同意，或者数据控制者不再有合法理由继续处理数据时，用户有权要求删除数据	数据控制者应当为用户实现该权利提供相应的流程	用户可以无障碍的将其个人数据从一个信息服务提供者处转移至另一信息服务提供者数据控制者不仅无权干涉，还应当配合用户提供数据文本

CCPA个人数据主体的权利

			CCPA用户权利实现的基石
		加利福尼亚选民修改了《加利福尼来州宪法》，将隐私权纳入所有人“不可剥夺”的权利之中。修正案确立了合法和可执行的隐私权。这种隐私权的基础是个人控制其信息的使用（包括销售）的能力。
	加利福尼亚州法律（《CCPA》、《在线隐私保护法》、《数据世界法》、《光明之光》）向加利福尼亚州人提供企业如何（何时、何地、因何事、向何人）处理消费者个人信息。
加利福尼亚人有权知晓其正在被收集的个人信息。加利福尼亚人有权知晓其个人信息是否被出售或者披露及其流向。加利福尼亚人有权拒绝个人信息的出售。				加利福尼亚人有权访问其个人信息。加利福尼亚人有权享有平等服务与价格，即使其行使隐私权。加利福尼亚人有权要求给予同意收集、出售个人信息的情况下获得财务激励。

CCPA与GDPR的罚金规定对比

CCPA 规定：

（1）任何消费者由于企业违反义务而未实施和维护合理安全程序以及采取与信息性质相符的做法来保护个人信息，从而遭受了未经授权的访问和泄露、盗窃或披露，则消费者可提起民事诉讼：
（A）为每个消费者每次事件赔偿不少于一百美元（100美元）且不超过七百五十美元（750美元）的损害赔偿金或实际损害赔偿金，以数额较大者为准。（B）禁止令或宣告性法律救济。（C）法院认为适当的任何其他救济。
（2）在评估法定损害赔偿金额时，法院应考虑多种相关情况，包括但不限于不当行为的性质和严重性，违法行为数量，不当行为的持续性，发生不当行为的时间长短，被告不当行为的故意以及被告的资产、负债和净值。
（3）州检察长的核心监管+ 隐私权作为加州宪法的重要内容＝公力监管

GDPR Art 83 ：

就大量违规而言，最高将被处以公司全球年度总营收2%或者1000万欧元的罚款，以金额较高者为准。
就较为有限的一部分违规而言，最高将被处以2000万欧元行政罚款或企业上一财政年度全球营业总额4%的行政罚款，二者取较高者。

GDPR与CCPA的合规工作能否合并

Q: 企业遵守了CCPA，是否也同时满足了对加州居民落实GDPR的合规要求？

A：可能“并没有”。全球公司可以而且应该尝试同时并全面地满足CCPA、GDPR和其他隐私法律要求。

与GDPR相比，CCPA有自己的一些特点：

CCPA（opt-out）是原则上允许而例外禁止；
规定了披露与沟通的渠道（包括免费电话号码）和其他GDPR并不做要求的具体措施。
更广泛的“个人数据”定义，还包括与家庭和设备有关的信息。
赋予了加州居民更加广泛的权利来删除数据，不同于GDPR的例外情况。
建立广泛的访问个人数据的权利（例如，涉及第三方隐私权益的披露），不同于GDPR的某些例外情况。
对商业目的对数据共享施加更加严格的限制。

“企业不得歧视消费者，因为消费者行使了任何消费者的权利......包括......通过......收取不同的价格或费率。 ..包括通过使用折扣或其他好处......“
如希望继续向加州居民提供免费服务，则公司不能以数据共享或其他用途的收入来为此服务提供资金，因为加州居民可以选择退出数据共享并要求删除数据。
公司可以向加州居民提供财务奖励，包括赔偿收集或出售的消费者个人信息（前提是他们事先获得了选择权），但消费者有权任何时候撤销该授权。

第二部分
关键信息基础设施（CII）建设合规要点

什么是CII？

			《网络安全法》第31条：全国人大
		指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的信息设施。
	《关键信息基础设施安全保护条例（征求意见稿）》第18条：网信办
电信网、广播电视网、互联网等信息网络，以及提供云计算、大数据和其他大型公共信息网络服务的单位；国防科工、大型装备、化工、食品药品等行业领域科研生产单位；				政府机关和能源、金融、交通、水利、卫生医疗、教育、社保、环境保护、公用事业等行业领域的单位；广播电台、电视台、通讯社等新闻单位和其他重点单位

CII的风险控制的防护体系

CII安全保护工作基本思路

目标：	原则：	手段：（可控性）
系统稳定性数据安全性业务连续性	在网络安全等级保护制度的基础上，实行重点保护	对关键信息基础设施、信息和活动实施安全监控管理，控制授权范围内的行为方式，保证系统稳定运行、数据安全、业务连续。

CII安全保护工作基本思路

A、按照网络安全等级保护制度要求，履行下列安全保护义务：

小口诀：建立制度保安全专门负责管培训容灾备份要演练上述都要留证据

B、按照国家法律法规和相关国家标准，履行下列安全保护义务：

01

制定内部安全管理制度和操作规程，严格身份认证和权限管理；

05

设置专门网络安全管理机构和网络安全管理负责人，并对该负责人和关键岗位人员进行安全背景审查；

02

采取技术措施，防范计算机病毒和网络攻击、网络侵入等危害网络安全行为；

06

定期对从业人员进行网络安全教育、技术培训和技能考核；

03

采取技术措施，监测、记录网络运行状态、网络安全事件，并按照规定留存相关的网络日志不少于六个月；

07

对重要系统和数据库进行容灾备份，及时对系统漏洞等安全风险采取补救措施；

04

采取数据分类、重要数据备份和加密认证等措施。

08

制定网络安全事件应急预案并定期进行演练。

运营者主要负责人是本单位关键信息基础设施安全保护工作第一责任人！

CII安全保护工作基本思路

检查CII认定情况，判断是否已将支撑关键业务的网络和信息系统均纳入了认定范围，是否存在漏报、误报、瞒报的情况。CII的信件、更新、废弃流程是否合规。
检查安全管理机构设置和人员安全管理情况，是否明确安全责任制，安全背景审查，安全教育、技术培训和考核。
检查法律法规、政策文件和标准规范梳理情况，是否完整，是否存在重大漏洞。
检查安全保障措施落实情况，安全管理制度、安全建设、安全运维、日常监测、备份与恢复、应急响应与处置。
检查网络安全等级保护定级和执行情况。
检查个人隐私数据保护情况，搜集个人隐私数据的目的和范围

第三部分
数据出境合规要点

数据出境定义

根据《数据出境安全评估指南（草案）》，数据出境(Data Cross-border Transfer)是指网络运营者通过网络等方式，将其在中华人民共和国境内运营中收集和产生的个人信息和重要数据，通过直接提供或开展业务、提供服务、产品等方式提供给境外机构、组织或个人的一次性活动或连续性活动。

数据出境定义

企业需要注意，以下三种情况，同样属于数据出境：

1) 向本国境内，但不属于本国司法管辖或为在境内注册的主体提供个人信息和重要数据；

2) 数据未转移存储至本国以外的地方，但被境外的机构、组织、个人访问查看的（公开信息，网页访问除外）；

3）网络运营者集团内部数据由境内转移至境外，涉及其在境内运营中收集和产生的个人信息和重要数据的。

数据出境相关法律条文

《网络安全法》第三十七条关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。

《个人信息和重要数据出境安全评估办法（征求意见稿）》（简称《评估办法》）：
第二条网络运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据，应当在境内存储。因业务需要，确需向境外提供的，应当按照本办法进行安全评估。
第四条个人信息出境，应向个人信息主体说明数据出境的目的、范围、内容、接收方及接收方所在国家或地区，并经其同意。
未成年人个人信息出境须经其监护人同意。
第十一条存在以下情况之一的，数据不得出境：
（一）个人信息出境未经个人信息主体同意，或可能侵害个人利益；
（二）数据出境给国家政治、经济、科技、国防等安全带来风险，可能影响国家安全、损害社会公共利益；
（三）其他经国家网信部门、公安部门、安全部门等有关部门认定不能出境的。
第十二条网络运营者应根据业务发展和网络运营情况，每年对数据出境至少进行一次安全评估，及时将评估情况报行业主管或监管部门。（对于关键信息基础设施运营者数据出境的，国家网信部门、行业主管部门可启动主管部门评估）
当数据接收方出现变更，数据出境目的、范围、数量、类型等发生较大变化，数据接收方或出境数据发生重大安全事件时，应及时重新进行安全评估。

评估的内容

（一）数据出境的必要性；

（二）涉及个人信息情况，包括个人信息的数量、范围、类型、敏感程度，以及个人信息主体是否同意其个人信息出境等；

（三）涉及重要数据情况，包括重要数据的数量、范围、类型及其敏感程度等；

（四）数据接收方的安全保护措施、能力和水平，以及所在国家和地区的网络安全环境等；

（五）数据出境及再转移后被泄露、毁损、篡改、滥用等风险；

（六）数据出境及出境数据汇聚可能对国家安全、社会公共利益、个人合法利益带来的风险；

评估的主体

1. 一般情况下由数据控制者自行评估

2. 出境数据存在以下情况之一的，网络运营者应报请行业主管或监管部门组织安全评估：

（一）含有或累计含有50万人以上的个人信息；

（二）数据量超过1000GB；

（三）包含核设施、化学生物、国防军工、人口健康等领域数据，大型工程活动、海洋环境以及敏感地理信息数据等；

（四）包含关键信息基础设施的系统漏洞、安全防护等网络安全信息；

（五）关键信息基础设施运营者向境外提供个人信息和重要数据；

（六）其他可能影响国家安全和社会公共利益，行业主管或监管部门认为应该评估。行业主管或监管部门不明确的，由国家网信部门组织评估。

第四部分
数据危机处理的预防和应对

数据危机处理的预防与应对

时刻待命，跨部门、跨区域的数据危机处理能力，将损害结果控制在最低！

第五部分
数据合规与数据资产变现

数据合规与数据资产变现

问题：业务数据和基础数据种类繁多，各地数据质量参差不齐。大数据意识淡薄，使得数据相互独立，形成数据孤岛，数据融合困难，难以最大限度的发挥数据价值。

1. 数据分散、规模大、种类繁多、质量差
2. 缺乏规范管理，各方利益割据，数据变现困难

数据合规与数据资产变现

数据资产（Data Asset）是企业拥有或控制的，能为企业带来未来经济利益的，以物理或电子的方式记录的数据资源，如文件资料、电子数据等。

数据资产管理（DAM，Data Asset Management）是指规划、控制和提供数据及信息资产的一组业务职能，包括开发、执行和监督有关数据的计划、政策、方案、项目、流程、方法和程序，从而控制、保护、交付和提高数据资产的价值。数据资产管理是需要充分融合业务、技术和管理，来确保数据资产保值增值。

数据合规与数据资产变现

数据安全+ 数据增值= 数据为企业赋能

Data inventory
Data transaction
Data appraisement – IPO/ PE/ VC

威科先行®·法律信息库是威科集团依托多年全球信息服务经验、卓越的技术实力及资深的本土专家团队，精心打造的双语法律信息整体解决方案。该数据库以智能检索为贯穿，集法规、案例、实务指南、法律速递、专业文章，实用模板、在线问答等功能于一体，为中国法律专业人士精准决策、高效工作提供坚实支持。

法律信息库特点：
• 专业的信息系统架构
• 基础信息资源 Primary Resources（法律法规，判决案例）的多样性、准确性、及时性
• 基础信息资源 Primary Resources（法律法规，判决案例）分类的的合理性、多样性
• 丰富的文章以及加工信息资源 Secondary Resources，覆盖新闻、实务解读、实用工具、咨询问答等
• 高质量的法规翻译
• 先进的全文检索技术
• 提供智能信息链接，大幅提高信息查询效率
• 便捷的文档管理功能
• 完善的客户服务
• 提供完整的用户使用报告
• 支持 HTML5，移动设备轻松浏览

环球律师事务所（“我们”）创建于1984年，是中国改革开放后成立的第一家律师事务所。经过三十多年的不懈努力和发展，我们业已成为中国律师业中最优秀的大型综合性律师事务所之一。

自成立伊始，我们即确立了“以国际化的视野、国际化的团队、国际化的质量服务于国内外客户”的宗旨，这使我们虽置身于多变的全球经济形势之中，却始终能够保持不变的业界领先地位。

我们的律师均毕业于中国一流的法学院，其中绝大多数律师拥有法学硕士以上的学历，多数律师还曾学习或工作于北美、欧洲、澳洲和亚洲等地一流的法学院和国际性律师事务所，部分合伙人还拥有美国、英国、瑞士等地的律师执业资格。

我们的客户遍及世界多个国家，业务领域涵盖银行、保险、证券、投资、石油、能源、化工、钢铁、航空、铁路、海运、商业、电信、文化传媒、高科技、房地产、基础设施、公用设施、医药健康等众多的细分行业和领域。

三十多年来，我们凭借精湛的法律知识、丰富的执业经验、高度的敬业精神以及良好的职业道德，向国内外客户展示和证明了我们的价值，同时也赢得了国内外客户的信赖。在未来的日子里，我们将继续凭借我们独到的优势帮助国内外客户在中国取得更为持久和长远的成功。

来源：威科先行

帐号		自动登录	找回密码
密码			立即注册

企业数据合规体系架构建设

马上注册，结交更多数据大咖，获取更多知识干货，轻松玩转大数据

站长推荐 /1