前不久,最高人民检察院发布第三批涉案企业合规典型案例。值得注意的是,该批典型案例中有一个案例涉及互联网企业数据合规。所谓数据,是指任何以电子或者其他方式对信息的记录。随着数据的商业价值被不断挖掘,其所蕴含的能量也不断显现。任何行为都逃不过大数据的眼睛,其可以“无所不能”地影响甚至塑造我们的生活。在面对数据带来的巨大商业利益时,企业如何做到有所为、有所不为?
企业数据合规的重要性
数据安全,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。随着近年来国家对数据安全的重视程度不断提高,企业从事相关数据处理活动必须遵守以数据安全法为核心的数据安全体系和以个人信息保护法为核心的个人信息保护体系共同构建的数据合规规范。企业合规中的重要组成部分——数据合规,日渐走进大众视野,如何确保数据合规成为企业合规中的一门必修课。
数据合规是与数据保护相关的一体两面的制度。一方面,其是企业确保所处理的数据以最小的丢失、被盗或滥用风险进行管理的过程,以实现对法律法规和相关标准的遵守;另一方面,数据合规的要求也禁止企业在未经授权的情况下使用其他受保护的数据。所以,数据合规的存在既为企业筑起防护墙,也为企业拉响报警器。
数据合规做不好,企业将面临相应的法律责任。从数据安全法第六章和个人信息保护法第七章相关规定可以看出,其法律责任包括行政责任和民事责任,对于构成犯罪的,更要承担刑事责任。数据合规的重要性,促使企业逐步树立数据合规意识,从源头防止发生违法犯罪。一方面,通过数据合规标准,企业向外界表明其运营的规范性,人们可以相信他们的个人信息数据将受到良好的保护;另一方面,企业对于未经许可的数据即使渴望得到也需要保持节制,不得过度收集个人信息,以构筑起企业合规拼图中的重要一环。
企业如何做好数据合规
数据合规风险覆盖数据从产生到删除的全生命周期,企业要确保数据合规,就必须根据自身的业务类型和场景采用多样化合规风险管理工具,预防、识别、报告、评估及管控数据合规风险。具体而言,企业应为数据合规监管做好下列准备:
第一步:摸清家底,掌握企业数据情况并制定数据合规措施。数据也是企业资产的一部分,对于企业创建和拥有的数据都必须有清晰的了解。同时,对于企业制定的数据合规措施进行记录并公示。
第二步:风险有数,通过自查或第三方排查的方式对企业的数据风险进行评估。对于有可能产生的数据风险做到心中有数;对于能够接触到数据的内部人员要加强管理,监督到位。同时,对于有着直接标识的数据,一旦泄露引发的影响也最大,根据国际惯例与我国法律规定,需要对数据采取相应的保护措施,包括加密或去标识化,这样,即使发生数据泄露所引发的隐私风险也相对较小。
第三步:有所不为,对于数据的获取需要经过合规审查。在大数据时代要懂得取舍,数据合规要最大限度发挥其潜力和效用,但对于“来路不明”的数据,即使可能带来的利益再大,也要遵守法律底线。
第四步:及时应对,配齐数据合规管理人员并加强培训。做好企业数据合规需要有专业数据合规人员及时有效应对。一方面,企业要配齐掌握相关技能的员工,负责数据安全风险监测、处置数据安全风险和事件;另一方面,加强对这类人员的培训,让其紧随时代和技术发展的步伐,掌握最新的法律法规及监管动态。
第五步:定期审查,确保合规措施符合行业数据安全和合规标准。由于数据合规的技术与规则处于不断变化的状态,需要定期对数据合规措施进行审查,以确保符合行业数据安全和合规标准。同时,建立数据合规常态化机制,定期进行合规测试,定期通报数据合规工作,建立相应的数据合规审查标准,确保数据合规理念“入脑入心”,数据合规措施“手足并用”。
跟进作为,助力企业数据合规建设
从最高人民检察院发布的第三批涉案企业合规典型案例可以看出,社会各界对于企业数据合规愈发重视。在上海Z公司、陈某某等人非法获取计算机信息系统数据案中,涉及互联网企业数据合规的内容,Z公司首席技术官陈某某指使汤某某等多名公司技术人员通过爬虫程序非法获取相关数据并给他人造成损失,涉嫌非法获取计算机信息系统数据罪。考虑到涉案公司系成长型科创企业,检察机关对其作出合规考察决定并制发了《合规检察建议书》,后该公司积极进行合规整改,在经过第三方组织评估后评定其合规整改合格,遂对其作出不起诉决定。检察机关针对企业的数据合规漏洞,积极引导涉案企业开展数据合规,既能够有效打击涉数据类犯罪,又促进了企业数据合规的整体发展,建议检察机关在以下几个方面跟进作为,助推数据合规建设:
首先,既出重拳,又开药方。检察机关既要依法履职,对违法犯罪行为坚决查处。对于情节严重、行径恶劣的犯罪行为要重拳出击。但是对于初犯、犯罪情节轻微的成长型企业要给予改正的机会,更要为涉案企业合规指方向、开药方,多措并举推动行业治理,促进企业建立健全数据合规体系,助力构建健康清朗的网络生态环境。
其次,溯源查访,诉源治理。在涉案企业合规改革试点工作中,检察机关要秉持治罪与治理并重的思路,通过深入开展社会调查等方式追根溯源,探寻企业涉案的真正原因,并将其与诉源治理结合起来,真正解决企业发展与数据合规之间的矛盾。
再次,建议在前,持续监督。进一步在法律规定的范围内探索涉案企业合规不起诉检察建议模式,在数据合规中做好检察建议的前置化工作,督促企业做好数据合规管理、数据风险识别与数据合规运行等工作。同时,不能放松对企业的监督,不能因为已经惩处过、整改过而放松监督,检察机关的监督工作要做到能持续、有后劲、见长效。
最后,整改合规,示范指引。对于涉案企业要用好用活合规不起诉等相关措施,关键目的在于做好数据合规,防止再犯。对于涉案企业合规整改必须进行充分审查,这就需要运用好第三方组织的力量。在此基础上形成的示范案例可以作为试点工作的成果,为后续改革试点提供指引,也为推进数据合规注入源源不断的动力。
在数据经济来临之际,检察机关应依法能动履职,督促企业练好三门功夫:第一,练好“外功”,做到数据来源合规。通过检察建议督促企业树立数据合规意识,警惕外部诱惑,不合规的数据坚决不碰;第二,练好“内功”,做到内部数据安全合规,在企业内部做好对所控制数据的安全防范措施。同时,分类分级管理数据,通过内部管理把牢数据关;第三,练好“轻功”,数据合规需要常态化、制度化,要在管理制度上下功夫,如此才能在经营过程中驾轻就熟,应对自如。
(作者单位:中共江西省委党校法学教研部)
