广州国有企业如何开展数据安全合规管理——兼评《广州市国资委监管企业数据安全合规管理合规指南》
2021年9月1日实施的《数据安全法》,要求各部门对本部门工作中收集和产生的数据及数据安全负责,行业主管部门承担本行业、本领域数据安全监管职责。2021年11月1日实施的《个人信息保护法》则对企业收集、处理个人信息课以诸多具体明确的个人信息保护义务。国有企业在能源、交通、水利、公共服务等关系国计民生、公共利益的重要领域和行业占有重要地位,在其运营过程中涉及大量的重要数据及个人信息处理,需要引起格外重视。
2021年12月20日,广州市国资委公布实施了《广州市国资委监管企业数据安全合规管理合规指南》(试行2021年版)》(以下简称“《合规指南》”),迈出了地方国资监管机构落实数据安全、个人信息合规义务的第一步。《合规指南》由九章五十八条构成,涉及组织机构、制度建设、合规要求(数据安全、个人信息保护、合作伙伴管理)、技术应用、责任与监督等内容。本文拟以《合规指南》为基础,解读广州国有企业应如何开展数据安全合规,为相关企业提供参考。
一、《合规指南》的亮点解析
1、第一部地方国资委数据安全合规文件
广州市国资委公布实施的《合规指南》,属于地方国资监管机构第一部针对数据安全合规专项领域的合规操作指导性文件,为国有企业尽快开展数据安全合规提供了遵循指导,对于其他地方陆续开展数据合规立法、落实相关法律要求具有重要参考价值。
2、规制内容全面,立法思路新颖
《合规指南》的规定覆盖了数据及个人信息两方面的合规措施,全面落实《网络安全法》、《数据安全法》、《个人信息保护法》等重要法律的规制要求;同时,在相关规则的设置方面,对《数据出境安全评估办法(征求意见稿)》(2021年10月29日公布)、《网络数据安全管理条例(征求意见稿)》(2021年11月14日公布)等最新法规的立法思路进行吸收借鉴。
3、与现有广州国有企业合规管理体系充分契合、相得益彰
首先,《合规指南》将“数据安全合规管理” 纳入现有的国有企业合规管理体系,作为专项重点领域进行建设。在充分发挥现有合规管理体系优势的同时,避免组织机构的重复建设。
其次,以“清单管理”、“三重一大”事项管理措施对重大数据合规进行管理。《合规指南》将重大数据安全合规事项纳入“三重一大”事项并实施清单管理,对于涉及国家保密范围的产业规划、战略规划、重大项目、核心技术等数据的交易、出境及共享等业务,列入国有企业“三重一大”事项进行管理。
再次,《合规指南》注重发挥国有企业合规管理体系下的“三道防线”优势,明确由企业内承担数据管理、信息系统管理或IT技术等相关职能的部门及各业务部门作为数据安全合规管理的第一道防线,合规管理牵头部门作为第二道防线,纪检、审计部门作为数据合规管理第三道防线,并详细规定了各自的职能和责任。
二、适用主体
根据《合规指南》,广州市国资委直接履行出资人职责的国有及国有控股企业、国有实际控制企业(下称“广州国有企业”),以及广州国有企业的各级子企业、分支机构,均应落实数据安全合规义务。广州国有企业不仅应当对本企业工作中收集和产生的数据和数据安全承担主体责任,同时应当将数据安全合规要求逐步覆盖各业务领域、各部门,各级全资、控股或实际控制的子企业、分支机构及其员工。
同时,相关法规根据广州国有企业所处理数据的风险程度的不同,规定了不同的合规义务。
分类
义务
一般国有企业
建立健全数据安全合规管理的相关标准、制度和规范。
建立数据分类分级管理、权限管理、数据安全合规风险评估及审计、重大数据安全合规审批清单、重大数据安全合规风险事件报告、应急处置机制、教育培训等管理事项。
数据安全风险较高1的国有企业
建立数据安全合规评估及审计机制,应当自行或者委托专业机构每年至少进行一次全面的网络安全监测和风险评估,定期或不定期对企业整体数据使用情况、数据全生命周期安全及合规性、基础安全等情况进行评估及审计。
建立数据分类分级管理、权限管理、数据安全合规风险评估及审计、重大数据安全合规审批清单、重大数据安全合规风险事件报告、应急处置机制、教育培训等管理事项。
关键信息基础设施2运营者
设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查。
对重要系统和数据库进行容灾备份。
制定网络安全事件应急预案,并定期进行演练。
对其网络的安全性和可能存在的风险每年至少进行一次检测评估(自行或者委托网络安全服务机构)。
境内运营中收集和产生的个人信息和重要数据应在境内存储。
三、组织机构及职责
根据《合规指南》,广州国有企业数据安全合规管理在决策、管理及执行层面的组织机构及职责如下。
层级
机构
职责
决策层
董事会合规委员会或承担合规管理职责的专业委员会
推动企业数据安全合规管理,完善企业合规管理体系,合理配置数据安全合规管理工作所需的相关资源和奖惩机制,审批重大数据安全合规事项。
管理层
经理层及合规管理负责人
在原有合规管理职责的范围内,指导及监督企业数据安全合规管理相关制度规范建设、相关管理措施的设计与执行、数据安全技术应用。
执行层
承担数据管理、信息系统管理或IT技术等部门和其它各职能部门
制定企业数据管理的相关标准、制度及规范。
统一规范企业数据收集、存储、使用、加工、传输、提供、公开等工作机制。
数据安全技术的应用及更新。
数据管理能力建设。
四、个人信息保护相关义务
个人信息保护是广州国有企业数据合规的重要组成部分,根据《个人信息保护法》及《合规指南》等相关规定,主要义务如下:
义务
适用场景及合规措施
制定
个人信息
处理规则
企业如果使用网页收集个人信息,应制定隐私政策明确告知收集的个人信息种类、用途、保存期限等。
如果使用APP、小程序时,需要制定隐私政策、用户协议,取得消费者的勾选同意。
收集不满十四周岁未成年人信息的,还应当制定专门的未成年人信息处理规则。
取得
单独同意
以下情形需要取得个人的单独同意,实务中,一般以《单独同意函》的形式呈现:
(1) 向第三方提供个人信息。
(2) 公开个人信息。
(3) 处理敏感个人信息。
(4) 向境外提供个人信息。
个人信息
出境
因业务需要确需向境外提供个人信息的,除了取得个人的单独同意、实施个人信息保护影响评估之外,还应当办理以下手续之一:通过国家网信部门组织的安全评估;或者获得专业机构认证;或者与境外接收方签订国家网信部门制定的标准合同。
影响评估
具有以下情形之一的,应当事前实施个人信息保护影响评估,并制作处理情况的记录至少保存三年:
(1) 处理敏感个人信息。
(2) 利用个人信息进行自动化决策。
(3) 委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息。
(4) 向境外提供个人信息。
(5) 其他对个人权益有重大影响的个人信息处理活动。
合规审计
定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。
制定
应急预案
制定并组织实施个人信息安全事件应急预案。
五、数据安全相关义务
根据《数据安全法》、《合规指南》,广州国有企业应当对涉及数据的采集、传输、储存、使用、销毁等全生命周期的处理行为制定管控措施和标准,落实数据保护义务。
处理环节
合规措施
采集
明确数据采集渠道,确定数据格式标准,制定各类数据采集流程及方式,定期开展数据采集合规性审查。
储存
规范并加强数据储存的管理,加强对数据储存介质的管理(包括提升对服务器及离线储存介质的物理安全及加密管理,规范带有数据储存功能的可移动设备的管控,加强对本地数据储存系统平台接入移动储存介质的管控)。
实施对储存在第三方云平台数据的风险评估。
数据使用
根据不同类别、级别的数据,明确不同场景的数据使用审批流程,制定数据脱敏处理规则,提升数据使用的安全性。
建立数据开发利用的相关流程及规范,完善数据开发利用的风险评估机制。
数据共享
明确数据可进行开放及共享的范围,建立数据共享的申请及授权审批的流程及权限设置,明确数据共享过程的传输方式。
充分评估相关数据安全风险,涉及重大敏感的数据提供应当按审批权限逐级审批。
在相关合同中明确数据安全及保密义务,明确相关违约责任,必要时可单独签订保密协议。
员工
行为规范
针对员工日常工作中数据储存、数据处理、数据传输、数据共享等事项明确相关合规管理要求。
六、合作伙伴管理相关义务
广州国有企业在采购第三方提供的数据服务、向第三方披露非公开数据、委托第三方处理个人信息等时,应当实施以下合规措施。
合规环节
合规措施
制定数据服务相关合作方准入标准
明确规定信息系统开发及运维、数据储存、数据处理等数据服务相关合作方的准入标准。
对合作方实施资格审查
结合国家标准的强制性要求,通过发放资质确认清单等方式进行审查。
根据情况邀请律师事务所等专业机构实施数据安全合规尽职调查。
合作方能接触到非公开项目时的项目管理
自行制定或者委托专业机构拟定合同示范文本,在合同中明确规定数据安全合规相关条款(包括但不限于服务标准、数据备份和恢复、数据泄露预防、业务连续性计划等内容)。
个人信息委托处理
制定合同示范文本,明确约定委托处理的目的、期限、处理方式、个人信息种类、保护措施以及双方的权利和义务等。
限制合作伙伴进行转委托。
明确约定委托处理结束后或者合同解除、终止时,受托方应当返还全部个人信息或者删除。
对合作方定期实施数据安全监测、检测和评估
建立合作方定期的数据安全监测、检测和评估的范围及具体内容,并将相关评估结果与合作方的变更及退出进行挂钩。
发现合作方存在数据滥用、盗卖数据、预留“后门”等违法违规行为的,应及时终止合作并永久禁止合作,并按合同约定进行索赔。
结语
《个人信息保护法》对违反个人信息保护等义务的国有企业规定了严格的民事责任及行政处罚措施,违规企业最高将被处以五千万元以下或者上年度营业额百分之五的罚款,国有企业主要负责人将面临一百万元以下罚款。此外,根据《合规指南》,广州国有企业及主要负责人还将受到市国资委的违规问责。
广州国有企业的数据安全合规建设是一项系统工程,首先,应当按照相关法律、《合规指南》的要求,尽快开展内部数据安全合规培训,提高各级企业、各部门及全体员工对数据安全、个人信息保护的合规意识。其次,广州国有企业应当自行或者委托律师事务所等专业机构,针对各企业处理数据、个人信息的具体业务模式、场景进行摸底排查,梳理目前拥有哪些数据资产,在何种场景下处理哪些个人信息,数据及个人信息的处理行为是否合规,对照相关法律、《合规指南》进行合规性分析并总结制度建设及实务操作上的差距,形成数据合规风险评估报告及整改建议书。最后,广州国有企业应在评估报告、整改建议书的基础上,结合相关法规及本文前述整理的合规措施进行整改、完善,落实数据安全合规要求。
